1. AUC i RODO – status związku: „to skomplikowane”
Ostatnie miesiące upływają wielu przedsiębiorcom działającym w e-commerce na wdrażaniu w swoich organizacjach unijnego rozporządzenia – aktu o usługach cyfrowych (AUC).
Należy pamiętać, że AUC nie działa w próżni. Poza nim przedsiębiorcy e-commerce muszą pamiętać o innych regulacjach, które muszą stosować, aby być w pełni compliance. Jednym z nich jest właśnie RODO. Można nawet zaryzykować stwierdzenie, że AUC nie będzie poprawnie wdrożone, jeśli wcześniej w organizacji nie zostało wdrożone RODO.
Rozporządzenie AUC w swojej treści wskazuje, jak wygląda jego relacja z RODO. Generalnie AUC pozostaje bez wpływu na unijne regulacje ochrony danych osobowych (czyli przede wszystkim RODO). W tym miejscu prawnik użyje sformułowania, że RODO jest lex specialis do AUC. Oznacza to, że przepisy RODO mają charakter szczególny względem przepisów AUC. Akt o usługach cyfrowych ma wyłącznie charakter uzupełniający względem regulacji RODO.
Poniżej znajduje się kilka obszarów, gdzie przy wdrażaniu AUC w organizacji należy pamiętać o RODO.
2. RODO a dark patterns
Jednym z przykładów jest zakaz stosowania dark patterns – „zwodniczych interfejsów”. Zgodnie z art. 25 ust. 1 AUC dostawcy platform internetowych nie mogą projektować, organizować ani obsługiwać swoich interfejsów internetowych w sposób, który wprowadza w błąd odbiorców usługi lub nimi manipuluje lub w inny istotny sposób zakłóca lub ogranicza zdolność odbiorców ich usługi do podejmowania wolnych i świadomych decyzji. Co istotne, ta regulacja ma zastosowanie wtedy, gdy nie znajdą zastosowania przepisy RODO oraz dyrektywy o nieuczciwych praktykach rynkowych. Co to oznacza? Nawet jeżeli dostawca platformy internetowej używa dark patterns, najpierw trzeba ustalić, czy nie są one związane z gromadzeniem lub przetwarzaniem danych osobowych, czy też są skierowane do konsumentów. Jeżeli żadna z tych sytuacji nie będzie miała miejsca, wówczas należy skorzystać z regulacji AUC.
Tym samym przy zwalczaniu dark patterns większe znaczenie niż AUC ma w dalszym ciągu RODO. Istotne w tym kontekście jest zwrócenie uwagi m.in. na wytyczne Europejskiej Rady Ochrony Danych 3/2022 (Guidelines 3/2022 on Deceptive design patterns in social media platform interfaces: How to recognise and avoid them, przyjęte 14.2.2023 r. (wersja 2.0)).
3. RODO a profilowanie
Jednym z obszarów, na który AUC zwróciło szczególną uwagę, jest kwestia przedstawiania reklam w oparciu o profilowanie z wykorzystaniem danych osobowych.
Czym jest profilowanie? Zgodnie z RODO jest to dowolna forma zautomatyzowanego przetwarzania danych osobowych, która polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
Rozporządzenie AUC odnosi się przede wszystkim do profilowania w przypadku dostawców platform internetowych.
Po pierwsze, dostawcy platform internetowych nie mogą prezentować odbiorcom usługi reklam opartych na profilowaniu z wykorzystaniem szczególnych kategorii danych osobowych. Czym są te „szczególne kategorie danych”, które są również nazywane „danymi wrażliwymi”? RODO wskazuje, że są to dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby.
Po drugie, dostawcy platform internetowych nie mogą prezentować na swoim interfejsie reklam opartych na profilowaniu z wykorzystaniem danych osobowych (nie tylko wrażliwych!) odbiorcy usługi, jeżeli wiedzą z wystarczającą pewnością, że odbiorca usługi jest małoletni.
Po trzecie, dostawcy bardzo dużych platform internetowych i bardzo dużych wyszukiwarek internetowych, którzy korzystają z systemów rekomendacji (więcej pod tym linkiem), zapewniają co najmniej jedną opcję dla każdego ze swoich systemów rekomendacji, która nie jest oparta na profilowaniu.
4. RODO a ochrona małoletnich
Kolejnym obszarem AUC, przy którego wdrożeniu konieczna jest znajomość RODO, jest kwestia ochrony małoletnich (z perspektywy AUC osób poniżej 18. roku życia). Powyżej wspomniałem o zakazie prezentowania małoletnim reklam opartych o profilowaniu z wykorzystaniem danych osobowych. Poniżej kolejny obowiązek.
Dostawcy platform internetowych dostępnych dla małoletnich wprowadzają odpowiednie i proporcjonalne środki, aby zapewnić wysoki poziom prywatności, bezpieczeństwa i ochrony małoletnich w ramach świadczonych przez siebie usług. Jest do podejście zbliżone do modelu privacy by design oraz privacy by default, jakie zostało wprowadzone w RODO. Innymi słowy, przy wprowadzaniu odpowiednich środków w celu zapewnienia prywatności, bezpieczeństwa i ochrony małoletnich, konieczne jest skorzystanie z dorobku RODO w tym zakresie, zwłaszcza w kontekście art. 25 i 34 tego rozporządzenia. Ważne jest też korzystanie z wytycznych opracowanych zarówno przez EROD (np. 5/2020 dotyczące zgody na mocy rozporządzenia 2016/679), czy też organów nadzorczych poszczególnych państw członkowskich Unii Europejskiej (np. „The Fundamentals for a Child-Oriented Approach to Data Processing”, opracowane przez irlandzki Data Protection Commision).
5. Podsumowanie
To tylko kilka przykładów, które pokazują, jak ważnym rozporządzeniem z perspektywy AUC jest RODO. Wdrożenie aktu o usługach cyfrowych w organizacji nie będzie kompletne, jeżeli zawczasu nie doszło do prawidłowego wdrożenia RODO. Oznacza to, że już teraz warto, aby każdy z przedsiębiorców sektora e-commerce sprawdził aktualność swoich rozwiązań w kontekście ochrony danych osobowych.
