ePrywatność czy eŚledzenie – czy branża reklamowa postawi na swoim?

Artykuł

Pod wpływem lobbingu branży reklamowej w ostatniej wersji rozporządzenia ePrivacy pojawił się przepis, który legalizuje ciasteczka i skrypty śledzące dla tych usług, które utrzymują się z reklam. Za tą zmianą kryje się prosta logika: zamiast pytać użytkowników o zgodę (która i tak w wielu przypadkach okazuje się fikcją), uznajmy, że śledzenie jest niezbędne do świadczenia usługi, i już. Jeśli ta propozycja utrzyma się w dalszych negocjacjach – a te zależą m.in. od stanowiska polskiego rządu – będziemy mieli już tylko jedno wyjście chroniące prywatność: nie korzystać z komercyjnego Internetu.

RODO wymusiło na portalach internetowych ujawnienie wszystkich podmiotów, którym przekazują dane użytkowników (w praktyce sprowadza się to do wpuszczenia na stronę ich ciasteczek lub skryptów śledzących) i pozostawienie decyzji, czy zgadzają się na śledzenie w celach reklamowych, samym użytkownikom. W zależności od tego, czy takie śledzenie da się obronić, jako zgodne z racjonalnymi oczekiwaniami i nieingerujące nadmiernie w prywatność użytkowników, RODO dopuszcza zarówno model opt out (użytkownik może się sprzeciwić) i opt in (użytkownik musi wyrazić zgodę).

Biznes reklamowy nie godzi się ze standardami narzucanymi przez RODO, co pokazują praktyki stosowane przez większość portali internetowych.

Większość polskich portali informacyjnych i sklepów internetowych postawiła na pozyskiwanie zgody, ale w praktyce tak zaprojektowane, że trudno jej było (przez nieuwagę albo w wyniku narastającej frustracji) nie udzielić. Po prostu każda czynność użytkownika – od zamknięcia irytującego okienka po przejście do serwisu – była traktowana jako zaakceptowanie narzuconych reguł (por. opisywane przez nas złe praktyki).

Takie praktyki nie są zgodne ani z duchem, ani z literą obowiązującego prawa. Pierwsze pozwy dotyczące wymuszonej zgody już czekają na rozpoznanie (w tym głośne pozwy NOYB, organizacji założonej przez Maxa Schremsa). To tylko kwestia czasu, by pojawiły się decyzje sądów i organów ochrony danych osobowych kwestionujące to, co się dzieje na portalach internetowych. Nie można uznać przeskrolowania strony za świadomie udzieloną zgodę na przekazanie danych dziesiątkom firm, których nazwy pojawiają się dopiero po kliknięciu „więcej informacji”. Szczególnie, jeśli nigdzie nie ma mowy ani o celach, ani o zakresie przetwarzanych danych.

Firmy z branży reklamy interaktywnej wiedzą, że stąpają po kruchym lodzie i że naginają lub wręcz łamią przepisy obwarowane wysokimi sankcjami. Dlatego izby reprezentujące ich interesy w Brukseli walczą o kolejne wyłomy w rozporządzeniu ePrivacy, które ma uzupełniać i uszczegóławiać przepisy RODO w odniesieniu do biznesu internetowego. Ostatnia wersja rozporządzenia, nad którą właśnie dyskutują w Brukseli przedstawiciele rządów (w Polsce te prace prowadzi Ministerstwo Cyfryzacji) jest dowodem na to, że ich naciski przynoszą spodziewane efekty.

Nowe brzmienie motywu 21 odwraca logikę rozporządzenia: zamiast ograniczać możliwość śledzenia, robi z niego standard.

W wersji z 19 października, przygotowanej przez prezydencję austriacką, pojawiło się zaskakujące brzmienie motywu 21, który odwraca logikę rozporządzenia ePrivacy: zamiast zakazywać zapisywania plików śledzących na urządzeniu końcowym użytkownika bez jego zgody, uznaje takie działanie za „niezbędne do świadczenia usługi społeczeństwa informacyjnego”, jeśli jest ona finansowana (wyłącznie lub w przeważającym stopniu) z reklamy. W  motywie 21 pojawiają się jeszcze dodatkowe warunki – użytkownik powinien zostać w przyjazny sposób poinformowany  o celach śledzenia, a nawet powinien je „zaakceptować” (cokolwiek to znaczy).

Treść nowego przepisu może nie być jasna, ale intencje lobby zabiegającego  o ten i podobne wyłomy w ePrivacy są klarowne: chodzi o to, żeby zalegalizować model biznesowy oparty na komercjalizacji danych. Drogą do tego jest oficjalne (na poziomie prawa) przyjęcie, że podstawą darmowych usług, do których zdążyliśmy się przyzwyczaić, jest możliwość śledzenia naszych zachowań i że na ten transakcyjny element po prostu nie możemy się nie zgodzić.

Zmiany w rozporządzeniu ePrivacy to furtka do permanentnego śledzenia naszej aktywności i drastyczne obniżenie standardu wynikającego z RODO.

W praktyce oznaczałoby to zmuszenie użytkowników do przekazywania ich danych do celów reklamowych, wbrew ich intencjom i racjonalnym oczekiwaniom. Wyobraźmy sobie, że zaczynam korzystać z aplikacji, która monitoruje moją kondycję fizyczną, trasy i czas treningów etc. Oczekuję, że to narzędzie pomoże mi lepiej zaplanować swoją aktywność fizyczną, ale nie chcę, żeby dane o moim zdrowiu czy lokalizacji były przekazywane innym firmom (i np. w przyszłości wpłynęły na oferty produktów ubezpieczeniowych, które do mnie trafią). Jeśli europejski ustawodawca przyjmie, że śledzenie w pakiecie z darmowymi usługami jest obowiązkowe, nie będę mogła się temu nawet sprzeciwić.

Fundacja Panoptykon przekazała Ministerstwu Cyfryzacji krytyczne uwagi do ostatniej wersji rozporządzenia ePrivacy, przygotowanego przez prezydencję austriacką. Postulujemy, żeby przedstawiciele rządu zgłosił stanowczy sprzeciw wobec nowego brzmienia motywu 21. Będziemy informować o tym, jakie stanowisko w negocjacjach na poziomie Rady UE zajmie polski rząd.

Więcej na temat prac nad rozporządzeniem ePrivacy

Katarzyna Szymielewicz, Karolina Iwańska

Wspieraj naszą walkę o prawo lepiej chroniące prywatność! Wpłać darowiznę na konto Fundacji Panoptykon.

Komentarze

"zmuszenie użytkowników do przekazywania ich danych do celów reklamowych, wbrew ich intencjom i racjonalnym oczekiwaniom"
Czyli ePrivacy powinno pytać użytkowników czy chcą cookies. 99,9% kliknie nie i b.duża część rynku reklamowego w internecie może kończyć działalność :) Jakie można mieć racjonalne oczekiwania? Wchodząc do wyszukiwarki i wpisując zapytanie "głośniki" wyskakiwało okienko "czy mogę zadać Ci pytanie?" - Tak - "Czy chcesz otrzymać oferty innych głośników?"
"ale nie chcę, żeby dane o moim zdrowiu czy lokalizacji były przekazywane innym firmom"
Jeśli dane są anonimowe to sprzedaż ich w ogólnej formie (np. to cookie korzysta z aplikacji do biegania) jest jedynym często warunkiem utrzymywania tej aplikacji czyt. źródłem dochodu. ;] W imię prywatności zatrzymajmy twórców aplikacji, nie będzie niczego, ale będzie prywatność. :)

Być może gdyby rynek reklamowy zaczął wychodzić do ludzi i opowiadać im o tym, jak działa, dlaczego taki a nie inny model finansowania wybrał, jakie informacje zbiera, co z nich wnioskuje i do czego dokładnie wykorzystuje, udałoby się mu zbudować zaufanie użytkowników na tyle, żeby choć część z nich zgodziła się na płacenie za usługi swoimi danymi. Zła prasa tego rynku wynika naszym zdaniem w dużej mierze z tego, że nie chce się przed ludźmi odkryć, a to naturalnie rodzi obawy i spekulacje. Pozbawienie ludzi resztek kontroli nad informacjami na ich temat to nie tylko poważna ingerencja w prawa podstawowe, ale też wizerunkowy strzał w stopę.

O proszę jak ktoś z interesem do naruszania naszej prywatności kwiczy, że po zmianach „niczego nie będzie”. Proszę sobie wejść na https://f-droid.org/en/packages/ i zobaczyć ile aplikacji istnieje i żadna nie narusza naszej prywatności, kod jest otwarty i jakoś F-Droid się tylko rozrasta.

Także tego czego nie będzie, to łatwego handlu naszymi danymi przez cwaniaczków, którym zależy, żeby po kryjomu, bez naszej zgody „anonimowo” sprzedawać o nas dane, które później w większych firmach je skupujących doprowadzają do naszej identyfikacji.

@artian: Jeśli przejdzie propozycja, o której piszemy w tekście, to uBlock Origin nie pomoże. Dlaczego? Bo serwisy nie będą już musiały pytać o zgodę na ciasteczka. A jeśli będziemy mieli wtyczkę blokującą, to po prostu strona się nie załaduje.

@Karolina Iwańska: "Bo serwisy nie będą już musiały pytać o zgodę na ciasteczka"
Ciasteczka zablokowane https://i.imgur.com/pJlCWt2.png + komunikaty przez uBlock Origin.

"A jeśli będziemy mieli wtyczkę blokującą, to po prostu strona się nie załaduje."
Nie spotkałem jeszcze strony która by mi się nie wyświetliła. onetowski troll - ominięty https://i.imgur.com/TmPm6gx.jpg Blokada wideo na tvp - ominięta https://i.imgur.com/E8fIFnO.jpg itd.

@artian: bo w tym momencie cookiesy są oparte na zgodzie, a portale nie stosują tzw. cookie walls (czyli nawet jeśli tej zgody nie wyrazimy - np. poprzez używanie wtyczek - nie zabraniają nam samego dostępu do serwisu). Mój komentarz dotyczył sytuacji po przyjęciu rozporządzenia w kształcie, o jakim piszemy w artykule - na cookiesy nie byłaby wymagana zgoda, ale byłyby uznane za *niezbędne* do świadczenia usługi. Co oznacza, że jeśli będziemy chcieli je zablokować, to usługi po prostu nie dostaniemy. Słowem: powszechny cookie wall.

Opiszę jak to wygląda z drugiej strony. Tworzysz stronę internetową, budujesz ją, poświęcasz na nią wolny czas. Chcesz, aby przynosiła jakieś zyski, chcesz na niej umieścić reklamy. Jednak trafiasz na ścianę przepisów, RODO to największy bubel prawny minionych lat, nic nie załatwia, a jedynie utrudnia osobą, które chcą coś zrobić w internecie.

Po pierwsze jako osoba fizyczna (aby mieć stroję w internecie nie muszę mieć firmy, a zarobki z reklam traktowane są jako dzierżawa), muszę podać moje własne dane (imię, nazwisko, adres), gdyż absurdalnie jestem administratorem danych nawet, jeżeli nie wdrażam na stronie żadnego logowania, forum, czy systemu komentarzy. Serwer automatycznie tworzy logi, w których są IP - a jak rozumiem to dana osobowa, ponieważ identyfikacja konkretnej osoby, po puli dynamicznie przydzielanych adresów jest możliwa. Teoretycznie tak, a w praktyce, ja nie mam takiej możliwości, ani technicznej, ani prawnej. Tego nie da się pominąć, ponieważ wyłączenie logów na serwerze spowoduje, że w przypadku awarii, nie będę miał żadnej możliwości dojść do tego, co poszło nie tak.

Po drugie, jeśli strona ma ciasteczka... Praktycznie każda strona ma ciasteczka, są one wręcz niezbędne. Jeżeli strona nie jest statyczna, nie można się bez tego obejść. Jeżeli nic nie biorę od użytkowników, to nawet jeśli wyświetlają oni moje posty na blogu, to zapytanie do mojej bazy danych o danego posta idzie z ciasteczkiem, aby dana osoba dostała danego posta. Co z tego, że ludzie mogą się nie zgodzić na to, jak strona nie będzie praktycznie działała. Wy nazywacie to cookie wall, ja nazywam to koniecznością. Jeżeli ktoś się nie zgodził na niezbędne ciasteczka, to może równie dobrze opuścić stronę. Bo czy mogę zignorowanie okienka przez użytkownika uznać jako zgodę. Ludzie nie mają nawet pojęcia jako to działa, potem ktoś się dziwi, że nie zgodził się na ciasteczka i mu poczta na onecie wywala?! A jak serwis ma rozpoznać użytkownika?

Po trzecie, ciasteczka pomagające w dopasowaniu reklamy. Wiem, można to wyłączyć, ale wtedy ogranicza to mocno potencjalne zyski i treść reklam wyświetlanych na stronie. Większość osób nie działa charytatywnie, nie posiada fundacji, więc jak ma zarabiać na stronie? Zbierać pieniądze na patronite, też w nieskończoność nie można.

Trochę zrozumienia dla drugiej strony. Jak na razie internet kroczy w złą stronę, a podjęte działania i tak mają niewiele z ochroną danych osobowych. Ludzie szastają nimi na lewo i prawo, wystarczy obiecać im w zamian jakieś punkty, które będą mogli wymienić na nikomu nie przydatny chłam. Ja widzę to głównie jako ograniczenie dla osób prywatnych, które chcą mieć własne strony, aby sobie jakoś dorobić. Firmy i korporacje i tak sobie poradzą, bo nie widzą problemu z podawaniem adresu spółki, który i tak jest dostępny w KRS. A te z kolei wypaczają prawo we własną stronę.

Dodaj komentarz