Dane osobowe jako metoda płatności

Dane osobowe, czy tego chcemy czy nie - stały się metodą płatności, z którą codziennie mamy do czynienia. Konsumenci stają się coraz bardziej świadomi ich wartości, ale w większości nie postrzegają jeszcze danych osobowych jako środka płatniczego.

Dane, w tym dane osobowe, to jedno z najpotężniejszych narzędzi jakie można wykorzystać w działaniach marketingowych, i nie tylko. Odpowiednie wnioskowanie na podstawie zgromadzonych danych pozwala na:

• rozumienie konsumenta,
• dopasowanie do niego oferty,
• kreowanie jego zachowań i potrzeb,

a wszystko po to by skuteczniej prowadzić biznes.

Nie dziwi zatem fakt, iż coraz częściej mówi się o gospodarce opartej na danych - tzw. „data economy”, a dane - w tym osobowe, zbierane są nagminnie i w rosnących ilościach.

Rzetelność i odpowiedzialność

Przetwarzanie zebranych danych w taki sposób, by zrozumieć swojego klienta jest nie do przecenienia. Analiza pozwala nie tylko na:

• bardziej adekwatne kierowanie do niego reklam;
• poprawę własnej architektury - oferty, elementów strony czy serwisu;
• oraz zaprezentowanie innych polecanych dla danej osoby produktów czy usług.

Należy jednak pamiętać, że za możliwością zbierania danych osobowych kryje się także obowiązek ich zgodnego z prawem przetwarzania i przechowywania, której zapominają obie strony.

Osoby których dane dotyczą, udostępniają informacje o sobie w sposób lekkomyślny. Brak im krytycznego podejścia do zakresu zbieranych danych.

Natomiast podmioty będące administratorami danych przymykają oko na ramy, jakie wyznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO) i starają się zbierać jak najwięcej informacji za wszelką cenę.

Nie tylko imię i nazwisko

Trzeba przy tym pamiętać, że dane osobowe to nie tylko imię i nazwisko danej osoby. Zgodnie z motywem 30 RODO „Osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób”.

W obecnym stanie faktycznym nie może być zatem wątpliwości, że użytkownicy muszą zostać poinformowani o zbieraniu danych i poproszeni o zgodę na ich przetwarzanie, także w przypadku używania plików cookie przez daną stronę, i wyrazić zgodę na niektóre z nich.

Grzechy główne

Przypomnijmy, że zbieranie informacji o użytkowniku w postaci plików cookie, należących głownie do kategorii marketingowych i remarketingowych czy funkcjonalnych, wymaga jego zgody. Zgoda ta powinna zostać wyrażona świadomie, a co za tym idzie - osoba składająca oświadczenie powinna wiedzieć, jaki jest cel i zakres zbierania danych.

W wielu wypadkach odebranie zgody jest czystą fikcją. Banner, przycisk czy informacja, co prawda pojawiają się na stronie, jednak kliknięcie lub nie tej informacji nie ma realnego znaczenia. Dane w formie i zakresie preferowanym przez właściciela strony i tak są zbierane.

Czasami także sama bierność użytkownika uważana jest za wyrażenie zgody, mimo że takiemu działaniu nie można przypisać waloru świadomego wyrażenia zgody.

Inną często wykorzystywaną opcją jest sugerowanie w treści komunikatu, iż zgoda na zbieranie plików cookie jest niezbędna do dalszego korzystania ze strony internetowej.

Coraz popularniejszą staje się także sytuacja przytłoczenia użytkownika dużą ilością informacji. Z jednej strony można argumentować, iż administrator serwisu internetowego stara się w sposób rzetelny i kompleksowy poinformować użytkownika o wszystkich wykorzystywanych plikach cookie oraz ich funkcjach i celach.

Z drugiej strony taki „komunikat” przybiera często formę niekończących się suwaków, z których na pierwszy rzut oka nie wiadomo, który jest wyrażeniem zgody, a który należy „odznaczyć”. W maksymalnie połowie takiej tabeli użytkownik się irytuje i klika w podsumowaniu, zwykle na zielony przycisk, który powoduje akceptację wszystkich, a nie tylko tak żmudnie wybranych opcji.

Obecne regulacje

Korzystanie z coraz większej liczby usług powoduje konieczność podania danych osobowych w określonym zakresie wielu podmiotom. Osoby, których dane dotyczą są w lepszym lub gorszym zakresie informowane, o fakcie i celu zbierania danych. Jednak wobec braku sztywnych postanowień w tym zakresie, osoby te nie są zwykle np. uświadamiane wprost, że przekazane dane stanowią swego rodzaju zapłatę za świadczenie usług.

Nie można jednak stwierdzić, iż regulacji w tym zakresie zupełnie nie ma. Już w 2017 r. Europejski Inspektor Ochrony Danych (EDPS) wskazywał, że prezentowanie usług i produktów jako darmowych, podczas gdy zapłatą za nie jest przekazanie danych osobowych, jest wprowadzeniem konsument w błąd. Jedną bowiem z podstawowych powinności przedsiębiorcy w kontaktach z konsumentem, a tym bardziej podczas zawierania z nim umów, jest rzetelna informacja.

Na fakt zapłaty danymi wprost wskazuje także Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/770 z 20 maja 2019 r. w sprawie niektórych aspektów umów o dostarczanie treści cyfrowych i usług cyfrowych (dalej: Dyrektywa):

„Treści cyfrowe lub usługi cyfrowe są również często dostarczane w przypadku gdy konsument nie płaci ceny, lecz dostarcza przedsiębiorcy dane osobowe. Takie modele biznesowe występują w różnych formach na znacznej części rynku. Uznając, że ochrona danych osobowych jest prawem podstawowym, a zatem dane osobowe nie mogą być traktowane jak towar, niniejsza dyrektywa powinna zapewnić konsumentom, w kontekście takich modeli biznesowych, prawo do umownych środków ochrony prawnej. W związku z tym niniejsza dyrektywa powinna mieć zastosowanie do umów, na podstawie których przedsiębiorca dostarcza bądź zobowiązuje się dostarczyć konsumentowi treści cyfrowe lub usługę cyfrową, a konsument dostarcza lub zobowiązuje się dostarczyć dane osobowe.”

Jednocześnie, Dyrektywa wskazuje, iż dane osobowe mogą być przekazywane przedsiębiorcy zarówno w momencie zawarcia umowy, jak też w późniejszym terminie, np. gdy konsument udziela przedsiębiorcy zgody na wykorzystanie danych osobowych, które może on przesyłać lub wytworzyć w związku z korzystaniem z treści cyfrowych lub z usługi cyfrowej.

Niniejsza dyrektywa będzie miała zatem zastosowanie w przypadkach gdy konsument:

• zakłada konto w mediach społecznościowych;
• podaje imię i nazwisko oraz adres e-mail do celów innych niż jedynie dostarczenie treści cyfrowych lub usługi cyfrowej lub innych niż spełnienie wymogów prawnych;
• udziela zgody na przetwarzanie przez przedsiębiorcę do celów marketingowych przesyłanych przez siebie materiałów stanowiących dane osobowe, takich jak zdjęcia lub wpisy.

Nie ma nic za darmo

Osoby, których dane dotyczą stają się coraz bardziej świadome swoich praw. Świadczy o tym zarówno duża liczba żądań kierowanych do administratorów, jak też i znacząca liczba zgłaszanych do UODO naruszeń. Mimo to, aspekt nieprawidłowego zbierania zgód na pliki cookie jest cały czas poza głównym nurtem zainteresowania zarówno osób, które te dane przekazały, jak i samych administratorów.

Ci ostatni prezentują podejście charakteryzujące się marginalizacją ewentualnej odpowiedzialności w takich wypadkach. Jest to jednak bardzo duży błąd, który może okazać się także wyjątkowo kosztowny.

Przykładowe kary finansowe

CNIL, francuski organ właściwy ds. ochrony danych osobowych, nałożył w grudniu 2020 r. kary finansowe w wysokości:

• 60 milionów euro na Google LLC;
• 40 milionów euro na Google Ireland Limited;
• 35 milionów euro na Amazon Europe Core SARL.

Kary została nałożona za zapisywanie plików cookie na urządzeniach osób korzystających ze stron internetowych tych podmiotów bez uzyskania uprzedniej zgody użytkowników oraz za brak przekazania im odpowiednich informacji.

Hiszpański organ AEPD (odpowiednik polskiego PUODO) nałożył karę w wysokości 10 tysięcy euro za tworzenie na urządzeniu końcowym użytkownika plików cookie bez odpowiedniej zgody. Uznał takie działanie za naruszenie art. 6 RODO, tj. przetwarzanie danych osobowych bez wystarczającej podstawy prawnej.

Kara w wysokości 30 tysięcy euro nie ominęła także linii lotniczych, które uniemożliwiały użytkownikom korzystanie ze strony w przypadku braku akceptacji cookies. Organ uznał to zachowanie za zmuszenie ich do korzystania z tych plików w każdym przypadku przeglądania strony internetowej, a co za tym idzie za sprzeczne z art. 5 i 6 RODO.

Informacje nierzetelne

Z kolei nierzetelna informacja w stosunku do konsumenta, polegająca na reklamowaniu usługi jako darmowej podczas gdy w rzeczywistości następuje zapłata danymi osobowymi może zostać uznana za wprowadzenie konsumenta w błąd.

Uznanie przez konsumenta usługi jako darmowej może też znacząco zniekształcać proces leżący u podstawy decyzji konsumenta. Wobec powyższego, w skrajnych wypadkach takie przedstawienie danej usługi może być pojmowane jako czyn nieuczciwej konkurencji.

Gospodarka oparta na danych – „data economy”

Motyw 7 RODO stanowi wprost, że „(…) osoby fizyczne powinny mieć kontrolę nad własnymi danymi osobowymi”. Prawo do ochrony danych osobowych ma więc służyć przede wszystkim zapewnieniu podmiotom danych kontroli nad ich danymi.

Z jednej strony na znaczeniu zyskiwać będą takie inicjatywy jak np. ruch MyData. Rozwiązania proponowane w ramach tego typu inicjatyw mają na celu przyniesienie znacznych korzyści dla osób fizycznych w sferze bezproblemowego dostępu do usług publicznych i prywatnych oraz większego nadzoru i przejrzystości w odniesieniu do ich danych osobowych.

W „Europejskiej strategii w zakresie danych”, opublikowanej w lutym 2020 r., wprost zawarty został postulat, iż takie inicjatywy zasługują na wsparcie i tworzenie przyjaznych warunków ekonomicznych do ich rozwoju.

Nie oznacza to jednak, że kontrola będzie prowadziła wprost do działań mających na celu ograniczenie wymiany zbierania i przetwarzania danych. W tej samej „Europejskiej strategii w zakresie danych” autorzy dostrzegają, iż „(…) dane są siłą napędową rozwoju gospodarczego: są podstawą wielu nowych produktów i usług, sprzyjają wzrostowi wydajności i efektywnemu gospodarowaniu zasobami we wszystkich sektorach gospodarki, umożliwiają oferowanie bardziej zindywidualizowanych produktów i usług oraz przyczyniają się do skuteczniejszego kształtowania polityki i udoskonalania usług rządowych. Dane są podstawowym zasobem, który przedsiębiorstwa typu start-up oraz małe i średnie przedsiębiorstwa (MŚP) wykorzystują przy opracowywaniu produktów i usług. Dostępność danych jest niezbędna do szkolenia sztucznej inteligencji (AI), dzięki czemu produkty i usługi mogą przejść szybką transformację: od rozpoznawania wzorców i dostarczania informacji do bardziej zaawansowanych technik prognozowania, sprzyjając tym samym podejmowaniu lepszych decyzji.”

Takie podejście do danych i „data economy” może tylko cieszyć, o ile działania te zostaną przeprowadzone sprawnie, i jak to się kolokwialnie mówi „z głową”.

Tokenizacja danych?

Mimo, że na razie dane w zasadzie nie są postrzegane przez przeciętnego konsumenta jako wartość ekonomiczna, mają one istotne znaczenie i przede wszystkim niebagatelną wartość. Już teraz przekazujemy swoje dane osobowe by skorzystać z pewnych usług. Co prawda nie jest to kwalifikowane jako stricte „płacenie” danymi, a tylko jako wymiana ich na daną usługę. Tym samym dane te przyjmują cechy waluty i w miarę rozwoju „data economy” zjawisko to będzie coraz powszechniejsze.

Tym samym wydaje się, iż nic nie stoi na przeszkodzie by dane osobowe w przyszłości stały się w swego rodzaju kwaziwalutą. W końcu, zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady w sprawie rynków kryptoaktywów i zmieniającym dyrektywę (UE) 2019/1937 „kryptoaktywa” to cyfrowe odzwierciedlenie wartości lub praw, które można przenosić i przechowywać w formie elektronicznej z wykorzystaniem technologii rozproszonego rejestru lub podobnej technologii.

Zatem cyfrowy token będący cyfrowym odwzorowaniem danych osobowych będzie mógł stanowić swego rodzaju kryptoaktywo.

Zmiany technologiczne

Ilość danych generowanych na świecie rośnie. Wzrost ten jest gwałtowny i raczej przyspiesza niż zwalnia. Jak wskazuje International Data Corporation (IDC) w 2022 r. 46% wszystkich produktów i usług sprzedawanych przez przedsiębiorstwa na całym świecie będzie cyfrowych lub dostarczanych cyfrowo.

Aby wykorzystać ten potencjał niewątpliwie niezbędne są zmiany legislacyjne, które pozwolą na prawidłowe funkcjonowanie w szybko zmieniającym się środowisku ekonomicznym. Obecne regulacje są bowiem niewystarczające.

Ogromnym wyzwaniem będzie nie tylko stworzenie ram prawnych, ale także zachowanie równowagi między przepływem i szerokim wykorzystywaniem danych a wysokim poziomem prywatności, bezpieczeństwa i norm etycznych.

Autorka: Monika Macura, radca prawny