ePrywatność czy eŚledzenie – czy branża reklamowa postawi na swoim?

Artykuł

Pod wpływem lobbingu branży reklamowej w ostatniej wersji rozporządzenia ePrivacy pojawił się przepis, który legalizuje ciasteczka i skrypty śledzące dla tych usług, które utrzymują się z reklam. Za tą zmianą kryje się prosta logika: zamiast pytać użytkowników o zgodę (która i tak w wielu przypadkach okazuje się fikcją), uznajmy, że śledzenie jest niezbędne do świadczenia usługi, i już. Jeśli ta propozycja utrzyma się w dalszych negocjacjach – a te zależą m.in. od stanowiska polskiego rządu – będziemy mieli już tylko jedno wyjście chroniące prywatność: nie korzystać z komercyjnego Internetu.

RODO wymusiło na portalach internetowych ujawnienie wszystkich podmiotów, którym przekazują dane użytkowników (w praktyce sprowadza się to do wpuszczenia na stronę ich ciasteczek lub skryptów śledzących) i pozostawienie decyzji, czy zgadzają się na śledzenie w celach reklamowych, samym użytkownikom. W zależności od tego, czy takie śledzenie da się obronić, jako zgodne z racjonalnymi oczekiwaniami i nieingerujące nadmiernie w prywatność użytkowników, RODO dopuszcza zarówno model opt out (użytkownik może się sprzeciwić) i opt in (użytkownik musi wyrazić zgodę).

Biznes reklamowy nie godzi się ze standardami narzucanymi przez RODO, co pokazują praktyki stosowane przez większość portali internetowych.

Większość polskich portali informacyjnych i sklepów internetowych postawiła na pozyskiwanie zgody, ale w praktyce tak zaprojektowane, że trudno jej było (przez nieuwagę albo w wyniku narastającej frustracji) nie udzielić. Po prostu każda czynność użytkownika – od zamknięcia irytującego okienka po przejście do serwisu – była traktowana jako zaakceptowanie narzuconych reguł (por. opisywane przez nas złe praktyki).

Takie praktyki nie są zgodne ani z duchem, ani z literą obowiązującego prawa. Pierwsze pozwy dotyczące wymuszonej zgody już czekają na rozpoznanie (w tym głośne pozwy NOYB, organizacji założonej przez Maxa Schremsa). To tylko kwestia czasu, by pojawiły się decyzje sądów i organów ochrony danych osobowych kwestionujące to, co się dzieje na portalach internetowych. Nie można uznać przeskrolowania strony za świadomie udzieloną zgodę na przekazanie danych dziesiątkom firm, których nazwy pojawiają się dopiero po kliknięciu „więcej informacji”. Szczególnie, jeśli nigdzie nie ma mowy ani o celach, ani o zakresie przetwarzanych danych.

Firmy z branży reklamy interaktywnej wiedzą, że stąpają po kruchym lodzie i że naginają lub wręcz łamią przepisy obwarowane wysokimi sankcjami. Dlatego izby reprezentujące ich interesy w Brukseli walczą o kolejne wyłomy w rozporządzeniu ePrivacy, które ma uzupełniać i uszczegóławiać przepisy RODO w odniesieniu do biznesu internetowego. Ostatnia wersja rozporządzenia, nad którą właśnie dyskutują w Brukseli przedstawiciele rządów (w Polsce te prace prowadzi Ministerstwo Cyfryzacji) jest dowodem na to, że ich naciski przynoszą spodziewane efekty.

Nowe brzmienie motywu 21 odwraca logikę rozporządzenia: zamiast ograniczać możliwość śledzenia, robi z niego standard.

W wersji z 19 października, przygotowanej przez prezydencję austriacką, pojawiło się zaskakujące brzmienie motywu 21, który odwraca logikę rozporządzenia ePrivacy: zamiast zakazywać zapisywania plików śledzących na urządzeniu końcowym użytkownika bez jego zgody, uznaje takie działanie za „niezbędne do świadczenia usługi społeczeństwa informacyjnego”, jeśli jest ona finansowana (wyłącznie lub w przeważającym stopniu) z reklamy. W  motywie 21 pojawiają się jeszcze dodatkowe warunki – użytkownik powinien zostać w przyjazny sposób poinformowany  o celach śledzenia, a nawet powinien je „zaakceptować” (cokolwiek to znaczy).

Treść nowego przepisu może nie być jasna, ale intencje lobby zabiegającego  o ten i podobne wyłomy w ePrivacy są klarowne: chodzi o to, żeby zalegalizować model biznesowy oparty na komercjalizacji danych. Drogą do tego jest oficjalne (na poziomie prawa) przyjęcie, że podstawą darmowych usług, do których zdążyliśmy się przyzwyczaić, jest możliwość śledzenia naszych zachowań i że na ten transakcyjny element po prostu nie możemy się nie zgodzić.

Zmiany w rozporządzeniu ePrivacy to furtka do permanentnego śledzenia naszej aktywności i drastyczne obniżenie standardu wynikającego z RODO.

W praktyce oznaczałoby to zmuszenie użytkowników do przekazywania ich danych do celów reklamowych, wbrew ich intencjom i racjonalnym oczekiwaniom. Wyobraźmy sobie, że zaczynam korzystać z aplikacji, która monitoruje moją kondycję fizyczną, trasy i czas treningów etc. Oczekuję, że to narzędzie pomoże mi lepiej zaplanować swoją aktywność fizyczną, ale nie chcę, żeby dane o moim zdrowiu czy lokalizacji były przekazywane innym firmom (i np. w przyszłości wpłynęły na oferty produktów ubezpieczeniowych, które do mnie trafią). Jeśli europejski ustawodawca przyjmie, że śledzenie w pakiecie z darmowymi usługami jest obowiązkowe, nie będę mogła się temu nawet sprzeciwić.

Fundacja Panoptykon przekazała Ministerstwu Cyfryzacji krytyczne uwagi do ostatniej wersji rozporządzenia ePrivacy, przygotowanego przez prezydencję austriacką. Postulujemy, żeby przedstawiciele rządu zgłosił stanowczy sprzeciw wobec nowego brzmienia motywu 21. Będziemy informować o tym, jakie stanowisko w negocjacjach na poziomie Rady UE zajmie polski rząd.

Więcej na temat prac nad rozporządzeniem ePrivacy

Katarzyna Szymielewicz, Karolina Iwańska

Wspieraj naszą walkę o prawo lepiej chroniące prywatność! Wpłać darowiznę na konto Fundacji Panoptykon.

Komentarze

"zmuszenie użytkowników do przekazywania ich danych do celów reklamowych, wbrew ich intencjom i racjonalnym oczekiwaniom"
Czyli ePrivacy powinno pytać użytkowników czy chcą cookies. 99,9% kliknie nie i b.duża część rynku reklamowego w internecie może kończyć działalność :) Jakie można mieć racjonalne oczekiwania? Wchodząc do wyszukiwarki i wpisując zapytanie "głośniki" wyskakiwało okienko "czy mogę zadać Ci pytanie?" - Tak - "Czy chcesz otrzymać oferty innych głośników?"
"ale nie chcę, żeby dane o moim zdrowiu czy lokalizacji były przekazywane innym firmom"
Jeśli dane są anonimowe to sprzedaż ich w ogólnej formie (np. to cookie korzysta z aplikacji do biegania) jest jedynym często warunkiem utrzymywania tej aplikacji czyt. źródłem dochodu. ;] W imię prywatności zatrzymajmy twórców aplikacji, nie będzie niczego, ale będzie prywatność. :)

Być może gdyby rynek reklamowy zaczął wychodzić do ludzi i opowiadać im o tym, jak działa, dlaczego taki a nie inny model finansowania wybrał, jakie informacje zbiera, co z nich wnioskuje i do czego dokładnie wykorzystuje, udałoby się mu zbudować zaufanie użytkowników na tyle, żeby choć część z nich zgodziła się na płacenie za usługi swoimi danymi. Zła prasa tego rynku wynika naszym zdaniem w dużej mierze z tego, że nie chce się przed ludźmi odkryć, a to naturalnie rodzi obawy i spekulacje. Pozbawienie ludzi resztek kontroli nad informacjami na ich temat to nie tylko poważna ingerencja w prawa podstawowe, ale też wizerunkowy strzał w stopę.

O proszę jak ktoś z interesem do naruszania naszej prywatności kwiczy, że po zmianach „niczego nie będzie”. Proszę sobie wejść na https://f-droid.org/en/packages/ i zobaczyć ile aplikacji istnieje i żadna nie narusza naszej prywatności, kod jest otwarty i jakoś F-Droid się tylko rozrasta.

Także tego czego nie będzie, to łatwego handlu naszymi danymi przez cwaniaczków, którym zależy, żeby po kryjomu, bez naszej zgody „anonimowo” sprzedawać o nas dane, które później w większych firmach je skupujących doprowadzają do naszej identyfikacji.

@artian: Jeśli przejdzie propozycja, o której piszemy w tekście, to uBlock Origin nie pomoże. Dlaczego? Bo serwisy nie będą już musiały pytać o zgodę na ciasteczka. A jeśli będziemy mieli wtyczkę blokującą, to po prostu strona się nie załaduje.

@Karolina Iwańska: "Bo serwisy nie będą już musiały pytać o zgodę na ciasteczka"
Ciasteczka zablokowane https://i.imgur.com/pJlCWt2.png + komunikaty przez uBlock Origin.

"A jeśli będziemy mieli wtyczkę blokującą, to po prostu strona się nie załaduje."
Nie spotkałem jeszcze strony która by mi się nie wyświetliła. onetowski troll - ominięty https://i.imgur.com/TmPm6gx.jpg Blokada wideo na tvp - ominięta https://i.imgur.com/E8fIFnO.jpg itd.

@artian: bo w tym momencie cookiesy są oparte na zgodzie, a portale nie stosują tzw. cookie walls (czyli nawet jeśli tej zgody nie wyrazimy - np. poprzez używanie wtyczek - nie zabraniają nam samego dostępu do serwisu). Mój komentarz dotyczył sytuacji po przyjęciu rozporządzenia w kształcie, o jakim piszemy w artykule - na cookiesy nie byłaby wymagana zgoda, ale byłyby uznane za *niezbędne* do świadczenia usługi. Co oznacza, że jeśli będziemy chcieli je zablokować, to usługi po prostu nie dostaniemy. Słowem: powszechny cookie wall.

Dodaj komentarz