Zakazany marketing

To nie był dobry tydzień dla brokerów danych. Na co dzień korzystają z tego, że ich model biznesowy pozwala na działanie w cieniu: dyskretne zaciąganie naszych danych z aplikacji mobilnych czy stron internetowych. Są w stanie tworzyć i komercjalizować wartościowe profile właśnie dlatego, że nie patrzymy im na ręce. Korzystają na naszej bierności i tych wszystkich regulaminach, które akceptujemy bez czytania. Aż do momentu, kiedy zasłona opada i przychodzi zdziwienie: na jakiej podstawie firma, o której nic nie wiem, wie o mnie tak dużo? Zarówno polski Selectivv, jak i amerykańska Cambridge Analytica korzystały z danych, które nie były dla nich przeznaczone. Społeczna reakcja na ich działania pokazuje, że ten model już się kończy.

Przy okazji poruszenia wywołanego pierwszą niehandlową niedzielą wielu Polaków zdziwiło się, czytając w mediach, że firma Selectivv wie, czy tego dnia wędrowali beztrosko po parku, czy stali w kolejce na stacji benzynowej, bo zapomnieli wcześniej zrobić zakupy. Ale to drobiazg wobec emocji 50 mln angielskojęzycznych użytkowników Facebooka, którzy musieli się zmierzyć z tym, że dwa lata wcześniej ich dane (zaciągnięte przez aplikację Thisismydigitallife) zasiliły bazy firmy Cambridge Analytica i ciężko pracowały na sukces wyborczy Donalda Trumpa.

Zgoda, której nie było

Obie firmy powołują się na formalną zgodę użytkowników – zaszytą w regulaminach aplikacji, z których korzystali. Argumentują, że wszystko jest w porządku, bo przecież klient zaakceptował warunki. Cóż z tego, że nie całkiem uczciwe (dlaczego aplikacja, której jedynym zadaniem jest obsługa latarki albo dostarczenie rozrywki na telefonie, chce znać naszą lokalizację?) albo – jak w przypadku aplikacji Thisismydigitallife – pozwalające zaciągać dane znajomych osób, które aplikację zainstalowały. To jedno wielkie nieporozumienie, bo tak naprawdę nikt nas o zgodę nie pyta ani nie informuje o celach, w jakich sięga po dane, i możliwych konsekwencjach (np. o tym, że nasza lokalizacja zostanie wykorzystana do serwowania nam stargetowanej reklamy).

Wyciąganie tylnymi drzwiami danych z aplikacji mobilnych już dziś jest niezgodne z polskimi standardami.

Nasze poczucie zagubienia, a nawet oszukania, jest tym bardziej uzasadnione, że wymuszanie formalnej zgody na przetwarzanie danych w regulaminie albo na etapie instalowania aplikacji jest (już dziś!) niezgodne z polskimi standardami. Spytacie: „Skoro tak, to dlaczego te praktyki są tak powszechne?”. Otóż większość mobilnych aplikacji zainstalowanych na naszych telefonach nie jest zarejestrowana w Polsce i nie musi przestrzegać naszego prawa. Pomiędzy nami a firmą taką jak Selectivv – która świadczy usługi w Polsce i działa legalnie – jest zatem rzesza podmiotów, które wymykają się naszej jurysdykcji i dopuszczają praktyki, które w Polsce byłyby nielegalne.

RODO zamyka brokerom tylne drzwi

Od maja, wraz z wejściem w życie RODO, każda aplikacja, która śledzi nasze zachowanie i przetwarza jakiekolwiek dane na nasz temat, będzie musiała przestrzegać europejskich standardów. A więc zmienią się nie tyle zasady gry – bo te już dziś w Polsce i w całej Unii Europejskiej są dość restrykcyjne – co reguły określające, jakie prawo stosuje się do działania rozmaitych aplikacji. W praktyce przekazywanie naszych danych osobowych innym firmom w celach marketingowych (np. brokerom danych, którzy agregują dane z różnych źródeł i tworzą własne profile) będzie wymagało naszej świadomej, poinformowanej zgody.

Nieważne, czy w naszym profilu jest imię i nazwisko – ważne, czy można go do nas przypisać.

Oczywiście, można się spodziewać, że wiele firm będzie się starało nagiąć interpretację prawa do własnych potrzeb. Na przykład Selectivv utrzymuje, że posługuje się danymi zanonimizowanymi i dlatego nie musi nikogo pytać o zgodę na ich wykorzystanie. Bardzo możliwe, że analizy pokazujące, gdzie Polacy spędzali czas w niedzielę wolną od handlu, rzeczywiście powstawały w oparciu o zanonimizowane dane. Ale już trudno sobie wyobrazić, że serwowanie sprofilowanej reklamy na telefon (a takie usługi świadczy ta firma) odbywa się inaczej niż w oparciu o unikatowy numer użytkownika. Jeśli zatem Selectivv posługuje się jakimikolwiek identyfikatorami przypisanymi do osób lub telefonów, przetwarza dane osobowe. Nieważne, że w tym profilu nie ma naszego imienia, nazwiska czy adresu. Ważne, że profil marketingowy jest przypisany do urządzenia, które nosimy w kieszeni. To jest realna ingerencja w naszą prywatność.

Ochrona, jakiej oczekujemy

Reakcje społeczne na działania brokerów danych – czy to śledzących naszą lokalizację w celach marketingowych (przypadek Selectivv), czy odtwarzających profil psychologiczny z facebookowych lajków (przypadek Cambridge Analytica) – pokazuje, że nie akceptujemy takiego modelu komercjalizacji naszych danych. A więc europejski ustawodawca miał rację, zmieniając zasady gry i wymuszając na wszystkich firmach, które chciałyby śledzić nasze zachowanie w sieci (bez względu na ich siedzibę czy ulokowanie serwerów), przestawienie się na model opt in. Zgodnie z nim firma, o której nigdy nie słyszeliśmy i z którą nie mamy jeszcze żadnej relacji, nie będzie mogła tak po prostu sięgnąć po dane z naszego telefonu ani ich przetwarzać w swoich celach. Najpierw będzie musiała się przedstawić i spytać, czy może.

Katarzyna Szymielewicz

Wesprzyj naszą walkę o wolność i prywatność. Wpłać darowiznę na konto Fundacji Panoptykon lub przekaż nam 1% swojego podatku (KRS: 0000327613).