20 czerwiec 2018

Reklama behawioralna w kontekście przepisów o ochronie danych osobowych

Udostępnij

Nie jest żadną tajemnicą stwierdzenie, że reklama internetowa jest tym bardziej skuteczna, im bardziej została dopasowana do odbiorcy. Oznacza to, że konkretnemu internaucie należy wyświetlać treści, które mogą go zainteresować albo zaspokoić jego bieżące potrzeby, ponieważ w takich przypadkach znacznie wzrastają szanse na sprzedaż określonych usług lub produktów. Jak jednak ustalić, co ciekawi użytkownika? Wystarczy zebrać możliwie największą ilość danych na jego temat. I to właśnie z powodu ich masowego gromadzenia przez wyspecjalizowane w tym zakresie przedsiębiorstwa ważne stało się uregulowanie związanych z tym zasad w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej: rozporządzenie.

 

Reklama behawioralna – definicja

Punktem wyjścia przy badaniu przepisów o ochronie danych w kontekście reklamy behawioralnej jest próba zdefiniowania tego pojęcia. W skrócie można wskazać, że jej podstawą są potrzeby i zainteresowania użytkowników Internetu. W każdym przypadku zasadnicze staje się indywidualne podejście do każdego z odbiorców i zbadanie, jakich treści poszukuje on w Internecie, co kupuje, na jakich stronach spędza najwięcej czasu. Zbieranie takich danych pozwala na dostosowanie reklamy do interesującej internautę tematyki. W związku z powyższym reklama behawioralna definiowana jest jako forma reklamy bazująca na badaniu zachowań użytkowników Internetu i polegająca na oferowaniu im reklam powiązanych z ich zainteresowaniami1. Jako przykład należy wskazać sytuację, w której internauta jest zainteresowany zakupem nowego samochodu i z tej przyczyny dużo czasu poświęca na oglądanie filmów o wybranym modelu czy też czytaniu opinii na jego temat. Nawet jeśli później nagle zmieni przeglądaną tematykę na zupełnie inną i opuści strony producentów samochodów, może spodziewać się wyświetlania reklam o tematyce motoryzacyjnej.

Sam proces dostarczania dedykowanych reklam nie jest szczególnie skomplikowany. W pierwszej kolejności właściciele stron internetowych pozostawiają na nich określoną przestrzeń niezbędną do wyświetlenia reklamy. Następnie tzw. operator sieci reklamowej (lub kilku operatorów), korzystając z technik targetowania (selekcji osób zainteresowanych daną kampanią), wybiera (wybierają) grupę docelową użytkowników, aby zapewnić maksymalnie efektywną dystrybucję reklam. W efekcie wytypowanemu w ten sposób odbiorcy zostanie wyświetlona reklama dopasowana do jego potrzeb i zainteresowań, ustalonych w wyniku śledzenia jego aktywności w Internecie2.

Reklama behawioralna może przynieść dużo korzyści gospodarczych wszystkim zainteresowanym stronom: zarówno promującemu, zainteresowanemu jak największą sprzedażą swoich towarów i usług, jak i odbiorcy – dzięki ofercie, która z dużym prawdopodobieństwem będzie dostosowana do jego potrzeb. Im więcej informacji o użytkowniku zostało zgromadzonych, tym bardziej dostosowana do jego potrzeb będzie reklama, a co za tym idzie, większa będzie skuteczność kampanii. Z drugiej jednak strony ta forma reklamy, z uwagi na konieczność badania zachowań internautów, może powodować wysokie zagrożenie naruszenia ich praw, w szczególności prawa do prywatności i ochrony danych osobowych.

Profilowanie na gruncie rozporządzenia

Ze zbieraniem informacji na temat użytkownika nierozerwalnie wiąże się profilowanie, bardzo często wykorzystywane w marketingu. Jego kluczowym celem jest dopasowanie właściwej reklamy do określonej osoby. W związku z tym niezbędne jest przeanalizowanie danych o użytkownikach w taki sposób, aby możliwe stało się przewidywanie ich zachowań. Z profilowaniem można spotkać się przykładowo w czasie korzystania z programów lojalnościowych. Od chwili przystąpienia przez klienta do takiego programu zbierane są jego dane osobowe, takie jak np. płeć czy wiek. Następnie dokonywane przez niego wybory sprzedażowe pozwalają na tworzenie nowych strategii marketingowych, dostarczanie zindywidualizowanej reklamy czy też tworzenie ofert dostosowanych do upodobań określonych kategorii odbiorców. Na podobnej zasadzie działają m.in. pliki cookies3.

Zasadne jest podkreślenie, że w rozumieniu przepisów o ochronie danych osobowych (w tym rozporządzenia) pojęcie „dane osobowe” obejmuje dosyć szeroki katalog informacji o człowieku. Może zaliczać się do nich np. adres IP czy indywidualny numer telefonu komórkowego. Te informacje bowiem, w połączeniu z danymi zebranymi na potrzeby profilowania, takimi jak zainteresowania, wiek, płeć czy lokalizacja, mogą pozwolić na ustalenie, jakiej osoby dotyczą zebrane dane. W takiej sytuacji będziemy mieli do czynienia z danymi osobowymi, co prowadzi do konieczności stosowania przepisów rozporządzenia.

W art. 4 pkt 4 rozporządzenia pojęcie profilowania zostało zdefiniowane jako „dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystywaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”. W związku z tym termin „profilowanie” na gruncie rozporządzenia należy rozumieć jako rodzaj przetwarzania danych osobowych, które odbywa się automatycznie i służy ocenie czynników osobowych osoby fizycznej, w szczególności do analizy (profile jawne, tj. profile tworzone na podstawie danych osobowych przekazywanych w ramach świadczonej usługi przez osobę, której dane dotyczą) lub prognozy (profile predykcyjne, tj. profile tworzone na podstawie obserwacji indywidualnego i zbiorowego zachowania użytkowników, w szczególności poprzez śledzenie odwiedzanych stron czy reklam)4. Trzeba też pamiętać, że czynniki osobowe wymienione w powołanym przepisie mają jedynie charakter przykładowy. Należy wreszcie podkreślić, że w przypadku profilowania istotne znaczenie ma występowanie oceny danych osobowych. Nie musi ona występować w każdym przypadku zautomatyzowanego przetwarzania danych. Dlatego też nie każda czynność zautomatyzowanego przetwarzania danych będzie oznaczać profilowanie. Jako przykład można podać przypadek automatycznego rejestrowania czasu pracy, co stanowi czynność automatycznego przetwarzania danych, która profilowaniem stanie się tylko w przypadku, jeśli administrator danych osobowych (np. pracodawca) dokona oceny tych danych, np. w procesie przyznawania nagród pracowniczych5.

Prawo do niepodlegania decyzji opartej na profilowaniu

Jedną z najistotniejszych regulacji dotyczących profilowania zawartych w rozporządzeniu jest przepis art. 22. Zgodnie z jego ust. 1 osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Należy podkreślić, że w przepisie tym jest mowa wyłącznie o decyzji będącej skutkiem zautomatyzowanego profilowania, czyli takiej, której nie podjął człowiek.

Konieczne jest podkreślenie, że nie każdy przypadek profilowania będzie wiązał się z automatycznym podejmowaniem decyzji czy też istotnym wpływaniem na osobę, której dane dotyczą. Kwestią dyskusyjną jest uznanie, czy wyświetlanie reklamy behawioralnej stanowi wspomniane wyżej istotne wpływanie na osobę, której dane dotyczą. Grupa Robocza art. 29 (europejski organ doradczy w zakresie ochrony danych osobowych) w wytycznych z dnia 3 października 2017 r. dotyczących automatycznego podejmowania decyzji wskazała, że istotny wpływ na daną osobę nie wystąpi wtedy, kiedy kryteria wzięte pod uwagę w trakcie profilowania będą ogólne, np. dotyczące jedynie płci i lokalizacji (np. kobiety w Warszawie). Natomiast możliwe jest uznanie, że wyświetlanie reklam behawioralnych w Internecie może stanowić istotny wpływ na osobę w przypadku, w którym bierze się pod uwagę większą ilość danych6, jak chociażby lokalizację określoną na podstawie GPS, dotychczasową historię wyszukiwania w ramach przeglądarki internetowej czy istotną tematykę, która dotyczy osoby, np. reklamy stron związanych z hazardem online lub kredytów bankowych. Pojawiają się jednak głosy wskazujące na to, że samo wyświetlanie reklam behawioralnych nie jest istotnym wpływem na osobę, której dane dotyczą, a ewentualny wpływ aktualizuje się dopiero w momencie zawierania umowy z tą osobą, która decyduje się na zakup reklamowanego produktu lub usługi.

W przypadku uznania, że reklama behawioralna prowadziłaby do istotnego wpływu na osobę, do przetwarzania danych osobowych w tym zakresie konieczne byłoby uzyskanie zgody osoby, której dane dotyczą, z uwagi na treść przepisu art. 22 ust. 2 rozporządzenia. Zgoda taka musiałaby obejmować również kwestię przetwarzania ewentualnych danych szczególnej kategorii, takich jak dane biometryczne, wyznanie, orientacja seksualna czy stan zdrowia. Ponadto administrator byłby zmuszony do spełnienia dodatkowych wymagań odnoszących się do przetwarzania danych osobowych. Zgodnie bowiem z art. 22 ust. 3 rozporządzenia w przypadkach, o których mowa w punktach 1 i 3 powyżej, administrator wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji7. Należy wskazać, że ewentualna ocena przez człowieka, czy reklama behawioralna została wyświetlona zasadnie, może okazać się niemożliwa. Trudno mówić tutaj również o kwestionowaniu decyzji, która została podjęta na jej podstawie – ewentualny proces zakupowy związany z wyświetlaniem takiej reklamy leży bowiem po stronie osoby, której dane dotyczą.

Gdyby uznać, że wyświetlanie reklamy behawioralnej nie jest związane z istotnym wpływem na osobę, której dane dotyczą, możliwe jest również oparcie przetwarzania danych osobowych w tym zakresie na przepisie art. 6 ust. 1 lit) f rozporządzenia, który stanowi, że przetwarzanie danych osobowych jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. W takiej sytuacji administrator danych (tj. podmiot, który chce korzystać z reklam behawioralnych) jest zobowiązany do rozważenia, czy jego działania nie naruszą praw i wolności osób, których dane dotyczą, oraz tego, czy jego interesy są istotniejsze od interesów tych osób. Należy wskazać, że zadanie to może być utrudnione z uwagi na fakt szerokiego grona potencjalnych odbiorców, którzy podlegają profilowaniu w tym zakresie, co w praktyce uniemożliwia powołanie się na uzasadniony interes administratora danych w tym zakresie. Tym samym wydaje się, że większość operacji polegających na profilowaniu osób, których dane dotyczą, w celu wyświetlania im dedykowanych reklam powinno zostać oparte na wyraźnej zgodzie tych osób. Zgoda taka powinna być odebrana najpóźniej w momencie podania danych osobowych przez użytkownika. Przykładowo, jeżeli dany użytkownik wchodzi na stronę internetową, która zapisuje informacje o oglądanych przez niego produktach, a następnie wyświetla mu reklamy dotyczące podobnych produktów, zgoda powinna zostać odebrana w momencie wejścia takiego użytkownika na stronę internetową.

Obowiązek informacyjny

W przypadku zautomatyzowanego podejmowania decyzji, w tym w razie profilowania, na administratorze danych osobowych spoczywa dodatkowy obowiązek informacyjny przewidziany w art. 13 ust. 2 lit. f rozporządzenia. W takich sytuacjach administrator powinien podać osobie, której dane dotyczą, informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. Obowiązek informacyjny został nałożony na administratora danych osobowych również na mocy art. 14 ust. 2 lit. g rozporządzenia, tj. w sytuacji, gdy dane osobowe zostały pozyskane w inny sposób niż od osoby, której dotyczą.

Ponadto, na podstawie przepisu art. 15 ust. 1 lit. h rozporządzenia, osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy są przetwarzane dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotnych informacji o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Z uwagi na złożoność algorytmów przetwarzających dane osobowe do celów profilowania, automatycznego tworzenia modeli statystycznych oraz rozwijającej się sztucznej inteligencji należy zaznaczyć, że wskazanie na istotne zasady automatycznego podejmowania decyzji, opartego na profilowaniu, może być znacznie utrudnione dla potencjalnego administratora danych. Dlatego konieczne jest możliwie szczegółowe uwzględnianie, jakie kategorie danych zostaną wzięte pod uwagę w tym procesie, już na etapie planowania działań marketingowych.

Ocena skutków dla ochrony danych

Należy również wskazać, że w niektórych przypadkach profilowania rozporządzenie nakłada obowiązek dokonania oceny skutków dla ochrony danych. Zgodnie z Wytycznymi Grupy Roboczej art. 29 ocena skutków dla ochrony danych jest procesem, który pozwala opisać przetwarzanie w celu oceny jego konieczności i proporcjonalności, jak również mającym wspomóc zarządzanie ryzykiem naruszenia praw i wolności osób fizycznych wynikającym z przetwarzania danych osobowych poprzez ocenę ryzyka i określenie środków pozwalającym zaradzić tym czynnikom ryzyka8. W myśl art. 35 ust. 1 rozporządzenia, jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania ma obowiązek dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę. Ponadto w ust. 3 komentowanego przepisu wskazano, że ocena skutków dla ochrony danych jest obligatoryjna m.in. w przypadku systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną. Należy jednak podkreślić, że regulacja ta dotyczy tylko takiego zautomatyzowanego przetwarzania, które jednocześnie polega na regularnej i całościowej ocenie czynników osobowych, jak i stanowi podstawy wydawania decyzji wywierających określony wpływ na osobę fizyczną. W przypadku braku spełnienia chociażby jednej z tych przesłanek konieczność dokonania oceny skutków dla ochrony danych należy oceniać na podstawie ust. 1 powołanego przepisu.

Rozporządzenie a reklama behawioralna

Biorąc pod uwagę powyższe rozważania, należy stwierdzić, że przepisy zawarte w rozporządzeniu nie wprowadzają zakazu reklamy behawioralnej, lecz raczej mają na celu zapewnienie większego bezpieczeństwa osób fizycznych, których dane są przetwarzane, zwłaszcza w celach marketingowych. Po wejściu w życie nowych regulacji administratorzy będą musieli spełnić nowe obowiązki, aby zapewnić zgodność z prawem prowadzonych przez siebie czynności, jak również wdrożyć nowe procedury zapewniające osobom fizycznym możliwość wykonywania swych praw. W efekcie świadomość użytkowników dotycząca tego, że są śledzeni na potrzeby wyświetlania im dedykowanych ofert i jakie mają w tym zakresie uprawnienia, powinna stale rosnąć.

 

Michał Nosowski

radca prawny, specjalista z obszaru prawa nowych technologii oraz ochrony danych osobowych www.wsroddanych.pl

 

Artykuł pochodzi z Biuletynu Euro Info 4 (181) 2018



[1] M. Namysłowska (red.), Reklama. Aspekty prawne, Warszawa 2012.

[2] Opinia 2/2010 w sprawie internetowej reklamy behawioralnej przyjęta dnia 22 czerwca 2010 r. przez Grupę Roboczą ds. ochrony danych powołaną na mocy art. 29.

[3] J. Niklas, Profilowanie w kontekście ochrony danych osobowych i zakazu dyskryminacji. Opinia dla Polskiego Towarzystwa Prawa Antydyskryminacyjnego,

http://ptpa.org.pl/site/assets/files/publikacje/opinie/Opinia_profilowanie_w_kontekscie_ochrony_danych_osobowych_i_zakazu_dyskryminacji.pdf. (data dostępu: 7 maja 2018 r.)

[4] P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, Warszawa 2018.

[5] E. Bielak-Jomaa (red.), D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Warszawa 2018.

[6] Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, Article 29 Data Protection Working Party, 2017.

[7] E. Bielak-Jomaa (red.), D. Lubasz (red.), RODO...

[8] Wytyczne dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679, przyjęte w dniu 4 kwietnia 2017 r. (ostatnio zmienione i przyjęte w dniu 4 października 2017 r.) przez Grupę Roboczą ds. ochrony danych powołaną na mocy art. 29.