Francuzi karzą Google′a. Co z tego wynika dla polskich firm?

Decyzja CNIL zapadła w siedem miesięcy od złożenia skargi przez dwie organizacje, które symbolicznie zakwestionowały standard ochrony danych w usługach Google już pierwszego dnia obowiązywania RODO.

Francuski odpowiednik Urzędu ds. Ochrony Danych Osobowych – CNIL – ma dobre wyczucie czasu: na kilka dni przed międzynarodowym „świętem” danych osobowych (wypada 28 stycznia) nałożył na Google 50 mln euro kary za to, że nie przestrzega standardów wynikających z RODO.

Chodzi przede wszystkim o brak przejrzystości (z perspektywy użytkownika trudno się nie zgubić w połączonym ekosystemie różnych usług przetwarzających ogrom danych osobowych) i takie zaprojektowanie ustawień prywatności, żeby użytkownik zgodził się na więcej. Dla Google to dopiero ostrzeżenie, bo kara jest łagodna. Ale dla innych firm – które żyją ze spersonalizowanej reklamy i od wejścia w życie RODO robią wszystko, żeby „tylko była zgoda na dane” – sygnał, że muszą się obudzić.

Sprawa Google nie była szyta „pod publikę”

Decyzja CNIL zapadła w siedem miesięcy od złożenia skargi przez dwie organizacje – NOYB i LQDN – które symbolicznie zakwestionowały standard ochrony danych w usługach Google już pierwszego dnia obowiązywania RODO. To szybkie tempo, nieosiągalne dla innych europejskich organów. CNIL wyróżnia to, że dysponuje dużym zespołem technicznym, odpowiednim budżetem i – niewątpliwie – dobrym wyczuciem medialnym. Ale sprawa Google nie była szyta „pod publikę”: kara, którą nałożył francuski organ, jest dość łagodna (zgodnie z przepisami mogła wynieść nawet 3,7 miliarda euro!), a naruszenia, o których mowa w decyzji – naprawdę poważne.

Po pierwsze, zabrakło przejrzystości. Informacje, które Google przekazuje swoim użytkownikom na temat przetwarzanych danych, są rozrzucone w różnych dokumentach i pochowane na podstronach. Trzeba aż pięciu czynności, żeby dotrzeć do informacji o tym, jak Google personalizuje reklamy, a sześciu, żeby dowiedzieć się więcej o geolokalizacji. Zdaniem CNIL to sprawia, że mało który użytkownik jest w stanie zrozumieć, jakie dane i w jakich celach są w sumie przetwarzane przez Google, a także konsekwencji łączenia ich w ramach różnych usług.

Po drugie, Google zaprojektował swoje ustawienia prywatności w taki sposób, że nie całkiem wiadomo, które informacje użytkownicy muszą przekazać (bo inaczej nic nie będzie działać), na które się zgadzają (i mogą nie zgodzić), a które Google zbiera dlatego, że widzi w tym swój uzasadniony interes (bo zgodnie z RODO ma taką możliwość). Na etapie instalowania systemu Android użytkownik „musi zgodzić się” na całą politykę prywatności i przetwarzanie danych w różnych celach – od personalizacji reklam po rozpoznawanie mowy – a dopiero na dalszym etapie może, jeśli będzie dość zdeterminowany, z takiej „zgody” się wycofać. W przypadku personalizacji reklam opcja oznaczająca „zgodę” jest zaznaczona domyślnie, co w jaskrawy sposób narusza wymogi RODO.

50 mln euro kary ma zmusić do myślenia

Być może Google tak naprawdę uważa, że zgody swoich użytkowników wcale nie potrzebuje, bo większość z tych danych mógłby zbierać na innej podstawie prawnej (np. wykorzystując swój uzasadniony interes). Ale dlaczego, w takim razie, wysyła do użytkowników mylący komunikat, który zostawia ich z nieprzyjemnym poczuciem, że „musieli się zgodzić”? 50 mln euro może skłonić dział prawny, żeby jeszcze raz się nad tym zastanowił.

Decyzja CNIL to pierwsze ostrzeżenie dla wszystkich firm, które po 25 maja (początek stosowania RODO) agresywnie podeszły do „zdobywania zgód”, szczególnie w kontekście profilowanej reklamy. W Polsce trudno znaleźć portal informacyjny, który dałby swoim użytkownikom prosty wybór: zgadzasz się na śledzenie i profilowanie w celach reklamowych czy nie? Opcja „nie” zwykle jest obwarowana czasochłonnymi przeszkodami: „dowiedz się więcej”, „przejdź do ustawień zaawansowanych” itd. Z kolei tego, że się „zgodziliśmy” łatwo w ogóle nie zauważyć: większość portali wyciąga taki wniosek z tego, że odruchowo zamknęliśmy okienko z informacją o RODO albo przeszliśmy do serwisu. I liczy na to, że Urząd Ochrony Danych Osobowych nie złapie ich za rękę. Czy słusznie?

Google ma problemy, bo zbierając (m.in.) dane o lokalizacji i profilując użytkowników na własne potrzeby, pomieszał podstawy prawne i rozpędził się, podciągając wszystko pod „zgodę”, której tak naprawdę od swoich użytkowników nie dostał. Zgodnie z RODO zgoda jest ważna tylko wtedy, kiedy jest świadoma i dobrowolna. Jak na tym tle wypadają polskie portale? Bardzo słabo. Większość z nich w podobnie mylący i nieprzejrzysty sposób, co Google, próbuje „zalegalizować” swój model biznesowy, a więc to, że na giełdach reklamowych wystawiają dane swoich użytkowników i wpuszczają na swoją stronę setki śledzących skryptów (czasem zwykłych ciasteczek) pochodzących od innych firm.

Nasze dane osobowe rozchodzą się szeroko

Jeśli zdarzyło Wam się zajrzeć głębiej w owe „ustawienia zaawansowane”, możecie trafić na długą listę firm, które współpracują z portalami przy profilowaniu reklam. Czasem liczy ona tylko kilkadziesiąt, czasem kilkaset pozycji. Jeśli jest krótsza, to dlatego że prawnicy portalu zdecydowali się podjąć większe ryzyko i ujawnić tylko głównych – tzw. zaufanych – partnerów. Zaryzykuję stwierdzenie, że ta lista nigdy nie jest kompletna, bo w praktyce nasze dane osobowe, które za pośrednictwem portali trafiają na giełdy reklamowe, rozchodzą się bardzo szeroko. Nawet przy najlepszych chęciach nie da się prześledzić, do czyjej bazy danych trafiły i jak długo będą tam wykorzystywane. Takich informacji żaden portal nam nie przekaże, bo sam ich nie ma!

Jeśli Google ma problemy ze względu na brak przejrzystości w ramach własnej sieci usług, czekam na pierwszą decyzję (i karę) dla firm odpowiedzialnych za transakcje na giełdach reklamowych. Te przepływy danych są – z perspektywy użytkowników – zupełnie niewidzialne. Jeśli inne organy – w tym polski UODO – pójdą w ślad CNIL, całą branżę interaktywną czeka brutalna reforma poprzedzona milionowymi karami za naruszanie RODO. O tym, jak ciężko jest wytropić własny cyfrowy profil w tym skomplikowanym biznesowym ekosystemie i jak to naprawdę działa, można przeczytać w raporcie Fundacji Panoptykon.

Tekst ukazał się 26.01.2019 r. na stronie Tygodnika POLITYKA