به گزارش اپ خونه، مقام حفاظت از دادههای اتریش دریافته است که استفاده از فناوریهای ردیابی متا قانون حفاظت از دادههای اتحادیه اروپا را نقض میکند، زیرا دادههای شخصی به ایالات متحده منتقل شده است، جایی که اطلاعات در معرض خطر نظارت دولت است.
این یافته از مجموعه ای از شکایات ارائه شده توسط گروه اروپایی حقوق حریم خصوصی noyb در آگوست ۲۰۲۰ ناشی می شود که همچنین استفاده وب سایت ها از Google Analytics را برای همان مشکل صادرات داده هدف قرار داده است.
تعدادی از DPAهای اتحادیه اروپا از آن زمان استفاده از Google Analytics را غیرقانونی تشخیص داده اند – و برخی (مانند CNIL فرانسه) هشدارهایی را علیه استفاده از ابزار تجزیه و تحلیل بدون تدابیر اضافی صادر کرده اند.
اما این اولین یافته ای است که فناوری ردیابی فیس بوک مقررات عمومی حفاظت از داده های اتحادیه اروپا (GDPR) را نقض کرده است.
همه تصمیمات پس از حکم دادگاه عالی اتحادیه اروپا در ژوئیه ۲۰۲۰ است که توافقنامه سطح بالای انتقال داده سپر حریم خصوصی اتحادیه اروپا و ایالات متحده را پس از اینکه قضات یک بار دیگر درگیری مرگبار بین قوانین نظارت ایالات متحده و حقوق حریم خصوصی اتحادیه اروپا را شناسایی کردند، لغو کرد .
(یک یافته مشابه، در سال ۲۰۱۵ ، سلف Privacy Shield: Safe Harbor را باطل کرد.)
noyb آخرین یافتههای مربوط به نقض انتقال داده توسط یک DPA اتحادیه اروپا را « پیشگیر » میداند – با این استدلال که تصمیم مقامات اتریشی باید سیگنالی را به سایتهای دیگر ارسال کند که استفاده از ردیابهای متا توصیه نمیشود .(شکایت مربوط به Login فیسبوک و متا پیکسل است).
این تصمیم مربوط به استفاده از ابزارهای ردیابی متا توسط یک وب سایت خبری محلی (نام آن از تصمیم حذف شده است) از اوت ۲۰۲۰ – که سایت مورد نظر مدت کوتاهی پس از ثبت شکایت استفاده از آن را متوقف کرد.
با این حال، این تصمیم میتواند پیامدهای بسیار گستردهتری برای استفاده از فناوری متا با توجه به اینکه غول تبلیغاتی چقدر دادههای شخصی را پردازش میکند، داشته باشد.
بنابراین، در حالی که یافتههای نقض تنها به یکی از سایتهایی مربوط میشود که در این دسته از شکایات استراتژیک مورد هدف قرار گرفته است، پیامدهایی برای امتیازات بیشتر و – به طور بالقوه – برای هر سایت اتحادیه اروپا که هنوز از ابزارهای ردیابی متا استفاده میکند، با توجه به عدم قطعیت حقوقی مداوم در مورد دادههای اتحادیه اروپا و ایالات متحده وجود دارد.
فیسبوک وانمود کرده است که مشتریان تجاریاش میتوانند به استفاده از فناوری خود ادامه دهند، علیرغم اینکه دو حکم دادگاه دادگستری خلاف این را میگویند.
مکس شرمز، رئیس noyb.eu در بیانیه ای گفت: اکنون اولین تنظیم کننده به یک مشتری گفت که استفاده از فناوری ردیابی فیس بوک غیرقانونی است.
بسیاری از وب سایت ها از فناوری ردیابی فیس بوک برای ردیابی کاربران و نمایش تبلیغات شخصی استفاده می کنند.
هنگامی که وبسایتها از این فناوری استفاده میکنند، تمام دادههای کاربر را به شرکت چندملیتی ایالات متحده و به بعد به NSA [آژانس امنیت ملی ایالات متحده] ارسال میکنند.
در حالی که کمیسیون اروپا همچنان در نظر دارد سومین قرارداد انتقال داده اتحادیه اروپا و ایالات متحده را منتشر کند، این واقعیت که قوانین ایالات متحده هنوز نظارت انبوه را مجاز میداند به این معنی است که این موضوع به این زودی حل نخواهد شد.
متا به نوبه خود در واکنش به این خبر تلاش کرده است اهمیت تصمیم DPA اتریش را کم اهمیت جلوه دهد.
سخنگوی شرکت در بیانیه ای ادعا کرد که این یافته “بر اساس شرایط تاریخی” است – و پیشنهاد کرد “بر نحوه استفاده مشاغل از محصولات ما تأثیری ندارد”.
در اینجا بیانیه آن به طور کامل آمده است:
این تصمیم بر اساس شرایط تاریخی است و فقط به یک شرکت مربوط میشود که در ارتباط با استفاده از فیسبوک پیکسل و لاگین فیسبوک در یک روز در سال ۲۰۲۰ است. اگرچه ما با بسیاری از جنبههای تصمیم موافق نیستیم، اما تأثیری بر نحوه استفاده کسبوکارها ندارد. محصولات ما. این مورد ناشی از تضاد بین قوانین اتحادیه اروپا و ایالات متحده است که در حال حل و فصل است.
در تصمیم ۴۶ صفحه ای DPA اتریش دلایل خود را برای یافتن استفاده سایت محلی از ابزارهای ردیابی متا که الزامات GDPR در مورد انتقال داده را نقض می کند، بیان می کند.
این مقررات مستلزم آن است که دادههای کاربران اتحادیه اروپا در صورت انتقال به خارج از بلوک، به کشورهای به اصطلاح ثالث (مانند ایالات متحده) به اندازه کافی محافظت شوند.
با این حال، هیچ یک از حمایتهای احتمالی برای چنین صادرات دادهای (مانند تصمیم کفایت) در این مورد اعمال نمیشود – از این رو تشخیص داد که ماده ۴۴ GDPR (در مورد انتقال دادهها) نقض شده است.
یکی دیگر از مؤلفههای کلیدی تصمیم این است که دادههای جمعآوریشده توسط فناوریهای ردیابی متا – که شامل تعداد زیادی از نقاط داده، از جمله آدرس IP، شناسه کاربر، سیستمعامل تلفن همراه و دادههای مرورگر، وضوح صفحه نمایش، دادههای کوکی فیسبوک و خیلی چیزهای دیگر است – بهعنوان داده شخصی است.
DPA توضیح می دهد:
«در نتیجه اجرای Facebook Business Tools، کوکیهایی در [دستگاه] انتهایی شاکی تنظیم شد… که حاوی یک مقدار منحصربهفرد و تصادفی تولید شده است… این امکان را به فرد میدهد تا دستگاه پایانه شاکی را فردی کند و رفتار موجسواری شاکی را ثبت کند. به منظور نمایش تبلیغات شخصی مناسب”.
صرف نظر از این، حداقل متا ایرلند این امکان را داشت که داده های دریافتی خود را به دلیل اجرای ابزارهای تجاری فیس بوک در حساب فیس بوک [شاکی] پیوند دهد.
از شرایط استفاده از ابزارهای تجاری فیس بوک مشخص است که از ابزارهای تجاری فیس بوک، از جمله، برای تبادل اطلاعات با فیس بوک استفاده می شود.
برخی از تغییرات متا در شرایط انتقال دادهها و قراردادهای کوتاه مدت پس از ثبت شکایات noyb، پیش از این اقدام بود – بنابراین برای تأثیرگذاری بر نتیجه خیلی دیر انجام شد.
با این حال، noyb نشان میدهد که هرگونه تغییر در اصطلاحات و/یا اقدامات تکمیلی بعید است که تغییری ایجاد کند، با توجه به اینکه دادههای شخصی در دسترس متا باقی میمانند (و بنابراین میتوانند به آژانسهای امنیتی ایالات متحده منتقل شوند) – بنابراین، برای مثال، گزینه اجرای «صفر» رمزگذاری دانش، یعنی به عنوان یک اقدام تکمیلی برای افزایش سطح حفاظت از دادهها، برای یک غول فناوری تبلیغاتی که مدل کسبوکارش وابسته به ردیابی و پروفایل کاربران وب با پردازش دادههایشان است، در دسترس نیست.
شرمز وقتی از تغییرات متا در شرایط انتقال دادههای خود پس از شکایتهای noyb پرسیده شد، گفت: “DPA قبلاً در تصمیم Google دریافته است که چنین عناصری نمیتوانند بر قوانین ایالات متحده غلبه کنند.”
تصمیم DPA مستقیماً به گزارشهای شفافیت متا اشاره میکند، جایی که درخواستهای دولت برای دادهها را ثبت میکند – که میگوید نشان میدهد «گروه متا به طور منظم درخواستهای دسترسی به دادهها را از مقامات مخفی ایالات متحده دریافت میکند» و همچنین تصریح میکند «درخواستهای دسترسی به دادهها همچنین مربوط به کاربرانی است که از آنها میآیند.
علاوه بر اطلاعات اولیه مشترکین، میگوید درخواستها میتوانند سوابق مربوط به فعالیت حساب و محتویات ذخیرهشده – مانند پیامها، عکسها، ویدیوها، ورودیهای خط زمانی و اطلاعات مکان را درخواست کنند.
