Popis problému, ktorý vznikol
Keď sa registrujete napríklad na odber noviniek a odovzdávate o sebe svoje osobné údaje vyplnením elektronického formulára alebo robíte online rezervácie pričom ich súčasťou sú opäť vaše osobné údaje (meno, priezvisko, e-mail a pod.), určite očakávate, že údaje budú odoslané a spracúvané až v momente, keď kliknete na tlačidlo “odoslať”. V skutočnosti to tak však vôbec nemusí byť. Práve toto zistili výskumníci z KU Leuven, Radboud University a University of Lausanne. Ide o závažné porušovanie, a to nielen pravidiel všeobecného nariadenia o ochrane osobných údajov.
Predmetom ich skúmania bolo 100 000 webových stránok z hľadiska neoprávneného získavania e-mailov a bezpečnostných hesiel. Tak napríklad e-mailové adresy používateľov sa ešte pred odoslaním formulára resp. kliknutím na tlačidlo “odoslať” alebo pred udelením súhlasu, prenášajú. Cieľom je, ako to už býva – sledovania správania používateľa, cielenie reklamy a analýzy.
Až 1844 webových stránok zhromažďovalo e-mailové adresy používateľov z EÚ bez akéhokoľvek ich súhlasu. Pričom samotný prevádzkovatelia webových stránok, ktorí boli na toto nezákonné konanie upozornení, nemali vôbec v úmysle údaje takýmto spôsobom získavať a využívať. Ich webové sídla však zahŕňali služby tretích strán, ktoré práve spôsobujú toto nelegitímne spracúvanie osobných údajov.
K odoslaniu údajov dochádza napríklad aj vtedy, keď návštevník stránky len klikne na odkazy alebo tlačidlá, ktoré však v žiadnom prípade nemožno považovať za tlačidlá súhlasu, či odoslania. Išlo napríklad o tlačidlá “Späť”, odkazy pre “Podmienky poskytovania služby” alebo “Zásady ochrany osobných údajov”.
Čo urobiť, aby ste sa neocitli v rovnakej situácii?
Takže predstavte si, že navštívite webovú stránku, na ktorej je elektronický formulár pre vloženie vášho mena, priezviska, e-mailu, hesla. Vyplníte prvý riadok, druhý riadok, vložíte svoj e-mail a potom sa zastavíte. Pred odoslaním sa ešte chcete predsa len presvedčiť, ako prevádzkovateľ internetovej stránky bude vaše osobné údaje spracúvať a kliknete na jeho “Zásady spracúvania osobných údajov”. Ich znenie však vaše pochybnosti len prehĺbi a bez odoslania vyplneného formuláru, radšej zo stránky odídete.
Pritom predpokladáte, že údaje ktoré ste vložili, ale neodoslali sa zatvorením stránky hneď vymažú. Svoj úmysel ste predsa nepotvrdili kliknutím na tlačidlo “odoslať”. Vaše očakávanie je pochopiteľné a rozumné. Zároveň to však môže byť omyl. Služba, ktorá beží na stránke už odoslala vaše osobné údaje tretej strane.
Ide o veľmi prekvapivé a znepokojujúce konanie, ktoré je v rozpore nie len s očakávaniami používateľov, ako dotknutých osôb, ale aj so všeobecným nariadením o ochrane údajov a smernicou o súkromí a elektronických komunikáciách.
Podrobné výsledky analýzy, ako aj snímky obrazoviek, videá a rôzne užitočné informácie a vysvetlenia nájdete na: https://homes.esat.kuleuven.be/~asenol/leaky-forms/
Preverte si, či aj vaša internetová stránka nevyužíva niektorý zo sledovacích nástrojov. V štúdii je napríklad uvádzaný aj Meta Pixel (Facebook).
Zdroj informácií:
SENOL, Asuman, Radboud UNIVERSITY, Mathias HUMBERT a Frederik ZUIDERVEEN BORGESIUS. Leaky Forms: A Study of Email and Password Exfiltration Before Form Submission [online]. 2022, 18 [cit. 2022-05-13]. Dostupné z: https://homes.esat.kuleuven.be/~asenol/leaky-forms/leaky-forms-usenix-sec22.pdf