Do takich wniosków doszli badacze z dwóch uniwersytetów w Belgii. Z ich analizy wynika, że Facebook „śledzi” nie tylko zalogowanych użytkowników, ale też tych, którzy są niezalogowani lub w ogóle nie mają w nim konta. Sugerują, że w ten sposób Facebook narusza unijne przepisy. Amerykańska firma oburza się na wnioski Belgów i twierdzi, że są nieprawdziwe.

Badanie zostało przeprowadzone na zlecenie Belgijskiej Komisji Prywatności. To niezależny organ pod patronatem niższej izby belgijskiego parlamentu. Po przeanalizowaniu regulaminu firmy oraz praktycznym sprawdzeniu zakresu „śledzenia” autorzy sugerują, że Facebook narusza unijne przepisy.

Ciasteczka

Samo śledzenie, czyli zbieranie przez serwisy internetowe informacji na temat użytkowników, ich przeglądarek internetowych i zachowań na stronie, nie jest niczym nowym. Właściwie każdy serwis internetowy ma w tej chwili możliwość sprawdzenia, ile czasu na nim spędziliśmy i które jego strony cieszą się popularnością. Problem zaczyna się w momencie, kiedy wielkie firmy, jak Google czy Facebook, zaczynają śledzić użytkownika również wtedy, gdy opuści on ich strony.

Unijne prawo przewiduje, że serwisy internetowe mogą śledzić użytkownika tylko wtedy, gdy ten wyrazi na to zgodę. Z drugiej strony jednak – bez śledzących użytkownika niewielkich plików nazywanych ciasteczkami strony internetowe mogą nie działać prawidłowo. Stąd gdy odwiedzimy nową stronę, wyskakuje komunikat, że strona używa plików cookies (ciasteczek). Serwis internetowy zapisuje je na urządzeniu użytkownika końcowego. Dzięki nim właściciel serwisu może poznać preferencje użytkownika, co skutkuje np. personalizacją stron internetowych czy reklam pod konkretną osobę.

Na radarze Facebooka

Wracając do Facebooka. Według autorów raportu Facebook śledzi nie tylko zalogowanych użytkowników, ale też tych, którzy z serwisu się wylogowali. Co jeszcze bardziej niepokojące, nie trzeba być użytkownikiem Facebooka, by być śledzonym. Wystarczy np. wejść na stronę jakiegoś wydarzenia na Facebooku, niewymagającą logowania, a użytkownik wpada w sieć. Na tych zaś, którzy na stronę Facebooka nigdy nie weszli, też znalazł się sposób. Jak wynika z badania, śledzenie umożliwiają wtyczki społecznościowe, głównie „Lubię to”, które są umieszczone na 13 mln stron niezależnych podmiotów, w tym na stronach np. ministerstw. A użytkownik nie musi wcale klikać w tę wtyczkę – wystarczy, że wejdzie na stronę. Jeśli badacze mają rację, Facebook śledzi użytkowników bez ich zgody, co narusza unijne prawo.

Katarzyna Szymielewicz, prezeska Fundacji Panoptykon nie jest zaskoczona raportem. – To są znane praktyki. Belgijscy badacze potwierdzają to, co wiadomo od dawna, że Facebook śledzi użytkowników i to nie tylko swoich. Operuje poza ich świadomością – mówi w rozmowie z „Wyborczą”.

– To tylko potwierdza obraz korporacji, która dość brutalnie komercjalizuje dane użytkowników, a przepisów nie przestrzega, bo ją na to stać – dodaje Katarzyna Szymielewicz.

Ciasteczka można łatwo usunąć na kilka sposobów. Możemy zaznaczyć odpowiednią opcję w przeglądarce, zainstalować darmowy program blokujący skrypty śledzące (np. Ghostery) lub zainstalować wtyczkę, która po zamknięciu przez użytkownika przeglądarki automatycznie wyczyści „ciasteczka”. Wówczas za każdym razem, wchodząc na Facebooka, bylibyśmy „nowymi” użytkownikami. Jednak przy ogromnej skali danych, które zbierają Facebook i inne serwisy, będzie to dla niego nieodczuwalne, bo większość użytkowników nie zaprząta sobie tym głowy. Najgorsze jest to, że obywatel UE traci kontrolę nad tymi danymi i nie wie, co Facebook z nimi robi. Po serii raportów ujawnionych przez Edwarda Snowdena jasne jest, że akurat zbieranie danych na potrzeby reklamy jest najmniejszym zmartwieniem użytkownika.

Facebook odpowiedział na raport Belgów. Jego zdaniem jak cytuje BBC, „wyniki raportu są niedokładne”. – Autorzy nie skontaktowali się z nami, nie starali się wyjaśnić założeń swojego badania, nie poprosili nas o komentarz – pisze firma, dodając, że jest gotowa do współpracy, gdyby autorzy chcieli zaktualizować swoją pracę.

Facebook stwierdził też, że jego europejski oddział odpowiada przed irlandzkim komisarzem ds. ochrony danych. Firma dodaje, że zlecone przez ten organ audyty ws. ochrony danych osobowych nie wykazały uchybień.

Katarzyna Szymielewicz ma zastrzeżenia co do irlandzkiego urzędu. – Nie podejmuje formalnych kroków, raczej stara się spory z Facebookiem załatwić polubownie. Jego działania dążą raczej do samoregulacji niż regulacji – mówi. Jej zdaniem firmie takiej jak Facebook prośby nie wystarczą. – Potrzebne są środki twardsze niż rozmowa – mówi.

Przepychanki z Unią

To nie pierwsza i zapewne nie ostatnia przepychanka między amerykańskimi firmami a europejskimi instytucjami. – Powinieneś rozważyć zamknięcie konta na Facebooku, jeśli je posiadasz – tak Bernhard Schima, prawnik powołany przez KE, odniósł się do faktycznej ochrony danych osobowych Europejczyków. To trochę inna sprawa niż śledzenie, bo dotyczy transferu danych do zewnętrznych państw, w praktyce głównie do USA. Teoretycznie ochronę danych zapewnia unijna dyrektywa „Safe Harbour” z 1995 r., która reguluje zasady przekazywania danych mieszkańców UE do państw trzecich. Amerykanie mają inne przepisy, dlatego dyrektywa powstawała we współpracy z amerykańskim Departamentem Handlu, by jak najlepiej określić wspólne zasady. Jednak okazuje się, że te przepisy są nieszczelne i nie zapewniają ochrony.

To pokłosie toczącej się właśnie sprawy przed Europejskim Trybunałem Sprawiedliwości. Przed jego oblicze pociągnął Facebooka Max Schrems, austriacki aktywista, który chce zmusić amerykańską firmę do respektowania unijnych przepisów. Wyrok zapadnie pod koniec czerwca. – Trudno przewidzieć, jaki będzie. Ja chciałabym usłyszeć, że Schrems wygra. Ale nie założyłabym się o duże pieniądze. To wielka polityka, istnieje duże ryzyko wywierania nacisków – kwituje Katarzyna Szymielewicz.

Krzysztof Majdan, Arkadiusz Przybysz / wyborcza.biz