ePrywatność czy eŚledzenie – czy branża reklamowa postawi na swoim?

Pod wpływem lobbingu branży reklamowej w ostatniej wersji rozporządzenia ePrivacy pojawił się przepis, który legalizuje ciasteczka i skrypty śledzące dla tych usług, które utrzymują się z reklam. Za tą zmianą kryje się prosta logika: zamiast pytać użytkowników o zgodę (która i tak w wielu przypadkach okazuje się fikcją), uznajmy, że śledzenie jest niezbędne do świadczenia usługi, i już. Jeśli ta propozycja utrzyma się w dalszych negocjacjach – a te zależą m.in. od stanowiska polskiego rządu – będziemy mieli już tylko jedno wyjście chroniące prywatność: nie korzystać z komercyjnego Internetu.

RODO wymusiło na portalach internetowych ujawnienie wszystkich podmiotów, którym przekazują dane użytkowników (w praktyce sprowadza się to do wpuszczenia na stronę ich ciasteczek lub skryptów śledzących) i pozostawienie decyzji, czy zgadzają się na śledzenie w celach reklamowych, samym użytkownikom. W zależności od tego, czy takie śledzenie da się obronić, jako zgodne z racjonalnymi oczekiwaniami i nieingerujące nadmiernie w prywatność użytkowników, RODO dopuszcza zarówno model opt out (użytkownik może się sprzeciwić) i opt in (użytkownik musi wyrazić zgodę).

Biznes reklamowy nie godzi się ze standardami narzucanymi przez RODO, co pokazują praktyki stosowane przez większość portali internetowych.

Większość polskich portali informacyjnych i sklepów internetowych postawiła na pozyskiwanie zgody, ale w praktyce tak zaprojektowane, że trudno jej było (przez nieuwagę albo w wyniku narastającej frustracji) nie udzielić. Po prostu każda czynność użytkownika – od zamknięcia irytującego okienka po przejście do serwisu – była traktowana jako zaakceptowanie narzuconych reguł (por. opisywane przez nas złe praktyki).

Takie praktyki nie są zgodne ani z duchem, ani z literą obowiązującego prawa. Pierwsze pozwy dotyczące wymuszonej zgody już czekają na rozpoznanie (w tym głośne pozwy NOYB, organizacji założonej przez Maxa Schremsa). To tylko kwestia czasu, by pojawiły się decyzje sądów i organów ochrony danych osobowych kwestionujące to, co się dzieje na portalach internetowych. Nie można uznać przeskrolowania strony za świadomie udzieloną zgodę na przekazanie danych dziesiątkom firm, których nazwy pojawiają się dopiero po kliknięciu „więcej informacji”. Szczególnie, jeśli nigdzie nie ma mowy ani o celach, ani o zakresie przetwarzanych danych.

Firmy z branży reklamy interaktywnej wiedzą, że stąpają po kruchym lodzie i że naginają lub wręcz łamią przepisy obwarowane wysokimi sankcjami. Dlatego izby reprezentujące ich interesy w Brukseli walczą o kolejne wyłomy w rozporządzeniu ePrivacy, które ma uzupełniać i uszczegóławiać przepisy RODO w odniesieniu do biznesu internetowego. Ostatnia wersja rozporządzenia, nad którą właśnie dyskutują w Brukseli przedstawiciele rządów (w Polsce te prace prowadzi Ministerstwo Cyfryzacji) jest dowodem na to, że ich naciski przynoszą spodziewane efekty.

Nowe brzmienie motywu 21 odwraca logikę rozporządzenia: zamiast ograniczać możliwość śledzenia, robi z niego standard.

W wersji z 19 października, przygotowanej przez prezydencję austriacką, pojawiło się zaskakujące brzmienie motywu 21, który odwraca logikę rozporządzenia ePrivacy: zamiast zakazywać zapisywania plików śledzących na urządzeniu końcowym użytkownika bez jego zgody, uznaje takie działanie za „niezbędne do świadczenia usługi społeczeństwa informacyjnego”, jeśli jest ona finansowana (wyłącznie lub w przeważającym stopniu) z reklamy. W  motywie 21 pojawiają się jeszcze dodatkowe warunki – użytkownik powinien zostać w przyjazny sposób poinformowany  o celach śledzenia, a nawet powinien je „zaakceptować” (cokolwiek to znaczy).

Treść nowego przepisu może nie być jasna, ale intencje lobby zabiegającego  o ten i podobne wyłomy w ePrivacy są klarowne: chodzi o to, żeby zalegalizować model biznesowy oparty na komercjalizacji danych. Drogą do tego jest oficjalne (na poziomie prawa) przyjęcie, że podstawą darmowych usług, do których zdążyliśmy się przyzwyczaić, jest możliwość śledzenia naszych zachowań i że na ten transakcyjny element po prostu nie możemy się nie zgodzić.

Zmiany w rozporządzeniu ePrivacy to furtka do permanentnego śledzenia naszej aktywności i drastyczne obniżenie standardu wynikającego z RODO.

W praktyce oznaczałoby to zmuszenie użytkowników do przekazywania ich danych do celów reklamowych, wbrew ich intencjom i racjonalnym oczekiwaniom. Wyobraźmy sobie, że zaczynam korzystać z aplikacji, która monitoruje moją kondycję fizyczną, trasy i czas treningów etc. Oczekuję, że to narzędzie pomoże mi lepiej zaplanować swoją aktywność fizyczną, ale nie chcę, żeby dane o moim zdrowiu czy lokalizacji były przekazywane innym firmom (i np. w przyszłości wpłynęły na oferty produktów ubezpieczeniowych, które do mnie trafią). Jeśli europejski ustawodawca przyjmie, że śledzenie w pakiecie z darmowymi usługami jest obowiązkowe, nie będę mogła się temu nawet sprzeciwić.

Fundacja Panoptykon przekazała Ministerstwu Cyfryzacji krytyczne uwagi do ostatniej wersji rozporządzenia ePrivacy, przygotowanego przez prezydencję austriacką. Postulujemy, żeby przedstawiciele rządu zgłosił stanowczy sprzeciw wobec nowego brzmienia motywu 21. Będziemy informować o tym, jakie stanowisko w negocjacjach na poziomie Rady UE zajmie polski rząd.

Więcej na temat prac nad rozporządzeniem ePrivacy

Katarzyna Szymielewicz, Karolina Iwańska

Wspieraj naszą walkę o prawo lepiej chroniące prywatność! Wpłać darowiznę na konto Fundacji Panoptykon.