Dotychczasowe rozwiązania polegające głównie na nałożeniu na przedsiębiorców obowiązków informacyjnych nie chronią w wystarczający sposób użytkowników. Niezbędna jest interwencja ustawodawcy na szczeblu unijnym - piszą eksperci z kancelarii ADVISER Armknecht i Partnerzy, Radcowie Prawni.
Firmy bukmacherskie skrzętnie skrywają swoje know-how. W aspekcie tworzenia algorytmów kursów dotyczących przedmiotu zakładu jest to zrozumiałe, ponieważ obejmuje element projektowania produktu pod względem jego efektywności. W końcu firma bukmacherska nie działa ani non-profit, ani non-for-profit, a powiedzenia takie jak „Istnieje bardzo łatwy sposób na powrót z kasyna z małą fortuną; idź́ tam z dużym” mają wiele wspólnego z rzeczywistością. Niemniej istnieje jeszcze jeden bardzo ciekawy aspekt działalności firm bukmacherskich: czy projektowane przez te firmy usługi nie idą dalej, tzn. nie tylko zachęcają wyjątkową konkurencyjnością swojej oferty, lecz także ją personalizują w oparciu o dane konkretnego klienta? Kwestia ta jest szczególnie interesująca w dobie cyfryzacji i przeniesienia przez firmy bukmacherskie swojej działalności do aplikacji na smartphony. Tym bardziej, iż tajemnicą poliszynela jest, że rynek bukmacherski wykorzystuje technologię do wykrywania i eliminowania nadużyć, w szczególności podejrzanych (nietypowych) prób dokonania zakładów bukmacherskich, np. na określone zdarzenie w trakcie meczu. Tymczasem technologia może również znaleźć zastosowanie w zwiększaniu efektywności zaangażowania gracza w sposób, który będzie ingerował w jego prywatność – bez jego wiedzy czy świadomości.
O konkretnych praktykach możemy się dowiedzieć za sprawą artykułu opublikowanego przez „New York Times” w marcu 2021 r. („Gambling Apps Know a Lot About You”), w którym opisano działania najpopularniej firmy bukmacherskiej w Wielkiej Brytanii Sky Bet, których „ofiarą” stał się użytkownik o imieniu Gregg.
Gregg zawierał zakłady bukmacherskie przez dziewięć miesięcy w 2018 r. W tym czasie przegrał swoje oszczędności (ok. 15 tys. dol.), zaciągnął pożyczki gotówkowe (ok. 70 tys. dol.) oraz kredyt pod zastaw swojego domu (ok. 150 tys. dol.) w celu dalszej gry. Gry hazardowe doprowadziły go na skraj bankructwa. Obecnie Gregg stara się ustalić, czy aplikacja firmy bukmacherskiej Sky Bet, w której dokonywał zakładów, nie wpłynęła na jego sytuację. Chodzi o to, jakie informacje o nim zbierał Sky Bet za pośrednictwem aplikacji oraz swoich partnerów i czy je wykorzystywał w celu przedstawienia mu kolejnych ofert zakładów.
Gregg ustalił, że Sky Bet wiedział o jego sytuacji, ponieważ firma ta (lub jeden z dostawców danych) miała dostęp do danych bankowych, szczegółów kredytu hipotecznego, współrzędnych lokalizacji i danych sensytywnych, tj. jego nawyków obstawiania, przyzwyczajeń i preferencji, ponieważ obserwował jego ruch jako użytkownika w sieci.
Co więcej, po zaprzestaniu uprawiania hazardu Gregg został przez Sky Bet zakwalifikowany przez ich wewnętrzny system jako „klient do odzyskania” i w związku z tym otrzymywał wiadomości e-mail, w których nie tylko oferowano mu okazję wygrania ponad 40 tys. dol., lecz także w sposób zautomatyzowany wytypowano rodzaj zakładu jako dopasowany do jego preferencji. Sky Bet bardzo dokładnie profilował zatem swoich klientów i przy podejmowaniu wobec nich działań stosował zabiegi socjotechniczne, które miały ich zachęcić do obstawiania większych kwot, częstszego uczestnictwa w zakładach, albo – przy rezygnacji przez użytkownika – do jego powrotu.
Realizując swoje uprawnienia wynikające z brytyjskich przepisów o ochronie danych osobowych, Gregg dowiedział się, jakie dane na jego temat przetwarza firma.
„The New York Times” wskazuje, że informacje, które mogłyby być zastosowane do pomocy uzależnionym od hazardu użytkownikom, wykorzystywane były do podtrzymywania i potęgowania ich nałogu. Odpowiednio dostosowane oferty, reklamy, maile marketingowe kierowane do hazardzistów nie pozwalały im zerwać z chorobą. Raport brytyjskiej Izby Lordów wskazuje, że 60 proc. zysków hazardzista branży hazardowej pochodzi od 5 proc. najbardziej uzależnionych osób.
Sky Bet odpowiedziała na zarzuty kierowane pod jej adresem. Spółka nie zaprzecza, że posiadała dane użytkowników. Informuje jednak, że nie uzyskała ich samodzielnie, lecz z pomocą zewnętrznych przedsiębiorstw. Wskazuje, że posiadane przez nią informacje nie były wykorzystywane w celu zachęcania do hazardu osób z ryzykiem uzależnienia. Wręcz przeciwnie, pomagały ograniczyć możliwości uczestniczenia w grze takim osobom.
W „Polityce prywatności” Sky Bet znajduje się zapis, że spółka zbiera takie dane, jak historia wyszukiwania i obstawianych sportów, wysokość zakładów. Dane są używane do personalizacji oraz przeciwdziałania praniu pieniędzy poprzez aplikację. W „Polityce prywatności” znajduje się również informacja, że jeśli użytkownik nie chce, aby dane były zbierane, to powinien usunąć swoje konto. Warto odnotować, że taka „informacja” pojawia się kilkukrotnie.
Podobna sytuacja mogłaby mieć miejsce także w Polsce. Co prawda w Wielkiej Brytanii i w Stanach Zjednoczonych obowiązują inne normy w zakresie bezpieczeństwa danych osobowych, jednak obywatel Unii Europejskiej może wyrazić zgodę na przetwarzanie danych w podobny sposób. Pozbawi się tym samym ochrony prawnej. Problem polega na tym, że użytkownicy aplikacji w większości nie są świadomi, że taką zgodę wyrażają. Ponadto dane osobowe polskiego użytkownika aplikacji hazardowej mogą być transferowane do USA czy Wielkiej Brytanii i tam przetwarzane w podobny sposób.
Twórcy aplikacji Sky Bet mogli „sterować” zachowaniem Gregga dzięki systemowi profilowania, czyli prognozowania sposobu zachowania się człowieka, określania jego sytuacji ekonomicznej, stanu zdrowia, osobistych preferencji, zainteresowań, wiarygodności, lokalizacji czy też przemieszczania się̨. Proces ten odbywał się automatycznie. System teleinformatyczny zbierał odpowiednie dane użytkownika aplikacji, po czym porównywał je z danymi statystycznymi lub danymi innych użytkowników. Utworzyły się w ten sposób nowe dane nieprzekazane przez użytkownika. Powoduje to, iż aplikacja hazardowa mogła z dużym prawdopodobieństwem stwierdzić, jak zachowa się Gregg wystawiony na odpowiednie bodźce.
Takim praktykom miało zapobiec ustawodawstwo unijne. Zgodnie z art. 22 ust. 1 Ogólnego Rozporządzenie o Ochronie Danych Osobowych (Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. (RODO, Dz. Urz. UE Nr L 119 z 04 maja 2016 r.) osoba, której dane dotyczą̨, ma prawo do tego, by nie podlegać́ decyzji opierającej się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu. Jak wskazują wytyczne Grupy Roboczej ds. Ochrony Osób Fizycznych, zakaz określony w art. 22 ust. 1 ma zastosowanie wyłącznie w szczególnych okolicznościach, w których decyzja podjęta wyłącznie w oparciu o zautomatyzowane przetwarzanie, w tym profilowanie, wywołuje wobec danej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Nawet w tych sytuacjach określono wyjątki umożliwiające stosowanie takiego przetwarzania. Najczęściej spotykanym jest wyrażenie zgody na profilowanie. W takim przypadku staje się ono w pełni legalne. W tym miejscu należy zwrócić uwagę, że wystarczy jakakolwiek, nawet niewywierająca znaczącego wpływu ingerencja człowieka w podejmowanie decyzji, a proceder ten będzie w pełni zgodny z prawem. W wytycznych wskazano również, iż administratorzy danych osobowych stosujący profilowanie na podstawie zgody muszą wykazać, że osoby, których dane dotyczą, dobrze rozumieją, na co dokładnie się zgadzają. Niezależnie od danego przypadku osoby, których dane dotyczą, powinny dysponować odpowiednią liczbą stosownych informacji na temat planowanego wykorzystania danych oraz konsekwencji związanych z ich przetwarzaniem, tak aby ich zgoda wynikała ze świadomej decyzji. Wytyczne Grupy Roboczej nie stanowią jednak źródła prawa, a niezastosowanie się do nich nie rodzi żadnych konsekwencji po stronie twórcy aplikacji.
W praktyce większość użytkowników aplikacji hazardowych nie ma świadomości, iż wyraża zgodę na profilowanie. Dzieje się tak dlatego że klauzula informująca o stosowaniu mechanizmów profilowania zazwyczaj znajduje się w obszernych regulaminach akceptowanych przy zakładaniu konta, których użytkownicy nie czytają. Twórcy treści cyfrowych mają tego świadomość, tak więc treść przepisów unijnych w bardzo niewielkim zakresie ogranicza im możliwość wykorzystywania danych w celu „sterowania” użytkownikami, a działanie takie pozostaje w pełni zgodne z prawem.
Internet nie ma granic. Dane osoby korzystającej z aplikacji na terytorium Polski mogą być przekazywane do innego państwa znajdującego się w Europejskim Obszarze Gospodarczym (kraje UE oraz Islandia, Liechtenstein i Norwegia) bądź też poza nim, gdzie nie zawsze będzie obowiązywał taki sam poziom ochrony prawnej. Przedsiębiorcy posiadający siedzibę na terytorium EOG przekazujący dane poza ten obszar są zobowiązani do przestrzegania Rozporządzenia 2016/679 (RODO). Mogą oni przekazywać dane do „państwa trzeciego” bez konieczności przestrzegania dodatkowych wymogów, jeśli Komisja stwierdzi, państwo to zapewnia odpowiedni stopień ochrony wydając odpowiednią decyzję w tym zakresie. Takie przekazanie nie wymaga specjalnego zezwolenia. W razie braku decyzji administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego, wyłącznie gdy zapewnia ono odpowiednie zabezpieczenia i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, oraz skuteczne środki ochrony prawnej. Jak wskazał Trybunał Sprawiedliwości UE w wyroku z 16 lipca 2020 r. wydanym w sprawie C-311/18, wymagane przez te przepisy odpowiednie zabezpieczenia, egzekwowalne prawa oraz skuteczne środki ochrony prawnej powinny zapewniać, by prawa osób, których dane osobowe są przekazywane do państwa trzeciego na podstawie standardowych klauzul ochrony danych, były chronione w stopniu merytorycznie równoważnym temu gwarantowanemu w Unii. Zabezpieczenie danych odbywa się poprzez zastosowanie do umów dotyczących transferu danych osobowych standardowych klauzul umownych przyjętych lub zatwierdzonych przez Komisję lub wiążących reguł korporacyjnych, tj. wewnątrzorganizacyjnej polityki ochrony danych grupy kapitałowej. Przyjęcie tego typu rozwiązań powoduje, że obywatel Polski nie powinien obawiać się, że jego dane zostaną wykorzystane w sposób naruszający prawa przyznane mu na terytorium UE. Niemniej należy pamiętać, że zgodnie z art. 15 RODO, każdy ma prawo m.in. do żądania od administratora dostępu do swoich danych (taki back-up swoich danych można pobrać np. w serwecie Facebook). Nadto po wygaśnięciu obowiązków prawnych, w szczególności celu przetwarzania danych, cofnięciu zgody w przypadku dobrowolności podania danych, administrator powinien usunąć dane osoby, której dotyczą (tzw. prawo do bycia zapomnianym, The right to be forgotten – RTBF). Kwestia ta została uregulowana w art. 17 RODO. Gdy użytkownik skorzysta tego uprawnienia po zakończeniu korzystania z aplikacji, nie będzie, a przynajmniej nie powinien otrzymywać niechcianych, a czasem wręcz nagabujących wiadomości.
Przekazywanie danych osobowych do Wielkiej Brytanii do 1 lipca 2021 r. odbywało się na zasadach takich, jakby Wielka Brytania nadal była członkiem UE. Niemniej, w dniu 28 czerwca 2021 r., Komisja Europejska wydając decyzje pod syg C(2021) 4800 final na podstawie rozporządzenia (UE) 2016/679 (RODO) i C(2021) 4801 final na podstawie Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (Dz.Urz. UE z 4.05.2016 r., nr L 119/89), potwierdziła, że Zjednoczone Królestwo Wielkiej Brytanii i Irlandii Północnej zapewniają odpowiedni poziom ochrony danych osobowych. Obie decyzje Komisji Europejskiej, zapewniające swobodę przepływu danych osobowych do Wielkiej Brytanii, obowiązują od dnia ich wydania przez okres czterech lat z możliwością przedłużenia okresu ich obowiązywania . Oznacza to, iż Wielka Brytania, będąc uznaną za państwo trzecie zapewniające odpowiedni poziom ochrony danych osobowych, korzysta ze swobody wymiany danych osobowych z krajów EOG (Europejskiego Obszaru Gospodarczego) bez konieczności uzyskiwania dodatkowych zezwoleń, czy wdrażania dodatkowych zabezpieczeń przewidzianych w rozdziale V RODO. Niemniej, przekazywanie danych do podmiotów mających siedzibę na terytorium Wielkiej Brytanii, stanowi przekazywanie danych osobowych do państwa trzeciego, co wiąże się, po stronie administratorów danych, z określonymi obowiązkami informacyjnymi oraz dokumentacyjnymi. Zaznaczyć należy, iż w okresie od dnia 01 stycznia 2021 do 27 czerwca 2021 r., na podstawie postanowień umowy o handlu i współpracy między Unią Europejską i Europejską Wspólnotą Energii Atomowej, z jednej strony, a Zjednoczonym Królestwem Wielkiej Brytanii i Irlandii Północnej , z drugiej (Dz. Urz. UE z 30.04.2021, Nr L 149/10), wymiana danych pomiędzy krajami EOG a Wielką Brytanią, nie była traktowana jako przekazywanie danych do państwa trzeciego.
Podmioty z siedzibą w USA odbierające dane osobowe przekazane z EOG na mocy decyzji Komisji (UE) 2016/1250 zatwierdzającej Tarczę Prywatności korzystały z domniemania, że chronią dane osobowe na odpowiednim zgodnym z RODO poziomie. Trybunał Sprawiedliwości UE w wyroku z 16 lipca 2020 r. wydanym w sprawie C-311/18, Schems II stwierdził jednak nieważność decyzji wykonawczej 2016/1250 przyjętej na mocy dyrektywy 95/46, w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE–USA. Stało się tak z uwagi na obecnie obowiązujące w Stanach Zjednoczonych ustawodawstwo, szczególnie normy inwigilizacyjne, na których mocy dane osobowe są w szerokim zakresie przekazywane władzy publicznej oraz organom ścigania. Od tej pory transfer danych może odbywać się jedynie w oparciu o standardowe klauzule umowne lub o wiążące reguły korporacyjne. W wyroku w sprawie Schems II TSUE wskazał również, że nie w każdym przypadku zastosowanie standardowych klauzul umownym będzie stanowić wystarczający środek pozwalający na zapewnienie w praktyce skutecznej ochrony danych osobowych. Oprócz standardowych klauzul umownych należy zatem stosować dodatkowe zabezpieczenia, które zapewnią ochronę danych osobowych podmiotów z EOG na wysokim poziomie. Nie ma jednak norm prawnych określających sposoby tego zabezpieczenia zatem każdy przypadek transferu danych może stanowić działanie sprzeczne z RODO.
Rozstrzygnięcie sporu pomiędzy Greggiem a Sky Bet należy do kompetencji sądu. Niezależnie jednak od tego, czy aplikacja korzystała z danych w celach pomocy uzależnionym od hazardu czy też podtrzymywania i potęgowania nałogu, niewątpliwie miała ona możliwość oddziaływania na zdrowie użytkowników. Profilowanie jest zjawiskiem wysoce niebezpiecznym. Uzyskane przez system informatyczny dane mogą posłużyć do „sterowania” użytkownikami. Procesy psychologiczne, w tym powstanie i rozwój uzależnienia, mogą zostać opisane w kodach, którymi posłuży się przedsiębiorca. Skutkami takiej działalności może być nie tylko, jak często opisywano, kupowanie rzeczy, których nie potrzebujemy, lecz także popadnięcie w nałogi, utrata zdrowia czy bankructwo.
Dlatego też niezbędna jest interwencja ustawodawcy na szczeblu unijnym. Dotychczasowe rozwiązania polegające głównie na nałożeniu na przedsiębiorców obowiązków informacyjnych nie chronią w wystarczający sposób użytkowników. Możliwości wyłączenia ochrony przed profilowaniem na skutek wyrażenia zgody również nie zapewnia użytkownikom aplikacji hazardowych należytego poziomu ochrony.
Jeśli w aplikacji przewidziana jest możliwość profilowania, to konsument, który chce, aby odbierane przez niego treści były do niego bardziej „dopasowane”, powinien sam o takie profilowanie wystąpić, wchodząc samodzielnie – bez sugestii aplikacji – w odpowiednie zakładki. Gąszcz informacji nie jest korzystny dla użytkowników aplikacji internetowych. Przedstawienie internaucie tak dużej ilości informacji nie sprawi, że stanie się świadomym odbiorcą treści cyfrowych. Wręcz przeciwnie, powoduje coraz większą dezinformację, gdyż użytkownicy nie przeczytają żadnej z nich. Trudno bowiem oczekiwać, że osoba korzystająca z internetu będzie poświęcała godziny na czytanie obszernej polityki prywatności, plików cookies oraz regulaminów korzystania z usług. Korzystamy z informacji i usług zawartych w internecie, gdyż są one szybko dostępne i proste w obsłudze. Nie można zatem oczekiwać, że przeciętny użytkownik będzie się zapoznawał z coraz dłuższymi informacjami a dzięki temu stanie się świadomy.