Platformy internetowe jako administratorzy danych - koniec z „my tylko hostujemy". W Polsce bezpośrednie konsekwencje dotkną platformy jak Allegro czy OLX. Ale w scenariuszu "extreme" może być o wiele poważniej.
Wprowadzenie
Niedawny wyrok Europejskiego Trybunału Sprawiedliwości ma potencjał, by przekształcić internet i strony internetowe, jakie znamy w Europie w coś, czego nie znamy. Chyba iż zostanie zignorowany, zmodyfikowany lub zinterpretowany jakoś racjonalnie. Od razu postawmy duże pytanie. Czy unijny Trybunał Sprawiedliwości (Wielka Izba) właśnie zakazał stron z treściami generowanymi przez użytkowników lub anonimowych postów na forach?
Wyrok Trybunału Sprawiedliwości UE (C-492/23) z projektowanie techniczne i prawne w ogromne pytanie o zgodność z przepisami. Kontekst:
- anonimowy użytkownik opublikował ogłoszenie ze zdjęciami i numerem telefonu prawdziwej kobiety, fałszywie przedstawiając ją jako oferującą usługi seksualne
- portal aktywnie usunął je w ciągu godziny od zgłoszenia
- do tego czasu ogłoszenie zostało ściągnięte przez innych (scrapping) i opublikowane ponownie na wielu innych miejscach, gdzie pozostaje dostępne mimo usunięcia z oryginalnego portalu
Większość platform nazwałaby to udaną moderacją. Szybka reakcja, treść usunięta, sprawa zamknięta, koniec. Trybunał widzi to inaczej: jako przewidywalny rezultat wyborów projektowych systemu, w szczególności tego, iż strona dopuszczała treści modyfikowalne (tworzone przez użytkowników) przez podmioty zewnętrzne.
- regulamin portalu zastrzegał prawo do kopiowania, dystrybucji i przekazywania opublikowanych treści partnerom
- infrastruktura pozwalała na anonimowe publikowanie bez weryfikacji tożsamości
- model bezpieczeństwa nie zapobiegał scrapowaniu wrażliwych ogłoszeń
To były decyzje projektowe, a zgodnie z RODO decyzje projektowe dotyczące danych osobowych czynią stronę… administratorem. Wyrok przekłada abstrakcyjne zasady RODO, takie jak rozliczalność, ochrona danych w fazie projektowania oraz bezpieczeństwo przetwarzania, na konkretne wymagania inżynieryjne, które mają zastosowanie przed publikacją, a nie dopiero po zgłoszeniu. Dla platform przyzwyczajonych do reaktywnej moderacji treści, wspieranej przez Safe Harbors z aktu o usługach cyfrowych (DSA), to fundamentalna różnica. Platformy i strony internetowe nie mogą „wymoderować się” z obowiązków administratora, które powinny uwzględnić w projekcie od samego początku. Może to oznaczać, iż niektóre strony nie będą w stanie działać, bo stanie się to ekonomicznie nieuzasadnione.
Co staje się trudne do obrony po tym wyroku
- anonimowe publikowanie w kategoriach, gdzie przewidywalne jest pojawianie się danych wrażliwych o realnych osobach
- strony akceptujące numery telefonów, wizerunki i intymne twierdzenia bez kontroli tożsamości
- poleganie na szybkim usuwaniu jako głównym mechanizmie bezpieczeństwa
- ignorowanie ryzyka scrapowania i syndykacji w obszarach wysokiego ryzyka
Co robi ten wyrok
Wyrok wychodzi od prostego faktu. Portal, który strukturyzuje, prezentuje i monetyzuje ogłoszenia użytkowników, nie przechowuje jedynie treści dla innych. Decyduje, jakie dane muszą zostać wprowadzone, które kategorie istnieją, jak ogłoszenia są klasyfikowane, uwzględniane w rankingach i promowane, jak długo pozostają widoczne oraz jak treści mogą być udostępniane partnerom. To oznacza, iż określa cele i środki przetwarzania w rozumieniu definicji administratora z RODO (swoją drogą, czy idąc w tą samą stronę każde dynamiczne treści - np. z użyciem AI, czyli niedługo po prostu każde - będą wszystkich czyniły administratorami?). Użytkownik lub klient publikujący ogłoszenie jest jednym administratorem. Portal jest drugim. Publikowanie ogłoszenia na platformie to wspólne przetwarzanie zgodnie z art. 26 RODO.
W tym konkretnym przypadku treść ogłoszenia jest traktowana jako szczególna kategoria danych osobowych zgodnie z art. 9. Gdy w grę wchodzą dane wrażliwe, proste zgłaszanie naruszeń i usuwanie treści przestaje wystarczać. Wyrok wykorzystuje trzy najważniejsze przepisy i przekłada je na konkretne wymagania.
Art. 5 ust. 2 o rozliczalności oraz art. 24 wskazują, iż operator musi być w stanie wykazać zgodność przetwarzania z RODO i to, iż podjął odpowiednie kroki by zapobiec nadużyciom, a nie tylko je usuwać. Art. 25 o ochronie danych w fazie projektowania wymaga by przy decydowaniu o tym, jak system będzie działał i podczas jego działania operator wbudował środki techniczne i organizacyjne wdrażające zasady ochrony danych. Mają one domyślnie nie ujawniać danych osobowych nieograniczonej liczbie odbiorców bez udziału danej osoby. Art. 32 o bezpieczeństwie przetwarzania wymaga środków odpowiednich do ryzyka, takich jak nieuprawniony dostęp, ujawnienie lub utrata kontroli. W tym przypadku ryzyko polega na tym, iż gdy wrażliwe ogłoszenie pojawi się na jednej stronie, zostanie zescrapowane i pojawi się ponownie na innych stronach, gdzie osoba nie może wymusić jego usunięcia.
Konsekwencje techniczne
Trzy wymagania przed publikacją dla portali, lub stron internetowych w ogóle, gdzie ogłoszenia zawierają albo prawdopodobnie będą zawierać dane wrażliwe:
- wykrywanie takich ogłoszeń, zanim zostaną upublicznione, dzięki odpowiednich narzędzi technicznych i organizacyjnych
- zbieranie i realna weryfikacja tożsamości ogłoszeniodawcy oraz sprawdzanie, czy jest on osobą opisaną w ogłoszeniu
- niepublikowanie ogłoszenia, chyba iż ogłoszeniodawca może wykazać istotną podstawę do przetwarzania danych wrażliwych, na przykład zgodę
Art. 32 to obowiązek automatycznego scrapowania i bezprawnej redystrybucji danych wysokiego ryzyka.
Nie ma wymogu zerowego ryzyka, ale musi istnieć jasny model bezpieczeństwa i konkretne kontrole. Problem polega na tym, iż bardzo trudno określić, co ma zastosowanie w jakich okolicznościach. Skąd wziąć taki model? Jak brzmi znane porzekadło w RODO, "to zależy".
Można też pójść dalej i interpretować wyrok jako mający zastosowanie do wszystkich stron z treściami generowanymi przez użytkowników. Naturalnie, nałożenie takich wymagań na każdą stronę byłoby absurdalne. Ale wtedy skąd można wiedzieć, kiedy i jakie wymagania zaczynają się stosować? Nie ma prostego sposobu. Papierek lakmusowy mógłby wyglądać tak: wymagania zawsze dotyczą stron z treściami generowanymi przez użytkowników, które strukturyzują, klasyfikują w rankingach ("rankingują") i monetyzują publikowanie. To przez cały czas obejmowałoby zasadniczo większość istniejących stron.
Wpływ techniczny 2
Ogłoszenia użytkowników na dużych platformach stają się regulowanym przetwarzaniem zgodnie z RODO. Ma to pewne konsekwencje.
Projektowanie pipeline'u reklamy internetowej.
Publikowanie informacji takich jak reklama internetowa wymagają wbudowanych kontroli pod kątem wrażliwych treści. Oznacza to przynajmniej podstawową logikę klasyfikacji, która wyłapuje ogłoszenia wysokiego ryzyka zawierające dane osobowe o identyfikowalnych osobach. Może to łączyć wybór kategorii, kontrole słów kluczowych i wzorców oraz proste wzorce obrazowe. W praktyce pełne zabezpieczenie przed tym ryzykiem jest technicznie niewykonalne. Celem nie jest doskonała detekcja. Celem jest, aby system miał możliwość oznaczania pewnych danych jako wysokiego ryzyka i powstrzymuje ich publikację bez dalszych kontroli. W zasadzie klasyfikacja AI mogłaby to przyspieszyć, ale nie zadziała to w 100% i będzie generować fałszywe pozytywy, które blokują normalne ogłoszenia, co będzie wkurzające dla użytkowników. Ten punkt może dotyczyć także innych treści, nie tylko ogłoszeń.
Weryfikacja tożsamości i zgoda
Platformy potrzebują silniejszej weryfikacji ogłoszeniodawców. Dla wrażliwego ogłoszenia wyraźnie dotyczącego konkretnej osoby system powinien przynajmniej sprawdzić, czy ogłoszeniodawca jest tą osobą za którą się podaje. jeżeli nie, to odmowa publikacji. Ten punkt uniemożliwiłby publikowanie ogłoszeń, a być może także innych treści, przez osoby niezweryfikowane. Gdy przenosi się to poza sferę wyłącznie ogłoszeń, w praktyce uderza to w anonimowość w sieci. Czy to oznacza, iż nie można wysyłać treści bez ścisłej kontroli tożsamości (np. dowodem tożsamości, paszportem, albo nowym Unijnym Cyfrowym Portfelem Tożsamości)? Miejmy nadzieję, iż wyrok nie zostanie użyty w taki sposób.
Bezpieczeństwo i scrapowanie
Scrapowanie i ponowne wykorzystanie już opublikowanych danych muszą być traktowane jako realne zagrożenia w modelu bezpieczeństwa, szczególnie dla kategorii wrażliwych. Rozsądne narzędzia mogą obejmować ograniczanie szybkości publikacji, automatyczne wykrywanie klientów. Operator musi być w stanie wyjaśnić, dlaczego wybrane kontrole są odpowiednie, biorąc pod uwagę jego skalę, możliwości techniczne i potencjalny wpływ pojedynczego fałszywego wrażliwego ogłoszenia replikowanego na innych stronach.
Zarządzanie i odpowiedzialność
Platformy, które strukturyzują i monetyzują ogłoszenia użytkowników, muszą traktować siebie jako administratorów dla tego przetwarzania. To wpływa na rejestry czynności przetwarzania, oceny skutków, polityki wewnętrzne oraz sposób, w jaki radzą sobie z incydentami.
Dlaczego to może mieć ogromne konsekwencje
Niewygodna prawda i sedno sprawy leży w kwestii, czy zasięg wyroku nie wykracza poza tradycyjne portale ogłoszeń. Niektóre z zapisów wyroku mogą sięgać każdej platformy lub strony internetowej czy aplikacji , gdzie użytkownicy mogą publikować dane o innych osobach. Obejmuje to platformy z profilami (kontami) użytkowników, strony z recenzjami ze zdjęciami lub pełnymi nazwiskami, aplikacje randkowe, fora, platformy społecznościowe, a także każdą usługę, która pozwala jednemu użytkownikowi oznaczać, wspominać lub opisywać inną osobę dzięki danych osobowych. To oznaczałoby, iż następujący punkt 74 z wyroku:
W każdym razie operator internetowej platformy handlowej nie może zwolnić się z odpowiedzialności, jako administrator danych osobowych, na tej podstawie, iż sam nie określił treści ogłoszenia opublikowanego na tej platformie handlowej. Sprzeczne nie tylko z jasnym brzmieniem, ale również z celem art. 4 pkt 7 RODO, polegającym na zapewnieniu, poprzez szeroką definicję pojęcia „administratora”, skutecznej i pełnej ochrony osób, których dane dotyczą, byłoby bowiem wyłączenie z tej definicji takiego operatora z tego tylko powodu.Właściwie brzmiał by tak:
W każdym razie operator internetowej platformy nie może zwolnić się z odpowiedzialności, jako administrator danych osobowych, na tej podstawie, iż sam nie określił treści wpisu opublikowanego na tej platformie. ...
Bo dlaczego by nie.
Logika jest prosta. jeżeli platforma strukturyzuje sposób wprowadzania, prezentowania i udostępniania tych danych, i jeżeli monetyzuje lub w inny sposób wykorzystuje tę strukturę, jest administratorem. Portal ogłoszeń w tym przypadku byłby tylko bezpośrednim przykładem szerszej zasady. Wtedy platformy, które w tej chwili pozwalają użytkownikom publikować zdjęcia, nazwiska, dane kontaktowe lub inne dane osobowe o osobach trzecich, mogą działać według modelu, który ten wyrok bezpośrednio kwestionuje.
Bezpieczne przystanie ustawy o usługach cyfrowych
A jaki jest wpływ na ustawę o usługach cyfrowych (DSA), która zachowuje klasyczną ideę bezpiecznej przystani dla buforowania (caching) i hostingu? Dostawca, który nie wie o nielegalnych treściach i który działa gwałtownie po powiadomieniu, może być chroniony przed pewnymi rodzajami odpowiedzialności za treści. Wiele portali odczytało to jako ogólną obietnicę, iż mogą hostować wszystko, co użytkownicy przesyłają, o ile reagują na powiadomienia. Według wyroku to już nie obowiązuje. W rzeczonej sprawie portal nie miał wiedzy o fałszywym ogłoszeniu przed skargą i faktycznie usunął je gwałtownie potem. Według standardów DSA wygląda to na podręcznikowe wręcz zachowanie. Jednak operator jest przez cały czas traktowany jako ten, który nie wywiązał się ze swoich obowiązków wynikających z RODO.
Praktyczny komunikat: bezpieczne przystanie DSA i obowiązki administratora z RODO to dwie oddzielne rzeczy.
Propozycja względności danych osobowych do podmiotu
Komisja Europejska chce zmiany definicji danych osobowych RODO, tak by identyfikowalność była oceniana dla wszystkich podmiotu z osobna. Czy to natychmiast unieważniłoby rzeczony w tym wpisie wyrok? Nie. Portal przez cały czas mógłby być uznany za podmiot, który może łatwo powiązać ogłoszenie z prawdziwą osobą, używając środków, które już posiada, takich jak dane konta i kanały kontaktowe. Model względności do podmiotu miałby większe znaczenie w przypadkach, gdy podmiot widzi tylko nieodwracalnie pseudonimizowane identyfikatory i naprawdę nie jest w stanie ustalić, kto za nimi stoi, podczas gdy jakiś inny podmiot może. Na przykład w pełni anonimowe strony. Ale wg. wyroku anonimowość też ma być nie do przyjęcia.
Co teraz
Organy nadzorcze takie jak Urząd Ochrony Danych Osobowych mają teraz jasny szablon działań egzekucyjnych. Wyposażone w ten wyrok, mogą zrobić naprawdę bardzo wiele. Nie wystarcza już szybkie działanie po wykryciu nadużycia. Przynajmniej nie jest to rozwiązanie uniwersalne. Strony internetowe i platformy muszą poważnie podejść do projektu swoich systemów. To znaczy, po prostu, zastosować RODO. Ale dopóki nie pojawi się praktyka egzekwowania, można nie mieć pewności, czy wdrożone rozwiązania spełniają oczekiwania adekwatne do skali biznesu.
Ci, którzy chcą być po bezpiecznej stronie, mogą zdecydować się zakazać anonimowych postów, wszelkich danych osobowych oraz wszelkich zdjęć przedstawiających ludzi lub dokumenty. To byłaby przesada, zasadniczo niszcząca sieć, jaką znamy.
Wyrok mówi dużym stronom obsługującym treści użytkowników, iż nie są neutralnymi hostami. Są administratorami danych osobowych w tych ogłoszeniach, szczególnie gdy treści dotyczą kategorii wrażliwych. Ten status niesie ze sobą obowiązki projektowe.
