استفاده از ابزارهای ردیابی متا که قوانین اتحادیه اروپا در مورد انتقال داده را نقض می کند

به گزارش اپ خونه، مقام حفاظت از داده‌های اتریش دریافته است که استفاده از فناوری‌های ردیابی متا قانون حفاظت از داده‌های اتحادیه اروپا را نقض می‌کند، زیرا داده‌های شخصی به ایالات متحده منتقل شده است، جایی که اطلاعات در معرض خطر نظارت دولت است.

این یافته از مجموعه ای از شکایات ارائه شده توسط گروه اروپایی حقوق حریم خصوصی noyb در آگوست ۲۰۲۰ ناشی می شود که همچنین استفاده وب سایت ها از Google Analytics را برای همان مشکل صادرات داده هدف قرار داده است.

تعدادی از DPAهای اتحادیه اروپا از آن زمان استفاده از Google Analytics را غیرقانونی تشخیص داده اند – و برخی (مانند CNIL فرانسه) هشدارهایی را علیه استفاده از ابزار تجزیه و تحلیل بدون تدابیر اضافی صادر کرده اند.

اما این اولین یافته ای است که فناوری ردیابی فیس بوک مقررات عمومی حفاظت از داده های اتحادیه اروپا (GDPR) را نقض کرده است.

همه تصمیمات پس از حکم دادگاه عالی اتحادیه اروپا در ژوئیه ۲۰۲۰ است که توافقنامه سطح بالای انتقال داده سپر حریم خصوصی اتحادیه اروپا و ایالات متحده را پس از اینکه قضات یک بار دیگر درگیری مرگبار بین قوانین نظارت ایالات متحده و حقوق حریم خصوصی اتحادیه اروپا را شناسایی کردند، لغو کرد .

(یک یافته مشابه، در سال ۲۰۱۵ ، سلف Privacy Shield: Safe Harbor را باطل کرد.)

noyb آخرین یافته‌های مربوط به نقض انتقال داده توسط یک DPA اتحادیه اروپا را « پیش‌گیر » می‌داند – با این استدلال که تصمیم مقامات اتریشی باید سیگنالی را به سایت‌های دیگر ارسال کند که استفاده از ردیاب‌های متا توصیه نمی‌شود .(شکایت مربوط به Login فیس‌بوک و متا پیکسل است).

این تصمیم مربوط به استفاده از ابزارهای ردیابی متا توسط یک وب سایت خبری محلی (نام آن از تصمیم حذف شده است) از اوت ۲۰۲۰ – که سایت مورد نظر مدت کوتاهی پس از ثبت شکایت استفاده از آن را متوقف کرد.

با این حال، این تصمیم می‌تواند پیامدهای بسیار گسترده‌تری برای استفاده از فناوری متا با توجه به اینکه غول تبلیغاتی چقدر داده‌های شخصی را پردازش می‌کند، داشته باشد.

بنابراین، در حالی که یافته‌های نقض تنها به یکی از سایت‌هایی مربوط می‌شود که در این دسته از شکایات استراتژیک مورد هدف قرار گرفته است، پیامدهایی برای امتیازات بیشتر و – به طور بالقوه – برای هر سایت اتحادیه اروپا که هنوز از ابزارهای ردیابی متا استفاده می‌کند، با توجه به عدم قطعیت حقوقی مداوم در مورد داده‌های اتحادیه اروپا و ایالات متحده وجود دارد.

فیس‌بوک وانمود کرده است که مشتریان تجاری‌اش می‌توانند به استفاده از فناوری خود ادامه دهند، علی‌رغم اینکه دو حکم دادگاه دادگستری خلاف این را می‌گویند.

مکس شرمز، رئیس noyb.eu در بیانیه ای گفت: اکنون اولین تنظیم کننده به یک مشتری گفت که استفاده از فناوری ردیابی فیس بوک غیرقانونی است.

بسیاری از وب سایت ها از فناوری ردیابی فیس بوک برای ردیابی کاربران و نمایش تبلیغات شخصی استفاده می کنند.

هنگامی که وب‌سایت‌ها از این فناوری استفاده می‌کنند، تمام داده‌های کاربر را به شرکت چندملیتی ایالات متحده و به بعد به NSA [آژانس امنیت ملی ایالات متحده] ارسال می‌کنند.

در حالی که کمیسیون اروپا همچنان در نظر دارد سومین قرارداد انتقال داده اتحادیه اروپا و ایالات متحده را منتشر کند، این واقعیت که قوانین ایالات متحده هنوز نظارت انبوه را مجاز می‌داند به این معنی است که این موضوع به این زودی حل نخواهد شد.

متا به نوبه خود در واکنش به این خبر تلاش کرده است اهمیت تصمیم DPA اتریش را کم اهمیت جلوه دهد.

سخنگوی شرکت در بیانیه ای ادعا کرد که این یافته “بر اساس شرایط تاریخی” است – و پیشنهاد کرد “بر نحوه استفاده مشاغل از محصولات ما تأثیری ندارد”.

در اینجا بیانیه آن به طور کامل آمده است:

این تصمیم بر اساس شرایط تاریخی است و فقط به یک شرکت مربوط می‌شود که در ارتباط با استفاده از فیس‌بوک پیکسل و لاگین فیس‌بوک در یک روز در سال ۲۰۲۰ است. اگرچه ما با بسیاری از جنبه‌های تصمیم موافق نیستیم، اما تأثیری بر نحوه استفاده کسب‌وکارها ندارد. محصولات ما. این مورد ناشی از تضاد بین قوانین اتحادیه اروپا و ایالات متحده است که در حال حل و فصل است.

در تصمیم ۴۶ صفحه ای DPA اتریش دلایل خود را برای یافتن استفاده سایت محلی از ابزارهای ردیابی متا که الزامات GDPR در مورد انتقال داده را نقض می کند، بیان می کند.

این مقررات مستلزم آن است که داده‌های کاربران اتحادیه اروپا در صورت انتقال به خارج از بلوک، به کشورهای به اصطلاح ثالث (مانند ایالات متحده) به اندازه کافی محافظت شوند.

با این حال، هیچ یک از حمایت‌های احتمالی برای چنین صادرات داده‌ای (مانند تصمیم کفایت) در این مورد اعمال نمی‌شود – از این رو تشخیص داد که ماده ۴۴ GDPR (در مورد انتقال داده‌ها) نقض شده است.

یکی دیگر از مؤلفه‌های کلیدی تصمیم این است که داده‌های جمع‌آوری‌شده توسط فناوری‌های ردیابی متا – که شامل تعداد زیادی از نقاط داده، از جمله آدرس IP، شناسه کاربر، سیستم‌عامل تلفن همراه و داده‌های مرورگر، وضوح صفحه نمایش، داده‌های کوکی فیس‌بوک و خیلی چیزهای دیگر است – به‌عنوان  داده شخصی است.

DPA توضیح می دهد:

«در نتیجه اجرای Facebook Business Tools، کوکی‌هایی در [دستگاه] انتهایی شاکی تنظیم شد… که حاوی یک مقدار منحصربه‌فرد و تصادفی تولید شده است… این امکان را به فرد می‌دهد تا دستگاه پایانه شاکی را فردی کند و رفتار موج‌سواری شاکی را ثبت کند. به منظور نمایش تبلیغات شخصی مناسب”.

صرف نظر از این، حداقل متا ایرلند این امکان را داشت که داده های دریافتی خود را به دلیل اجرای ابزارهای تجاری فیس بوک در حساب فیس بوک [شاکی] پیوند دهد.

از شرایط استفاده از ابزارهای تجاری فیس بوک مشخص است که از ابزارهای تجاری فیس بوک، از جمله، برای تبادل اطلاعات با فیس بوک استفاده می شود.

برخی از تغییرات متا در شرایط انتقال داده‌ها و قراردادهای کوتاه مدت پس از ثبت شکایات noyb، پیش از این اقدام بود – بنابراین برای تأثیرگذاری بر نتیجه خیلی دیر انجام شد.

با این حال، noyb نشان می‌دهد که هرگونه تغییر در اصطلاحات و/یا اقدامات تکمیلی بعید است که تغییری ایجاد کند، با توجه به اینکه داده‌های شخصی در دسترس متا باقی می‌مانند (و بنابراین می‌توانند به آژانس‌های امنیتی ایالات متحده منتقل شوند) – بنابراین، برای مثال، گزینه اجرای «صفر» رمزگذاری دانش، یعنی به عنوان یک اقدام تکمیلی برای افزایش سطح حفاظت از داده‌ها، برای یک غول فناوری تبلیغاتی که مدل کسب‌وکارش وابسته به ردیابی و پروفایل کاربران وب با پردازش داده‌هایشان است، در دسترس نیست.

شرمز وقتی از تغییرات متا در شرایط انتقال داده‌های خود پس از شکایت‌های noyb پرسیده شد،  گفت: “DPA قبلاً در تصمیم Google دریافته است که چنین عناصری نمی‌توانند بر قوانین ایالات متحده غلبه کنند.”

تصمیم DPA مستقیماً به گزارش‌های شفافیت متا اشاره می‌کند، جایی که درخواست‌های دولت برای داده‌ها را ثبت می‌کند – که می‌گوید نشان می‌دهد «گروه متا به طور منظم درخواست‌های دسترسی به داده‌ها را از مقامات مخفی ایالات متحده دریافت می‌کند» و همچنین تصریح می‌کند «درخواست‌های دسترسی به داده‌ها همچنین مربوط به کاربرانی است که از آن‌ها می‌آیند.

علاوه بر اطلاعات اولیه مشترکین، می‌گوید درخواست‌ها می‌توانند سوابق مربوط به فعالیت حساب و محتویات ذخیره‌شده – مانند پیام‌ها، عکس‌ها، ویدیوها، ورودی‌های خط زمانی و اطلاعات مکان را درخواست کنند.