Transcription

Witamy kolegów, będzie o rentgenie, czyli narzędziu do monitorowania i walki o własną prywatność w internecie. Cześć, dzisiaj opowiem wam o wtyczce rentgen, którą de facto tylko i wyłącznie działa we Firefoxie i nie mamy czasu żeby to było w innych przeglądarkach, ale szczegóły później, może na początek przedstawimy się. Cześć, jestem Kuba, jestem członkiem fundacji Internet Czas Działać razem z Arkiem, jestem programistą technologii webowych i bardzo skupiony jestem na prywatności dzięki Arkowi, ale to jest historia, której wam dzisiaj oszczędzę, w podcaście o tym opowiadamy długo, więc w każdym razie geneza naszej współpracy sięga daleko. I to dzisiaj też będzie wyglądać troszeczkę jak taki podcast, bo idziemy na takie różne eventy i później nie mamy czasu nagrywać odcinków podcastu, więc też wykorzystamy tę sytuację do tego, żeby to zrobić. Ja jestem frontem deweloperem i generalnie sobie dziubię w Javascriptie, nauczę się takich różnych dzikich rzeczach i razem z Kubą tworzymy właśnie fundację Internet Czas Działać, która właśnie walczy o prawo do prywatności, prawo do kontroli w sieci i różnego rodzaju takich rzeczy. Jakieś przykładów może na początek. Tak, to jest taka reklama, która zupełnie rozbiła jakiekolwiek wątpliwości odnośnie tego czy kuklisy, czy jakieś dane, adresy IP to są dane osobowe firma Deloitte, która zajmuje się śledzeniem, zrobiła nam taki mały prezent i uświadomiła użytkowników na temat tych śledzących rzeczy. Czy chcesz coś dodać więcej tutaj? Więc generalnie rzeczą, którą robimy i przede wszystkim na takim fundamentalnym poziomie jest dbanie o prywatność rozumianą jako kontrolę nad danymi, nad tym co się dzieje z naszymi danymi, dokąd one idą i w jakich celach są potem przetwarzane. Ojejku, sorki, mikroport niedostosowany do kształtu mojej czaszki. Więc robimy szkolenia między innymi dla prawników, dla programistów z tym jak są i jak działają kuklisy. W górę, czy ktoś z was ma to nieszczęście, że pracuje w technologiach webowych? Okej, widzę pięć smutnych osób. Więc dla reszty, no to opowiem wam w skrócie, no kuklisy są taką rzeczą, która została stworzona w dobrym celu, ale jak wszystko co jest stworzone w dobrym celu w internecie, w końcu reklamodawcy znajdują sposób na to, żeby używać to w niecnych celach. Chodzi o to, żeby HTTP, który jest protokołem pozbawionym stanu jako takiego. Ojejku, sorki. Chyba jednak na tym korzystam z mikrofonu wydalnego, tak. Więc, tak, mikroportowi podziękuję. Dzięki. Więc HTTP jest pozbawiony stanu jako takiego, ale możemy dodawać kuklisy, czyli takie drobne napisy, które są dodawane do każdego następnego zapytania, które przeglądarka będzie wysyłała do zapytania. No i reklamodawcy dają tam unikalne identyfikatory, żeby wiedzieć, że osoba, która wcześniej odwiedziła tę stronę, jest tą samą osobą, która odwiedzała tę stronę i na tej podstawie budować profil do kierowania i targetowania reklam. Potem weszło RODO i się wszyscy wystraszyli. Weszły te wszystkie takie różne rzeczy, jak szafki zgodne z RODO, a także okienka o zgody na kuklisy zgodne z RODO, które często były w ogóle niezgodne z prawem. Chyba masz jakąś myśl na to? Tak. I obecnie tysiąc podmiotów, różnych partnerów, Tak. Jak kiedyś chcieliście się przeklikać przez takie okienka, w cudzysłowie RODO o kuklisach, żeby faktycznie odmówić zgody, no to czasem trzeba wykonać tysiąc różnych kliknięć, żeby faktycznie tej zgody odmówić. I chciałbym, żebyście wiedzieli, że jeżeli ktoś pozyskuje w ten sposób zgodę, to ta zgoda jest nieważna. Bo RODO ma taką fajną cechę, że określa, jakie muszą być warunki zgody do przetwarzania danych osobowych, a kuklisy, adresy IP wedle różnego orzecznictwa europejskiego są traktowane jako dane osobowe. Zgoda musi być dobrowolna, to znaczy, że nie może być w żaden sposób wymuszona. Czyli nie może być tak, że jeżeli nie wyrazicie zgody na kuklis, to was przekierowuje z powrotem na google.com albo coś takiego. I nie może być wymuszona w takim znaczeniu, że wyrażenie zgody jest łatwiejsze niż odmowa. Czyli jeżeli przycisk do odmowy zgody jest mniej widoczny, albo trzeba dwa kliknięcia wykonać, żeby odmówić zgody zamiast jednego do wyrażenia zgody, to taka zgoda wyrażona w taki sposób, że jedno kliknięcie wystarczyło, a dwa były konieczne do odmówienia, jest nieważna. I przetwarzanie takich danych osobowych dalej na podstawie takiej zgody jest nieważne. Zgoda musi być świadoma, czyli musi być poinformowani, musi wiedzieć na co wyrażacie zgodę. Jeżeli informacja o tym na co wyrażacie zgodę i w jakim celu te dane będą przetwarzane jest ukryta, to nie można je uznać za świadomą, czyli znowu nie spełnia warunków zgody w Etlerodo i musi być aktywnie wyrażona. Czyli posiadanie włączonej obsługi kuklis w przeglądarce nie stanowi ważnej zgody w Etlerodo, wbrew temu co wiele okienek wam próbuje mówić, że skoro przecież macie włączoną obsługę kuklisów, no to wyrażacie zgodę, więc po co ją wyrażać na każdej stronie osobno. I takie mieliśmy poczucie, że te okienka, które wyskoczyły po tym, jak Rodo weszło w życie, raczej robią więcej złego niż dobrego, więc jakby pewnego wieczoru przeczytałem sobie Rodo, może nie całe, ale te kluczowe fragmenty i stwierdziłem, że coś tu nie gra i że to faktycznie nie jest zgodne z Rodo i ktoś tu chyba coś namieszał. Oczywiście to była wina firm reklamowych, które zasiały zamęt w tej całej świadomości na temat tego, co skrypty śledzące robią i jak zgody powinny być zbierane. I zrobiła się taka niechęć trochę, że przez to Rodo mamy te okienka ze zgodami. Ale prawda jest taka, że jeżeli czyjaś strona nie ma śledzących kuklisów i ma tylko i wyłącznie kuklisy niezbędne do działania strony, czyli na przykład do obsługiwania, nie trzeba wyświetlać informacji, nie trzeba zbierać zgód ani nic takiego. Nie trzeba mieć żadnych pop-upów w ogóle na stronę kuklisów. Tak, pop-upów też nie trzeba mieć, bo można w inny sposób użytkownika poinformować, są inne sposoby na zbieranie zgód. Tutaj IAB, Stowarzyszenie Reklamodawców Europejskich, do którego należy Google między innymi, zrobiły różne takie machlojki, że administratorzy stron myślą, że takie rzeczy są potrzebne. Więc spróbowaliśmy naszych sił i wykonaliśmy kilka zgłoszeń do Urzędu Ochrony Danych Osobowych. Stron, które były niewłaściwie napisane, przeanalizowaliśmy ruch sieciowy za pomocą Firefoxowych network toolsów i wysłaliśmy kilka skarg. I w ten sposób skarga po skardze, bo wysłaliśmy ich wiele, zaczęliśmy uczyć się jak wygląda ta procedura. Żadne z nas nie jest prawnikami, teraz już jesteśmy fundacją, wtedy byliśmy tylko taką po prostu nieformalną grupą. Teraz jesteśmy fundacją z dwoma cudownymi prawniczkami, które pomagają nam w tym aspekcie, żeby każda skarga i każdy dokument był odpowiednio przygotowany. Wtedy działaliśmy trochę po omacku. Wysyłaliśmy maile do stron, skargi do Urzędu Ochrony Danych Osobowych i sprawdzaliśmy, na przykład jak urząd nam odpowiadał, hej, no macie błąd formalny, brakuje tego i tego, no to aktualizowaliśmy nasze procedury, tak żeby to działało jak najlepiej. Analiza strony zajmowała długo, bo trzeba było przejrzeć wszystko bardzo starannie, ale ja o tym, jak to sobie udoskonalaliśmy, nie znacie tytułu prezentacji, więc to już pewnego rodzaju spoiler, ale zanim do następu opowiem wam o kilku przygodach, które mieliśmy w trakcie tych zgłoszeń, bo żeby prawidłowo obsługiwać skargi, musieliśmy na przykład jechać do Urzędu Ochrony Danych Osobowych, do Warszawy, żeby mieć wgląd w akta, żeby prawidłowo móc wysłać ponaglenie do Urzędu Ochrony Danych Osobowych czy skargę do Wojewódzkiego Sądu Administracyjnego, więc były różne przygody, jak na przykład zgłaszałem jakąś stronę z memami i dostawałem na piśmie odpowiedź, w kopercie, przyszła do mnie odpowiedź na papierze firmowym WIOHA.pl, więc albo na przykład w aktach w Urzędzie Ochrony Danych Osobowych nagle znalazłem, przeglądając akta, bo to jest w ogóle tak, jak przeglądacie akta, przychodzi taka pani i patrzy na to, patrzy na was cały czas i ani nie mrugnie. Jakby była taka, która mruga, to musieli przynieść drugą, która mruga w innej fazie, żeby cały czas patrzeć, co tam robisz, żeby nie wykradacie tych dokumentów. No i na przykład w dokumentach znalazłem własne zdjęcie, wydrukowany mi profil w Linkedinie był, było napisane, że Kuba Orlik zajmuje się analizą prywatności i w ogóle, więc on za pomocą tej skargi robił swoją reklamę i ta skarga jest nieważna. No od razu mówię, nie ma takiego zapisu w RODO, że jak się zajmuje prywatnością, to prawa do prywatności nie przysługują, ale mimo wszystko było to ciekawe zaskoczenie. Inna sytuacja, kiedy zgłaszaliśmy stronę WKRUK, to napisaliśmy maila na podany adres w Polityce Prywatności i odpowiedź przyszła bardzo szybko od demona mailowego, że takiego maila nie ma. Więc też wtedy skarga poszła już bezpośrednio do urzędu, no bo jakby droga łagodna nie działa. Najpierw trzeba wysłać maila, jest miesiąc na odpowiedź, administrator może poprosić o dwa kolejne miesiące. Jeżeli nie przyjdzie odpowiedź wtedy, to przysługuje nam prawo do złożenia skargi. Co jeszcze? Mamy tutaj, tak, bardzo fajnie było, dobrze się bawiliśmy, kiedy wysłaliśmy skargę do INPOST-u, bo powiedzieliśmy, skarga wyruszyła w drogę do UODO, z pewnych źródeł wiem, że nie ogląda się za siebie. To wciąż trwa, zresztą z INPOST-em mieliśmy, nie wiem, czy ten wykres z tym INPOST-em w końcu wylądował w naszych slajdach, czy nie, ale to wam mogę opowiedzieć, zrobiliśmy kiedyś takie zestawienie, ile zajmuje Trylogia Sienkiewicza, cała lalka i strona statusu z paczką INPOST, nie? Bo zostało po prostu tyle skryptów osadzonych, żeby wysłać, wyświetlić wam informacje, paczka jeszcze nie dotarła, no bo tyle tam tych skryptów i reklam jest, że głowa boli. Inna tutaj sprawa to było z chyba Media Expert, nie pamiętam, ale oni w odpowiedzi do UODO w aktach wysłali listę podmiotów, które wysyłają dane. To nie jest pełna lista, jest jeszcze druga strona i trzecia strona i czwarta strona i piąta strona. Tak i inną sytuacją było, kiedy Urząd Ochrony Danych Osobowych poprosił podmiot przetwarzający dane, żeby wysłał politykę prywatności firmy, której udostępnia dane. On wysłał po angielsku, a urząd powiedział, jesteśmy w Polsce, prosimy na to wysłać po polsku. Więc dali 80 stron wydrukowanej polityki prywatności, przetłumaczonej przez tłumacza przysięgowego, a każdy był z pieczątką, więc zabawa jest wyborna. I analiza jest trudna, bo analiza wymaga przejrzenia wszystkich requestów, no możemy filtrować sobie te urlepy po jakichś domenach, w których się spodziewamy, że największą kontrowersję wzbudzą typu Facebook, Google i tak dalej. Ale tak naprawdę trzeba było zajrzeć w każdy z nich, zobaczyć w którym z nich jest cookie, czy ten cookie się zmienia, jak to się zachowuje, kiedy się wyrazi zgodę, jak to się zachowuje, kiedy się odmówi zgody. Potem czyścimy cookiesy, wykonujemy analizę ponownie. No i to wszystko było bardzo męczące, więc zacząłem powoli pisać taki drobny skrypcik, który pomagał w przeglądarce to zrobić i ku rozczarowaniu Arkadiusza, który ma znacznie bardziej wrażliwą, estetyczną duszę, ten skrypt pozostało wiele do życzenia, ale to już oddam kliker Tobie. Tak i tutaj właśnie przygotowaliśmy, jak to na początku w ogóle wyglądało, więc to była pierwsza nasza faza tej wtyczki, gdzie po prostu pozwalało nam zebrać wszystkie dane, które potrzebowaliśmy, łącznie z tym, czy jakaś domena otrzymała jakieś cookie i z zawartością tego cookie i to tak właśnie wyglądało. No i na podstawie tego tworzyliśmy następne części, następne wersje. Później wymyśliliśmy, że zrobimy sobie taki sidebar i przeniesiemy to wszystko do lewej części przeglądarki, no ale na mniejszych ekranach to wyglądało trochę gorzej, ponieważ jak ktoś miał mniej niż full HD ekran, no to już w ogóle zajmowało mu to strasznie dużo miejsca i dodatkowo było to strasznie źle czytelne i nazwaliśmy to ICD Scanner wtedy, bo wcześniej to nie miało żadnej nazwy, więc stwierdziliśmy nazwijmy to jakoś. Później stwierdziliśmy, że nazwiemy to Problematic Requests i zrobiliśmy nawet ikonkę i był dalej sidebar, który był nieczytelny, ponieważ próbowaliśmy te wszystkie dane z tych cookiesów jakoś uporządkować w jakąś strukturę, no ale no nie. I zrobiliśmy to dalej w sidebarze, ale już miało to jakiś styl taki, że już użytkownicy nasi de facto patroni mogli już z tego korzystać i zgłaszać nam jakieś problemy. Próbowaliśmy to wszystko umieścić dalej w sidebarze, no ale to ostatecznie to był bardzo głupi pomysł, ponieważ tych danych jest sporo na tych wszystkich różnych stronach, zwłaszcza jak przeglądacie takie rzeczy jak WP, Onet i etc., które strony tak naprawdę są, ich klientami są reklamodawcy, a nie zwykli użytkownicy. Później stwierdziliśmy, że też ta wtyczka oprócz tego, że znajduje nam te wszystkie dane z tych stron powinna mieć maila i zaczęliśmy konstruować jak taki mail mógłby wyglądać i pisaliśmy to na początku ręcznie. No i stwierdziliśmy, że ta wtyczka tak naprawdę to powinna oprócz tego, że zbiera dane z przeglądarki z networka również konstruować maila gotowego, którego możemy wysłać do administratora strony lub też do UODA. No i stwierdziliśmy, że trzeba wszystko przepisać od nowa, bo ten kod jest nieczytelny, więc zrobiliśmy sobie, to jest akurat whitebuffer jak dobrze pamiętam, to jest nowa aplikacja, w której sobie narysowaliśmy diagram, jak to powinniśmy zrobić. No i po chyba roku nie nagrywania podcastu i nie robienia niczego innego w naszej fundacji, jak tylko pisania wtyczki, zrobiliśmy naszą wtyczkę, która wygląda mniej więcej tak, że macie po prawej stronie ikonkę, która wam wyświetla, czy doszło do zapisu naszej historii przeglądania i czy doszło do zapisu jakichś plików cookie, które mogą de facto zawierać jakieś niechciane treści. I dodatkowo stworzyliśmy ekran, w którym możemy podejrzeć w nowej karcie wszystkie te dane, zaznaczyć sobie dokładnie te klisy, które nas interesują i na podstawie tego wygenerować raport, ale mail nie jest automatycznie generowany. Mail generowany jest na tej zasadzie, że wymagamy od użytkownika jakiegoś inputu. Użytkownik musi przeczytać treść polityki prywatności lub też podążać za naszymi pytaniami z ankiety i przeglądać na podstawie tych pytań, żeby tak skonstruować mail, ażby on był odpowiednio adekwatny do tego, co faktycznie na stronie się dzieje. Czyli to nie jest takie coś, że odpalamy wtyczkę, generujemy wszystko od A do Z i wysyłamy, bo to by tworzyło, że ludzie mogliby wysłać dużo spamu do tych wszystkich administratorów, tylko wymagamy od użytkowników to, żeby oni faktycznie poświęcili jakąś, jak to powiedzieć, wysiłek kognitywny, żeby stworzyli faktycznie coś, co ma ręce i nogi. Przy okazji dowiedzieliśmy się, że screenshoty bardzo dobrze działają dla UODO. Jak UODO dostaje screenshota z network managera, że hej, tutaj jest cookie i tam jest jakaś informacja zaszyta, tam jest jakiś sztucznie nadany identyfikator użytkownika, no to wtedy oni podejmują więcej działań niż tych screenshotów. Nie ma, bo administrator się może wyprzedzać, że no tak nie było. Tak, tutaj screenshot, który tutaj widzicie jest wyciągnięty z akt jednej ze spraw naszych przed UODO. To jest screenshot z Windowsa, ponieważ to jest screenshot robiony przez urzędnika, który potwierdza w network inspektorze, że faktycznie te cookiesy się tam znajdują i że ten screenshot wygląda podobnie do tego, co my wysłaliśmy, bo do każdej skargi wysłaliśmy screenshoty. I możecie zobaczyć na dole, że urzędnik korzysta z Firefoxa, więc też jest drobny tutaj win dla Mozilla. Tak i robienie screenshotów to była kolejna taka czasochłonna rzecz, bo już Rentgen pomógł nam z samą analizą tego, jakie domeny, jakie zapytania są wysyłane. Potem generowanie maila na podstawie tej ankiety było dużą oszczędnością i ostatni taki bastion czasochłonności to były screenshoty. Więc stworzyliśmy coś, co się nazywa screenshot service. I screenshot service to jest coś, co dostaje od Rentgena informacje o tym, jaką stronę wczytujemy i jakie domeny podmiotów trzecich nas zainteresują. Następnie w Dockerze odpala serwer X, uruchamia w tym Firefoxa i robi screenshoty, żeby udokumentować całą tę rzecz. Czyli odwiedza najpierw te wszystkie strony, żeby splamić kukisami te sesje przeglądania, a następnie odwiedza tę jedną stronę, którą skanujemy, przechodzi w network inspektora, robi screenshoty tego wszystkiego, zapuszcza na tym OCR-a i dla każdego requesta podświetla, gdzie te requesty się znajdują. Pokażę wam zaraz live demo tego. Jedną z ciekawą rzeczy było to, jak na przykład sprawdzić, zapomagając dostęp, bo my, bo inaczej, mogliśmy korzystać z jakiegoś Selenium albo Playwrighta do analizy tego, ale tam nie można automatyzować network inspektora, nie można scrollować rzeczy wewnątrz tego, więc to wszystko symulowaliśmy, klikając w określone miejsce i sprawdzając kolory pikseli. Na przykład, jak mając dostęp tylko do zrzutu ekranu, sprawdzić, czy strona się wczytała. Otóż wczytujecie sobie, tutaj mamy na przykład przeglądarkę wczytaną, wczytujemy sobie kolor tego piksela, który jest w środku tej ikony. Jeżeli strona się wczytuje, no to jest X i ten piksel jest ciemny. Jeżeli strona się wczytała, to już jest kółko do odświeżania, więc ten piksel jest jasny i na tej podstawie wiemy, czy się strona wczytała. Więc na podstawie całej potęgi takich heurystyk i kodu, którego z wielu przyczyn jeszcze nie opublikowaliśmy, jesteśmy w stanie wykonać coś takiego i myślę, że możemy spróbować zrobić sobie analizę takiej strony. Zrobimy sobie moją ulubioną stronę WPPL. Ja ją lubię nie ze względu na jej treść, ale na to, że jest krótka, więc jak sprawdzam, to test działa to najszybciej mi sprawdzić na WPPL i już widzimy, że Rentgen zgłosił nam tutaj trzydzieści trzy domeny i rośnie, które otrzymały tę informację. Już kliknę, już za nim rośnie do stu. Widzimy sobie, możemy tutaj pozaznaczać różne serwisy, które chcemy uwzględnić w naszej analizie lub nie. No tutaj też jest jakaś aktywność ze strony użytkownika. No i dodatkowo Rentgen też ma heurystykę pod spodem, gdzie stwierdza, co należy zaznaczyć, co najprawdopodobniej zawiera jakiś sztuczny identyfikator. Jak na klikniesz tutaj wyświetlaj szczegóły, to niektóre rzeczy będą tutaj zawierały na przykład referer, czyli historię naszego przeglądania, czy też sztucznie nadane identyfikatory do różnych domen. Tak, bo jedną z rzeczy, jedną z usług też, które świadczy nasza fundacja jest analiza stron i analiza zgodności stron z RODO i to narzędzie jest też przydatne nie tylko do tego, żeby zrobić skargę na czyjąś stronę, ale także żeby przeanalizować swoją stronę. Jest ktoś nie techniczny, kto zamawia stronę i mówi ta strona ma być zgodna z RODO, bo nie chce mieć kar, ale nie jest w stanie tego samodzielnie sprawdzić, może odpalić Rentgena i sobie zobaczyć i potem wygenerować taki raport, który potem zamiast maila do administratora może wygenerować raport dla programistów. Czyli proszę mi wytłumaczyć, dlaczego takie i takie kukisy są używane w takim i takim miejscu, ponieważ no to administrator potem jest odpowiedzialny za to, a nie twórca i to administrator będzie musiał się tłumaczyć, a nie deweloper. Więc można pozaznaczać. Jak widzimy, że jakieś tutaj kukisy są nieszkodliwe albo nie zawierają danych, które nas zainteresują, możemy to sobie odznaczać i wszystko co zaznaczymy lub czego nie zaznaczymy jest potem brane pod uwagę w tej ankiecie, która jest generowana dynamicznie i pomaga przygotować taką treść maila, która nie pozostawia żadnej wątpliwości odnośnie tego, że administrator musi coś poprawić. Klikniemy sobie generuj raport i dostajemy kilka dodatkowych pytań. Klikniemy dalej. Wybieramy sobie, czy jesteśmy użytkownikiem, czy administratorem, czyli pierwsze to jest wybór tego flow, czy chcemy wysłać skargę, czy chcemy przeanalizować naszą własną stronę. Klikamy, jestem użytkownikiem. Czy chcę uprzejmie poinformować, czy wysłać formalne zapytanie, no zakładamy opcję ostrzejszą, czyli wysyłamy formalne zapytanie. Wybieramy swoje zaimki. Dalej, jaką formę informacji o przetwarzaniu stosuje ta strona na tej stronie. No tutaj już miałem pewnie ją wczytaną z jakimiś odklikniętymi powydaniami o kukisach. Będę sobie odświeża już bez kukisów i zobaczmy, jaką stronę ona tutaj nam prezentuje. No mamy okienko o kukisach z możliwością podjęcia wyboru, no bo jest możliwość ustawienia zaawansowane, no i akceptuję, przechodzę. Ponownie, jak kliknę tutaj, to to nie jest ważna zgoda, ponieważ odmowa zgody jest trudniejsza niż jej wyrażenie, więc wszystkie dane, które tutaj WP przetwarza na podstawie tej zgody przetwarza niezgodnie z prawem. Mamy sprawę przed UODO, tak? O ile się nie mylę, będziemy się z WP widzieć przed Wojewódzkim Sądem Administracyjnym w Warszawie, ponieważ będzie skarga kasacyjna. Czy wyrażenie zgody na wszystkie cele jest dokładnie tak samo łatwe jak odmowa zgody na wszystkie cele? Nie. Muszę wykonać więcej czynności, aby odmówić wszystkich zgód. Jaką akcję podjąłeś w ramach wyskakującego okienka? Teraz powiem, że nic nie kliknąłem. Czy przed podjęciem wyboru dotyczącym twoich danych masz możliwość poznać tożsamość administratora strony? Czy podali administratora strony? Mają taki obowiązek według RODO? Czy jest tutaj podany administrator? Wirtualna Polska. Zobaczmy, dane spółek. No dobra, załóżmy, że tak. Chociaż czasem się zdarza, że chcesz zobaczyć te dane, a one są zasłonięte tym pop-upem o kukizach, ale niech będzie, że tutaj będę hojny i powiem, że tak. Czy polityka prywatności jest dostępna i czytelna? Bo czasem zdarza, że właśnie nie można przeczytać polityki prywatności przed jej zaakceptowaniem. Dla zwięzłości zakładam, że jest teraz dostępna i czytelna, bo jeżeli się wybierze inne opcje, to pojawia się więcej pytań, a ja chcę już przejść dalej. Więc i tak. I on teraz będzie pytał o każdy z tych serwisów, podmiotów trzecich, które otrzymały nasze dane, które zaznaczyliśmy w analizie. I dla każdego z nich to znaczy, że cel nie jest podany nigdzie na stronie i że przesyłanie tam danych nie było konieczne. Dla każdego następnego on będzie pamiętał mój wybór. No tych podmiotów tutaj trochę było. No też część tych podmiotów to są CDN-y WP, aczkolwiek mamy tu też google'owe rzeczy i tak dalej. Tak i to jest właśnie tutaj rola użytkownika i też użytkownik jest tutaj upodmiotowiony, żeby mógł sobie odznaczyć lub zaznaczyć te domeny, które uważa za istotne i odznaczyć te, które są nieistotne. No i teraz przechodzi do screenshot serwis. Sprawdzaliśmy jeszcze w pokoju hotelowym, że to działało. Teraz jest live demo, więc pewnie nie zadziała, ale co tam, kliknę sobie wygeneruj. Możecie zobaczyć tutaj podgląd na żywo, co się dzieje w tym Firefoxie, że on najpierw odwiedza sobie WPC-CDN.pl, żeby splamić sobie tę przeglądarkę tymi kukisami i następnie będzie odwiedzał każdą z kolejnych innych domen, żeby te kukisy były, bo też gdy robiliśmy tę analizę w takim sterylnym środowisku, gdzie tylko odwiedzaliśmy tę główną stronę, no to to nie odzwierciedlało takiego użytkownika, który chodząc po internecie sobie do podeszwy buta poprzyklejał różne rzeczy, tylko... Jeszcze raz? Nie, to działa po stronie serwera. To działa po stronie naszego serwera i... Owszem, jest taka możliwość, to jest jeden z powodów, dla którego nie opublikowaliśmy kodu ośrodkowego tego. Trochę może nie w duchu open source, aczkolwiek jeżeli ktoś chciałby z was brać w tym udział w projekcie, zobaczyć go tutaj nie ma problemu, chyba że pracujecie w WPPL, to nie. Mamy szuła na to, żeby zrobić to reużywalne i móc deployować te różne instancje tego serwera, jeżeli ktoś chce przyjść i pomóc. I w konfiguracji sobie wpisać na przykład URL tego, gdzie to ma być hostowane. Nie chcemy robić tego po stronie użytkownika, żeby czasem nie było tak, że ktoś screenshota weźmie, opublikuje go, wyśle do UODO i wtedy osoba, która czyta tę skargę, będzie na przykład mogła zalogować do jego Facebooka. A nie moglibyśmy ich w pełni zamazać, bo to by był kiepski dowód. Więc było tutaj dużo myślenia i dużo takich kompromisów. I myślimy, że to jest całkiem kompromisowe rozwiązanie i całkiem skuteczne. Zaznaczyłem 39 tych tematów. Może troszeczkę przeszacowałem swoją umiejętność grania na czas i mówienia w tym czasie. Ale za chwilkę powinniśmy zobaczyć jakiś rezultat, ponieważ potem jest jeszcze jedna ważna rzecz, jak ten screenshot service odwiedza każdy następny network request, który znajduje się w network inspektorze, scrolluje go całego i cały screenshot zapuszcza przez OCR-a i sprawdza, czy tam są dane, które są na tej skargi, czy nie. Jeżeli nie, to nie robi screenshota, a jeżeli tak, to robi screenshota, a następnie ze zrobionych screenshotów wybiera te, które są najbardziej istotne. Więc tak, jak sobie myślę, ile myśmy nad tym pracowali, bo było tak, że publikowaliśmy odcinki właściwie miesiąc po miesiącu. Mieliśmy takie fajne tempo i potem zaczęliśmy robić tego rentgena i przyszła taka myśl, że to może być narzędzie przydatne także dla innych osób. Gdybyśmy tego nie opublikowali, to moglibyśmy to trzymać dla siebie i sprawiać, że analizy stron będą łatwe dla innych, tylko robić to za kasę jako sami. Myślę, że nasz księgowy byłby bardziej z tego zadowolony, ale jakby mamy takie poczucie, że stoimy na ramionach gigantów open source'owych różnych projektów, które są nam dane za darmo, więc to jest też taki nasz sposób na odwdzięczenie się i dodanie coś od nas dla tej społeczności. Już naprawdę czuję się wyczymany ze smalltalku, a tu jeszcze skanuję te wszystkie... To ja może zadam pytanie takie. Uzasadniony interes prawny. Uzasadniony interes administratora, tak. Generalnie jest sześć różnych podstaw prawnych, na których podstawie można przetwarzać dane osobowe. To nie jest prawda, że tylko zgoda jest konieczna. Jeżeli nie mamy czyjejś zgody, możemy przetwarzać czyjeś dane. Na przykład jeżeli ktoś miał wypadek i musisz mu przetoczyć krew, to nie musisz dawać mu formularzu, żeby pytać się, czy on ci wyraża zgodę, żebyś dowiedział się, jaką on ma grupę krwi. Jeżeli jest potrzeba ochrony żywotności, żywotnych interesów, to to jest jakby też legalnie, zupełnie prawidłowa podstawa prawna do przetwarzania danych. Zgoda też przy założeniu, że te warunki istnieją i uzasadniony interes administratora też jest prawidłową. To jest chyba litera F punktu pierwszego artykułu szóstego rodu. I pozwala ci... O, wejdziemy na WP, więc teraz zacznę już robić screenshoty. One się powinny pojawiać tutaj obok i zobaczymy, na ile live demo zadziała. Ale tak, jeżeli jest uzasadniony interes administratora, to po pierwsze, i powinna istnieć możliwość wniesienia sprzeciwu wobec takiego przetwarzania. Chyba... ...okienka. Teraz powiem, że nic nie kliknąłem. Czy przed podjęciem wyboru dotyczącym twoich danych masz możliwość poznać tożsamość administratora strony? Czy podali administratora strony? Mają taki obowiązek według RODO? Czy jest tutaj podany administrator? Wirtualna Polska. Zobaczmy, dane spółek. No dobra, załóżmy, że tak. Chociaż czasem się zdarza, że chcesz zobaczyć te dane, a one są zasłonięte tym pop-upem o cookiesach, ale niech będzie, że tutaj będę hojny i powiem, że tak. Czy polityka prywatności jest dostępna i czytelna? Bo czasem się zdarza, że właśnie nie można przeczytać polityki prywatności przed jej zaakceptowaniem. Dla zwięzłości zakładam, że jest teraz dostępna i czytelna, bo jeżeli się wybierze inne opcje, to pojawia się więcej pytań, a ja chcę już przejść dalej. Więc i tak. I on teraz będzie pytał o każdy z tych serwisów, podmiotów trzecich, które otrzymały nasze dane, które zaznaczyliśmy w analizie. Ja dla każdego z nich zaznaczę, że cel nie jest podany nigdzie na stronie i że używanie, że przesłanie tam danych nie było konieczne. Dla każdego następnego on będzie pamiętał mój wybór. No tych podmiotów tutaj trochę było. No też część tych podmiotów to są CDN-y WP, aczkolwiek mamy tu też google'owe rzeczy i tak dalej. Tak i to jest właśnie tutaj rola użytkownika i też użytkownik jest tutaj upodmiotowiony, żeby mógł sobie odznaczyć lub zaznaczyć te domeny, które uważa za istotne i odznaczyć te, które są nieistotne. No i teraz przechodzi do screenshot serwis. Mówiliśmy jeszcze w pokoju hotelowym, że to działało. Teraz jest live demo, więc pewnie nie zadziała, ale co tam, kliknę sobie wygeneruj. Możecie zobaczyć tutaj podgląd na żywo, co się dzieje w tym Firefoxie, że on najpierw odwiedza sobie WPC-CDN.pl, żeby splamić sobie tę przeglądarkę tymi cookiesami i następnie będzie odwiedzał każdą z kolejnych innych domen, żeby te cookiesy były. Bo też gdy robiliśmy tę analizę w takim sterylnym środowisku, gdzie tylko odwiedzaliśmy tę główną stronę, no to to nie odzwierciedlało takiego użytkownika, który chodząc po internecie czy z buta poprzyklejał różne rzeczy. Tylko... jeszcze raz? Nie, to działa po stronie serwera. To działa po stronie naszego serwera. Owszem, jest taka możliwość. To jest jeden z powodów, dla którego nie opublikowaliśmy kodu uśródlowego tego. Trochę może nie w duchu open source, aczkolwiek jeżeli ktoś chciałby z was brać w tym udział w projekcie, zobaczyć go tutaj, nie ma problemu. Chyba, że pracujecie w WPPL, to nie. Mamy szuła na to, żeby zrobić to reużywalne i móc deployować te różne instancje tego serwera, jeżeli ktoś chce przyjść i pomóc. I w konfigu sobie wpisać na przykład URL tego, gdzie to ma być hostowane. Dodatkowo nie chcemy robić tego po stronie użytkownika, żeby czasem nie było tak, że ktoś screenshota weźmie, opublikuje go, wyśle do UODO i wtedy osoba, która czyta tę skargę, będzie na przykład miała jego cookies i się mogła zalogować do jego Facebooka. A nie moglibyśmy ich w pełni zamazać, no bo to by był kiepski dowód. Więc było tutaj dużo myślenia i dużo takich kompromisów. I myślimy, że to jest całkiem kompromisowe rozwiązanie i całkiem skuteczne. Ja tutaj zaznaczę 39 z tych domen. Może troszeczkę przeszacowałem swoją umiejętność grania na czas i mówienia w tym czasie, ale za chwilkę powinniśmy zobaczyć jakiś rezultat, ponieważ potem jest jeszcze jedna ważna rzecz, jak ten screenshot service odwiedza każdy następny network request, który znajduje się w network inspectorze, scrolluje go całego i cały screenshot zapuszcza przez OCR-a i sprawdza, czy tam są dane, które są cenne dla tej skargi, czy nie. Jeżeli nie, to nie robi screenshota, a jeżeli tak, to robi screenshota, a następnie ze zrobionych screenshotów wybiera te, które są najbardziej istotne. Więc tak, jak sobie myślę, ile myśmy nad tym pracowali, bo było tak, że publikowaliśmy odcinki właściwie miesiąc po miesiącu. Mieliśmy takie fajne tempo i zaczęliśmy robić tego rentgena i przyszła taka myśl, że to może być narzędzie przydatne także dla innych osób. Gdybyśmy tego nie opublikowali, to moglibyśmy to trzymać dla siebie i nie sprawiać, że analizy stron będą łatwe dla innych, tylko robić to za kasę jako sami. Myślę, że nasz księgowy byłby bardziej z tego zadowolony, ale mamy takie poczucie, że stoimy na ramionach gigantów open source'owych różnych projektów, które są nam dane za darmo, więc to jest też taki nasz sposób na odwdzięczenie się i dodanie coś od nas dla tej społeczności. Już naprawdę czuję się wytrzymany ze smalltalku, a tu jeszcze skanuję te wszystkie... To ja może zadam pytanie takie. Uzasadniony interes prawny. Uzasadniony interes administratora, tak. Generalnie jest sześć różnych podstaw prawnych, na których podstawie można przetwarzać dane osobowe. To nie jest prawda, że tylko zgoda jest konieczna. Jeżeli nie mamy czyjejś zgody, możemy przetwarzać czyjeś dane. Na przykład, jeżeli ktoś miał wypadek i musisz mu przetoczyć krew, to nie musisz dawać mu formularzu, żeby pytać się, czy on ci wyraża zgodę, żebyś dowiedział, jak on ma grupę krwi. Jeżeli jest potrzeba ochrony żywotnych interesów, to to jest też legalnie, zupełnie prawidłowa podstawa prawna do przetwarzania danych. Zgoda też, przy założeniu, że te warunki istnieją i uzasadniony interes administratora też jest prawidłową. To jest chyba litera F punktu pierwszego artykułu szóstego rodu. I pozwala ci... O, wejdziemy na WP, więc teraz zacznijmy już robić screenshoty. One się powinny pojawiać tutaj obok i zobaczymy, na ile live demo zadziała. Ale tak, jeżeli jest uzasadniony interes administratora, to po pierwsze powinna istnieć możliwość wniesienia sprzeciwu wobec takiego przetwarzania. Chyba, że interes administratora jest ważniejszy niż twój interes. Czyli na przykład, ty masz interes wobec tego, żeby chronić swój wizerunek, ale jak wchodzisz do żabki i tam jest kamera bezpieczeństwa, to oni mają interes w tym, żeby wiedzieć, że jeżeli coś ukradniesz, to oni wiedzą, kto to był. I tutaj interes jest ważny, ich ważniejszy niż twój. I w takiej sytuacji administrator powinien wykazać, że zrobił test wagi interesów. Czyli jest w stanie wykazać, że faktycznie przeanalizował te interesy i jego są ważniejsze niż twoje. Jest dosyć kwestionowalne, czy twój interes do niebycia śledzonym i do niebudowania profilu twojego w internecie jest ważniejszy od tego, żeby usługodawca wyświetlił sobie reklamę i sobie może coś na tym zarobił. Pytanie. To też zależy od modelu biznesowego. Generalnie już pracowaliśmy z prawnikami na tyle długo, że wiemy, że odpowiedź na twoje pytanie to zależy. Ale to nie jest tak... Kapcza. Jeżeli strona chce na przykład chronić się przed atakami, przed dodosami i kapcza jest na to sposobem, to jestem w stanie wyobrazić sobie, że to jest uzasadniony interes. Pytanie potem, czy są zachowywane inne zasady, na przykład zasady minimalizacji danych. Czy to trzeba dane wysyłać do Google, czy może można chronić się przed dodosem w inny sposób. Ale jeżeli kukisy są używane do tego, żeby chronić się przed atakiem, no to jak najbardziej. Przykładowo mają promocję, że jeden użytkownik może kupić tylko jedną... Co robisz? A, okej. Że jeden użytkownik może kupić tylko jedną kopię. No i kukisy są używane do tego, żeby ich regulamin tutaj był przestrzegany. Jestem sobie w stanie wyobrazić, że to byłoby branialne. Tutaj nam się pobierają te screenshoty i możemy już sobie jeden z nich otworzyć i będzie zobaczyć, że on znalazł, gdzie są te identyfikatory z kukii i jeszcze je opisał, żeby urzędnik nie miał żadnej wątpliwości, o co nam do końca chodzi. I znajdowanie tego opisywania też nam zajmowało czasu. Generalnie dzięki rentgenowi coś, co zajmowało 2 godziny na jedną stronę, jesteśmy w stanie zrobić czasem w 3 minuty nawet. Chyba, że znaczysz tak dużo domny. Tak. Aczkolwiek jest duże pole do popisu. Na przykład te skanowanie i plamienie stron mogło być robione równolegle na kilku różnych Firefoxach, na przykład ze wspomnianym kukijarem, tak, profilem, więc jest tutaj duży room for improvement, ale udało nam się doprowadzić to do takiego używalnego stanu i generalnie zdecydowaliśmy, że póki co zatrzymamy się na tym, co jest, bo zaniedbaliśmy różne inne nasze misje, jak na przykład dużo pracowaliśmy na rentgenem, a mało robiliśmy zgłoszeń samych z siebie, więc to było trochę przeciwskuteczne. Aktualnie spraw przed UODO mam kilkadziesiąt i jeszcze więcej czeka na same skargi. Rząd wielkości. Tak, tak, tak, więc planujemy jeszcze, bo kolejnym takim wojskim gaddem jest to, że jak ma się dużo spraw, jest się w nich ciężko połapać i mamy pomysł jak to zrobić, a jak to zautomatyzować albo semi-automatyzować, ale o tym za chwilkę. I teraz, Arku, powiesz o tym ekranie? Tak, na tym ekranie prezentujemy treść maila, gdzie możemy po prostu skopiować to wszystko i to już jest taka gotowa wiadomość z podstawami prawnymi dla administratora tej strony lub też później UODO. Generalnie jak skopiujemy sobie tę treść, no to możemy przejść do naszego klienta poszczedłego. Nie wiem, Kuba, czy mogę w tym momencie klikać na twojego... A, kliknij. Dobrze. I w tym momencie, jak sobie to wkleję. Live demo, skopiowano. Może jeszcze raz spróbujemy kliknąć. Ja mam kontrolę na function. Ok. Let's take a look. No tak. Właśnie zamieniłem, dlatego Tarka zmyliło. Wcisnął kontrolę, to było FM. Tak. No i mamy tę gotową właściwie wiadomość, którą możemy już przesłać do administratora i czekać na odpowiedź. Generalnie chyba w ciągu miesiąca, tak? Jeżeli się nic nie wydarzy, przysługuje nam możliwość zgłoszenia tego do Urzędu Ochrony Danych Osobowych. W trakcie wielu tych naszych zgłoszeń widzieliśmy wiele wymówek od administratorów. Na przykład, jeżeli pan nie chce, żeby pana przeglądarka przetwarzała kukisy, to prosimy wyłączyć obsługę kukisu w przeglądarce. Albo my nie przetwarzamy tych danych, to Google przetwarza te dane. To proszę do Google pisać i tak dalej, i tak dalej. Albo pana mail wpadł do spamu. Albo pana mail wpadł do spamu. Też się jeden albo kilku już nawet administratorów tłumaczyło. Okazuje się, że przykład urzędnym to się nie chroni jako wymówka, więc sorry, jeżeli mamy jakiś mail, który jest do kontaktu w polityce prywatności, najlepiej na nim wyłączyć folder spamowy, albo tak jak jeden z administratorów nam obiecał, że od dzisiaj raz w miesiącu będziemy sprawdzali, czy jakieś nam cenne maile nie wpadły do spamu. Ten mail zawiera właśnie odpowiedzi na takie częste wymówki, jak to, że administrator strony ponosi odpowiedzialność za skryty podmiotów trzecich na swojej stronie, że są współadministratorem danych osobowych z linkami do konkretnych orzeczeń sądu. Tutaj chyba jest nawet Trybunał Sprawiedliwości Unii Europejskiej, żeby nie pozostawić żadnej wątpliwości. Mail jest też tak skonstruowany, żeby nie mógł być odebrany jako groźba, bo teoretycznie nie można napisać proszę coś zrobić, bo inaczej złożę skargę. Lepiej unikać takiego języka, tylko po prostu chyba gdzieś tu jest nadmienione, że jesteśmy świadomi naszego prawa o możliwości złożenia skargi do Urzędu Ochrony Danych Osobowych. Język trochę łagodniejszy, ale myślę, że jakby message received. Więc tak i ten mail jest starannie przygotowany, są tu te domeny, te cookies, więc tylko wystarczy dołączyć jeszcze z kinshoty, wysłać maila i zaczyna się proces. Zaczyna się to, co nam RODO umożliwiło, czyli administrator ma prawny obowiązek, bo inaczej będzie łamał prawo i będzie mu gryziła kara, odpowiedzieć wam na takiego maila. Jeżeli odpowiedź będzie niesatysfakcjonująca, albo jeżeli nie odpowie wam na przynajmniej jedno z pytań, które są w mailu, możecie iść ze skargą do UODO. Tego jeszcze nie mamy zautomatyzowanego, ale będziemy nad tym pracowali. Jednak możemy w tym pomóc. Na stronie internet czasdziałać.pl znajdziecie poradnik, jak złożyć skargę do Urzędu Ochrony Danych Osobowych i też na naszego maila możecie do nas napisać i też w tym procesie jak najbardziej pomożemy. Ostatnio mieliśmy spotkanie z Ministerstwem Cyfryzacji, na którym przyszło także Urząd Komunikacji Elektronicznej, bo składaliśmy petycję o to, żeby nie było skryptów śledzących Google na stronach rządowych i Urząd Komunikacji Elektronicznej powiedział, że my nie dostawaliśmy żadnych skarg w tej sprawie. Więc, że dostaje pięć skarg na kukizy i żadne z nich dotyczących stron rządowych. My wszystkie skargi wysyłaliśmy do UODO, bo Urząd Komunikacji Elektronicznej nie ma prawnego obowiązku zareagować na taką skargę, nie ma takiej procedury. To są sprawy podejmowane z urzędu, oni mogą to zupełnie zignorować i nam nie przysługuje prawo do skargi wtedy za bezczynność. Ale szef działu bezpieczeństwa UODO powiedział mi osobiście, że można wysyłać dużo skarg do Urzędu Komunikacji Elektronicznej, że oni to wytrzymają. Chyba potem, jak się dowiedział, że mamy skrypt, który pomaga to automatyzować, to troszeczkę osłabił to stanowisko. Oczywiście nie mamy zamiaru dedosować Urzędu Komunikacji Elektronicznej. Niemniej jednak taki raport z najbardziej rażących naruszeń wyślemy. Nie wiem, czy wiecie, jak na przykład wejdziecie na stronę Urzędu Miasta Łódź, łódź.pl, to strona jest zasłonięta reklamą Google, którą najpierw musicie odkliknąć, więc na pewno może być lepiej. Aczkolwiek chociaż w tym wypadku ciężko, żeby było gorzej. Więc tak, sprawdzamy na slajdach, co my jeszcze mamy. Chyba następny slajd właśnie był opisany jako demo. Demo właśnie nastąpiło i teraz jest... To jest przykład, jak wygląda screenshot ze screenshot serwisu. Jak widzicie, to jest ten właśnie Firefox wychowany w takim pięknym kontenerze i tak ładnym GUI. Tak, żeby to było w wysokiej rozdzielczości, ja zwiększyłem tam scaling na 200% i to GUI XFC, który jest tam odpalony, nie skaluje się prawidłowo, ale Firefox ładnie zeskalował, więc jak się zzoomuje, to tam widać ładnie, dokładnie co te krzaczki w tych wszystkich cookiesach są. Sukcesy? Myślę, że jedną z naszych najgłośniejszych spraw to jest firma iSecure, którą zgłosiliśmy za stronę, która była niezgodna z RODO, a to była firma prawnicza, która zajmowała się doradzaniem firmom, jak zrobić strony zgodne z RODO. Mieli taką informację o cookiesach, która była w ogóle zasłonięta przez czat WOTA, więc nie można było nawet całej przeczytać. Można było tylko odkliknąć X. Więc złożyliśmy skargę, oni dostali upomnienie, odwołali się od tej skargi, spotkaliśmy się z nimi przed Wojewódzkim Sądem Administracyjnym i generalnie sprawa została cofnięta przed WODO, czekamy na kolejną decyzję, być może potem też się spotkamy z tą firmą w Wojewódzkim Sądzie Administracyjnym, ale sukces już był, bo już niedługo po tej całej sprawie, jak już zaczęła się, znaczy jak się zaczęła rozwijać, to zmienili swój system zarządzania zgodami na zaakceptuj i na zarządzaj cookies. My na Twitterze, bo tam mieli konto, napisaliśmy im, że brakuje jeszcze opcji odrzuć i powinno być. Spisaliśmy, jakie są tam regulacje itd. No i w końcu ta firma prawnicza przyznała nam rację i dodała guzik odrzuć wszystkie. Nie wiem, czy to jest w reakcji na naszego tweeta, no ale to było po tym, jak tego tweeta napisaliśmy, więc ja pozwalam sobie tę przysługę nam przypisać. Jeszcze chciałem dodać, że często web deweloperzy implementują te okienka, ale one nie działają. W sensie możemy kliknąć odrzuć wszystkie albo zaakceptuj a już pod spodem się wszystkie różne skrypty załadowały i wszystko się wysłało. Więc to jest jeden z sukcesów, potem mamy taki sukces że na tweeta.pl już nie ma skryptów Facebooka. Zostały usunięte, nawet jeżeli klikniemy wyraź zgodę na wszystko, to w przeciwieństwie do tego, jak to było przed naszym mailem, bo tu sam mail wystarczył, te skrypty zostały usunięte. Kolejny sukces, no mówią, nieważne jak o tobie piszą, ważne, żeby nie zrobili literówki w imieniu, no to tutaj niestety PKO zrobiło, ale ważne, że napisało tak, że w efekcie tego samego maila zablokowali większość zewnętrznego ruchu, tak zanim użytkownik nie wyrazi na to zgody, więc też sukces nawet z takiej instytucji jak PKO. Potem mamy jeszcze Filmweb, też na początku przed wyrażeniem zgody były osadzane skrypty Facebooka, teraz już jest tak, że przed wyrażeniem zgody tych skryptów Facebooka nie ma, więc tutaj też mail pomógł. Tutaj mamy maila od firmy Vulkan, która bardzo się lubi przykładać do różnych kontrowersji, i prosiła za to, że te skrypty były i usunęli wszystkie zbędne do działania strony Ciasteczka i działania do stron trzecich, zanim nie wdrożą nowego systemu zarządzania zgodami, więc kolejny sukces na naszej liście. Potem mamy firmę OLX, które też w reakcji na naszego maila, kilka mail, tamta wymiana była troszeczkę bardziej zaangażowana, napisali, że zidentyfikowali błędne działanie modułu blokującego pliku cookie i zaczęli wdrażać zmiany. Oczywiście my w naszym systemie do wewnętrznej komunikacji mamy poprzepinane różne takie przypomnienia, żeby za pół roku sprawdzić ponownie, czy czasami te naruszenia nie pojawiły się z powrotem, ponieważ niestety polskie UODO nie robi takich analiz wedle naszej wiedzy, ale niemieckie UODO już na przykład robi coś takiego i tam jak ktoś dostanie analizę czy dostanie jakieś pouczenie od Urzędu Chrony Danych Osobowych, to na tym się nie kończy, tylko jest wtedy analiza taka z urzędu nadana, jest zapowiedziana, będzie tego i tego dnia, więc właściwie mogą zrobić, na ten dzień wyłączyć te cookies, a następnego dnia włączyć z powrotem, ale już jest jakiś nadzór nad tym jest. No i jeszcze trzeba dodać, że często te sprawy w UODO się ciągną, to trwa latami. Tak, trzy lata chyba najdłużej się sprawa ciągnie, UODO jest strasznie niedofinansowane i strasznie niewydajne. Generalnie czasem rok czy dwa czekamy, aż oni podejmą w ogóle sprawę, więc to jest przewlekłe stosowanie. Jest już ktoś, kto dostał odszkodowanie za przewlekłe stosowanie, więc może to będzie jakimś takim bodźcem do naszej publicznej infrastruktury, żeby jakoś tam UODO wspomóc. Ja myślę, że przede wszystkim mi nie zależy na tym, żeby UODO dedosować, znowu myślę, że byłoby bardzo fajnie, gdyby UODO opublikowało wytyczne odnośnie tego, jak zgody powinny wyglądać, dać księżoty dobrych, dać księżoty złych. Jeżeli ktoś kiedyś z UODO będzie tego słuchał, to z radością pomożemy takie przygotować, jeżeli one będą opublikowane i dostępne dla administratorów, łatwo wyszukiwalne, to to naprawdę nam oszczędzi pracy. Nam robienie tych zgłoszeń nie sprawia frajdy. Szczęściowo im więcej osób faktycznie zgłosi tę samą stronę, nawet przez naszą wtyczkę, czy też nie, to jest większe prawdopodobieństwo, że tak się wydarzy, że to będzie kara. Nie trzeba by mi tak krótkiego adresu. Feature request, reminder serwis, który będzie pilnował, żeby podjąć kolejne kroki, jeśli administrator nie odpowie do miesiąca. Tym będzie open web agent, właśnie. Będzie pilnował terminów, zarówno po stronie terminów urzędu, jak i terminów naszych. Czy podstawowy dashboard z wtyczki przedstawia to, co strona chciałaby zrobić, na przykład zapisać kuki, czy to, co faktycznie wykonała, nie zapisała kuki, bo ustawienia przeglądarki to blokują? W przypadku naszej wtyczki na ten ruch sieciowy, który się dzieje. Jak te inne wtyczki faktycznie blokują, to możemy naszą wtyczką sprawdzić, czy one faktycznie też blokują ten ruch. Więc do analizy strony najlepiej mieć incognito mode i wyłączone wszystkie wtyczki, bo wtedy to się najlepiej splamia to wszystko, nie? Jaka jest wasza opinia o usługach usuwania danych osobowych z internetu, na przykład incogni, czy coś wiecie? Znam tę usługę, ale nie mam żadnej na ten temat opinii. Zdarzyło się, aby jakaś firma złożyła wam ciekawą propozycję, abyście sobie z nimi odpuścili? Raczej było tak, że była firma, która przyszła do nas i powiedziała hej, nie wiedzieliśmy, a działamy też na niemieckim rynku, potrzebujemy większej zgodności i zatrudniła u nas konsultacje i pomagali się, ponieważ chcieliśmy, żeby to zajmowało mało czasu. Najlepiej by było, gdyby one nie były potrzebne. Gdyby po prostu internet domyślnie szanował naszą prywatność. Więc tak, więc potrzeba wdrożyć tak, żeby było zgodne. Z prezentacji zrozumiałem, że Firefox uruchamiany jest na X-serwerze. Czy próbowaliście uruchamiać Firefoxa w trybie headless, robiącym screenshot? Wtedy nie wiem, czy byśmy mieli dostęp do network konsoli. Wtedy nie możemy symulować kliknięć, z tego co wiem. A jest potrzebna dana frominspektora. No niestety, ja dużo myślałem zanim wybrałem tę ścieżkę. To nie jest coś, co zrobiłem z radością. Czy sprawdzaliście kiedyś, czy którykolwiek serwis, jak rozumiem, respektuje nagłówki do not track? Nie możemy tego sprawdzić. Co więcej, nagraliśmy odcinek o fingerprintingu. I tam też wspominaliśmy o tym nagłówce. Jeszcze raz? Ciężko to sprawdzić, bo... Aha, okej. To dobrze wiedzieć. Musimy się wymienić wizytówkami. Generalnie, no tak, raczej do not track działa tak, że tu masz moje dane, proszę nic z nimi nie rób. A to jest dodatkowy bit do informacji, nie? Tak, plus jest używany do zwiększania ilości informacji. Z tego co wiem, nie taka jest idea do not tracka. Do not track właśnie działa tak, że to jest tylko taki dodatkowy bit ustawiony w przeglądarce i wysyłasz to kukiz, ono jest ustawione, tylko prosisz serwis, żeby on tego otrzymanego kukiza i tych danych osobowych nie zapisywał, nie przetwarzał. Czy planujecie stworzyć wersję po angielsku, by zachęcić do raportowania przez obywateli UE? Jak ciężkie będzie to do zrobienia? Czy znacie odpowiedniki ŁODO w innych krajach? O odpowiednikach już tutaj... Każdy kraj ma jeden wyszew, wspierał w szyfrowanie end-to-end dokumentów i spraw. Jeżeli chodzi o interfejs angielski, to jest najczęściej requestowana funkcja. Obydwoje pracujemy w międzynarodowym środowisku i to się bardzo często pojawia. To generowanie tekstów w Friendgenie jest chyba największą jego taką złożonością, bo tam generalnie, tego nie zademonstrowaliśmy, ale jeżeli jest jedna domena, to on powie domena. Jeżeli są dwie domeny, to powie domeny. Jeżeli jest pięć domen, to on użyje odmiany domen. W sensie to jest wszystko gramatycznie, prawidłowo zrobione, więc to nie są stringi w XML-u, które można podmienić, to są funkcje. Więc potrzebujemy kogoś, kto jest i tłumaczem, i programistą, żeby to wszystko ładnie zagrać. Nie jest niemożliwe, ale jest to taka dodatkowa zmarszczka, która zawsze sprawia, że trochę to w czasie odlegliśmy. Jeszcze dodatkowo ten tryb skargowy prawdopodobnie w różnych krajach wygląda troszeczkę inaczej, więc to też trzeba uwzględnić jakoś. Czy screenshot service działa na wersjach mobilnych stron? On odpala je na desktopowym. Można ustawić, technicznie jest możliwość, żeby screenshot serwis odpalał to z mniejszym viewportem, żeby jakoś stykować te moduły, żeby przeskakiwały na wersję mobilną, ale póki co się skupialiśmy na desktopie. Jeżeli chodzi o mobilkę, to naszym głównym skupieniem jest Rangendroid. No i też dygresja na mobilkach, często te okienka, to wszystko by zasłaniało, w zasadzie to może od razu by taką stronę zgłaszać, bo w większości przypadków deweloperzy nawet tego zbytnio nie testują, jak to się zachowa na jakichś małych ekranach. Czy zamierzacie uzyskać status organizacji pożytku publicznego? Tak, jesteśmy zarejestrowaną w KRS-ie fundacją, musimy działać przez dwa lata co najmniej i udokumentować naszą skuteczność społeczną, żebyśmy mogli zostać się OPP i można było przelewać na nas 1%. Generalnie staliśmy się fundacją przede wszystkim po to, żeby móc składać powództwa przedstawicielskie, bo generalnie teraz nie możemy składać, ja mogę złożyć pozew na przykład albo do prokuratury informacji, że jakaś strona naruszyła moje osobiste dane, jeżeli na przykład strona T-Mobile narusza stronę dane także miliona innych osób, to ja w ich imieniu nie mogę złożyć. Jako fundacja mielibyśmy taką możliwość zrobienia takiego pozwu zbiorowego de facto, bo taka nowa rzecz istnieje, a fakt, że będziecie mogli nam jeszcze przelewać 1% dzięki temu to jest taki dodatkowy bonus. Czy są jakieś pytania z sali? Dobrze, to jeden mikrofon, o to ja tam już pójdę i będę go... Halo, halo, czyli tak, ja tylko współpracuję z Board Group Polska i oni mamy taki system federowania, może znacie go, co? No, czyli oni zapytują wszystkie gminy o coś i potem każda sprawa ma osobnego maila i dzięki temu automat czeka, czy przyszła na tego maila odpowiedź, jeżeli nie ma to przychodzi ponaglądanie, tak po tej automatyzacji są też cemi rodą. Dokładnie tak to chcemy zrobić w tym Open Web Agency, problem jest taki, że nie dostaliśmy dostępu do federowania, federowanie nie jest otwartym systemem, to trzeba dostać zaproszenie od watchdogów, czyli co ma się dziać, z którym dokumentem, jaki jest timeout, ile dni należy czekać, jakie pismo, jaki urząd i tak dalej, więc jeżeli ktoś z was chciałby się zaangażować w pracę nad tym, to też jak najbardziej serdecznie zapraszamy do kontaktu. I jeszcze integrację z ePUAP-em i e-doręczeniami. O, dokładnie tak, bo jest ten system nowy e-doręczenie, ma API, co mnie bardzo ucieszyło, bo już się bałem, że żeby integrować się z ePUAP-em znów będę musiał odpalać Firefoxa w Xie w dokerze, ale okazuje się, że chyba będzie jakaś łagodniejsza ścieżka. I naszym kolejnym krokiem, Arku, jest... Tak, bo jak widzicie w przeglądarce możecie sobie nawet bez naszej wtyczki odpalić tę przeglądarkę, przeglądać tego networka, sprawdzać co tam się wysyła i jak macie odpowiednią wiedzę. Albo tego federowania nie mieli. No istnieje ryzyko, że to zdedosuje urzędy, ale z drugiej strony jak urzędy nie chcą być zdedosowane, niech po prostu wszystko wrzucają na FTP-a i wszystkie dokumenty, żebyśmy mogli je sobie czytać, a nie, że musimy się o nie prosić. A zapytujecie papierowo, mailowo, czy na ePUAP? Z reguły ePUAP-em, żeby było akurat. To ile już macie tam, bo na watchdogach to są osoby, które mają 24 giga, to jest ten limit ePUAP-u. Potem nie ma więcej miejsca. Mogę sprawdzić teraz, mam to wszystko w jednym folderze. No ale już jestem, aż sam jestem ciekaw ile tego tutaj jest. Gdzie jest mój kursor? Tu jest. A właściwości mam, no trzy gigabajty. Jeszcze tak daleko nie doszło. Ale mogę użyć gorszej kompresji i będzie sześć. Kolejne pytanie z sali. Dzięki za świetną prezentację, jakby super robota, super ciekawe rzeczy. Mam dwa pytania, ale pierwsze jest z podpunktami. Pytanie pierwsze jest w kwestii, załóżmy, że jestem tym adminem, webmasterem i jestem tym powiedzmy dobrym, chcę żeby wszystko było ślicznie, ładnie i w ogóle zgodnie z prawem przede wszystkim. No i mogę przyjść do was powiedzmy z prośbą o pomoc i to jest podpunkt A, jaki zakres wsparcia oferujecie, w szczególności czy to jest tylko kwestia merytoryczna od strony praw do technicznej, czy też kwestia technologiczna, implementacyjna. I teraz podpunkt B odnośnie właśnie tej kwestii implementacyjnej. Zdarzyło mi się coś w okolicy tego implementować i wiem, że jest w tym trochę roboty i wiem, że są pewne serwisy ogólnie platformy Cookies Management Platforms i teraz jaka jest wasza opinia o tych rozwiązaniach, jeżeli one są złe to dlaczego, jeżeli dobre to czy jest może jakaś jedna dobra, może nie chodzi o to żeby reklamować, ale czy jakby coś w tym temacie możecie skomentować. No i jeszcze będę miał jedno pytanie za chwilę, a na razie te dwa. Pierwsze pytanie było o? A wasze usługi czy pomagacie technicznie? Pomagamy technicznie, prawnie i jedno i drugie naraz. Przygotować politykę prywatności? Czy wykrementujecie cały ten flow z Cookiesami? Możemy pomóc, możemy pomóc w implementacji, czy sprawdzić czy deweloper tej konkretnej instytucji to dobrze zrobił. Czyli lepiej przyjść do was niż wyobrażać Cookies Management Platform. Jest jakiś sztucznie nadany notyfikator dla użytkownika i tak dalej. Mamy już prototyp tego samego dla aplikacji mobilnych na Androida, ponieważ tam dzieje się dziki zachód, te aplikacje są zamknięte jak pobieracie je z na przykład Google Play w większości przypadków i można więc stwierdzić czy tam nasze dane nie są pozyskiwane i wysyłane do różnych podmiotów. A tych na przykład takie jak dojadę ma popat i znowu jest 800 podmiotów i faktycznie trzeba by wykonać chyba dwa razy tyle tapnięć, bo trzeba w każdy podmiot wejść i odznaczyć na przykład zgodę czy uzasadniony interes, więc jest tego całkiem sporo. Dodatkowo na urządzeniach mobilnych jest coś takiego, co się nazywa Advertising ID, to jest jeszcze gorsze niż Cookies, ponieważ jest wam losowo przypisywane, jest spójne i faktycznie każda aplikacja może to sobie odczytać i następnie zobaczyć, a ta sama osoba, która tutaj ma kalendarz miesiączkowy tutaj ma Allegro, no to reklamy pieluch i tak dalej. Więc też skanowanie tego ruchu jest utrudnione, jednak my napisaliśmy... Mam największe z One Trustem, no to tam nawet dokumentacja nie jest dobrze przygotowana, w sensie od One Trusta, więc ja się nie dziwię, że po prostu deweloperzy robią takie błędy, bo po prostu ciężko nawet znaleźć jak to poprawnie zrobić i jeszcze płacą za to. Intuicja takiego zwykłego Kowalskiego, trochę może Wajdru pokazał, Diabła się bawiąc, jest taka, że to jest powtarzalny proces. To jest bardzo powtarzalny. Więc dlaczego mam przyjść do was prosić o customowe usługi programistyczne, jak mogę wziąć gotowy formularz, wyklikać i mieć osadzony widget, który pięknie działa. Mamy pomysł także na projekt, który będzie takim widgetem, tylko że nikt nie będzie musiał za niego płacić, będą obu strony po prostu to implementować i te cookies będą blokowane faktycznie. I drugie pytanie jest trochę może bardziej techniczne i podchwytliwe może wręcz. Nie wiem, czy mógłbyś pokazać treść tego e-maila albo może po prostu z głowy możesz powiedzieć. Generalnie moja rozgmina jest w kierunku takim, że wy odpalacie ten, robicie te screenshoty na swoim serwerze, więc jakby w tym wypadku żadne moje dane nie zostały naruszone, więc jakby te dowody nie są dowodami na to, że mój identyfikator został przechwycony. I teraz właśnie jestem ciekawy, jak to adresujecie i jak się odnosicie do tego w tym mailu. Tak, odnosimy się do tego, w mailu tego nie piszemy. Idea jest taka, że pokazujemy, że takie procesy zachodzą, pokazujemy to na środowisku, które nie naraża użytkownika na ujawnianie swoich wrażliwych cookiesów. Tak, ale dany proces nie trzyma kupy, jest jakby sfałszowany w pewnym sensie. Pokazujemy, że taki proces istnieje. Owszem, to nie są te dane konkretnego tego użytkownika, bo pierwszy raz mieliśmy sytuacje, w których właśnie ktoś wysłał skinshoty i potem aż zadzwonił do nas, bo powiedział, że chyba ktoś mu się zalogował na jego Facebooka. Więc w obliczu tego wygenerowanie nowych takich skinshotów, kiedy będzie potrzeba już na komputerze użytkownika, nie jest problemem. Nie przedstawiamy tutaj czegoś, co nie było prawdą, bo teraz uwaga, jeżeli na serwerze zaszłyby procesy, których nie było na komputerze użytkownika, to on nie zrobi tego skinshota. To jest analiza, jest wysłany JSON z tym, co było wykryte na komputerze użytkownika, żeby serwer skupił się tylko na próbach udokumentowania tych procesów właśnie tam. Więc tak, to jest, tak jak mówiłem, to jest kompromisowe i w wypadku, w którym mieliśmy do wyboru coś, co jest bardziej rzeczowym dowodem, ale na razie naszych użytkowników, no to oczywiście wybraliśmy opcję tutaj. Nie, znaczy jasne, jakby wiadomo, że chodzi o ochronę użytkowników, tylko bardziej kwestia jest taka, że może trzeba w tym mailu to jakoś zaznaczyć, znaczy może trzeba, może by wypadało. No bo tu jest napisane część mojej historii przeglądania, a potem te skriny się nie odnoszą do tej historii przeglądania. Zobaczmy, a jeszcze jestem ciekaw, możemy sobie zobaczyć, jak my się do tych skrinów odnosimy. Ciasteczka stanowione na osobowo, administrator, państwu rola. W załączeniu, chyba nie. Proszę o wskazanie. Nie, nie, aha, tak, tak, chyba właśnie z tego powodu, tak mi się teraz wydaje, w tym szablonie w ogóle nie odnosimy się do tych skinshotów, tylko ja z reguły dodaję jakiś swój własny tekst o tych skinshotach. I ja dodaję taką formułkę, w załączeniu przesyłam zrzutu ekranu, które dokumentują zachodzenie takich procesów przetwarzania danych na państwa stronie internetowej. Mamy bardzo dobry dział prawny. Czy jeszcze jakieś pytanie? To może ja jeszcze a propos tego uzasadnionego interesu. Bo są niektóre z tych okienek, które tam pozwalają elegancko wybrać odrzuć, ale rozumiem, że bez wejścia i przeklikania się przez te wszystkie odkliknięcia uzasadnionego interesu, to odrzuć nie odrzuca uzasadnionego interesu. Odrzuć nie odrzuca, tak, tak, tak, bo odmowa zgody to jest coś innego niż wyrażenie sprzeciwu wobec przetwarzania danych na mocy uzasadnionego interesu. Tutaj najczęściej wchodzi taka kwestia, że można kwestionować w ogóle czy wybranie uzasadnionego interesu jako podstawy legalizującej takie procesy przetwarzania danych osobowych jest poprawne. Czy nie powinno to na przykład być robione na podstawie zgody. Bo znowu, jeżeli ten balans interesów użytkownika i administratora się nie zgadza, no to powinni być użyć zgody. Jeżeli użytkownik wyrazi zgodę, no to wszystko można robić, ale ta zgoda musi być ważna i musi spełniać te warunki. Co więcej jest jeszcze jedna rzecz, przepraszam Marku, nie można wskazywać dwóch podstaw przetwarzania danych do jednego celu. Czasem widzimy przycisk słówek zgoda i słówek uzasadniony interes do jednego celu. To jest zupełnie nielegalne i to nawet UODO na swojej stronie napisało, że musimy wybrać jedną podstawę przetwarzania danych osobowych do jednego celu. Dobrze i na tym pytaniu zakończymy. Także wielkie brawa tutaj dla chłopaków. Dziękuję.