Śledzenie użytkowników w pakiecie z darmowymi serwisami?

Artykuł
12.11.2018
6 min. czytania
Tekst
Image
Komputer z siecią kotaktów

Branża reklamowa lobbuje niebezpieczne wyłomy w rozporządzeniu ePrivacy, które ma uzupełniać RODO.

RODO wymusiło na portalach ujawnienie, komu pozwalają śledzić swoich użytkowników w celach reklamowych. Efekt – długie listy firm o mało znanych nazwach i „ustawienia prywatności” tak skonstruowane, że niemal każdy ruch oznacza „zgodę na marketing” – jest dużym rozczarowaniem.

Branża reklamowa ma pomysł, jak wyleczyć dżumę cholerą. Pod wpływem jej lobbingu w ostatniej wersji rozporządzenia ePrivacy (które ma uzupełniać i uszczegóławiać RODO) pojawił się przepis legalizujący ciasteczka i skrypty śledzące dla tych usług, które utrzymują się z reklam. Jeśli ta propozycja utrzyma się w dalszych negocjacjach (a te zależą m.in. od stanowiska polskiego rządu), będziemy mieli już tylko jedno wyjście chroniące prywatność: nie korzystać z komercyjnego internetu.

Dwa sposoby

Interesy użytkowników i wydawców komercyjnych portali internetowych coraz bardziej się rozchodzą. Jedni szukają jakościowego „kontentu” (ale niekoniecznie są gotowi za niego płacić), drudzy – żeby się utrzymać – schodzą z jakości i stawiają na targetowaną reklamę. Polskie portale rzadko dysponują odpowiednimi zasobami, żeby skutecznie śledzić i profilować własnych użytkowników, więc wpuszczają ciasteczka i skrypty serwowane przez tzw. strony trzecie – profesjonalistów obsługujących rynek reklamy behawioralnej. W efekcie użytkownik, który szuka w sieci informacji albo rozrywki, dostaje jej marny substytut i śledzenie w pakiecie. Trudno mu się dziwić, że nie jest skłonny płacić za abonament na takie „usługi”, a na dokładkę instaluje AdBlocka.

W tym krajobrazie toczy się prawna batalia o to, jakie formy śledzenia i profilowania w sieci powinny być dozwolone, a jakie dopuszczalne tylko pod warunkiem uzyskania świadomej zgody użytkownika. RODO (unijne rozporządzenie o ochronie danych osobowych) wymusiło na portalach internetowych ujawnienie wszystkich podmiotów, którym przekazują dane swoich użytkowników (w praktyce sprowadza się to do wpuszczenia na stronę ich ciasteczek lub skryptów śledzących) i pozostawienie decyzji, czy zgadzają się na śledzenie w celach reklamowych, samym użytkownikom. W zależności od tego, czy takie śledzenie da się obronić jako zgodne z racjonalnymi oczekiwaniami i nieingerujące nadmiernie w prywatność użytkowników, RODO dopuszcza zarówno model opt out (użytkownik może się sprzeciwić), jak i opt in (użytkownik musi wyrazić zgodę).

Działania niezgodne z prawem

Zdecydowana większość polskich portali informacyjnych i sklepów internetowych postanowiła do „bólu” wykorzystać elastyczność nowych przepisów i postawiła na model opt-out: nawet jeśli na serwowanych bezlitośnie banerach informacyjnych było coś o zgodzie, w praktyce każda czynność – od zamknięcia irytującego okienka po przejście do serwisu – była traktowana jako zaakceptowanie narzuconych reguł. Po paru nieudanych próbach niezgodzenia się większość z nas wzruszała ramionami i szła dalej. W efekcie, jak pokazało badanie przeprowadzone przez uniwersytet w Oxfordzie, liczba śledzących skryptów i ciasteczek instalowanych na polskich portalach od maja 2018 r. wzrosła (nie spadła) o ponad 20 proc. Wiele firm wykorzystało zalew banerów i pop-upów, by „zalegalizować” swoje działania i utrzymywać, że skoro gdzieś coś kliknęliśmy, śledzą nas za naszą wiedzą i zgodą.

Takie praktyki nie są zgodne ani z duchem, ani z literą obowiązującego prawa. Pierwsze pozwy dotyczące wymuszonej zgody już czekają na rozpoznanie. To tylko kwestia czasu, by pojawiły się decyzje sądów i organów ochrony danych osobowych kwestionujące to, co się dzieje na portalach internetowych. Nie można uznać przeskrolowania strony za świadomie udzieloną zgodę na przekazanie danych dziesiątkom firm, których nazwy pojawiają się dopiero po kliknięciu „więcej informacji”. Szczególnie jeśli nigdzie nie ma mowy ani o celach, ani o zakresie przetwarzanych danych.

Firmy z branży reklamy interaktywnej wiedzą, że stąpają po kruchym lodzie i naginają lub wprost łamią przepisy obwarowane wysokimi sankcjami. Dlatego izby branżowe reprezentujące ich interesy w Brukseli walczą o kolejne wyłomy w rozporządzeniu ePrivacy, które jest pomyślane jako druga noga europejskiej reformy ochrony prywatności i jej uszczegółowienie dla biznesu internetowego. Stawka jest wysoka, bo każdy wyłom w ePrivacy osłabia standardy wprowadzone przez RODO. Prace nad tą regulacją posuwają się powoli ze względu na ilość trudnych do pogodzenia interesów i siłę branżowych nacisków. Ostatnia wersja rozporządzenia, nad którą właśnie dyskutują w Brukseli przedstawiciele rządów (w Polsce te prace prowadzi Ministerstwo Cyfryzacji), dowodzi, że naciski te przynoszą spodziewane efekty.

Jedyne wyjście

W wersji z 19 października, przygotowanej przez prezydencję austriacką, pojawiło się zaskakujące brzmienie motywu 21., który odwraca logikę rozporządzenia ePrivacy: zamiast zakazywać zapisywania plików śledzących na urządzeniu końcowym użytkownika bez jego zgody, uznaje takie działanie za „niezbędne do świadczenia usługi społeczeństwa informacyjnego”, jeśli jest ona finansowana z reklamy. W motywie 21. pojawiają się jeszcze dodatkowe warunki – użytkownik powinien zostać w przyjazny sposób poinformowany o celach śledzenia, a nawet powinien je „zaakceptować” (cokolwiek to znaczy).

Treść nowego przepisu może nie być jasna, ale intencje lobby zabiegającego o ten i podobne wyłomy w ePrivacy są klarowne: chodzi o to, żeby zalegalizować model biznesowy oparty na komercjalizacji danych. Drogą do tego jest oficjalne (na poziomie prawa) przyjęcie, że podstawą darmowych usług, do których zdążyliśmy się przyzwyczaić, jest możliwość śledzenia naszych zachowani, i że na ten transakcyjny element po prostu nie możemy się nie zgodzić.

Jedynym wyjściem, jakie zostanie tym, którzy za dostęp do portali i aplikacji nie będą skłonni płacić swoimi danymi, będzie... nie korzystać.

Tekst ukazał się 27.10.2018 r. na stronie Tygodnika POLITYKA

Newsletter

Otrzymuj informacje o działalności Fundacji

Twoje dane przetwarza Fundacja Panoptykon w celu promowania działalności statutowej, analizy skuteczności podejmowanych działań i ewentualnej personalizacji komunikacji. Możesz zrezygnować z subskrypcji listy i zażądać usunięcia swojego adresu e-mail. Więcej informacji o tym, jak przetwarzamy twoje danejakie jeszcze prawa ci przysługują, w Polityce prywatności.