Pamiętacie jeszcze szaleństwo związane z RODO? W pierwszej połowie 2018 roku nie było gorętszego tematu, niż Ogólne Rozporządzenie o Ochronie Danych, które wywołało niemałe zamieszanie w wielu dziedzinach biznesu.
O tym jaki wpływ miało RODO na domeny internetowe pisaliśmy już w kwietniu. Przyszedł czas przyjrzeć się statystykom i sprawdzić co się faktycznie zmieniło od 25 maja 2018, czyli momentu kiedy zapisy RODO zaczęły oficjalnie funkcjonować.
Przypomnijmy sobie czym jest RODO – jest to “Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE”.
W związku z tym zapewne jesteście ciekawi jak wygląda obecnie baza WHOIS europejskich rejestrów i co się faktycznie zmieniło w związku z wyświetlaniem danych abonentów. Dla przypomnienia, bazy WHOIS to publicznie dostępne bazy danych, gdzie każdy może sprawdzić, kto jest abonentem danej nazwy domeny.
Jakiś czas temu CENTR, czyli organizacja zrzeszająca i promująca rejestry krajowe z Europy przygotowała raport, który podsumowuje wpływ obowiązywania RODO na rejestry domen i bazę WHOIS.
ZBIERANIE DANYCH REJESTRUJĄCYCH
Jeśli chodzi o zbieranie danych, 64% rejestrów postrzega siebie jako podmioty kontrolujące rejestratorów w tej kwestii. Co więcej, 79% z tych rejestrów przyznało, że dostarcza rejestratorom instrukcji dotyczących gromadzenia danych klientów i przekazuje je za pomocą umów rejestratorskich.
DOKŁADNOŚĆ DANYCH
50% rejestrów przeprowadza weryfikację tożsamości posiadacza domeny w chwili jej rejestracji, a 18% jeszcze przed rejestracją. Pozostałe 32% rejestrów nie przeprowadza żadnych weryfikacji.
W celu zweryfikowania tożsamości sprawdza się wpisy w oficjalnych rejestrach, takich jak Krajowy Rejestr Urzędowy Podmiotów Gospodarki Narodowej oraz dokumenty dostarczone przez właściciela domeny. Niektóre rejestry do weryfikacji korzystają z eID (Electronic Identity Verification), czyli publicznych i prywatnych baz danych, aby szybko potwierdzić czy dana osoba jest tym za kogo się podaje.
PUBLIKOWANIE DANYCH REJESTRUJĄCYCH
Mimo że kilka rejestrów wyraźnie stwierdziło, że nie publikuje danych osobowych w bazie WHOIS, inne uznały, że mają podstawy prawne do tego, żeby publikować niektóre dane rejestrujących. Jako uzasadnienie publikacji danych podawali najczęściej:
- umożliwienie kontaktu osobom trzecim,
- warunki umowy,
- zgoda rejestrującego (włączenie usługi opt-in, polegającej na upublicznieniu danych na życzenie),
- prawo krajowe.
Prawie połowa, bo 11 z 27 rejestrów (44%) zapewnia możliwość upublicznienia danych abonenta w bazie WHOIS na życzenie, a 3 rejestry mają w planie wprowadzić taką opcję. Pozostałe 10 rejestrów (40%) nie ma zapewnia klientom możliwości skorzystania z takiej opcji.
DANE OPUBLIKOWANE W BAZIE WHOIS
Na poniższym wykresie pokazano, które dane zostały zebrane i opublikowane w bazie WHOIS. Dane podzielono na te należące do osób fizycznych oraz przedsiębiorstw. Pogrupowane zostały w następujący sposób: kontakt do rejestrującego (np. imię, adres), kontakt techniczny, kontakt administracyjny i inne (np. nazwy serwera, status domeny itp.).
Jeśli chodzi o dane kontaktowe rejestrujących, to w przypadku osób prywatnych wskaźnik zebranych danych wyniósł 74%, a w bazie WHOIS upubliczniono 10% z nich. Co do danych kontaktowych firm, z zebranych 76%, upubliczniono 49%.
Tak jak wspominaliśmy we wcześniejszym artykule, wśród rejestrów różnych krajów nie ma harmonizacji – każdy rejestr sam projektuje infrastrukturę i określa politykę rejestracji. Dlatego właśnie dane z poniższej tabeli nie są ujednolicone.
Okazuje się więc, że rejestry ujawniły w bazie WHOIS 11% adresów e-mail należących do osób fizycznych oraz 47% należących do przedsiębiorstw (przy wskaźniku zebranych danych wynoszącym 95% w obu przypadkach). Jeśli chodzi o imię i nazwisko rejestrującego, zostały ujawnione w przypadku 21% osób prywatnych oraz 74% przedsiębiorstw. Numer telefonu został ujawniony u 5% osób prywatnych i 42% firm. Więcej informacji o danych upublicznionych w bazie WHOIS znajdziemy w tabelce poniżej.
PRZECHOWYWANIE DANYCH I WNIOSKI
W przypadku 60% rejestrów dane dotyczące właściciela domeny są przechowywane przez ponad 5 lat po skasowaniu domeny, a dla 32% (8 rejestrów) zostają zachowane na zawsze.
Okazuje się, że wiele rejestrów nie stosuje się do zasady “prawa do usunięcia wszystkich danych”, która zgodnie z RODO w pewnych konkretnych sytuacjach daje rejestrującym prawo żądać usunięcia wszelkich danych, które zostały zebrane na ich temat. Niektóre rejestry uważają, że dane osobowe posiadacza domeny są niezbędne do wykonywania obowiązków wynikających z treści umowy zawartej między rejestrującym a rejestratorem, a w związku z tym nie egzekwują “prawa do bycia zapomnianym”.
Wnioski o dostęp, poprawianie i usuwanie danych są obsługiwane przez dział klienta, dział prawny lub zespół ds. ochrony prywatności. Nie ma jednego, dedykowanego zespołu, który zajmowałby się sprawami związanymi z RODO.
DOSTĘP DO DANYCH
88% rejestrów umożliwia dostęp do niepublicznych danych WHOIS pod pewnymi warunkami. W większości przypadków dostęp ten zostaje przydzielony za pomocą wiadomości e-mail, na indywidualną prośbę zainteresowanego. Dostęp do bazy zostaje przydzielony organom ścigania (91%), podmiotom dysponującym nakazem sądowym (86%) lub stronom posiadającym “uzasadniony interes” (54%).
4 rejestry planują wprowadzić mechanizm akredytacji dla stron mających uzasadniony interes. Pozostałe 8 rejestrów zamierza przedyskutować ten temat z zarządzającymi CENTR.
RODO A REJESTRY DOMEN – OGÓLNE WNIOSKI
Podsumowując temat RODO w świecie domen internetowych, okazuje się, że 88% rejestrów regularnie monitoruje sytuację na rynku związaną z wdrażaniem nowych przepisów dotyczących ochrony danych osobowych.
Większość rejestrów europejskich, bo dokładnie 70% planuje przeprowadzać kontrole i audyty u rejestratorów. A jak sobie zamierzają poradzić z tymi, którzy nie dostosowali swoich regulaminów do wymogów RODO?
Rejestry mają na to dwie metody – dać więcej czasu na wprowadzenie zmian oraz wyznaczyć ostateczny termin, do którego rejestratorzy muszą dostosować biznes pod konkretne wytyczne związane z RODO. Jeśli po tym dodatkowym czasie rejestratorzy wciąż nie wprowadzili wymaganych zmian, następuje rozwiązanie umowy z danym rejestratorem.
A jakie są wasze doświadczenia i obserwacje związane z RODO i domenami?
Odpowiada za działania marketingowe marek Domeny.tv, MSERWIS.pl oraz Dotinum.