Serwis internetowy krwiodawstwa Bawarskiego Czerwonego Krzyża przesłał do Facebooka intymne dane potencjalnych dawców krwi. Informacje te obejmują oświadczenia dotyczące zakażenia wirusem HIV, ciąży, zażywania narkotyków lub cukrzycy u osób dotkniętych chorobą. Jest to wynik analizy technicznej strony internetowej serwisu, przeprowadzonej przez Süddeutsche Zeitung (dalej w tekście „SZ”). Dane te mogą być teraz przechowywane na Facebooku i mogą pomóc w przypisaniu użytkowników do określonych grup docelowych w zakresie reklamy.
Rzecznik prasowy uspokaja
Przypadek ten pokazuje, w jak bezstroski sposób kod programistyczny Facebooka jest stosowany nawet w bardzo wrażliwych obszarach i jak organizacje narażają się na ryzyko naruszenia przepisów w zakresie ochrony danych. Ponieważ dane te są częściowo danymi osobowymi, przedsiębiorstwo może zostać ukarane grzywną na mocy rozporządzenia o podstawowej ochronie danych. Patric Nohe, rzecznik służby darczyńców, zaprzeczył, że dane mogą być wykorzystane do wyciągnięcia wniosków na temat poszczególnych chorób. Dochodzenie przeprowadzone przez SZ pokazują co innego: Odpowiedzi można jasno określić na podstawie kolejności i liczby kliknięć. Incydent został zbadany i jako środek zapobiegawczy została dezaktywowana transmisja danych, powiedział Nohe.
Dane dawców były zbierane na stronie Służby Krwiodastwa
Dane dawców krwi zostały zebrane podczas „wstępnej kontroli” na stronie internetowej Służby Krwiodastwa (niem. Blutspendedienst, w skrócie BSD), spółki zależnej Bawarskiego Czerwonego Krzyża (BRK). Odpowiedzi darczyńców były automatycznie przekazywane do Facebooka, ponieważ strona została źle skonfigurowana.
Prawdopodobnie nikt nie odpowiedziałby publicznie na te pytania: „Czy zażywasz narkotyki?”, „Masz pozytywny wynik testu na HIV?”, „Czy miałaś aborcję?”. Na blutspendedienst.com mają one jednak znaczenie w kontekście oddawania krwi: Zainteresowane osoby mogły odpowiedzieć na nie anonimowo online i sprawdzić, czy nadają się do krwiodawstwa.
Respondenci nie mogli wiedzieć, że ich dane wypłynęły do Facebooka
Respondenci nie mogli jednak wiedzieć, że złe ustawienie strony spowodowało, że kliknięte przez nich odpowiedzi zostały wysłane do Facebooka. Związane z tym pytania, w których wymienione są choroby, nie zostały przekazane, ale mogą być odtworzone poprzez numerowanie odpowiedzi. System umieszczał je zawsze w tej samej kolejności. Dawcy krwi posiadający konto na Facebooku mogą oczekiwać, że ich odpowiedzi zostaną powiązane z ich profilami, nawet jeśli w tym czasie nie korzystali z Facebooka. Wykorzystując tzw. technologię ciasteczek, Facebook rozpoznaje użytkowników z poprzednich sesji w swojej sieci.
Dlaczego BSD korzystało z monitoringu Facebooka?
Pozostaje niejasne, dlaczego BSD korzystało z monitoringu Facebooka, jak długo był on aktywny i ile osób wzięło udział w badaniu. To jest dostępne przynajmniej od wiosny. Każdego roku 250.000 osób przekazuje krew do BSD, co może skutkować znaczną ilością danych o chorobach na Facebooku. Serwis krwiodawstwa nie dostarczył żadnych informacji na temat czasu trwania i liczby użytkowników badania.
Wyszukiwanie grup docelowych z dużymi danymi
Na pierwszy rzut oka dane, które pojawiły się na Facebooku są bez znaczenia: z odpowiedzi przesłano tylko informacje „TAK” lub „NIE”. Jednak ponieważ wysłano również liczbę poprzednich kliknięć w odpowiedzi, można z niej odczytać wskazane przez daną osobę choroby. Chociaż jest mało prawdopodobne, aby pracownicy Facebooka zidentyfikowali choroby poprzez numerację i powiązali je z konkretnymi osobami, jest to teoretycznie możliwe. Bardziej prawdopodobne jest, że Facebook będzie automatycznie analizował informacje przy użyciu narzędzi do analizowania dużej ilości danych. Takie oprogramowanie jest używane do oceny i poprawy działalności reklamowej platformy.
Informacje mogą być wykorzystywane również przez innych reklamodawców
Dla Facebooka nie ma w zasadzie większego znaczenia, czy ktoś odpowiedział na pytanie dotyczące HIV, czy też kliknął przycisk zamówienia w sklepie internetowym. Użytkownik staje się interesujący dla firmy wtedy, gdy znajdą się inni użytkownicy, których podobieństwo w zachowaniu w sieci może mieć wpływ na wyświetlanie i ustawianie reklam. Zgodnie z regulaminem korporacyjnym Facebooka, zebrane informacje mogą być wykorzystywane nie tylko w przypadku reklam serwisu krwiodastwa, ale również w przez innych reklamodawców.
Firmy mogą wykorzystać dane do ustawiania reklam
Inne firmy mogą ustawić reklamy na grupy docelowe, które są podobne do poprzednich klientów w różnych aspektach. Jak na przykład Amazon: Ktokolwiek kupił tę książkę, był zainteresowany również tą. W przypadku BSD może to mieć zastosowanie na przykład w następującej sytuacji: Każdy, kto zadeklarował cukrzycę, był również zainteresowany reklamą urządzenia do pomiaru poziomu cukru we krwi. Niemniej jednak, eksperci ds. marketingu na Facebooku uważają, że mało prawdopodobne jest, iż uczestnicy ankiety na stronie krwiodastwa zobaczą gdzieś w sieci reklamy związane z chorobami. Facebook nie skomentował dotąd sprawy.
„Działanie Służby Krwiodastwa było rażąco niedbałe”
Działacz na rzecz ochrony danych osobowych, Rena Tangens ze stowarzyszenia Digitalcourage krytycznie ocenia sytuajcę: „Faktem jest, że Facebook otrzymał dane osobowe, które pozwalają na wyciągnięcie wniosków na temat chorób” – powiedziała SZ. Uzyskanie takich danych zdrowotnych przez towarzystwa ubezpieczeniowe byłoby bardzo opłacalne. Doświadczenie pokazało, że jest to tylko kwestia czasu, zanim to nastąpi: „Działanie Służby Krwiodastwa jest rażąco niedbałe”.
źródło: sueddeutsche.de