Klikasz „akceptuję” pod kolejną polityką prywatności. Robisz to automatycznie, nie czytając. Bo kto ma czas na przewijanie 47 stron tekstu prawniczego? A potem kupujesz bezzapachowy balsam i witaminy z cynkiem w sklepie, a tydzień później dostajesz w mailu kupony na pieluchy i wózki. Zaskoczona? Być może powinna. Bo sklep właśnie przewidział, że jesteś w ciąży – zanim zdążyłaś powiedzieć komukolwiek w rodzinie.
To nie scenariusz serialu science fiction. To rzeczywistość, w której żyjemy od lat. I choć większość z nas wie, że nasze dane są gromadzone, niewiele osób zdaje sobie sprawę, jak bardzo precyzyjne są systemy, które nas analizują – i do czego te informacje mogą zostać wykorzystane.
Kiedy sklep wie o ciąży wcześniej niż tata
Historia z 2012 roku wstrząsnęła Ameryką. Ojciec nastolatki wpadł wściekły do sklepu Target w Minneapolis, wymachując kuponami rabatowymi. Jego córka – uczennica liceum – dostała pocztą oferty na łóżeczka dziecięce, ubranka i akcesoria dla niemowląt. „Chcecie zachęcać ją do zajścia w ciążę?!” – krzyczał na zaskoczonego menedżera.
Kilka tygodni później ten sam ojciec przeprosił sklep. Okazało się, że jego córka rzeczywiście była w ciąży. Target wiedział o tym wcześniej niż jej własny rodzic.
Jak to możliwe? Statystyk Andrew Pole opracował algorytm, który analizował zwyczaje zakupowe klientek. Zauważył, że kobiety w ciąży kupują określone produkty w charakterystycznych momentach: bezzapachowe balsamy około trzeciego miesiąca, duże ilości waty, witaminy z wapniem, magnezem i cynkiem w pierwszym trymestrze. Na podstawie około 25 produktów system potrafił przewidzieć ciążę z dokładnością 90% – i oszacować termin porodu z precyzją kilku tygodni.
Brzmi jak coś pożytecznego? Problem w tym, że klientki nigdy nie wyraziły zgody na taką analizę. Nie wiedziały, że ich zakupy są łączone w profile psychologiczne. I nagle otrzymywały reklamy dotyczące najintymniejszych momentów ich życia, o których mogły jeszcze nie mówić publicznie.
Target szybko się uczył. Gdy okazało się, że ludzie czują się niekomfortowo, gdy firma „wie za dużo”, sklep zaczął mieszać kupony związane z ciążą z zupełnie losowymi ofertami – na kosiarki, produkty spożywcze, pościel. Nadal targetował ciężarne kobiety, ale robił to mniej inwazyjnie. Mniej przerażająco.
Kiedy aplikacja wiedziała o Trumpie to, czego nie wiedziała FBI
Rok 2018. Skandal Cambridge Analytica. Dane 87 milionów użytkowników Facebooka zostały zebrane bez ich zgody i wykorzystane do celów politycznych. Nie chodziło tylko o reklamy wyświetlane wyborcom – chodziło o psychometryczne profilowanie, które pozwalało przewidzieć lęki, marzenia i przekonania ludzi na podstawie ich aktywności w mediach społecznościowych.
Firma stworzyła aplikację „This Is Your Digital Life” – quiz psychologiczny, który pobrano 270 tysięcy razy. Problem? Aplikacja zbierała dane nie tylko od osób, które ją pobrały, ale także od ich znajomych z Facebooka. W sumie zebrano informacje o dziesiątkach milionów ludzi, którzy nigdy nie wyrazili zgody na udział w badaniu.
Co z nimi zrobiono? Cambridge Analytica wykorzystała je do targetowania politycznych reklam podczas kampanii Donalda Trumpa w 2016 roku oraz debaty o Brexicie. System potrafił określić, jakie przekazy wzbudzą lęk u konkretnej osoby, co ją zdenerwuje, co skłoni do działania. Christopher Wylie, były pracownik firmy, nazwał to „arsenałem broni do wojny kulturowej”.
Facebook twierdził, że nie wiedział o nadużyciach. Ale kiedy w 2015 roku sprawa wyszła na jaw, gigant technologiczny… uwierzył firmie na słowo, że skasowała wszystkie dane. Nie sprawdził. Nie zweryfikował. Dopiero trzy lata później, gdy skandal wybuchł publicznie, Mark Zuckerberg zeznawał przed Kongresem USA.
Konsekwencje? Facebook zapłacił 5 miliardów dolarów kary. Cambridge Analytica ogłosiła upadłość. Ale dane? Te już krążyły po świecie. Nie można „odklikować usuń”, gdy informacje trafiły w dziesiątki rąk.
Meta i AI: wszystkie Twoje zdjęcia w jednym worku
Lipiec 2024. Meta (właściciel Facebooka i Instagrama) ogłasza, że planuje wykorzystać wszystkie dane europejskich użytkowników do trenowania sztucznej inteligencji. Wszystkie dane oznacza wszystkie – od pierwszego posta, przez prywatne zdjęcia pokazane tylko znajomym, po komentarze sprzed lat.
I tutaj zaczyna się absurd. Meta twierdzi, że nie ma możliwości oddzielenia danych wrażliwych – takich jak przekonania polityczne, orientacja seksualna czy pochodzenie etniczne – od reszty. Wszystko trafi „do jednego worka”. Co więcej, w algorytmach znajdą się także zdjęcia osób, które nigdy nie miały konta na Facebooku, ale ktoś je tam wrzucił.
Najgorsze? Meta nie pyta o zgodę. Używa klauzuli „uzasadnionego interesu”, co oznacza, że użytkownik może co najwyżej złożyć sprzeciw – a i to w skomplikowanym, zniechęcającym formularzu. Organizacja NOYB, zajmująca się ochroną prywatności w Europie, złożyła skargi do 11 organów ochrony danych, w tym do polskiego UODO.
Czym Meta uzasadnia swoje działania? Tym, że potrzebuje danych, by rozwijać AI. Ale do czego konkretnie te dane będą użyte? Nie wiadomo. Meta nie określa celu przetwarzania. To jak dać komuś klucze do swojego mieszkania i powiedzieć: „Zrób coś, ale nie powiem ci co”.
Google wie, gdzie byłeś – nawet gdy wyłączyłeś lokalizację
Myślisz, że wyłączenie lokalizacji w telefonie oznacza, że nikt nie śledzi Twoich ruchów? Niestety, to złudzenie. Francja nałożyła na Google karę 50 milionów euro za niewłaściwe informowanie użytkowników o zbieraniu ich danych lokalizacyjnych.
Okazało się, że nawet gdy w ustawieniach wyłączyłeś „historię lokalizacji”, Google dalej zbierał informacje o tym, gdzie jesteś. Aplikacje takie jak Mapy, Asystent Google czy nawet przeglądarka rejestrowały Twoją pozycję za pośrednictwem innych funkcji. Użytkownicy byli przekonani, że kontrolują swoją prywatność. W rzeczywistości – nie mieli nad nią żadnej kontroli.
Gdzie te dane trafiają? Do targetowania reklam. Do analizy zachowań. Do budowania profili użytkowników tak szczegółowych, że można z nich wywnioskować, gdzie pracujesz, gdzie mieszkasz, gdzie chodzisz na kawę, w którym kościele się modlisz. W jakiej jesteś kondycji fizycznej na podstawie regularności spacerów. Z kim się spotykasz na podstawie powtarzających się lokalizacji.
Każda sekunda zarejestrowana przez Twój telefon to kolejny punkt na mapie Twojego życia. I ta mapa jest sprzedawana reklamodawcom.
Marriott: pół miliarda wycieków i „przepraszamy”
500 milionów gości hotelowych. Tyle osób straciło swoje dane w wyniku ataku hakerskiego na sieć Marriott International. Nazwiska, adresy mailowe, numery telefonów, numery paszportów, daty urodzenia, informacje o kartach płatniczych – wszystko wyciekło.
Co gorsz? Hakerzy mieli dostęp do systemów przez lata. Nie przez dni. Nie przez miesiące. Przez lata. A hotel… nie zauważył. Dopiero gdy sprawa wyszła na jaw, firma przyznała się do problemu i przeprosiła.
Czy dane zostały odzyskane? Nie. Czy są bezpieczne? Nie. Czy można cofnąć wyciek? Nie. A konsekwencje? Kara finansowa dla hotelu i… tyle. Osoby, których dane wyciekły, zostały z problemem, który będą nosić ze sobą przez lata. Bo numer paszportu nie da się zmienić tak łatwo jak hasło do Netflixa.
British Airways: błąd w kodzie kosztujący 500 tysięcy klientów
Atak na stronę British Airways ujawnił dane 500 tysięcy pasażerów. Hakerzy podmienili kod na stronie internetowej linii lotniczych, kierując dane klientów – w tym numery kart kredytowych i kody CVV – na własne serwery.
Najgorsze? Atak trwał 15 dni. Przez dwa tygodnie każdy, kto kupował bilet na stronie British Airways, oddawał swoje dane przestępcom. A linie lotnicze nie zauważyły problemu, dopóki nie było za późno.
Kara? 183 miliony funtów – jedna z najwyższych w Europie. Ale czy pieniądze oddane do budżetu państwa naprawią szkody wyrządzone klientom? Czy zwrócą im poczucie bezpieczeństwa?
Czego się możemy nauczyć?
Te historie mają wspólny mianownik: brak kontroli. Jako użytkownicy internetu, jako rodzice scrollujący Facebooka, jako klienci sklepów online – oddajemy swoje dane, wierząc, że ktoś o nie zadba. A tymczasem firmy traktują je jak walutę, zbierając, sprzedając, udostępniając bez naszej wiedzy.
Oczywiście, większość z nas nie ma czasu czytać polityk prywatności. Większość z nas potrzebuje Facebooka, żeby być w kontakcie z rodziną. Większość z nas nie może zrezygnować ze smartfona. Ale warto wiedzieć, za co płacimy tą wygodą.
Bo prawda jest taka, że jeśli usługa jest darmowa, Ty jesteś produktem. A Twoje dane – walutą.
Jak chronić siebie (i swoje dzieci)?
Całkowita prywatność w internecie to mit. Ale możesz ograniczyć to, co o Tobie wiedzą:
Czytaj ustawienia prywatności – przynajmniej te podstawowe. Wyłącz śledzenie lokalizacji w aplikacjach, które tego nie potrzebują. Ogranicz, kto może zobaczyć Twoje posty na mediach społecznościowych.
Nie zgadzaj się na wszystko – sklepom internetowym nie jest potrzebny Twój numer telefonu do wysłania paczki. Aplikacjom pogodowym nie jest potrzebny dostęp do Twoich kontaktów. Odmów.
Uważaj, co publikujesz o dzieciach – każde zdjęcie dziecka w internecie to dane, które mogą być wykorzystane przez algorytmy rozpoznawania twarzy. Każdy post o tym, gdzie dziecko chodzi do przedszkola, to informacja dla kogoś, kto może jej użyć.
Pytaj firmy, co robią z Twoimi danymi – masz prawo zapytać, jakie dane przechowują i w jakim celu. Masz prawo żądać ich usunięcia. W Polsce możesz złożyć skargę do UODO, jeśli podejrzewasz naruszenie.
Nie da się żyć poza systemem. Ale można żyć w nim świadomie. I może to nie jest wiele. Ale w świecie, w którym sklepy wiedzą o Twojej ciąży, a algorytmy przewidują Twoje poglądy polityczne – każda odrobina kontroli się liczy.
Najczęściej zadawane pytania/FAQ
Czy mogę sprawdzić, jakie dane o mnie ma konkretna firma?
Tak. Zgodnie z RODO masz prawo dostępu do swoich danych. Wystarczy złożyć wniosek do firmy, a ona ma miesiąc na odpowiedź i udostępnienie kopii danych.
Co robić, jeśli firma wykorzystuje moje dane bez zgody?
Możesz złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych. Masz też prawo żądać usunięcia danych i dochodzić odszkodowania przed sądem cywilnym.
Czy wyłączenie cookies chroni moją prywatność?
Częściowo. Cookies to tylko jeden sposób śledzenia. Twoje urządzenie ma też unikalny identyfikator, a aplikacje mogą zbierać dane na inne sposoby, np. przez geolokalizację.
Jak chronić prywatność dzieci w internecie?
Ogranicz publikowanie ich zdjęć, sprawdzaj ustawienia prywatności w aplikacjach dla dzieci, rozmawiaj z nimi o tym, czego nie należy udostępniać online. Pamiętaj, że RODO wymaga zgody rodzica na przetwarzanie danych dzieci poniżej 16 lat.
Czy dane raz wyciekłe można w jakiś sposób zabezpieczyć?
Niestety, wyciekniętych danych nie da się cofnąć. Możesz zmienić hasła, zastrzec karty płatnicze, monitorować swoje konto bankowe i zgłosić incydent do odpowiednich organów.
Czy korzystanie z VPN chroni moje dane?
VPN ukrywa Twój adres IP i szyfruje połączenie, ale nie chroni przed śledzeniem przez aplikacje, cookies czy social media. To jedno z narzędzi, ale nie panaceum na wszystkie zagrożenia.
