Wiele serwisów internetowych zbiera zgody na przetwarzanie danych osobowych w sposób niezgodny z RODO. Zdaniem ekspertów w tej sprawie powinien niezwłocznie zareagować organ nadzorczy.
Użytkownik wchodzi na stronę internetową. Po kilku sekundach jego oczom ukazuje się komunikat. Internauta bierze wyskakujące okienko za kolejną natrętną reklamę i machinalnie klika w ikonkę „X”, zamykając komunikat. Albo też klika zupełnie przypadkowo poza ramkę informacji, również sprawiając, że znika. Tymczasem administrator strony przyjmuje, że użytkownik zapoznał się z zawartymi w ramce informacjami na temat przetwarzania danych osobowych, a te przypadkowe kliknięcia uznaje za wyrażenie na to zgody. Inni administratorzy informują zaś, że za zgodę uznają już samo przewijanie treści na witrynie lub klikanie w zawarte na niej artykuły.
Zdaniem ekspertów powyższe praktyki są niezgodne z RODO. Wojciech Klicki z fundacji Panoptykon mówi nam, że kilka dni temu organizacja złożyła do jednego z administratorów żądanie usunięcia danych osobowych przetwarzanych w oparciu o powyższe praktyki. I planuje kolejne. Jeżeli administratorzy nie zareagują, Panoptykon zapowiada zgłoszenie spraw do organu nadzorczego z zarzutem nieuprawnionego przetwarzania danych osobowych. – Zgoda musi być bowiem wyrażona w sposób dobrowolny, świadomy i stanowić jednoznaczne przyzwolenie osoby, której dane dotyczą, na ich przetwarzanie – tłumaczy Wojciech Klicki.
Wtóruje mu Tomasz Zalewski, partner zarządzający w kancelarii Wierzbowski Eversheds Sutherland. Jego zdaniem okienka z informacjami dotyczącymi RODO na niektórych stronach internetowych wyglądają jak pułapki zastawione na internautę, które mają uśpić jego czujność i spowodować machinalne wyrażenie zgody na przetwarzanie danych osobowych.
W związku z rozpoczęciem stosowania od 25 maja br. unijnego rozporządzenia RODO wiele stron internetowych prosi w ostatnich dniach użytkowników wchodzących na ich witryny o wyrażenie zgody na przetwarzanie danych osobowych z ciasteczek (które śledzą zachowania użytkownika na stronie i przekazują informacje np. o jego IP czy lokalizacji) oraz na przetwarzanie w celach marketingowych informacji udostępnianych przez użytkownika w historii przeglądanych stron i aplikacji internetowych. Przy czym to przetwarzanie obejmuje m.in. zautomatyzowaną analizę aktywności internauty, na podstawie której przesyłane mu są później odpowiednio sprofilowane reklamy.
Rzecz w tym, że strony internetowe często za zgodę internauty uznają takie czynności, które mogą być w praktyce dokonane przez użytkowników nieświadomie lub machinalnie. Przykładowo jedni informują, że wyrażenie zgody nastąpi przez zamknięcie okienka przyciskiem „X”, inni – że będzie nim kliknięcie poza okienko z informacją o przetwarzaniu danych osobowych, jeszcze inni – że przewijanie myszą komputerową po zawartych na stronie treściach (scrollowanie) lub klikanie w różne treści na witrynie.
Niezgodne z motywem
Tymczasem wielu prawników, którzy zajmują się tematyką ochrony danych osobowych, ma poważne zastrzeżenia co do takich praktyk, uważając je za niezgodne z RODO. Przywołują przy tym motyw 32 preambuły do RODO, który wyraźnie wskazuje, że „zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do konkretnej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, której dane dotyczą na przetwarzanie”. I wyjaśnia, że „Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych”. Ponadto zapytanie o zgodę musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.
Tomasz Zalewski, partner zarządzający kancelarii prawnej Wierzbowski Eversheds Sutherland, uważa, że wiele serwisów internetowych łamie zatem postanowienia RODO.
– Okienka z informacjami dotyczącymi RODO na niektórych stronach internetowych są kontrowersyjne. Wyglądają jak dobrze skonstruowana pułapka na internautę, która ma uśpić jego czujność i spowodować machinalne wyrażenie zgody na cele przetwarzania danych osobowych ustalone przez administratora. Bo jak inaczej można ocenić uznanie za oświadczenie woli zamknięcie przez użytkownika okienka informacyjnego przez kliknięcie ikonki „X” bądź kliknięcie – nawet przypadkowe – poza treść tego okienka? – wskazuje mec. Tomasz Zalewski.
Fundacja rusza w bój
Wtóruje mu Katarzyna Szymielewicz, prezes fundacji Panoptykon. Jej zdaniem wielu internautów może klikać przycisk „X” odruchowo, sądząc, że zamyka w ten sposób kolejną reklamę wyskakującą w internecie. A to jej zdaniem nie ma nic wspólnego ze świadomym wyrażaniem zgody. Przedstawicielka Panoptykonu podkreśla, że RODO nie mówi, iż zgoda może być wyrażona w każdy sposób, ale kładzie nacisk na to, aby działanie było przede wszystkim świadome i afirmatywne.
– Przewijanie strony może być co prawda sposobem wyrażenia zgody, jednak administrator musi być wtedy gotowy dowieść przed organem nadzorczym, że w normalnych warunkach użytkowania internetu jest ono świadomym oświadczeniem użytkownika – dopowiada mec. Tomasz Zalewski.
Wojciech Klicki, prawnik w Fundacji Panoptykon, zapowiada, że organizacja w najbliższych dniach planuje wysłać do firm stosujących tego typu techniki żądanie usunięcia danych w związku z brakiem zgodnej z RODO podstawy prawnej do ich przetwarzania.
Wątpliwości ekspertów budzą również witryny, które posiadają klikalny box opatrzony oświadczeniem: „mam przeglądarkę ustawioną zgodnie z moimi preferencjami”.
– To brzmi zbyt enigmatycznie. Nie sądzę, aby to było oświadczenie woli, które przeciętny użytkownik zrozumie jako wyrażenie zgody na przetwarzanie danych z ciasteczek – ocenia mec. Tomasz Zalewski.
Musi być jasna informacja
Zdaniem ekspertów zbieranie zgód od użytkowników wyrażonych poprzez określone działania internauty na stronie można uznać za dozwolone, ale tylko w przypadku gdy nie ma wątpliwości, że został on wyraźnie poinformowany, jakie są dokładnie skutki jego działania.
– W niektórych serwisach taka informacja wprawdzie się znajduje, rzecz w tym, że jest ona przedstawiona w mało przystępny sposób. Moim zdaniem, jeżeli serwis chce zbierać zgody na podstawie działań wykonanych przez użytkowników, to powinien szczególnie zadbać o to, w jaki sposób komunikuje się z internautami – podkreśla mec. Tomasz Zalewski. Takie komunikaty powinny być więc bardzo wyraźne i jednoznaczne. Czyli przykładowo: najważniejsze jego fragmenty powinny być pogrubione (wyboldowane), podkreślone, pokolorowane lub przedstawione graficznie w inny, wyróżniający się sposób. Tak, aby użytkownik po kilku sekundach mógł podjąć świadomą decyzję o wyrażeniu zgody lub jej braku. Zdaniem mec. Zalewskiego w internecie duże pole do popisu – nawet większe od prawników – powinni mieć zatem copywriterzy oraz projektanci interfejsów graficznych, ponieważ będą oni umieli zadbać o to, aby obowiązek informacyjny był spełniony w sposób zwięzły i zrozumiały dla użytkownika (czyli zgodnie z motywem 32 RODO).
Zdaniem eksperta administratorzy nie powinni starać się wprowadzić w błąd użytkowników. Informacje powinny zawierać jasne informacje, opatrzone klikalnymi boxami z napisami „wyrażam zgodę” lub „nie wyrażam zgody”. Ewentualnie inne oświadczenia woli potwierdzające, że internauta zapoznał się z treścią komunikatu.
(No) privacy by default
Niektóre z serwisów internetowych popełniają jeszcze jeden błąd, łamiąc zasadę prywatności w ustawieniach domyślnych (ang. privacy by default). Mianowicie w informacji o przetwarzanych danych wprowadza klikalny box „ustawienia zaawansowane”. Gdy użytkownik na niego kliknie, zostaje przeniesiony do kolejnej informacji, gdzie okazuje się, że zgoda na przetwarzanie danych w celach marketingowych jest... domyślnie aktywna. To niezgodne z art. 25 oraz motywem 32 RODO, które stanowią, iż administrator jest zobowiązany wdrożyć środki techniczne tak, aby domyślnie zbierane były jedynie dane niezbędne. „Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny oznaczać zgody” – mówi jednoznacznie RODO.
– Wszystkie zgody muszą być zatem domyślnie odznaczone i nie powinny być poukrywane w sposób trudny do odnalezienia przez użytkownika – radzi mec. Tomasz Zalewski.
Konieczna interwencja organu
Jak podkreślają eksperci, RODO jest skonstruowane w taki sposób, aby nakazać administratorowi przekazywanie informacji w sposób możliwie najłatwiejszy do zrozumienia.
– Jeżeli więc administrator wprowadza użytkowników w błąd lub uniemożliwia im świadome wyrażenie zgody na przetwarzanie danych, to takie działanie może być uznane za niezgodne z RODO. Mam wrażenie, że przedsiębiorcy czytają unijne rozporządzenie tak, jak im wygodnie i ignorują przy tym wynikający z przepisów obowiązek szanowania decyzji swoich użytkowników – uważa Wojciech Klicki.
Jego zdaniem tego typu wybryki będą musiały się skończyć. Użytkownicy, ale też organizacje pozarządowe, lada moment zaczną skarżyć się na naruszenie do organu nadzorczego lub kierować pozwy do sądów powszechnych. Dlatego zdaniem eksperta Urząd Ochrony Danych Osobowych będzie musiał niebawem zająć stanowisko w tej sprawie.