RODO: Zadbaj o prywatność

Według doniesień branżowego serwisu Wirtualne Media początek stosowania unijnego Rozporządzenia o ochronie danych osobowych w praktyce przełożył się na spadki zysków z tytułu wyświetlania reklam przygotowywanych pod kątem indywidualnego użytkownika. W zależności od firmy wynosiły one od kilkunastu do nawet czterdziestu procent. Co tu dużo mówić: unijna ochrona danych osobowych spowodowała wśród reklamiarzy trzęsienie ziemi.

Obecność użytkownika to dla portali okazja do zdobycia szczegółowych danych na jego temat. Informacje te można podzielić na dwie grupy. Do pierwszej zalicza się dobrowolnie udostępnione przez użytkownika. Logując się na witrynie, dzielimy się np. swoim adresem e-mail, często też podajemy płeć, datę urodzenia, miejsce zamieszkania, a czasami nawet określamy swój status materialny, przykładowo pisząc w profilu na specjalistycznym portalu technicznym o posiadanym w domu sprzęcie RTV i AGD.

Drugą grupę stanowią ślady, jakie pozostawiamy za sobą zupełnie przy okazji, przez sam fakt odwiedzin i korzystania z usług na danym portalu. To przede wszystkim adres IP, ale i bardziej szczegółowe dane: spis odwiedzonych stron w ramach portalu, dokładna godzina odwiedzin wraz z czasem przebywania na określonej witrynie i zapis klików. Portal rejestruje również wszelkie dane obrazujące sposób, w jaki korzystamy z usług – czyli w praktyce np. historię zakupów, wyszukiwania, nawet rozmów, jeśli te były prowadzone przez wbudowany w witrynę czat czy nieszyfrowany komunikator.

Wszystkie te dane mogą być dodatkowo przetwarzane i udostępniane partnerom danego serwisu. W praktyce są to sieci reklamowe, które w sposób zautomatyzowany agregują informacje napływające z wielu źródeł. Takie działanie służy do zbudowania spójnego i bogatego cyfrowego profilu osoby korzystającej z określonej usługi. To z kolei pozwala np. wyświetlać reklamy produktów, które są w obszarze zainteresowania użytkownika, a co za tym idzie – podnosić ich skuteczność. Na rynku reklamowym jest to cenna rzecz: komunikaty, które przekierowują ruch do sklepów i w rzeczywisty sposób podnoszą odsłony lub sprzedaż, są warte o wiele więcej niż tego typu komunikaty „poszukujące” odbiorców na oślep. Nic dziwnego, że portale bronią się, jak tylko mogą, przed ograniczaniem pozyskiwania danych na temat ich użytkowników.

Regulacje RODO stanowią, że portal, by móc zbierać i przetwarzać dane osobowe, musi najpierw uzyskać zgodę użytkownika na te czynności. Zgoda musi być dobrowolna, świadoma i jednoznaczna. Ponadto brak wyrażenia zgody nie może zakłócać funkcjonowania serwisu – nie może więc mieć miejsca uzależnienie świadczenia usługi od wyrażenia zgody (chyba że jest to potrzebne do zrealizowania świadczeń). Sama zgoda może jednak zostać wyrażona w dowolny sposób: przez zaznaczenie odpowiedniego pola, dyspozycję ustną, mailową lub pisemną. Co ważne jednak – wycofanie zgody powinno być tak samo łatwe jak jej wyrażenie. Tyle teorii. Praktyka zaś wygląda różnie w zależności od portalu, na ogół jednak polskie witryny – przynajmniej w naszej ocenie – nie działają zgodnie z wytycznymi RODO i dobrymi praktykami, często naginając przepisy w imię pozyskiwania danych. Na co więc trzeba uważać?

Odwiedzając daną witrynę po raz pierwszy, jesteśmy na ogół witani oknem z informacją o gromadzeniu i przetwarzaniu danych. Coraz powszechniejszą praktyką jest to, że już samo zamknięcie takiego okna poprzez kliknięcie przycisku X oznacza zgodę na śledzenie użytkownika. Taki sposób potwierdzenia zgody wprowadziły m.in. Agora i Interia. By wycofać zgody na gromadzenie i przetwarzanie danych, należy w przeważającej liczbie przypadków wgryźć się w treść komunikatu i spróbować odnaleźć odpowiednie okno z ustawieniami.

Czasami dostęp jest łatwy i wystarczy kliknąć na duży przycisk Ustawienia zaawansowane – jak w przypadku portalu WP.pl. Niekiedy jednak interesujące nas ustawienia są ukryte pod linkiem opisanym np. jako Polityka prywatności. Tak robi Interia, w przypadku której – by cofnąć zgodę – musimy przewinąć do końca bardzo długą listę zasad i zaufanych partnerów, kliknąć ostatnią na liście opcję wszystkie serwisy, a następnie potwierdzić wybór w wyskakującym oknie – również po jego uprzednim przewinięciu. To dość skomplikowana operacja dla osób mniej dociekliwych lub nieobeznanych w internecie i równocześnie smutna norma w polskiej sieci. Wielu użytkowników zapewne więc „dla świętego spokoju” pozwoli serwisom śledzić swoje zachowanie w internecie.

Jeśli podczas surfowania w sieci uznamy, że odwiedzany przez nas portal narusza regulacje RODO, możemy podjąć działanie. Jak wyjaśnia PC Formatowi dr Maciej Kawecki: RODO znajduje zastosowanie w przypadku przetwarzania danych osobowych osób przebywających na terenie Unii, których te dane dotyczą. W przypadku wszelkich naruszeń osoby takie mogą kierować skargi do właściwych organów nadzorczych. Jeżeli okaże się, że organ nie jest w stanie sam wydać decyzji, będzie mógł poprosić o pomoc organ, na którego obszarze właściwości dany serwis społecznościowy ma oddział lub siedzibę.
Na terenie Polski takim organem nadzorczym jest Urząd Ochrony Danych Osobowych, a jego zwierzchnikiem – Prezes Urzędu Ochrony Danych Osobowych, inaczej PUODO. W 2018 roku zastąpił on dotychczasowego Generalnego Inspektora Ochrony Danych Osobowych, czyli GIODO, zyskując przy tym m.in. możliwość nakładania wysokich kar administracyjnych. Funkcję tę pełni teraz dr Edyta Bielak-Jomaa, dalszych zaś informacji, w tym danych kontaktowych i formularzy do wniesienia skargi, należy szukać na stronie Urzędu – www.uodo.gov.pl.

Popularne ciasteczka to małe fragmenty tekstu wysyłane przez witrynę internetową do przeglądarki, które następnie są zapisywane lokalnie i odczytywane przez tę samą witrynę podczas kolejnych odwiedzin. Ciasteczka pozwalają przechować istotne dla użytkowania danego serwisu informacje, stąd generalnie są uważane za technologię przynoszącą pożytek. Co więcej, całkowite ich zablokowanie może utrudnić lub wręcz uniemożliwić korzystanie z danej witryny.

Wiele stron wymusza na użytkownikach zgodę na korzystanie z ciasteczek – większość użytkowników zdołała się z tym faktem już oswoić dzięki odpowiednim komunikatom, swoją drogą również wymuszonym przez Unię. Wraz z regulacjami RODO na wielu portalach pojawiła się jednak informacja o używaniu plików cookies reklamowych. Strony te wymuszają na użytkowniku zatwierdzenie zgody na ich używanie, na ogół odwołując się przy tym do świadomości użytkownika i jego znajomości ustawień przeglądarki internetowej. O co w tym chodzi?

Okazuje się, że standardowe ustawienia najpopularniejszych przeglądarek, czyli Chrome’a, Opery i Firefoksa, dopuszczają przy odwiedzinach danej witryny używanie ciasteczek nie tylko tejże witryny, ale przy okazji także ciasteczek innych, towarzyszących im firm – czyli w praktyce np. partnerujących danemu serwisowi serwisów reklamowych. Można temu jednak łatwo zaradzić.

Wystarczy wejść do menu ustawień przeglądarki i odnaleźć sekcję Prywatność i bezpieczeństwo (w przypadku Chrome’a dodatkowo należy rozwinąć menu Zaawansowane i wskazać Ustawienia treści). Następnie trzeba otworzyć kartę Pliki Cookie i kliknąć Blokuj pliki cookie innych firm. W zależności od rodzaju i wersji przeglądarki nazwa odpowiedniej opcji może brzmieć nieco inaczej – w ogólnym zarysie jednak ustawienia te wyglądają podobnie do siebie i każdy użytkownik powinien poradzić sobie z tą kwestią bez większych problemów. Dodatkowo w ustawieniach ciasteczek możemy zablokować wykorzystywanie cookies przez konkretne witryny, a także usunąć wcześniej utworzone informacje tego typu.

Regulacje RODO pozwalają nam jednak w każdej chwili zmienić zdanie. Nawet jeśli przez roztargnienie, niewiedzę lub świadomie wyraziliśmy zgodę – możliwe jest jej cofnięcie. By to zrobić, należy odszukać link prowadzący do informacji i ustawień dot. prywatności. Zwykle jest on ukryty u dołu każdej witryny, w stopce, pod hasłami Prywatność, Ustawienia prywatności lub podobnymi. Po kliknięciu zostaniemy przeniesieni do miejsca, w którym portal umieścił wszystkie wymagane przez RODO informacje, regulaminy, spis zaufanych partnerów, a także sekcję, dzięki której możemy zweryfikować nasze wcześniejsze postanowienia. Nie ma reguły określającej, jak wycofanie zgody ma wyglądać. Na ogół to pole wyboru, które musimy odznaczyć lub suwak, który należy przesunąć w lewo. Sposób ten jednak może się różnić w zależności od portalu.

O ile w przypadku europejskich usługodawców praktyczne zastosowanie zasad RODO stało się koniecznością, o tyle pozaeuropejskie portale stanęły przed dylematem: czy użytkownicy z Europy się im opłacają? Obsługując mieszkańców Starego Kontynentu, na przykład amerykańskie portale muszą działać zgodnie z RODO. W komentarzu dla PC Formatu potwierdza to Dyrektor Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji, dr Maciej Kawecki: RODO znajduje zastosowanie w przypadku przetwarzania danych osobowych osób przebywających w Unii, również przez podmiot nie posiadający jednostek organizacyjnych w Unii, jeżeli czynności przetwarzania wiążą się z oferowaniem usług w UE.

Nie dziwią więc różne reakcje zagranicznych firm. Niektóre zdecydowały, że dostosowanie się do RODO jest zbyt kosztowne, a zysk zbyt mały, by ponosić ryzyko zmian. W przypadku niektórych serwisów WWW pociągnęło to blokadę regionalną dla odwiedzających ze Starego Kontynentu. Niektóre firmy, jak choćby Unroll.me, postanowiły w ogóle wycofać się z Europy, gdyż RODO uderzyło w biznesową podstawę ich działalności – czyli obrót danymi użytkowników. Zdarzają się jednak też pozytywne wyjątki: informacyjna witryna usatoday.com na potrzeby użytkowników z UE stworzyła osobną wersję serwisu, która nie zbiera żadnych danych osobowych i… nie wyświetla żadnych reklam.

Nie da się ukryć, że internet po RODO wygląda inaczej. W ostatecznym rozrachunku jednak to od nas, użytkowników, zależy, jak jesteśmy chronieni. Jedni wykorzystają każdą możliwość ograniczenia śledzenia, nawet kosztem własnej wygody, inni – machną ręką. Niezależnie jednak od tego, do której grupy się zaliczamy, warto znać swoje prawa i możliwości. Z tego względu polecamy również wnikliwą lekturę ramek, które znalazły się obok.

Na długo przed wprowadzeniem regulacji RODO Google zbierał dane na temat naszej aktywności w sieci, by personalizować reklamy. Równocześnie jednak pozwalał wpływać użytkownikom na personalizację reklam – mogli oni sami dobierać najbardziej interesujące ich tematy. Wiele osób zapewne na którymś etapie życia i użytkowania usług Google wyraziło zgodę na taką czynność lub nawet modyfikowało ustawienia reklam. Z tego powodu warto zajrzeć do panelu ustawień reklam Google, by zobaczyć, czy na pewno wszystko jest tam w porządku.

By to zrobić, wchodzimy na stronę adssettings.google.com. Wprowadzając zmiany w preferencjach, najlepiej jest zalogować się wcześniej przy użyciu konta Google, które używamy na co dzień. Zrobimy to, klikając przycisk Zaloguj się w prawym górnym rogu okna przeglądarki. W ten sposób nasze preferencje zostaną automatycznie przeniesione na wszystkie przeglądarki i urządzenia, których używamy po zalogowaniu na konto.

Po poprawnym zalogowaniu w centralnej części okna przeglądarki widzimy sekcję Personalizacja reklam. Należy tu kliknąć na niebieski suwak widoczny po prawej stronie. Wyłączenie personalizacji należy następnie potwierdzić w oknie, które się pojawi.

To nie koniec. Po wyłączeniu reklam Google gigant przypomina, że oprócz niego z możliwości personalizacji korzysta ponad setka innych sieci reklamowych i podpowiada, że również w ich przypadku możemy wyłączyć personalizację. By to zrobić, w drugim oknie, które się pojawia bezpośrednio potem, trzeba kliknąć opcję Zrezygnuj z większej liczby reklam. Ten sam link znajdziemy również na samym końcu okna ustawień reklam Google – wystarczy je przewinąć do końca.

Po kliknięciu wspomnianego odnośnika pojawi się nowe okno – witryna www.youronlinechoices.com. Widoczna tam tabelka przedstawia kolejne sieci reklamowe, które mają wgląd w naszą aktywność w sieci i na jej podstawie dobierają reklamy. W chwili powstawania materiału znajdowało się tam 116 partnerów sieci reklamowej Google. Zdarza się, że nie wszystkie załadują się za pierwszym razem i widoczna na ekranie tabela nie będzie kompletna. Łatwo jednak sprawdzić, czy tak się stało, patrząc na koniec tabeli – firmy są ułożone w kolejności alfabetycznej, nazwy ostatnich więc powinny kończyć się na literę Z. Jeśli tak się nie stało – odświeżamy witrynę, naciskając klawisz F5 lub odpowiedni przycisk w przeglądarce internetowej.

By wyłączyć personalizację wszystkich sieci jednocześnie, należy przewinąć spis firm do samego końca. Wówczas po jego lewej stronie pojawi się pole grupowego wyboru. Wystarczy kliknąć Wyłącz wszystkie firmy.

Może się zdarzyć, że witryna nie zareaguje na żądanie. Wystarczy odświeżyć okno i ponowić operację, a w razie potrzeby ręcznie wyłączyć dostęp do danych w przypadku wybranej sieci lub kliknąć ponownie w menu z lewej strony – tym razem żółty przycisk Retry all failed (tłumaczenie strony, jak widać, nie zawsze jest dokładne). W najgorszym przypadku będziemy musieli kliknąć nazwę każdej firmy z osobna, zaznaczając pole wyboru Wył. przy jej nazwie. Niekiedy wybór trzeba będzie potwierdzić, klikając dodatkowo OK w oknie, które się pojawi.

Wchodząc po raz pierwszy na witrynę, zostaniemy przywitani oknem, w którym możemy zapoznać się z warunkami, na jakich witryna gromadzi i przechowuje dane. Możemy zaakceptować standardowe ustawienia, przechodząc do serwisu. Oznacza to jednak zgodę na śledzenie naszej aktywności. Możemy też sprzeciwić się takim poczynaniom, klikając Ustawienia zaawansowane. Alternatywnie, gdy już wcześniej korzystaliśmy z Onetu, możemy przewinąć stronę główną na sam dół i kliknąć Prywatność w lewym dolnym rogu, a potem – znów na samym dole – Zmień swoje ustawienia prywatności. Pojawi się to samo okno.

Ukaże się drugie okno informujące nas w pierwszej zakładce o aktywności serwisu związanej z przetwarzaniem informacji na podstawie plików cookies. O tym, jak wyłączyć reklamowe ciasteczka. Tu interesuje nas druga zakładka, więc ją klikamy.

Wyświetli się okno z suwakiem, który należy kliknąć tak, by przesunął się w lewo. Oznacza to brak naszej zgody na personalizację treści. Po tej operacji możemy zapisać zmiany i wyjść. Dociekliwi jednak mogą przewinąć to samo okno do końca i otworzyć link Pokaż listę naszych Zaufanych Partnerów.

Otworzy się wówczas lista, gdzie możemy wyrazić zgodę lub nie na przetwarzanie danych osobowych konkretnym firmom. Teoretycznie wyłączenie personalizacji w poprzednim punkcie oznacza brak naszej zgody na przekazywanie danych wszystkim partnerom. Tu możemy dostosować nasze preferencje lub dla pewności jeszcze raz wszystko wyłączyć.