Kalifornie žaluje 23andMe kvůli úniku genetických dat 7 milionů uživatelů

Kalifornie žaluje 23andMe kvůli úniku genetických dat 7 milionů uživatelů

Kalifornský generální prokurátor podal žalobu na DNA testovací společnost 23andMe, nyní působící jako Chrome Holding Co., kvůli jejímu zacházení s únikem dat z roku 2023, který odhalil genetická data a data o původu téměř 7 milionů uživatelů. Žaloba se opírá o dvě klíčová tvrzení: že 23andMe nedostatečně ochránila jedny z nejcitlivějších osobních údajů, a že uvedla zákazníky v omyl ohledně skutečné závažnosti úniku. Pro každého, kdo přemýšlí o ochraně soukromí při úniku genetických dat, je tento případ ostrým připomenutím, že žádný nástroj na ochranu soukromí ani spotřebitelský zvyk nemohly tomuto výsledku zabránit.

Co kalifornská žaloba proti 23andMe ve skutečnosti tvrdí

Stížnost kalifornského generálního prokurátora se zaměřuje na údajné selhání 23andMe při zavádění odpovídajících bezpečnostních opatření pro data, která zahrnují profily DNA a informace o zdravotních predispozicích. Když byl únik poprvé zveřejněn, kritici upozorňovali, že veřejná komunikace společnosti bagatelizovala rozsah kompromitovaných údajů. Žaloba tyto obavy formalizuje a argumentuje, že spotřebitelé byli ohledně závažnosti úniku uvedeni v omyl.

Tento případ je právně významný tím, že genetická data spadají podle kalifornského práva do zvláštní kategorie. Na rozdíl od uniklé e-mailové adresy nebo dokonce čísla kreditní karty nelze údaje DNA změnit. Jsou přímo spojeny se zdravotními zranitelnostmi, rodinnými vztahy a původem, a to trvale. Stát argumentuje, že 23andMe měla právní i etickou povinnost zacházet s těmito daty s mnohem větší péčí, než jakou zjevně projevila.

Proč představují genetická a zdravotní data odlišnou kategorii rizika

Většina úniků dat způsobuje vážné škody, ale úniky genetických dat mají důsledky sahající daleko za jednotlivce. Vaše DNA obsahuje informace o vašich příbuzných, včetně lidí, kteří nikdy nedali souhlas se sdílením čehokoli s třetí stranou. Může odhalit predispozice k nemocem, etnický původ a biologické rodinné vazby – údaje, které mohou pojišťovny, zaměstnavatelé nebo zlí aktéři zneužít roky či desetiletí po úniku.

To je to, co odlišuje genetická data od přihlašovacích údajů a behaviorálních profilů, které odhaluje většina firemních úniků. Pro váš genom neexistuje reset hesla. Tato skutečnost klade obrovskou odpovědnost na společnosti, které tento typ informací shromažďují a uchovávají, a přesně tento argument nyní Kalifornie prosazuje u soudu.

Situace odráží širší obavy z toho, jak velké společnosti nakládají s citlivými uživatelskými informacemi bez smysluplné odpovědnosti. Jak informovalo zpravodajství o žalobě texaského generálního prokurátora na Netflix kvůli tajnému shromažďování uživatelských dat, generální prokurátoři napříč zemí jsou stále ochotnější stíhat technologické a spotřebitelské firmy, které zneužívají nebo nedostatečně chrání osobní údaje, jež shromažďují.

Co VPN po firemním úniku dat umí a co ne

Toto je případ, který si zaslouží upřímné zarámování pro čtenáře dbající na soukromí. VPN je cenným nástrojem pro šifrování vašeho internetového provozu, maskování vaší IP adresy před webovými stránkami a inzerenty a ochranu vaší aktivity ve veřejných sítích. To jsou skutečné a smysluplné výhody.

Únik dat u 23andMe však nebyl případem, kdy by někdo zachytil data při přenosu. Jednalo se o selhání uvnitř vlastních systémů společnosti, které se týkalo dat, jež uživatelé odevzdali o roky dříve. VPN spuštěná na vašem zařízení v okamžiku úniku by neudělala nic pro ochranu profilů DNA uložených v databázi 23andMe.

Tento rozdíl je důležitý, protože spotřebitelé jsou někdy vedeni k přesvědčení, že nástroje na ochranu soukromí, jako je VPN, vytvářejí kolem jejich digitálního života komplexní štít. Nevytvářejí. Jakmile předáte data třetí straně, vaše ochrana závisí výhradně na bezpečnostních postupech dané společnosti, právních povinnostech a ochotě být transparentní, když se něco pokazí. Žaloba na 23andMe naznačuje, že přinejmenším jedna z těchto pojistek selhala hned v několika ohledech.

Praktické kroky k omezení rizika nad rámec VPN

Pochopit limity jakéhokoli jednotlivého nástroje na ochranu soukromí je prvním a nejdůležitějším krokem. Od něj se pak odvíjí několik konkrétních návyků, které mohou smysluplně snížit vaše riziko u společností, jež uchovávají citlivá data.

Buďte selektivní v tom, co sdílíte. Genetické testovací služby jsou spotřebitelské produkty se skutečnými kompromisy v oblasti soukromí. Před odesláním vzorku DNA si projděte zásady uchovávání dat společnosti, její historii s žádostmi orgánů činných v trestním řízení o data a to, co se stane s vašimi daty, pokud společnost získá jiný subjekt nebo zbankrotuje. Konkurzní řízení 23andMe již vyvolalo samostatné obavy o osud její databáze.

Zkontrolujte a využijte možnosti smazání. Mnoho genetických testovacích společností nabízí možnost smazat uložená data DNA a informace o účtu. Pokud jste využili službu a už si nepřejete, aby vaše data byla uchovávána, využijte toto právo. Ne všechny společnosti to usnadňují, ale často je to možné.

Pečlivě čtěte oznámení o úniku. Společnosti mají zákonnou povinnost vás o kvalifikovaných únicích informovat, ale jak ukazuje kalifornská žaloba, formulace těchto oznámení může podceňovat skutečný rozsah škody. Pokud obdržíte oznámení o úniku, berte ho vážně bez ohledu na to, jak je napsáno, a pro úplnější obrázek si ověřte nezávislé zpravodajství.

Pochopte, co souhlas skutečně pokrývá. Registrace ke službě znamená souhlas se zásadami ochrany osobních údajů dané společnosti, ale tyto zásady často obsahují široká ustanovení o sdílení dat s třetími stranami. Genetická data, zdravotní záznamy a biometrické informace si zaslouží zvláštní kontrolu, než kliknete na tlačítko „přijmout“.

Co to znamená pro vás

Žaloba kalifornského generálního prokurátora na 23andMe není jen regulačním zásahem proti jedné společnosti. Je signálem, že prosazování ochrany soukromí při úniku genetických dat na úrovni států se stává agresivnějším a že odhalení DNA a zdravotních záznamů bude stále častěji přitahovat právní důsledky, které společnost nemůže jednoduše absorbovat jako náklady podnikání.

Pro spotřebitele je závěr zároveň posilující i vystřízlivělý. Můžete se lépe rozhodovat, kterým společnostem svěříte svá nejcitlivější data. Můžete požadovat smazání, číst drobné písmo a zůstat informovaní, když se společnosti, kterým jste důvěřovali, dostanou pod drobnohled. Co nemůžete, je spoléhat se na jakýkoli jednotlivý nástroj, včetně VPN, že ochrání data, která už žijí uvnitř systémů třetí strany.

Chcete-li pochopit, jak se tento vzorec projevuje v jiných odvětvích, nabízí zpravodajství o žalobě texaského generálního prokurátora na Netflix kvůli datům užitečnou paralelu: zneužívání firemních dat probíhá na úrovni zcela mimo dosah osobních nástrojů na ochranu soukromí. Zůstat o těchto případech informován je jednou z nejpraktičtějších věcí, které můžete udělat.