Mida peaksid teadma Google ReCaptchast kui kasutad seda oma veebilehel

Google ReCaptcha on hea tööriist kaitsmaks veebilehte spämmi vastu. Seda on lihtne kasutusele võtta, see on efektiivne ning tasuta aga see võib kaasa tuua probleeme GDPR reeglite täitmisel.

Suure tõenäosusega on veebilehel Google ReCaptcha kasutamiseks vjalik küsida veebilehe külastaja nõusolekut. Kui veebirobot ehk bot tarkvararakendusena oskab nõusolekust keelduda, siis tekib küsimus, kas ReCaptcha kasutuselevõtul on üldse mõtet?

Google ReCaptcha pakub kahte tasuta versiooni – V2 ja V3

ReCaptcha V2 annab veebilehe külastajale ülesande, mille ta peab lahendama kui soovib jätkata tegevusega, mida spämmijad tavaliselt sihtmärgiks võtavad, näiteks veebivormi täitmine. Külastajalt võidakse nõuda piltide klassifitseerimist, näiteks määrata, millistel pakutud piltidest on kujutatud veesõidukit.

Ülesanne on disainitud selliselt, et veebirobotitel on seda raske täita. V2 on pigem privaatsussõbralik lähenemine ning seda saab rakendada vaid selles veebilehe osas, kus see on vajalik, näiteks veebivormi täitmise lehel. Selline lähenemine minimeerib oluliselt privaatsuse riivet.

ReCaptcha V3 lahendus nõuab aga efektiivseks kasutamiseks veebijälgimise koodi rakendamist kõikidel sinu veebilehtedel ning alamlehtedel. V3 pakub sujuvamat kasutajakogemust. See töötab peamiselt taustal ning suunab külastajaid ülesannet lahendama vaid juhul kui kahtlustab, et tegemist võib olla veebirobotiga. Kahtluseta veebikülastaja saab aga jätkata lehel ülesannet lahendamata kui tema tegevus enne veebivormi täitma asumist tundub ReCaptcha tarkvarale inimlik.

Selline lähenemine on külastajale oluliselt meeldivam, kuid kaasab endas ka oluliselt suuremat privaatsusriivet just andmete tõttu, mida kogutakse veebiroboti ja inimese vaheteoks.

Google ReCaptcha töötab veebilehe külastaja veebikäitumise kohta andmeid kogudes ning neid analüüsides. See hõlmab nii külastaja arvutihiire liikumist, veebilehe sisu avamise ja kasutamise andmeid, aega, mis kulub külastajal veebivormide täitmiseks kui ka seda, mis seadmega veebilehte külastatakse. Kogutud andmete põhjal koos faktiga, kas külastaja on samaaegselt Google’i kontole sisseloginud, arvutatakse külastajale hinnang, mis ütleb kui suure tõenäosusega on ta veebirobot.

Potentsiaalselt kombineeritakse seda andmestikku ka külastaja teiste veebikülastuste andmetega, mis kasutavad sama Google ReCaptcha rakenduse koodi ning see võib kaasa tuua veelgi ulatuslikuma privaatsuse riive. Loogika ütleb, et mida rohkem andmeid koguda, seda paremini suudab tööriist ennustada, kas veebikülastaja puhul on tegemist päris inimesega või veebirobotiga.

Kuid lisaks sellele, et tegemist on efektiivse lahendusega ning see teenib tõesti ka reaalset eesmärki (vähendada soovimatut spämmi), põhjustab see tööriist ka mitmeid andmekaitsealaseid probleeme.

Miks see andmekaitse probleem on?

Peamiseks murekohaks ReCaptcha puhul võib pidada GDPR-i proportsionaalsuse printsiipi ning isikuandmete töötlemise õigusliku aluse valikut (antud kontekstis siis kas nõusolek või õigustatud huvi).

GDPR-i proprtsionaalsuse printsiip sedastab, et isikuandmete töötlejad (näiteks veebilehe omanik) tohib koguda ja töödelda vaid neid isikuandmeid ning sellises mahus, mis on eesmärgi saavutamiseks vajalikud. Selle printsiibi alusel võib Google ReCaptcha andmetöötlust pidada ülemääraseks, sest töödeldav andmete koosseis teeb selle tööriista küll efektiivseks spämmipiduriks, kuid sama tulemust on võimalik saavutada ka teisi, vähem privaatsust riivavaid vahendeid kasutades.

Just seetõttu on kaheldav, kas antud tööriist on eesmärgi saavutamiseks proportsionaalne vahend ning kas selline olukord lubaks õigusliku alusena kasutada õigustatud huvi.

Siit edasi, kui ainsaks õigustatud aluse valikuks jääb veebikülastaja selgesõnaline nõusolek enne ReCaptcha rakendamist veebilehe külastusele ja pahatahtlikule veebirobotile antakse seega võimalus ReCaptcha veebiküpsistest keelduda, siis tekib küsimus, kas on üldse mõtet ReCaptchat kasutada.

Muuhulgas tasub mainida ka seda, et Google ReCaptcha edastab töödeldavad andmed USA-s asuvatesse serveritesse.  

Google ReCaptcha evib endas tõsiseid GDPR-i ja e-privaatsuse murekohti, kuid siiski kasutavad seda paljud veebitoodete pakkujad. See on üks maailma populaarsemaid spämmivastaseid tööriistu.

Täna ei ole veel kujunenud piisavat õiguslikku seisukohta Google ReCaptcha vastavusest GDPR-ile ja selle kasutamise õigusliku aluse kohta ning tööriista kasutades soovitame kaasata vastava ala õiguseksperte. Samuti tuleks veenduda, et teie veebilehe külastajad oleksid piisavalt selgelt informeeritud sellise tehnoloogia kasutamisest.  

« Tagasi
Hedman

Meie kuuluvused:
FinanceEstonia,
Teenusmajanduse Koda,
Eesti Kaubandus-Tööstuskoda,
EstVCA, EstBan, FECC,
IBA & IBA European regional Forum