Czy RODO może zatrzymać śledzenie na potrzeby reklamy? Rozmowa z Maksem Schremsem

Artykuł

Panoptykon vs IAB Europe. NOYB vs Meta. Dwie ważne sprawy przeciwko organizacjom, które zbudowały swój model biznesowy na targetowanej reklamie.

Mechanizm serwowania reklam na platformach społecznościowych (bez pośrednika) i w mediach elektronicznych (z udziałem pośrednika) różni się zasadniczo, ale logika śledzenia i profilowania ludzi pozostaje ta sama. Na potrzeby dopasowywania reklam globalne firmy internetowe zbierają każdy okruch, każdy ślad naszej aktywności w sieci i trenują na nich algorytmy sztucznej inteligencji. Dzięki nim do każdego człowieka są w stanie dopasować profil behawioralny. Im więcej danych, tym głębszy wgląd w nasze słabości i autentyczne potrzeby – i trafniej dopasowana reklama, dzięki której rosną zyski po stronie reklamodawcy i serwującej reklamy platformy. Ich zysk oznacza jednak stratę po stronie targetowanego człowieka. Za inwazyjną reklamę płacimy wrażliwymi danymi, naruszoną godnością, źle spędzonym czasem w sieci i zachwianą równowagą psychiczną.

O co chodzi w sprawie, którą Panoptykon prowadzi przeciwko IAB Europe? Czy dzięki tej walce pozbędziemy się wyskakujących okienek na portalach internetowych? Przeczytacie o tym w naszych Pytaniach i odpowiedziach (część pierwsza, druga i trzecia).

O sprawie, którą NOYB prowadzi przeciwko firmie Meta w związku z profilowaną reklamą, opowiedział nam Max Schrems: założyciel NOYB, prawnik i aktywista, który w swojej walce o ochronę naszych danych z największą platformą internetową bynajmniej się nie patyczkuje. 

Dlaczego rozmawiamy teraz? Chociaż minęło prawie pięć lat od złożenia skargi przez NOYB, irlandzki urząd ochrony danych nie wydał decyzji. Sprawę w swoje ręce wzięła Europejska Rada Ochrony Danych (EROD), która uznała, że Meta nie powinna serwować profilowanych reklam, bazując na postanowieniach w regulaminie. EROD jako właściwą podstawę prawną wskazała zgodę. Jednak metody profilowania stosowane przez Facebooka są tak inwazyjne, a skala śledzenia tak duża, że mamy wątpliwości, czy zwykły zjadacz Internetu może świadomie zgodzić się na takie traktowanie. 

Max Schrems opowiada o praktycznych konsekwencjach decyzji EROD, o tym, dlaczego skargi o naruszenie RODO wloką się latami (nie tylko w Polsce), i co powinno się zmienić, żeby to prawo zaczęło nas realnie chronić.

W imieniu Panoptykonu z Maksem rozmawiała Małgorzata Fraser.


Małgorzata Fraser: Minęło prawie pięć lat od złożeniu przez NOYB pierwszej skargi przeciwko Meta na nieprzestrzeganie RODO. Wreszcie mamy rozstrzygnięcie. Co ta decyzja oznacza w 2023 r.? Jak się z nią czujesz? Czy spodziewasz się, że Facebook wprowadzi prawdziwe zmiany – czy też powinniśmy spodziewać się kolejnych prób obejścia prawa?

Max Schrems: Przede wszystkim dostaliśmy potwierdzenie, że Meta w sposób problematyczny próbowała obchodzić RODO. Nie będzie to jednak miało szerszego wpływu na innych, bo – co w tej sprawie jest ważne – tylko Meta działała na tyle bezczelnie, żeby dać się na tej próbie przyłapać. Gdyby jednak wygrała, to inni gracze natychmiast skopiowaliby to rozwiązanie. Na szczęście do tego nie dojdzie.

Przy okazji wyszedł też inny problem: z egzekwowaniem RODO. Jeśli przyjrzeć się sprawom związanym z transferem danych, widać, że regulatorom nieszczególnie na tym egzekwowaniu zależy. Nawet w odniesieniu do naszej sprawy [dotyczącej personalizowanej reklamy na Facebooku] irlandzka komisarz ds. ochrony danych powiedziała publicznie, że nie wierzy w system i nie zgadza się z decyzją [Europejskiej Rady Ochrony Danych]. Jeśli Meta się odwoła, to pójdzie do sądu i powie: „Patrzcie, nawet regulator się z tym nie zgadza”. Inna sprawa to brak obiektywności i niezależności regulatora. Wyobraź sobie, że zanim Meta wypracowała to swoje obejście, miała z dziesięć spotkań z urzędem. To samo w sobie jest problematyczne.

Od większości decyzji firmy się odwołują do sądów, bo dzięki temu sprawy ciągną się latami. Myślę, że zdają sobie sprawę, że kiedyś RODO w nich uderzy, ale zanim to nastąpi, mają przed sobą kilka lat czerpania zysków na naruszeniach.

Pojawia się zatem takie myślenie: „No dobra, nie da się, musimy pogodzić się z utratą prywatności, bo i tak nie jesteśmy w stanie wyegzekwować, żeby była chroniona”. Taką postawę mają nawet niektórzy regulatorzy. Myślą sobie: „Hm, nie wiemy, czy jesteśmy w stanie to wyegzekwować”. Jeśli nawet oni w to wątpią, mimo że w przepisach zawarte są bardzo silne gwarancje, zaczyna się gra psychologiczna: „Nie poddawajmy się, a nuż nasze będzie na wierzchu, nasza interpretacja wygra”.

MF: Znamy taką sprawę. Belgijski urząd ochrony danych zadecydował, że Transparency and Consent Framework (TFC) [system pozyskiwania zgód marketingowych zaprojektowany przez IAB Europe] jest niezgodny z RODO. IAB Europe odwołał się od decyzji, a sprawa trafiła do belgijskiego sądu, który przekazał ją dalej, do Trybunału Sprawiedliwości Unii Europejskiej (TSUE), zadając dwa pytania prejudycjalne. TSUE to właściwy sąd do rozstrzygania takich spraw – ale dopiero się okaże, czy stanie na wysokości zadania. Czy widzisz związek między tą sprawą a twoją sprawą przeciwko Meta?

MS: Krajowe sądy wszystkie sprawy wysyłają do Luksemburga. Wydaje mi się to szalenie interesujące. Pytają nawet o kwestie, które są w przepisach ujęte dosłownie. Widzimy to szczególnie w niemieckich sądach. Widzisz, Niemcy mieli swoją wizję prywatności, jeszcze zanim weszło w życie RODO, i teraz próbują ją wcisnąć w obowiązujące ramy. Mówią: przed RODO my to regulowaliśmy w ten sposób, RODO teraz mówi coś przeciwnego, ale czy nie powinniśmy interpretować RODO zgodnie z tym, jak wcześniej ujęliśmy to w naszych przepisach? Z perspektywy prawnej, zwłaszcza w Europie, to jest oczywiste. Przy okazji naszych spraw widzimy też, że sądy i sędziowie drżą przed RODO ze strachu. Nie wiedzą, jak sobie z nim radzić, po prostu go nie lubią…

MF: Ale od wejścia w życie RODO minęło już prawie pięć lat!

MS: A nawet siedem od jego przyjęcia. Ale w ciągu dwóch lat przeznaczonych na jego wdrożenie nikt niczego nie wdrożył. Brakuje wiedzy, szkoleń, nawet wśród urzędników zajmujących się prywatnością. Nie wiedzą, jak tworzyć procedury, bo wcześniej nie musieli tego robić. Sądy nie są lepsze – nie radzą sobie z cyfrowymi aspektami spraw, a co dopiero z ochroną prywatności… To dla nich całkowita abstrakcja. Ochrona prywatności wymaga pewnej dozy wiedzy technicznej, której ludzie się boją – albo może boją się po nią sięgnąć. Jest też problem w całej bańce zajmującej się prywatnością. Widzimy to na przykład u osób, które kandydują do pracy u nas. Nawet jeśli pracowały wcześniej w wielkich firmach, to jeśli spytać je o cokolwiek, okazuje się, że nie bardzo rozumieją przepisy i nie wiedzą, jak one mają działać.

Stąd bierze się jeden wielki bałagan. Na każdym kroku coś idzie nie tak. W ten sposób naprawdę trudno cokolwiek osiągnąć.

MF: Czy wyobrażasz sobie w takim razie, że pojawią się jakieś decyzje na bazie RODO, które wymuszą na rynku zmiany w tym, jak działa reklama online? Czy to mission impossible?

MS: Myślę, że to całkiem możliwe. Przetwarzanie danych osobowych na potrzeby reklamy internetowej opiera się zazwyczaj na jednej z dwóch podstaw prawnych: jedną z nich jest uzasadniony interes administratora. Który wkrótce odejdzie w niebyt, bo niemal wszyscy zgadzają się, że nie można opierać na nim działań reklamowych. Branża jeszcze walczy, ale wie, że nie mają szans tego wygrać.

Druga podstawa, czyli zgoda [podmiotu danych na przetwarzanie], zostanie, bo jest ujęta w karcie praw podstawowych. Nie da się tego zmienić, nie zmieniając karty, ale pozostaje pytanie, jak z tego w praktyce korzystać.

Wydaje mi się, że kiedy wydanych zostanie więcej decyzji dotyczących tego, jak powinno wyglądać uczciwe i przejrzyste pozyskiwanie zgody, wiele się zmieni.

MF: Czy DSA [akt o usługach cyfrowych] coś zmieni? Mamy „zgodozę”, manipulujące interfejsy…

MS: Moim zdaniem to wszystko już zostało opisane w prawie wcześniej, bo RODO wymaga, żeby pozyskiwanie zgód było przejrzyste i uczciwe. Chodzi mi o to, że chowanie przycisku pod trzema warstwami nie wiadomo czego nie jest szczególnie uczciwe. Proste – spytaj kogokolwiek, czy to jest uczciwe, czy nie, odpowiedź może być tylko jedna.

Gdyby regulatorzy podjęli zdecydowane kroki i powiedzieli: „Hej, branżo, zastanówmy się razem, jak przestrzegać ustalonych zasad”, już dawno mielibyśmy z głowy banery ciastkowe. Prawo już jest, brakuje tylko jego egzekwowania.

MF: Skoro o egzekwowaniu mowa, belgijski urząd ochrony danych odmówił ujawnienia stronie skarżącej planu działania, w którym IAB Europe proponuje, jak zamierza przebudować swój system pozyskiwania zgód marketingowych, tak żeby był zgodny z RODO. Organizacje społeczne zaangażowane w tę sprawę (w tym Panoptykon) oczekiwały czegoś zgoła przeciwnego. Co byś zrobił w takiej sytuacji? Czy widzisz powód, dla którego taki plan powinien zostać poufny?

MS: Nie, nie widzę. To jest większy problem. Irlandzki urząd ochrony danych robi to samo w sprawach dotyczących dużych firm technologicznych – wszystko opatrują klauzulą „poufne”. Na każdy wniosek, który składamy, dostajemy tę samą odpowiedź: poufne, poufne, poufne. W rzeczywistości nie ma tam nic poufnego, ale to skutecznie uniemożliwia krytykę. Ta „poufność” jest bardzo interesująca zwłaszcza w bańce prywatnościowej, bo przecież większość informacji, o które pytamy, powinna znaleźć się w polityce prywatności. Przepisy wymagają przejrzystego informowania, więc to nielogiczne, żeby te informacje ukrywać. Wyjątek stanowią szczegółowe informacje techniczne dotyczące konfiguracji itp. – ich chronienie jest uzasadnione, ale w większości przypadków powoływanie się na tajemnicę jest nadużyciem. Firmy zaś zachowują się, jakby miały prawo wiedzieć o ludziach wszystko, zero prywatności. Można odnieść wrażenie, że RODO jest dla firm, nie dla ludzi.

Jednym z niewielu państw, które ma do tego zupełnie inne podejście, jest Austria. Wszystkie wnioski o objęcie dokumentów klauzulą poufności są odrzucane: to nie jest poufne, tamto też nie i to by było na tyle – ale to dlatego, że mamy w tym zakresie jasne zasady. Ale są kraje, w których te zasady nie są aż tak jasne.

Mamy ten problem z regulatorem w Irlandii. Powiedziano nam, że skoro zabieramy głos publicznie w prowadzonych przez nas sprawach, musimy jako organizacja społeczna podpisać klauzulę poufności. Wyobraź sobie, że idziesz do sądu i słyszysz: „Masz się ze mną dogadać, bo jak nie, to nie poprowadzę twojej sprawy”.

W Austrii to byłoby uznane za nadużycie uprawnień i przestępstwo.

MF: Jaki twoim zdaniem wpływ na egzekwowanie RODO ma polityka wspólnotowa i polityki poszczególnych krajów członkowskich? Firmy technologiczne w wielu krajach cieszą się przywilejami, bo inwestują, tworzą miejsca pracy. Polski Urząd Ochrony Danych Osobowych nie pali się do reagowania na skargi na ich działalność. To jeden z przykładów tego, jak lokalna polityka wpływa na egzekwowanie międzynarodowego prawa.

MS: Krajowa administracja czy parlament nie mogą wiele zrobić w sprawie opieszałości organów egzekwujących RODO. Nawet gdyby chciały, „przeszkadza” im proces demokratyczny. Z jednej strony mamy organ, a z drugiej ministra, którego nominacja jest zatwierdzana przez parlament. I minister oświadczy, że nie może mówić regulatorowi, co ma robić, bo przecież regulator ma być niezależny.

Jest jednak inna forma nacisku: na drodze sądowej. To w wielu krajach alternatywna droga dochodzenia praw wynikających z regulacji takich jak RODO, ale nie wszędzie. Wracając do Irlandii – żeby złożyć pozew w sądzie, musisz wyłożyć 100 tys. euro. Kogo na to stać?

Nie jest też łatwo znaleźć prawnika, który będzie cię reprezentował. My jesteśmy rozpoznawalni i mamy szeroką sieć, a i tak wielu prawników mówi: „Podoba mi się wasza praca i moim zdaniem macie rację, ale wszyscy moi klienci siedzą po drugiej stronie barykady, więc nie tykam tego tematu”.

Dlatego niektórzy regulatorzy mogą sobie pozwolić na to, żeby nie podejmować trudnych decyzji. Co z tego, że opinia publiczna się oburza – spływa to po nich. Myślą sobie, że przecież ci głupi aktywiści i tak nigdy nie są z niczego zadowoleni.

To jest strukturalny problem z organami ochrony danych i ich niezależnością. Niektóre uważają, że ta niezależność polega na tym, że nie muszą słuchać sądów ani innych regulatorów. Dlatego proces wyboru ludzi do organów ochrony danych jest taki trudny.

Są ludzie, którzy chcą tę pracę wykonywać dobrze. Są też wyraźne różnice między krajami. Na przykład w Niemczech urząd jest mocno upolityczniony, a ochroną danych zazwyczaj zajmują się osoby, które straciły pracę w parlamencie. W efekcie do urzędów trafiają ludzie, którzy nie są, że tak powiem, największymi fajterami. Chcą w spokoju dotrwać do emerytury. 

Ale jest pewna nadzieja. To była wcześniej bardzo nudna praca, ale to się zmienia. Liczę, że pójdzie za tym zmiana pokoleniowa. Już teraz więcej młodych ludzi trafia do urzędów na niższe stanowiska. Zmiana zaczyna się dziać.

MF: Jak sądzisz, co jest obecnie najtrudniejszym aspektem współpracy między organami w różnych krajach? Dlaczego każda każda międzynarodowa sprawa, która dotyczy big techów, trwa tak długo?

MS: Sama procedura współpracy jest problematyczna. W naszej sprawie jest łatwiej, bo obydwa urzędy są nieaktywne. Ale czasem jest tak, że aktywniejszy urząd tłumaczy się tym, że to ten drugi nie współpracuje. Na przykład urząd austriacki mówi: „O nie, to Irlandia – oni nie udostępniają nam dokumentów, nie reagują na pisma”.

Przepisy unijne mówią, że organy mają ze sobą współpracować, ale co w sytuacji, kiedy jeden z nich nie chce? Jakie są konsekwencje? Przepisy RODO tego nie regulują, więc musimy się posiłkować ogólnymi zasadami. Nie pozostaje nic innego, jak pojechać do Irlandii i złożyć sprawę w tamtejszym urzędzie.

Moim zdaniem możemy sobie z tym radzić tylko za pośrednictwem profesjonalnych organizacji społecznych, które prowadzą sprawy w imieniu ludzi. To jedyna możliwa droga. Korzystanie ze wspólnych zasobów i współpraca.

MF: Czy Unia Europejska planuje wprowadzenie jakichś zmian, które uproszczą te procedury?

MS: Komisja Europejska planuje wprowadzić w tym roku wymogi proceduralne dla urzędów odpowiedzialnych za ochronę danych. Mam nadzieję, że to się uda i będziemy mieli spójniejszy system, w którym pewne rzeczy zostaną zoptymalizowane. Na przykład będzie jasne, którym językiem masz się posługiwać, który urząd (tj. z którego kraju) jest wiodący w twojej sprawie, ile czasu ma na dostarczenie dokumentów innym urzędom zaangażowanym w sprawę, w jaki sposób ma je dostarczyć itd. Jeśli chodzi o to ostatnie, to RODO mówi „bez zbędnej zwłoki”. Dla irlandzkiego urzędu to oznacza dwa lata, dla innego – dwa dni.

Komisja Europejska zamierza naprawiać sytuację procedurami i w dłuższej perspektywie to jest dobry pomysł. Ale w krótkiej – nadal musimy walczyć w sądzie.

Komisja przy okazji odpowie na fundamentalne pytania dotyczące zakresu procedury – co powinna ona obejmować, a czego nie. To szansa na rozwiązanie problemów, które pojawiają się, kiedy na przykład polski urząd wydaje decyzję samodzielnie, ale nie może jej wyegzekwować w Belgii czy Irlandii. A więc w praktyce decyzja pozostaje martwa. Moim zdaniem kwestie tego typu powinny być rozwiązane w nowych przepisach i z tego powodu warto, żeby one powstały.

MF: Ale potrzebowaliśmy ich już pięć lat temu!

MS: Tak, moim zdaniem to wszystko powinno było zostać uregulowane w RODO.

Tłumaczenie: Anna Obem

Zdjęcie: GeorgMolterer, licencja CC BY-NC 3.0

Polecamy:

Panoptykon: Na zapleczu Internetu

Komentarze

Szanuję Pana Schremsa - wywalił natarczywe tarcze prywatności tam gdzie ich miejsce, czyli do sedesu. Niestety ale obecnie w Polsce (a prawdopodobnie też w całym ЄС) mamy inny problem. Na reklamy mamy skuteczne blokery. Można też internet przeglądać przez Tor Browsera. Poprawnie używając tych narzędzi nie dostarczamy spółkom danych osobowych.

Problemem obecnie jest to, że na 29 rekrutacji w 30 z nich wymagano ode mnie MS TEAMS oraz GOOGLE MEET. Przy czym obligatoryjnie wymagano kamerki, a już sam głos jest daną biometryczną. Odpowiednie ujęcie twarzy może stanowić zdjęcie biometryczne w rozumieniu dokumentów tożsamości. W czasie 30 minut takiego "spotkania" nie trudno jest uzyskać taki kadr nagrywając na przykład wszystko oprogramowaniem OBS Studio lub też nagrywając cały monitor przez specjalną przejściówkę.

Takie zdjęcie wraz z danymi z ksiąg wieczystych (kandydata można prosić o adres zamieszkania) stanowi śmiertelne zagrożenie dla ludzi, bowiem można wyłudzić na nich pożyczkę i kompletnie sfałszować tożsamość.

Drogi Panoptykonie, dlaczego się tym nie zajmiecie? Dlaczego mam być okradziona z danych biometrycznych przez potencjalnego pracodawcę (średnio 29 na 30)? Dlaczego nie godząc się zgodnie z prawem na podanie danych biometrycznych muszę obecnie przymierać głodem?

Jeżeli Panoptykon nic z tym nie zamierza zrobić (a jeżeli zamierza - odpisze) - proszę Pana Maksa Schremsa o pomoc w tym zakresie. Nie może być tak by zmuszano nas do oddawania wizerunku i innych danych biometrycznych, które potem GAFAM użyje przeciwko nam do trenowania sztucznej inteligencji i innych nieetycznych celów.

Dodaj komentarz