RODO na tacy. Odcinek II: Fair play – czyli o szacunku dla naszych wyborów

Poradnik
16.02.2018
11 min. czytania
Tekst
Image
RODO ODCINEK 2: FAIR PLAY

„I żyli długo i szczęśliwie...” – tak dzieje się tylko w komediach romantycznych. W prawdziwym życiu dobra relacja wymaga częstego zasiadania przy stole negocjacyjnym. Akceptujemy to, gdy chodzi o pracę czy rodzinę, ale przenoszenie tego modelu na wszystkie sfery życia doprowadziłoby nas do białej gorączki. Nie lubimy być na każdym kroku pytani o zdanie i zmuszani do podejmowania decyzji. W Internecie wszystko powinno po prostu działać: gładko i intuicyjnie.

Na tym oczekiwaniu wyrosły modele biznesowe, które nadużywają naszego zaufania: ważne informacje ukrywają pod drobną czcionką, zbierają więcej danych, niż potrzebują, przyjmują ryzykowne założenia („skoro klient nie protestuje, to pewnie się zgadza”). Ale kiedy okazuje się, że usługa albo urządzenie robi za naszymi plecami coś, na co byśmy się nie zgodzili, czujemy się oszukani. Gdzie leży złoty środek między poszanowaniem naszego wyboru a zapewnieniem dobrego doświadczenia użytkownikowi? RODO ma na to przepis.

RODO w żadnym razie nie wymaga zalewania nas pop-upami z nagabywaniem „czy akceptujesz…”. Takie pytanie powinno być wyjątkiem, a nie regułą.

Zgodnie z nowym prawem o ochronie danych osobowych administrator ma obowiązek zapytać, zanim sięgnie po dane, które nie są mu potrzebne. Ale też nie powinien zawracać nam głowy niepotrzebnymi komunikatami. RODO w żadnym razie nie wymaga zalewania nas pop-upami z nagabywaniem „czy akceptujesz…”. W praktyce takie pytanie powinno być wyjątkiem, a nie regułą. Właśnie po to administrator ma inne podstawy prawne, żeby z nich korzystać. Jeśli administrator zamierza np. przetwarzać tylko te dane, które są potrzebne do zrealizowania umowy, którą zawarliśmy, albo takie, których wymaga od niego obowiązujące prawo, nie musi nam zawracać głowy żadnymi pytaniami. Wystarczy, że nas o swoich zamiarach poinformuje. W innych przypadkach powinien kierować się kilkoma prostymi zasadami:

Zasada numer 1: Zapytaj mnie o zdanie!

Na gruncie RODO zgoda ma sens wtedy (i tylko wtedy!), kiedy administrator próbuje sięgnąć po dane, których tak naprawdę nie potrzebuje, ale z których chętnie skorzysta, jeśli mu na to pozwolimy. Nie może uzasadnić swojej ciekawości żadną inną podstawą prawną. Typowe przykłady takich sytuacji:

  • zbieranie informacji o lokalizacji użytkowników aplikacji online w celach marketingowych;
  • odpytywanie klientów sklepów o to, gdzie mieszkają (kod pocztowy) albo do jakiego przedziału wiekowego należą;
  • zbieranie dodatkowych informacji kontaktowych (np. numeru telefonu), jeśli ma to się przyczynić wyłącznie do usprawnienia komunikacji;
  • przekazywanie danych zebranych w jednym celu (np. na potrzeby scoringu kredytowego) partnerom z grupy kapitałowej w innym celu (np. marketingowym).

Dobrze zadane pytanie o zgodę na przetwarzanie danych osobowych buduje relację: daje pytanemu poczucie kontroli, a pytającemu – wiedzę o granicach drugiej strony.

Dobrze zadane pytanie o zgodę na przetwarzanie danych osobowych buduje relację: daje pytanemu poczucie kontroli, a pytającemu – wiedzę o tym, co jest w stanie zaakceptować druga strona, a gdzie stawia granicę. Oczywiście, to pytanie ma sens tylko wtedy, kiedy administrator jest w stanie uszanować każdą odpowiedź. „Tak, możesz przetwarzać moje dane w tym celu” – świetnie, chętnie z tego skorzystam. „Nie, nie zgadzam się!” – nie ma problemu, w takim razie nie będziemy tego robić. Jeśli administrator ma inny plan, a pyta tylko po to, żeby usłyszeć „tak”, mamy do czynienia z manipulacją.

Dane, które dobrowolnie zgodziliśmy się udostępnić, pozostają pod naszą kontrolą: możemy w każdej chwili zmienić zdanie i swoją zgodę wycofać; możemy też zażądać usunięcia przekazanych w ten sposób danych albo przeniesienia ich w inne miejsce. W praktyce administrator nie powinien się przywiązywać do informacji, które w ten sposób zostały mu przekazane: dziś je ma, ale jutro może stracić. Jeżeli będzie grał nie fair, może się to stać znacznie szybciej, niż mu się wydaje.

Zasada numer 2: Graj uczciwie!

Skuteczne, czyli zgodne z RODO, pozyskanie zgody na przetwarzanie danych osobowych wcale nie jest łatwe. I – powiedzmy to sobie wprost – nie ma nic wspólnego z uganianiem się za irytującym okienkiem, które zasłania treść na stronie internetowej. Chodzi o partnerski dialog, w którym pytający wykłada wszystkie karty na stół, a pytany ma przestrzeń, żeby się zastanowić i podjąć świadomą decyzję. Nasza zgoda powinna być:

  • jednoznaczna, a więc nie powinna pozostawiać wątpliwości co do tego, na co się zgadzamy (np. czy na przetwarzanie dodatkowych danych w celu marketingowym, czy tylko na zawarcie umowy);
  • dobrowolna, a więc niewymuszona negatywnymi konsekwencjami (np. pop-upem, który ostrzega, że bez „zgody” na przetwarzanie danych nie będzie można skorzystać z usługi albo serwis nie będzie działał poprawnie);
  • świadoma, czyli oparta na wcześniej przekazanych, rzetelnych i zrozumiałych informacjach.

W żadnym wypadku nie może zostać uznane za zgodę na przetwarzanie danych nasze milczenie czy niepodjęcie przez nas działania.

Jak to może wyglądać w praktyce? W naszym cyfrowym życiu zgoda na przetwarzanie danych najczęściej polega na zaznaczeniu okienka wyboru albo przesunięciu suwaka w tzw. ustawieniach prywatności (z „nie” na „tak”). Ale zgodne z prawem jest też wyrażenie zgody poprzez działanie, np. wpisanie swojego adresu e-mail w formularz internetowy, jeśli zostaliśmy poinformowani, że robiąc to, akceptujemy przetwarzanie naszych danych osobowych w celach marketingowych. Grunt, żeby nie było wątpliwości, że właśnie daliśmy administratorowi zielone światło. W żadnym wypadku nie może zostać uznane za zgodę na przetwarzanie danych nasze milczenie czy niepodjęcie przez nas działania (np. zignorowanie irytującego pop-upu na stronie, nieprzestawienie domyślnych ustawień na stronie z „tak” na „nie”).

Ale to jeszcze nie koniec! Żebyśmy rzeczywiście mogli wyrazić zgodę w jednoznaczny, dobrowolny i świadomy sposób, administrator danych musi zadbać o kilka ważnych drobiazgów:

  • wyodrębnienie zgody (niedopuszczalne jest „spakowanie” zgody do regulaminu czy polityki prywatności, które akceptujemy, zawierając umowę);
  • napisanie jej jasnym i prostym językiem (to warunek podjęcia decyzji w świadomy sposób);
  • wyjaśnienie, w jakim celu i przez kogo dane będą przetwarzane (jeśli tych celów jest więcej niż jeden albo gdy w grę wchodzi przetwarzanie danych przez inny podmiot, trzeba o to osobno zapytać);
  • doświadczenie użytkownika – prośba o udzielenie zgody nie może niepotrzebnie utrudniać korzystania z usługi, której dotyczy (wyskakujące okienka i bannery muszą odejść do lamusa!).

Zasada numer 3: Nie blefuj!

Zgodę w każdej chwili można cofnąć. Nie da się na niej oprzeć stabilnego biznesu.

Powtórzmy to jeszcze raz: dane można przetwarzać w oparciu o różne podstawy prawne, nie tylko zgodę. Pozyskanie takiego oświadczenia woli wymaga dodatkowego wysiłku, a do tego w każdej chwili można je stracić. A więc nie da się na nim oprzeć stabilnego biznesu ani realnie zarobić (bo co to za zasób, który w każdej chwili może zniknąć?). Dlatego w komercyjnych relacjach warto zachować dystans i sceptycyzm do firm, które zbyt często pytają nas o zgodę na przetwarzanie danych. Może to działanie pozorne? Albo obliczone na określony efekt? Zgoda pozyskana w wyniku manipulacji czy dezinformacji nie tylko jest nieważna na gruncie RODO (a więc wiąże się z naruszeniem prawa i ryzykiem wysokich sankcji), ale też niszczy reputację i podważa zaufanie do administratora, który gra nieczysto.

Oto nasz przegląd złych praktyk:

  • zgoda pozorna: jeśli administrator planuje przetwarzać konkretne dane osobowe bez względu na naszą decyzję, nie powinien stwarzać pozorów wyboru i pytać o zgodę. To szczególnie irytująca i podważająca zaufanie praktyka. Niestety, dość powszechna. Na przykład: nie zgodziliśmy się na udostępnienie swoich danych lokalizacyjnych (wybierając opcję „nie” w ustawieniach prywatności), ale usługodawca i tak gromadzi metadane (takie jak historia sieci Wi-Fi, do których się logowaliśmy), które pozwalają tę lokalizację ustalić. Albo: na poziomie ustawień prywatności nie podajemy i nie zgadzamy się na przetwarzanie danych o naszej płci czy wieku, ale usługodawca i tak ustala je na podstawie naszych cyfrowych śladów i uwzględnia w profilu marketingowym;
  • zgoda pod presją silniejszego: zgoda na przetwarzanie danych osobowych powinna być dobrowolna. Co w sytuacji, kiedy administrator występuje z pozycji władzy i trudno mu odmówić? To może dotyczyć pracodawcy (np. pytającego o zgodę na zbieranie danych, żeby monitorować jakość pracy), szkoły (np. proszącej rodziców o zgodę na kontaktowanie się za pośrednictwem konkretnej aplikacji) czy organu publicznego (np. ośrodka pomocy społecznej proszącego o zgodę na zebranie danych wrażliwych). Tam, gdzie pojawia się presja silniejszego, nie ma miejsca na dobrowolność. A zatem dane powinny być przetwarzane w oparciu o inne podstawy prawne (np. przepis prawa);
  • zgoda wymuszona: zgodę można wymusić, korzystając z presji czasu albo innych okoliczności, które sprawiają, że w danej sytuacji nie potrafimy powiedzieć „nie”. Klasyczny przykład to „zgoda” na ciasteczka serwowane razem z treścią strony internetowej. Jeśli nie ma innego sposobu, żeby skorzystać z usługi, której potrzebujemy (np. żeby przeczytać artykuł, zrobić zakupy przez Internet, kupić bilet), okienko z komunikatem „czy akceptujesz…” to nic innego jak wymuszenie decyzji o przekazaniu danych. Podobnie ma się kwestia zgody na przetwarzanie danych zaszytej w regulaminie (polityce prywatności) usługi, którego nie możemy negocjować. To, że zdążyliśmy się do tego przyzwyczaić, nie oznacza, że takie działanie jest zgodne z prawem – bo nie jest;
  • zgoda nieuświadomiona: według RODO zgoda wymaga świadomego działania i nie może być wyinterpretowana z milczenia. To ważna zmiana, bo do tej pory wiele firm internetowych zbierało dane właśnie w oparciu o domniemanie, że milczenie/ brak działania oznacza zgodę. A przecież to, że nie zmieniamy domyślnych ustawień przeglądarki czy portalu społecznościowego, wcale nie oznacza, że je akceptujemy. Mamy prawo tam po prostu nie zaglądać;
  • zgoda, którą trudno cofnąć: pozyskanie zgody to jedno. Żeby działać zgodnie z prawem, administrator musi też zadbać o to, żeby jej wycofanie było równie proste. W praktyce różnie z tym bywa. Firmy, które traktują zgodę instrumentalnie – jak podkładkę do wykorzystywania danych we własnych celach – nie eksponują informacji o tym, że klient w każdej chwili może ją wycofać. Brak informacji przekłada się na niską świadomość i to, że mało kto z tej możliwości korzysta. A jeśli już chce skorzystać – okazuje się, że musi napisać specjalnego maila i jeszcze poświadczyć swoją tożsamość… Zgodnie z RODO takie praktyki będą nielegalne;
  • zgoda „na wszelki wypadek”: zdarza się też, że o naszą zgodę na przetwarzanie danych proszą administratorzy, którzy wcale jej nie potrzebują – bo mogą skorzystać z innej podstawy prawnej. Najczęściej chodzi o sklep internetowy, który nalega, żebyśmy zgodzili się na przekazanie danych, bo chce nam wysłać zamówiony towar, albo o aplikację, która jednym ciągiem pyta o zgodę na przekazanie danych, które są jej niezbędne do działania, i takich, które będą wykorzystywane w innych celach. Jeśli w grę wchodzi inna podstawa prawna, pytanie o zgodę to strata czasu, niepotrzebny koszt i zawracanie głowy. A wręcz szkodliwa praktyka, promująca przeświadczenie, że „przez tę ochronę danych na wszystko potrzebna jest zgoda”. Nie, nie jest.

Firmy oferują nowe usługi i szukają nowych kierunków rozwoju, dlatego raz na jakiś czas będziemy musieli usiąść do stołu negocjacyjnego z administratorem naszych danych. Dzięki RODO będziemy wiedzieć, kiedy nasz partner gra fair, a kiedy blefuje. A przede wszystkim – w ogóle zostaniemy zaproszeni do rozmowy na ten temat.

Porównaj przykłady dobrych i złych praktyk. W naszym zestawieniu na pewno czegoś brakuje – podeślij swoje znaleziska!

Katarzyna Szymielewicz

Współpraca: Karolina Iwańska, Maria Wróblewska

Karolina Iwańska, Maria Wróblewska
Współpraca

Newsletter

Otrzymuj informacje o działalności Fundacji

Administratorem twoich danych jest Fundacja Panoptykon. Więcej informacji o tym, jak przetwarzamy dane osób subskrybujących newsletter, znajdziesz w naszej Polityce prywatności.