Zostaliśmy zasypani komunikatami, które są w intencji polskiej branży usług internetowych, wykonaniem obowiązków informacyjnych głównie z art. 13 RODO. Czas zatem na mały, pouczający także dla mnie, audyt.
Wziąłem na warsztat przodujące internetowe wydawnictwo podatkowe, przodujący polski portal kinowy, przodującą platformę VOD, jedną z największych firm ułatwiających płatności internetowe.
A. Informacje obejmują jednocześnie z informacjami wymaganymi przez art. 13 RODO także pełny zakres informacji dotyczących ciasteczek. Informacje dotyczące ciasteczek, zwykle zawarte na polskich stronach internetowych, analizowałem już przy innej okazji. Niestety nic się nie zmieniło. Także w związku z RODO jesteśmy zalewani morzem informacji nieistotnych i nie stanowiących w mojej ocenie wykonania obowiązku informacyjnego ani z prawa telekomunikacyjnego, ani z RODO.
W tej sytuacji krótka dezyderata do właściciela serwisu internetowego niżej.
Szanowni właścicielu serwisu internetowego!
- Jako Internauty, kiedy korzystam z Twojej usługi, nie interesuje mnie to, czym w ogólności są ciasteczka. Jeśli będę chciał to wiedzieć, to zapewniam Cię, że jestem w stanie sam wyszukać odpowiednie informacje.
- Nie interesuje mnie też to, że „możesz” korzystać z pewnego konkretnego typu czy rodzaju ciasteczek. Chcę natomiast wiedzieć, i oczekuję, że zgodnie z prawem mnie poinformujesz, z jakich ciasteczek konkretnie TY w relacji do MNIE korzystasz i po co.
- Nie chcę też, żebyś mnie informował o korzystaniu z ciasteczek niezbędnych do działania Twojej strony. Kiedy to robisz, to uświadamiam sobie, że nie znasz obowiązującego Cię prawa i nie stosujesz go, ponieważ akurat o tych ciasteczkach nie masz obowiązku mnie informować.
Kończąc tę dezyderatę do Ciebie uprzejmie potaknę, jeśli zauważysz, że jest Ci trudno stwierdzić, z jakich ciasteczek i po co względem mnie Ty korzystasz. Wiem o tym. W ogóle, prowadzenie biznesu jest m. zd. bardzo trudne i to każdego. Twój biznes do tego ma charakter specjalistyczny i dlatego niektóre nakładane na Ciebie obowiązki są szczególnie trudne do wykonania.
Nie przestają jednak być Twoimi obowiązkami i oczekuję, że wykażesz profesjonalizm i się z nich wywiążesz.
B. Przodujące wydawnictwo podatkowe informuje mnie, że kto inny jest administratorem danych osobowych zawartych w ciasteczkach, niż to wydawnictwo. Jest to dla mnie niezrozumiałe: dlaczego nie informuje mnie wprost administrator zgodnie z art. 13 RODO?
Okazuje się przy tym, że ten inny podmiot jest dostawcą usług internetowych dla jeszcze dalszych podmiotów określonych ogólnie jako „spółki zlecające realizację kampanii reklamowej, a także podmioty badające i zliczające tę kampanię”. Ponadto „dane te mogą ponadto zostać udostępnione na rzecz partnerów handlowych” administratora.
Ponieważ jestem informowany o ciasteczkach w kontekście RODO i danych osobowych, to w informacji tej może chodzić tylko o ciasteczka biznesowe i śledzące. Innymi słowy chodzi o to, że portal przodującego wydawnictwa podatkowego jest platformą zbierania danych o moim zachowaniu w Internecie i umożliwia tworzenie mojego profilu, włącznie np. z płcią, wiekiem, zainteresowaniami. Ten profil jest jak rozumiem łączony konkretnie ze mną tj. z moim komputerem o konkretnym numerze IP. Dalej te dane osobowe – dane osobowe, a nie dane osobowe zanonimizowane, czyli tylko informacje, że „jest taki użytkownik Internetu korzystający z naszej usługi” – są przekazywane w istocie nieokreślonemu kręgowi podmiotów, tj. „partnerom handlowym”, w celu oddziałania na moje zachowanie.
„Uzasadniony interes administratora” rozumiany jest bardzo szeroko, tj. m.in. jako „ulepszanie naszych usług” (nie np. – „działania niniejszej strony internetowej”, tylko „usług”, którymi jak rozumiem są usługi B2B, tj. sprzedaż mojego profilu i danych osobowych dalszym podmiotom w celu prowadzenia kampanii reklamowych, jako że administratorem nie jest w tym wypadku przodujące wydawnictwo podatkowe, tylko powszechnie znana firma reklamowa).
Zadaję sobie pytanie, czy w ten sposób j.w. przodujące wydawnictwo podatkowe wywiązało się z obowiązku „zwięzłego, przejrzystego, zrozumiałego i w łatwo dostępnej formie, jasnym i prostym językiem” przekazania „informacji o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją” (art. 12 ust. 1 w zw. z art. 13 ust. 1 e RODO). Raczej podobnie, jak w stosunku do ciasteczek, interesowałaby mnie konkretna kategoria „partnerów handlowych”, jeśli nie jestem informowany o ich danych rejestrowych. Wydaje mi się też, że skoro RODO wymaga, żeby z obowiązku informacyjnego wywiązał się administrator, to nie ma powodu, żebym był informowany przez inny podmiot. Last but not least zastanawiam się też, jakież to kampanie reklamowe mają być na mnie nakierowane, i w jaki sposób kampanie marketingowe nieokreślonego kręgu „partnerów handlowych” mieszczą się w celu, dla którego administrator przetwarza moje dane osobowe. Czy przez „marketing” rozumiany jest też marketing polityczny? Jest mi to wszystko naprawdę niezmiernie trudno stwierdzić i istotnie, kiedy się nad tym zastanawiam, to chcę mieć do dyspozycji wyspecjalizowany organ państwowy i sądy, które w razie potrzeby mi w tym pomogą.
Warto zauważyć, że na tle przodującego polskojęzycznego wydawnictwa podatkowego zabawnie z obowiązku poinformowania o odbiorcach danych osobowych wywiązała się jedna z największych polskich platform VOD. Otóż, uzyskujemy w tym wypadku informacje o wszystkich takich „partnerach handlowych”. Jest ich łącznie kilkudziesięciu (wydaje się, że między 50 a 100). Mamy też możliwość nie wyrazić zgody na przekazywanie im naszych danych osobowych. Jest tylko jeden szkopuł. Domyślną zgodę musimy usunąć w stosunku do każdego z „partnerów handlowych” osobno! Miłego klikania, zatem!
Przodujący portal podatkowy przekazuje moje dane m. in. „podmiotom świadczącym usługi audytorskie i inne związane z kontrolowaniem [jego] działalności, biegłym rewidentom”. Czy to jest rzeczywiście konieczne? Czy dla celów audytu i kontroli moje dane nie mogą być zanonimizowane lub co najmniej spseudonimizowane? Co z zasadą minimalizacji danych? Przecież na te istotne zmiany organizacyjne były dwa lata!
C. Przodujący polski portal kinowy informuje mnie, że przetwarza moje dane m.in. w celu „wykrywania osób łamiący regulamin, zagrażających innym Użytkownikom”. To ciekawe!
Chodzi jak rozumiem o filtrowanie komentarzy w ramach funkcji serwisu społecznościowego z punktu widzenia komentarzy „łamiących regulamin, zagrażających innym Użytkownikom”. Rozumiem, że moje komentarze są filtrowane przez rozwiązanie softwarowe, które może mój komentarz usunąć, jeśli zawiera nieprzyzwoite słowa. Czy ów software tylko do tego się jednak ogranicza?
Nasuwają mi się próby pewnej znanej mi dobrze osoby umieszczania coraz grzeczniejszych komentarzy na przodującym polskim portalu gastronomicznym. Próby te spełzły na niczym. Najbardziej dworski język i najbardziej wykwintne sformułowania nie były dość dworskie i dość wykwintne, żeby na – w mojej ocenie słabo odzwierciedlającej realne opinie – stronie z komentarzami ukazała się negatywna ocena restauracji, która – jak można przypuszczać – uiszcza portalowi wynagrodzenie za zawarte o tej restauracji na tym portalu informacje. Mutatis mutandis mam duże wątpliwości, co do jakości nie tylko komentarzy, ale też ocen, znajdujących się na portalach kinowych. Odnoszę wrażenie, że np. oceny filmów produkowanych w USA są systematycznie i planowo „podbijane”.
Dlatego – podsumowując te rozważania – chciałbym wiedzieć, co jest w przypadku przodującego polskiego portalu kinowego skutkiem „wykrycia osoby łamiącej regulamin, zagrażającej innym Użytkownikom”. Czy np. jest „zagrożeniem” tzw. „spoiler”, tj. ujawnienie zakończenia filmu lub ważnego wątku filmu? Czy, jeśli jest, „spoiler’em” może być też negatywna opinia nt. filmu? Czy w ten sposób nie dochodzi do odsiewania negatywnych opinii nt. np. filmów określonych – np. amerykańskich – producentów? Czy w ten sposób nasza swoboda wypowiedzi nie jest naruszana, czy nie jesteśmy manipulowani?
D. We wszystkich informacjach szczególnie interesowało mnie to, kiedy moje dane osobowe są usuwane. Spodziewałem się zwięzłego, przejrzystego, zrozumiałego komunikatu podanego w łatwo dostępnej formie i jasnym i prostym językiem (art. 12 ust. 1 RODO). Dowiedziałem się, że praktycznie moje dane we wszystkich przypadkach w zasadzie nie są usuwane.
Na przykład renomowany dostawca internetowych płatności w sposób niezmiernie rozbudowany i posługując się prawdziwie „niemiecką” techniką legislacyjną, tj. wielopoziomowymi wewnętrznymi odesłaniami w obrębie samego swojego tekstu, informuje mnie o różnorodnych podstawach przetwarzania moich danych i ich wzajemnych związkach (swoją drogą – czy do płatności internetowej rzeczywiście jest niezbędny mój numer telefonu, który jest dalej przetwarzany i przekazywany?). Następnie znajduje tysiące powodów, żeby moich danych osobowych de facto co najmniej przez pięć lat w ogóle nie usuwać. Tymczasem zaraz, chwileczkę, czy to nie miało być tak, że moje dane mogą być zachowane do celu płatności internetowej w związanym z tą płatnością systemie IT wyłącznie na czas tej płatności, a do celów np. rozliczenia podatkowego już w innym systemie lub w formie jedynie papierowej w innym okresie (jeśli w ogóle są do tego potrzebne, a nie wystarczyłby np. kod płatności, czyli dane zanonimizowane lub co najmniej spseudonimizowane)?
Ten sam dostawca usług związanych z płatnościami internetowymi z następującą precyzją określa cele przetwarzania moich danych osobowych: „cele związane z audytami, kontrolą zarządczą, lub w celach związanych z doradztwem”.
Zwięźle, przejrzyście, zrozumiale? Jasnym i prostym językiem? Wolne żarty… Tymczasem przecież cel przetwarzania to fundament systemu, bo wpływa na czas, zakres przetwarzania, możliwości przekazywania itd.
Doszukałem się poza tym m.in. formuł typu „do wyrażenia sprzeciwu”, czyli na zasadzie „opt-out” , podczas, gdy RODO wyraźnie wymaga ograniczenia czasu przechowywania na „okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane” (art. 5 ust. 1 e RODO). Nic z tych rzeczy! Okazuje się, że – jak to już wyżej zauważyłem – „uzasadniony prawny interes administratora” jest rozumiany bardzo szeroko, ale ponadto jest on nieograniczony czasowo! Jeśli sam nie będę interweniował, moje dane – z reguły, tj. w stosunku do wszystkich poddanych mojemu małemu audytowi usług – będą przetwarzane bez ograniczeń czasowych!
Jednym z ciekawszych „naszych zaufanych partnerów”, którym przekazywane są moje dane osobowe, jest „AntiAdblock.com”. To naprawdę urocze, że kiedy ja instaluję sobie Adblocka, żeby pozbyć się wyskakujących okienek, bannerów i innych przeszkadzających mi reklam, właściciel serwisu zawiera umowę z „zaufanym partnerem”, którego zadaniem jest zwalczyć to moje narzędzie zapewniania mi spokoju.
E. Ciekaw byłem, jak łatwo będzie mi uzyskać swoje dane, co gwarantuje mi RODO. Chyba tylko w jednej informacji doszukałem się odpowiedniego zapisu i brzmiał on „… w zakresie danych których przetwarzanie odbywa się w sposób zautomatyzowany (przy czym … na razie … nie przetwarza danych w sposób zautomatyzowany)”. Podobnie zęby zostały wybite tygrysowi RODO w tym samym źródle w odniesieniu do przeniesienia danych do innego analogicznego serwisu – „o ile jest to technicznie możliwe”. Tak to się niestety robi niestety w obrębie naszej wspólnoty prawnej z naszą kulturą stosowania prawa. Naprawdę, m.zd. – bardzo nieelegancko! Czy RODO to nie dobry czas na zwiększenie kultury w sposobie traktowania Internautów? Czy naprawdę nie zasługujemy na odrobinę szacunku?
***
WNIOSEK z audytu jest bardzo podobny, jak z wcześniejszego audytu przestrzegania regulacji dotyczącej ciasteczek. Ocena, jaką wystawiłbym portalom w skali od 2 do 5 to w najlepszym razie 3. Z mojego punktu widzenia jest to pozorowanie wykonywania nałożonych obowiązków. Nie o to chodziło, żeby wić się i skręcać po to, żeby nic się nie zmieniło, tylko żeby ograniczyć zakres i czas przechowywania danych oraz uzależnić możliwości handlowania nimi od realnej kontroli Internautów.
Trzeciego dnia obowiązywania RODO nie ma o tym – jak się wydaje – mowy. Polscy dostawcy usług internetowych niczym nie różnią się od FB, który został już przeze mnie oceniony z punktu widzenia danych osobowych przy innej okazji. Jedyny pożytek z RODO, to że dowiadujemy się, z czego i jak tak naprawdę branża czerpie dochód. Dla przekazywania naszych danych najróżniejszym podmiotom do tej pory nie było absolutnie żadnych ograniczeń i takie przekazywanie – danych zebranych często w nadmiarze – było normą. Dane nie były nigdy kasowane i na razie nie zapowiada się, że będą, no, chyba, że Internauci zaczną walczyć o swoje.