Artykuł 02.04.2015 7 min. czytania Tekst Image Szeroko zakrojone, interdyscyplinarne badanie, które dla belgijskiego inspektora ochrony danych osobowych przeprowadzili naukowcy z Wolnego Uniwersytetu w Brukseli i Uniwersytetu w Leuven, potwierdziło, że Facebook śledzi nas na potęgę – nie tylko swoich użytkowników, ale wszystkich, którzy znajdą się w zasięgu jego społecznościowych wtyczek (przycisk „Lubię to”). Wyraźnych naruszeń europejskiego prawa o ochronie danych osobowych badacze znaleźli jednak więcej. Jak to się dzieje, że portal – formalnie zarejestrowany w Irlandii i podlegający europejskiej jurysdykcji – robi na naszym rynku, dosłownie, co chce? Kogo śledzi Facebook? Facebook to nie tylko imperium zaludnione przez blisko półtora miliarda użytkowników – to również sieć 13 mln stron internetowych, w tym rządowych i poświęconych tak newralgicznym tematom, jak ochrona zdrowia. Dzięki przyciskowi „Lubię to” na tych stronach, Facebook jest w stanie zbierać informacje o wszystkich osobach, które wcześniej weszły w jakikolwiek kontakt z jego usługami (np. odwiedziły publicznie dostępną witrynę facebook.com). Wtyczka społecznościowa wykrywa ciastko umieszczone wcześniej na urządzeniu konkretnego użytkownika i raportuje do centrali (nawet, jeśli użytkownik nie dotknął przycisku „Lubię to”). Taki śledzący plik zawiera informacje o ustawieniach urządzenia oraz naszej wcześniejszej aktywności na stronach internetowych. Proste i genialne narzędzie, które zapewnia ciągłą pożywkę dla opartego na spersonalizowanej reklamie modelu biznesowego Facebooka. Śledzący plik zawiera informacje o ustawieniach urządzenia oraz naszej wcześniejszej aktywności na stronach internetowych. Jak to się ma do europejskiego prawa? Nijak. Zgodnie z dyrektywą regulującą ochronę prywatności w usługach internetowych (E-privacy Directive), warunkiem zaserwowania śledzącego ciastka jest uprzednia zgoda osoby, której urządzenie ma być śledzone. Ta reguła nie obowiązuje tylko wówczas, gdy śledzący plik jest niezbędny do prawidłowego wyświetlenia strony lub dostarczenia usługi (np. lokalizacji, płatności online), której zażyczył sobie sam użytkownik. Logiczna i pojemna zasada, pozwalająca na śledzenie wtedy, gdy faktycznie wymaga tego natura serwowanej strony lub usługi. Ale nie dla Facebooka, który chce śledzić ruchy osób nie mających konta na portalu lub w danym momencie z niego wylogowanych, bez ich wiedzy i zgody. Po co? Tego firma nie ukrywa: „by umożliwić [naszym pracownikom] wybranie, dostarczenie, ocenienie, zbadanie i zrozumienie reklam, jakie serwujemy na Facebooku i poza nim”. Najwyraźniej twórcy portalu zdają sobie sprawę, że mało kto czyta regulamin ze zrozumieniem i wyciąga z niego praktyczne wnioski. Jest jednak osoba, a raczej instytucja, która takie kwiatki w regulaminie Facebooka powinna wyłapywać i piętnować: irlandzki organ odpowiedzialny za egzekwowanie krajowych przepisów o ochronie danych osobowych, którym amerykański gigant formalnie podlega ze względu na siedzibę swojej europejskiej filii. Niestety, w tym przypadku prawo boleśnie rozmija się z praktyką, co pokazał kazus Maxa Schremsa – Austriaka, który rozpoczął kampanię Europe vs Facebook i wniósł przeciwko portalowi 32 skargi do irlandzkiego rzecznika ochrony danych osobowych. Po ponad trzech latach Max Schrems nie doczekał się nawet formalnej odpowiedzi na swoje skargi, nie wspominając o wiążącej decyzji czy sankcji nałożonej na amerykański portal. Ta sprawa tłumaczy, dlaczego w ramach przygotowywanej od paru lat europejskiej reformy przepisów o ochronie danych osobowych tak duże emocje wzbudza podział kompetencji i współpraca między organami odpowiedzialnymi za egzekwowanie nowych przepisów. Jeśli nadal cała władza będzie po stronie organów, które same firmy wybrały sobie na kontrolerów – a nie tych, które reprezentują interesy poszkodowanych obywateli – egzekwowanie prawa pozostanie fikcją. Sprzeciw? Może lepiej nie... Inne kuriozum w polityce Facebooka, na jakie zwrócili uwagę belgijscy badacze, to sposób, w jaki firma traktuje osoby, które wyraźnie zastrzegły, że nie chcą być śledzone. Europejskie prawo przewiduje taką możliwość w sytuacji, gdy użytkownik zmienił zdanie i chce wycofać swoją zgodę na śledzenie lub nie zgadza się z oceną firmy, która doszła do wniosku, że ma w tym tzw. uzasadniony interes (dotyczy to głównie marketingu własnych produktów). Co robi Facebook, kiedy usłyszy „nie”? Nie odpuszcza. Aby móc w ogóle zgłosić sprzeciw, europejski użytkownik jest przekierowywany na stronę prowadzoną przez osobny podmiot – European Digital Advertising Alliance in the EU. Tam może wybrać, jakim firmom z dostępnej listy chce powiedzieć „nie, dziękuję”. Tymczasem sam Facebook korzysta z okazji i na urządzeniu takiego nadgorliwego klienta zapisuje specjalne ciastko, które umożliwia śledzenie jego urządzenia w sieci przez kolejne dwa lata! Nie tylko Facebook konsekwentnie udaje, że nie rozumie istoty prawa sprzeciwu w europejskiej regulacji. Ostatnio w mediach pojawiła się informacja o Liście Robinsonów, promowanej przez polskie Stowarzyszenie Marketingu Bezpośredniego (SMB) jako optymalne rozwiązanie dla klientów, którzy nie chcą otrzymywać komunikatów reklamowych od firm biorących udział w tym programie. Wystarczy podać swoje pełne dane kontaktowe (adres zamieszkania, e-mail, telefon) i już, odpowiedzialne firmy współpracujące z SMB nie będą nas nękać. Proste? Co najmniej dziwne. Żadna firma nie ma prawa zaśmiecać naszej skrzynki niezamówionymi komunikatami marketingowymi. Warto przypomnieć, że żyjemy w kraju, w którym żadna firma nie ma prawa zaśmiecać naszej skrzynki niezamówionymi komunikatami marketingowymi, traktowanymi jak spam. Jedynym wyjątkiem jest komunikacja z firmą, z którą dobrowolnie nawiązaliśmy relację i która dotyczy jej własnych produktów, chyba że – i ten moment jest kluczowy – zgłosiliśmy sprzeciw. A więc, w przypadku odpowiedzialnej firmy, wystarczy zwykłe „nie, dziękuję” w odpowiedzi na pierwszy komunikat marketingowy i mamy problem z głowy. Nie musimy podawać dodatkowych danych i zasilać bazy, która sama może stać się łakomym kąskiem dla spamerów. Inicjatywa Listy Robinsonów dużo mówi o realiach polskiego rynku internetowego. Mimo prostych i sensownych reguł gry, po obu stronach marketingowej barykady panuje zagubienie. Klienci, którzy bez przerwy mówią „nie, dziękuję”, a mimo to nadal są nękani komunikatami reklamowymi, nie wierzą już w działanie prawa. Firmy, które chcą być traktowane jak odpowiedzialne, szukają sposobu, by wyróżnić się z tłumu tych, które lekceważą prawo i stosują agresywny marketing. Jednak lepszym pomysłem, niż – z prawnego punktu widzenia nic nie wnosząca – Lista Robinsonów, mogłoby być publiczne napiętnowanie nieodpowiedzialnych firm, które rażąco naruszają obowiązujące standardy. Jest duża szansa, że i w tej konkurencji Facebook zasłużyłby na palmę pierwszeństwa. Katarzyna Szymielewicz Pełna wersja raportu: From social media service to advertising network [PDF] Tekst został opublikowany na blogu INN POLAND Więcej na ten temat: Niedyskretny profil – czyli co wie o tobie Facebook (i inne portale społecznościowe)? [infografika] Katarzyna Szymielewicz Autorka Temat reforma ochrony danych media społecznościowe Internet Poprzedni Następny Newsletter Otrzymuj informacje o działalności Fundacji Twoje dane przetwarza Fundacja Panoptykon w celu promowania działalności statutowej, analizy skuteczności podejmowanych działań i ewentualnej personalizacji komunikacji. Możesz zrezygnować z subskrypcji listy i zażądać usunięcia swojego adresu e-mail. Więcej informacji o tym, jak przetwarzamy twoje dane i jakie jeszcze prawa ci przysługują, w Polityce prywatności. Zapisz się Zapisz się Akceptuję Regulamin usługi Leave this field blank Zobacz także Podcast RODO vs sztuczna inteligencja. Rozmowa z Aleksandrą Przegalińską Do dnia zero – 25 maja – zostało tylko kilka dni. To wtedy zacznie w pełni obowiązywać RODO (rozporządzenie o ochronie danych osobowych), które – w niektórych kręgach – ma wyjątkowo złą prasę. Czy słusznie? 18.05.2018 Dźwięk Artykuł Pilnie potrzebujemy ePrivacy! Wspólnie z 27 europejskimi organizacjami zajmującymi się prawami człowieka w cyfrowym świecie apelujemy do Rady Unii Europejskiej o przyspieszenie prac nad projektem rozporządzenia ePrivacy. 28.03.2018 Tekst Artykuł Po głosowaniu w europarlamencie: artykuł 13 w pytaniach i odpowiedziach W środę, 12 września, Parlament Europejski przyjął projekt dyrektywy o prawie autorskim, której artykuł 13 krytykowaliśmy od samego początku. Dla Panoptykonu punktem wyjścia w tej dyskusji jest nie tyle regulacja ochrony praw autorskich czy value gap, ale rola dominujących platform internetowych,… 13.09.2018 Tekst