Na polski rynek weszła czeska firma umożliwiająca nagrywanie wszystkiego, co robi użytkownik na stronie internetowej. Choć to etycznie wątpliwe, to jednak zgodne z prawem.
„Będziemy nagrywać wszystko, co odwiedzający zrobi na twojej stronie. Za darmo. Spójrz na swoją stronę internetową oczami twojego klienta!” – reklamuje się serwis Smartlook.com. Wystarczą dwie minuty na rejestrację, aby serwis zaczął śledzić cały ruch na stronie internetowej. Jej właściciel dostanie film, na którym będzie mógł zobaczyć, na co i w jakiej kolejności klikają użytkownicy, jakie dane wpisują do formularzy, w jakiej sekcji strony najdłużej przebywają, itd. Mówiąc wprost – wszystko, co robią na danej stronie, zostanie uwiecznione w postaci filmu.
Z oczywistych względów dane gromadzone przez czeski serwis mogą być bardzo przydatne firmom działającym w internecie. Dzięki nim nie tylko prześledzą zachowania swych klientów, ale też będą mogły wyciągnąć wnioski, jak poprawić strony internetowe. Przede wszystkim zaś bardziej skutecznie sprzedawać swe towary lub usługi.
Pojawia się jednak pytanie, czy administratorzy stron internetowych mogą skorzystać z usług opisywanego serwisu. Nie ma wątpliwości, że godzą się wówczas na przekazywanie danych swych klientów. Już samo IP komputera, z którego użytkownik wchodzi na stronę, może stanowić takie dane, nie mówiąc już o podawaniu imienia, nazwiska czy adresu zamieszkania w formularzach.
Zdaniem dr. Pawła Litwińskiego, adwokata w kancelarii Barta Litwiński, zarówno przetwarzanie danych przez administratorów stron, jak i przez serwis Smartlook.com jest zgodne z prawem. Podstawę stanowi art. 18 ust. 5 pkt 3 ustawy o świadczeniu usług drogą elektroniczną (t.j. Dz.U. z 2016 r. poz. 1030 ze zm.).
– Zgodnie z tym przepisem usługodawca może przetwarzać informacje o rozpoczęciu, zakończeniu oraz zakresie każdorazowego korzystania z usługi świadczonej drogą elektroniczną. To, co ktoś robi na stronie, to właśnie zakres korzystania z usługi – a to znaczy, że podmiot świadczący usługi na stronie może sam zbierać te informacje albo skorzystać z usług podwykonawcy, czyli procesora. Jest to więc dokładnie taka sytuacja, o jakiej tu mówimy – ocenia ekspert, dodając, że sytuację upraszcza przetwarzanie danych na terytorium UE. Ich eksport do krajów spoza UE wiązałby z dodatkowymi obowiązkami.
Co więcej, wspomniany przepis nie wymaga nawet wyrażenia zgody na przetwarzanie ich danych. Korzystając ze strony internetowej, zgadzają się oni na to w sposób niejako automatyczny. Powinni jednak zostać zawiadomieni, że dostęp do ich danych może mieć również podwykonawca, czyli czeska spółka Smartsupp.com. Wymaga tego art. 20 ust. 1 pkt 3 ustawy o świadczeniu usług drogą elektroniczną. Innymi słowy – jeśli administrator strony korzysta z usług czeskiego serwisu, powinien o tym poinformować swych użytkowników.
– Czym innym jest natomiast powiadomienie użytkowników o śledzeniu ich aktywności. To informacja o celu przetwarzania danych przez administratora, tutaj przy pomocy podwykonawcy – zauważa dr Paweł Litwiński.
– Moim zdaniem powinno się informować dosyć szczegółowo, żeby użytkownik miał świadomość, co się dzieje z jego danymi. To trochę tak jak z informowaniem o nagrywaniu rozmów telefonicznych: po prostu dzięki temu wiemy, że rozmowa jest nagrywana, a w tym przypadku – analogicznie – powinniśmy wiedzieć, że cała nasza aktywność na stronie jest rejestrowana – argumentuje.
Zdaniem Wojciecha Klickiego, prawnika z Fundacji Panoptykon, właściciel strony internetowej powinien jednak prosić o zgodę użytkowników. Choć zgadza się, że ustawa o świadczeniu usług drogą elektroniczną zwalnia z tego obowiązku w przypadku informacji o „zakresie każdorazowego korzystania z usługi”, to jego zdaniem tak szczegółowe dane jak każde kliknięcie myszką wykraczają już poza ten „zakres”.
Mamy do czynienia z bardzo głęboką ingerencją w prywatność informacji na temat sposobu wykorzystywania strony internetowej. Szalenie ważne, zwłaszcza w kontekście zbliżającej się reformy zasad ochrony danych osobowych, by użytkownicy zostali precyzyjnie i w zrozumiały sposób poinformowani, na co mają się zgodzić. Śledzenie całej aktywności na stronie – łącznie z hasłami wpisywanymi do formularzy – może oznaczać utratę zaufania tej grupy użytkowników, którzy świadomi są zagrożeń związanych z pozostawianiem za sobą „cyfrowego łupieżu” – tłumaczy prawnik.