Prezes UODO: przedsiębiorca powinien udostępnić profil marketingowy użytkownika portalu internetowego

...

icon arrow down more information
icon arrow down more information

Prezes Urzędu Ochrony Danych Osobowych zaprezentował kolejną interpretację przepisów[1], która może mieć spory wpływ na działanie wielu przedsiębiorców, w szczególności z branży e-commerce. Odnosi się ona bowiem do udostępnienia użytkownikowi portalu internetowego przez administratora informacji zgormadzonych w ramach zbudowanego przez niego profilu behawioralnego.

 

Brak udostępnienia informacji o profilu użytkownika – okoliczności sprawy

Postępowanie poprzedzające decyzję zostało wszczęte przez Prezesa UODO w skutek skargi osoby fizycznej (użytkownika) na nieprawidłowe jej zdaniem wypełnienie przez administratora obowiązku  – prawa dostępu do danych osobowych[2]. Zgodnie z ustaleniami organu, administrator miał pozyskać dane użytkownika zapisane w plikach cookies za pośrednictwem urządzenia, z którego użytkownik korzystał w związku z przeglądaniem portalu internetowego.

Administrator otrzymał od użytkownika wniosek o udostępnienie kopii jego danych osobowych oraz przekazanie szeregu informacji dotyczących ich przetwarzania, w tym odnoszących się do kategorii marketingowych (profilu behawioralnego) przypisanych mu na podstawie informacji zgromadzonych za pośrednictwem plików cookies oraz wskazania, z jakimi innymi informacjami dotyczącymi użytkownika zostały połączone.

Według użytkownika administrator ostatecznie nie udzielił pełnych informacji dotyczących przetwarzania danych osobowych. W jego ocenie zakres przekazanych informacji powinien zostać uzupełniony o te dotyczące kategorii marketingowych i plików cookies. Jednak zdaniem administratora wszystkie wskazane przez użytkownika informacje zostały mu przekazane.

 

Prezes UODO po stronie użytkownika

Prezes UODO podkreślił, że realizacja prawa dostępu do danych nie ogranicza się do informacji o  konkretnych kategoriach danych osobowych oraz dostępu do nich.

W jego ocenie zbieranie informacji o aktywności użytkownika portalu nierozerwalnie wiąże się z profilowaniem, gdy celem jest dopasowanie reklamy do jego osoby (w oparciu o jej spodziewane cechy i potrzeby) – na tej podstawie tworzony jest jego profil behawioralny.

Prezes UODO zwrócił również szczególną uwagę na konieczność realizacji zasady przejrzystości w kontaktach administratora z podmiotem danych. Zdaniem organu w analizowanej sprawie, administrator wykazał się brakiem jednolitego, przejrzystego i rzetelnego stanowiska dotyczącego przetwarzanych danych osobowych użytkownika. Uchybienie to miało wynikać w szczególności z braku przekazania informacji dotyczących profilu behawioralnego użytkownika zbudowanego przez administratora oraz  potwierdzenia, z jakimi innymi informacjami powiązano te wynikające z plików cookies. W treści decyzji podkreślono, że przekazanie tego typu informacji było również zasadne, ponieważ administrator na żadnym etapie nie zaprzeczył tworzeniu profilu behawioralnego użytkownika celem dopasowania reklam wyświetlanych na jego portalu.

Zgodnie z treścią decyzji, administrator w komunikacie do użytkownika powinien przekazać szczegółowe informacje dotyczące:

  • profilu behawioralnego – konkretnie wskazując na kategorie marketingowe, jakie zostały przypisane użytkownikowi na podstawie pozyskiwanych plików cookies oraz jakie informacje o nim zostały połączone z tymi z cookies;
  • zasad tworzenia profili behawioralnych użytkowników przez partnerów administratora, w oparciu o skrypty umieszczone w kodach stron internetowych, znajdujących się w domenie administratora.

 

Ostatecznie, powyżej wskazane okoliczności stanowiły podstawę do upomnienia administratora oraz zobowiązanie go do przekazania wszelkich żądanych przez użytkownika informacji.

 

Udostępnianie informacji o użytkownikach – wnioski dla biznesu

Omawiana decyzja może niewątpliwie stanowić podstawę do rewizji dotychczasowego modelu działania wielu podmiotów funkcjonujących w Internecie (w szczególności branży e-commerce). Działania te obejmować mogą:

  • weryfikację formy komunikacji dotyczącej realizacji praw osób, których dane są przetwarzane przez administratorów – w zakresie zasady przejrzystości,
  • weryfikację informacji gromadzonych za pośrednictwem plików cookies,
  • weryfikację zasad tworzenia profili behawioralnych użytkowników portali oraz dostępu do tych informacji przez właścicieli portali oraz podmioty zewnętrzne,
  • opracowanie procedury udostępniania informacji dotyczących profilu behawioralnego użytkownika.

 

Co istotne, decyzja Prezesa UODO nie powinna jednak zamykać drogi do dyskusji odnośnie poruszanych w niej tematów. W szczególności w zakresie przetwarzania danych osobowych w ramach cookies oraz informacji wnioskowanych przez administratorów z informacji przekazanych przez podmiot danych, jako posiadających charakter danych osobowych.

W świetle przedstawionych informacji przydatne może być odświeżenie lub zapoznanie się z informacjami dotyczącymi plików cookies. Zachęcamy do zapoznania się z pierwszym z cyklu artykułów poświęconym technicznym aspektom cookies lub do kontaktu z naszymi doradcami.

 

Łukasz Pociecha
Senior Associate | Adwokat
lukasz.pociecha@olesinski.com

 


[1] Decyzja z dnia 7 września 2021 r. (ZSPR.440.331.2019.PR.PAM)

[2] Zgodnie z art. 15 RODO