Baza Whois pół roku po wejściu w życie RODO

Pamiętacie jeszcze szaleństwo związane z RODO? W pierwszej połowie 2018 roku nie było gorętszego tematu, niż Ogólne Rozporządzenie o Ochronie Danych, które wywołało niemałe zamieszanie w wielu dziedzinach biznesu.

O tym jaki wpływ miało RODO na domeny internetowe pisaliśmy już w kwietniu. Przyszedł czas przyjrzeć się statystykom i sprawdzić co się faktycznie zmieniło od 25 maja 2018, czyli momentu kiedy zapisy RODO zaczęły oficjalnie funkcjonować.

Przypomnijmy sobie czym jest RODO – jest to “Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE”.

W związku z tym zapewne jesteście ciekawi jak wygląda obecnie baza WHOIS europejskich rejestrów i co się faktycznie zmieniło w związku z wyświetlaniem danych abonentów. Dla przypomnienia, bazy WHOIS to publicznie dostępne bazy danych, gdzie każdy może sprawdzić, kto jest abonentem danej nazwy domeny.

Jakiś czas temu CENTR, czyli organizacja zrzeszająca i promująca rejestry krajowe z Europy przygotowała raport, który podsumowuje wpływ obowiązywania RODO na rejestry domen i bazę WHOIS.

ZBIERANIE DANYCH REJESTRUJĄCYCH

Jeśli chodzi o zbieranie danych, 64% rejestrów postrzega siebie jako podmioty kontrolujące rejestratorów w tej kwestii. Co więcej, 79% z tych rejestrów przyznało, że dostarcza rejestratorom instrukcji dotyczących gromadzenia danych klientów i przekazuje je za pomocą umów rejestratorskich.

DOKŁADNOŚĆ DANYCH

50% rejestrów przeprowadza weryfikację tożsamości posiadacza domeny w chwili jej rejestracji, a 18% jeszcze przed rejestracją. Pozostałe 32% rejestrów nie przeprowadza żadnych weryfikacji.

W celu zweryfikowania tożsamości sprawdza się wpisy w oficjalnych rejestrach, takich jak Krajowy Rejestr Urzędowy Podmiotów Gospodarki Narodowej oraz dokumenty dostarczone przez właściciela domeny. Niektóre rejestry do weryfikacji korzystają z eID (Electronic Identity Verification), czyli publicznych i prywatnych baz danych, aby szybko potwierdzić czy dana osoba jest tym za kogo się podaje.

PUBLIKOWANIE DANYCH REJESTRUJĄCYCH

Mimo że kilka rejestrów wyraźnie stwierdziło, że nie publikuje danych osobowych w bazie WHOIS, inne uznały, że mają podstawy prawne do tego, żeby publikować niektóre dane rejestrujących. Jako uzasadnienie publikacji danych podawali najczęściej:

  • umożliwienie kontaktu osobom trzecim,
  • warunki umowy,
  • zgoda rejestrującego (włączenie usługi opt-in, polegającej na upublicznieniu danych na życzenie),
  • prawo krajowe.

Prawie połowa, bo 11 z 27 rejestrów (44%) zapewnia możliwość upublicznienia danych abonenta w bazie WHOIS na życzenie, a 3 rejestry mają w planie wprowadzić taką opcję. Pozostałe 10 rejestrów (40%) nie ma zapewnia klientom możliwości skorzystania z takiej opcji.

DANE OPUBLIKOWANE W BAZIE WHOIS

Na poniższym wykresie pokazano, które dane zostały zebrane i opublikowane w bazie WHOIS. Dane podzielono na te należące do osób fizycznych oraz przedsiębiorstw. Pogrupowane zostały w następujący sposób: kontakt do rejestrującego (np. imię, adres), kontakt techniczny, kontakt administracyjny i inne (np. nazwy serwera, status domeny itp.).

Jeśli chodzi o dane kontaktowe rejestrujących, to w przypadku osób prywatnych wskaźnik zebranych danych wyniósł 74%, a w bazie WHOIS upubliczniono 10% z nich. Co do danych kontaktowych firm, z zebranych 76%, upubliczniono 49%.

Baza Whois po wejściu RODO

Tak jak wspominaliśmy we wcześniejszym artykule, wśród rejestrów różnych krajów nie ma harmonizacji – każdy rejestr sam projektuje infrastrukturę i określa politykę rejestracji. Dlatego właśnie dane z poniższej tabeli nie są ujednolicone.

Okazuje się więc, że rejestry ujawniły w bazie WHOIS 11% adresów e-mail należących do osób fizycznych oraz 47% należących do przedsiębiorstw (przy wskaźniku zebranych danych wynoszącym 95% w obu przypadkach). Jeśli chodzi o imię i nazwisko rejestrującego, zostały ujawnione w przypadku 21% osób prywatnych oraz 74% przedsiębiorstw. Numer telefonu został ujawniony u 5% osób prywatnych i 42% firm. Więcej informacji o danych upublicznionych w bazie WHOIS znajdziemy w tabelce poniżej.

Baza Whois pół roku po wejściu w życie RODO

PRZECHOWYWANIE DANYCH I WNIOSKI

W przypadku 60% rejestrów dane dotyczące właściciela domeny są przechowywane przez ponad 5 lat po skasowaniu domeny, a dla 32% (8 rejestrów) zostają zachowane na zawsze.

Okazuje się, że wiele rejestrów nie stosuje się do zasady “prawa do usunięcia wszystkich danych”, która zgodnie z RODO w pewnych konkretnych sytuacjach daje rejestrującym prawo żądać usunięcia wszelkich danych, które zostały zebrane na ich temat. Niektóre rejestry uważają, że dane osobowe posiadacza domeny są niezbędne do wykonywania obowiązków wynikających z treści umowy zawartej między rejestrującym a rejestratorem, a w związku z tym nie egzekwują “prawa do bycia zapomnianym”.

Wnioski o dostęp, poprawianie i usuwanie danych są obsługiwane przez dział klienta, dział prawny lub zespół ds. ochrony prywatności. Nie ma jednego, dedykowanego zespołu, który zajmowałby się sprawami związanymi z RODO.

DOSTĘP DO DANYCH

88% rejestrów umożliwia dostęp do niepublicznych danych WHOIS pod pewnymi warunkami. W większości przypadków dostęp ten zostaje przydzielony za pomocą wiadomości e-mail, na indywidualną prośbę zainteresowanego. Dostęp do bazy zostaje przydzielony organom ścigania (91%), podmiotom dysponującym nakazem sądowym (86%) lub stronom posiadającym “uzasadniony interes” (54%).

Baza danych Whois po wprowadzeniu w życie RODO

4 rejestry planują wprowadzić mechanizm akredytacji dla stron mających uzasadniony interes. Pozostałe 8 rejestrów zamierza przedyskutować ten temat z zarządzającymi CENTR.

RODO A REJESTRY DOMEN – OGÓLNE WNIOSKI

Podsumowując temat RODO w świecie domen internetowych, okazuje się, że 88% rejestrów regularnie monitoruje sytuację na rynku związaną z wdrażaniem nowych przepisów dotyczących ochrony danych osobowych.

Większość rejestrów europejskich, bo dokładnie 70% planuje przeprowadzać kontrole i audyty u rejestratorów. A jak sobie zamierzają poradzić z tymi, którzy nie dostosowali swoich regulaminów do wymogów RODO?

Rejestry mają na to dwie metody – dać więcej czasu na wprowadzenie zmian oraz wyznaczyć ostateczny termin, do którego rejestratorzy muszą dostosować biznes pod konkretne wytyczne związane z RODO. Jeśli po tym dodatkowym czasie rejestratorzy wciąż nie wprowadzili wymaganych zmian, następuje rozwiązanie umowy z danym rejestratorem.

A jakie są wasze doświadczenia i obserwacje związane z RODO i domenami?

Podobał Ci się artykuł? Udostępnij

Wypełnij formularz, aby otrzymać Domenowy Niezbędnik

* Zapisując się do newslettera, wyrażasz zgodę na przesyłanie Ci informacji o nowościach, promocjach, produktach i usługach firmy Domeny.tv. Zgodę możesz w każdej chwili wycofać, a szczegóły związane z przetwarzaniem Twoich danych osobowych znajdziesz w polityce prywatności.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *