Co powie GIODO o skandalu z Facebookiem?

Sprawa typu Cambridge Analytica rodzi zagrożenie nie tylko dla prawa do prywatności użytkownika internetu, ale również dla szeroko pojętych procesów demokratycznych i ochrony praw obywatelskich - ocenił RPO Adam Bodnar. Rzecznik zwrócił się w tej sprawie do GIODO

Rzecznik Praw Obywatelskich pyta Generalnego Inspektora Ochrony Danych Osobowych Edytę Bielak-Jomaa, czy urząd prowadzi postępowanie w tej sprawie oraz czy polskie prawo wystarczająco odpowiada na takie zagrożenia.

W środę Facebook poinformował, że Cambridge Analytica może mieć dane 87 mln użytkowników serwisu. Wcześniej oceniano, że firma ta, która była zaangażowana w kampanię wyborczą Donalda Trumpa, pozyskała nielegalnie dane 50 mln klientów Facebooka (ok. 1/3 osób wszystkich użytkowników w Ameryce Północnej), które były następnie wykorzystywane w celu przewidywania ich decyzji wyborczych i wpływania na nie.

W ocenie RPO, cała sprawa uwypukla o wiele szersze zagadnienie, związane z udostępnianiem danych osobowych oraz wykorzystywaniem ich - bez świadomości albo za zgodą wyrażoną przez użytkownika poprzez zaakceptowanie skomplikowanego regulaminu - do wpływania na wybory i decyzje użytkownika. „To rodzi zagrożenie nie tylko dla prawa do prywatności użytkownika sieci internetowej, ale również dla szeroko pojętych procesów demokratycznych i ochrony praw obywatelskich w kraju” - ocenił Rzecznik.

Bodnar przypomniał, że w sprawie Cambridge Analytica działania podjął brytyjski Komisarz ds. Informacji, który wszczął postępowanie w sprawie wykorzystania danych osobowych. Sprawdza on m.in. okoliczności, w jakich dane pozyskane z Facebooka mogły zostać wykorzystane w szczególności do tzw. mikrotargetowania wyborców.

Jak wyjaśnił Rzecznik, jest to technika znana w kampaniach wyborczych na świecie i wykorzystywana przez partie polityczne. Polega na przeszukiwaniu rynku, by wyłowić potencjalnych wyborców i do nich konkretnie kierować swój przekaz. Dzięki temu partia identyfikuje osoby, które jest w stanie z ogromnym prawdopodobieństwem przekonać do swoich poglądów. Możliwe jest bowiem powiązanie treści przekazywanego komunikatu ze szczególnymi zainteresowaniami potencjalnego wyborcy.

Z jednej strony mikrotargetowanie może stanowić korzyść dla osoby, polegającą na pozyskaniu informacji, ale z drugiej strony - zagrożenie dla jej prywatności oraz ogólnie zagrożenie dla mechanizmów demokratycznych w państwie prawa - ocenił RPO.

Powołał się przy tym na badaczy tematu, według których uświadomienie sobie takiej techniki może prowadzić do efektu mrożącego. Ludzie przypuszczający, że ich zachowanie jest monitorowane, mogą dostosowywać swoje zachowanie tak, by uniknąć zainteresowania. Wiąże się to też z brakiem komfortu użytkowników sieci, co może prowadzić do ograniczenia aktywności, by uniknąć możliwości zbierania informacji o sobie - podkreślił Bodnar.

Według niego, przy tej technice wysoce prawdopodobne jest naruszanie zasad ochrony danych osobowych. Zwrócił uwagę, że nie zawsze wszystkie informacje przekazywane przez portale muszą być oparte na zgodzie użytkownika. Ponadto nawet jeśli zgoda była, to dane mogą być wykorzystywane w celu innym niż ten, do którego zostały zebrane.

W ocenie Rzecznika, dzięki adresowaniu konkretnego przekazu do konkretnego odbiorcy można maksymalnie zwiększyć lub też maksymalnie zmniejszyć zaangażowanie wyborcze. Partie polityczne mogą wykorzystywać te techniki do wpływania na poparcie, ale także na powstrzymanie się wyborców od głosowania na przeciwników politycznych.

Bodnar zwrócił uwagę, że na prawidłową realizację praw użytkowników serwisów społecznościowych typu Facebook może wpłynąć wchodzące w maju w życie unijne rozporządzenie ogólne o ochronie danych (RODO).

Przepisy RODO nakładają na administratorów przetwarzających dane nowe obowiązki. RODO zakłada m.in. prawo do bycia zapomnianym, czyli możliwości usunięcia, również z internetu, informacji na swój temat, jeśli nie są prawdziwe lub są obraźliwe, prawo do przenoszenia danych - będzie można zażądać, aby każdy urząd albo bank, które mają nasze dane, przekazał je innemu urzędowi lub bankowi. Unijne przepisy nakładają także obowiązek powiadomienia o wycieku danych osobowych. Stanowią również, że przetwarzanie danych będzie możliwe za wyraźną zgodą tego, kogo dotyczą.

Zdaniem RPO po wejściu RODO w życie sytuacja powinna zmienić się tak, że jasno określone zostaną te reguły, które dotyczą prawa właściwego do oceny działań rozmaitych aplikacji. Przekazywanie naszych danych osobowych innym firmom w celach marketingowych, w tym brokerom danych, którzy agregują dane z różnych źródeł i tworzą własne profile, będzie wymagało świadomej, poinformowanej zgody.

Jednak można spodziewać się, że wiele firm nadal będzie dokonywało takiej interpretacji przepisów, która będzie sprzyjała kontynuowaniu prowadzenia przez nie działalności w dotychczasowym kształcie - uważa Bodnar.

Zaznaczył, że takie techniki mogą być wykorzystywane również przez inne firmy i na inne sposoby. Jeżeli potwierdziłyby się obawy wskazujące na istotne zagrożenia dla prawa do prywatności i podstawowych reguł demokracji, konieczne byłoby podjęcie szerszej dyskusji w kierunku wypracowania stosownego rozwiązania. Musiałoby one spełniać wymogi wynikające z ogólnych standardów ochrony praw człowieka, np. art. 10 Konwencji o ochronie praw człowieka i podstawowych wolności - napisał Rzecznik.

Jak dodał, do tego jednak potrzebne są dokładniejsze badania i analiza sytuacji. Nie jest to łatwe w sytuacji, w której partie polityczne nie są skłonne do ujawniania informacji, np. o wydatkach na marketing polityczny i kreowanie wizerunku. To tylko potwierdza, że konieczne jest znalezienie rozwiązań, które doprowadziłyby do znalezienia sposobu na kontrolę politycznego mikrotargetowania - podkreślił Bodnar.

RPO zwrócił się zatem do GIODO z pytaniem, czy prowadzi analizy tego typu przypadków i czy w ocenie szefowej urzędu ustawodawstwo polskie odpowiada na sygnalizowane zagrożenia dla ochrony danych osobowych. Poprosił także o informację, czy w tej konkretnej sprawie - tak, jak w Wielkiej Brytanii - zostanie podjęte postępowanie GIODO.

PAP, mw