Zgadzam się. Akceptuję. Przeczytałam/-em regulamin serwisu. Oświadczenia te, choć zupełnie nierównoznaczne, w dzisiejszej rzeczywistości wirtualnej stosowane są zamiennie przez wielu dostawców usług internetowych. Szczególnie ostatnia deklaracja wywołuje szeroki uśmiech na twarzy – niech pierwszy rzuci kamieniem ten, kto przeczytał uważnie cały regulamin jakiegokolwiek serwisu przed udzieleniem zgody na przetwarzanie jego danych osobowych. Nikt? No właśnie.

Nie bez przyczyny zatem wśród niechlubnej listy najczęściej powtarzanych kłamstw znalazło się oświadczenie o przeczytaniu warunków korzystania z portalu internetowego. W rzeczywistości jednak długość regulaminów serwisów i trudno przyswajalny język skutecznie zniechęcają użytkowników do wcześniejszego zapoznania się z postanowieniami, na które „wyrażają zgodę” . Wedle zasady take it or leave it , na której obecnie opiera się dostęp do jakichkolwiek treści w internecie, wydaje się więc, że nie ma innego wyjścia niż akceptacja warunków w formie podanej przez dostawców usług internetowych. Z pomocą przychodzi jednak RODO, a konkretniej definicja legalna wyrażona w art. 4 pkt 11, według której „zgoda” oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie tych danych osobowych.

Warto więc przyjrzeć się z bliska każdej z wymienionych przesłanek, gdyż jedynie ich łączne spełnienie gwarantuje istnienie legalnej podstawy do przetwarzania danych osobowych przez administratora strony.

Dobrowolna

Dobrowolnie wyrażona zgoda na przetwarzanie danych osobowych zakłada rzeczywistą możliwość dokonania wyboru. Innymi słowy, uzależnienie świadczenia usługi od udzielenia przez nas zgody na przetwarzanie dodatkowych danych osobowych, będzie powodowało, że zgoda faktycznie nie będzie dobrowolna.

Przykładowo: aplikacja do obróbki zdjęć prosi o aktywowanie lokalizacji GPS oraz informuje, że zgromadzone przez nią dane będą wykorzystywane do celów reklamy behawioralnej. W rzeczywistości żadna z tych informacji nie jest konieczna do świadczenia pierwotnej usługi edytowania zdjęć. Niezaakceptowanie Polityki Prywatności uniemożliwia korzystanie z aplikacji.

Możliwość dokonania wyboru sprowadza się w tej sytuacji w zasadzie tylko do jednej opcji – take it or leave it. Dobrowolność powinna więc stać u podstaw prawa do ochrony danych osobowych, tak by nie dopuścić do zredukowania naszych danych jedynie do przedmiotu transakcji barterowej.

Konkretna

Uzyskanie ważnej zgody powinno być poprzedzone określeniem konkretnego, wyraźnego i prawnie uzasadnionego celu, podanego przez dostawcę usługi, który te dane chce przetwarzać. Wymóg ten ma zabezpieczać przed ewentualnym rozszerzeniem lub zacieraniem się celów, w efekcie których dane mogłyby wbrew woli użytkownika służyć do takiego przetwarzania, o którym nie miał on wcześniej pojęcia. Jeśli jednak cel jest podany w skonkretyzowany sposób, wyrażona zgoda może obejmować różne operacje służące jednemu, temu samemu celowi.

Przykładem takiego nieskonkretyzowanego celu może być postanowienie, które znalazło się w regulaminie jednej z popularnych aplikacji randkowych. Zgodnie z jego treścią, wyrażając zgodę na przetwarzanie danych osobowych, automatycznie udziela się administratorowi, jego podmiotom stowarzyszonym, licencjobiorcom i następcom nieodwołalnej, wieczystej, niewyłącznej, zbywalnej, podlicencjonowanej, w pełni opłaconej ogólnoświatowej licencji na używanie, kopiowanie, wyświetlanie, reprodukcję, modyfikowanie i rozpowszechnianie treści w jakichkolwiek mediach obecnie lub w przyszłości. W praktyce więc zgoda ta dawała możliwość wykorzystania całej historii randkowej jej użytkowników do dowolnego celu bez ograniczenia czasowego.

Świadoma

Przed wyrażeniem zgody przez użytkownika administrator powinien przede wszystkim dopełnić ciążącego na nim obowiązku informacyjnego. Nie chodzi tu jednak o przekopiowanie całego, wielostronicowego regulaminu, a raczej o takie przedstawienie warunków, które pozwoli internaucie w pełni zrozumieć zarówno cele wykorzystywania jego danych, jak i pewne przewidywane skutki wyrażenia zgody.

Szczególną wagę tego wymogu podkreśla przewidziana w RODO możliwość cofnięcia udzielonej przez użytkownika zgody. Przekaz powinien więc być na tyle przystępny, precyzyjny i wyczerpujący, by osoba nieposługująca się na co dzień językiem prawniczym była w stanie zrozumieć konsekwencje swojego działania. W praktyce jednak bardzo często zdarza się, że dostawcy wielu usług internetowych lekceważą ten wymóg, udostępniając użytkownikom do wglądu długie warunki zawarte w polityce prywatności.

Na bazie tych doświadczeń powstała głośna wystawa Dimy Yarovinskiego zatytułowana I agree, mająca uświadomić internautów, jak długie i żmudne są regulaminy kilku najbardziej znanych platform. Aby przeczytać wszystkie regulaminy aplikacji posiadanych przez przeciętnego użytkownika smartfona, potrzeba około 30 h.

Jednoznaczna

Przy jednoznaczności zgody słowem kluczem jest „aktywność”. Zgoda jednoznaczna to zgoda wyrażona aktywnym działaniem użytkownika. Co do zasady wykluczyć należy więc domniemanie zgody np. poprzez samo kontynuowanie korzystania z usługi.

Lista przewinień administratorów danych w zakresie nierespektowania tego wymogu jest długa. Ta strona korzysta z ciasteczek. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie albo kontrintuicyjne: zamknięcie tego okna oznaczać będzie wyrażenie zgody, o którą prosimy poniżej to tylko dwa niechlubne przykłady. Zdaniem TSUE (wyrok z dnia 1.10.2019, C‑673/17) wyrażenie zgody na pliki cookies poprzez domyślnie zaznaczone okienko (nawet jeśli można je „odkliknąć”), również nie spełnia standardów ważnej zgody.

RODO, jak każdy inny akt prawny, podlega regułom wykładni prawniczej. Drogowskazem prawidłowej wykładni są przede wszystkim zasady ogólne. To w ich duchu należy w sposób holistyczny (a nie wyizolowany) interpretować poszczególne przepisy, czyli np. wymagania co do dobrowolności, świadomości, konkretności i jednoznaczności zgody. W przypadku RODO tym „wspólnym mianownikiem” wszystkich przepisów jest zasada przejrzystości. Czytając jednak niektóre polityki prywatności czy zapytania o zgody, można skonstatować, że ta przejrzystość chyba gdzieś po drodze zmętniała.

Jaka powinna więc być „idealna sytuacja zgody”? RODO nie precyzuje w tym zakresie możliwych form podawczych. To na administratorze danych spoczywa ryzyko stworzenia takiego mechanizmu, który zapewni rzeczywistą możliwość wyrażenia świadomej i konkretnej zgody. Czasami efektywniejsze od tekstu pełnego żargonu prawniczego mogą okazać się np. infografiki, wiadomości głosowe czy pliki wideo.

Aby wymóg jednoznaczności i dobrowolności zgody nie był jedynie iluzoryczny, należałoby w jakimś stopniu wybić internautę z rytmu „odklikiwania” wszystkiego, co się pojawia na ekranie.

Zapytanie o zgodę powinno więc zwrócić czymś naszą uwagę, a wręcz zakłócić korzystanie z usługi. Przekaz musi być prosty: Użytkowniku, skoro pytamy Cię o zgodę, to wiedz, że co do zasady przetwarzanie Twoich danych osobowych jest niezgodne z prawem.

Podsumowując, potrzebujemy Twojej zgody, aby zgodnie z prawem zarabiać 300 mld $ rocznie. Tyle szacunkowo warty jest globalny rynek reklamy cyfrowej .

Marta Musidłowska, Joanna Piskorz
European Horizons