Niespełna 12 godzin temu zakończyło się przesłuchanie CEO Facebooka, Marka Zuckerberga, przed Kongresem Stanów Zjednoczonych. Powodem wezwania była afera związana z wyciekiem danych osobowych 87 mln użytkowników serwisu i ich nielegalnym wykorzystaniem przez prywatną firmę Cambridge Analytica w celu wpływania na obywateli Stanów Zjednoczonych przed wyborami prezydenckimi w 2016 r.

Dlaczego poświęcam temu wydarzeniu osobny wpis na blogu?

Po pierwsze, RODO będzie miało zastosowanie do Facebooka w zakresie, w jakim przetwarza on dane osobowe osób przebywających w Unii Europejskiej.

Po drugie, wiele polskich firm podejmuje różne aktywności w serwisie Facebook, np. prowadzi firmowe profile, fanpage lub organizuje konkursy, które mają na celu promocję konkretnych produktów, usług lub własnej marki. Kwestie dotyczące prywatności i bezpieczeństwa danych użytkowników Facebooka nie powinny być im obojętne.

Po trzecie, w trakcie przesłuchania Zuckerberg odpowiadał na pytania kongresmenów dotyczące kwestii, które znajdują się również w orbicie zainteresowania RODO, jak prawo do usunięcia danych osobowych, prawo do przeniesienia danych do innego usługodawcy, długość okresu przechowywania danych użytkowników Facebooka oraz poziom ich ochrony.

Jako osoba zaznajomiona z tematyką RODO, oglądając nocną relację z przesłuchania miałem momentami nieodparte wrażenie, że amerykańscy politycy za wzór standardów ochrony danych przyjmowali RODO. Jest prawdopodobne, że wybrane rozwiązania przyjęte w unijnym rozporządzeniu będą przenikać z czasem także do prawa USA, szczególnie jeżeli amerykańskie spółki technologiczne we własnym zakresie nie zadbają o właściwą ochronę danych swoich użytkowników.

Wróćmy jednak do samego przesłuchania w Kongresie.

Jak Zuckerberg tłumaczył się z afery Cambridge Analytica?

Jak mogliśmy się spodziewać, najwięcej pytań dotyczyło okoliczności dużego wycieku danych osobowych i ich nielegalnego wykorzystywania przed ostatnimi wyborami prezydenckimi w USA przez firmę Cambridge Analytica. Dane użytkowników zostały wykradzione przez dewelopera jednej z aplikacji, a następnie sprzedane.

Zuckerberg opowiadał o zmianach, które wprowadził Facebook na przestrzeni ostatnich lat w celu poprawy bezpieczeństwa danych osobowych. Podkreślał, że w 2014 roku ograniczony został dostęp aplikacji do danych osobowych użytkowników serwisu. Wcześniej, aplikacje mogły pobierać dane nie tylko tych osób, które z nich bezpośrednio korzystały, ale także dane osób z kręgu ich znajomych, w szczególności te udostępniane publicznie. Przypomnijmy, że Facebook przez długi czas nie stosował domyślnych ustawień prywatności (a i obecnie jest pod tym względem spore pole do poprawy). Przyjmując, że statystyczny użytkownik Facebooka ma 250 znajomych, rejestracja w aplikacji 1000 osób pozwalała uzyskać dostęp do danych aż 250 000 ludzi! Jak podkreślił Zuckerberg, taka możliwość została jednak wyłączona w 2014 roku.

Obecnie Facebook dokładniej sprawdza aplikacje udostępniane w serwisie i dużo trudniej jest umieścić tam aplikację, która umożliwi nielegalne wyprowadzenie danych użytkowników. A przynajmniej tak publicznie deklaruje.

Dopytywany przez jednego z kongresmenów Zuckerberg przyznał, że Cambridge Analytica nie było jedyną firmą, która nielegalnie weszła w posiadanie danych osobowych użytkowników Facebooka w wyniku działań wspomnianego dewelopera. Takich podmiotów było kilkanaście, przy czym z nazwy potrafił wymienić tylko jeden z nich.

Ponieważ w rzeczywistości dowiadujemy się tylko o niewielu przypadkach nielegalnego wykorzystania danych osobowych, co najczęściej ma związek z tak głośnymi medialnie aferami jak Cambridge Analytica, prawdopodobnie nigdy się nie dowiemy, jak wiele danych użytkowników Facebooka zostało pozyskanych przez twórców różnych aplikacji w okresie poprzedzającym wprowadzenie zmian w 2014 r.

Zarzut braku przejrzystości zasad w serwisie Facebook

Kilkukrotnie podczas przesłuchania powracał zarzut pod adresem serwisu, że jego użytkownicy nie są dostateczne jasno informowani o sposobach korzystania z ich danych osobowych.

Jeden z kongresmenów spytał wprost, kiedy polityki Facebooka zostaną przetłumaczone z suaheli na język angielski… 😉

Zuckerberg był też pytany, czy wie, jaka część użytkowników Facebooka faktyczne czyta dokumenty dotyczące zasad korzystania z serwisu i prywatności. Odpowiedział, że nie, przy czym domyśla się, że większość ich nie czyta. Bronił się jednak, że każdy ma dostęp do tych zasad, a wszelkie działania użytkowników w ramach serwisu są przez nich podejmowane w sposób świadomy (affirmative action). W tym zakresie można mieć jednak wątpliwości.

Z całą pewnością Facebook mógłby zrobić dużo więcej, aby informować o zasadach korzystania z serwisu i prywatności w sposób prostszy i bardziej przyjazny dla użytkownika. Zarzuty braku przejrzystości w zakresie sposobu wykorzystywania danych osobowych były zresztą Facebookowi wielokrotnie stawiane, nie bez przyczyny.

Zuckerberg podkreślił, że model biznesowy Facebooka nie polega na sprzedaży danych osobowych i spółka nikomu tych danych nie sprzedaje. Serwis działa raczej jako platforma, która pozwala reklamodawcom dotrzeć do użytkowników potencjalnie zainteresowanych ich ofertą. W relacji pomiędzy reklamodawcami a użytkownikami, Facebook pełni zatem funkcję pośrednika. Świadcząc usługi w tym zakresie nie udostępnia jednak reklamodawcom danych osobowych targetowanych użytkowników.

Jak długo Facebook przechowuje nasze dane osobowe?

Jak wiemy, RODO wymaga, aby administrator danych znał okres przechowywania danych osobowych i przekazywał informację o tym osobie, której dane dotyczą – podczas zbierania danych lub najpóźniej w terminie miesiąca, w przypadku pozyskania danych z innego źródła niż bezpośrednio od osoby, której dane te dotyczą.

Zuckerberg zapewnił, że jeżeli użytkownik Facebooka zdecyduje się usunąć swoje konto z serwisu, to jego dane osobowe również są nieodwracalnie usuwane.

Nie dotyczy to jednak przypadku, w którym dana osoba dezaktywuje swojej konto bez jego usunięcia z serwisu. Wtedy dane osobowe są dalej przetwarzane (zachowywane „w pamięci” Facebooka), co umożliwia powrót do serwisu i dalszy dostęp do swoich danych. Ostatnio z opcji tej skorzystał Steve Wozniak, amerykański inżynier polskiego pochodzenia i współtwórca firmy Apple, który po aferze z Cambridge Analytica ostentacyjnie zamknął swoje konto na Facebooku, przy czym chciał, aby jego profil SteveWoz nadal był zastrzeżony.

Zuckerberg wyjaśnił dalej, że jeżeli dany użytkownik podzielił się wcześniej treściami publikowanymi na swoim wallu z innymi użytkownikami serwisu, to po usunięciu konta informacje te mogą być jeszcze dostępne w innych miejscach Facebooka.

Dopytywany o dalsze przetwarzanie danych osobowych w kopiach zapasowych po całkowitym usunięciu przez użytkownika konta w serwisie, nie był w stanie udzielić odpowiedzi. Stwierdził jedynie, że Facebook dokłada starań, aby dane były usuwane najszybciej jak to możliwe.

Jak ocenić zeznania Zuckerberga?

Czy wszystkie odpowiedzi Zuckerberga były zgodne z prawdą, tego nie wiemy.

W niektórych przypadkach miałem wrażenie, że wyjaśnienia CEO Facebooka są dość ogólne lub wymijające. Trzeba jednak uczciwie przyznać, że składając zeznania znajdował się pod dużą presją. Każde nieprzemyślane zdanie lub o jedno słowo za dużo mogło skutkować miliardowymi stratami dla notowanego na giełdzie serwisu. Dlatego nie dziwią szumne deklaracje Zuckerberga o ideowości Facebooka i podkreślanie działań, które w ostatnich latach były podejmowane w celu większej ochrony prywatności i bezpieczeństwa danych jego użytkowników.

Charakterystyczne są jednak wypowiedzi tych kongresmenów, którzy podkreślali, że Mark Zuckerberg nie pierwszy raz występował przed amerykańskim parlamentem. Kontekst tych spotkań może być za każdym razem trochę inny, jednak padają na nich wciąż te same pytania. Senator Cortez Masto powiedziała do Zuckerberga „Stop apologizing, let’s make a change” („Przestań przepraszać, dokonajmy zmiany”).

Widzimy jasno, że nie za wszystkimi deklaracjami CEO Facebooka idą rzeczywiste działania lub sama spółka mogłaby zrobić więcej, ale z jakichś powodów nie podejmuje dalej idących kroków. W trakcie przesłuchania pojawiła się sugestia, że być może groźba kar pieniężnych (skąd my to znamy? 😉) skuteczniej oddziaływałaby na firmy takie jak Facebook.

Senator John Kennedy powiedział do CEO Facebooka wprost: „Your user agreement sucks” (w wolnym tłumaczeniu, „Twoja zgoda użytkownika jest do chrzanu”). Wysłał on Zuckerbergowi jasny sygnał, że ten „bystry człowiek” po powrocie do domu powinien się zastanowić, czy jego serwis będzie działał w dalszym ciągu na dotychczasowych zasadach czy też wprowadzi zmiany, których się od niego oczekuje. Jeżeli nic się nie zmieni, może to skutkować koniecznością przyjęcia regulacji na szczeblu federalnym, które nie pozostawią mu wyboru.

Na zakończenie warto również przytoczyć ważną wypowiedź senator Maggie Hassan, która stwierdziła, że istnieje napięcie pomiędzy celami biznesowymi Facebooka a koniecznością ochrony prywatności jego użytkowników.

Jest to trafna ocena, które wyjaśnia, dlaczego Facebook działa w ten a nie inny sposób.