Nawet inżynierowie mogą nie rozumieć, co się dzieje z informacjami, które zbiera Facebook, Instagram i WhatsApp – wynika z dokumentacji zgromadzonej przez sąd w Kalifornii
Anarchia - tak Meta postępuje z naszymi danymi
Anarchia - tak Johnny Ryan z Irish Council for Civil Liberties (ICCL) podsumowuje postępowanie spółki Meta z danymi użytkowników. ICCL zaalarmowała Komisję Europejską, że spółka Marka Zuckerberga prawdopodobnie nie ma szans dostosować się do europejskich regulacji w dziedzinie prywatności. Będzie to ogromne wyzwanie dla unijnych regulatorów, bo właśnie weszły w życie ustawy, które pozwalają Komisji całkowicie zablokować działanie w UE serwisów, które nie będą ich przestrzegały.
W piśmie do członków Komisji z października ICCL analizuje dokumenty, jakie w sprawie Mety zgromadził sąd w Kalifornii. Od 2018 r. trwa tam proces dotyczący naruszeń prywatności danych użytkowników. Sąd miał trudności z wydobyciem od spółki niezbędnych dokumentów, więc w 2021 r. wyznaczył nadzorcę, który wewnątrz Mety ma zadbać o ich przekazywanie. W grudniu 2021 r. nadzorca nakazał przygotowanie informacji o przepływie danych w wewnętrznych systemach spółki. Meta nie była w stanie ich dostarczyć i w styczniu przesłała tabelę, w której dla każdego systemu, czyli 149 razy, powtórzyła tę samą wymówkę. Prawnicy bronią się, że przygotowanie takich informacji byłoby nieproporcjonalnie czasochłonne w stosunku do potrzeb sprawy.
Meta nie wie co robi z naszymi danymi
Zdaniem Ryana to znaczy, że firma po prostu nie potrafi powiedzieć, co robi z danymi, które gromadzi od użytkowników Facebooka, Instagrama, Oculusa i WhatsAppa. Z dokumentów, do których dotarła ICCL, wynika, że sądowy nadzorca przekonywał pracowników Mety, że „ktoś musi posiadać wykres, z którego wynika, gdzie są przechowywane dane”. „W rzeczywistości kod jest często własnym dokumentem projektowym. Rzadko istnieją diagramy pokazujące, w jaki sposób te systemy są następnie wykorzystywane i jakie dane faktycznie przez nie przepływają” - brzmiała odpowiedź. Jednocześnie, jak wynika z postępowania, firma pilnie strzeże danych użytkowników przed innymi firmami. Zdaniem ICCL rewelacje ujawnione w sądzie prowadzą do sytuacji, która wymaga pilnej uwagi KE. Ich zdaniem spółka nie ma obecnie szans dostosować się do aktu o rynkach cyfrowych (DMA), który w Unii wszedł w życie na początku listopada. Prawo zabrania łączenia i ponownego wykorzystania danych użytkowników.
- Gdy przekazujesz dane firmie z jednego konkretnego powodu, nie mogą one zostać wrzucone do wielkiego worka i ponownie wykorzystane przez do wspierania innych części działalności firmy. A wydaje się, że tak właśnie się tutaj dzieje. Lokalizacja, zachowanie i intymne sekrety ludzi są więc wykorzystywane przez Metę do nieznanych celów - wyjaśnia Ryan i dodaje, że magazynując dane, Meta stworzyła monopol. To niejedyny problem, jaki ujawniają dokumenty z kalifornijskiego sądu. Jeśli sytuacja faktycznie wygląda tak, jak z nich wynika, Meta łamie także obowiązujące w UE od sześciu lat przepisy Ogólnego rozporządzenia o ochronie danych (RODO). A to z kolei ujawnia słabość europejskich organów, które nie są w stanie dopilnować, by firma dostosowała się do obowiązujących przepisów.
Kto odpowiada za nadzór nad Metą?
Za nadzór nad Metą odpowiada irlandzka Komisja Ochrony Danych (DPC). To rządowa agenda podobna do polskiego Urzędu Ochrony Danych Osobowych. Zajmuje się sprawą największych firm technologicznych, ponieważ ze względu na korzystne przepisy podatkowe często wybierają one Zieloną Wyspę na siedzibę. Choć DPC nakłada na big techy potężne kary, jej krytycy zwracają uwagę, że brak jej środków na tak poważne batalie, a KE, która odpowiada za to, by Irlandia w pełni stosowała RODO, nie podjęła odpowiednio stanowczych kroków.
W swoim zawiadomieniu ICCL przekonuje, że Bruksela powinna jak najszybciej poprosić spółkę Zuckerberga o pełną i szczegółową listę każdego celu przetwarzania danych. Meta musi mieć taki dokument na mocy RODO. Jeśli spółka go nie dostarczy, KE powinna zwrócić się do DPC o powzięcie działań nadzorczych. „Z ujawnionych informacji jasno wynika, że Komisja powinna być w pełni przygotowana do wykorzystania uprawnień do nałożenia strukturalnych środków zaradczych w odpowiedzi na systematyczne nieprzestrzeganie przez Metę przepisów art. 18 ust. 1 DMA” - konkludują członkowie organizacji. W grę mogą wchodzić ogromne kary finansowe. KE ani Meta nie odpowiedziały na pytania DGP przesłane im w sprawie zawiadomienia ICCL .
- Nasze systemy są wyrafinowane i nie powinno dziwić, że żaden inżynier nie jest w stanie odpowiedzieć na każde pytanie dotyczące miejsca przechowywania każdej informacji o użytkowniku. Stworzyliśmy jeden z najbardziej wszechstronnych programów ochrony prywatności, aby nadzorować wykorzystanie danych w naszych operacjach oraz uważnie zarządzać danymi ludzi i je chronić. Dokonaliśmy – i nadal dokonujemy – znacznych inwestycji, aby spełnić nasze zobowiązania i obowiązki w zakresie prywatności, w tym szeroko zakrojone kontrole danych – broni firmy jej rzecznik prasowy i dodaje, że Meta robi wszystko, by pozostać w zgodzie z europejskimi regulatorami. Komisja Europejska nie odpowiedziała na przesłalne przez nas pytania dotyczące skargi ICCL.