Πρόσβαση και αποθήκευση πληροφοριών σε τερματικό εξοπλισμό χρήστη: Cookies, Device fingerprinting, Smart devices Γεωργία Παναγοπούλου, Μηχανικός, MSc., Ειδική Επιστήμων ΑΠΔΠΧ, Ευφροσύνη Σιουγλέ, Πληροφορικός, MSc., Ειδική Επιστήμων ΑΠΔΠΧ

Πρόσβαση και αποθήκευση πληροφοριών σε τερματικό εξοπλισμό χρήστη Νομικό πλαίσιο Άρθρο 5 της Οδηγίας 2002/58/ΕΚ, όπως τροποποιήθηκε με την Οδηγία 2009/136/ΕΚ, για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες (Αιτιολογικές σκέψεις 24, 25) Άρθρο 4 παρ. 5 του ν.3471/2006 Η αποθήκευση πληροφοριών ή η απόκτηση πρόσβασης σε ήδη αποθηκευμένες πληροφορίες στον τερματικό εξοπλισμό συνδρομητή ή χρήστη επιτρέπεται μόνο με συγκατάθεση και ενημέρωσή τ ου (άρθρο 11 του ν. 2472/1997). Συγκατάθεση: μέσω κατάλληλων ρυθμίσεων στο φυλλομετρητή ιστού ή μέσω άλλης εφαρμογής. Εξαίρεση A: απαραίτητο για διενέργεια της διαβίβασης μίας επικοινωνίας μέσω δικτύου ηλεκτρονικών επικοινωνιών Εξαίρεση B: απαραίτητο για παροχή υπηρεσίας της κοινωνίας της πληροφορίας, την οποία έχει ζητήσει ρητά ο χρήστης ή ο συνδρομητής.

Πρόσβαση και αποθήκευση πληροφοριών σε τερματικό εξοπλισμό χρήστη Πρακτική εφαρμογή 1.Cookies 2.Device Fingerprinting 3.Smart Devices Applications (Εφαρμογές Έξυπνων Συσκευών)

Cookies: Ορισμός, Κατηγορίες « Cookies » : Μικρά αρχεία με πληροφορίες που μια ιστοσελίδα αποθηκεύει στον υπολογιστή ενός χρήστη. Ανακτά τις εν λόγω πληροφορίες και προσφέρει στο χρήστη σχετικές με αυτές υπηρεσίες. «Προσωρινά (session) cookies»: απαλείφονται αυτομάτως όταν ο χρήστης κλείσει τον φυλλομετρητή. «Έμμονα (persistent) cookies»: παραμένουν αποθηκευμένα στον τερματικό εξοπλισμό του χρήστη μέχρι τη συμπλήρωση του προκαθορισμένου χρόνου ισχύος τους (λεπτά της ώρας, ημέρες ή έτη). «Cookies πρώτου μέρους (first party) »: εγκαθίσταται από τον υπεύθυνο επεξεργασίας (ή τον εκτελούντα) ο οποίος χειρίζεται τον δικτυακό τόπο που επισκέπτεται ο χρήστης «Cookies τρίτου μέρους (third party)»: εγκαθίστανται από υπεύθυνο επεξεργασίας που δεν συμπίπτει με αυτόν που χειρίζεται τον δικτυακό τόπο που επισκέπτεται ο χρήστης την τρέχουσα στιγμή.

Απαίτηση συγκατάθεσης για cookies Κατά την εφαρμογή της Εξαίρεσης B, είναι σημαντικό να εξετάζεται τι είναι απολύτως αναγκαίο από τη σκοπιά του χρήστη, όχι του παρόχου υπηρεσιών.Εξαίρεσης B Αν ένα cookie χρησιμοποιείται για πολλαπλούς σκοπούς, επιτρέπεται να τύχει απαλλαγής από την υποχρέωση συγκατάθεσης κατόπιν ενημέρωσης μόνον εφόσον ο κάθε διακριτός σκοπός μπορεί να υπαχθεί ατομικώς στην απαλλαγή αυτή. Ο σκοπός του cookie θα πρέπει σε κάθε περίπτωση να αποτελεί τη βάση αξιολόγησης κατά πόσον μπορεί να εφαρμοσθεί με επιτυχία η απαλλαγή ή, αντ’ αυτής, κάποιο τεχνικό γνώρισμα του cookie.

Λήψη συγκατάθεσης για cookies Μέσω της ιστοσελίδας του παρόχου υπηρεσίας του διαδικτύου με κατάλληλους μηχανισμούς (π.χ. με αναδυόμενα παράθυρα). Μέσω κατάλληλων ρυθμίσεων στο φυλλομετρητή ιστού ή μέσω άλλης εφαρμογής – Η ρύθμιση αυτή ισχύει μόνο εφόσον ζητείται η συγκατάθεση του χρήστη για κάθε cookie – Δεν νοείται ως συγκατάθεση η εκ των προτέρων αποδοχή της λήψης cookies μέσω προεπιλεγμένων ρυθμίσεων του φυλλομετρητή ιστού. Παροχή δυνατότητας ανάκλησης της συγκατάθεσης με τον ίδιο τρόπο της δήλωσης.

Σχετικά κείμενα της ΟΕ Άρθρου 29 Γνώμη 2/2010 σχετικά με την επιγραμμική συμπεριφορική διαφήμιση. Γνώμη 16/2011 σχετικά με τη σύσταση βέλτιστων πρακτικών ΕΑSA/IAB για την επιγραμμική συμπεριφορική διαφήμιση. Γνώμη 04/2012 σχετικά με την απαλλαγή που ισχύει σε σχέση με τη συναίνεση για τα cookies. Έγγραφο εργασίας 02/2013 με κατευθύνσεις για τη λήψη συγκατάθεσης για τα cookies.

Υλοποίηση απαιτήσεων – συμμόρφωση Ευρώπη, Ελλάδα Δράση: Συμμετοχή της Ελλάδας σε κεντρικά οργανωμένο cookie sweep, ταυτόχρονα, σε 8 Ευρωπαϊκές χώρες. Σκοπός: Η διαπίστωση του υφιστάμενου τρόπου υλοποίησης των απαιτήσεων για τη χρήση cookies. Τομείς: Ηλεκτρονικό εμπόριο, ηλεκτρονικός τύπος, δημόσιες υπηρεσίες. Αριθμός: 31 διαδικτυακοί τόποι. Τρόπος επιλογής: Βάσει επισκεψιμότητας. Αποτελέσματα: Αναμένεται άμεσα η δημοσιοποίησή τους  Η Ελληνική Αρχή θα επεκτείνει τους ελέγχους εντός του 2015 και σε άλλους διαδικτυακούς τόπους, καθώς και σε άλλα ζητήματα προστασίας προσωπικών δεδομένων.

Device Fingerprint, Device Fingerprinting Ορισμός, κατηγορίες Device Fingerprint (Ψηφιακό «αποτύπωμα»): Πρόκειται για ένα σύνολο πληροφοριών που συλλέγονται για μια συσκευή (device) ή στιγμιότυπο εφαρμογής (application instance) και μπορούν να χρησιμοποιηθούν για τον προσδιορισμό/αναγνώριση/ταυτοποίηση της συσκευής ή του στιγμιότυπου της εφαρμογής. Device Fingerprinting : πρόκειται για τη διαδικασία της (με αρκετά μεγάλη πιθανότητα) μοναδικής αναγνώρισης/ταυτοποίησης – μιας συσκευής ή ενός στιγμιότυπου εφαρμογής – με χρήση πολλαπλών συνόλων πληροφοριών (ψηφιακών αποτυπωμάτων – fingerprints) – που συλλέγονται κατά την σύνδεση στο διαδίκτυο. Διακρίνεται σε «παθητικό» (passive) και «ενεργό» (active) – Η περισσότερο ενεργή μέθοδος Device Fingerprinting περιλαμβάνει εγκατάσταση αρχείων στη συσκευή του χρήστη.

Όλα «αφήνουν» αποτύπωμα…

Πληροφορίες που χρησιμοποιούνται για Device Fingerprinting Μπορούν να χρησιμοποιηθούν πληροφορίες προερχόμενες από τη διαμόρφωση της συσκευής ή τη χρήση των πρωτοκόλλων δικτύων επικοινωνιών όπως: – Όνομα και έκδοση λειτουργικού συστήματος και φυλλομετρητή ιστού – Τύπος συσκευής – Εγκατεστημένες γλώσσες – Μέγεθος και ανάλυση οθόνης (screen size, screen resolution) – Εγκατεστημένες γραμματοσειρές – Εγκατεστημένο λογισμικό και πρόσθετες εφαρμογές (java, flash, Adobe, RealPlayer) – Πληροφορίες σχετικά με την ώρα/ρολόι (clock skew, clock error) – Αν είναι ενεργοποιημένα ή όχι τα cookies – Μέγεθος, στοιχεία και τύπος επικεφαλίδων ανταλλασσόμενων μηνυμάτων (http header information, user agent string, CSS information)

Μοναδικότητα «αποτυπώματος» Παρότι πολλές πληροφορίες είναι κοινές μεταξύ συσκευών και εφαρμογών, – πολλοί χρήστες χρησιμοποιούν την ίδια έκδοση φυλλομετρητή ιστού, Ο συνδυασμός ενός αριθμού μη μοναδικών στοιχείων μπορεί να οδηγήσει σε ένα μοναδικό αποτύπωμα, – ειδικά όταν συνδυάζεται με άλλα αναγνωστικά όπως η IP διεύθυνση. Η αύξηση του αριθμού των πληροφοριών που περιλαμβάνονται στο αποτύπωμα αυξάνει τη δυνατότητα μοναδικής ταυτοποίησης.

panopticlick.eff.org Σύμφωνα με τον παραπάνω διαδικτυακό τόπο, επαρκούν για τη δημιουργία ενός μοναδικού αποτυπώματος οι εξής πληροφορίες: – έκδοση του φυλλομετρητή, – διαστάσεις της οθόνης, – κατάλογος των πρόσθετων εφαρμογών (plugins) και – κατάλογος των εγκατεστημένων γραμματοσειρών. Το 94.2% του μισού εκατομμυρίου χρηστών, – που έχουν java ή flash στις συσκευές τους – και επισκέφτηκαν τον παραπάνω διαδικτυακό τόπο – μπορούν να αναγνωριστούν μοναδικά χωρίς τη χρήση cookies.

Παρακολούθηση χρηστών Το μοναδικό αυτό αποτύπωμα - fingerprint παρέχει τη δυνατότητα διάκρισης της μιας συσκευής από την άλλη. Mπορεί να χρησιμοποιηθεί για την παρακολούθηση της συμπεριφοράς του κατόχου της στο διαδίκτυο, καθώς ο χρήστης συσχετίζεται και αναγνωρίζεται μέσω του αποτυπώματος της συσκευής ή της εφαρμογής που χρησιμοποιεί.

Κίνδυνοι Οι πληροφορίες των αποτυπωμάτων είναι διαθέσιμες όχι μόνο στους ιδιοκτήτες των διαδικτυακών τόπων – αλλά και σε πολλούς τρίτους που συνεισφέρουν στο περιεχόμενα των διαδικτυακών σελίδων. Αντίθετα με τα cookies, το Device Fingerprinting μπορεί να λειτουργεί εν αγνοία του χρήστη. Δεν υπάρχει εύκολος τρόπος οι χρήστες να εμποδίσουν την δημιουργία των αποτυπωμάτων. Διαχρονική παρακολούθηση των χρηστών, δημιουργία μορφοτύπων συμπεριφοράς, στοχευμένη διαφήμιση με ανάλυση συμπεριφοράς.

Γνώμη 9/2014 της ΟΕ του άρθρου 29 Βασικό μήνυμα της γνώμης: – στην περίπτωση που το αποτύπωμα δημιουργείται μέσω της αποθήκευσης ή της πρόσβασης σε πληροφορίες ήδη αποθηκευμένες στον τερματικό εξοπλισμό του χρήστη, – έχει εφαρμογή το Άρθρο 5 (3) της ePrivacy Directive – και απαιτείται η προηγούμενη συγκατάθεση του χρήστη (εκτός των απαλλαγών). Απαίτηση προηγούμενης συγκατάθεσης: μέτρηση επισκεψιμότητας διαδικτυακών τόπων, στοχευμένη διαφήμιση, έλεγχος πρόσβασης χρηστών.

Εφαρμογές έξυπνων συσκευών Χαρακτηριστικά Οργανώνουν τις πληροφορίες κατάλληλα για τα ειδικά χαρακτηριστικά της συσκευής (υπολογιστές-ταμπλέτες, έξυπνα κινητά, τηλεοράσεις,...) Αλληλεπιδρούν με το υλικό και το λογισμικό των συσκευών Εξυπηρετούν διάφορους σκοπούς  1600 νέες εφαρμογές/ημέρα στα καταστήματα εφαρμογών (app stores) Μέσω διεπαφών προγραμματισμού εφαρμογών (APIs) πρόσβαση σε: Αισθητήρες που μπορεί να φέρει η συσκευή Δεδομένα επαφής Αποθηκευμένες φωτογραφίες Ταυτότητα του τηλεφώνου Αναγνωριστικά συσκευής Πληροφορίες για άλλες εγκατεστημένες εφαρμογές Ηλεκτρονικό ταχυδρομείο Βιομετρικά χαρακτηριστικά...

Εφαρμογές έξυπνων συσκευών Εμπλεκόμενα μέρη Σχεδιαστές εφαρμογών Κατασκευαστές του λειτουργικού συστήματος της συσκευής Τα ηλεκτρονικά καταστήματα εφαρμογών Τρίτοι που εμπλέκονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα

Εφαρμογές έξυπνων συσκευών Ενημέρωση - Συγκατάθεση Ενημέρωση – Περιεχόμενο: υπεύθυνος επεξεργασίας, κατηγορίες δεδομένων, σκοπός – Χρόνος: ακριβώς πριν από τη συλλογή – Μορφή: απευθείας στην οθόνη, ευχερώς προσπελάσιμη και ορατή Συγκατάθεση – Πριν η εφαρμογή αρχίζει να ανακτά πληροφορίες από τη συσκευή, δηλ. πριν από την εγκατάσταση – Ελεύθερη, ρητή, εν πλήρη επιγνώσει – Ειδική για κάθε κατηγορία δεδομένων Τοποθεσία, επαφές, μοναδικό αναγνωριστικό συσκευής, ταυτότητα προσώπου, ταυτότητα τηλεφώνου, πιστωτική κάρτα και δεδομένα πληρωμών, ιστορικό περιήγησης, ηλεκτρονικό ταχυδρομείο, αναγνωριστικά κοινωνικών δικτύων, βιομετρικά χαρακτηριστικά...  Να επιτρέπεται η ανάκληση. Απεγκατάσταση εφαρμογών ή διαγραφή δεδομένων όταν απαιτείται.

Σχετικά κείμενα της ΟΕ Άρθρου 29 Γνώμη 2/2013 για τις εφαρμογές των έξυπνων συσκευών Γνώμη 8/2014 για τις πρόσφατες εξελίξεις στο Διαδίκτυο των Πραγμάτων

Γενικό Συμπέρασμα Η τήρηση του ισχύοντος νομικού πλαισίου για την πρόσβαση και αποθήκευση πληροφοριών σε τερματικό εξοπλισμό χρήστη απαιτεί εξειδίκευση για κάθε νέα τεχνολογία/τεχνική/εργαλείο Η υποχρέωση λήψης ελεύθερης, ρητής, εν πλήρει επιγνώσει συγκατάθεσης θέτει προκλήσεις σε πρακτικό, επιχειρηματικό, τεχνολογικό επίπεδο

Ο ρόλος της ΑΠΔΠΧ Η ΑΠΔΠΧ, σχετικά με το ζήτημα Συνεργάζεται με τις αντίστοιχες ευρωπαϊκές Αρχές συμμετέχοντας ενεργά στην Ομάδα Εργασίας του άρθρου 29 Επιδιώκει τη συμμετοχή σε δράσεις που οργανώνονται σε ευρωπαϊκό επίπεδο Παρακολουθεί τις τεχνολογικές εξελίξεις Επιδιώκει τη διαβούλευση με τα εμπλεκόμενα μέρη Ασκεί τις ελεγκτικές και κυρωτικές της αρμοδιότητες

Σας ευχαριστούμε για την προσοχή σας.