• Dane osobowe jako przedmiot obrotu
Artykuł:

Dane osobowe jako przedmiot obrotu

19 marca 2019

W 2011 roku RapLeaf, amerykańska spółka zajmująca się zbieraniem danych o zachowaniach użytkowników w sieci ujawniła, że informacja o stanie cywilnym jednej osoby jest warta 1 centa, a o marce posiadanego smartfona – 3 centy. Od tamtej pory algorytmy analizujące zachowania użytkowników stron internetowych znajdują coraz szersze zastosowanie i wywierają realny wpływ na życie gospodarcze i polityczne. Coraz szersze zastosowanie algorytmów zbierających i analizujących informacje o użytkownikach w celu zakupu lub sprzedaży skłania do spojrzenia na nasze dane nie tylko jako na zasób wiedzy, lecz jako towar o realnej wartości.

Jak portale internetowe zarabiają na naszych danych?

Zastosowanie znajduje tu mechanizm real time bidding (z ang. licytacja w czasie rzeczywistym). Właściwie każde zachowanie użytkownika w sieci wiąże się z pobraniem pewnej ilości plików cookies. Część z nich jest konieczna do prawidłowego wyświetlenia strony, część służy głównie śledzeniu naszych zachowań. W chwili gdy użytkownik oczekuje na wyświetlenie się strony internetowej, informacje o nim są przechwytywane przez tzw. platformy podaży (ang. supply side platforms), które dopasowują użytkownika do profilu określonego przez agencje mediowe. Agencje te profesjonalnie zajmują się określaniem zbiorów cech osób gotowych zapłacić jak najwyższą kwotę za wskazany przez klienta towar lub usługę. Platforma podaży tworzy profil użytkownika i przypisuje mu unikalny numer identyfikacyjny, po czym wystawia ten profil na internetowej giełdzie. Jednocześnie do potencjalnych oferentów rozsyłany jest komunikat, że osoba o danych cechach czeka na wyświetlenie strony internetowej i że do tej strony można dołączyć reklamę. W tym momencie uaktywniają się platformy popytu (ang. demand side platforms). W ramach tych platform dochodzi do sprawdzenia w jakim stopniu profil użytkownika pokrywa się z poszukiwanym przez nich look alike, czyli swego rodzaju „idealnym klientem” który prawdopodobnie byłby gotów zapłacić za reklamowany mu produkt. Jeśli platforma popytu uzna, że profil użytkownika jest zbliżony do look alike, składa ofertę zakupu powierzchni reklamowej na stronie internetowej. Tak zaczyna się licytacja, której zwycięzca ma możliwość wyświetlenia użytkownikowi swojej reklamy. Cały opisany wyżej proces trwa około 120 milisekund i jest niemal w całości automatycznie obsługiwany przez oprogramowanie.

Jakie informacje są zbierane najczęściej?

Standardowo profil użytkownika wystawiany na sprzedaż składa się miedzy innymi z jego imienia, nazwiska, adresu, numeru telefonu, poziomu wykształcenia, sektora zatrudnienia, stanu cywilnego, historii przeglądanych stron, parametrów urządzenia, z którego korzysta użytkownik i lokalizacji określanej na podstawie GPS w urządzeniu lub adresu IP sieci WiFi, z którą łączy się to urządzenie. Każda cecha, która świadczy o preferencjach zakupowych użytkownika jest cenna.

Co na to prawo?

Odpowiedzią europejskiego prawodawcy m.in. na coraz powszechniejszą praktykę profilowania użytkowników w sieci było uchwalenie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, w skrócie RODO). Akt ten wprowadza wyczerpujące wyliczenie podstaw prawnych przetwarzania danych (np. gdy jest to konieczne dla wykonania umowy, gdy dane są potrzebne dla wykonania publicznoprawnych obowiązków ciążących na administratorze, gdy osoba, której dane dotyczą wyrazi na to zgodę). Daną osobową w rozumieniu RODO jest właściwie każdy skrawek informacji dotyczącej zidentyfikowanej lub możliwej do zidentyfikowania osoby, od imienia, nazwiska i wizerunku począwszy, na adresie IP i lokalizacji skończywszy. Rozporządzenie wprowadza istotne ograniczenia przekazywania danych osobowych do państw, co do których istnieje ryzyko, że nie zapewnią odpowiedniego standardu ich ochrony. Wprowadza też ścisłe wymogi dotyczące formy i treści zapytania o zgodę na przetwarzanie danych oraz obowiązek informowania użytkownika o sposobie i celu przetwarzania danych. Zobowiązuje też administratorów danych osobowych (w tym np. operatorów stron internetowych), do udostępniania użytkownikom informacji o fakcie automatycznego przetwarzania ich danych, w tym profilowania.

Należy jednak pamiętać, że mimo drobiazgowego uregulowania zasad przetwarzania danych osobowych obowiązujące przepisy nie zakazują co do zasady handlu danymi – zakazany jest jedynie handel naruszający ustanowione reguły, w szczególności w zakresie przejrzystego informowania osób których dane dotyczą lub pozyskiwania od nich zgód na przetwarzanie danych.

Przy czym, wbrew wielu obiegowym opiniom formalna zgoda użytkownika usługi czy aplikacji mobilnej często nie jest w ogóle konieczna do legalnego przetwarzania danych osobowych, w tym udostępniania ich (odpłatnie bądź nie) podmiotom trzecim (wystarczającą podstawę prawną przetwarzania stanowić może często sam fakt świadczenia osobie fizycznej określonej usługi, zgodnie z zawartą umową).

Zasadnym jest twierdzenie, że zjawisko „handlu danymi osobowymi” nie ma w kontekście przepisów RODO charakteru negatywnego – rozliczenia finansowe pomiędzy podmiotami przekazującymi sobie dane osobowe nie są przedmiotem zainteresowania unijnego ustawodawcy. Ważne jest przede wszystkim zapewnienie, by osoba fizyczna miała pełną świadomość podstawy prawnej, celów i sposobów przetwarzania danych i by przetwarzanie danych odbywało się na jednej z wymienionych w przepisach podstaw prawnych.

Nie tylko RODO

Praktyka handlu danymi osobowymi użytkowników Internetu nie uszła jednak zupełnie uwadze w szczególności organów unijnych. Nad zagadnieniem tym pochylił się przykładowo Europejski Inspektor Ochrony Danych w swojej opinii dotyczącej projektu dyrektywy w sprawie niektórych aspektów umów o dostarczanie treści cyfrowych (opinia nr 4/2017 z dnia 14 marca 2017 roku). Organ ten rozważał w ww. dokumencie możliwość uznania udostępnienia danych osobowych za zapłatę za świadczoną przez Internet usługę. Choć wyraził poważne wątpliwości czy udostępnienie danych osobowych może być świadczeniem wzajemnym w ścisłym sensie, przyznał że mają one istotną wartość. Bez danych osobowych użytkowników, operator strony nie uzyskałby wynagrodzenia od reklamodawców stosujących spersonalizowany marketing. W świetle prawa unijnego w takim układzie stosunków można uznać, że operator strony świadczy usługę odpłatnie (w podobnym tonie wypowiadał się Trybunał Sprawiedliwości Unii Europejskiej w wyroku z dnia 26 kwietnia 1988 roku, sprawa C-352/85).

W prawie polskim (choć również w tym zakresie „inspirowanym” przez Unię Europejską) istotnymi regulacjami w kontekście opisanych wyżej „ciasteczek” śledzących użytkownika są przepisy ustawy Prawo telekomunikacyjne, odpowiedzialne za irytujące nas wszystkich komunikaty dotyczące plików cookies wyświetlane przez większość stron internetowych. Warto wiedzieć, że zgodnie z przepisami umieszczenie i późniejsze odczytanie z urządzenia końcowego użytkownika takich plików zawsze wymaga jego zgody, nawet jeśli ma być ona wyrażona tylko przez zmianę odpowiednich ustawień przeglądarki internetowej (o czym jednak należy go zawsze skrupulatnie poinformować).

Chrońmy swoją prywatność

Pomimo zabiegów mających na celu ochronę użytkowników Internetu przed nieuprawnionym użyciem ich danych, przeciętny użytkownik raczej nie zdaje sobie sprawy z trwających milisekundy licytacji, których przedmiotem są jego dane. Zapytania o zgodę i klauzule informacyjne są jeszcze jednym wyskakującym okienkiem machinalnie zamykanym przed odwiedzeniem strony. Świadomość o możliwościach i zagrożeniach związanych z przetwarzaniem danych jest jednak coraz większa. Warto mieć świadomość, że w Internecie nic nie jest darmowe, nawet jeśli nie dostrzega się faktu zapłaty za oferowaną w sieci usługę.

 

Źródła:

https://www.forbes.com/sites/kashmirhill/2011/05/13/your-marital-status-is-worth-0-01-to-data-buyers-your-smartphone-is-worth-0-03/#533743912ed4

https://panoptykon.org/sites/default/files/publikacje/sledzenie_i_profilowanie_w_sieci_scenariusze_po_reformie_ue_wrzesien_2017.pdf

https://performancemedia.pl/blog/real-time-bidding-rtb-wybieraj-komu-wyswietlisz-reklame-a-nie-gdzie-to-zrobisz/

https://edps.europa.eu/sites/edp/files/publication/17-03-14_opinion_digital_content_en.pdf