IV Europejski dzień ochrony danych osobowych a targetowanie behawioralne.

Z okazji zbliżających się obchodów IV Europejskiego Dnia Ochrony Danych Osobowych, wyznaczonych przez Komitet Ministrów Rady Europy na 28 stycznia 2010 r.,chciałbym Państwu przybliżyć problemy prawne związane z tzw. targetowaniem behawioralnym. Z perspektywy prawnika jest to przede wszystkim pytanie o granice dopuszczalnych działań z wykorzystaniem danych osobowych.

Należy zacząć od tego, że przetwarzanie danych osobowych w sieciach informatycznych reguluje w pierwszej kolejności ustawa o świadczeniu usług drogą elektroniczną. Zgodnie z jej przepisami, usługodawca (czyli podmiot świadczący usługi drogą elektroniczną) może przetwarzać dane osobowe usługobiorcy (czyli osoby korzystającej z usługi świadczonej drogą elektroniczną) w celach marketingowych. Aby takie przetwarzanie danych osobowych było dopuszczalne niezbędna jest wyraźna zgoda usługobiorcy na takie działania.

Ponadto, do celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę, wspomniany usługodawca może przetwarzać wskazane przez ww. ustawę dane osobowe usługobiorców, w tym tworzyć tzw. profile usługobiorców. W takim przypadku usługodawca ma jednak obowiązek usunąć wszelkie oznaczenia identyfikujące usługobiorcę lub zakończenie sieci telekomunikacyjnej albo system teleinformatyczny, z którego usługobiorca korzystał (czyli ma obowiązek dokonać tzw. anonimizacji danych), chyba że usługobiorca wyraził uprzednio zgodę na nieusuwanie tych oznaczeń.

Ustawa zabrania ponadto usługodawcy zestawiania danych osobowych usługobiorcy z przybranym przez niego pseudonimem.

Wiele osób, które zawodowo zajmują się targetowaniem behawioralnym twierdzi, że w tym procesie nie dochodzi w ogóle do przetwarzania danych osobowych. W mojej ocenie, jeśli uwzględnić obowiązującą definicję danych osobowych zawartą w ustawie o ochronie danych osobowych (danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej) oraz możliwości, jakie dają najnowsze technologie służące do zbierania i analizy danych w postaci cyfrowej, w wielu przypadkach możliwe staje się ustalenie tożsamości danego internauty (bez nadmiernych kosztów, czasu lub działań).

Tym samym w wielu przypadkach można moim zdaniem zasadnie mówić, że w procesie targetowania behawioralnego dochodzi do przetwarzania danych osobowych. To powoduje, że znajdują zastosowanie przepisy dotyczące ochrony danych osobowych.

Zastanawiam się, ilu spośród usługodawców należycie informuje usługobiorców o tym, że zbierane są informacje o ich aktywności, ilu uzyskuje na to wyraźną zgodę usługobiorców (czyli nie poprzez odebranie ogólnikowej, hasłowej zgody, którą wyrażając usługobiorca nie uświadamia sobie potencjalnych ryzyk), ilu usługodawców dokonuje wymaganej anonimizacji danych (tj. usuwa wszelkie oznaczenia identyfikujące usługobiorcę lub zakończenie sieci telekomunikacyjnej albo system teleinformatyczny, z którego usługobiorca korzystał).

Mam wrażenie, że odpowiedź na wyżej postawione pytania nie ucieszyłaby zwolenników ochrony prywatności, zwłaszcza w sieciach komputerowych.

© by blaszyk-jarosinski.pl

Komentarze |0|

Legenda *) Pola oznaczone gwiazdką są wymagane
**) Możesz używać tych znaczników i atrybutów HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>
Kategoria: dane osobowe