Rozporządzenie ePrivacy oraz RODO – profilowanie w sieci
- Time Frame Analiza prawna
Ogólne rozporządzenie Parlamentu Europejskiego i Rady UE dotyczące ochrony danych osobowych wejdzie w życie 25 maja 2018 r. (tzw. RODO). Wraz z nim w życie ma wejść inne rozporządzenie, które nieco funkcjonuje w cieniu RODO. Chodzi o rozporządzenie dotyczące prywatności i łączności elektronicznej tzw. ePrivacy, którego projekt został opublikowany 10 stycznia 2018 r. i obecnie jest w fazie konsultacji. RODO i ePrivacy kompleksowo uregulują kwestie związane z profilowaniem w sieci. Dzisiaj zajmiemy się właśnie profilowaniem.
Jak myślę o profilowaniu przypominam sobie scenę z filmu „Raport mniejszości”. Główny bohater przemieszcza się po ulicy, mija elektroniczne banery reklamowe. Te urządzenia nie dość, że zwracają się do niego bezpośrednio po imieniu to jeszcze podsuwają mu produkty, o których właśnie myśli. Pełna inwigilacja? A może już niedaleka przyszłość? O co chodzi z tym profilowaniem?
Wyjaśnień tego pojęcia można znaleźć w wielu publikacjach naukowych. Niektórzy przedstawiciele doktryny uważają, iż polega to na dopasowywaniu oferty do wymagań użytkowników Internetu w czasie rzeczywistym, przewidywanie wyników wyszukiwania oraz monitorowanie aktywności użytkowników za pośrednictwem programów – algorytmów, odczytujących nasze preferencje.
Z punktu widzenia finansowego, jeden podmiot płaci innemu podmiotowi za pozyskanie informacji, na co bylibyśmy skłonni wydać nasze środki finansowe. Do profilowania dochodzi również w przypadku, gdy chcielibyśmy uzyskać jakąś usługę/przedmiot, a potencjalny usługodawca/sprzedawca poprzez podane przez nas informacje, a często też w oparciu o posiadane przez siebie informacje podejmuje decyzję co do możliwości świadczenia. Idealnym przykładem jest kwestia uzyskania np. pożyczki w banku internetowym. Bank na podstawie otrzymanych od nas informacji, często informacji o nas zbieranych też przez bank przy okazji świadczenia np. umowy rachunku bankowego, a również w oparciu o informacje z Biura Informacji Kredytowej podejmuje decyzję o przyznaniu bądź nie takiej pożyczki. Z reguły odbywa się to w czasie rzeczywistym i oczywiście człowiek nie uczestniczy w tym procesie. Może nieco upraszczam, ale głównie chodzi o pieniądze.
A jak definicja ta została uregulowana w rozporządzeniu RODO?
Definicja znajduje się w art. 4 ust. 4, a brzmi następująco:
„profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
Nieważne będą postanowienia regulaminów i polityk prywatności, które powodują automatyczną zgodę użytkownika na śledzenie. Ma to zmusić podmioty wykorzystujące dane do śledzenia i profilowania to wyjścia na światło dzienne, po uzyskanie zgody użytkowników. Nadal jednak będzie dozwolone śledzenie przez administratorów swoich własnych użytkowników i zbierania danych w celach reklamowych. Motyw 60 preambuły wprowadza również obowiązek poinformowania osoby o profilowaniu oraz o potencjalnych skutkach takiego działania. Postanowienie to powtarza art. 14 ust. 2 pkt g RODO. Ponadto zgodnie z art. 70 ust. 1 pkt. f Europejska Rada Ochrony Danych będzie wydawać opinie i zalecenia a także określać wymogi dla decyzji opartych na profilowaniu.
Ponadto art. 22 ust. 1 w związku z ust. 3 RODO wprowadza zasadę, iż każda osoba, która została poddana profilowaniu, może domagać się rozpatrzenia jej sprawy przez żywą osobę a nie maszynę. Na administratorze będzie ciążyć obowiązek wdrożenia takich procedur, aby umożliwić każdej osobie na skorzystaniu z tego prawa. Dlaczego to takie ważne? Nieco powyżej wspominałem przykład pożyczki bankowej. Wyobraźmy sobie sytuacje, iż staramy się o taką pożyczkę. Kilka lat temu uzyskaliśmy podobną pożyczkę. Została ona już zwrócona do banku. Ale jedna z rat była wpłacona po terminie – 2 dni. Taka informacja znajduje się w Biurze Informacji Kredytowej, z której wiedzę czerpią banki. I teraz ktoś tworząc algorytm do automatycznego przetwarzania danych, dał założenie, iż osoba ubiegająca się o taką pożyczkę nie mogła mieć nigdy opóźnienia w spłacie raty. Efektem jest to, że nie otrzymamy takiej pożyczki, ponieważ algorytm analizujący nasz wniosek rozpatruje go w kategoriach 0 – 1, albo spełniamy warunek albo nie. Po to właśnie jest powyższy przepis, abyśmy mogli żądać rozpatrzenia przez analityka banku, który może podjąć decyzję, że opóźnienie w spłacie jednej raty sprzed kilka lat nie ma znaczenia dla oceny naszej wiarygodności.
I kilka słów o podstawowych zasadach profilowania w sieci, które zostaną wprowadzone przez rozporządzenie ePrivacy.
⦁ Regulator europejski wymaga od administratorów jasnych informacji, iż dane podane przez użytkownika zostaną użyte do jego profilowania. Nie chodzi o opracowanie skomplikowanych reguł prawniczych, tylko język ma być prosty, dostosowany do przeciętnego odbiorcy. Przykład „dane osobowe przekazywane w ramach tej usługi mogą być wykorzystane przez podmioty tworzące reklamy do przygotowania oferty zakupowej zgodnej z Państwa oczekiwaniami/wyborem”
⦁ Zgoda na przetwarzanie danych (np. w celach marketingowych) może zostać wyrażona przy pomocy odpowiednich ustawień przeglądarki lub innej aplikacji, jednakże nie może ona być narzucona przez twórcę takiego narzędzia. Zasadą jest, iż to użytkownik musi samodzielnie podjąć decyzję, co do takich domyślnych ustawień. Oczywiście zalecane jest to, aby takiej domyślnej zgody nie udzielać, a jeżeli już to robić to bardziej krytycznie, przede wszystkim rozważyć, komu przekazujemy te dane i czy nie będą one wykorzystane do innych celów niż zostały zadeklarowane. Posłużę się przykładem niechcianych telefonów od telemarketerów. Podmioty takie uzyskują całkowicie legalne dane, które podaliśmy innemu podmiotowi właśnie w celach marketingowych, ale nie czytaliśmy wyraźnie klauzul dotyczących wyrażenia zgody. A tam często znajduje się zapis o możliwości powierzenia waszych danych podmiotom trzecim.
⦁ Jakiś czas temu wprowadzono wymóg prawny, aby informować o tym, iż dana witryna zbiera i przechowuje pliki cookie użytkowników (zbiera aktywności o nich samych, jaki i o ich wyborach na stronie). Zdarzało się, że administratorzy danych stron internetowych odmawiali świadczenia usługi dla osób, które nie zgadzały się na zbieranie takich danych. Praktyki polegające na blokowaniu dostępu do strony lub innej usługi online w przypadku braku zgody na śledzenie (tzw. cookie wall) od dnia wejścia w życie RODO i prawdopodobnie rozporządzenia ePrivacy (25 maj 2018) będą całkowicie zabronione.
⦁ Wszystkie rodzaje niezamówionych komunikatów, łącznie z dostosowaną dla nas reklamą (na bazie profilowania) w mediach społecznościowych, a także marketing bezpośredni przez telefon, wymaga jednoznacznej, aktywnie wyrażonej zgody przez właściciela danych osobowych( opt-in). Ta zgoda może być wyrażona w różny sposób, może to być zgoda już w umowie, czy aktywne kliknięcie takiej zgody na stronie internetowej. Nie rozwiewa to jednak kontrowersji, iż zdaniem UOKiK taka zgoda powinna zostać wyrażona przed pierwszym kontaktem z osobą, której dane zostały wykorzystane. W pełni popieram to stanowisko, oczywiście czasami to może zależeć od stanu faktycznego, jednakże w większości przypadków już wykonanie telefonu oznacza, iż dany podmiot uzyskał nasze dane osobowe z innego źródła.
⦁ Regulator UE zapewnia poufność komunikacji elektronicznej zarówno w odniesieniu do treści, jak i metadanych.
Oznacza to, iż poufne są wszystkie informacje dotyczące pobytu użytkownika, zbierane przez np. sieci WiFi czy lokalizatory umieszczone w telefonach. Również ochroną objęte są e – maile i inne formy komunikatorów. Warto zadbać o taką ochronę, bo właśnie wyciek korespondencji elektronicznej jest najczęstszym problemem z zakresu danych osobowych. Warto wprowadzić certyfikaty zabezpieczające programy pocztowe, jak i strony internetowe, w szczególności takie, przez które może odbywać się komunikacja z użytkownikami.
⦁ Wszelkie urządzenia końcowe np. smartphone czy komputer należą do sfery prywatnej użytkownika. Oznacza to, iż dane znajdujące się na tych urządzeniach nie mogą być bez wyraźnej zgody takiego użytkownika wykorzystane lub na podstawie innej podstawy prawnej. Przy okazji należy pamiętać o zasadzie adekwatności celów, dla jakich zbierane są dane. Dobrym przykładem są różne drobne aplikacje, które są dostępne na smartphone. Czasami budzi zdziwienie, iż aplikacja np. do przekazywania prognoz pogody, wymaga dostępu do zdjęć, kontaktów, kalendarza itp. Może zadać pytanie, po co twórcom takiej aplikacji dostęp do tych informacji. Czy są one niezbędne do świadczenia przez nich usługi? Chociażby w tym kontekście jestem niezmiernie ciekawy, w jakiej rzeczywistości obudzimy się po 25 maja.
Temat profilowania będzie zapewne w najbliższych miesiącach przedmiotem różnych wypowiedzi, również naszej kancelarii. Będziemy starali się aby ten temat przybliżyć w jak największym stopniu, bo nie jest on istotny z punktu widzenia interesów nas wszystkich.
Autor: Radca prawny Maciej Osiewacz
