RODO w praktyce. "Drogi użytkowniku! Używamy plików cookies lub podobnych technologii w celu zapewnienia Ci dostępu do serwisu, usprawniania jego działania, profilowania i wyświetlania treści dopasowanych do Twoich potrzeb. W każdej chwili możesz zmienić ustawienia…”. Przysnęli państwo? A to dopiero początek komunikatu upchniętego drobnym maczkiem w wyskakującym okienku, jakim wita nas każda nowo odwiedzana witryna internetowa.

Preambuły bywają dłuższe lub krótsze, ale zawsze następuje po nich ciąg rubryk, w których trzeba kliknąć zezwalam/nie zezwalam. Niektóre strony pozwalają odmówić jednym kliknięciem. Na innych tak łatwe jest tylko wyrażenie zgody, natomiast kto ma obiekcje, ten musi przejść przez kilka, kilkanaście pozycji, które często i tak kończą się pułapką na nieuważnych: podświetlonym przyciskiem „zgadzam się na wszystko”. Są serwisy, w których opcja „zapisz” pozostaje nieaktywna, dopóki nie zmieni się czegoś w poprzednich ustawieniach – choćby pozornie, tzn. zmieni i zaraz przywróci poprzednie, ale trzeba coś kliknąć.
Kto się nie zgodzi, a po jakimś czasie wróci na stronę, znów będzie się mozolił z odhaczaniem. Kto się spieszy, raczej udostępni swoje dane. Zostanie na ich podstawie sprofilowany i przypisany do grupy osób o podobnych cechach, co naturalnie pozwoli usprawnić działanie serwisu, ułatwi kolejne logowanie itd. Lecz przede wszystkim posłuży do targetowania reklam, czyli kierowania ich do odbiorców mających pożądane – z punktu widzenia reklamodawcy – cechy.

Ciasteczka i ciasto marchewkowe

Internetowy biznes nigdy nie zasypia. Gdy serfujemy po sieci – szukając informacji do pracy czy nauki, oglądając zdjęcia znajomych i nieznajomych, przeglądając ogłoszenia, sprawdzając prognozę pogody, porównując przepisy na ciasto marchewkowe itd. – informacje o naszej lokalizacji, języku, którego używamy, wieku, płci, słowach wpisanych w wyszukiwarkę i wiele innych danych stają się przedmiotem handlu.
Z drugiej strony lady jest firma X, która chce sprzedać swój produkt, powiedzmy, proszek do pieczenia. Reprezentująca ją agencja mediowa będzie więc wyświetlać reklamy firmy X osobom najlepiej rokującym jako jej potencjalni klienci. Kobieta zainteresowana ciastem marchewkowym na pewno się nadaje – dlatego strona, na której pojawia się internauta z takimi danymi, od razu głośno krzyczy, że ma „towar”. Agencja kupuje, kilka groszy zmienia właściciela, a my widzimy reklamę proszku do pieczenia X.
Wszystko to jest zautomatyzowane i przebiega w mgnieniu oka, a nawet szybciej. Na całym świecie bez przerwy odbywają się aukcje reklam internetowych, na których witryny oferują reklamodawcom uwagę miliardów osób krążących po sieci. Żeby to robić skutecznie, muszą się najpierw czegoś o internautach dowiedzieć. Firma X nie będzie przecież chciała płacić za pokazanie swojego proszku do pieczenia komuś spoza targetu, czyli grupy docelowej.
Dlatego dla reklamy internetowej śledzenie osób pojawiających się online ma podstawowe znaczenie.
– Słowo „śledzenie” źle się kojarzy – protestuje Szymon Lipiński, dyrektor ds. danych i strategii w agencji mediowej Wavemaker (GroupM). – Tutaj chodzi o anonimowe zbieranie informacji o użytkownikach stron internetowych. Dzięki temu przekaz reklamowy trafi do odpowiednich osób, tzn. takich, które mogą być nim zainteresowane – wyjaśnia. – Informacje są zbierane nie tyle o internautach, ile o ich urządzeniach i przeglądarkach, z których korzystają. My, GroupM i agencje z naszej grupy, np. Wavemaker, nie zbieramy danych osobowych – uściśla. Nikt się nie dowiaduje, że stronę odwiedził Jan Kowalski. W systemie pozostaje tylko ślad po IP.
Do rozpoznawania przeglądarek odwiedzających witryny internetowe służą tzw. ciasteczka (cookies). Gdy wchodzimy na stronę po raz pierwszy, wysyła nam ona mały plik „zapoznawczy”. Jeśli się zgodzimy, nasza przeglądarka go zachowa i przy ponownej wizycie na tej stronie odeśle go jej jako znak rozpoznawczy „cześć, to znowu ja”. Rodzaje ciasteczek są różne. Z tych niezbędnych do działania danego serwisu nie można zrezygnować. Co do pozostałych – analitycznych, funkcjonalnych oraz reklamowych – mamy wybór.

Miliardy za ciasteczka na reklamowym stole

– Jeśli się nie zgodzę, to analizowanie mnie i przyporządkowywanie do mnie jakichś cech (np. „zainteresowany wyposażeniem domu” – red.) będzie niemożliwe. Będę nieanalizowalny i nietargetowalny – mówi Szymon Lipiński.
Nie ma co się łudzić – takiej osoby reklamy w sieci też nie ominą, tyle że będą wyświetlane na oślep. Ich zniknięcie nie wchodzi w rachubę, bo gra toczy się o ogromną stawkę.
Kwoty pojedynczych aukcji są wprawdzie groszowe, ale wartość rynku reklamy internetowej w pierwszym półroczu 2022 r. przekroczyła w Polsce 2,3 mld zł – wynika z danych Publicis Groupe. Wydatki reklamodawców w internecie zwiększyły się o 8,4 proc. rok do roku, podczas gdy dynamika całego krajowego rynku reklamowego wyniosła w tym czasie 5,5 proc.
Sektor online od niedawna gra na tym rynku pierwsze skrzypce. Internetowe budżety reklamowe (nie uwzględniając wydatków na ogłoszenia) stanowią 44,4 proc. całego tortu reklamowego. Drugie miejsce zajmuje telewizja, do której według obliczeń Publicis Groupe trafia 40,7 proc. pieniędzy reklamodawców. Internet wyprzedził ją m.in. dzięki swojej precyzji w trafianiu do właściwych odbiorców.
– Z wiedzy o użytkownikach korzystają jednak nie tylko marketerzy – zastrzega Szymon Lipiński. – Jest ona również istotna dla właścicieli i wydawców stron internetowych. Bez tego nie można analizować ruchu w danym serwisie. Nie widać, jakich użytkowników interesują publikowane tam treści, co się podoba jakiej grupie. Ta sytuacja ociera się wręcz o absurd: ktoś przygotowuje treści, umieszcza je w swojej witrynie, ludzie przychodzą i korzystają z tych materiałów, ale nie pozostaje po tych odwiedzinach żaden ślad – stwierdza.

RODO rządzi

Rewolucję na rynku reklamy internetowej w Unii Europejskiej wprowadziło rozporządzenie o ochronie danych osobowych – RODO. Śledzenie stało się trudniejsze. Żeby móc zbierać informacje o użytkownikach zgodnie z prawem, branża wymyśliła specjalny mechanizm pozyskiwania zgód na ciasteczka. Zajęło się tym stowarzyszenie IAB Europe, reprezentujące media internetowe, firmy technologiczne i agencje reklamowe. Opracowane przez nie narzędzie funkcjonuje pod nazwą Transparency & Consent Framework, w skrócie TCF. Jak wyjaśnia IAB Europe, TCF „pomaga firmom z ekosystemu reklamy cyfrowej w ich wysiłkach na rzecz przestrzegania unijnych przepisów dotyczących prywatności i ochrony danych”.
W jaki sposób? IAB Europe twierdzi, że TCF „zawiera minimalny zestaw najlepszych praktyk, które mają na celu zapewnienie, że podczas przetwarzania danych osobowych użytkownicy mają zapewnioną odpowiednią przejrzystość i wybór, a uczestnicy ekosystemu są informowani – za pośrednictwem sygnału cyfrowego – o preferencjach wyrażanych przez użytkowników”, aby wiedzieli, co im wolno robić z pozyskanymi danymi.
Według Fundacji Panoptykon uruchomione w kwietniu 2018 r. narzędzie jest stosowane przez 80 proc. stron internetowych.
– Dla reklamy internetowej to podstawowe narzędzie pracy. Jeżeli nie byłoby tych zgód, niemożliwe byłoby kierowanie reklam do odpowiednich osób – mówi o TCF Szymon Lipiński.
A bez targetowania branży internetowej pozostałaby tylko metoda stosowana w klasycznej telewizji: pokazywanie wszystkim tych samych reklam w nadziei, że wśród widzów będą też osoby zainteresowane danym produktem. W ten sposób reklama online straciłaby swój istotny atut.
Jaka część internautów godzi się na zbieranie informacji?
– Dla różnych serwisów są to bardzo różne liczby. W swojej pracy niezmiernie rzadko spotykałem się z przypadkami, żeby ten odsetek był niższy niż 50 proc. odwiedzających. Na przeważającej liczbie stron jest to większość, pytanie tylko, jak duża – odpowiada Szymon Lipiński. Główne polskie portale potrafią np. uzyskać zgody na poziomie zdecydowanie przekraczającym 90 proc.
Lipiński podkreśla, że internauci, którzy kontestują ciasteczka, i tak biorą udział „w ekosystemie reklamowym”. – Z ich punktu widzenia różnica jest tylko taka, że oglądają reklamy od Sasa do Lasa. Natomiast my, marketerzy, nie dowiemy się, na ile dana reklama była w ich przypadku skuteczna. Co nie znaczy, że na nich nie zadziała. Nie sposób tego jednak zmierzyć – wyjaśnia ekspert.

Nakładka RODO

Z tym mechanizmem od początku miała problem działająca na rzecz ochrony prywatności Fundacja Panoptykon.
„Ciągłe śledzenie i profilowanie wiąże się nie tylko z utratą prywatności, ryzykiem dyskryminacji i manipulowania ludźmi z wykorzystaniem ich słabości” – wyjaśnia Panoptykon w swoim serwisie internetowym. „Model biznesowy, w którym zbieranie coraz większych ilości danych decyduje o «być albo nie być» na rynku, ma doskonale zbadane i opisane negatywne konsekwencje dla szerszych procesów ekonomicznych i społecznych” – czytamy. Fundacja wskazuje na sprzyjanie praktykom monopolistycznym oraz wypieranie rzetelnych treści przez materiały publikowane dla klików, co „prowadzi do spadku jakości mediów i erozji debaty publicznej”.
Panoptykon jest zdania, że opracowane przez IAB Europe narzędzie (fundacja nazywa je „nakładką RODO”) wbrew deklaracjom nie spełnia unijnego rozporządzenia o ochronie danych osobowych. – Mówiąc najprościej: klikający człowiek nie zgadza się świadomie na śledzenie i profilowanie, on się jedynie ogania od ewidentnej niedogodności – wyjaśnia Katarzyna Szymielewicz, prezeska Panoptykonu.
Na początku 2019 r. fundacja złożyła skargę na IAB Europe do polskiego Urzędu Ochrony Danych Osobowych (UODO), skąd trafiła ona do Belgii, bo siedziba IAB Europe mieści się w Brukseli. W lutym 2022 r. belgijski Urząd Ochrony Danych (APD) stwierdził naruszenie zasad RODO. A ściślej: uznał, że zbierane w systemie IAB zapisy preferencji użytkownika co do ciasteczek (czyli ich akceptacji lub odrzucenia) spełniają definicję danych osobowych. A w konsekwencji organizacja branżowa jest administratorem danych.
IAB Europe za takowego się nie uważał – i nie robił tego, co jest obowiązkiem administratora danych: nie przeanalizował ryzyka, nie przygotował rejestru czynności przetwarzania ani nie powołał inspektora danych. APD nałożył więc na IAB Europe karę 250 tys. euro.
Organizacja uważa tę decyzję „za błędną zarówno w ocenie faktów, jak i analizie prawnej” oraz nienależycie uzasadnioną. Wytyka też urzędowi, że „przeprowadził jedynie ograniczoną ocenę minimalnych wymagań” określonych w specyfikacji TCF „bez indywidualnego badania faktycznych środków” podjętych przez podmioty korzystające z tego narzędzia. Ponadto skarga Panoptykonu była według IAB Europe formalnie niedopuszczalna, ponieważ złożono ją po polsku, a nie w jednym z oficjalnych języków Belgii.
Po odwołaniu IAB Europe sprawa trafiła do sądu. Ten 9 września odrzucił większość zarzutów proceduralnych organizacji branżowej, a w kwestiach merytorycznych skierował sprawę do Trybunału Sprawiedliwości Unii Europejskiej, który ma stwierdzić, czy zapisywanie preferencji w kwestii śledzenia to dane osobowe i czy IAB Europe jest ich administratorem.
Rozstrzygnięcia TSUE można się spodziewać w 2023 r. Na razie IAB Europe uspokaja korzystających z jego narzędzia, że w decyzji APD nie ma nawet odległej sugestii, jakoby okienka z pytaniami o zgodę „były nielegalne lub nie powinny być wykorzystywane przez ekosystem reklamy cyfrowej”. Jeśli decyzja belgijskiego urzędu cokolwiek zmienia – stwierdza IAB – „to wydaje się, że wymaga” dodania jeszcze jednej informacji i prośby o zgodę. Tym razem „na gromadzenie i przetwarzanie danych osobowych w celu przechowywania zapisów preferencji użytkownika”. Czyli do kilku wariacji pytania „Czy zgadzasz się na ciasteczka?” doszłoby „Czy godzisz się, żebym zapamiętał, że zgadzasz się na ciasteczka?”.
Co by się stało, gdyby IAB musiał jednak wycofać swój mechanizm? Jak zmieniłoby się wtedy doświadczenie przeciętnego internauty?
– Trudno przewidzieć, jak branża interaktywna podejdzie do faktycznego zakazu dręczenia ludzi wyskakującymi okienkami i jak, pod wpływem decyzji TSUE, wydawcy mediów elektronicznych przeprojektują swoje interfejsy – odpowiada Katarzyna Szymielewicz. Jej zdaniem dobry kierunek wyznaczył Apple. – Na urządzeniach z systemem operacyjnym iOS nie ma irytujących okienek. Są za to przejrzyste ustawienia prywatności dla wszystkich aplikacji w jednym miejscu. Jeśli mam ochotę je zmienić, robię to, ale żadna z aplikacji nie ma prawa mnie nagabywać o zgodę na cookies, które już świadomie odrzuciłam – stwierdza.
Jednocześnie to właśnie ta zmiana w iPhone’ach utrudniła wielu firmom internetowym sprzedaż reklam. Na nową politykę prywatności Apple’a utyskują szczególnie media społecznościowe – na czele z Facebookiem.
Szymon Lipiński uważa, że w razie wycofania narzędzia IAB pojawi się jakieś inne. – Rynek nie znosi próżni – mówi. – Za wprowadzeniem TCF stała idea ujednolicenia, unifikacji systemu. Rynek analityki danych jest bowiem bardzo rozdrobniony. Gdy zaczęło obowiązywać RODO, istniało ryzyko, że każdy będzie zbierał zgody po swojemu i zapanuje bałagan. IAB postanowił więc opracować i wdrożyć uniwersalny standard rynkowy. Jeśli któregoś dnia go zabraknie, to pojawią się inne mechanizmy. Myślę, że największe portale horyzontalne szybko przygotowałyby własne narzędzia – przypuszcza.
Przyznaje, że da się sprzedawać reklamy internetowe bez zbierania informacji o użytkownikach. – Kiedyś przed laty tak to działało, ale internet nie miał wtedy takiej przewagi nad innymi mediami, nie był tak precyzyjny. Dziś również część reklam sprzedaje się i kupuje w ten sposób, bez mierzenia. Jest to jednak margines. Rezygnacja ze zbierania informacji cofnęłaby całą branżę o lata – stwierdza. – I co najważniejsze, dramatycznie obniżyłaby się też jakość doświadczenia przebywania w internecie z punktu widzenia zwykłego użytkownika. Reklam byłoby pewnie nawet więcej niż dzisiaj, co jedna, to dziwniejsza – argumentuje.
Może jednak część internautów woli nieadekwatne reklamy od wścibskich ciasteczek i Wielkiego Brata zdającego się wiedzieć coraz więcej o coraz większej liczbie osób?
– Znajdą się pewnie zwolennicy obu skrajności. Najważniejsze, aby i użytkownicy, i firmy mieli poczucie, że cały proces jest przejrzysty, że wszystko odbywa się zgodnie z prawem i najlepszymi praktykami – mówi Szymon Lipiński.
Czy obecny mechanizm pozyskiwania zgód na zbieranie informacji to zapewnia? – Nigdy nie jest tak dobrze, żeby nie można było czegoś poprawić. Wyskakujące okienka, w których trzeba przejść przez co najmniej kilka pozycji i zaznaczyć „tak” albo „nie”, są irytujące. Z drugiej strony prawo wymaga poinformowania użytkownika. Mamy więc godzenie ognia z wodą. Dlatego trudno mi sobie wyobrazić rozwiązanie idealne dla wszystkich. Mechanizm, który dziś mamy, jest kompromisem. Ale dobrze, że funkcjonuje – uważa Lipiński.
Jak Panoptykon wyobraża sobie zbieranie pozwoleń na śledzenie i profilowanie w celach marketingowych zgodnie z RODO? – Na pewno nie w formie wyskakujących okienek, które wymuszają na ludziach impulsywne klikanie i nie przekazują im rzetelnych informacji o tym, co się dzieje na zapleczu stron internetowych – odpowiada Katarzyna Szymielewicz. Dodaje, że reklama bazująca na zainteresowaniach i preferencjach internautów mogłaby być zgodna z RODO. – Tyle że nie na tych „wyśledzonych” dzięki inwazyjnym technikom, lecz tych, które ujawniliśmy dobrowolnie, np. tworząc lub edytując swoje profile marketingowe na portalach społecznościowych – zastrzega. – Tego typu interfejsy do dobrowolnego zarządzania danymi mogą tworzyć zaufani pośrednicy: wyspecjalizowane firmy zobowiązane do ochrony powierzonych im danych przez samych użytkowników – sugeruje.

Reklama kontekstowa to przyszłość

Panoptykon w sprawie przeciwko IAB Europe widzi szansę dla rozwoju alternatywnych modeli reklamowych. Prezeska fundacji przekonuje, że wydawcy jakościowych treści mogą odnieść większe korzyści, przestawiając się na reklamę kontekstową, czyli dostosowaną do charakteru publikowanych materiałów.
– Dla przykładu: holenderski wydawca NPO po rezygnacji ze śledzenia odnotował wzrost dochodów o 149 proc. Z kolei grupa wydawnicza z Norwegii w ciągu 12 miesięcy na reklamach kontekstowych zarobiła prawie cztery razy więcej niż na reklamach śledzących. Również powszechnie stosowane wskaźniki skuteczności reklam, takie jak rozpoznawalność marki czy intencja zakupu, często okazują się wyższe dla reklamy kontekstowej niż śledzącej – wylicza Katarzyna Szymielewicz.
Reklama kontekstowa również może być profilowana, czyli krojona na miarę użytkowników danego serwisu. – Ale nie wymaga śledzenia użytkownika pomiędzy stronami internetowymi i o wiele mniej ingeruje w naszą prywatność – podkreśla Szymielewicz.
Jej zdaniem alternatywne modele reklamy online potrzebują teraz tylko wiatru w żagle, żeby zwiększyć zasięgi. – Pierwszym silnym powiewem dla nich była decyzja belgijskiego organu ochrony danych w sprawie przeciwko IAB Europe. Ale jestem pewna, że nadejdą kolejne. Na naszych oczach zmienia się trend – stwierdza prezeska Panoptykonu i przekonuje, że wskaźniki efektywności reklamy kontekstowej stałyby się jeszcze lepsze, gdyby rynkowy standard poszedł w tym kierunku. – Zamiast wykrywania ludzkich słabości algorytmy sztucznej inteligencji uczyłyby się trafnego dopasowywania reklamy do kontekstu na stronie albo obserwacji behawioralnych ograniczonych do konkretnej sesji. To byłby internet z ludzką twarzą – podsumowuje.
Belgijski Urząd Ochrony Danych w lutym dał IAB Europe dwa miesiące na przedstawienie do akceptacji „planu naprawczego” dla narzędzia do zbierania zgód na ciasteczka. Organizacja to zrobiła. Kolejne cztery miesiące miało zająć wdrożenie planu – nie został jednak jeszcze przez urząd zatwierdzony. IAB Europe nie ujawnił nam, co zawarł w dokumencie, jaki w kwietniu przedłożył APD. Natomiast tydzień temu organizacja wydała oświadczenie, w którym pobrzmiewa zdziwienie, że urząd „zamierza kontynuować badanie” planu naprawczego „w celu jego ewentualnego zatwierdzenia”. IAB Europe uważa bowiem, że skoro belgijski sąd poprosił o wskazówki Trybunału Sprawiedliwości Unii Europejskiej, to w oczekiwaniu na nie „decyzja APD nie może być egzekwowana”.