W ostatnich dniach z siłą tornada wrócił temat RODO w branży fotograficznej. Potężny cios nadszedł po tym, jak nie wszyscy przyjęli do wiadomości, że wizerunek to także dane osobowe i nie każdy zaadaptował się do nowych przepisów. O co chodzi?

Zasadniczo o to samo co zawsze, czyli możliwość. Tym razem sprawa dotyczy możliwości dostępu do danych bez autoryzacji. Miażdżąca większość z nas korzysta może z 2 rodzajów systemów zarządzania treścią. Oba są, mówiąc krótko fajne, ale nikt nigdy przy ich projektowaniu nie pomyślał o kukułczym jaju – RODO. W związku z tym niespecjalnie trudzono się kwestią szyfrowania treści dostępnych z poziomu witryny. W praktyce pozwala to podlinkować obrazek z naszej strony na innej stronie (nazywa się to hotlinkiem).

Działa to miej więcej tak:

Mamy stronę: https://www.filmweb.pl/film/Fotograf-2014-666870/photos/544913, a na niej obrazek umieszczony i dostępny pod adresem: https://ssl-gfx.filmweb.pl/ph/68/70/666870/544913_1.1.jpg

Pytasz i co z tego? Wyobraź sobie, że jest to Twoja galeria i zdjęcia, które nie powinny ujrzeć światła dziennego. Jeśli ujrzą – możesz mieć przerąbane na całej linii.

Jak może do tego dojść? Nawet na trzy (dwa na pewno) sposoby.

Sposób 1. Któraś z osób upoważnionych do dostępu do galerii kopiuje taki link, wysyła go w świat i już afera gotowa. Niby nie Twoja wina. Jednak to Ty jesteś odpowiedzialny za bezpieczeństwo danych i to na Tobie spoczywa obowiązek zapobiegania tego typu sytuacjom. Prosty przykład: jeśli haker wykradnie z banku numer Twojej karty i zrobi z niej użytek, to do kogo masz pretensje? Do banku…

Sposób 2. Każdy system CMS ma jednolity sposób przechowywania plików. Są one umieszczone w określonym folderze. Nie trzeba być geniuszem zła by tam dotrzeć i móc te zdjęcia zobaczyć lub pobrać.

Sposób 3. – najzabawniejszy. Nieumiejętne zarządzanie stroną przez jej właściciela (czyli Ciebie) może doprowadzić do zaindeksowania prywatnych galerii w Google. W związku z tym samodzielnie, lecz przeważnie nieświadomie,  możesz wysłać zdjęcia w świat.

O co cała afera?

Cóż, publikacja Gazety Prawnej uruchomiła lawinę. Kilka dni później przekaz o takich lukach zabezpieczeń był już tematem dnia Radia ZET. Znaczy się wszystkie kancelarie polujące na łatwe pieniądze, wszyscy roszczeniowi klienci i samozwańczy specjaliści RODO – już wiedzą. Fotografowie stali się zwierzyną, na którą będzie polować każdy: od naciągaczy, po Urząd Ochrony Danych Osobowych. A ten jak już wiemy, działa skutecznie. Kilka dni temu przykładnie ukarał polską firmę grzywną o wartości prawie miliona złotych. Co jeszcze jest pewne? To, że nasi Klienci zaczną o te sprawy pytać.

Co robić?

Można zamknąć biznes i pojechać w Bieszczady. Można nie tworzyć postów i galerii prywatnych w ramach systemu CMS, a zdjęcia przekazywać tylko pod komisariatem policji w teczce z kajdankami.

Można też zrobić to dobrze i mądrze, czyli znaleźć rozwiązanie. Spędziłem na tym kilka dni i powiem tak. Biorąc pod uwagę wydatki, jakie fotograf może ponieść za dodatkowe zabezpieczenie strony, trudno mówić o skutecznym rozwiązaniu opartym o dobrze wszystkim znane CMS-y. Dlaczego? Bo ich największą słabością jest właśnie ich popularność. Są przez to ulubionym celem ataków wirusów i wszelkiej maści badziewia (w tym spam komentarzy), które na pewno znasz z autopsji.

Rzuciłem też okiem na kilka rozwiązań w branży, które są w takich przypadkach rekomendowane. Co mogę napisać? Tylko tyle, że rekonesans wprawił mnie w osłupienie.

Pixiset poległo – dowód:

https://images.pixieset.com/sample-collection/sample-photo-4-large.jpg

To zdjęcie pochodzi z prywatnej galerii zabezpieczonej hasłem na potrzeby tego testu.

Photonesto – podobnie:

https://pawelheczko.photonesto.com/v1/catalogues/9d7eba3b-88aa-4b60-bcc6-ee5d0406ff27/photos/d1819c58-8896-44cb-84de-276edc0c18cb.jpg

Shootproof – tu zdjęcie od razu jest pobierane, a nie tylko wyświetlane:
https://diy2dhgsjw6gb.cloudfront.net/ph/3deb0548c18f3e0ca12e02fa96b094f1/2x/1201030192.jpg

W przedbiegu odpadają też pluginy, które bazują na WordPressie. Skoro sam WP jest podatny na ten mechanizm, to nie ma nawet co szukać dalej.

Szok i niedowierzanie

Jeśli zauważyłeś, że w powyższym zestawieniu brak dość znanego polskiego systemu, mam dla Ciebie zaskakującą wiadomość. Otóż Zalamo jako jedyna z testowanych przeze mnie opcji, przeszedł pomyślnie próbę „pokaż źródło”.

Oto link widoczny w źródle strony do mojego zdjęcia:

https://zalamo.com/image/?file=55029051&photo_group_id=13011715&width=1680&height=1050&module=client&phid=43263027&watermark=5aeb30fcca4750517a094783156cc6d3&status=1

Czyli da się to zrobić tak, żeby było dobrze.

Wniosek?

Okazuje się, że duże biznesy zza oceanu nie do końca zdają sobie sprawę z tego, co RODO oznacza w praktyce i o jakie absurdy przyszło się nam rozbijać. Na szczęście nie jesteśmy bez szans i to dzięki Zalamo. Pytanie brzmi czy to jedyny wybór? Na pewno nie, bo nie testowałem absolutnie każdego systemu. Jest za to jedną z niewielu opcji, które można wdrożyć natychmiast, bez wysokich nakładów finansowych. Dzięki temu zdaje się być doskonałą odpowiedzią na nadciągające czarne chmury.

Całe to zamieszanie jest też dobrym momentem, by zastanowić się poważnie nad tym, co robimy ze zdjęciami (czyli w pewnym zakresie danymi osobowymi) naszych klientów. I czy chcielibyśmy, by nasze dane były traktowane tak samo, jak my traktujemy dane osób, które nam zaufały.