Portale społecznościowe nie oddadzą reklamy behawioralnej: stanowisko biznesu w sprawie reformy prywatności w UE

W odpowiedzi na wezwanie Komisji Europejskiej do konsultacji „kompleksowej strategii w sprawie ochrony danych osobowych w Unii Europejskiej” swoje stanowisko przesłał także bardzo istotny gracz na „rynku prywatności”: europejskie portale społecznościowe. Co prawda nie ma w tym gronie najpotężniejszego portalu w Europie, czyli amerykańskiego Facebooka, nie mniej jednak to głos firm, które wspólnie mają kilkanaście milionów użytkowników i znaczący wpływ na realia ochrony prywatności w Internecie. Dlatego jest to stanowisko ważne i dla Komisji Europejskiej i dla nas. Komentujemy najważniejsze, z naszego punktu widzenia, tezy i propozycje sformułowane przez przedstawicieli europejskich portali społecznościowych.

Zacznijmy od tego, gdzie się zgadzamy. Podobnie jak Panoptykon, autorzy zwrócili uwagę na problem jurysdykcji: w obecnym stanie prawnym europejskie sądy i organy ochrony danych nie mają kontroli nad tym, jak usługodawcy spoza Unii Europejskiej kształtują swoje relacje z klientami. To jest stan bardzo niepożądany, tak z punktu widzenia klientów, jak i firm. Klienci są pozbawieni skutecznej ochrony przed łamaniem swoich praw (szczególnie prawa do ochrony danych osobowych), a firmy funkcjonują w warunkach zaburzonej konkurencji: ostrzejsze w zakresie ochrony danych prawo europejskie nakłada obowiązki na nie, ale już nie na amerykańskich konkurentów, mimo że działają na tym samym rynku. W kwestii jurysdykcji potrzebna jest gruntowna reforma i wprowadzenie zasady, że do usług takich jak świadczone przez portale społecznościowe, stosuje się prawo właściwe według miejsca zamieszkania odbiorcy.

Autorzy stanowiska przyznają też, że podstawową kwestią jest wdrożenie paradygmatu „prywatność w fazie projektowania” (privacy by design). Z tym podejściem zgadzamy się w pełni, choć nie jesteśmy pewni, jak portale społecznościowe rozumieją tę zasadę w praktyce. Dla Panoptykonu privacy by design oznacza, że firmy przewidują potencjalne zagrożenia dla prywatności już na etapie wymyślania usług czy tworzenia nowych funkcjonalności, a następnie tak je kształtują, żeby te zagrożenia wyeliminować. Na przykład, dbają o to, żeby użytkownik musiał się zastanowić (przeczytać informację, samodzielnie zmienić ustawienia itp.) zanim udostępni całość informacji o sobie nieograniczonemu kręgowi odbiorców. W tym momencie większość portali społecznościowych nie tylko nie wprowadza takich zabezpieczeń, ale wręcz tworzy tzw. „ustawienia domyślne” sprzyjające udostępnianiu informacji osobom trzecim.

W stanowisku portali społecznościowych mocny akcent został położony na transparentność i zwiększenie kontroli użytkowników nad ich danymi. Można jednak odnieść wrażenie, że autorom chodzi przede wszystkim o informowanie – np. ostrzeganie użytkowników „na wejściu”, z jakimi konsekwencjami może się wiązać udostępnienie ich danych w serwisie i że taka decyzja jest w zasadzie nieodwołalna (dane raz „wrzucone” do sieci już tam pozostaną). Informowanie jest bardzo ważne. Świadomość tego, co się może dziać z moimi danymi to podstawa autonomicznej decyzji, czy chcę w daną relację komercyjną wchodzić, czy nie. To właśnie portale społecznościowe muszą swoich klientów edukować w zakresie zagrożeń dla prywatności, bo nikt inny – żadna organizacja ani instytucja państwowa – nie ma tak dobrego kanału dotarcia do ich świadomości. Ale samo informowanie nie wystarczy.

Oczekujemy, że twórcy portali społecznościowych wezmą też pełną odpowiedzialność za przestrzeganie zasad ochrony danych osobowych. Przede wszystkim chodzi tu o zasadę, że dane nie mogą być przetwarzane bez wyraźniej i świadomej zgody osoby, której dotyczą. W praktyce to oznacza, że portal nie może przetwarzać (w tym udostępniać) żadnych informacji o użytkowniku osobom trzecim – ani innym użytkownikom, ani innym firmom – bez uzyskania wyraźniej (nie wymuszonej!) zgody. W tym kontekście przyjęcie, że domyślnym ustawieniem poziomu ochrony prywatności w serwisie jest „dzielę się ze wszystkimi” jest po prostu nielegalne.

Autorzy stanowiska kładą też duży nacisk na rolę samoregulacji w zagwarantowaniu odpowiednich standardów ochrony prywatności w Internecie. Hasło „samoregulacja” w środowisku organizacji takich jak Panoptykon wywołuje mieszane uczucia: jeśli ma być zamiast skutecznego prawa, które państwo będzie egzekwować w interesie obywateli, to jest zła; jeśli jest w dodatku do skutecznych mechanizmów gwarantowanych przez państwo, może być bardzo pozytywna. Samoregulacja powinna uzupełniać podstawowe gwarancje, takie jak zakaz przetwarzania danych bez zgody osoby, której te dane dotyczą, prawo wycofania zgody w każdym momencie czy prawo do zadośćuczynienia za wyrządzoną szkodę, ale nie może spełniać tej samej funkcji. Rolą tego instrumentu jest raczej podnoszenie poprzeczki wyżej dla firm, które chcą się promować, jako odpowiedzialne i przyjazne klientom.

Wydaje się, że europejskie portale społecznościowe rozumieją tę różnicę, bo w stanowisku jest wyraźnie mowa o tym, że promowanie samoregulacji nie ma służyć zwolnieniu z odpowiedzialności za przestrzeganie prawa. Problem jednak w tym, że w obszarze ich działalności wciąż brakuje jasnych i skutecznych regulacji państwowych, a więc niegotowa jest „baza”, na której powinny się opierać oddolnie tworzone kodeksy dobrych praktyk. Stąd to pomarańczowe światło w reakcji na hasło „więcej samoregulacji!”.

Wbrew temu, co jest proponowane przez adwokatów prywatności, w tym Europejskiego Inspektowa Ochrony Danych czy Grupę Roboczą Art. 29, portale społecznościowe nie zgadzają się, że powinny umożliwiać klientom przenoszenie danych do innych serwisów (tzw. data portability). Autorzy stanowiska twierdzą, że klient może stosunkowo łatwo usunąć swoje podstawowe dane, takie jak informacje z profilu czy zdjęcia, i samodzielnie umieścić je w innym serwisie. Natomiast jeśli chodzi o informacje generowane w toku „życia” na portalu społecznościowym – jak nasza siatka kontaktów czy konkretne posty – ich przeniesienie do innego serwisu mogłoby naruszać prawa innych użytkowników. Zdaniem autorów stanowiska, nasze stare „kontakty” mogą sobie nie życzyć, żeby informacje o ich związkach czy zapisy interakcji z osobą przenoszącą swoje dane funkcjonowały poza portalem, którego sami używają. Ta kwestia rzeczywiście wymaga głębszego zbadania – nie powinniśmy jednak zbyt łatwo akceptować kontrargumentów przeciwko przenoszalności danych. W miarę przenoszenia życia towarzyskiego kolejnych pokoleń do Internetu, zamknięcie naszej sieci kontaktów i historii komunikacji w ramach jednego serwisu może stać się podstawową formą „korporacyjnego” zniewolenia.

Wreszcie, najciekawszy punkt stanowiska, w którym już fundamentalnie się nie zgadzamy, to reklama behawioralna i wykorzystywanie informacji, które wnosimy do serwisu lub generujemy w toku jego używania do celów marketingowych. Autorzy stanowiska stawiają to sprawę jasno: portal społecznościowy to usługa – dość zaawansowana i kosztowna w utrzymaniu – a zatem musi na siebie jakoś zarabiać. I do tego momentu nie zgłaszamy sprzeciwu. Jednak z tego stwierdzenia dla portali społecznościowych wypływa wniosek, że po pierwsze, klient „musi się zgodzić” na przetwarzanie jego danych na potrzeby reklamy, po drugie można mu usługi odmówić, jeśli się nie zgodzi. Autorzy stanowiska bronią tezy, że przetwarzanie danych klientów na potrzeby związane z marketingiem nie wymaga zgody tak długo, jak te dane przetwarza sam portal, a nie inne firmy.

Rzeczywiście, tzw. „marketing własnych produktów” nie wymaga, w polskim czy europejskim prawie, pozyskiwania zgody klienta. Bank może nam przesłać ofertę własnego kredytu i na takiej samej zasadzie nasz portal społecznościowy może nas poinformować o nowych funkcjach czy usługach. Ale już nie może podsuwać nam – dobranej do naszego profilu – reklamy produktów firm, z którymi podpisał odpowiednie umowy i od których pobiera za to opłaty. Nie może, chyba, że klient-użytkownik wyrazi na to zgodę.

Portale społecznościowe uważają, że ta zasada jest zła i powinno wystarczyć samo poinformowanie klienta „na wejściu”, że warunkiem korzystania z portalu jest zaakceptowanie reklamy behawioralnej. Taki rodzaj wymuszenia danych w zamian za oferowany produkt narusza zasadę autonomii informacyjnej i niebezpiecznie otwiera pole do „płacenia” za kolejne internetowe usługi naszą prywatnością. Portale społecznościowe powinny zostawić swoim klientom wybór co do „waluty” w jakiej chcą płacić. Dla wielu osób atrakcyjniejsze od poddawania się marketingowym eksperymentom może okazać się zapłacenie w twardej walucie.

Pełna treść stanowiska europejskich portali społecznościowych: European Social Networks Response to the Commission’s public consultation on the comprehensive approach on personal data protection in the European Union

Katarzyna Szymielewicz