Big tech kontra RODO. Jak od 6 lat internetowe korporacje obchodzą to prawo

„Zgoda” na śledzącą i profilującą reklamę – czasem zaszyta w regulaminie usługi, innym razem wymuszona na poziomie interfejsu. Możesz też jej nie wyrazić za słoną opłatą. Z okazji 6. rocznicy przyjęcia RODO opowiadamy o zderzeniu ochrony danych osobowych ze sposobem działania firm technologicznych.

Zacznijmy od europejskiej filozofii: każde sięgnięcie po dane wymaga wskazania podstawy prawnej, a więc jest wkroczeniem na teren chroniony. Natomiast w amerykańskiej polityce zakorzeniona jest zasada leseferyzmu: „Zbieramy, co się da, a potem znajdziemy dla tych danych zastosowanie”.

Te dwa sposoby myślenia o danych są nie do pogodzenia: to, co dla jednych jest prawem człowieka, które trzeba respektować, dla drugich jest nową ropą, którą trzeba wydobywać. Dlatego firmy technologiczne z Doliny Krzemowej po 2018 r. wyspecjalizowały się w obchodzeniu i naginaniu europejskich regulacji.

Czy interes człowieka przegrywa z interesem korporacji

Jak to się stało, że tam, gdzie prawo styka się z technologią, musimy (bez końca) bronić podstawowych zasad – nie tylko ochrony danych, ale wręcz zdrowego rozsądku?

Firmy internetowe przekonują, że ten model wszystkim się opłaca. My, użytkownicy, dostajemy „darmową” spersonalizowaną usługę, a strony internetowe, na których wyświetla się reklama, mają regularne wpływy na konto.

Nie wspominają, że w dłuższym horyzoncie opłaca się on tylko platformom internetowym. Pozostali uczestnicy tej gry tracą. Ludzie tracą prywatność, kontrolę nad informacjami o sobie, możliwość podejmowania autonomicznych decyzji w oparciu o wiedzę. Pośrednicy – np. media, na których stronach serwowana jest taka reklama – tracą finansowo.

Tego modelu nie da się obronić ani uzasadnionym interesem (bo wykorzystanie danych narusza interesy konsumentów), ani naturą oferowanej usługi (wykorzystanie danych wcale nie jest konieczne do zrealizowania umowy, np. czatu internetowego), ani dobrowolną zgodą osób, których dane dotyczą.

To nie jest nasza interpretacja. To decyzje sądów, organów ochrony danych osobowych i superorganu, czyli EROD (Europejskiej Rady Ochrony Danych). W tym tekście skoncentrujemy się na trzech takich starciach, które zakończyły się pozytywnymi przełomami, dotyczących:

• zaszycia „zgody” na śledzącą reklamę w regulaminie usługi,
• manipulujących interfejsów,
• płacenia za brak zgody na profilowaną reklamę.

Pierwsze starcie. Czy profilowanie reklam na portalu społecznościowym w ogóle wymaga zgody

Kiedy w maju 2018 r. RODO weszło w życie, firma Meta (wówczas jeszcze Facebook) zaczęła negocjacje z europejskim regulatorem w amerykańskim stylu: nie pytać o pozwolenie, tylko robić swoje i najwyżej potem przepraszać (płacić kary).

Image

Vladan Joler (SHARE Lab), Katarzyna Szymielewicz (Panoptykon Foundation), na bazie researchu SHARE Lab: Facebook Algorithmic Factory

Grafika: algorytmiczna fabryka Facebooka. Jak social media budują profil użytkownika?

Prawnicy Meta zdawali sobie sprawę z tego, że pozyskanie od milionów ludzi świadomej i dobrowolnej zgody na profilowane reklamy (które wykorzystują całą wiedzę, jaką platforma ma o swoich użytkownikach, w tym ich dane wrażliwe) jest praktycznie niemożliwe. Uznali więc, że zamiast o nią prosić, potraktują targetowaną reklamę tak, jakby była… integralną częścią usługi. Facebook to taka platforma, na której ludzie dostają spersonalizowane treści –  w tym również reklamowe (sponsorowane). A żeby je personalizować, Meta musi zbierać i przetwarzać dane – w tym dane wrażliwe. Proste? Proste. Ale jednak niezgodne z RODO.

W maju 2018 r. austriacka organizacja NOYB złożyła skargę do właściwego (irlandzkiego) organu ochrony danych osobowych. 4,5 roku później, w grudniu 2022 r., Europejska Rada Ochrony Danych uznała, że obejście wymogu uzyskania zgody poprzez zapis w regulaminie usługi było obejściem RODO [źródło].

Drugie starcie. Czy kliknięcie pop-upu wystarczy, żeby zalegalizować działanie giełd reklamowych

Nie tylko Meta żyje z personalizowanej reklamy i monetyzowania naszej uwagi. W branży adtech aktywne są setki podmiotów obsługujących różne kawałki procesu serwowania spersonalizowanej reklamy – od reklamodawcy do ekranu, na którym się ona wyświetla – czyli działających w czasie rzeczywistym giełd reklamowych.

Skąd reklamodawcy wiedzą, o czym myślisz? Czy są w stanie odgadnąć twoje ukryte pragnienia? Zajrzyj z nami na zaplecze Internetu.

Działanie internetowych giełd reklamowych różni się od reklamy na Facebooku tym, że przeciętny zjadacz Internetu nawet nie wie o tym, że na zapleczu ktoś obraca jego danymi i licytuje o jego uwagę. Jeszcze trudniej więc snuć opowieść o reklamie jako integralnej części usługi, jak robił to Facebook.

Pozyskanie świadomej i dobrowolnej zgody milionów ludzi na to, żeby ich dane (również wrażliwe) trafiały na giełdy reklamowe i wyciekały bokiem, wydaje się równie karkołomne.

Image

Grafika kampanii „Moje dane, moja sprawa”, która zachęcała do niewyrażania zgody na przetwarzanie danych osobowych na potrzeby reklamy

Skoro nie da się załatwić sprawy na czysto, to może uda się… irytujacym pop-upem? Ten pomysł przetestowało IAB Europe, stowarzyszenie firm z branży reklamy interaktywnej, tworząc Transparency & Consent Framework (TCF). System, który miał zalegalizować działanie giełd reklamowych po wejściu w życie RODO.

Pomysł prosty z perspektywy biznesu, a zarazem bardzo irytujący dla użytkowników. Na każdej stronie wpiętej w system TCF wyskakuje pop-up z żądaniem „zgody” na śledzenie i przekazywanie danych tzw. zaufanym partnerom IAB Europe. Tak wymuszona zgoda trafia do setek firm-pośredników biorących udział w tzw. Real Time Bidding (RTB) – giełdach reklamowych, na których te firmy łączą dane o użytkownikach, żeby wyświetlić im odpowiednio dopasowaną reklamę. Poprzez system TCF dane wyciekają do firm na całym świecie. Do takich szemranych transakcji dochodzi 71 trylionów razy rocznie.

W 2019 r. w grupa organizacji (wśród nich była Fundacja Panoptykon) wniosła skargi na  system TCF w kilku krajach Unii Europejskiej. W marcu 2024 r. Trybunał Sprawiedliwości Unii Europejskiej przyznał nam rację. Potwierdził, że w ramach systemu TCF dochodzi do przetwarzania danych osobowych, a IAB Europe jest ich administratorem (i w związku z tym ma konkretne obowiązki na gruncie RODO). A więc firmy z branży reklamowej nie mogą dłużej unikać odpowiedzialności, jaka wiąże się z przetwarzaniem danych osobowych w kontekście reklamy behawioralnej.

Trzecie starcie. Czy zgodnie z RODO można ludzi zmusić do płacenia za poszanowanie ich prywatności

Po tym, jak EROD nie dała się przekonać, że profilowana reklama to taka sama usługa jak profilowany feed, Meta sięgnęła po szantaż finansowy. Czy da się uzyskać blankietową zgodę na serwowanie profilowanych reklam (a więc również na zbieranie/generowanie danych behawioralnych, które to profilowanie umożliwiają) od milionów ludzi, jeśli postawi się ich przed wyborem „płać w euro albo w danych”?

Eksperyment przeprowadzony przez Meta na naprawdę dużej próbie potwierdził: wymuszenie działa. 99% ludzi w takiej sytuacji „wybiera” to, do czego już się zdążyli przyzwyczaić, a więc śledzenie i profilowanie. Dlaczego? Niektórzy twierdzą, że nie zwracają uwagi na reklamy albo przyzwyczaili się do „darmowej usługi” i wolą wydać te pieniądze na coś innego. Inni nie ufają Meta na tyle, żeby zapłacić niemało za tę niemałą manipulację.

Image

Zobacz też: Śledzenie w wersji premium: płatny Facebook nie chroni prywatności

Dlaczego manipulację? Bo oferta Mety nie ma nic wspólnego z ochroną prywatności. To opłata za brak reklam, a nie za brak śledzenia. Meta nawet w płatnej wersji serwisu nie zamierza odpuścić obserwowania i profilowania użytkowników po to, by serwować im „spersonalizwany” (czytaj: maksymalnie angażujący) feed.

Powiedzmy otwarcie, że ten eksperyment wcale nie służył pozyskaniu subskrybentów, którzy będą regularnie płacić za serwowane im treści. Wychodząc z tak nieatrakcyjną ofertą, Meta chciała zalegalizować model biznesowy, w którym użytkownik (jego uwaga i prywatność) jest towarem, bo to pewniejsze i łatwiejsze źródło dochodu niż uczciwie zaprojektowana subskrypcja (która oznaczałaby, że Meta musiałaby poważnie potraktować samych użytkowników i uszanować ich preferencje).

Jeżeli opłata subskrypcyjna rzeczywiście miałaby być ceną za content, Meta powinna zacząć traktować swoich użytkowników jak klientów – a więc podążać za ich wyborami i szanować ich prywatność w wersji domyślnej. A tak się nie dzieje. Dziś również w wersji płatnej użytkownik jest mielony na cyfrową biomasę, bo Meta nie przestaje zbierać danych behawioralnych i wykorzystywać ich do profilowania treści tak, by były maksymalnie angażujące. Nic w działaniach Mety nie wskazuje, że jest gotowa porzucić ten model biznesowy. A jego paliwem są dane, nie płatna treść.

Katarzyna Szymielewicz, prezeska Panoptykonu

***
Giganci technologiczni zbudowali swoją przewagę na tym, co amerykańska filozofka Shoshana Zuboff trafnie nazywała „nadwyżką behawioralną”. Przez odpowiednio długi czas byli w stanie zbierać i analizować dane milionów, a potem już miliardów ludzi, i przetwarzać je w wiedzę, którą można skomercjalizować, np. w formie targetowanej reklamy. Żeby osłabić pozycję monopolistów technologicznych w Europie i otworzyć rynek usług internetowych na inne modele (np. oparte na reklamie kontekstowej, która nie wymaga zgody od użytkowników), trzeba im tę gigantyczną przewagę odebrać.

Nie udało się to (jeszcze) przy pomocy RODO, więc Unia Europejska sięgnęła po kolejne instrumenty prawne: DSA i DMA. Czy z nimi pójdzie łatwiej? Czy te przepisy nie będą naginane i omijane?

Oczywiście, że będą.

Ale zmienia się pole i styl gry. Komisja Europejska, mając do dyspozycji nowe narzędzia, punktuje próby obchodzenia i naginania prawa o wiele sprawniej, niż robiły to wcześniej sądy (np. w postępowaniu w sprawie Meta). Stąd nadzieja, że to już ostatni rok obowiązywania RODO, w którym musimy walczyć o to, żeby zgoda na przetwarzanie danych pozostała zgodą.