Korzystanie z platform społecznościowych jest nieodzownym elementem dzisiejszej rzeczywistości, szczególnie ze względu na ich znaczenie jako narzędzi komunikacji. Portale internetowe cieszą się ogromną popularnością wśród użytkowników Internetu, którzy codziennie publikują za ich pomocą nowe treści dotyczące ich codziennego życia. Oferta funkcji, jaką proponują media społecznościowe stale się powiększa, a nieustanny rozwój nowych technologii wprowadza coraz to nowe rozwiązania. Niestety znane wszystkim platformy to nie tylko narzędzia ułatwiające komunikację oraz dostarczające rozrywkę, ale także narzędzia wykorzystywane do ukierunkowanego marketingu bądź gromadzenia informacji. Za tymi rozwiązaniami kryją się również zagrożenia związane z przetwarzaniem danych osobowych. Samo założenie konta na portalu społecznościowym wymaga podania danych np.: imię, nazwisko, email, a nawet numer telefonu. W związku z tym dostawcy usług zobowiązani są do przestrzegania wymogów m.in. nałożonych przez Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 R. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE z dnia 27 kwietnia 2016 r. (dalej RODO). Mimo ściśle określonych wymogów nałożonych na dostawców oraz założycieli platform społecznościowych, osoby korzystające z „social mediów” oraz innych serwisów internetowych narażone są nie tylko na stosowanie nieuczciwych praktyk rynkowych, ale również technik manipulacyjnych zagrażających bezpieczeństwu i transparentności przetwarzania danych osobowych.
Jednym ze zjawisk, pojawiających się na platformach społecznościowych są tzw. ,,deceptive design patterns’’, co w tłumaczeniu oznacza ,,zwodnicze wzorce projektowe’’.
Powyższe można określić jako ,,stosowanie przez platformy społecznościowe praktyk mających na celu wpływ na działania użytkowników związane z przetwarzaniem ich danych osobowych. W większości przypadków decyzje te będą niezamierzone, niechciane oraz potencjalnie szkodliwe’’.
Regulacje dotyczące zwodniczych wzorców projektowych można znaleźć w rozporządzeniu 2022/2065 w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (akt o usługach cyfrowych), zgodnie z którym, dostawcy platform internetowych nie mogą projektować, organizować, czy obsługiwać interfejsów użytkowników w sposób, który może zakłócać zdolność odbiorców do podejmowania wolnych i świadomych decyzji. W szczególności wymieniony jest zakaz:
a) większego eksponowania niektórych wyborów, gdy odbiorca usługi jest proszony o podjęcie decyzji;
b) wielokrotnego żądania od odbiorcy usługi dokonania wyboru, gdy wyboru takiego już dokonał, w szczególności przez pokazywanie wyskakujących okienek, które zakłócają środowisko użytkownika;
c) sprawiania, że procedura zrezygnowania z usługi jest trudniejsza niż procedura jej subskrypcji
Tym zagadnieniem zajęła się również EUROPEJSKA RADA OCHRONY DANYCH (EROD) w swoich Wytycznych 03/2022, które zawierają zalecenia dotyczące projektowania interfejsów użytkownika w sposób zgodny z przepisami dotyczącymi ochrony danych osobowych. Podejście EROD do powyższego problemu należy uznać za kolejny krok, który ma na celu zapewnienie bezpieczeństwa danych osobowych użytkowników oraz umożliwienie dostawcom mediów społecznościowych wyeliminowanie niezgodnych z prawem praktyk, już podczas projektowania portali i aplikacji.
Na podstawie wytycznych EROD ,,zwodnicze wzorce projektowe’’ można podzielić na następujące kategorie:
1. Przeciążenie informacjami, czyli oferowanie użytkownikowi wielu opcji oraz funkcji,
w celu udostępnienia większej ilości danych oraz przetwarzania ich wbrew woli użytkownika.
2. Stosowanie opcji pomijania, co prowadzi do zignorowania wielu ważnych informacji.
3. Wymieszanie informacji w sposób niepozwalający użytkownikowi na dokonanie świadomego wyboru.
4. Ukrywanie informacji lub narzędzi dotyczących ochrony danych osobowych poprzez niejednoznaczne, niespójne sformułowania i komunikaty.
5. Stosowanie emocjonalne nacechowanych zwrotów w celu nakłonienia użytkownika na podzielenia się większą ilością danych lub wykorzystywanie graficznie wyróżniających się elementów w celu szybkiego wyrażenia zgody na przetwarzanie danych
JAKIE WYMOGI POWINNI ZATEM SPEŁNIAĆ DOSTAWCY MEDIÓW SPOŁECZNOŚCIOWYCH?
W Wytycznych 03/2022 EROD posłużyła się konkretnymi przykładami, aby zobrazować jakie działania muszą zostać podjęte przez projektantów oraz dostawców mediów społecznościowych, aby możliwe było wyeliminowanie szkodliwych wzorców projektowych.
EROD podkreśla, że ochrona danych osobowych użytkowników portali społecznościowych powinna być przestrzegana przez administratora na każdym etapie, od fazy projektowania platformy po rejestrację nowego użytkownika, logowanie, bezpieczne korzystanie,
czy zawieszenie lub usunięcie konta na danym portalu (,,privacy by design’’ oraz ,,privacy by default’’). Ważne jest zatem, aby przed wprowadzeniem danej usługi ocenić ją pod względem elementów składających się na ochronę danych oraz wyeliminować aspekty, które mogą prowadzić do powstawania procesów sprzecznych z prawem. Zgodnie z art. 25 ust. 1 już przy ustalaniu sposobów przetwarzania, administrator powinien wdrożyć odpowiednie środki techniczne i organizacyjne, tak aby spełnić wymogi rozporządzenia oraz chronić prawa osób, których dane dotyczą. Co więcej, ust. 2 powyższego artykułu stanowi, że domyślnie przetwarzane powinny być jedynie te dane osobowe, które są niezbędne dla każdego konkretnego celu przetwarzania. Brak wdrożenia powyższych regulacji można zaobserwować w przedstawionym przez EROD przykładzie.
,,Rejestrując się na platformie mediów społecznościowych za pośrednictwem przeglądarki komputerowej, użytkownicy są zapraszani do korzystania również z aplikacji mobilnej platformy. Podczas elementu rejestracji, który wygląda na kolejny krok w procesie, użytkownicy są zachęcani do zapoznania się z aplikacją. Kiedy klikną ikonę, spodziewając się, że zostaną skierowani do sklepu z aplikacjami, są proszeni o podanie numeru, aby otrzymać wiadomość tekstową z linkiem do aplikacji.’’ Jest to działanie wprowadzające użytkownika w błąd, ponieważ istnieją inne sposoby, które mogą umożliwić korzystanie z aplikacji mobilnej np. pobranie jej ze sklepu online, czy w niektórych przypadkach zeskanowanie QR kodu. O takich możliwościach użytkownik powinien zostać poinformowany. Nie jest zatem konieczne, aby dostawca danej platformy prosił o dane w postaci numeru telefonu użytkownika.
MINIMALIZACJA DANYCH
Wspomniane powyżej zasady wymuszają na administratorach danych wbudowanie odpowiedniego systemu ochrony danych od samego początku ich przetwarzania oraz wdrożenie zasady minimalizacji danych, o której stanowi art. 5 ust 1 lit. c. EROD zobrazowała powyższe zagadnienie następująco:
,,Dostawca mediów społecznościowych zachęca użytkowników do udostępniania większej ilości danych osobowych niż faktycznie wymagane, poprzez dodanie własnego opisu: „Powiedz O swoim niesamowitym ja! Nie możemy się doczekać, więc chodź teraz i daj nam znać!’’
Na podstawie tego przykładu można zauważyć, że podanie większej ilości danych osobowych, np. dotyczących osobowości użytkowników i ich zainteresowań prawdopodobnie nie jest niezbędne do korzystania z samej usługi, a zatem jest to naruszenie zasady minimalizacji danych. Oprócz tego platforma zachęca użytkownika do podania dodatkowych danych również poprzez zwroty nacechowane emocjonalnie.
OBOWIĄZEK INFORMACYJNY
Dostawcy mediów są zobowiązani do poinformowania użytkownika danej platformy o przetwarzaniu jego danych w sposób jasny, zrozumiały, przy użyciu prostego języka, w szczególności, gdy przetwarzanie dotyczy danych osobowych dzieci. Administratorzy są zobligowani do spełnienia obowiązku informacyjnego zgodnie z art. 13 i 14 RODO.W tym celu bardzo często można spotkać się z wymogiem potwierdzenia, że użytkownik zapoznał się z polityką prywatności danego portalu.
Na podstawie Rozporządzenia, osobie której dane są przetwarzane przysługują prawa podmiotowe zawarte w art. 15-22. Jest to prawo dostępu do danych, otrzymania ich kopii, sprostowania danych, usunięcia danych, ograniczenia przetwarzania, przeniesienia danych, wyrażenia sprzeciwu przeciwko przetwarzaniu oraz prawo by nie podlegać decyzji wyłącznie w oparciu o zautomatyzowane przetwarzanie. Warto zauważyć, zgodnie ze stanowiskiem EROD, że nie wszystkie z tych praw będą miały zastosowanie do każdej platformy mediów społecznościowych. To administrator ma obowiązek poinformować użytkownika o tym jakie prawa w konkretnym przypadku będą możliwe do zrealizowania, a to uzależnione jest od podstawy prawnej przetwarzania, celów przetwarzania oraz rodzaju świadczonych usług.
Przykładem naruszenia obowiązku informacyjnego jest sytuacja, w której użytkownicy nie otrzymują żadnych linków do informacji o ochronie danych mimo rozpoczęcia procesu rejestracji oraz takie informacje nie są dostępne w żadnym miejscu podczas procesu rejestracji.
ZGODA NA PRZETWARZANIE DANYCH
Kolejnym krokiem jest wyrażenie zgodny na warunki korzystania z platformy mediów społecznościowych w tym przetwarzania danych osobowych. Zgodnie z art. 7 RODO zgoda powinna być dobrowolna, wyrażona świadomie, a jej wycofanie powinno być tak samo proste jak jej wyrażenie. Ponadto, użytkownicy powinni mieć możliwość odmowy udzielenia zgody lub wycofania zgody bez żadnej szkody. Informacje o przetwarzaniu danych powinny być wyraźnie odróżniające się od innych treści niezwiązanych z ochroną danych. Można jednak spotkać się z sytuacją, gdy podczas procesu rejestracji użytkownicy mogą wyrazić zgodę na przetwarzanie swoich danych osobowych do celów marketingowych i są informowani, że mogą zmienić swój wybór kiedy tylko chcą, po zarejestrowaniu się w danym serwisie, przechodząc do polityki prywatności. Jednak, zgodnie ze stanowiskiem EROD zdarzają się sytuację, w których, po zakończeniu procesu rejestracji i przejściu do ustawień prywatności, użytkownik nie znajduje żadnych środków ani wskazówek, w jaki sposób wycofać swoją zgodę na takie przetwarzanie. Jest to niewątpliwe sprzeczne z ww. przepisem.
PRZEJRZYSTOŚĆ PRZETWARZANIA
Zgodnie z art. 5 ust 1 lit. a, przetwarzanie danych osobowych powinno odbywać się zgodnie z prawem, rzetelnie i w sposób przejrzysty, dla osoby, której dane dotyczą. Transparentność przetwarzania powinna być zachowana przy spełnianiu obowiązku informacyjnego oraz prowadzenia wszelkiej komunikacji z użytkownikiem platformy, w szczególności dotyczącej jego praw podmiotowych przysługujących mu na podstawie art. 15-22 oraz 34 RODO.
EROD w wytycznych wskazuje sytuację, w której ,,ustawienia ochrony danych są trudne do znalezienia na koncie użytkownika, nie ma rozdziału menu o nazwie lub nagłówku, który prowadziłby w tym kierunku. Użytkownicy muszą wyszukać inne podmenu, takie jak „Bezpieczeństwo”.
W tym przykładzie użytkownicy nie są kierowani do ustawień ochrony danych. Nie ma konkretnych, jasnych komunikatów i oznaczeń, które mogłyby nakierować użytkownika na rozwiązanie jego problemu. Dalej EROD wyjaśnia, że termin „bezpieczeństwo” obejmuje tylko część tego, czego można oczekiwać od ustawień ochrony danych. Nie jest to zatem rozwiązanie intuicyjne i pomocne dla użytkowników. W tej sytuacji brak przejrzystości sprawia, że dostęp do pożądanych treści jest utrudniony i może to zostać uznane za sprzeczne z art. 12 ust. 1 RODO oraz art. 12 ust. 2 RODO, jeżeli ustawienia te dotyczą wykonywania prawa użytkownika.
ZASADA ROZLICZALNOŚCI
W art. 5 ust. 2 RODO zawarta jest zasada ,,rozliczalności”, czyli obowiązku wykazania przez administratora, że dane przetwarzane są zgodnie z Rozporządzeniem. Rozliczalność może być zapewniona przez przedstawienie procesu jaki przechodzi użytkownik korzystając z danej platformy np. poprzez przedstawienie elementów tego procesu na tzw. ,,zrzutach ekranu’’.
W tym miejscu dodać należy, że administrator powinien wykazać, że użytkownik jest świadomy swoich działań, zapoznał się z przepisami o ochronie danych osobowych, dobrowolnie wyraził zgodę oraz z łatwością korzystał ze swoich praw.
Za stosowanie niedozwolonych praktyk, które prowadzą do przetwarzania danych osobowych w sposób sprzeczny z obowiązującymi przepisami, PUODO jest uprawniony do nałożenia na administratora odpowiedniej kary pieniężnej.
AKT O USŁUGACH CYFROWYCH (DSA)
Ważnym dokumentem dotyczącym kwestii zwodniczych wzorców projektowych, ale także zapewnienia bezpieczeństwa środowiska internetowego oraz przeciwdziałania rozpowszechnianiu nielegalnych treści jest wspomniane powyżej rozporządzenie 2022/2065 w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (akt o usługach cyfrowych tzw. DSA). Dostawcy usług pośrednich muszą wdrożyć w swoich organizacjach nowe wymogi do 14 lutego 2024 r.. Akt o usługach cyfrowych (DSA) będzie miał zastosowanie do dostawców usług pośrednich tj. zwykłego przekazu, cachingu oraz hostingu. Szczególnie wyodrębnioną grupą dostawców usług hostingu są dostawcy platform internetowych. Zgodnie z rozporządzeniem usługa „hostingu” polega na przechowywaniu informacji przekazanych przez odbiorcę usługi oraz na jego żądanie. Ustawodawca podkreślił jednak, że ,,Platformy internetowe, takie jak serwisy społecznościowe lub internetowe platformy umożliwiające konsumentom zawieranie z przedsiębiorcami umów zawieranych na odległość, nie tylko przechowują informacje przekazane przez odbiorców usługi na ich żądanie, ale także rozpowszechniają publicznie te informacje na żądanie odbiorców usługi’’. Należy zwrócić uwagę, że dostawców usług hostingu nie należy uznawać za platformy internetowe, w przypadku gdy publiczne rozpowszechnianie jest zaledwie nieznaczną i wyłącznie poboczną cechą, która jest nierozerwalnie powiązana z inną usługą lub jest jedynie częścią usługi głównej np. sekcja gazety internetowej przeznaczona na komentarze, w przypadku której jest oczywiste, że ma ona charakter poboczny w stosunku do głównej usługi, jaką jest publikowanie wiadomości, za które odpowiedzialność redakcyjną ponosi wydawca. Na dostawców platform społecznościowych zostały nałożone szczególne obowiązki w tym również wymóg projektowania interfejsów użytkowników w taki sposób, aby odbiorcy nie byli wprowadzani w błąd, manipulowani oraz mogli podejmować decyzje w sposób świadomy i dobrowolny (art. 25 DSA).
Kolejnym wymogiem jest zapewnienie odbiorcom usług dostępu do skutecznego wewnętrznego systemu rozpatrywania skarg, który będzie umożliwiał im elektroniczne
i bezpłatne wnoszenie skarg (art. 20 DSA). Dostawcy będą również zobowiązani do zapewnienia odbiorcom usług informacji na temat możliwości korzystania przez odbiorców z możliwości pozasądowego rozstrzygania sporów, w sposób łatwo dostępny, jasny oraz przyjazny użytkownikom (art. 21 DSA). Niezbędne jest także wprowadzenie środków technicznych i organizacyjnych w celu zapewnienia priorytetowego traktowania zgłoszeń dokonywanych przez zaufane podmioty sygnalizujące, działające w wyznaczonych dziedzinach, w których dysponują wiedzą ekspercką, za pośrednictwem mechanizmów, o których mowa w art. 16 DSA, a także rozpatrywania takich zgłoszeń oraz podejmowania decyzji w ich sprawie bez zbędnej zwłoki (art. 22 DSA).
Akt o usługach cyfrowych określa również postanowienia dotyczące wszystkich dostawców tj. ww. dostawców zwykłego przekazu, cachingu oraz hostingu. Jest to:
a) obowiązek ustalenia punktów kontaktowych dla państw członkowskich, Komisji Europejskiej i Rady Usług Cyfrowych,
b) obowiązek wyznaczenia przez dostawców, którzy nie mają siedziby w Unii, ale oferują usługi w Unii przedstawiciela prawnego w jednym z państw członkowskich, w których dostawca oferuje swoje usługi,
c) obowiązek aktualizacji warunków korzystania z usług i wskazania w nich informacji na temat wszelkich ograniczeń, które dostawcy nakładają w związku z korzystaniem z ich usług, w odniesieniu do informacji przekazywanych przez odbiorców usługi.
d) obowiązek corocznego publicznego raportowania o dokonanym moderowaniu treści.
ZWIĘKSZENIE ŚWIADOMOŚCI UŻYTKOWNIKÓW
Niestety częstym zjawiskiem wśród użytkowników sieci jest pomijanie zapoznawania się z politykami prywatności, w których zawarte są informacje o tym jak przetwarzane są ich dane. Wiele danych osobowych jest dostarczanych portalom oraz innym dostawcom usług pośrednich przez użytkowników w sposób samodzielny i świadomy, jednak należy mieć na uwadze, że podczas korzystania z platform społecznościowych oprócz informacji podstawowych, udostępniane są również dane o sprzęcie z jakiego korzysta użytkownik, dostęp do listy kontaktów, galerii zdjęć, lokalizacji. Wytyczne opublikowane przez EROD mają na celu zwiększenie świadomości użytkowników w zakresie przysługujących im praw oraz zagrożeń wynikających z udostępniania zbyt wielu danych. Opisane w niniejszym artykule wymogi to tylko część regulacji, które obowiązują administratorów danych, dlatego niezbędne jest, aby dostawcy, którzy oferują swoje usługi online, uwzględniali ochronę danych, na każdym etapie tworzenia danego projektu oraz w sposób profesjonalny zapewniali bezpieczne przetwarzanie danych. ,,Zwodnicze wzorce projektowe’’ nie są zjawiskiem pojawiającym się jedynie na platformach społecznościowych, ale również na innych stronach internetowych oferujących usługi cyfrowe np. na banerach dotyczących plików cookie, w aplikacjach mobilnych, sklepach internetowych, grach online, platformach oferujących mikropłatności. Przetwarzanie danych osobowych użytkowników takich serwisów internetowych nie jest jedynym zagadnieniem, które powinno być objęte szczególną ochroną przez dostawców usług online, dlatego dostawcy takich usług zobligowani są do wdrożenia regulacji zawartych w Akcie o usługach cyfrowych, który ma na celu harmonizację przepisów mających zastosowanie do usług pośrednich na rynku wewnętrznym w celu zapewnienia bezpiecznego, przewidywalnego i budzącego zaufanie środowiska internetowego.
W zakresie wsparcia w analizach zasad funkcjonowania Państwa portali, e-sklepów, programów lub innych platform, w tym treści regulaminów bądź polityk, jak również zlecenia nam ich opracowania zachęcamy do kontaktu z kancelarią.
opracowanie: Aleksandra Kędrzyńska z Kancelarii Prawnej „CKC SOLUTION”