Wykorzystanie chatbotów a ochrona danych osobowych

Nowoczesnym i coraz częstszym rozwiązaniem programistycznym, wykorzystywanym w szeroko pojętej obsłudze użytkownika Internetu są chatboty, zwane również wirtualnymi asystentami. Dzięki nim możliwe jest szybkie uzyskanie podstawowej odpowiedzi na najczęściej zadawane pytania, poprzez przedstawianie informacji w odpowiedni i ukierunkowany sposób. Ich przewaga polega również na tym, że są dostępne o dowolnej porze dnia i nocy, bez konieczności angażowania drugiego człowieka, co zdecydowanie ułatwia komunikację, jak również obniża koszty związane z obsługą.

Równocześnie, bardzo często, aby móc zapewnić dialog człowieka z programem, przetwarzane są dane osobowe użytkownika, takie jak np. imię, nazwisko, identyfikator internetowy czy jego wizerunek.

Co za tym idzie, wskazane narzędzie powinno być zgodne z przepisami o ochronie danych osobowych. W kontekście wykorzystywania chatbotów wypowiedziała się francuska Krajowa Komisja ds. Informatyki i Wolności - CNIL (Commission Nationale de l'Informatique et des Libertés), publikując stosowane wytyczne i zalecenia.

Zarządzanie plikami cookie

Zachowanie ciągłości technicznej chatbota lub historii konwersacji między różnymi stronami danej witryny, często powiązane jest z umieszczeniem na niej plików cookie. Podmiot instalujący cookies i inne dane, które są zapisywane na urządzeniu końcowym użytkownika lub są z niego odczytywane powinien dokonać ich klasyfikacji na takie, o których informacja powinna być przekazana użytkownikom i na takie, które są niezbędne dla świadczenia usługi i w związku z tym nie ma obowiązku informowania użytkowników, jak również potrzeby pozyskiwania ich zgody (tzw. essential oraz non-essential cookies).

Wyłączenie zawarte w art. 173 ust. 3 ustawy Prawo telekomunikacyjne stanowi, że przepisów art. 173 ust. 1 wskazanej ustawy nie stosuje się, jeżeli przechowywanie lub uzyskanie dostępu do informacji jest konieczne do:

  1. wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej lub
  2. dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.

Migracje, chmury, systemy.
RODO w IT.

Szkolenie RODO w IT dla inspektorów ochrony danych oraz managerów i pracowników IT. Zapraszamy!
SPRAWDŹ TERMINY
Przykładem ciasteczek objętych tym wyłączeniem są pliki cookie z danymi wprowadzanymi przez użytkownika (identyfikator sesji) na czas trwania sesji (user input cookies).

W przypadku wszystkich innych, niż wymienione powyżej, rodzajów cookies (m.in. cookies reklamowe), warunkiem legalnego korzystania z nich jest łączne spełnienie trzech przesłanek, określonych w art. 173 ust. 1 pkt 1–3 ustawy Prawo telekomunikacyjne, tj.:

  1. uprzednie bezpośrednie poinformowanie abonenta (użytkownika) w sposób jednoznaczny, łatwy i zrozumiały o celach i najważniejszych konsekwencjach instalowania i odczytywania informacji zawartych na plikach cookie oraz o możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi (art. 173 ust. 1 pkt 1);
  2. uzyskanie uprzedniej zgody abonenta (użytkownika) na przechowywanie i dostęp do powyższych informacji, wyrażonej chociażby „za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi”
    (art. 173 ust. 1 pkt 2 w zw. z art. 173 ust. 2);
  3. instalowanie i odczytywanie informacji zawartych w plikach cookie nie powoduje zmian konfiguracyjnych urządzenia końcowego abonenta (użytkownika) (art. 173 ust. 1 pkt 3).

Podmiot instalujący cookies powinien również być w stanie wykazać, ze uzyskał zgodę abonentów/użytkowników końcowych (np. poprzez przechowywanie „kliknięcia” w logach systemowych).

Z kolei art. 174 prawa telekomunikacyjnego doprecyzowuje powyższą zgodę, wskazując, że mają do niej zastosowanie przepisy o ochronie danych osobowych, a co za tym idzie taka zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna.

Równocześnie w sprawie zgody na wykorzystywanie plików cookie swoje stanowisko zajął Trybunał Sprawiedliwości Unii Europejskiej w wyroku z 1 października 2019 roku w sprawie C-673/17, Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband eV vs. Planet49 GmbH, stwierdzając iż wymóg wyraźnej zgody użytkownika na instalowanie plików cookie na jego urządzeniu powoduje niedopuszczalność wyrażenia zezwolenia na podstawie domyślnie zaznaczonych zgód.

W praktyce, przenosząc powyższe na przepisy prawa telekomunikacyjnego w art. 173 należy stwierdzić, że TSUE stwierdza, że wymóg wskazania woli przez osobę, której dane dotyczą, odzwierciedla zachowanie czynne, a nie bierne, co prowadzi do konkluzji, iż taka forma wyrażania zgody będzie dobrowolna, konkretna, świadoma i jednoznaczna.

Wiąże się bowiem z wyrażeniem zgody (albo jej odmową) poprzez ustawienia przeglądarki, zakładając, że użytkownik jest o tym informowany, zanim rozpocznie korzystanie ze strony internetowej.

Okres przechowywania danych z Chatbota

Kolejnym zaleceniem CNIL, dotyczącym funkcjonowania chatbotów jest okres przechowywania uzyskanych za ich pośrednictwem danych. Art. 5 ust.1 lit. e RODO zobowiązuje administratora do przechowywania danych osobowych przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Niezbędne będzie zatem rozróżnienie sytuacji, w której administrator ma prawo przechowywania danych przez np. dłuższy okres (np. w przypadku reklamacji zakupionego produktu) od tej, w której dane powinny zostać usunięte na koniec rozmowy z chatbotem (np. w przypadku chatbota pomagającego w zakupie).

Zautomatyzowane podejmowanie decyzji

Rozmowa z chatbotem co do zasady nie prowadzi do ważnych dla danej osoby decyzji, takich jak odrzucenie wniosku kredytowego, zastosowanie wyższych stawek czy niemożność ubiegania się o pracę. Taka rozmowa może być jednak częścią większego procesu, który obejmowałby znaczącą interwencję człowieka.

CNIL wskazuje w tym zakresie, że zautomatyzowane podejmowanie decyzji, pociągające za sobą skutki prawne lub w podobny sposób istotnie wpływające na osoby, który dane dotyczą jest zabronione na mocy art. 22 RODO. Wyjątkiem są sytuacje opisane w ust. 2 wskazanego artykułu, tj.:

  1. decyzja jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem,
  2. decyzja jest dozwolona prawem Unii lub prawem państwa członkowskiego
  3. osoba, której dane dotyczą wyraziła wyraźną zgodę.

Przetwarzanie danych szczególnych kategorii przez chatboty

Kontrowersyjnym aspektem pozostaje kwestia przetwarzania szczególnych kategorii danych osobowych przez chatboty, które co do zasady jest zabronione (art. 9 RODO). CNIL wskazuje w tym aspekcie na dwa rodzaje sytuacji.

  1. Przetwarzanie danych szczególnych kategorii danych ma charakter systemowy.

Praca dobrymi narzędziami RODO
to nie praca!

Aplikacje, kalkulatory, RODOmigawki - wszystko, co może ułatwić Ci zarządzanie systemem ochrony danych osobowych.
ZOBACZ WIĘCEJ
Z taką sytuacją możemy mieć do czynienia w przypadku chatbotów wspierających mniejszości seksualne lub udzielających informacji nt. zdrowia. Rzeczą podstawową jest zapewnienie wyjątku (podstawy prawnej) przełamującej generalny zakaz przetwarzania szczególnych kategorii danych. CNIL wskazuje w tym zakresie na wyraźną zgodę użytkownika chatbota (art. 9 ust. 2 lit a RODO) lub oparcie przetwarzania na przesłance niezbędności, ze względu na ważny interes publiczny (art. 9 ust. 2 lit g RODO).

Równocześnie CNIL wskazuje, że przetwarzanie danych szczególnie chronionych jest jednym z dziewięciu kryteriów (wskazanych w wytycznej WP 248), które mogą prowadzić do konieczności przeprowadzenia oceny skutków dla ochrony danych (DPIA). Należy pamiętać, że zaistnienie kolejnego z tych kryteriów (np. gromadzenie danych osobowych na dużą skalę
może spowodować, że DPIA będzie obowiązkowe.

  1. Przetwarzanie danych szczególnych kategorii danych nie ma charakteru systemowego.

Z omawianą sytuacją będziemy mieli do czynienia, gdy użytkownik chatbota samodzielnie, bez jakiekolwiek inspiracji ze strony administratora, ujawni dane osobowe szczególnej kategorii. CNIL wskazuje, że w takiej sytuacji administrator nie jest zobowiązany do uzyskania uprzedniej zgody użytkownika. Będzie on jednak musiał wprowadzić mechanizmy minimalizujące ryzyko naruszenia praw i wolności osób, których dane dotyczą, na przykład:

  • ostrzeżenie, zanim rozpocznie się rozmowa z chatbotem, przed ujawnianiem w trakcie rozmowy danych sensytywnych na swój (lub innych osób) temat.
  • ustanowienie systemu usuwania, natychmiastowego lub przynajmniej regularnego, danych osobowych (w szczególności szczególnych kategorii) niemających związku z prowadzoną korespondencją.

Podsumowując powyższe, wobec wdrażania nowych technologii, takich jak chatboty, konieczne jest dostosowanie ich funkcjonowania do przepisów chroniących dane osobowe i wolnościowe jednostki poprzez odpowiednie rozwiązania systemowe i procedury.

Czytaj także:

Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".