/warsztaty-prywatnosc-1

Warsztaty MAiC, Prywatność, Spotkanie 1
26 kwietnia 2012, zapis na godzinę 17:57

== Notatki ze spotkania == (prowadzi: Katarzyna Szymielewicz)

Zbigniew Braniecki (Mozilla)

Proflowanie jest możliwe dzięki całemu zestawowi technologii. Jest łatwe i "pociągające" dla firm", a przez to powszechnie wykorzystywane. Będzie jeszcze prościej w przyszłości. Problem: traktowanie użytkownika jako produktu. Użytkownik traci zupełnie kontrolę nad tym, co się dzieje w Internecie. Jego doświadczenie jest silnie zmodyfikowane pod kątem interesów różnych korporacji. Z punktu widzenia Mozillii wymaga to stworzenia pewnych ram. Użytkownik ma prawo do kontroli nad swoimi danymi.

Są różne propozycje:
* "white" i "black" listy (dość brutalne)
* DNT (Mozilla) - mechanizm opt in - użytkownik sam decyduje, czy chce być śledzony
(w tym momencie korzystają z tego najbardziej zdeterminowani użytkownicy).
Technologicznie jesteśmy w stanie zrobić WSZYSTKO. Możemy doprowadzić do sytuacji, w której śledzenie użytkowników po prostu nie będzie możliwe. Ale nie koniecznie chcemy iść tą drogą. Do tej pory rozmawialiśmy ze wszystkimi interesariuszami i zwykle pewne equilibrium udawało sie osiagnąć (vide agresywna reklama -> było twierdzenie, że to zabije modele biznsowe w Internecie, a tak się nie stało).
Nie mam zdania, czy wystarczą rozwiązania technologiczne, czy potrzebne są rozwiazania prawne.
Jeśli będzie trzeba, wszystkie przeglądarki są w stanie wprowadzić odpowiedzieć na ustalenia takie jak "DNT" czy model opt-in w ciągu 18 tygodni. Nie jest to tylko zdanie Mozilli, ale wszystkich twórców przegladarek, którzy spotykają się regularnie i rozmawiają. Nie jest też problemem przyjęcie modelu w tylko danym kraju. Przegladarki są się w stanie "dostosoać".

Im szybciej zadziałamy, tym lepiej - modele biznesowe oparte na śledzeniu użytkowników stały się faktem, ale to nie znaczy, że są fair i że możemy na nich "budować internet".
Im dłużej nie regulujemy tego, tym bardziej będzie "bolało" biznes gdy zaczniemy to regulować. Tym trudniej będzie wycofać się firmom i zaadaptować do modeli biznesowych.

Twórcy przeglądarek są w stanie wprowadzić rozwiązania technologiczne, które uniemożliwią śledzenie i nie potrzebujemy do tego jakichkolwiek regulacji prawnych. Postrzegamy takie spotkania i prace Rządu w tym zakresie jako szanse na znalezienie złotego środka, abyśmy nie musieli tego robić.

Teoretycznie w Polsce istnieje w tym momencie opt-out, ale żadna firma nie korzysta z DNT do wdrożenia tego rozwiązania, więc opt-out jest de-facto martwym przepisem.

Moderator:

Próba ustalenie pojęć:
opt-in
opt-out
definicja zgody i sprzeciwu
- nie udana. Będziemy od tego zaczynać

Piotr Drobek (GIODO)

Zgoda powinna być świadoma i wyraźna - konieczne jest aktywne działanie. Nie możemy założyć, że wystarczy ustawienia przeglądarki.

Igor Ostrowski (MAiC)

Bierzemy pod uwagę opcję opt-in. Dostałem wiele wiadomości o treści: jak to wprowadzicie opt-inw pełnej wersji, to zabijecie rynek. Musimy się na coś zdecydować i nie możmy ciągle zmieniać zdania, bo wzbudzi to irytację... Podobne debaty trwały w innych krajach i zdecydowano się na różne rozwiązania. 6 państw na razie nie wdrożyło dyrektywy. Jesteśmy spóźnieni z implementacją dyrektywy, co daje nam szansę skorzystać z rozwiazań przyjętych w 21 krajach.
Osobiście uważam, że dotychczasowe rozwiązanie przyjęte w Prawie telekomunikacyjnym nie było wystarczające.
Pańtwom, które dobrze równoważą różne interesy (UK, Szwecja, Finlandia), udało się wypracować kompromisowe rozwiązania.
Mamy unikatową szansę wypracować konkretne rozwiązania. Nie rozmawiajmy o kontraście US-PL, bo to jest dyskusja, jaką powinniśmy prowadzić na forum międzynarodowym. Rozmawiajmy o konkretnych rozwiazaniach, które umożliwią nam implementację dyrektywy.
Nie ma rozwiązań 0_1.

Mirosław Wróblewski (RPO)

Nie znam się na technologii, mówię z punktu widzenia konstytucjonalności i ingerencji w prywatność. Problem: ustawodawcy brakuje często namysłu nad skutkami regulacji.
Zastanawiamy się jak daleko ma iśc ta regulacja. Mamy tutaj konflikt prawa do prywatności i swobody prowadzenia działalności tutaj zachować równowagę.
Mechanizm opt-in lepiej chroni prywatność, jest to rzecz oczywista. Trzeba jednak znaleźć pewnien balans z innymi wartościami, takimi jak wolność prowadzenia działalności gospodarczej.
Orzeczenie TK w sprawie retencji danych (ważenie wartości) może okazać się pomocne, ale niestety nie wiemy, kiedy się pojawi.

Maciej Pajęcki (NK)

Nie jesteśmy w stanie zidentyfikować użytkownika. Problem: zgodę wyraża maszyna, a nie "użytkownik". Bo mo może być ich wielu. Użytkownik to konkretna osoba. Nie mamy możliwości ustalić jego woli. Ani nie gromadzimy informacji dotyczących tej jednej osoby. Problem nie istnieje w przypadku serwisów wymagających logowania, ale przecieć jest wiele usług anonimowych.

Zgoda dotyczyć będzie wszystkich osób korzystających z danej maszyny, która "wyraziła zgodę".

Na przykładzie NK - gdyby funkcjonowała opcja optytkownik na dzień dzisiejszy otrzymuje 8 ciastek, zadne z nią profilowaniu uzytkownika. W tym przypadku wszelkie reklamy targetowane bazują na informacjach, jakie ten użytkownik sam nam przekazuje (formularze kontaktowe itp.) Wszelkie ciastka można by uznać za "niezbędne" do realizacji usługi. Jedno z nich służby temu, by jednej osobie nie wyświetlać dwa razy tej samej niesprofilowanej reklamy (reklamodawcy nie chcę wyświetlać tej samej reklamy Kowalskiemu, tylko szerszej grupie osób).
Jezeli bedziemy musieli zbierac zgody, to finansujący portal przeniosą się zagranice.
Przyjęcie zatem wyraznego modelu opt-in uniemozliwi prowadzenie portalu w Polsce.
NK jest za modelem samoregulacyjnym.
Co sie stanie gdy wszyscy uzytkownicy zablokują mozliwość wyswietlania reklam w serwisie? Beda musieli zaplacic i zostana pozbawieni wiekszosci funkcjonalnosci, jakie strona oferuje.
Problem zatem jest glebszy - jezeli portal jest za darmo, a utrzymuje go podmiot trzeci, niska efektywnosc kampanii reklamowej zaskutkuje brakiem dochodu dla portalu.

Jakub Pepłoński

Problemem jest budownie skrajnych pozycji, postrzeganie biznesu jako czegoś, co na nas poluje. A chodzi przecież o świadczenie usług, spełnianie oczekiwań użytkownika.

Grzegorz Wanio

Popozycja opt-out + dodatkowe "obwarowania"
maksymalny poziom informacji, samoregulacja, intuicyjne narzędzia dla użytkownika.
Chcemy też informować użytkownika

Agata Wacławik-Wejman (Google)

Proponuję skoncentrować się na konkretnych rozwiązaniach,
* nie jest do końca uzasadnione "domniemanie winy" po stronie cookies. Preambuła dyrektywy: pkt. 66 "jak najbardziej instalowanie cookies jest dopuszczalne; są i mogą być instalowane". Nigy celem dyrektywy nie było ograniczenie stosowania cookies.
* Art. 5(3) głowny instrument: obowiązek informacyjny (to jest kluczowe) + zgoda. Dyrektywa jest zabałaganiona i zupełni inaczej rozumie się art. 5 sam i w połączeniu z pkt 66 preambuły. Mamy na to rózne dowody (Alvaro, Komisja Europejskiej itd.)
Jezeli zaczniemy czytac ten przepis w kontekscie motywu 66, to okaze sie, ze zasadnicza kwestia jest informacja dla uzytkownika, natomiast potem zagwarantowanie mu mozliwosci prawa odmowy.
Jesteśmy w dobrym momencie, bo inne państwa przeszły już tę dyskusję i możemy korzystać z ich doświadczeń. Ani jedno państwo nie wdrożyło opt-in w pełnej wersji, czyli zakładającej wyraźną i uprzednią zgodnę użytkownika.

Rozbieznosci w informacjach co do modelu przyjetego w roznych krajach wynika z rozumienia pojecia "wyraznej zgody" na gruncie praw narodowych.
Model pośredni wprowadzony przez większość państw zakłada, że zgodnę można wyrazić można m.in. przez ustawienia przeglądarki. W projekcie polskim mamy model rozszerzonej informacji z prawem do odmowy (opt-out).

Moim zdaniem zgoda wyrażona na poziomie przeglądarki w zuepłności realizuje cele dyrektywy.

Brytyjczycy (impact assessment) doszli do wniosku, że zgoda kwalifikowana jest kiepska zarówno dla usługodawców, jak i użytkowników.
Z drugiej strony, kiedy spojrzeli na model "rozszerzonej informacji", też uznali, że to zostawia zbyt szerokie pole dla biznesu.
Doszli do wniosku, że najlepszą opcją jest wersja pośrednia.
Prz czym w UK mamy bardzo restrukcyjnego regulatora, który to realnie egzekwuje. Także obowiązek informacyjny. Z drugiej strony, ten regulator rozumie, że są różne modele biznesowe i różne typy cokies. A więc.. ??? (nie rozumiemy jak wreszcie jest w UK)

Problem w prawie polskim z art. 174, który wymaga wyraźnej zgody.
W ocenie Agaty, to co jest w oficjalnym projekcie (opt-out) - jest zgodne z dyrektywą.
Ewentualne mozna wprowadzic wylaczenie art. 173 spod rezimu art. 174.
Domyslne ustawienia przegladarki moga byc uznane za zgode. Agata uważa, że to już jest model oparty na zgodzie.

Moderatorzy:
Nie rozumiemy w takim razie, na czym polega różnica między "starym" modelem opartym na sprzeciwie (opt out) a "nowym" opartym na zgodzie ("opt in").

Piotr Drobek

Nie jestem w stanie stwierdzic czy badania wykonane w UK sa wiarygodne etc.
Nie jestem też w stanie zweryfikować krążących list na temat implementacji.
Odwolajmy sie do opinii grupy art. 29, ktorej dyrektywa powierza interpretacje przepisów dyrektywy.
Grupa robocza art. 29 podchodzi do tematu dość rygorystycznie. Mamy dość jasny przepis. Mam wątpliwość, czy opinia posła sprawozdawcy będzie brana pod uwagę
Mam też wrażenie,
powinnismy rozroznic cele, dla ktorych cookisy sa przetwarzane. Mam wrazenie, ze pod plaszczykiem zgody probujemy

Mariusz Grzesiuk
Przykład tego, jak informować "uprzednio": strona angielskiego odpowiednika giodo (ICO).

Zbigniew Braniecki
Nie zgadzam się z Maćkiem, identyfikacja użytkownika jest nie tylko możliwa, ale wręcz dzieje się - https://www.eff.org/deeplinks/2010/05/every-browser-unique-results-fom-panopticlick - badania EFF wykazały, że byli w stanie zidentyfikować unikalnych użytkowników *bez użycia cookie* w 94.3% przypadków. (fingerprinting)

Istnieje też propozycja Mozilli o nazwie Privacy Icons ( http://www.azarask.in/blog/post/privacy-icons/ ), pozwalałyby stronom informować o tym jak wykorzystywane są dane użytkownika.

== Agenda ==

a) Czy profilowanie użytkowników w Internecie, jako złożony problem, wymaga odpowiedzi regulacyjnej
b) Jaki jest pożądany poziom informacji i sposób ich dostarczania użytkownikowi, zanim podejmie on decyzję o wyrażeniu zgody na profilowanie? Czy niezbędne jest w tym zakresie wprowadzenie nowych lub modyfikacja już obowiązujących reguł postępowania w relacji z klientem?
c) Czy zasadne jest wprowadzenie modelu opartego na samoregulacji, jeśli tak - pod egidą jakiego organu?
d) Czy możliwe jest przeciwdziałanie nielegalnemu profilowaniu, takiemu na które użytkownik nie wyraził zgody lub nie jest takich działań świadomy? Jeżeli tak - jaki organ i w jaki sposób módłby efektywnie przeciwdziałać tego rodzaju praktykom?
e) Jak rozumieć wyłączenie obowiązku uzyskania zgody, o którym mowa w art. 173 ust. 2 ustawy Prawo telekomunikacyjne? Czy takie wyłączenie nie będzie stanowić klucza do obejścia obowiązku uzyskania wyraźnej zgody przez usługodawcę? Jakie są granice "niezbędności" i kto ma o tym rozstrzygnąć w praktyce?
f) W jaki sposób (biorąc pod uwagę aspekty techniczne) należy w praktyce zagwarantować klientowi możliwość wyrażenia zgody na otrzymywanie cookies? Czy można do tego celu wykorzystać ustawienia przeglądarki albo rozwiązania takie jak TPL lub DNT?
g) W jaki sposób możemy skutecznie ograniczyć stosowanie nowych typów cookies (supercookies, evercookies, flashcookies, ubercookies etc.), które już w dniu dzisiejszym wydaje się być niezgodne z obowiązującymi, w tym kodeksu karnego w zakresie przestępstw przeciwko ochronie informacji (cache sniffing, XSS cookie sniffing etc.)?
h) Czy możliwe jest wypracowanie na zasadzie samoregulacji takich mechanizmów, które ułatwiałyby pozyskiwanie zgody w sposób minimalizujący uciążliwość dla użytkownika, a jednocześnie gwarantowałaby mu pełną kontrolę nad przetwarzanymi danymi?

Kwestie, jakie wynikły z naszych wstępnych wypowiedzi:
* co to znaczy "niezbędność" ciastka dla zrealizowania usługi
* czy mamy realny problem przekierowania pieniędzy reklamodawców do firm, które nie będą podegały polskiemu prawu.
* skoro biznes "nie poluje", tylko chce dobrze, to dlaczego użytkownik nie może sam zdecydować?

== Skład spotkania ==

* Katarzyna Szymielewicz
* Małgorzata Szumańska
* Dariusz Dąbek
* Beata Dobrzyńska-Borucka
* Igor Ostrowski
* Zbigniew Braniecki
* Mirosław Wróblewski
* Katarzyna Łakomiec
* Agata Wacławik-Wejman
* Jakub Pepłoński
* Grzegorz Wanio
* Maciej Pajęcki
* Piotr Drobek
* Mariusz Grzesiuk
* Barbara Chrzczonowska
* .