Opublikowano Kategorie ochrona prywatności/danych osobowych, zmiany w prawie

Jak nowa regulacja prywatności w sieci wpłynie na działalność portali internetowych?

Ogólne rozporządzenie o ochronie danych osobowych (RODO), wchodzące w życie 25 maja 2018 r., nie jest jedyną rewolucją przygotowywaną przez Unię Europejską w zakresie ochrony prywatności. Również projekt rozporządzenia w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej (tzw. rozporządzenie o ePrivacy) wzbudza coraz większe kontrowersje i może wpłynąć na kształt współczesnego internetu.

26 października 2017 r. Parlament Europejski na sesji plenarnej wyraził poparcie dla mandatu Komisji Wolności Obywatelskich, Sprawiedliwości i Spraw Wewnętrznych do reprezentowania go w negocjacjach trójstronnych z Radą Unii Europejskiej i Komisją Europejską. Jest to kolejny etap procedury uchwalania rozporządzenia, które może całkowicie przewartościować dotychczasowe regulacje w przedmiocie prywatności w sieci. Ma ono bezpośrednio wpłynąć m.in. na poufność danych użytkowników podczas ich transferu oraz zapewnić bezpieczeństwo plikom znajdującym się w chmurze. Jednak pomimo oczywistej słuszności większości projektowanych regulacji część z nich (dotycząca pozyskiwania i przetwarzania plików cookie) wzbudza istotne kontrowersje. Według wielu dostawców internetowych treści nowe przepisy uniemożliwią funkcjonowanie reklam profilowanych, które bardzo często stanowią podstawę ich modelu finansowego. Było to przyczyną głośnej dyskusji pomiędzy przedstawicielami podmiotów gospodarczych a organizacjami pozarządowymi, w której centrum jest pytanie o granice prywatności w środowisku internetowym.

Model finansowy portali internetowych: pliki cookie i targetowanie reklam

Aby ocenić proponowaną regulację, trzeba zrozumieć funkcjonowanie mechanizmów reklamowych opartych o technologię plików cookie. Obecnie przeważającym modelem biznesowym finansowania działalności największych portali internetowych o wysokich zasięgach jest umieszczanie na witrynach profilowanych reklam podmiotów trzecich dostosowanych do użytkownika konsumującego treści. To zjawisko, które należy do szerszego procesu marketingowego określanego jako targetowanie reklam, jest możliwe dzięki plikom cookie przechowywanym i wysyłanym do witryny przez przeglądarkę użytkownika odwiedzającego stronę internetową.

Oczywiście same pliki cookie nie służą tylko celom marketingowym. Dzięki nim możliwe jest tworzenie spersonalizowanych stron WWW, obsługa logowania, zapamiętywanie preferowanych ustawień strony czy funkcjonowanie „koszyków zakupowych”. Większość możliwych zastosowań dotyczy więc czysto technicznego funkcjonowania stron internetowych i ma na celu poprawę tzw. user expierence. Jednak za pomocą cookie zbierane są również inne informacje o użytkownikach, które skrótowo można określić jako nawyki dotyczące przeglądania sieci. Na podstawie przesyłanych informacji możliwe jest ustalenie, na jakie strony internetowe użytkownik wchodzi, ile czasu tam spędza, czego szuka, a nawet jakimi produktami jest zainteresowany. Informacje takie gromadzone są najczęściej nie przez właścicieli strony internetowej, tylko przez podmioty trzecie (reklamodawców), którzy za pomocą third-party cookie zbierają informacje o aktywności użytkowników.

Umożliwia to stworzenie spersonalizowanego pliku informacyjnego, który – choć nie zawiera żadnych danych osobowych – pozwala ustalić zainteresowania, możliwości finansowe oraz preferencje użytkownika i stworzyć dla niego swoisty profil wirtualny o konkretnej wartości ekonomicznej. Najprostszym przykładem jest sytuacja, w której osobie zainteresowanej wcześniej ofertami górskich wycieczek na innych stronach internetowych wyświetlać się będą sprofilowane reklamy niezbędnego sprzętu, np. butów wspinaczkowych.

Korzyści marketingowe z takich rozwiązań są ogromne. Zawężanie kampanii reklamowych do konkretnych grup odbiorców, zidentyfikowanych dzięki analizie big data, pozwala efektywniej spożytkować potencjał finansowy. Taki model, połączony z inicjatywami kojarzenia witryn z reklamodawcami (np. Google AdSense, z którego korzysta ponad 12 mln stron internetowych), jest podstawą funkcjonowania wielu portali, które w tworzonych przez siebie treściach odpłatnie udostępniają obszar dla wyświetlania reklam i tym samym uzyskują niezbędne do funkcjonowania środki finansowe.

Dotychczasowy stan prawny

Przedstawione wyżej rozwiązanie musi budzić wątpliwości dotyczące szeroko rozumianej prywatności użytkowników, a także ich częstego braku świadomości, co się dzieje z informacjami udostępnianymi podmiotom trzecim. Na gruncie prawa europejskiego kwestie te są obecnie uregulowane na poziomie przepisów dyrektywy o prywatności łączności elektronicznej[1] w brzmieniu z 2009 roku, która została zaimplementowana do polskiego systemu prawnego w znowelizowanej ustawie Prawo telekomunikacyjne.

Art. 173 ust. 1 – 3 tej ustawy nakłada na podmioty świadczące usługi telekomunikacyjne obowiązek uzyskiwania zgody użytkownika końcowego na dostęp do informacji przechowywanych na jego urządzeniu, po tym jak w sposób jednoznaczny, łatwy i zrozumiały poinformują go o celu przechowywania i przetwarzania tych informacji oraz możliwości odmiennego określenia wskazanych warunków za pomocą ustawień jego oprogramowania. Efektem tego uregulowania są dobrze znane użytkownikom internetu powiadomienia (najczęściej w postaci ramek pop-up) informujące, że usługodawca korzysta z przechowywanych na urządzeniu końcowym plików cookie, które najczęściej wymagają od nas ich zaakceptowania lub kliknięcia „zamknij”. Jednak zgodnie z obowiązującym stanem prawnym akceptowane są również zgody użytkowników, które wywodzone są z czynności podjętych przez nich po otrzymaniu wskazanej informacji. Oznacza to, że użytkownik wyraża zgodę na wykorzystywanie plików cookie poprzez samo poruszanie się po stronie internetowej i korzystanie z jej zasobów. Dodatkowo przeważająca większość usługodawców nie daje możliwości wyrażenia braku akceptacji swojej polityki cookie. Wyskakujące okienka mają jedynie charakter informacyjny, a zapoznanie się z nimi przez użytkowników nie jest najczęściej w żaden sposób weryfikowane. Takie działanie określane jest jako cookie-wall i oznacza, że użytkownik nie ma dostępu do treści strony internetowej, jeśli nie wyrazi zgody na przetwarzanie plików cookie. Te wszystkie niepożądane sytuacje, wynikające z niedostatecznego uregulowania opisywanych kwestii, skłoniły prawodawcę europejskiego do stworzenia nowego aktu prawnego na poziomie bezpośrednio stosowanego rozporządzenia, które ma być jednym z elementów europejskiej reformy ochrony danych osobowych i realizacją strategii jednolitego rynku cyfrowego.

Nowe uregulowania ePrywatności

Projekt rozporządzenia Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej pozostaje w ścisłym związku z ogólnym rozporządzeniem o ochronie danych osobowych (RODO)[2]. Obie regulacje dzielą ze sobą słowniczek definicyjny, techniczne uregulowania wyrażania zgody przez użytkownika oraz krajowy organ nadzorczy odpowiedzialny za monitorowanie wykonania rozporządzenia. Projektowana regulacja całkowicie zmieni mechanizm funkcjonowania plików cookie, a także sam mechanizm udzielania zgody na ich przetwarzanie.

Większość obowiązków w tym zakresie ma zostać przekazanych producentom oprogramowania umożliwiającego łączność elektroniczną. W przypadku komputerów będą to najczęściej producenci przeglądarek internetowych. Oprogramowanie ma być zaprojektowane w ten sposób, aby jego mechanizmy umożliwiały zapobieganie przechowywaniu i przetwarzaniu przez osoby trzecie informacji na urządzeniu użytkownika końcowego. Użytkownik podczas instalacji odpowiedniego oprogramowania lub jego aktualizacji będzie informowany o przyjętych ustawieniach prywatności. Aby kontynuować, będzie musiał wyrazić zgodę na te ustawienia. Domyślnym poziomem ochrony informacji użytkownika zgodnie z RODO ma być privacy by default, czyli wysoka ochrona prywatności informacji, która uniemożliwi przetwarzanie plików cookie podmiotom trzecim. Pozwoli to również pozbyć się okienek pojawiających się na każdej stronie internetowej. Zamiast tego użytkownik będzie jednorazowo wyrażał zgodę, którą będzie mógł wycofać w dowolnej chwili, o czym użytkownicy będą informowani co 6 miesięcy przez cały okres przetwarzania informacji. Bezpośredniej zgody nie będzie wymagać przechowywanie i przetwarzanie tylko takich danych i metadanych pochodzących z łączności elektronicznej, które konieczne są do realizacji usługi przez usługodawcę, zapewnienia bezpieczeństwa sieci lub naliczania opłat.

Dalsze przekazywanie i przetwarzanie do podmiotów trzecich wskazanych informacji jako objętych poufnością bez zgody użytkownika będzie niedopuszczalne. Te uregulowania mają zapewnić użytkownikom końcowym całkowitą kontrolę nad informacjami i zapobiegać zjawisku cookie-wall, które stanie się niemożliwe do faktycznego zastosowania ze względu na to, że polityka informacyjna będzie akceptowana na etapie oprogramowania, a nie strony web.

Granice prywatności w środowisku internetowym

Proponowane regulacje wzbudzają duże kontrowersje zwłaszcza w środowiskach biznesowych związanych z marketingiem internetowym. Zasada zwiększonej prywatności jako domyślne ustawienie oprogramowania przeznaczonego do korzystania z sieci WWW de facto uniemożliwi targetowanie reklam i prowadzenie kampanii marketingowych przeznaczonych tylko dla konkretnego grona odbiorców, o ile oni sami nie zmienią ustawień swoich przeglądarek internetowych na takie, które pozwalałyby na większą ingerencję w ich prywatność. Do tej pory third-party cookies stanowiły ponad 70% wszystkich cookies adresowanych do użytkowników najpopularniejszych usług internetowych w najbardziej rozwiniętych państwach Unii Europejskiej[3], co tworzyło podstawę do angażowania znacznych środków finansowych i prowadzenia na tej podstawie wielu akcji reklamowych. Według kampanii informacyjnej likeabadmovie.eu, stworzonej przez lobbystów z branży marketingowej[4], projektowane rozporządzenie ma mieć paradoksalnie największy negatywny wpływ na użytkowników końcowych internetu. Prognozowanym przez tę grupę skutkiem ma być m.in. ograniczenie szerokiego dziś dostępu do portali finansowanych z reklam, większa niejasność konsumentów co do ustawień prywatności, zmniejszenie liczby dostępnych aplikacji i uniemożliwienie funkcjonowania wielu startupom technologicznym, a także większa liczba płatnych treści premium.

Wiele organizacji pozarządowych broni jednak proponowanych rozwiązań i wskazuje, że prawo do prywatności w sieci i transparentność przetwarzanych danych ma pierwszeństwo przed niejasnymi modelami finansowania branży marketingowej. Przykładem może być fundacja Panoptykon, która jasno wskazuje, że rozporządzenie przywróci użytkownikom końcowym kontrolę nad ich danymi, zwiększy świadomość tej problematyki i w konsekwencji może przyczynić się do poprawy jakości treści internetowych, ograniczając powstawanie artykułów, które od samego początku obliczone są na tzw. klikalność.

Wyjątkowo trudno jest przewidzieć skutki wskazanych regulacji, zwłaszcza że nie ma pewności co do ich ostatecznego kształtu. Jeśli wejdą one w życie, będą na pewno stanowić duże wyzwanie dla rynku. Podmioty będą musiały podjąć decyzję, czy będą starały się obejść nowe przepisy, narażając się na niebezpieczeństwo wysokich kar finansowych, czy jednak dostosują się do europejskich wymagań. Dużą niewiadomą stanowi również to, czy największe portale internetowe zdecydują się na sztuczną blokadę swoich treści, niejako wymuszając odpowiednie ustawienia prywatności, tak jak to już się dzisiaj dzieje względem użytkowników oprogramowania typu Adblock. Jednak chyba największe obawy budzi planowana data wejścia w życie omawianego aktu, czyli 25 maja 2018 r. Tak bliski termin jest niespotykany, jeśli chodzi o rozporządzenie wciąż będące w fazie legislacyjnej. Dodatkowo tego samego dnia w życie wchodzi RODO, do którego przystosowanie dla wielu podmiotów było już wystarczającym kosztem finansowym (o co trzeba zadbać przed wejściem w życie RODO, piszemy tutaj).

Adam Polanowski

 

1 Dyrektywa 2002/58WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej.
2 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych)
3 Cookie Sweep Combined Analysis. Report, 3 grudnia 2015, Grupa Robocza ds. Artykułu 29, WP 229, s. 9.
4 m.in. European Publishers Association (EPC), European Association of Communications Agencies (EACA), Association of Television and Radio Sales Houses (EGTA), European Magazine Media Association (EMMA) i in.