O śledzeniu w internecie i wyzwaniach prawnych związanych z analizą aktywności użytkowników

Śledzenie używając języka organów UE możemy określić jako komercyjne (commercial suveillance). Think tank przy Parlamencie Europejskim w podsumowaniu na temat komercyjnego śledzenia  przywołał następujące stanowisko Federalnej Komisji Handlu USA:

„Alarmujące jest, że wciąż wiemy tak niewiele o firmach, które wiedzą tak wiele o nas”.

Niektórzy z czytelników od razu pomyślą, że chodzi tutaj o sytuację jednostki, która wpadła w sidła globalnego dostawcy. A że płaszczyzną porównania jest wymiana informacji w internecie, to łatwo ustalić, że chodzi o zetknięcie się użytkownika z firmami technologicznymi, a dokładniej platformami społecznościowymi, handlowymi lub wyszukiwarkami internetowymi.

Jakie aktywności mogą być śledzone?

Europejski think tank oceniając stan gry proponuje czytelnikowi, aby ten zastanowił się, między innymi, nad następującymi pytaniami:

1. Czy i jak firmy śledzą naszą aktywność w sieci?
2. Czy poza naszą aktywności w sieci, śledzona jest też treść naszej komunikacji?

Próba odpowiedzi na te pytania powinna dać nam wstępne informacje o tym, jakie mechanizmy wykorzystywane są do śledzenia i jakie prawa (o ile w ogóle) przysługują w tym kontekście użytkownikom.

Pliki cookies, ale nie tylko

Sytuacja rynkowa, wielość wydawanych decyzji przez krajowe oraz unijne organy nadzoru w sprawie danych osobowych pokazują nam, że nasza aktywność w sieci jest analizowana. Przykładem mogą być choćby pliki cookies albo oferowany przez Google lub Facebooka pixel. Każdy użytkownik spotkał się już ze ścianą tekstu z informacjami o plikach cookies. Zwykle jego decyzją jest szybkie zaakceptowane takiej informacji. Użytkownikowi zależy na zapoznaniu się z zawartością strony, a nie na studiowaniu brzmienia klauzuli. Klauzuli nie jest zwykle lekkostrawna. Powodem jest nieprzystępny język.

Rozwiązania zachęcają użytkownika do wyboru przycisku „akceptuj”

Na rynku istnieją różne rodzaje informacji o plikach cookies. Niektóre można tylko zaakceptować, inne za to umożliwiają użytkownikowi dostosowanie preferencji. Istnieją również rozwiązania zawierające w sobie 3 opcje:

[1] akceptacji, [2] modyfikacji i [3] odrzucenia.

Pop-upy, które można tylko zaakceptować są niewłaściwe i mogą naruszać prawa użytkownika w obszarze danych i ochrony konsumenta.

Jeśli użytkownik może wybrać preferencje, to jest to już rozwiązanie, które przybliża dostawcę do uszanowania praw użytkownika. Często jednak rozwiązania te nie są wdrażane w poprawny sposób. Wyobraźmy sobie sytuację, kiedy użytkownik ma do odznaczenia 30 checkboxów. Pola wyboru opisują rodzaje plików cookies oraz partnerów dostawcy serwisu. Są to rozwiązania, które sprawiają tylko pozory wyboru preferencji. A niektóre z nich z pewnością określilibyśmy jako dark pattern. Chodzi o rozwiązania zaprogramowane w taki sposób, który ma zachęcić użytkownika do podjęcia określonej aktywności lub zrezygnowania z innej. W naszym przypadku przytłoczenie użytkownika niezrozumiałą treścią oraz zbyt dużą liczbą pól wyboru daje nienajlepszy UX. Może również skutkować tym, że użytkownik zaakceptuje wszystkie pliki cookies nie dlatego, że chce, a dlatego, że zostanie tym procesem zmęczony. Tym samym efekt będzie korzystny z punktu widzenia dostawcy, ale niekoniecznie najlepszy z punktu widzenia użytkownika i zgodności z prawem.

Trzecie z rozwiązań uwzględnia swobodę użytkownika i pozwala mu na odrzucenie plików cookies jednym przyciskiem i to bez potrzeby szczegółowej lektury wyświetlanego okienka.

Czy wiesz, że dark pattern i rozwiązania mogące manipulować wyborami konsumenckimi, to temat, któremu przygląda się Komisja europejska? Kontrola CPC Network wykazała, że 40% sklepów internetowych korzysta z praktyk manipulacyjnych i jest to zachowanie sprzeczne z zasadami ochrony konsumentów. Zidentyfikowano np. ukrywanie ważnych informacji (to może być informacja o cenie i jej zmianach albo informacja o warunkach dostawy), czy wprowadzanie fałszywych liczników z terminem, w którym klient może kupić określony towar.

Na nieuczciwe wzorce powinni zwrócić uwagę również przedsiębiorcy z sektora ecommerce. A eliminacji dark pattern oraz zabezpieczeniu praw konsumentów do rzetelnej informacji może przysłużyć się dyrektywa o usługach cyfrowych (Digital Services Act).

A co o zgodzie na cookies mówią sądy i organy UE?

Wyrok TSUE 2019 r. w sprawie C–673/17 (Planet 49) przynosi mocne podstawy ochrony praw użytkownika. Dzięki tej sprawie wiemy również, że do korzystania z cookiesów wymagana jest zgoda, która nie powinna być dorozumiana.

Jednocześnie European Data Protection Board w raporcie o bannerach cookie potwierdziła, że przetwarzanie danych osobowych związanych z plikami cookies należy oceniać wedle standardów znanych z RODO. Jeśli zaś idzie o umieszczenia plików cookies na stronie, to potwierdzono, że do oceny będą niezbędne przepisy, które transponują do porządków krajowych dyrektywę ePrivacy. A znowu w ocenie ewentualnego naruszenia przepisów krajowych sięgać powinniśmy do pojęć znanych z RODO, np. w zakresie oceny ważności zgody na przetwarzanie.

Facebook Pixel

W kontekście narzędzi śledzących użytkownika – musimy również wspomnieć o rozwiązaniu chętnie wykorzystywanym przez branżę marketingową. Pixel to rozwiązanie, które polega na umieszczeniu fragmentu kodu, np. w wysłanym newsletterze, który pozwala śledzić zachowanie odbiorcy danej wiadomości. To może być przydatne w uzyskaniu informacji o tym, czy adresat w ogóle odczytał wiadomość i czy kliknął na znajdujące się w niej odnośniki.

Pixel umieszczany jest również na stronach internetowych, który może zbierać inne informacje o użytkownikach, np. ich adres IP lub informacje o tym, skąd użytkownik trafił na stronę.

Bardziej interesująco będzie, kiedy dodamy do tego informację, że dostawcy pixeli mogą wykorzystywać zbierane dane także do swoich celów, a profile tworzone mogą być także dla jednostek nieposiadających konta na danym portalu (tzw. shadow profiles). Informacje te oczywiście będą miały zdolność do monetyzacji, gdy połączy się je w całość i zaoferuje klientowi poszukującemu narzędzi analitycznych. Przetwarzanie informacji związanych z rozwiązaniami takimi jak pixel najczęściej dotyczy danych nieosobowych i jest trudne do poddania kontroli użytkownika.

Czy istnieją wyjątki od obowiązku uzyskiwania zgody?

Dostawca w większości przypadków będzie mógł wykorzystać cookies, gdy będą one niezbędne dla świadczenia usługi. W praktyce oznacza to, że użytkownik coraz częściej będzie spotykać bannery cookies, gdzie:

• może odrzucić jednym przyciskiem wszystkie cookiesy, z wyjątkiem tych niezbędnych do działania usługi;
• może zdecydować o akceptacji korzystania z określonego rodzaju cookiesów;
• może zgodzić się na wszystkie stosowane przez danego dostawcę pliki

 

Nie zapominajmy jednak o tym, że część plików, jak np. te odpowiedzialne za zapamiętanie stanu naszego koszyka zamówień albo adresu dostawy mogą być pomocne dla użytkownika. A to znaczy, że ich odrzucenie nie w każdym przypadku musi być korzystne. Ciekawą koncepcją jest postulat zakazu korzystania z plików cookies, aż do wyrażenia dobrowolnej zgody przez użytkownika. Jeśli użytkownik nie wybrałby odpowiedniego checkboxa, to domyślnie pliki cookies nie mogłyby być wykorzystywane. Jednocześnie nie pozbawiłoby go to możliwości wyświetlania strony.

 

Czy poza naszą aktywnością w sieci, śledzona jest też treść komunikacji?

I na koniec bardzo obszerny i trudny wątek. Jeśli zastanawiamy się nad śledzeniem użytkownika w sieci, to musimy rozważyć dwie opcje. Po pierwsze to, co jest „klikalne” i nadaje się do zautomatyzowanej analizy. Tę opcje rozważyliśmy przy okazji plików cookies.

 

Druga opcja to treść komunikacji przesyłanej przez użytkownika. Nie jest to już tylko analiza sposobu „poruszania się” użytkownika po sieci, ale jest to indywidualna treść, która użytkownik generuje. Poza tym jest to treść, która z powodów uwarunkowań kulturowych i podstawowych praw jednostki jest postrzegana przez użytkownika jako chroniona.

Do tematu będziemy jeszcze wracać, ale tym razem poprzestańmy na przypomnieniu, że niektórzy dostawcy informują użytkownika w swoich regulaminach lub politykach o wprowadzeniu mechanizmów śledzących. A zatem wbrew wyobrażeniu użytkownika może okazać się, że algorytm filtruje treść przesyłanych przez niego wiadomości. Dostawcy motywują wprowadzanie takich rozwiązań różnymi celami „krytycznymi”, takimi jak: bezpieczeństwo usługi, przeciwdziałanie praniu pieniędzy czy ochrona najmłodszych użytkowników internetu.

Niekiedy może być to również ochrona interesu samego dostawcy. Na przykład: zabezpieczenie prowizji przy transakcjach dokonywanych na określonej platformie albo zabezpieczenie korzystania z oprogramowania zgodnie z warunkami licencyjnymi.

Śledzenie a RODO

Na poziomie RODO śledzenie komunikacji nierzadko bywa opierane o przesłankę uzasadnionego interesu i rozwiązuje się ten temat przez wprowadzenie odpowiedniego postanowienia w regulaminie świadczenia usług. Niekiedy zaś odbiera się od użytkownika oddzielną zgodę na tego rodzaju śledzenie. To być może zabezpieczenie się przed zarzutem stosowania klauzuli niedozwolonej. Łatwiej przecież wykazać wówczas, że to użytkownik sam chciał korzystać z usług na takich warunkach, prawda?

Naturalnie, nasuwa się tutaj myśl, by również i te praktyki oceniać w świetle sygnalizowanego wcześniej dark pattern. I to wciąż nie wyklucza poszukiwania abuzywności takich postanowień z uwagi na ich ingerencję w gwarantowane w Konstytucji RP oraz ustawach prawo do tajemnicy korespondencji. Motywy mogą być różne, a zagadnienie jest niezwykle newralgiczne. Bo czy wystarczy stwierdzić, że jeśli cel jest szczytny albo jeśli użytkowniku dobrowolnie zaakceptowałeś nasz regulamin, to musisz podporządkować się zasadom gry?

A jak wygląda to od strony technicznej?

Technicznie w rozwiązaniach śledzenia komunikacji, występują między innymi funkcje:

• maskowanie adresów e-mailowych lub innych danych kontaktowych;
• lista zakazanych fraz oraz algorytmy do wykrywania spamu i materiałów niedozwolonych.

Wedle informacji dostępnych na rynku, funkcje związane z filtrowaniem treści komunikacji pomiędzy użytkownikami aktywować mają się automatycznie i bez ingerencji człowieka (potencjalnie podmiotu, który mógłby zapoznać się z treścią nieprzeznaczonej dla niego komunikacji). Również określone alerty lub informacje o zablokowaniu przesłania określonej wiadomości mają być wyświetlane użytkownikowi automatycznie.

Modelowo do ujawnienia informacji konkretnej osobie może dojść dopiero, gdy użytkownik zgłosi żądanie związane z konkretnym przypadkiem zablokowania lub ocenzurowania komunikacji. Dostęp taki służyć będzie rozpatrzeniu żądania użytkownika, ponieważ weryfikacji działania algorytmu powinien w konkretnym przypadku ocenić człowiek.

Prawny wyjątek od tajemnicy korespondencji

W tym kontekście zwróćmy uwagę na Rozporządzenie 2021/1232 zawierające odstępstwa od tajemnicy komunikacji. Rozporządzenie to zawiera techniczne wymogi dla dostawców usług elektronicznych, którzy w związku ze świadczeniem usług mogą przetwarzać materiały związane z wykorzystywaniem dzieci. Jest to jednak rozwiązanie tylko dla podmiotów, które mają statusu dostawcy usług elektronicznych.

Jakie regulacje warto obserwować?

Warto mieć również na uwadze nadchodzące zmiany w regulacjach krajowych – Prawie komunikacji elektronicznej (PKE).

Poza omawianą już w mediach kwestią retencji danych przez dostawców komunikatorów internetowych oraz poczty elektronicznej, nowe przepisy potwierdzają wspomniane powyżej podejście do plików cookies. A to oznacza, że z wyjątkiem cookiesów niezbędnych do świadczenia usług, w każdym innym przypadku dostawca będzie musiał uzyskiwać zgodę użytkownika.

Jedynie zasygnalizowane w tym tekście obszary to ogrom pracy dla biznesu i to nie tylko z punktu widzenia danych osobowych. To między innymi:

• nowe obowiązki dostawców usług cyfrowych,
• nowe wymogi dla przetwarzania danych nieosobowych,
• nowe wymogi co do retencji i udostępnienia danych służbom,
• a także nowe zasady ochrony konkurencji oraz konsumenta.

Wspomniane w tym artykule zagadnienia w znacznej mierze regulowane są także w obowiązującym już unijnym akcie usług cyfrowych (Digital Services Act). O tym jakie możliwości w równym i przejrzystym dostępie do usług elektronicznych daje ten akt oraz jak reagują na to bigtechy przeczytacie w kolejnym artykule.