Zašto 27 država tuži 23andMe?

Pokušavaju spriječiti bankrotiranu tvrtku da proda genetske podatke korisnika te tvrde da 23andMe nije zaštitio podatke i da je obmanuo potrošače o ozbiljnosti povrede iz 2023.

Mogu li se genetski podaci tvrtke 23andMe prodati novom vlasniku?

Tužba tvrdi da bi se u stečaju podaci mogli prenijeti kupcu koji nije vezan izvornim uvjetima pristanka. Neke države, poput Floride, zabranjuju takvu prodaju bez izričitog pristanka, ali nemaju sve države takvu zaštitu.

Kako je 23andMe navodno obmanuo korisnike nakon povrede?

Koalicija tvrdi da je 23andMe umanjio razmjere incidenta, sprečavajući korisnike da shvate koliko je ozbiljan i vjerojatno ih spriječivši u poduzimanju koraka za zaštitu ili traženju brisanja podataka.

27 država tuži 23andMe kako bi spriječile prodaju genetskih podataka nakon povrede iz 2023.

Q: Koliko je ljudi bilo pogođeno povredom 2023.?

Prema tužbi, povreda je razotkrila osjetljive zdravstvene podatke gotovo 7 milijuna ljudi.

Q: Zašto alati poput VPN-a ne mogu zaštititi privatnost genetskih podataka?

VPN i enkripcija štite podatke u prijenosu, ali genetski podaci prikupljaju se iz fizičkog uzorka sline i pohranjuju na poslužiteljima tvrtke. Od tog trenutka nikakav mrežni alat nije primjenjiv, a privatnost ovisi isključivo o sigurnosnim i pravnim zaštitama tvrtke.

27 država tuži 23andMe kako bi spriječile prodaju genetskih podataka nakon povrede iz 2023.

Dvadeset sedam država i Distrikt Columbia podnijeli su tužbu protiv 23andMe kako bi spriječili da ta bankrotirana tvrtka za testiranje DNK proda genetske podatke svojih korisnika. Tužba, podnesena stečajnom sudu, usredotočena je na povredu iz 2023. koja je razotkrila osjetljive zdravstvene podatke gotovo 7 milijuna ljudi i tvrdi da je 23andMe doveo potrošače u zabludu o ozbiljnosti tog incidenta. U pitanju su genetski podaci procjenjenih 15 milijuna korisnika koji nikada nisu pristali da njihovi najintimniji biološki podaci budu prodani najboljem ponuditelju.

Ovaj slučaj nije samo priča o korporativnom nemaru. Postavlja teže, neugodnije pitanje za potrošače koji vode računa o privatnosti: što se događa kada rizik za privatnost nije lozinka, IP adresa ili e-pošta, nego vaš stvarni DNK?

Što tužba zapravo navodi

Koalicija državnih odvjetnika argumentira na dvije glavne razine. Prvo, da 23andMe nije adekvatno zaštitio korisničke podatke prije i tijekom povrede 2023., ostavljajući milijune korisnika izložene štetama koje nisu mogli predvidjeti. Drugo, da je tvrtka umanjila razmjere incidenta, obmanjujući korisnike koji bi inače možda poduzeli korake da se zaštite ili zatraže brisanje svojih podataka.

Sada kada je 23andMe podnio zahtjev za stečaj, postoji zabrinutost da bi genetski podaci prikupljeni pod jednim skupom obećanja mogli biti preneseni novom vlasniku koji posluje prema potpuno drugačijim pravilima. Korisnici koji su izvorno pristali podijeliti svoj DNK za istraživanje podrijetla ili zdravstvene uvide mogli bi otkriti da je te podatke preuzela nepoznata treća strana bez obveze poštivanja izvornih uvjeta pružanja usluge.

Nekoliko država već ima zakone koji se posebno bave ovim scenarijem. Florida, na primjer, zabranjuje prodaju genetskih podataka bez izričitog pristanka korisnika, potkrijepljenu kaznenim prijavama i novčanim kaznama. No nema svaka država takvu zaštitu, što je upravo razlog zašto je koordinirana tužba više država postala nužna.

Zašto vaši alati za privatnost ne mogu zaštititi genetske podatke

Ovo je dio priče koji većina izvještaja o digitalnoj privatnosti preskače. VPN-ovi, šifrirane aplikacije za razmjenu poruka, privatni preglednici i slični alati učinkoviti su u zaštiti jedne kategorije podataka: informacija koje prenosite ili generirate digitalno. Mogu zaštititi vašu IP adresu, povijest pregledavanja i komunikaciju od presretanja.

Ali ne mogu ništa učiniti u vezi s podacima koje ste već dobrovoljno predali u fizičkom obliku. Kada pošaljete uzorak sline tvrtki za testiranje DNK, nikakva zaštita privatnosti na razini mreže ne vrijedi. Podaci se prikupljaju, obrađuju i pohranjuju na poslužiteljima tvrtke. Od tog trenutka vaša privatnost u potpunosti ovisi o sigurnosnim praksama tvrtke, njezinim ugovornim obvezama i pravnoj zaštiti dostupnoj u vašoj jurisdikciji.

Ova razlika je važna jer mijenja prirodu rizika. Kod većine prijetnji digitalnoj privatnosti korisnici imaju stalnu mogućnost djelovanja. Možete prestati koristiti uslugu, očistiti svoje podatke ili prijeći na privatniju alternativu. S genetskim podacima informacija je nepromjenjiva. Vaš DNK ne može se promijeniti, resetirati ili opozvati. Jednom kada bude ugrožen ili prodan, izloženost je trajna.

Što to znači za vas

Ako ste korisnik 23andMe, tužba znači da trenutno postoji aktivan pravni napor da se spriječi prodaja vaših podataka bez vašeg pristanka. Međutim, pravni postupci traju, a ishodi nikada nisu zajamčeni na stečajnom sudu, gdje su interesi vjerovnika često u izravnom sukobu sa zaštitom potrošača.

Postoje konkretni koraci koje vrijedi poduzeti sada. Prvo, provjerite jeste li već poslali zahtjev za brisanje podataka tvrtki 23andMe. Tvrtka je povijesno nudila tu opciju, a iako stečajni postupak komplicira stvari, podnošenje formalnog zahtjeva za brisanje stvara dokumentirani trag vaše namjere. Drugo, pregledajte sve ugovore o pristanku koje ste potpisali prilikom otvaranja računa, jer ti dokumenti mogu navoditi vaša prava tijekom korporativnog prijenosa.

Osim specifično za 23andMe, ovaj slučaj je koristan poticaj da se šire razmisli o genetskoj privatnosti. Svaka usluga koja prikuplja biometrijske ili biološke podatke, bilo u zdravstvene, fitnes, genealoške ili istraživačke svrhe, posjeduje informacije koje su izvan dosega uobičajenih alata za privatnost. Pravni okvir koji štiti te podatke znatno varira od države do države i još uvijek sustiže tehnologiju.

Za one koje zanima kako se šire zakonodavstvo o privatnosti razvija u Sjedinjenim Državama, Lofgren-Tillisov zakon nudi koristan uvid u to kako zakonodavci razmišljaju o pravima na digitalne podatke i ograničenjima postojeće zaštite.

Šira slika rizika od posrednika podataka

Situacija s 23andMe također je podsjetnik na to kako funkcioniraju ekosustavi posrednika podataka. Čak i podaci prikupljeni u benignu svrhu mogu završiti u rukama strana čije su namjere i prakse potpuno nepoznate izvornom potrošaču. Stečajne prodaje jedan su od načina da se to dogodi. Korporativne akvizicije, ugovori o licenciranju podataka i sigurnosne povrede su drugi.

Genetski podaci spadaju među najosjetljivije kategorije osobnih podataka koje postoje. Mogu otkriti sklonosti bolestima, obiteljske odnose i etničko podrijetlo. U pogrešnim rukama mogli bi ih koristiti osiguravatelji, poslodavci ili tijela kaznenog progona na načine koje potrošači nikada nisu predvidjeli niti na njih pristali.

Tužba više država protiv 23andMe značajan je trenutak za prava na genetsku privatnost u Sjedinjenim Državama. Bez obzira na to hoće li uspjeti spriječiti prodaju, već je pokazala da su državni odvjetnici spremni agresivno koordinirati po pitanjima zaštite podataka potrošača i da se genetski podaci sve više tretiraju kao kategorija koja zaslužuje pojačanu pravnu zaštitu.

Ako imate genetske podatke pohranjene kod bilo koje tvrtke za testiranje, sada je vrijeme da pregledate postavke računa, razumijete svoja prava na brisanje i dobro razmislite prije nego što u budućnosti predate biološke podatke bilo kojoj usluzi. Nijedan VPN ne može zaštititi vaš DNK, ali informirane odluke prije nego što podijelite podatke najmoćniji su dostupni alat za privatnost.

27 država tuži 23andMe kako bi spriječile prodaju genetskih podataka nakon povrede iz 2023.

Što tužba zapravo navodi

Zašto vaši alati za privatnost ne mogu zaštititi genetske podatke

Što to znači za vas

Šira slika rizika od posrednika podataka

// FAQ

// Povezano