Coraz więcej firm umieszcza na swoich stronach internetowych czy profilach w portalach społecznościowych chatboty – programy nazwane często wirtualnymi asystentami czy doradcami. Przedsiębiorcy zastanawiają się, czy umieszczając taki program na swojej stronie, powinni spełnić wymogi związane z RODO. Powstają przy tym wątpliwości, czy w takiej sytuacji dochodzi do przetwarzania danych. A jeżeli tak, to czy trzeba uzyskać zgodę korzystającego? O czym trzeba go poinformować? Kto wreszcie jest administratorem? Czy firma, która chatbota zamówiła, czy ta, która prowadzi obsługę? Jak prawidłowo spełnić obowiązki informacyjne?
Chatboty są programami komputerowymi, które w sposób zautomatyzowany odpowiadają na pytania zadane przez użytkowników. Wykorzystują do tego różnego rodzaju technologie, w tym na przykład machine learning. W niektórych obszarach mogą one całkowicie zastąpić człowieka, dlatego są coraz chętniej wykorzystywane jako forma komunikacji z klientami. Programy te są zwykle zainstalowane na stronie internetowej lub funkcjonują w ramach profilu na portalu społecznościowym. Bywają nazywane wirtualnymi doradcami czy asystentami. Sama koncepcja takiego rozwiązania nie jest nowa, ale jej masowe stosowanie odnotowuje się od niedawna.
W ostatnim czasie największym wyzwaniem dla rynku chatbotów było dostosowanie projektowanych rozwiązań do wymogów dotyczących ochrony danych osobowych stawianych przez RODO. Codziennością stały się informacje o tym, jak RODO rzekomo utrudnia kolejne aspekty codziennego funkcjonowania. Jednak, jak w większości przypadków, również i tutaj możliwe jest dostosowanie się do RODO bez przeprowadzania rewolucji.
▶Czy dane osobowe są przetwarzane?
W zdecydowanej większości chatbotów dochodzi do przetwarzania danych osób z nich korzystających. Jeśli użytkownik dla chatbota nie jest anonimowy, a więc na przykład w sytuacji, gdy program rozpoznaje jego tożsamość z danego portalu społecznościowego, to przetwarzanie ma miejsce już w momencie aktywacji okna chatu. Zbierane są bowiem dane, takie jak imię i nazwisko (lub inne identyfikujące oznaczenie) oraz wizerunek, jeśli jest on częścią profilu w portalu społecznościowym.
Znacznie większa ilość danych może być przetwarzana w wyniku prowadzenia konwersacji między użytkownikiem a programem. Duża część chatbotów zakłada obsługę indywidualnych zapytań, co ze swojej istoty wiąże się z uzyskiwaniem wielu informacji od internautów. Część informacji przekazanych przez użytkownika będzie z pewnością stanowiła dane osobowe. Chatbot może prosić o podanie informacji, takich jak wiek, adres, zawód czy zainteresowania.
Generalnie trzeba założyć, że w praktyce rzadkie będą przypadki funkcjonowania programu, który nie przetwarza żadnych danych osobowych. Tym bardziej że użytkownik może przecież wprowadzić podczas kontaktu z wirtualnym asystentem każdą informację ‒ niezależnie od tego, czy jej wprowadzenie było przewidziane przez dostawcę.
▶Kto administratorem, a kto procesorem?
Powszechną praktyką rynkową jest korzystanie z usług wdrożenia i utrzymania chatbota przez zewnętrzny podmiot. Dostawcy takiej usługi zapewniają zwykle zamawiającemu: hosting, bieżącą obsługę oraz serwisowanie zaprogramowanego przez siebie rozwiązania. W niektórych sytuacjach zakres wsparcia po wdrożeniu może być bardzo szeroki i obejmować pełną obsługę chatbota. Jednakże nawet minimalne zaangażowanie zamawiającego oraz brak wiedzy na temat szczegółów rozwiązania, z którego korzysta, nie zmieniają zasady, że to właśnie on będzie administratorem w rozumieniu przepisów RODO. Oczywiście tak długo, jak decyduje o celach i sposobach przetwarzania danych.
Z kolei wykonawca usługi chatbota będzie pełnił rolę procesora, czyli podmiotu przetwarzającego dane w imieniu zamawiającego. Jeśli jednak jego usługa sprowadza się jedynie do instalacji rozwiązania w infrastrukturze zamawiającego i nie ma on później wglądu w dane użytkowników, to do powierzenia przetwarzania danych nie dojdzie.
Teoretycznie można byłoby próbować przyjąć rozwiązanie, kiedy wykonawca będzie odrębnym administratorem, jednak w praktyce model taki będzie rzadziej spotykany. W typowym układzie, w którym wykonawca jest procesorem, a zamawiający administratorem, konieczne jest zawarcie między stronami umowy powierzenia przetwarzania danych.
▶Jak przekazać klauzulę informacyjną?
Jednym z podstawowych obowiązków administratora jest pouczenie osób, których dane dotyczą, o tym, w jaki sposób ich dane są przetwarzane. Użytkownicy chatbota powinni więc otrzymać odpowiednią klauzulę informacyjną. W przypadku opracowywania pouczenia konieczna będzie ścisła współpraca z dostawcą chatbota. To on bowiem ma szczegółową wiedzę na temat aspektów technicznych przetwarzania danych, które mają znaczenie dla treści klauzuli informacyjnej.
Pewne wątpliwości w przypadku tej nowej technologii może budzić nie tyle treść klauzuli, ile sposób, w jaki powinna być przekazana. Funkcjonalność typowych chatbotów zakłada bowiem wymianę krótkich komunikatów. Zamieszczenie w oknie konwersacji obszernej klauzuli informacyjnej ‒ spełniającej formalne wymogi ‒ wydaje się rozwiązaniem niepraktycznym. W naszej ocenie przekazanie klauzuli może również nastąpić w ten sposób, że chatbot w momencie rozpoczęcia rozmowy przekaże informację, iż szczegóły na temat przetwarzania danych osobowych znajdują się pod konkretnym adresem internetowym, i zamieści bezpośredni link do tego adresu.
▶Czy potrzebna jest zgoda?
Aby administrator mógł przetwarzać dane osobowe, w każdym przypadku potrzebuje do tego podstawy prawnej. W praktyce może to być uzyskanie zgody. Trzeba jednak pamiętać, że nie musi być ona odbierana wówczas, gdy można ustalić inną podstawę przetwarzania danych (np. wykonanie umowy lub prawnie uzasadniony interes administratora).
W przypadku chatbotów możliwe jest przetwarzanie danych w oparciu o inną podstawę niż zgoda. Można spotkać się z wykładnią, że umożliwienie użytkownikowi prowadzenia konwersacji przy użyciu chatbota stanowi świadczenie usług drogą elektroniczną przez administratora. Z chwilą rozpoczęcia interakcji dochodzi zatem do zawarcia umowy o świadczenie takich usług.
Dostosowanie nie jest trudne ©℗
Pełne dostosowanie chatbotów do wymogów RODO jest możliwe. Co więcej, nie wymaga istotnego przebudowania ich funkcjonalności. Administrator przede wszystkim powinien:
•zapewnić użytkownikowi odpowiednie pouczenie,
•zawrzeć umowę powierzenia z ewentualnymi procesorami,
•odebrać odpowiednie zgody, jeśli zamierza dostarczać korzystającym reklamy.
Skoro przetwarzanie danych osobowych użytkownika chatbota ‒ w zakresie, w jakim jest to niezbędne do prowadzenia konwersacji ‒ następuje w ramach wykonania umowy wiążącej użytkownika z administratorem, to zgodnie z RODO nie ma potrzeby uzyskiwania zgody. Z punktu widzenia projektowania funkcjonalności chatbota taki wniosek jest korzystny dla dostawcy i zamawiającego, ponieważ nie wymaga, by program pytał na wstępie o wyrażenie zgody na przetwarzanie danych.
▶Kiedy można pokazać reklamy?
O ile administrator nie będzie potrzebował zgody użytkownika na umożliwienie mu korzystania z chatbota, to gdyby zamierzał przesyłać mu reklamy, uzyskanie odpowiedniej zgody będzie już konieczne. Nie ma przy tym znaczenia, czy reklamy będą dostarczane na podany adres e-mail, numer telefonu, czy też będą wyświetlane bezpośrednio w oknie konwersacji.
Choć na gruncie RODO przyjmuje się, że prowadzenie marketingu bezpośredniego przez administratora nie wymaga uzyskiwania zgody (ponieważ jest to jego prawnie uzasadniony interes), to przepisy ustawy o świadczeniu usług drogą elektroniczną oraz prawa telekomunikacyjnego są bardziej restrykcyjne i wymagają uzyskania uprzedniej zgody.
Nie ma żadnych przeszkód, by odebranie zgody odbyło się przez zadanie odpowiedniego pytania przez chatbota i udzielenie odpowiedzi przez użytkownika w oknie rozmowy. Rozwiązanie takie wydaje się optymalne zarówno dla administratora, jak i dla korzystających.
W przypadku chatbotów przekaz reklamowy często ma charakter spersonalizowany, oparty na danych przekazanych przy okazji interakcji z chatbotem. Gdy taka spersonalizowana reklama jest efektem zautomatyzowanego profilowania, o którym mowa w RODO, administrator musi uzyskać dodatkową zgodę od użytkownika na przekazanie mu tak dobranych propozycji.
Podstawa prawna
Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych z związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1).