Artykuł 06.07.2022 7 min. czytania Tekst Image Żyjemy w świecie, w którym dane osobowe mają dla biznesu realną wartość – i to nierzadko większą niż kwota, którą konsument mógłby zapłacić za usługę. Stąd prawdziwy wysyp „darmowych” usług, w których realna płatność ukryta jest gdzie indziej, a informacja o tym schowana w regulaminach, „zgodach” marketingowych czy wyskakujących okienkach, które nie pozwalają uzyskać dostępu do strony lub aplikacji bez kliknięcia OK. Z takimi manipulacyjnymi praktykami na co dzień spotykamy się w mediach społecznościowych czy aplikacjach lajfstajlowych, ale coraz częściej ten trend obserwujemy również w sektorach, gdzie za usługi do tej pory płaciliśmy pieniędzmi, np. ubezpieczeniach. Weźmy za przykład „darmowe” ubezpieczenie wakacyjne dla dzieci, w zamian za które rodzice musieli wyrazić zgodę na marketing. Pod pozorem darmowej usługi ubezpieczyciel uzyskał atrakcyjną dla marketingowców bazę danych rodziców dzieci, na której może potencjalnie zarobić więcej, niż gdyby klienci płacili za ubezpieczenie pieniędzmi. Wiele osób wchodzi w taki układ. Nic dziwnego – ciężko odrzucić ofertę, na którą nie trzeba wydać ani grosza. Jednak ile z tych osób jest świadomych tego, że ich dane mają dla firmy konkretną wartość i są nośnikiem informacji często o wiele ciekawszych niż numer karty bankowej klientów? Brak informacji o realnych kosztach transakcji w modelu „usługa za dane” uniemożliwia świadome podjęcie decyzji. Ale co gorsza: bywa też tak, że firmy w ogóle nie oferują alternatywy dla zapłaty danymi, a nawet jeśli taka alternatywa istnieje (albo o niej nie informują, albo zaszywają tę informację w regulaminie lub w innym trudno dostępnym miejscu). Przepisy o ochronie danych osobowych (RODO) nie pozwalają na takie manipulacyjne praktyki i stawiają jasne warunki: zgoda marketingowa musi być świadoma i dobrowolna. RODO wprost zabrania wymuszania zgody na przetwarzanie danych w zamian za usługę, jeśli te dane nie są potrzebne do wykonania umowy, np. ubezpieczenia dziecka. Prawo pozostawia co prawda firmom furtkę do zachęcania klientów do wyrażania zgód marketingowych (np. poprzez oferowanie zniżek), ale pod warunkiem, że klienci w pełni świadomie i dobrowolnie decydują się na taki układ. A trudno mówić o dobrowolności, jeśli nie wiadomo, że istnieje alternatywna oferta, ile kosztuje albo gdy skorzystanie z niej wymaga o wiele więcej wysiłku. Przykład: wakacyjne ubezpieczenie PZU Bezpłatne wakacyjne ubezpieczenie dla wszystkich dzieci w Polsce – tak latem 2019 r. największy polski ubezpieczyciel lansował ofertę pod hasłem „Wakacje z PZU”. W rzeczywistości klienci skuszeni ofertą mieli za ubezpieczenie zapłacić, tyle że nie gotówką ani przelewem, a danymi osobowymi. Rodzice chcący ubezpieczyć dzieci musieli wyrazić „zgodę” na wykorzystanie swoich danych, m.in. numeru telefonu, do celów marketingowych – i to nie nie tylko przez PZU Pomoc, ale również przez grupę firm powiązanych z ubezpieczycielem: Alior Bank czy Link4. Zdaniem PZU Pomoc klienci mieli wybór – mogli zapłacić ok. 10 zł za równoważne ubezpieczenie, bez przekazywania danych w celach marketingowych. Problem w tym, że ta informacja pojawiła się dopiero w piśmie do Prezesa Urzędu Ochrony Danych Osobowych, który – zaalarmowany przez Panoptykon i media – zażądał wyjaśnień. Samych klientów o niej nie informowano, mimo że PZU Pomoc miało do tego wiele okazji: od materiałów marketingowych po formularz przystąpienia do ubezpieczenia. Fundacja Panoptykon przystąpiła do postępowania prowadzonego przez Prezesa UODO. Po dwóch latach – w sierpniu 2021 r. – UODO wydał decyzję, w której stwierdził, że zgody marketingowe były ważne, bo po pierwsze, klienci mogli nie skorzystać z promocji, tylko kupić standardowe, płatne ubezpieczenie, a po drugie, po wycofaniu zgód marketingowych klienci nie tracili prawa do bezpłatnego ubezpieczenia. Ile osób korzystających z tej usługi zdawało sobie z tego sprawę? Ile nie wyraziłoby zgody na marketing, gdyby wiedziało, że istnieje rozsądna cenowo alternatywa? W trakcie postępowania przed UODO przedstawiliśmy dowody pokazujące, że PZU Pomoc w żadnym miejscu nie informował klientów o alternatywnych opcjach skorzystania z ubezpieczenia (do czego UODO w ogóle się nie odniósł). Trudno więc twierdzić, że decyzja o wyrażeniu zgody była w pełni dobrowolna i poprzedzona rzetelną informacją. Co więcej, fakt, że zgodę można w każdym momencie wycofać bez negatywnych konsekwencji, zupełnie nie wpływa na ocenę tego, czy PZU legalnie ją pozyskał. We wrześniu 2021 r. zaskarżyliśmy decyzję Prezesa UODO do Wojewódzkiego Sądu Administracyjnego w Warszawie i niecierpliwie czekamy na rozstrzygnięcie: rozprawa odbędzie się już 7 lipca. O co walczy Panoptykon? Obecnie prawo do pewnego stopnia pozwala na tworzenie zachęt do wyrażenia zgód marketingowych, np. poprzez proponowanie zniżek. Ale takie oferty powinny być przejrzyste i sprawiedliwe oraz umożliwiać klientom świadome podjęcie decyzji, w tym możliwość łatwego wyboru alternatywy, która nie wymaga wyrażania zgód na marketing. Nie zgadzamy się na wymuszanie zgód marketingowych i walczymy o to, by ludzie w relacji z firmami byli traktowani sprawiedliwie. Liczymy na to, że dzięki korzystnemu wyrokowi w sprawie PZU Pomoc uda się wypracować podstawowe standardy, które w przyszłości znajdą zastosowanie w podobnych przypadkach. Chcemy, żeby sąd potwierdził, że: klienci powinni mieć łatwy dostęp do informacji o tym, że mogą wybrać alternatywną usługę, która nie wymaga zgody na marketing; taka informacja nie powinna być zaszyta w regulaminie ani w ogólnych warunkach ubezpieczenia, tylko powinna być widoczna w formularzu i materiałach promocyjnych; możliwość odmowy zgody marketingowej powinna być równie prosta jak jej wyrażenie, co w tym przypadku oznacza, że klienci powinni móc skorzystać z alternatywnej oferty bezpośrednio przez link w formularzu, bez konieczności dzwonienia do agenta lub udania się do oddziału; alternatywna oferta powinna być równoważna, co oznacza, że powinna obejmować taki sam zakres usług, a jej cena nie powinna być sztucznie zawyżona, by zmusić klientów do wyrażenia zgody. Urząd Ochrony Danych Osobowych powinien skutecznie chronić nasze prawa – nie powienien umywać rąk, twierdząc, że ocena sposobu prezentowania ofert przez firmy nie leży w zakresie jego kompetencji. Sprawa kwestionująca praktyki PZU Pomoc wpisuje się w szerszy, widoczny dzisiaj w całej Europie, trend. Organy ochrony danych oraz instytucje Unii Europejskiej dostrzegają, że wielkie firmy żerują na braku świadomości ze strony klientów i na różny sposób wymuszają od nich dane osobowe. Włoski urząd antymonopolowy nałożył na Facebooka karę w wysokości 10 mln euro m.in. za to, że „zwodzi użytkowników” co do natury swojego modelu biznesowego – obiecuje darmową usługę, nie wyjaśniając, że fundamentem jej działania jest komercjalizacja danych osobowych. CNIL (francuski odpowiednik UODO) nałożył karę 50 mln euro na Google, ponieważ firma, pozyskując zgody na przetwarzanie danych, nie wyjaśnia klientom w wystarczający sposób, w jaki sposób ich dane będą wykorzystywane do personalizowania reklam. W przyjętym właśnie akcie o usługach cyfrowych (DSA) wprowadzono zakaz wykorzystywania manipulacyjnych interfejsów (dark patterns), czyli w praktyce np. projektowania rozwiązań w taki sposób, że użytkownicy nie są informowani o alternatywnych, bardziej korzystnych usługach. O rozstrzygnięciu Wojewódzkiego Sądu Administracyjnego napiszemy niebawem. Dziękujemy kancelarii Lubasz i Wspólnicy, radcom prawnym Dominikowi Lubaszowi i Witoldowi Chomiczewskiemu oraz adwokatowi Adamowi Szkurłatowi, za reprezentowanie nas w tej sprawie. Wojciech Klicki Autor Karolina IwańskaWspółpraca Temat reforma ochrony danych dane osobowe Poprzedni Następny Newsletter Otrzymuj informacje o działalności Fundacji Twoje dane przetwarza Fundacja Panoptykon w celu promowania działalności statutowej, analizy skuteczności podejmowanych działań i ewentualnej personalizacji komunikacji. Możesz zrezygnować z subskrypcji listy i zażądać usunięcia swojego adresu e-mail. Więcej informacji o tym, jak przetwarzamy twoje dane i jakie jeszcze prawa ci przysługują, w Polityce prywatności. Zapisz się Zapisz się Akceptuję Regulamin usługi Leave this field blank Zobacz także Poradnik Uporczywe pytanie o zgodę Rozpoznasz ją po tym, że pop-up lub inny komunikat z pytaniem o zgodę na przetwarzanie danych osobowych w związku z RODO pojawia się przy każdej próbie skorzystania z serwisu. Najczęściej zasłania treść i utrudnia korzystanie ze strony internetowej. Ale uwaga: taka praktyka nie musi być złośliwa.… 13.06.2018 Tekst Artykuł Apelujemy do Google'a: Prywatność nie tylko dla bogatych Prywatność nie powinna być luksusem. To nie tylko nasze zdanie. To samo powiedział Sundar Pichai, szef Google'a, w wywiadzie dla New York Timesa. Niestety, to tylko słowa. W rzeczywistości Google pozwala, aby dane osób posiadających niskokosztowe telefony były stale wykorzystywane.… 08.01.2020 Tekst Podcast Zdalnie, ale pod nadzorem. Rozmowa z dr. Liwiuszem Laską Czy dom to nowy zakład pracy, a pracodawca może podglądać swoich pracowników przez kamerki? Czy dzięki technologii pracodawcy łatwiej inwigilować związki zawodowe? Jakie zagrożenia niesie ze sobą platformizacja pracy? I czy prawo nadąża za zmianami? Z dr. Liwiuszem Laską, prawnikiem specjalizującym… 24.06.2021 Dźwięk