Adwokat Opole - Profilowanie danych : największe zagrożenie dla współczesnego Internauty?
„Sztuczna inteligencja jest faktem, już z niej
korzystamy, dokonując subiektywnych wyborów. Lecz skomplikowany sposób rozwoju
sztucznej inteligencji sprawia, że trudno ją zrozumieć i kontrolować. Jak
powiedziała Zeynep Tufekci, socjolog technologii "(...) to nie jest
pytanie o legalność, to coś bardziej problematycznego - całkowicie naturalna
konsekwencja modelu biznesowego, która polega na przyciąganiu uwagi ludzi, by
poddawać ich inwigilacji na dotychczas niespotykaną skalę (..) a naszym
zadaniem jest to aby nie zrzucać odpowiedzialności na maszyny. Musimy coraz
mocniej trzymać się ludzkich wartości i etyki". Dzisiaj temat
profilowania, a w załączeniu artykuł autorstwa Kacpra Raduckiego, który
będzie bazą naszych kolejno ukazujących się tematów w ramach akcji prowadzonej
przez naszą Kancelarię.”
Profilowanie danych :
największe zagrożenie dla
współczesnego Internauty?
Chyba każdy użytkownik Internetu miał do czynienia z uporczywymi
reklamami lub sugerowanymi treściami, które pojawiają się znikąd i zasłaniają
nam treści na których nam naprawdę zależy. Takie działanie reklamodawcy ma
swoją nazwę, a mianowicie chodzi o „profilowanie”. Profilowanie nie jest jednak
przypadkowym wyświetleniem reklamy, która puszczona w eter ma natrafić na
przypadkowego odbiorcę, w celu skuszenia go do skorzystania z usługi, którą ze
sobą niesie, tak jak ma to miejsce np. w przypadku reklam w telewizji. Tutaj
sytuacja przedstawia się zupełnie odwrotnie, co moim zdaniem niesie ze sobą
przerażające skutki i wnioski, że cały czas jesteśmy inwigilowani, śledzeni i podsłuchiwani.
W tym artykule nie skupię się jednak nad sposobami ochrony przed
profilowaniem, gdyż jest to zbyt rozległy temat. Ta praca zostanie poświęcona
rozważaniom na temat definicji profilowania, skąd się bierze i czy naprawdę
jest takim zagrożeniem, na jakie wygląda? Niech to będzie podstawa pod dalsze,
bardziej szczegółowe rozważania.
Należy to głośno podkreślić, że do momentu wejścia w życie
rozporządzenia Parlamentu Europejskiego I Rady (UE) RODO w Polsce nie istniały
żadne szczegółowe regulacje dotyczące profilowania danych. To właśnie RODO w
art. 4 pkt 4 wprowadziło obowiązującą w całej Unii Europejskiej definicję
legalną profilowania, która brzmi:
„profilowanie” oznacza dowolną formę zautomatyzowanego
przetwarzania
danych osobowych, które polega na wykorzystaniu danych
osobowych do oceny
niektórych czynników osobowych osoby fizycznej, w
szczególności do analizy lub
prognozy aspektów dotyczących efektów pracy tej osoby
fizycznej, jej sytuacji
ekonomicznej, zdrowia, osobistych preferencji,
zainteresowań, wiarygodności,
zachowania, lokalizacji lub przemieszczania się”.
W uproszczeniu chodzi o zbieranie wszelkich dostępnych informacji o
użytkowniku, będącym osobą fizyczną, a następnie na tworzeniu jego tzw.
„profilu”, czyli zbiorze jego preferencji, gustów, dokonanych wyborów
handlowych, czy nawet danych dla niego wrażliwych. Przy użyciu współczesnej technologii
nietrudno utworzyć tak dokładny profil człowieka, aby móc przewidzieć, jakich
wyborów dokona w przyszłości. To właśnie czyni profilowanie bardzo
niebezpieczną, ale i upragnioną przez każdego przedsiębiorcę bronią, która
pozwala na spersonalizowanie całej sieci reklamowej, wymierzonej w jednego
konkretnego człowieka.
Najprostszym przykładem profilowania może być gromadzenie oraz analizowanie danych klienta takich jak jego wiek, płeć, data urodzenia, miejsce zamieszkania, zainteresowania, zachowanie na stronie internetowej czy ostatnio dokonane zakupy. Zebranie takich danych daje dużą szansę za zainteresowanie go następną, przygotowaną specjalnie pod niego ofertą.
Najdalej idącym profilowaniem danych może być przykład tworzenia
profilów bankowych lub opierających się na informacjach dotyczących stanu
zdrowia, co samo w sobie jest nielegalne i penalizowane przez wszystkie systemy
prawne Europy.
2.
Kiedy
profilowanie jest legalne?
Prawdą jest, że profilowanie danych osobowych może, i bardzo często
jest legalne i w pełni zgodne z prawem. Bez względu jednak na to, jak bardzo
zaawansowane metody profilowania byłyby wykorzystywane w handlu elektronicznym,
użytkownik za każdym razem musi być ich świadom, a więc na właścicielu sklepu
internetowego (administratorze danych osobowych) ciąży pełny obowiązek informacyjny
o profilowaniu. Użytkownik strony internetowej musi mieć za to możliwość
wyrażenia dobrowolnej zgody na ten proces, która jest warunkiem sine qua non
całej operacji profilowania.
To właśnie zgoda osoby fizycznej jest tutaj kluczem do legalizacji
przetwarzania danych osobowych. Definicję zgody można znaleźć w rozporządzeniu
RODO, które stanowi, iż:
„zgoda” osoby, której dane dotyczą oznacza dobrowolne,
konkretne, świadome i
jednoznaczne okazanie woli, którym osoba, której dane
dotyczą, w formie
oświadczenia lub wyraźnego działania potwierdzającego,
przyzwala na
przetwarzanie dotyczących jej danych osobowych.
Oznacza to, że jedyną możliwą drogą wyrażenia zgody podczas korzystania z Internetu jest wyrażenie świadomej zgody na przetwarzanie danych osobowych w formie pisemnej. Zgoda musi zawierać w sobie cały szereg informacji, o których administrator danych osobowych ma obowiązek poinformować użytkownika jeszcze przed rozpoczęciem przetwarzania. Te informacje to:
- Tożsamość i dane kontaktowe administratora danych osobowych
- Cel/cele przetwarzania danych osobowych oraz ich podstawę prawną.
- Informacje o odbiorcach danych osobowych lub o kategorii osób trzecich, które mają styczność z danymi osoby wyrażającej zgodę.
- Informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej.
Kiedy przetwarzanie danych już trwa, administrator ma obowiązek przekazywania użytkownikowi informacji o:
- Okresie przechowywania danych osobowych.
- Prawie do żądania od administratora dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych.
- Prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
- Prawie wniesienia skargi do organu nadzorczego.
- tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.
- Profilowaniu, głównie o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Tak więc profilowanie danych osobowych może być legalne, jednakże warunkiem tego jest świadoma i dobrowolna zgoda osoby, która ma zostać poddana takiemu zabiegowi.
Rozporządzenie RODO w art. 22 przedstawia jeszcze inne warunki, które muszą zostać spełnione, aby operacja profilowania stała się legalna, a są to:
- Przypadki, w których dane osobowe są niezbędne do zawarcia umowy między osobą, której dane dotyczą, a administratorem danych osobowych, oraz
- Wymogi, aby regulacje dotyczące profilowania danych osobowych były dozwolone prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator.
Tak jak już wcześniej wspomniałem, podstawą każdego przetwarzania
danych osobowych oraz procesu profilowania powinna być dobrowolna i świadoma
zgoda osoby, której dane dotyczą. Stanowi o tym wprost art. 6 ust. 1 (w
przypadku zwykłych danych) oraz art. 9 ust. 1 RODO (w przypadku przetwarzania
szczególnych kategorii danych osobowych).
Zgodę wyrażamy najczęściej przy pierwszej aktywności na danej stronie
internetowej, ale w praktyce zakładka z regulaminem i polityką prywatności
firmy (wraz z wykorzystaniem plików cookies) jest ukryta i słabo widoczna, a
użytkownik może albo szukać ich na własną rękę, albo szybko kliknąć w duży i
widoczny znak akceptacji regulaminów. Takie działanie stanowi najpoważniejszą
pułapkę, gdyż użytkownicy Internetu zwyczajnie nie czytają przepisów, które
dobrowolnie akceptują.
Ta zła i szkodliwa praktyka musi zniknąć, jeżeli chcemy świadomie
unikać zagrożeń płynących z przetwarzania danych, które jest zgodne z literą
prawa.
Drugą pułapką, na której rozwiązanie możemy mieć realny wpływ, jest to,
aby informować użytkowników stron internetowych o ich prawach, a co za tym
idzie o prawie do zaprzestania przetwarzania danych, do zaprzestania
automatycznemu przetwarzania danych czego skutkiem jest podejmowanie decyzji
(wynik profilowania), a także o prawie do usunięcia z bazy danych administratora
danych osobowych wszystkich informacji o osobie, która złoży takie żądanie.
Mamy do tego pełne prawo i nie musimy tego w żaden sposób uzasadniać.
Ostatnim moim zdaniem najważniejszym błędem podejmowanym przez
administratora danych osobowych w trakcie wyrażania zgody na przetwarzanie
danych osobowych jest brak poinformowania użytkownika o odpowiednich
zabezpieczeniach, które gwarantują ochronę praw i wolności osoby, której dane
są poddawane przetwarzaniu. To ważne, gdyż bez spełnienia tego warunku, czyli
poinformowaniu i zapewnieniu odpowiedniej ochrony danych, takie profilowanie
jest niezgodne z prawem!
Profilowanie, mimo, że jak wspomniałem wcześniej, często legalne i
pożądane przez przedsiębiorców, posiada również swoją „mroczniejszą” stronę.
Badania nad ochroną danych osobowych w Internecie wykazują jednoznacznie, że
pełnie władzy nad profilowaniem i przetwarzaniem danych ma tylko kilka
największych światowych firm, takich jak Google, czy Facebook. Ich liczba w
stosunku do wszystkich platform na świecie jest mniejsza niż 1%.
Niestety prawda jest taka, że my jako współcześni ludzie, powierzający
Internetowi wszystkie nasze sprawy i przyjemności, potrzebujemy takich
wyszukiwarek i portali społecznościowych. Stały się one częścią naszego życia,
tak samo jak telefony czy prasa. Potrzebujemy ich. Problem pojawia się wówczas,
kiedy te serwisy wykorzystują nas i nie zważają na legalne ścieżki
przetwarzania danych, często z powodu wydłużonego czasu działania lub
wykorzystując niewiedzę potencjalnej ofiary. Poza tym dane zbierane od
nieświadomej tego osoby są prawdziwsze i naturalniejsze, przez co wyniki ich analizowania
bardziej odpowiadają potrzebom współczesnego rynku.
Cele, do których giganci światowego biznesu wykorzystują nasze dane,
też nie zawsze są do końca zgodne z prawem. Chodzi tutaj np. o zbieranie
informacji dotyczących preferencji wyborczych, rozwoju chorób cywilizacyjnych,
a także o rozwój społeczeństwa informacyjnego. Wszystko co jest nastawione na
zysk jest poddawane analizie, a dane są zbierane nie tylko od nas samych i
tylko z jednego źródła, ale od wszystkich, z kim mamy kontakt i z każdego
możliwego źródła.
Zdaniem Edwarda Snowdena, człowieka, który sześć lat temu ujawnił program
masowej inwigilacji Agencji Bezpieczeństwa Narodowego (NSA): „pogłębiające
się podziały społeczne na całym świecie i fala autorytaryzmu, która przelewa
się przez wiele krajów, najlepiej świadczą o tym, że wszędzie politycy i
przedsiębiorcy zrozumieli, jak wykorzystać technologie, by wpływać na
wydarzenia na świecie”.
Moim zdaniem największą przyczyną takiej skali zagrożeń nie są sami
użytkownicy. Dane osobowe były i będą wykradane bez względu na to, jak bardzo
będziemy starali się je ukrywać. Prawdziwym problemem jest zwyczajny brak
konkurencji i godnych przeciwników dla światowych platform, o których
wspomniałem wyżej. Dzisiaj firmy z różnych grup biznesowych współpracują ze
sobą, nie dopuszczając do głosu mniejszej konkurencji, a my przez to nie mamy
żadnego wyboru i akceptujemy ich warunki, aby móc z nich korzystać. To jest
prawdziwa tragedia, na którą ponownie mamy wręcz znikomy wpływ, gdyż kto raz
posiadł taką władzę, dobrowolnie się jej nie wyrzeknie.
Osobiście uważam, że pomimo rozwiązań technologicznych i prac
legislacyjnych, problem wykorzystywania naszych danych osobowych w Internecie
nie zniknie i nie zmaleje. W tym artykule podałem dowody na to, że takie
czynności na profilowanie mogą bez żadnych problemów odbywać się legalnie i za
naszym cichym przyzwoleniem.
Dlatego aby móc coś zrobić z tym zagrożeniem, powinniśmy przede
wszystkim zacząć rozsądnie podchodzić do problemów związanych ze światem
Internetu, a najlepszym do tego początkiem, będzie czytanie ze zrozumieniem
wszystkich regulaminów i zgód, co postaram się rozjaśnić w kolejnym artykule.
Na koniec chciałbym przytoczyć słowa wyżej cytowanego Edwarda Snowdena
który uważa, że „należy położyć kres masowemu gromadzeniu danych zarówno przez
służby, jak i koncerny, jak Facebook czy Google. Pierwszym krokiem powinno być
uświadomienie każdemu użytkownikowi smartfona, że jest śledzony na każdym
kroku”. Jego słowa są prawdziwe i każdy powinien sam sobie odpowiedzieć, czy
naprawdę chcemy żyć w takiej rzeczywistości.
Dziękuję za poświęcony czas!
Bibliografia:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO)
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights/can-i-be-subject
automated individual decision making including profiling_pl?pk_source=google_ads&pk_medium=paid&pk_campaign=gdr2019
Komentarze
Prześlij komentarz