Równocześnie, bardzo często, aby móc zapewnić dialog człowieka z programem, przetwarzane są dane osobowe użytkownika, takie jak np. imię, nazwisko, identyfikator internetowy czy jego wizerunek.
Co za tym idzie, wskazane narzędzie powinno być zgodne z przepisami o ochronie danych osobowych. W kontekście wykorzystywania chatbotów wypowiedziała się francuska Krajowa Komisja ds. Informatyki i Wolności - CNIL (Commission Nationale de l'Informatique et des Libertés), publikując stosowane wytyczne i zalecenia.
Zarządzanie plikami cookie
Zachowanie ciągłości technicznej chatbota lub historii konwersacji między różnymi stronami danej witryny, często powiązane jest z umieszczeniem na niej plików cookie. Podmiot instalujący cookies i inne dane, które są zapisywane na urządzeniu końcowym użytkownika lub są z niego odczytywane powinien dokonać ich klasyfikacji na takie, o których informacja powinna być przekazana użytkownikom i na takie, które są niezbędne dla świadczenia usługi i w związku z tym nie ma obowiązku informowania użytkowników, jak również potrzeby pozyskiwania ich zgody (tzw. essential oraz non-essential cookies).
Wyłączenie zawarte w art. 173 ust. 3 ustawy Prawo telekomunikacyjne stanowi, że przepisów art. 173 ust. 1 wskazanej ustawy nie stosuje się, jeżeli przechowywanie lub uzyskanie dostępu do informacji jest konieczne do:
- wykonania transmisji komunikatu za pośrednictwem publicznej sieci telekomunikacyjnej lub
- dostarczania usługi telekomunikacyjnej lub usługi świadczonej drogą elektroniczną, żądanej przez abonenta lub użytkownika końcowego.
Przykładem ciasteczek objętych tym wyłączeniem są pliki cookie z danymi wprowadzanymi przez użytkownika (identyfikator sesji) na czas trwania sesji (user input cookies).
W przypadku wszystkich innych, niż wymienione powyżej, rodzajów cookies (m.in. cookies reklamowe), warunkiem legalnego korzystania z nich jest łączne spełnienie trzech przesłanek, określonych w art. 173 ust. 1 pkt 1–3 ustawy Prawo telekomunikacyjne, tj.:
- uprzednie bezpośrednie poinformowanie abonenta (użytkownika) w sposób jednoznaczny, łatwy i zrozumiały o celach i najważniejszych konsekwencjach instalowania i odczytywania informacji zawartych na plikach cookie oraz o możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi (art. 173 ust. 1 pkt 1);
- uzyskanie uprzedniej zgody abonenta (użytkownika) na przechowywanie i dostęp do powyższych informacji, wyrażonej chociażby „za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi”
(art. 173 ust. 1 pkt 2 w zw. z art. 173 ust. 2); - instalowanie i odczytywanie informacji zawartych w plikach cookie nie powoduje zmian konfiguracyjnych urządzenia końcowego abonenta (użytkownika) (art. 173 ust. 1 pkt 3).
Podmiot instalujący cookies powinien również być w stanie wykazać, ze uzyskał zgodę abonentów/użytkowników końcowych (np. poprzez przechowywanie „kliknięcia” w logach systemowych).
Z kolei art. 174 prawa telekomunikacyjnego doprecyzowuje powyższą zgodę, wskazując, że mają do niej zastosowanie przepisy o ochronie danych osobowych, a co za tym idzie taka zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna.
Równocześnie w sprawie zgody na wykorzystywanie plików cookie swoje stanowisko zajął Trybunał Sprawiedliwości Unii Europejskiej w wyroku z 1 października 2019 roku w sprawie C-673/17, Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband eV vs. Planet49 GmbH, stwierdzając iż wymóg wyraźnej zgody użytkownika na instalowanie plików cookie na jego urządzeniu powoduje niedopuszczalność wyrażenia zezwolenia na podstawie domyślnie zaznaczonych zgód.
W praktyce, przenosząc powyższe na przepisy prawa telekomunikacyjnego w art. 173 należy stwierdzić, że TSUE stwierdza, że wymóg wskazania woli przez osobę, której dane dotyczą, odzwierciedla zachowanie czynne, a nie bierne, co prowadzi do konkluzji, iż taka forma wyrażania zgody będzie dobrowolna, konkretna, świadoma i jednoznaczna.
Wiąże się bowiem z wyrażeniem zgody (albo jej odmową) poprzez ustawienia przeglądarki, zakładając, że użytkownik jest o tym informowany, zanim rozpocznie korzystanie ze strony internetowej.
Okres przechowywania danych z Chatbota
Kolejnym zaleceniem CNIL, dotyczącym funkcjonowania chatbotów jest okres przechowywania uzyskanych za ich pośrednictwem danych. Art. 5 ust.1 lit. e RODO zobowiązuje administratora do przechowywania danych osobowych przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Niezbędne będzie zatem rozróżnienie sytuacji, w której administrator ma prawo przechowywania danych przez np. dłuższy okres (np. w przypadku reklamacji zakupionego produktu) od tej, w której dane powinny zostać usunięte na koniec rozmowy z chatbotem (np. w przypadku chatbota pomagającego w zakupie).
Zautomatyzowane podejmowanie decyzji
Rozmowa z chatbotem co do zasady nie prowadzi do ważnych dla danej osoby decyzji, takich jak odrzucenie wniosku kredytowego, zastosowanie wyższych stawek czy niemożność ubiegania się o pracę. Taka rozmowa może być jednak częścią większego procesu, który obejmowałby znaczącą interwencję człowieka.
CNIL wskazuje w tym zakresie, że zautomatyzowane podejmowanie decyzji, pociągające za sobą skutki prawne lub w podobny sposób istotnie wpływające na osoby, który dane dotyczą jest zabronione na mocy art. 22 RODO. Wyjątkiem są sytuacje opisane w ust. 2 wskazanego artykułu, tj.:
- decyzja jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem,
- decyzja jest dozwolona prawem Unii lub prawem państwa członkowskiego
- osoba, której dane dotyczą wyraziła wyraźną zgodę.
Przetwarzanie danych szczególnych kategorii przez chatboty
Kontrowersyjnym aspektem pozostaje kwestia przetwarzania szczególnych kategorii danych osobowych przez chatboty, które co do zasady jest zabronione (art. 9 RODO). CNIL wskazuje w tym aspekcie na dwa rodzaje sytuacji.
- Przetwarzanie danych szczególnych kategorii danych ma charakter systemowy.
Praca dobrymi narzędziami RODO to nie praca!
Równocześnie CNIL wskazuje, że przetwarzanie danych szczególnie chronionych jest jednym z dziewięciu kryteriów (wskazanych w wytycznej WP 248), które mogą prowadzić do konieczności przeprowadzenia oceny skutków dla ochrony danych (DPIA). Należy pamiętać, że zaistnienie kolejnego z tych kryteriów (np. gromadzenie danych osobowych na dużą skalę
może spowodować, że DPIA będzie obowiązkowe.
- Przetwarzanie danych szczególnych kategorii danych nie ma charakteru systemowego.
Z omawianą sytuacją będziemy mieli do czynienia, gdy użytkownik chatbota samodzielnie, bez jakiekolwiek inspiracji ze strony administratora, ujawni dane osobowe szczególnej kategorii. CNIL wskazuje, że w takiej sytuacji administrator nie jest zobowiązany do uzyskania uprzedniej zgody użytkownika. Będzie on jednak musiał wprowadzić mechanizmy minimalizujące ryzyko naruszenia praw i wolności osób, których dane dotyczą, na przykład:
- ostrzeżenie, zanim rozpocznie się rozmowa z chatbotem, przed ujawnianiem w trakcie rozmowy danych sensytywnych na swój (lub innych osób) temat.
- ustanowienie systemu usuwania, natychmiastowego lub przynajmniej regularnego, danych osobowych (w szczególności szczególnych kategorii) niemających związku z prowadzoną korespondencją.
Podsumowując powyższe, wobec wdrażania nowych technologii, takich jak chatboty, konieczne jest dostosowanie ich funkcjonowania do przepisów chroniących dane osobowe i wolnościowe jednostki poprzez odpowiednie rozwiązania systemowe i procedury.