Tajemnice aplikacji hazardowych

Okiem eksperta
Iwo 17/05/2022

Ostatnia aktualizacja: 17 maja 2022

Dotychczasowe rozwiązania polegające głównie na nałożeniu na przedsiębiorców obowiązków informacyjnych nie chronią wystarczająco użytkowników Firmy bukmacherskie skrzętnie skrywają swoje know-how. W aspekcie tworzenia algorytmów kursów dotyczących przedmiotu zakładu jest to zrozumiale, ponieważ obejmuje element projektowania produktu pod względem jego efektywności.

W końcu firma bukmacherska nie działa ani non profit, ani non for profit. Projektowane przez te firmy usługi zachęcają wyjątkową konkurencyjnością swojej oferty. Czy także ją personalizują w oparciu o dane konkretnego klienta? Kwestia ta jest szczególnie interesująca w dobie cyfryzacji i przeniesienia przez firmy bukmacherskie swojej działalności do aplikacji na smartfony. Tacy jak Gregg

O konkretnych praktykach możemy się dowiedzieć za sprawą artykułu opublikowanego przez „New York Times” w marcu 2021 r. („Gambling Apps Know a Lot About You”), w którym opisano działania najpopularniej firmy bukmacherskiej w Wielkiej Brytanii Sky Bet, których „ofiarą” stał się użytkownik o imieniu Gregg. Zawierał on zakłady bukmacherskie przez dziewięć miesięcy w 2018 r. Przegrał swoje oszczędności, zaciągnął pożyczki gotówkowe (ok. 70 tys. dol.) oraz kredyt pod zastaw swojego domu (ok. 150 tys. dol.) w celu dalszej gry. Obecnie stara się ustalić, czy aplikacja firmy bukmacherskiej Sky Bet wpłynęła na jego sytuację. Chodzi o to, jakie informacje o nim zbierał Sky Bet i czyje wykorzystywał w celu przedstawienia mu kolejnych ofert zakładów. Gregg ustalił, że Sky Bet wiedział o jego sytuacji, ponieważ firma ta (lub jeden z dostawców danych) miała dostęp do danych bankowych, szczegółów kredytu hipotecznego, współrzędnych lokalizacji i danych sensytywnych, tj. jego nawyków obstawiania, przyzwyczajeń i preferencji, ponieważ obserwował jego ruch jako użytkownika w sieci.

Co więcej, po zaprzestaniu uprawiania hazardu Gregg został zakwalifikowany przez ich wewnętrzny system jako „klient do odzyskania” i w związku z tym otrzymywał e-maile, w których nie tylko oferowano mu okazję wygrania ponad 40 tys. dol., lecz także w sposób zautomatyzowany wytypowano rodzaj zakładu jako dopasowany do jego preferencji „The New York Times” wskazuje, że informacje, które mogłyby być zastosowane do pomocy uzależnionym od hazardu użytkownikom, wykorzystywane były do podtrzymywania i potęgowania ich nałogu. Raport brytyjskiej Izby Lordów wskazuje, że 60 proc. zysków branży hazardowej pochodzi od 5 proc. najbardziej uzależnionych osób.

Sky Bet nie zaprzecza, że posiadała dane użytkowników. Informuje jednak, że nie uzyskała ich samodzielnie, lecz z pomocą zewnętrznych przedsiębiorstw, a posiadane przez nią informacje nie były wykorzystywane w celu zachęcania do hazardu osób z ryzy Idem uzależnienia. Wręcz przeciwnie, pomagały ograniczyć możliwości uczestniczenia w grze takim osobom.

Gdyby mieszkał w Polsce

Co prawda w Wielkiej Brytanii i w Stanach Zjednoczonych obowiązują inne normy w zakresie bezpieczeństwa danych osobowych, jednak obywatel UE może wyrazić zgodę na przetwarzanie danych w podobny sposób, pozbawiając się ochrony prawnej. Problem polega na tym, że użytkownicy aplikacji w większości nie są świadomi, że taką zgodę wyrażają. Ponadto dane osobowe polskiego użytkownika aplikacji hazardowej mogą być transferowane do USA czy Wielkiej Brytanii i tam przetwarzane w podobny sposób.

Twórcy aplikacji Sky Bet mogli „sterować” zachowaniem Gregga dzięld systemowi profilowania, czyli prognozowania sposobu zachowania się człowieka, określania jego sytuacji ekonomicznej, stanu zdrowia, osobistych preferencji, zainteresowań wiarygodności, lokalizacji czy też przemieszczania się. System teleinformatyczny zbierał odpowiednie dane użytkownika aplikacji, po czym porównywał je z danymi statystycznymi lub danymi innych użytkowników. Utworzyły się w ten sposób nowe dane nieprzekazane przez użytkownika.

Takim praktykom miało zapobiec ustawodawstwo unijne. Zgodnie z art. 22 ust. 1 Ogólnego Rozporządzenie o Ochronie Danych Osobowych (Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r.; (RODO, Dz.Urz. UE Nr L 119 z 04 maja 2016 r.) osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji opierającej się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu. Jak wskazują wytyczne Grupy Roboczej ds. Ochrony Osób Fizycznych, zakaz określony w art. 22 ust. 1 ma zastosowanie wyłącznie w szczególnych okolicznościach, w których decyzja podjęta wyłącznie w oparciu o zautomatyzowane przetwarzanie, w tym profilowanie, wywołuje wobec danej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Nawet w tych sytuacjach określono wyjątki umożliwiające stosowanie takiego przetwarzania. Najczęściej spotykanym jest wyrażenie zgody na profilowanie.

W takim przypadku staje się ono w pełni legalne. Wystarczy jakakolwiek, nawet niewywierająca znaczącego wpływu ingerencja człowieka w podejmowanie decyzji, a proceder ten będzie w pełni zgodny z prawem. W wytycznych wskazano również, iż administratorzy danych osobowych stosujący profilowanie na podstawie zgody muszą wykazać, że osoby, których dane dotyczą, dobrze rozumieją, na co dokładnie się zgadzają. Niezależnie od danego przypadku osoby, których dane dotyczą, powinny dysponować odpowiednią liczbą stosownych informacji na temat planowanego wykorzystania danych oraz konsekwencji związanych z ich przetwarzaniem, tak aby ich zgoda wyni- kała ze świadomej decyzji. Wytyczne grupy roboczej nie stanowią jednak źródła prawa.

W praktyce większość użytkowników nie ma świadomości, iż wyraża zgodę na profilowanie. Klauzula informująca o stosowaniu mechanizmów profilowania zazwyczaj znajduje się w obszernych regulaminach akceptowanych przy zakładaniu konta, których użytkownicy nie czytają. Twórcy treści cyfrowych mają tego świadomość, tak więc treść przepisów unijnych w bardzo niewielkim zakresie ogranicza im możliwość wykorzystywania danych w celu „sterowania” użytkownikami, a działanie takie pozostaje w pełni zgodne z prawem.

Dane osoby korzystającej z aplikacji na terytorium Polski mogą być przekazywane do innego państwa znajdującego się w Europejskim Obszarze Gospodarczym (kraje UE oraz Islandia, Liechtenstein i Norwegia) bądź też poza nim, gdzie nie zawsze będzie obowiązywał taki sam poziom ochrony prawnej. Przedsiębiorcy posiadający siedzibę na terytorium EOG przekazujący dane poza ten obszar są zobowiązani do przestrzegania Rozporządzenia 2016/679 (RODO). Mogą oni przekazywać dane do państwa trzeciego bez konieczności przestrzegania dodatkowych wymogów, jeśli Komisja stwierdzi, że państwo to zapewnia odpowiedni stopień ochrony, wydając odpowiednią decyzję w tym zakresie.

Takie przekazanie nie wymaga specjalnego zezwolenia. W razie braku decyzji administrator lub podmiot przetwarzający mogą przekazać dane osobowe do państwa trzeciego, wyłącznie gdy zapewnia ono odpowiednie zabezpieczenia i pod warunkiem, że obowiązują egzekwował ne prawa osób, których dane dotyczą, oraz skuteczne środki ochrony prawnej. Jak wskazał TSUE w wyroku z 16 lipca 2020 r. (C-311/18), wymagane przez te przepisy odpowiednie zabezpieczenia, egzekwowalne prawa oraz skuteczne środki ochrony prawnej powinny zapewniać, by prawa osób, których dane osobowe są przekazywane do państwa trzeciego na podstawie standardowych klauzul ochrony danych, były chronione w stopniu merytorycznie równoważnym temu gwarantowanemu w Unii. Zabezpieczenie danych odbywa się poprzez zastosowanie do umów dotyczących transferu danych osobowych standardowych klauzul umownych przyjętych lub zatwierdzonych przez Komisję lub wiążących reguł korporacyjnych. Przyjęcie tego typu rozwiązań powoduje, że obywatel Polski nie powinien obawiać się, że jego dane zostaną wykorzystane w sposób naruszający prawa przyznane mu w UE. Należy pamiętać, że zgodnie z art. 15 RODO każdy ma prawo m.in. do żądania od administratora dostępu do swoich danych (taki back-up swoich danych można pobrać np. w serwecie Facebook).

Nadto po wygaśnięciu obowiązków prawnych, w szczególności celu przetwarzania danych, cofnięciu zgody w przypadku dobrowolności podania danych, administrator powinien usunąć dane osoby, której dotyczą (tzw. prawo do bycia zapomnianym, the right to be forgotten RTBF). Kwestia ta została uregulowana w art 17 RODO. Gdy użytkownik skorzysta tego uprawnienia, nie powinien otrzymywać niechcianych czy nagabujących wiadomości Przekazywanie danych osobowych do Wielkiej Brytanii do 1 lipca 2021 r. odbywało się na zasadach takich, jakby państwo to nadal było członkiem UE. Obecnie Wielka Brytania, będąc uznaną za państwo trzecie zapewniające odpowied- ni poziom ochrony danych osobowych, korzysta ze swobody wymiany danych osobowych z krajów EOG (Europejskiego Obszaru Gospodarczego) bez konieczności uzyskiwania dodatkowych zezwoleń

Niemniej przekazywanie danych do podmiotów mających siedzibę na terytorium Wielkiej Brytanii stanowi przekazywanie danych osobowych do państwa trzeciego, co wiąże się, po stronie administratorów danych, z obowiązkami informacyjnymi oraz dokumentacyjnymi. Podmioty z siedzibą w USA odbierające dane osobowe przekazane z EOG na mocy decyzji Komisji (UE) 2016/1250 zatwierdzającej Tarczę Prywatności korzystały z domniemania, że chronią dane osobowe na odpowiednim zgodnym z RODO poziomie. TSUE w wyroku z 16 lipca 2020 r. (C-311/18) stwierdził jednak nieważność decyzji wykonawczej 2016/1250 przyjętej na mocy dyrektywy 95/46, w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA.

Stało się tak z uwagi na obecnie obowiązujące w Stanach Zjednoczonych ustawodawstwo, na którego mocy dane osobowe są w szerokim zakresie przekazywane władzy publicznej oraz organom ścigania. Od tej pory transfer danych może odbywać się jedynie w oparciu o standardowe klauzule umowne lub o wiążące reguły korporacyjne. W wyroku w sprawie Schems II TSUE wskazał również, że nie w każdym przypadku zastosowanie standardowych klauzul umownych będzie stanowić wystarczający środek pozwalający na zapewnienie w praktyce skutecznej ochrony danych osobowych. Oprócz standardowych klauzul umownych należy zatem stosować dodatkowe zabezpieczenia. Nie ma jednak norm prawnych określających sposoby tego zabezpieczenia.

Potrzebna ingerencja

Rozstrzygnięcie sporu pomiędzy Creggiem a Sky Bet należy do sądu. Wiadomo jednak, że procesy psychologiczne, w tym rozwój uzależnienia, mogą zostać opisane w kodach, którymi posłuży się przedsiębiorca. Dlatego też niezbędna jest interwencja ustawodawcy na szczeblu unijnym. Dotychczasowe rozwiązania polegające głównie na nałożeniu na przedsiębiorców obowiązków informacyjnych nie chronią w wystarczający sposób użytkowników. Możliwości wyłączenia ochrony przed profilowaniem na skutek wyrażenia zgody również nie zapewnia użytkownikom aplikacji hazardowych należytego poziomu ochrony.

Jeśli w aplikacji przewidziana jest możliwość profilowania, to konsument, który chce, aby odbierane przez niego treści były do niego bardziej „dopasowane”, powinien sam o takie profilowanie wystąpić, wchodząc samodzielnie bez sugestii aplikacji w odpowiednie zakładki. Gąszcz informacji nie jest korzystny dla użytkowników. Przedstawienie internaucie tak wielu informacji nie sprawi że stanie się świadomym odbiorcą treści Wręcz przeciwnie, powoduje coraz większą dezinformację, gdyż użytkownicy nie przeczytają żadnej z nich. Trudno oczekiwać, że osoba korzystająca z internetu będzie poświęcała godziny na czytanie obszernej polityki prywatności, plików cookies oraz regulaminów korzystania z usług.

Bartosz Armknecht, kancelaria ADVISER Armknecht i Partnerzy, Radcowie Prawni Katarzyna Wałdoch, kancelaria ADVISER Armknecht i Partnerzy, Radcowie Prawni

Żródło: gazetaprawna.pl

0 komentarzy

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

E-PLAY.PL