Warto obserwować kazus Google’a, bo dotyczy on także polskich firm

Niedawno minął wyznaczony przez Komisję Europejską termin dostosowania nowej polityki ochrony prywatności Google’a do standardów europejskich. Jakie konsekwencje ma spór Komisji Europejskiej z potentatem internetowym dla polskich przedsiębiorstw?

Wydawać by się mogło, że kazus ogólnoświatowego koncernu nie ma związku z krajowym biznesem. Tymczasem wpływ jest silny, choć nie bezpośredni i, na razie, słabo dostrzegalny. Polskie przedsiębiorstwa także świadczą usługi w sieci.

Zastrzeżenia organów UE do polityki prywatności Google’a zmierzają do wyważenia interesu przedsiębiorcy z prawami użytkownika usług. I choć co do zasady zagadnienie ochrony danych osobowych dotyczy nie tylko e-commerce, sposób postępowania organów unijnych z Google’em jest probierzem pokazującym, w jakim kierunku idą oczekiwania wobec przedsiębiorców w tym zakresie.

Poza tym prawo dotyczące prywatności nadal się kształtuje. Przypadek tak znaczącego gracza może mieć wpływ na kształt europejskiej legislacji dotyczącej ochrony prywatności. Wiadomo, że uregulowania, które mogą zostać przyjęte na poziomie unijnym, będą zaimplementowane w prawie państw członkowskich.

Na czym więc ten spór polega?

Od 1 marca zeszłego roku koncern wprowadził nową politykę prywatności. Google, który znany jest głównie z wyszukiwarki, obecnie oferuje kilkadziesiąt usług, w tym pocztę, portale społecznościowe, przeglądarkę, mapy czy też rozwiązania związane z przetwarzaniem danych w chmurze (np. Google Drive). Podczas korzystania z tych produktów użytkownicy wysyłają na serwery koncernu ogromne ilości informacji, począwszy od banalnej historii odwiedzanych stron internetowych aż po wrażliwe dane osobowe, obejmujące lokalizację, miejsce zamieszkania, numery kart kredytowych itp. Wcześniej każda usługa miała inną, tylko do niej przypisaną politykę prywatności. Koncern postanowił ujednolicić zasady i powiązać z sobą informacje pochodzące z różnych źródeł.

Posunięcie to wzbudziło wątpliwości, zarówno użytkowników, jak i organów odpowiedzialnych za nadzór nad ochroną danych osobowych. Trzeba pamiętać, że należy ona do kompetencji państw członkowskich i zajmują się nią narodowe organy. W Polsce jest to generalny inspektor ochrony danych osobowych (GIODO), który ma odpowiedniki w innych krajach UE. W odpowiedzi na kazus Google’a na podstawie art. 29 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, dochodzenie wszczęła grupa robocza art. 29, niezależny organ doradczy. Do koordynacji postępowania wyznaczyła CNIL (Commission Nationale de l’Informatique et des Libertés), francuski odpowiednik GIODO.

W toku dochodzenia wątpliwości wzbudziły kwestie zarówno samego sposobu przetwarzania, jak i zakresu informacji o takich działaniach w nowej polityce koncernu. Zarzuty zostały wyrażone w skierowanym do Larry’ego Page’a liście wraz z rekomendacjami.

Ale do skutecznego świadczenia usług elektronicznych pobieranie danych jest niezbędne.

Oczywiście, wiele danych musi wędrować do dostawcy, aby świadczenie usług było możliwe. Trudno obsługiwać pocztę e-mail bez przetwarzania adresów. Ale diabeł tkwi w szczegółach. Zarzuty grupy dotyczyły m.in. tego, że użytkownik nie jest w stanie określić, jakie kategorie danych są przetwarzane, i nie zna celu takich działań. Jako przykład wskazywano, że w nowej polityce nie ma rozróżnienia warunków przetwarzania między niewinną treścią zapytań w wyszukiwarce a numerem karty kredytowej lub komunikacją telefoniczną.

Inne zarzuty dotyczyły możliwości zestawiania danych z różnych usług, co w praktyce oznacza, że dowolną czynność zarejestrowanego użytkownika online da się pobrać oraz zestawić z innymi bez jego wiedzy i zgody. A to może prowadzić do nieuzasadnionego monitorowania zachowań. Wskazywano również, że użytkownicy pasywni, czyli osoby niezarejestrowane, nie wiedzą, że informacje o takiej czynności, jak np. kliknięcie reklamy z Google AdWords czy "lubię to" na stronach trzecich, mogą być gromadzone i zestawiane. Polityce prywatności zarzucono także brak określenia okresów przechowywania danych.

Najistotniejsze jednak wydają się zastrzeżenia dotyczące adekwatności przetwarzanych danych do celów. Chodzi o to, by podmiot zbierający, przechowujący i przetwarzający informacje dokonywał tego tylko w zakresie, który jest niezbędny do świadczenia usługi czy - mówiąc szerzej - celu, w jakim je przetwarza. Zarówno polskie prawo, jak i dyrektywa 95/46/WE nakładają obowiązek ochrony interesów osób, których dane dotyczą, a w szczególności zapewnienia, by zakres informacji był odpowiedni do celów, w jakich są przetwarzane. W stosunku do części danych podniesiono zarzut niezachowania takiej proporcjonalności. Sporym problemem jest także brak narzędzi pozwalających użytkownikom na kontrolowanie granic przetwarzania. Każdy z nas jest dysponentem informacji na swój temat i powinien mieć możliwość niewyrażenia zgody na ich zbieranie, jak też mieć informację, co z takimi danymi się dzieje.

Czy grupa nie może skłonić koncernu do wdrożenia zapisanych w europejskich dyrektywach zasad?

Nie ma kompetencji nakładania kar. Obecnie trwają prace nad zmianami w prawie, które by to umożliwiły. Według niektórych propozycji sankcja mogłaby wynosić 1 mln euro lub 2 do 5 proc. rocznych przychodów. Ale trzeba zauważyć, że Google nie odrzucił zarzutów grupy, a już poniósł straty wizerunkowe. Użytkownicy usług, w tym wyszukiwarki, dowiedzieli się, że wysyłane podczas korzystania z nich informacje są gromadzone i przetwarzane, a sposób postępowania z nimi budzi wątpliwości. Historia zmiany regulaminu serwisu Instagram, której skutkiem była utrata użytkowników, pokazuje, że w interesie koncernu jest, by zasady ochrony prywatności były zgodne ze standardami.

Dlaczego kwestia gromadzenia danych osobowych przez podmioty działające na wolnym rynku jest tak istotna?

Bo dotyka każdego obywatela. Prawo ma na celu ujednolicenie zasad ochrony słabszych podmiotów w obrocie gospodarczym, a takimi w kontakcie z koncernami są konsumenci. Nikt nie podejrzewa Google’a o niecne działania. Warto jednak zdać sobie sprawę z potencjalnych zagrożeń, jakie niesie ze sobą zebranie w jednym miejscu informacji o użytkownikach: adresów e-mail, danych teleadresowych, ścieżek poruszania się po internecie i rzeczywistości analogowej, danych z kart kredytowych, a w przyszłości także biometrycznych.

@RY1@i02/2013/074/i02.2013.074.21500020b.802.jpg@RY2@

wojciech górski

Jarosław Jerszyński, radca prawny, partner w kancelarii Doktór, Jerszyński, Pietras

Zastrzeżenia organów UE do polityki prywatności Google’a zmierzają do wyważenia interesu przedsiębiorcy z prawami użytkownika usług

Rozmawiała Aleksandra Kozicka-Puch