You are currently viewing Profilowanie danych : największe zagrożenie dla współczesnego Internauty?

Profilowanie danych : największe zagrożenie dla współczesnego Internauty?

    „Sztuczna inteligencja jest faktem, już z niej korzystamy, dokonując subiektywnych wyborów. Lecz skomplikowany sposób rozwoju sztucznej inteligencji sprawia, że trudno ją zrozumieć i kontrolować. Jak powiedziała Zeynep Tufekci, socjolog technologii „(…) to nie jest pytanie o legalność, to coś bardziej problematycznego – całkowicie naturalna konsekwencja modelu biznesowego, która polega na przyciąganiu uwagi ludzi, by poddawać ich inwigilacji na dotychczas niespotykaną skalę (..) a naszym zadaniem jest to aby nie zrzucać odpowiedzialności na maszyny. Musimy coraz mocniej trzymać się ludzkich wartości i etyki”. Dzisiaj temat profilowania, a w załączeniu artykuł autorstwa Kacpra Raduckiego, który będzie bazą naszych kolejno ukazujących się tematów w ramach akcji prowadzonej przez naszą Kancelarię.”

 

Profilowanie danych :

największe zagrożenie dla współczesnego Internauty?

    Chyba każdy użytkownik Internetu miał do czynienia z uporczywymi reklamami lub sugerowanymi treściami, które pojawiają się znikąd i zasłaniają nam treści na których nam naprawdę zależy. Takie działanie reklamodawcy ma swoją nazwę, a mianowicie chodzi o „profilowanie”. Profilowanie nie jest jednak przypadkowym wyświetleniem reklamy, która puszczona w eter ma natrafić na przypadkowego odbiorcę, w celu skuszenia go do skorzystania z usługi, którą ze sobą niesie, tak jak ma to miejsce np. w przypadku reklam w telewizji. Tutaj sytuacja przedstawia się zupełnie odwrotnie, co moim zdaniem niesie ze sobą przerażające skutki i wnioski, że cały czas jesteśmy inwigilowani, śledzeni i podsłuchiwani.

    W tym artykule nie skupię się jednak nad sposobami ochrony przed profilowaniem, gdyż jest to zbyt rozległy temat. Ta praca zostanie poświęcona rozważaniom na temat definicji profilowania, skąd się bierze i czy naprawdę jest takim zagrożeniem, na jakie wygląda? Niech to będzie podstawa pod dalsze, bardziej szczegółowe rozważania.

1. Definicja legalna profilowania danych osobowych.

    Należy to głośno podkreślić, że do momentu wejścia w życie rozporządzenia Parlamentu Europejskiego I Rady (UE) RODO w Polsce nie istniały żadne szczegółowe regulacje dotyczące profilowania danych. To właśnie RODO w art. 4 pkt 4 wprowadziło obowiązującą w całej Unii Europejskiej definicję legalną profilowania, która brzmi:

„profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania

danych osobowych, które polega na wykorzystaniu danych osobowych do oceny

niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub

prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji

ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności,

zachowania, lokalizacji lub przemieszczania się”.

    W uproszczeniu chodzi o zbieranie wszelkich dostępnych informacji o użytkowniku, będącym osobą fizyczną, a następnie na tworzeniu jego tzw. „profilu”, czyli zbiorze jego preferencji, gustów, dokonanych wyborów handlowych, czy nawet danych dla niego wrażliwych. Przy użyciu współczesnej technologii nietrudno utworzyć tak dokładny profil człowieka, aby móc przewidzieć, jakich wyborów dokona w przyszłości. To właśnie czyni profilowanie bardzo niebezpieczną, ale i upragnioną przez każdego przedsiębiorcę bronią, która pozwala na spersonalizowanie całej sieci reklamowej, wymierzonej w jednego konkretnego człowieka.

    Najprostszym przykładem profilowania może być gromadzenie oraz analizowanie danych klienta takich jak jego wiek, płeć, data urodzenia, miejsce zamieszkania, zainteresowania, zachowanie na stronie internetowej czy ostatnio dokonane zakupy. Zebranie takich danych daje dużą szansę za zainteresowanie go następną, przygotowaną specjalnie pod niego ofertą.

    Najdalej idącym profilowaniem danych może być przykład tworzenia profilów bankowych lub opierających się na informacjach dotyczących stanu zdrowia, co samo w sobie jest nielegalne i penalizowane przez wszystkie systemy prawne Europy.

2. Kiedy profilowanie jest legalne?

    Prawdą jest, że profilowanie danych osobowych może, i bardzo często jest legalne i w pełni zgodne z prawem. Bez względu jednak na to, jak bardzo zaawansowane metody profilowania byłyby wykorzystywane w handlu elektronicznym, użytkownik za każdym razem musi być ich świadom, a więc na właścicielu sklepu internetowego (administratorze danych osobowych) ciąży pełny obowiązek informacyjny o profilowaniu. Użytkownik strony internetowej musi mieć za to możliwość wyrażenia dobrowolnej zgody na ten proces, która jest warunkiem sine qua non całej operacji profilowania.

    To właśnie zgoda osoby fizycznej jest tutaj kluczem do legalizacji przetwarzania danych osobowych. Definicję zgody można znaleźć w rozporządzeniu RODO, które stanowi, iż:

„zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i

jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie

oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na

przetwarzanie dotyczących jej danych osobowych.

    Oznacza to, że jedyną możliwą drogą wyrażenia zgody podczas korzystania z Internetu jest wyrażenie świadomej zgody na przetwarzanie danych osobowych w formie pisemnej. Zgoda musi zawierać w sobie cały szereg informacji, o których administrator danych osobowych ma obowiązek poinformować użytkownika jeszcze przed rozpoczęciem przetwarzania. Te informacje to:

  • Tożsamość i dane kontaktowe administratora danych osobowych
  • Cel/cele przetwarzania danych osobowych oraz ich podstawę prawną.
  • Informacje o odbiorcach danych osobowych lub o kategorii osób trzecich, które mają styczność z danymi osoby wyrażającej zgodę.
  • Informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej.

    Kiedy przetwarzanie danych już trwa, administrator ma obowiązek przekazywania użytkownikowi informacji o:

  • Okresie przechowywania danych osobowych.
  • Prawie do żądania od administratora dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych.
  • Prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
  • Prawie wniesienia skargi do organu nadzorczego.
  • tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.
  • Profilowaniu, głównie o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

    Tak więc profilowanie danych osobowych może być legalne, jednakże warunkiem tego jest świadoma i dobrowolna zgoda osoby, która ma zostać poddana takiemu zabiegowi.

    Rozporządzenie RODO w art. 22 przedstawia jeszcze inne warunki, które muszą zostać spełnione, aby operacja profilowania stała się legalna, a są to:

  • Przypadki, w których dane osobowe są niezbędne do zawarcia umowy między osobą, której dane dotyczą, a administratorem danych osobowych, oraz
  • Wymogi, aby regulacje dotyczące profilowania danych osobowych były dozwolone prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator.

3. Pułapki podczas wyrażania zgody.

    Tak jak już wcześniej wspomniałem, podstawą każdego przetwarzania danych osobowych oraz procesu profilowania powinna być dobrowolna i świadoma zgoda osoby, której dane dotyczą. Stanowi o tym wprost art. 6 ust. 1 (w przypadku zwykłych danych) oraz art. 9 ust. 1 RODO (w przypadku przetwarzania szczególnych kategorii danych osobowych).

    Zgodę wyrażamy najczęściej przy pierwszej aktywności na danej stronie internetowej, ale w praktyce zakładka z regulaminem i polityką prywatności firmy (wraz z wykorzystaniem plików cookies) jest ukryta i słabo widoczna, a użytkownik może albo szukać ich na własną rękę, albo szybko kliknąć w duży i widoczny znak akceptacji regulaminów. Takie działanie stanowi najpoważniejszą pułapkę, gdyż użytkownicy Internetu zwyczajnie nie czytają przepisów, które dobrowolnie akceptują.

    Ta zła i szkodliwa praktyka musi zniknąć, jeżeli chcemy świadomie unikać zagrożeń płynących z przetwarzania danych, które jest zgodne z literą prawa.

    Drugą pułapką, na której rozwiązanie możemy mieć realny wpływ, jest to, aby informować użytkowników stron internetowych o ich prawach, a co za tym idzie o prawie do zaprzestania przetwarzania danych, do zaprzestania automatycznemu przetwarzania danych czego skutkiem jest podejmowanie decyzji (wynik profilowania), a także o prawie do usunięcia z bazy danych administratora danych osobowych wszystkich informacji o osobie, która złoży takie żądanie. Mamy do tego pełne prawo i nie musimy tego w żaden sposób uzasadniać.

    Ostatnim moim zdaniem najważniejszym błędem podejmowanym przez administratora danych osobowych w trakcie wyrażania zgody na przetwarzanie danych osobowych jest brak poinformowania użytkownika o odpowiednich zabezpieczeniach, które gwarantują ochronę praw i wolności osoby, której dane są poddawane przetwarzaniu. To ważne, gdyż bez spełnienia tego warunku, czyli poinformowaniu i zapewnieniu odpowiedniej ochrony danych, takie profilowanie jest niezgodne z prawem!

4. Komu naprawdę jest potrzebne profilowanie?

    Profilowanie, mimo, że jak wspomniałem wcześniej, często legalne i pożądane przez przedsiębiorców, posiada również swoją „mroczniejszą” stronę. Badania nad ochroną danych osobowych w Internecie wykazują jednoznacznie, że pełnie władzy nad profilowaniem i przetwarzaniem danych ma tylko kilka największych światowych firm, takich jak Google, czy Facebook. Ich liczba w stosunku do wszystkich platform na świecie jest mniejsza niż 1%.

    Niestety prawda jest taka, że my jako współcześni ludzie, powierzający Internetowi wszystkie nasze sprawy i przyjemności, potrzebujemy takich wyszukiwarek i portali społecznościowych. Stały się one częścią naszego życia, tak samo jak telefony czy prasa. Potrzebujemy ich. Problem pojawia się wówczas, kiedy te serwisy wykorzystują nas i nie zważają na legalne ścieżki przetwarzania danych, często z powodu wydłużonego czasu działania lub wykorzystując niewiedzę potencjalnej ofiary. Poza tym dane zbierane od nieświadomej tego osoby są prawdziwsze i naturalniejsze, przez co wyniki ich analizowania bardziej odpowiadają potrzebom współczesnego rynku.

    Cele, do których giganci światowego biznesu wykorzystują nasze dane, też nie zawsze są do końca zgodne z prawem. Chodzi tutaj np. o zbieranie informacji dotyczących preferencji wyborczych, rozwoju chorób cywilizacyjnych, a także o rozwój społeczeństwa informacyjnego. Wszystko co jest nastawione na zysk jest poddawane analizie, a dane są zbierane nie tylko od nas samych i tylko z jednego źródła, ale od wszystkich, z kim mamy kontakt i z każdego możliwego źródła.

    Zdaniem Edwarda Snowdena, człowieka, który sześć lat temu ujawnił program masowej inwigilacji Agencji Bezpieczeństwa Narodowego (NSA): „pogłębiające się podziały społeczne na całym świecie i fala autorytaryzmu, która przelewa się przez wiele krajów, najlepiej świadczą o tym, że wszędzie politycy i przedsiębiorcy zrozumieli, jak wykorzystać technologie, by wpływać na wydarzenia na świecie”.

    Moim zdaniem największą przyczyną takiej skali zagrożeń nie są sami użytkownicy. Dane osobowe były i będą wykradane bez względu na to, jak bardzo będziemy starali się je ukrywać. Prawdziwym problemem jest zwyczajny brak konkurencji i godnych przeciwników dla światowych platform, o których wspomniałem wyżej. Dzisiaj firmy z różnych grup biznesowych współpracują ze sobą, nie dopuszczając do głosu mniejszej konkurencji, a my przez to nie mamy żadnego wyboru i akceptujemy ich warunki, aby móc z nich korzystać. To jest prawdziwa tragedia, na którą ponownie mamy wręcz znikomy wpływ, gdyż kto raz posiadł taką władzę, dobrowolnie się jej nie wyrzeknie.

5. Podsumowanie.

    Osobiście uważam, że pomimo rozwiązań technologicznych i prac legislacyjnych, problem wykorzystywania naszych danych osobowych w Internecie nie zniknie i nie zmaleje. W tym artykule podałem dowody na to, że takie czynności na profilowanie mogą bez żadnych problemów odbywać się legalnie i za naszym cichym przyzwoleniem.

    Dlatego aby móc coś zrobić z tym zagrożeniem, powinniśmy przede wszystkim zacząć rozsądnie podchodzić do problemów związanych ze światem Internetu, a najlepszym do tego początkiem, będzie czytanie ze zrozumieniem wszystkich regulaminów i zgód, co postaram się rozjaśnić w kolejnym artykule.

    Na koniec chciałbym przytoczyć słowa wyżej cytowanego Edwarda Snowdena który uważa, że „należy położyć kres masowemu gromadzeniu danych zarówno przez służby, jak i koncerny, jak Facebook czy Google. Pierwszym krokiem powinno być uświadomienie każdemu użytkownikowi smartfona, że jest śledzony na każdym kroku”. Jego słowa są prawdziwe i każdy powinien sam sobie odpowiedzieć, czy naprawdę chcemy żyć w takiej rzeczywistości.

Dziękuję za poświęcony czas!

Kacper Raducki, Aplikant Adwokacki

Bibliografia:

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO)

https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights/can-i-be-subject automated individual decision making including profiling_pl?pk_source=google_ads&pk_medium=paid&pk_campaign=gdr2019

http://next.gazeta.pl/next/7,168930,25192549,edward-snowden-to-nie-trump-jest-problemem-on-jest-produktem.html