Na prawo od RODO. Czyli prawa i obowiązki każdego e-commerce.

RODO od wejścia w życie kształtuje funkcjonowanie szeroko pojętej branży IT w niespotykany dotychczas sposób – nakładane przez kolejne organy nadzoru kary dyscyplinują kolejne podmioty przetwarzające dane osobowe. Świadomość społeczna, jeszcze przed paru laty niewielka, rośnie, czego przykładem może być coraz większy niepokój związany z utratą kontroli nad własnymi danymi.

Działalność organu nadzoru i kampanie społeczne powodują, że wynikające z przepisów RODO regulacje z dnia na dzień stają się nieodłącznym elementem rzeczywistości. Warto więc pochylić się nad skutkami tej zmiany dla e-commerce.

Nieudane wejście odsłony Facebooka na rynek europejski

Pierwsze zapowiedzi Facebook Dating – randkowej odsłony portalu społecznościowego – pojawiły się na jednej z konferencji w maju 2018 roku. Począwszy od sierpnia 2018 roku portal był konsekwentnie udostępniany w kolejnych krajach, by we wrześniu 2019 roku wystartować – nie bez pewnych problemów – w Stanach Zjednoczonych. Produkt, przez wielu uznawany za próbę odzyskania przez Facebooka uwagi młodszych użytkowników, miał zostać uruchomiony w krajach członkowskich Unii Europejskiej 14 lutego 2020 roku, co – jak się zdaje – było świetną z marketingowego punktu widzenia datą.

13 lutego przedstawiciele europejskiego oddziału Facebooka poinformowali jednak branżowe media o bezterminowym odroczeniu premiery randkowej funkcjonalności. Przyczyną były zastrzeżenia przedstawiane przez Irlandzką Komisję Danych (Data Protection Commission) , czyli organ nadzorujący zgodność przetwarzania danych. Co istotne zaś, nie było formalnego zakazu uruchomienia nowej podstrony, a jedynie wyrażenie zdziwienia o braku wcześniejszej notyfikacji o planowanej premierze (w myśl przepisów samego RODO – nieobowiązkowej) i rozpoczęcie związanych z tym działań kontrolnych.  Choć więc – jak podkreślają sami przedstawiciele portalu – Facebook nie miał obowiązku ani informować organów o planowanej premierze, ani też odraczać europejskiego startu swojego produktu, mieszkańcy Unii Europejskiej nie mogli spędzić walentynek w towarzystwie Facebook Dating. Nie trudno przypuszczać, że Facebook – z pewnością będący pod pilnym nadzorem irlandzkiej komisji – nie wstrzymał premiery po prostu z dobrej woli, a z obawy przed ewentualnymi dalszymi kontrolami i wydanymi w ich efekcie decyzjami. W podobny sposób należy oceniać interwencję Europejskiej Rady Ochrony Danych, która wyraziła zaniepokojenie nabyciem Fitbit przez Google i związanym z tym transferem danych dotyczących aktywności fizycznej i zdrowia, które Google mogłoby wykorzystać dla celów reklamowych. Na takie stanowisko Rady Google zareagowało, oświadczając, iż nabyte w ramach przejęcia dane nie zostaną włączone do baz wykorzystywanych marketingowo, deklarując jednocześnie pełną współpracę z europejskimi regulatorami.

Nowa rola organów nadzorujących

Z powyższych przypadków wynika pewna prawidłowość – rola funkcjonujących na gruncie przepisów RODO organów nadzoru (a więc też i polskiego Prezesa Urzędu Ochrony Danych Osobowych) ulega zmianie. Odchodzi się od dotychczasowego postrzegania ich jako organów ścigania, karzących podmioty przetwarzające dane za naruszenia prawa. W świecie nowych przepisów dotyczących przetwarzania danych osobowych organy nadzoru stają się w znacznej mierze regulatorami, wyznaczającymi dobre praktyki (choć wciąż pod groźbą potężnych kar finansowych), jednak przy jednoczesnym dążeniu do ich wdrażania metodami mniej formalnymi – konsultacjami z przedsiębiorcami czy akcjami informacyjnymi.

Jakie wnioski z tej zmiany modelu działania powinna wynieść branża e-commerce czy szerzej: ogół IT, w jakikolwiek sposób związany z przetwarzaniem danych osobowych? Przede wszystkim na dane osobowe należy patrzeć nie tylko z punktu widzenia ich bezpieczeństwa. Choć techniczne czy organizacyjne środki uniemożliwiające wyciek i utratę danych są obecnie koniecznością, równie istotna wydaje się być jasna komunikacja dotycząca zakresu czy metod ich przetwarzania, na co zwracają uwagę organy nadzoru.

RODO a nowe technologie

Wprowadzona do wspólnotowego porządku prawnego przepisami RODO zasada privacy by design, nakładająca na administratorów danych obowiązek uwzględnienia ochrony informacji na każdym etapie tworzenia i istnienia platform, które służą do ich przetwarzania, powinna tym samym być rozumiana też poza kontekstem szyfrowanych połączeń czy zabezpieczeń serwerów. Zgodność z przepisami regulującymi przetwarzanie danych zapewnić może bowiem tylko kompleksowe myślenie o zasadach ich przetwarzania na każdym etapie funkcjonowania w/w.  Dlatego też należy pamiętać o kompleksowym informowaniu każdej osoby, której dane zamierzamy przetwarzać, o tym, w jaki sposób i dla jakich celów rzeczone będą wykorzystywane. Należy rozważyć te możliwości już na etapie gromadzenia danych, informując klientów choćby o tym, że ich dane pozwolimy sobie również wykorzystać, by informować ich o planowanych promocjach, że przetwarzać je będziemy w ramach grupy kapitałowej czy z użyciem podmiotów trzecich (co czyni niemal każdy z nas – kto bowiem w dzisiejszych czasach nie korzysta z serwera w chmurze czy maila od zewnętrznego dostawcy). Pozwoli nam to na swobodne realizowanie naszych celów, nieskrępowane ograniczeniami, jakie nakłada błędna realizacja tzw. obowiązku informacyjnego. 

Pozostając przy temacie wyjaśniania zasad przetwarzania, pamiętajmy też, by informacje takie dostosować do odbiorcy – wielostronicowe polityki prywatności, zapisane językiem trudnym do zrozumienia, często są koniecznością, ale równie istotne, co zabezpieczenie interesów administratora, powinno być dążenie do rzeczywistego wyjaśnienia sposobu przetwarzania danych odbiorcy takiego tekstu. 

Świadomość społeczna vs RODO

Działanie takie wydaje się być przy tym nie tylko koniecznością w świetle przepisów prawa, ale też praktyką budującą zaufanie wśród odbiorców. W badaniach przeprowadzonych w marcu ubiegłego roku przez Kantar na zlecenie Komisji Europejskiej 30% respondentów z krajów wspólnotowych stwierdziło bowiem, iż powierzając dane za pośrednictwem Internetu, tracą nad nimi całkowitą kontrolę, 51% zaś przyznało, że w sytuacji takiej kontrolę tę tracą w części. Choć problem ten wydaje się mniej dostrzegalny w Polsce (gdzie 15% osób twierdzi, iż traci nad danymi całkowitą kontrolę, 52% przyznało się zaś do utraty kontroli częściowej), w bliskich nam gospodarczo Niemczech przekonanie o pełnej kontroli nad danymi wyraziło wyłącznie 6% osób (odpowiednio 40% i 45% uznało, iż nad danymi nie panują w całości bądź w części). Brak kompletnej kontroli nad powierzonymi danymi niepokoi łącznie 62% respondentów w krajach wspólnotowych (16% określiło się jako bardzo zaniepokojeni, 46% zaś – jako dość zaniepokojeni (fairly concerned)). Pomimo większej niż przeciętna pewności, co do kontroli nad własnymi danymi, perspektywa utraty rzeczonej jest wizją niepokojącą dla aż 54% naszych rodaków (w zestawieniu z, na przykład, 73% Brytyjczyków czy – rekordowo – 81% Cypryjczyków).  Wniosek wydaje się być więc jednoznaczny – świadomość społeczna podążą za zmianami w prawie (i ich zaskakująco w tym przypadku szerokim omówieniem w mediach), a potencjalni odbiorcy wydają się coraz bardziej zwracać uwagę na to, co dzieje się z ich danymi po rejestracji, zakupie czy subskrypcji. 

Wejście w życie RODO zmusza tym samym e-commerce do przystosowania się do nowej rzeczywistości ze wszystkich stron. Organy państwowe czy wspólnotowe z jednej strony starają się występować w coraz bardziej partnerski i otwarty sposób, skupiając się na popularyzowaniu dobrych praktyk, z drugiej zaś dostały narzędzia pozwalające na skuteczne (i nierzadko dotkliwe w swoich skutkach) egzekwowanie ich realizacji. Zmianę nastawienia prezentują też sami szeroko pojęci klienci, którzy – śledząc kolejne informacje o sprzedaży czy wyciekach danych – zwracają coraz częściej uwagę na to, kto i w jaki sposób będzie korzystał z informacji pozwalających na ich identyfikację. Dostosowanie się do tak powstających trendów wydaje się być jedynym słusznym rozwiązaniem.