Personalizowane reklamy, rekomendacje produktów dopasowane do naszych preferencji, powiadomienia o porzuconym koszyku – te podstawowe dziś elementy zakupów online mogą wkrótce wymagać gruntownego audytu w zakresie podstawy prawnej, na której mogą się opierać. Wszystko za sprawą projektu Wytycznych 1/2024, który Europejska Rada Ochrony Danych (EROD) przyjęła 8 października 2024 r.
Wytyczne dotyczą możliwości korzystania z podstawie prawnej, jaką jest prawnie uzasadniony interes administratora.
I choć dokument stanowi aktualizację i rozszerzenie wcześniejszej Opinii 6/2014 w sprawie pojęcia prawnie uzasadnionych interesów administratora danych na mocy artykułu 7 dyrektywy 95/46/WE, dostosowując ją do wymogów RODO – podejście EROD zelektryzowało branżę e-commerce.
„Niektóre praktyki marketingowe mogą zostać uznane za inwazyjne z perspektywy osoby, której dane dotyczą, szczególnie jeśli opierają się na rozległym przetwarzaniu potencjalnie nieograniczonych danych” – czytamy w wytycznych EROD. Rada szczególnie krytycznie odnosi się do „inwazyjnego profilowania i praktyk śledzenia do celów marketingowych, na przykład tych, które obejmują śledzenie osób na wielu stronach internetowych, w różnych lokalizacjach, na różnych urządzeniach czy usługach.”
Kontrowersje dla branży e-commerce.
W konsultacjach społecznych pojawiły się liczne głosy krytyczne wobec tak ogólnego podejścia wobec problematyki śledzenia zachowań użytkowników. „Problematyczne jest zrównywanie ze sobą różnych form śledzenia” – wskazują eksperci branżowi. „O ile rzeczywiście może zaskoczyć użytkowników fakt, że niezwiązane ze sobą strony wymieniają informacje o ich śledzeniu, o tyle korzystanie z tej samej usługi z różnych urządzeń czy lokalizacji, albo analiza powiązanych ze sobą usług, jest czymś, czego użytkownicy mogą się racjonalnie spodziewać.”
EROD sugeruje, że bardziej akceptowalne są „mniej inwazyjne metody”, jak wysyłanie tej samej komunikacji handlowej do wszystkich klientów, którzy już kupili podobne produkty.
To podejście również spotkało się z krytyką branży: „Wszyscy wiemy, że ostatnią rzeczą, jakiej potrzebuję zaraz po zakupie nowej kurtki zimowej, jest… kolejna kurtka zimowa. Ta superarchaiczna rekomendacja powinna zostać zastąpiona bardziej realistycznymi przykładami.”
Pomijane korzyści
W odpowiedziach konsultacyjnych podkreślano, że EROD zdaje się pomijać liczne korzyści płynące z odpowiedzialnej personalizacji:
- wykrywanie oszustw i zwiększanie bezpieczeństwa;
- lepsze dopasowanie produktów, w tym rozmiarów;
- usprawnienie obsługi klienta;
- optymalizacja procesów zakupowych;
- redukcja wpływu na środowisko poprzez trafniejsze rekomendacje.
Szczególne kontrowersje wzbudza podejście EROD do „uzasadnionych oczekiwań” użytkowników. Według wytycznych sam fakt, że pewne rodzaje danych są powszechnie przetwarzane w danym sektorze, nie oznacza automatycznie, że osoba, której dane dotyczą, może racjonalnie tego oczekiwać.
„To nas nie przekonuje” – odpowiadają eksperci, którzy brali udział w konsultacjach. „Jest oczywistym, że powszechna praktyka w konkretnym sektorze biznesowym, znana klientom, wpłynie na ich oczekiwania. Co więcej, jest to proces dynamiczny – operacje przetwarzania danych, które mogły być mało znane w 2018 roku, mogą być obecnie dobrze znane i oczekiwane przez klientów”.
Pominięta kwestia AI
Istotnym mankamentem wytycznych jest całkowite pominięcie kwestii wykorzystania danych do trenowania sztucznej inteligencji. W konsultacjach podkreślano, że jakościowe trenowanie AI wymaga znaczących ilości danych, a ich wykorzystanie służy nie tylko celom komercyjnym, ale także szerszym korzyściom społecznym – od rozwoju innowacji AI po ułatwienie dostępu do informacji.
Co dalej?
Dla wytycznych zakończył się etap konsultacji społecznych. Branża e-commerce z niepokojem oczekuje finalnego kształtu dokumentu. Niezależnie od powyższego, jedno jest pewne – firmy będą musiały położyć jeszcze większy nacisk na dokładne dokumentowanie testów równowagi. EROD wskazuje, że w proces ten powinien być zaangażowany Inspektor Ochrony Danych (IOD), jeśli został wyznaczony. Tu jednak pojawiają się kolejne kontrowersje. W zastrzeżeniach do wytycznych, zgłaszanych w procesie konsultacji społecznych wskazano, że sam wymóg zaangażowania Inspektora Ochrony Danych w proces przeprowadzania i dokumentowania testu równowagi „nie ma podstawy prawnej w RODO”. Organizacje branżowe argumentują, że EROD nie może nakładać takiego obowiązku, skoro nie wynika on wprost z przepisów RODO.
Jednocześnie autorzy zastrzeżeń nie kwestionują potencjalnej wartości udziału IOD w tym procesie. Wskazują jednak, że jego rola powinna być analogiczna do tej, jaką pełni przy ocenie skutków dla ochrony danych (DPIA). Mogłaby więc obejmować:
- doradztwo w zakresie przeprowadzania testu;
- przygotowanie metodologii, szablonów i list kontrolnych;
- szkolenie w zakresie przeprowadzania testu;
- rekomendowanie środków niwelujących ryzyko;
- ocenę poprawności testu i jego wyników.
Branża e-commerce stoi więc przed podwójnym wyzwaniem – z jednej strony musi znaleźć równowagę między personalizacją a prywatnością, z drugiej zaś – wypracować skuteczne mechanizmy dokumentowania swojego podejścia do ochrony prywatności.
Źródła cytowanych fragmentów:
- Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPR, Version 1.0, Adopted on 8 October 2024 – punkty 120, 57
- ODO 24 sp. z o.o. -dot. śledzenia użytkowników
- Kobylańska Lewoszewski Mednis Sp.j.- dot. marketingu bezpośredniego
- Konfederacja Lewiatan – dot. dokumentacji i roli IOD
- Izba Gospodarki Elektronicznej – dot. przykładów pozytywnych skutków personalizacji
[Uwaga redakcyjna: cytowane fragmenty zostały przetłumaczone z języka angielskiego na polski przez autora artykułu]
