Internauci, w tym przedsiębiorcy, powinni mieć prawo wpływu na to, czy ich zachowania w internecie będą czy nie będą śledzone. To z kolei oznacza, że firmy zbierające dane o tym, jakie produkty czy usługi są poszukiwane w sieci przez użytkowników, a także oferujące na podstawie takich informacji reklamę behawioralną skierowaną do odbiorców zainteresowanych takimi samymi lub zbliżonymi towarami czy usługami, muszą przestrzegać zasad ochrony prywatności.
Jednak instytucje biznesowe i przedsiębiorcy prowadzący tego rodzaju działalność mają inny pogląd na to, jak tę ochronę stosować niż organy stojące na jej straży.
— W tej sprawie toczy się spór — mówi dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO).
Rzecz dotyczy przede wszystkim uzyskania zgody internautów na uruchomienie programów śledzących ich zachowania w sieci. Obecne Prawo telekomunikacyjne daje podmiotom świadczącym usługi drogą elektroniczną możliwość przechowywania danych informatycznych, a w szczególności plików tekstowych, w urządzeniach końcowych abonenta lub użytkownika końcowego przeznaczonych do korzystania z tych usług (tzw. cookies).
Regulacje te jednak niedostatecznie chronią prywatność i bezpieczeństwo danych osobowych internautów. Dlatego wymagają zmian. Właśnie trwają konsultacje społeczne nad projektem nowelizacji Prawa telekomunikacyjnego przygotowanym przez Ministerstwo Administracji i Cyfryzacji. GIODO popiera proponowane w nim rozwiązania.
Zmiana przepisów
Projekt zakłada, że pozyskiwanie i wykorzystywanie informacji o naszych zachowaniach w internecie jest możliwe, ale po spełnieniu określonych warunków.
Na podmioty świadczące usługi drogą elektroniczną i przedsiębiorców telekomunikacyjnych nakłada m.in. obowiązek wcześniejszego informowania zainteresowanych zarówno o konsekwencjach planowanego przetwarzania danych dotyczących ich aktywności w internecie, jak i sposobie sprzeciwienia się takim działaniom.
— Jeśli jakaś osoba czy przedsiębiorca trafia na stronę internetową, która ma zamiar go śledzić, to powinna przekazać mu informację o jego prawie do odmowy zbierania i przechowywania w bazie danych odnoszących się do poszukiwanych przez niego produktów czy usług w określonych branżach — podkreśla dr Wojciech Wiewiórowski.
Tego nie przewiduje przygotowany na poziomie europejskim projekt samoregulacji w postaci kodeksu dobrych praktyk w zakresie internetowej reklamy behawioralnej, pilotowany przez Internet Advertising Bureau Europe (IAB), a podpisany przez największe europejskie firmy internetowe.
Kodeks polega m.in. na uruchomieniu strony internetowej, na której klient mógłby dokonywać pewnych wyborów, akceptowanych przez wszystkie podmioty, które do tej samoregulacji przystąpiły. W serwisie użytkownicy sieci mogliby wyrazić sprzeciw wobec wykorzystywania ich danych na potrzeby realizowania behawioralnych kampanii reklamowych.
— Zatem kodeks ten opiera się na zasadzie, że każdy godzi się na takie śledzenie, chyba że wyrazi wyraźny sprzeciw w tej sprawie. Tymczasem europejski pakiet telekomunikacyjny zawiera odwrotny mechanizm, najpierw trzeba uzyskać zgodę od danej osoby, aby móc ją śledzić — podkreśla GIODO.
Dlatego Grupa Robocza Art. 29, zrzeszająca wszystkich generalnych inspektorów ochrony danych osobowych w Europie, nie zgodziła się na stosowanie kodeksu zaproponowanego przez IAB.
Możliwość to za mało
Grupa uznała, że nie wystarczy dać możliwość wyrażenia sprzeciwu użytkownikom internetu (opt-out). Aby przetwarzanie danych osobowych internautów było możliwe, konieczna jest ich świadoma zgoda na takie działanie, wyrażona przed rozpoczęciem przetwarzania danych, czyli zanim zaczną być one gromadzone, a następnie wykorzystywane przy przesyłaniu reklam behawioralnych.
Wcześniej zaś internauta powinien zostać poinformowany, że jego zachowania w sieci będą śledzone oraz jakie dane osobowe i w jakim celu będą w związku z tym przetwarzane. Dyskusje w tej sprawie z organizacjami i firmami zajmującymi się reklamą behawioralną nie przyniosły efektów.
— Na ostatnim posiedzeniu Grupy Roboczej Art. 29 stwierdziliśmy, że skończył się czas na negocjacje. Teraz najprawdopodobniej możemy spotkać się już tylko w sądzie — mówi Wojciech Wiewiórowski.
Zmiany Prawa telekomunikacyjnego
Projekt nowelizacji Prawa telekomunikacyjnego zakłada, że podmioty świadczące usługi drogą elektroniczną lub przedsiębiorcy telekomunikacyjni mogą przechowywać dane informatyczne w urządzeniach końcowych użytkownika końcowego przeznaczonych do korzystania z tych usług (tzw. cookies) oraz uzyskiwać dostęp do tych danych, pod warunkiem że użytkownik zostanie uprzednio jednoznacznie poinformowany o: celu przechowywania danych, sposobach korzystania z ich zawartości, okresie przechowywania i uzyskiwania do nich dostępu, nazwie podmiotu przetwarzającego przechowywane dane;
Ponadto użytkownik końcowy ma być przed zbieraniem danych poinformowany, w sposób łatwy i zrozumiały, o sposobie wyrażenia sprzeciwu, który uniemożliwi przechowywanie danych usługodawcy w urządzeniu końcowym użytkownika.