Правни аспекти на защитата на лични данни в бъдещата онлайн екосистема
През 2019 г. Google обяви своето намерение да построи мрежа с по-силни механизми за поверителност. В съответствие с това в началото 2020 г. компанията публикува статия в блога на Chromium, в която описва плана си да премахне т.нар. third-party бисквитки от своя уеб браузър – Chrome. Тази идея далеч не е радикална и по-малки браузъри като Safari и Firefox по подразбиране блокират third-party бисквитките. Предвид обаче позицията на Chrome като най-популярен браузър и степента, в която глобалната рекламна индустрия разчита на възможността да предоставя възможно най-релевантно съдържание и реклами на интернет потребителите (т.нар. targeted advertisement), това решение на технологичния гигант постави на преден план съображенията на различните участници в онлайн екосистемата – рекламодателите, собствениците на уебсайтове и потребителите.
Темата за премахването на third-party бисквитките е многостранна и повдига различни въпроси от техническо и правно естество. Така например един от най-релевантните въпроси вероятно ще бъде този за съответствието на проекта с правилата за защита на конкуренцията предвид опасенията дали по този начин Google не предоставя по нелоялен начин преднина на своите собствени рекламни продукти. Настоящата статия обаче се фокусира изцяло върху основната цел, която, поне по думите на Google, реформата трябва да постигне, а именно подобряването на поверителността, която потребителите получават посредством използването на Chrome, как това следва да се оцени от гледна точка на GDPR и дали действително би могло да се приеме, че е направена крачка напред в защитата на личните данни.
Отговорът на така поставения въпрос е, че промяна към по-добро е възможна, но това ще зависи от начина на имплементиране на реформата и, което е по-съществено, от несбъдването на някои от сериозните опасения, които нейните критици повдигат.
Статуквото
На първо място следва да се разгледа какво е положението към момента и каква е ролята на различните участници в обработката на лични данни спрямо GDPR. С оглед на това първо трябва да се изясни какво всъщност са бисквитките.
Бисквитките представляват код, който се поставя на браузъра на интернет потребителя. Съществуват няколко начина за класификация на бисквитките, но за целите на настоящата статия най-съществено е разделението им на first-party и third-party. First-party бисквитките се поставят от уебсайта или уеб приложението, на което потребителят се намира, и имат предимно или чисто функционални цели. Такива могат да бъдат например запазването на информацията, необходима за влизане на потребителя в акаунта му, запазването на информация какво потребителят е добавил в количката си до приключване на покупката при онлайн магазините и др. под. Third-party бисквитките от друга страна се поставят от лице, различни от лицето, на чийто уебсайт се намира потребителят. Обикновено това е рекламодател (advertiser). Целта им е да проследят поведението на потребителя из различни уебсайтове, като така изградят подробен профил за него, за да му бъде показана точната за него реклама. От това описание само по себе си се вижда колко важни са third-party бисквитките за онлайн екосистемата в текущия ѝ вид.
Предвид обстоятелството че чрез бисквитките се събират и обработват лични данни, които самостоятелно или заедно с друга информация могат да идентифицират определено лице, тяхното действие попада в обхвата на GDPR. За това какви мерки трябва да се предприемат, за да може дейността на определен уебсайт да е в съответствие с правилата за бисквитките, можете да прочетете в нашата статия по проблема. Тук по-същественият въпрос е кой в крайна сметка има достъп до или по друг начин обработва събраните чрез third-party бисквитки лични данни и в какво качество съгласно терминологията на GDPR. Както бе посочено в началото, крайната цел на Google е да създаде среда, която е по-благоприятна за личните данни на потребителите, а тази цел неизменно минава през това данните да се обработват в по-малко количество и от по-малко лица.
GDPR борави с термините администратор на лични данни и обработващ лични данни, като регулаторната тежест пада основно върху администратора. В резултат от това е от изключително съществено значение в една дейност по обработка на лични данни кой е администратор и кой – обработващ.
Съгласно GDPR администратор е лицето, което определя целите и средствата на обработката. Така ако един уебсайт използва например third-party бисквитки на компания, предоставяща analytics услуги, с цел да анализира поведението на потребителите на сайта си из интернет, операторът на сайта ще действа като администратор, а компанията, извършваща анализа, ще обработва данните единствено в интерес на оператора, което я прави обработващ. Ако обаче обработващият впоследствие използва данните за други, свои цели, това би го превърнало в администратор, което води до необходимост от привеждане на дейността по обработка в съответствие с правилата на GDPR, а именно да бъде посочено основание за обработката, тя да се извършва в съответствие с принципите на GDPR и т.н., което далеч не е лесна задача.
Видно от този модел е, че лицето, „собственик на бисквитката“, обработва лични данни, тъй като информацията се отнася до конкретно лице. Видно е също така, че „собственикът на браузъра“, какъвто е Google по отношение на Chrome, няма сам по себе си в това си качество роля в процеса по обработка съгласно терминологията на GDPR. Единствената функция на браузъра е, че технически допуска third-party бисквитките, но този факт не създава задължение по GDPR.
Новото положение
С предложените реформи Google цели да премахне възможността за използване на third-party бисквитки в Chrome в интерес на защитата на личните данни на потребителите, но без това да води до „жертване на релевантното рекламиране“.
Как планира Google да направи това? Чрез въвеждане на т.нар. Federated Learning of Cohorts или FLoCs, чиято цел е да предостави на рекламодателите информация за релевантните за тях потребители, без да се разкриват данни за никой конкретен потребител. Технически това става, като се групират множество потребители, няколко хиляди, в един FLoC от лица със сходно поведение в интернет през някакъв определен предходен период (понастоящем 7 дни според уебсайта на проекта). Идеята е групата да бъде достатъчно голяма, за да направи отделния потребител анонимен, но и достатъчно малка, за да има някакъв значителен обединяващ белег на участниците. Проектът е с отворен код и безплатен за ползване, така че участниците в онлайн екосистемата са свободни да допринесат към FLoCs и да ги използват, което би следвало да означава, че потенциално всеки може да ползва свои FLoCs, стига да се вместват в допустимото от браузъра.
Очевидно е, че целта на Google е анонимност на отделния потребител в интернет чрез „разтварянето“ му в групата. Постига ли се обаче този резултат? Критици на проекта излагат своите съображения, че макар да има своите положителни аспекти, е възможно чрез различни техники потребителите все пак да бъдат идентифицирани.
Ако тези съображения се окажат неоправдани, онлайн екосистемата действително ще бъде значително подобрена за потребителите. В този сценарий техните данни, състоящи се в информация за онлайн поведението им през последната седмица, биват обработвани веднъж седмично с цел причисляване към определената FLoC група. След това отделният потребител остава анонимен, т.е. данните са анонимизирани и рекламодателите и техните обработващи не могат да идентифицират потребителите от предоставената информация, но могат да им предлагат релевантни реклами. И вълкът сит, и агнето цяло.
Ако обаче съображенията се сбъднат, ще бъдем изправени пред една доста по-различна реалност. На първо време въпросната анонимизация въобще няма да се е състояла. Съобр. 26 от GDPR изисква, за да може да се счита определена информация за анонимизирана, субектът да не може повече да бъде идентифициран. Но ако е възможно чрез използването на информацията от съответния FLoC, която не е нищо друго освен информация за поведението на потребителя онлайн, в комбинация с друга информация да бъде идентифициран потребителят, то информацията от съответния FLoC ще се счита за лични данни по смисъла на чл. 4 (1) от GDPR. Нещо повече. Според критиците тази друга информация, която ще се използва в комбинация с информацията от конкретния FLoC, ще стане използваема за идентифициране на субекта именно поради нововъведението на FLoC. От гледна точка на GDPR това би я превърнало в нова категория лични данни, която обработващият най-вероятно няма да има основание да обработва и така дейността по обработка ще бъде незаконосъобразна.
Заключение
Намеренията на Google да засили неприкосновеността на личните данни на потребителите в интернет без съмнение е похвална. От друга страна желанието на компанията до голяма степен да запази капацитета на онлайн екосистемата да предоставя таргетирани реклами и съдържание създава немалко предизвикателства и, по мнение на някои критици, решава някои проблеми, но създава нови. За момента проектът е отложен за средата на 2023 г. Времето ще покаже дали в крайна сметка ще бъде вкаран в действие и как ще бъдат решени поставените въпроси относно бъдещата защита на личните данни.