Brzmi nieco paranoicznie, ale podobne informacje pojawiają się nieustannie, wskazując na właściwie całkowity brak anonimowości w sieci. Tym razem na stronie internetowej Noyb pojawiła się informacja o skardze złożonej przeciwko Google do austriackiego organu nadzorczego w związku z faktem, że Google bezprawnie śledzi użytkowników telefonów komórkowych, wykorzystując w tym celu identyfikator przypisany do telefonu, tzw. Android Advertising ID. Jak widać, organizacja założona przez Maxa Schremsa nie boi się walczyć z największymi graczami globalnego rynku. Czego dotyczy sprawa?

Nowa skarga przeciwko Google’owi

Skarga została złożona w związku z faktem, że Google nie udzielił satysfakcjonującej opowiedzi użytkownikowi telefonu, który złożył do Google oparte o RODO żądanie dotyczące trackera, w tym poprosił o dostęp do swoich danych zgodnie z art. 15 RODO. Google wskazał w szczególności, że nie ma możliwości zidentyfikowania użytkownika w oparciu o tracker, jak również przekierował skarżącego do operatora systemu Android, wskazując, że system umożliwia reset identyfikatora, a więc zaprzestanie przetwarzania danych osobowych związanych z identyfikatorem.

Co więcej, w skardze wskazano, że identyfikator generowany jest bez określenia podstawy prawnej, w oparciu o którą miałby on być wykorzystywany; użytkownik nie wyraża jakiejkolwiek uprzedniej zgody na takie działanie, przy czym niewykluczone, że Google uznaje, iż sama zgoda na politykę prywatności stanowi zgodę na korzystanie z identyfikatora. Wycofanie takiej zgody lub wniesienie sprzeciwu (czyli żądania opartego o RODO) nie skutkuje przy tym usunięciem danych, ponieważ identyfikator może zostać jedynie zresetowany i wygenerowany na nowo w celu zastąpienia dotychczasowego. Ponadto identyfikator może być też łączony z innymi informacjami, np. adresami IP, kodami IMEI, współrzędnymi GPS, adresami e-mail czy numerami telefonu, co w konsekwencji może pozwalać na ciągłe śledzenie osoby.

W jaki sposób wykorzystywany jest Android Advertising ID?

Android Advertising ID to, jak wskazuje Noyb, to „cyfrowa tablica rejestracyjna” – unikalny identyfikator, który przekazywany jest niezliczonym stronom trzecim w ekosystemie reklamowym dla potrzeb śledzenia użytkownika. Identyfikator umieszczany jest przez Google na telefonie w momencie rozpoczęcia korzystania z niego; użytkownik telefonu z Androidem nie ma natomiast żadnej możliwości usunięcia tego identyfikatora.

Przykładowo – jeśli korzystamy z jakiejś aplikacji i w aplikacji tej okażemy zainteresowanie konkretnym zdarzeniem, informacja taka powiązana jest z Android Advertising ID i służy wyświetleniu odpowiedniej reklamy w innej aplikacji lub nawet na niepowiązanych z nią stronach internetowych.

Jak Android Advertising ID ma się do danych osobowych, skoro przypisany jest do telefonu, a nie do człowieka?

Pomijając fakt, czy tablica rejestracyjna pojazdu to dane osobowe, czy też nie, w przypadku tego typu trackera niewątpliwie może on stanowić dane osobowe, jako że jest on przypisany do urządzenia użytkownika i pozwala na jego identyfikację – działa więc podobnie jak pliki cookie czy adres IP urządzenia. Już sam motyw 30. RODO mówi o tym, że osobom fizycznym mogą zostać przypisane identyfikatory internetowe – takie jak adresy IP, identyfikatory plików cookie – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Może to skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili i do identyfikowania tych osób. Nie ulega wątpliwości, że tego typu identyfikator również może posłużyć do identyfikacji użytkownika telefonu; dodatkowo, jak wskazano w skardze, może być on łączony z szeregiem innych danych na nasz temat, co oznaczać będzie, że jego wykorzystywanie stanowi przetwarzanie danych osobowych w rozumieniu RODO, a tym samym podlegać powinno takim samym zasadom jak przetwarzanie naszego imienia i nazwiska czy numeru PESEL.

Nie ulega więc wątpliwości, że identyfikator przypisany osobie fizycznej winien być przetwarzany w oparciu o przesłankę legalizującą tego typu działanie. W przypadku, w którym identyfikator wykorzystywany jest w celach marketingowych (w tym w celu dopasowywania reklam, również związanego z profilowaniem), zasadne wydaje się rozpatrzenie dwu podstaw prawnych, które mogą znaleźć zastosowanie:

  • zgoda użytkownika na przetwarzanie jego danych osobowych w celach marketingowych,
  • prawnie uzasadniony interes administratora lub strony trzeciej, którym zgodnie z motywami 47 i 70 RODO może być przetwarzanie danych osobowych do celów marketingu bezpośredniego, w tym w postaci profilowania.

W przypadku jednak, w którym dane mają być przetwarzane w celach marketingowych, prawnie uzasadniony interes może nie wystarczyć jako podstawa, która umożliwiałaby przetwarzanie danych – należy bowiem pamiętać, że dopiero test równowagi interesów pokazuje, czy dane mogą być przetwarzane w oparciu o taką przesłankę. Biorąc przy tym pod uwagę wskazania Noyb mówiące o tym, iż Android Advertising ID służy śledzeniu użytkownika, może być udostępniany innym podmiotom oraz może podlegać łączeniu z innymi danymi osobowymi, wskazać należy, że interesy użytkownika zdają się przeważać nad interesami podmiotu, który miałby takiego przetwarzania dokonywać. Są to bowiem na tyle specyficzne działania, że w dużym stopniu ingerują w prywatność użytkownika. W takim więc przypadku, gdyby podmiot przetwarzał dane na podstawie prawnie uzasadnionego interesu niezależnie od wyników testu równowagi (lub bez jego przeprowadzenia), oznaczałoby to naruszenie RODO i mogło skutkować karami administracyjnymi.

Oczywiście powstaje pytanie, czy zgoda nie mogłaby być jednak wyrażona poprzez akceptację ustawień lub treści polityki prywatności – na gruncie RODO zgoda nie musi być przecież checkboxem, który użytkownik musi koniecznie oznaczyć, aby się na coś zgodzić; wystarczy jego aktywne działanie potwierdzające, że zgadza się na daną czynność. Problem jednak w tym, iż zgoda musi być działaniem wyraźnym oraz aktywnym – co oznacza, że jakiekolwiek domyślne ustawienia nie mogą oznaczać jej wyrażenia. Zgoda musi być też odróżniona od innych kwestii, aby jej wyrażenie następowało w sposób świadomy. Oznacza to, że zawarcie zgody w treści np. polityki prywatności lub umowy nie będzie działaniem prawidłowym i wpłynie na ważność wyrażanej zgody. Nie zapominajmy też, że osoba musi w ogóle mieć świadomość, że wyraża na coś zgodę – inaczej ciężko mówić o jakimkolwiek jej wyrażeniu.

W obu jednak przypadkach – tj. zarówno, gdy podstawą prawną przetwarzania jest zgoda, jak i prawnie uzasadniony interes – osoba ma prawo zareagować na przetwarzanie jej danych osobowych, wycofując zgodę na ich przetwarzanie lub wnosząc w dowolnym momencie sprzeciw wobec takiego przetwarzania. W dużym skrócie – konsekwencją takiego działania ze strony osoby powinno być usunięcie danych. Zgodnie bowiem z art. 17 ust. 1 lit. b) i c) RODO, administrator winien usunąć dane, jeśli:

  • osoba cofnęła zgodę na przetwarzanie danych i nie ma innej podstawy prawnej przetwarzania,
  • osoba wnosi sprzeciw wobec przetwarzania danych w celach marketingowych, przy czym w takim przypadku nie ma znaczenia, czy po stronie administratora występują jakiekolwiek nadrzędne prawnie uzasadnione podstawy przetwarzania – samo wniesienie sprzeciwu skutkować winno usunięciem danych przetwarzanych w oparciu o prawnie uzasadniony interes polegający na marketingu.

Nie ulega też wątpliwości, że użytkownik powinien być poinformowany przez administratora o tym, jaką podstawę prawną przetwarzania danych osobowych stosuje, jak również jakie prawa przysługują osobie w konkretnym przypadku.

Jakie mogą być konsekwencje dla Google’a?

Organ nadzorczy zajmie się teraz złożoną skargą i będzie musiał ją rozpatrzyć. Jeśli okaże się, że skarga jest zasadna, Google może grozić administracyjna kara pieniężna w kwocie do 20 mln euro lub do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego (oczywiście zastosowanie ma kwota wyższa).

Co ciekawe, Noyb przedstawił informację na temat bieżących przychodów grupy Google, które wyniosły około 160,74 miliarda USD (około 148,59 miliarda EUR) w roku podatkowym 2019; oznacza to, że maksymalna kara pieniężna, jaka mogłaby zostać nałożona na Google w związku ze skargą, wynosi aż około 5,94 miliarda euro.

Warto wspomnieć, że Android jest obecnie najpopularniejszym systemem operacyjnym wykorzystywanym w smartfonach – według statystyk Statcounter, Android w okresie od stycznia 2018 do stycznia 2019 rządził na 74,45% światowego rynku (https://www.pcworld.pl/news/iPhone-vs-Android-kto-rzadzi-na-rynkach,412131.html, dostęp z dnia 14.05.2020 r.).

 

Radca prawny Małgorzata Topyła