W treści Ogólnego Rozporządzenia o Ochronie Danych Osobowych w kilku miejscach pojawia się wzmianka o możliwości stosowania tzw. „standardowych znaków graficznych” . W zamyśle prawodawcy europejskiego miał to być ujednolicony system piktogramów, za pomocą których, w widoczny, zrozumiały i czytelny sposób miałyby być przedstawiane najistotniejsze cechy zamierzonego przetwarzania danych osobowych.
Wprowadzenie
„Dobry rysunek jest lepszy od długiego przemówienia”, to powiedzenie przypisywane Napoleonowi Bonaparte[1], zdawało się przyświecać autorom RODO, wprowadzającym możliwość prezentowania informacji na temat przetwarzania danych osobowych w formie obrazkowej. Nic w tym dziwnego. Obrazki, podobnie jak symbole matematyczne, mogą stanowić szybki i uniwersalny przekaz, zrozumiały dla osób posługujących się różnymi językami oraz w różnym wieku.
W treści Ogólnego Rozporządzenia o Ochronie Danych Osobowych w kilku miejscach pojawia się wzmianka o możliwości stosowania tzw. „standardowych znaków graficznych”[2]. W zamyśle prawodawcy europejskiego miał to być ujednolicony system piktogramów, za pomocą których, w widoczny, zrozumiały i czytelny sposób miałyby być przedstawiane najistotniejsze cechy zamierzonego przetwarzania danych osobowych. Jeżeli znaki te miałyby być stosowane w formie elektronicznej, muszą nadawać się do odczytu maszynowego. Owe standardowe znaki graficzne określa się nieraz mianem „ikonek prywatności” („privacy icons”), lub „standardowych ikonek” („standardized icons”)[3].
Celem niniejszego artykułu jest przybliżenie problematyki stosowania „standardowych znaków graficznych” na gruncie RODO oraz szersze naświetlenie celów jakim takie ikonki prywatności mają służyć, a także korzyści wynikających z ich zastosowania.
Dlaczego ikonki?
Odpowiedź na pytanie po co prezentować informację o przetwarzaniu danych w formie obrazkowej wydaje się oczywista, jednak u podstaw stosowania ikonek prywatności leży więcej, niż tylko dążenie do uproszczenia komunikacji.
Przede wszystkim stosowanie standardowych znaków graficznych zwiększa kontrolę użytkowników nad tym kto, kiedy i jak przetwarza ich dane osobowe[4], co może stanowić przeciwwagę dla natłoku informacji, szybkiego tempa oraz niedostatecznej świadomości zagrożeń, jakie cechują środowisko cyfrowe i jego użytkowników. Ikonki oszczędzają czas. Dzięki nim użytkownik może szybciej zapoznać się z kluczowymi informacjami na temat przetwarzania danych, co pozwoli mu na podejmowanie świadomych decyzji dotyczących wyrażenia (lub niewyrażenia) zgody na przetwarzanie jego danych osobowych[5]. Można postawić tezę, że gdyby zapoznawanie się z informacjami i regulaminami trwało krócej, robiłoby to więcej osób, zamiast bezrefleksyjnie je akceptować. Założenie, że użytkownicy czytają pisane drobnym druczkiem regulaminy i ogólne warunki dla pobieranego oprogramowania oraz wykorzystywanych usług on-line, określane jest mianem „największej fikcji Internetu”[6] [7]. W ramach eksperymentu naukowego z 2017 r., polegającego na promowaniu wśród amerykańskich studentów fikcyjnego portalu społecznościowego o nazwie NameDrop, 543 osób – klikając na przycisk „dołącz” – wyraziło zgodę na szereg absurdalnych działań, takich jak przekazanie wszystkich danych osobowych do amerykańskiej agencji wywiadowczej NSA, czy oddanie operatorowi usługi w ramach wynagrodzenia swojego pierworodnego dziecka[8]. Jedna czwarta z badanych osób zadeklarowała, że zapoznała się z warunkami korzystania z serwisu.
Prezentowanie kluczowych informacji w formie obrazkowej pozwala na szybkie zwrócenie uwagi użytkownika na „trudne” postanowienia informacji o przetwarzaniu, takie jak zgoda na profilowanie, czy na przekazywanie danych osobowych podmiotom trzecim. To wszystko oczywiście przy założeniu, że administratorzy danych będą informowali w sposób rzetelny i uczciwy.
Ikonki prywatności doskonale sprawdzają się jako element pierwszej warstwy informacyjnej w modelu wielopoziomowego informowania o przetwarzaniu danych osobowych (więcej na ten temat poniżej). Ponadto, w środowisku cyfrowym, dzięki obowiązkowi umożliwiania odczytu maszynowego treści ikonek, stworzona została podstawa do dalszego przetwarzanie tych informacji m.in. przez sklepy z aplikacjami. Być może w przyszłości będziemy mogli sortować dostępne na takich platformach aplikacje, nie tylko pod kątem opinii użytkowników, popularności czy ceny, ale również pod kątem tego czy administratorzy danych przekazują nasze dane osobowe podmiotom trzecim, przechowują je poza obszarem UE/EWG, czy też wykorzystują je w celu profilowania.
Obrazy łatwiej zwracają uwagę nie tylko dzieci, ale też młodych jak i dorosłych. Większość młodych osób woli informacje prezentowane im w postaci obrazkowej, co jest charakterystyczne nie tylko dla dzieci i młodzieży, ale również dla młodych pracowników. Badanie pracowników zaliczanych do pokolenia tzw. Millenialsów, przeprowadzone w 2018 r. przez portal Techsmith.com, wykazało, że ponad 64% młodych pracowników biurowych łatwiej przyswaja informacje prezentowane za pomocą obrazów lub filmów, niż zwykły tekst, oraz wolałoby otrzymywać informacje w takiej postaci[9]. Wykorzystanie symboli graficznych może więc nie tylko zwiększyć stopień zrozumienia informacji na temat przetwarzania danych osobowych, ale również sprawić, że młodzi użytkownicy prędzej zainteresują się produktem lub usługą, których to przetwarzanie dotyczy.
Ikonki lepiej nadają się do wykorzystywania w urządzeniach mobilnych oraz w przedmiotach tzw. Internetu Rzeczy. Ekran wielu „mądrych” urządzeń, takich jak zegarki, szczoteczki do zębów, czy sprzęt AGD może być zbyt mały do wyświetlania większych ilości tekstu. Standardem jest ponadto, że wraz z produktem dostarczana jest jedynie skrótowa informacja na temat sposobu oraz zasad jego wykorzystywania, zaś szczegółowe informacje i instrukcje dostępne są na stronie producenta.
Zastosowanie standardowych ikonek, o jednolitym, „urzędowo” ustalonym znaczeniu może również stanowić alternatywę dla praktyki zamieszczania na stronach internetowych różnego rodzaju certyfikatów, znaków zaufania lub symboli prywatności, wystawianych z reguły odpłatnie przez prywatne lub publiczne organizacje kontrolujące.
Źródło: https://www.european-privacy-seal.eu/EPS-en/Home
Wprawdzie korzystanie z usług tego typu jednostek certyfikujących i posługiwanie się wystawianymi przez nie znakami zaufania nie jest samo w sobie złą praktyką. Niemniej jednak zwrócić należy uwagę, że ich funkcjonowanie opiera się wyłącznie na autorytecie wystawiających instytucji, z których każda posługuje się własnymi kryteriami przeprowadzania kontroli oraz przyznawania ocen[10]. Użytkownik z reguły nie ma prostej możliwości sprawdzenia jakie działania są podejmowane przez certyfikowanego w ten sposób administratora danych oraz czy w rzeczywiście są one zgodne z przepisami prawa oraz obowiązującymi standardami. W 2014 r. komercyjna organizacja TRUSTe, dostarczająca popularne w Stanach Zjednoczonych usługi certyfikujące portale internetowe dla różnych kategorii użytkowników, została ukarana przez amerykańską Federalną Komisję Handlu (FTC) karą w wysokości 200.000 dolarów za to, że – wbrew zapewnieniom certyfikatora – zabezpieczenia prywatności na stronach jego klientów nie były ponownie weryfikowane każdego roku[11].
źródło: https://www.trustarc.com/blog/wp-content/uploads/privacy-seal_blog.jpg
Warto także przypomnieć, że Ikonki łatwiej przełamują bariery językowe. Dobrze zaprojektowane obrazki mogą być zrozumiałe dla osób nieznających lokalnego języka. Jako humorystyczny przykład polecam decyzję konsorcjum japońskich producentów automatycznych toalet, skupiającego między innymi takie koncerny jak Panasonic, czy Toshiba, by opracować i wdrożyć jednolity system ikonek wyjaśniających obsługę automatycznych toalet. Działanie to stanowi reakcję na poważny problem, jaki korzystanie z automatycznych publicznych toaleta stanowi dla zagranicznych turystów odwiedzających kraj kwitnącej wiśni[12].
Kolejną część artykułu opublikujemy już za tydzień!
[1] “Un bon croquis vaut mieux qu’un long discours”, https://www.goodreads.com/quotes/135658-un-bon-croquis-vaut-mieux-qu-un-long-discours-a-good
[2] Zob. min. motywy 60, 166, art. 12 ust. 7 i 8, art. 70 ust. 1 pkt r.
[3] W kontekście RODO używa się również pojęcia „standardowych ikonek” (Ang.: „standardized icons“; niem.: „standardisierte Bildsymbole”; franc.: „icônes normalisée“.
[4] Rundle M., International Personal Data Protections and Digital Identity Management Tools. 2006. https://www.w3.org/2006/07/privacy-ws/papers/21-rundle-data-protection-and-idm-tools/;
[5] Ooijen I. van, Helena U. Vrabec, Does the GDPR Enhance Consumers’ Control over Personal Data? An Analysis from a Behavioural Perspectives. Journal of Consumer Policy, 2019, s 97-98. https://doi.org/10.1007/s10603-018-9399-7
[6] Obar J.A., A. Oeldorf-Hirsch. The biggest lie on the internet: Ignoring the privacy policies and terms of service policies of social networking services. 2016. https://www.ftc.gov/system/files/documents/public_comments/2016/10/00067-129185.pdf
[7] Hasło „Biggest lie in the Internet” w wyszukiwarce Google Search, “https://www.google.com/search?q=%22The+biggest+lie+on+the+internet%22&oq=%22The+biggest+lie+on+the+internet%22&aqs=chrome..69i57j0.5968j0j7&sourceid=chrome&ie=UTF-8
[8] Berreby D., Click to agree with what? No one reads terms of service, studies confirm. https://www.theguardian.com/technology/2017/mar/03/terms-of-service-online-contracts-fine-print
[9] New Research Reveals Failing to Focus on Visual Communication Threatens Productivity and Engagement
Levels. 1.06.2019. techsmith.com/blog/research-reveals-millennials-communication-needs
[10] Hansen M., Putting Privacy Pictograms into Practice – a European Perspective. 2009, s. 6. https://www.researchgate.net/publication/221384239
[11] With $200k Fine, FTC Finds Trust-e Not Very Trusty. 17.11.2014. https://securityledger.com/2014/11/with-200k-fine-ftc-finds-trust-e-not-very-trusty/
[12] https://arstechnica.com/gaming/2017/01/japanese-toilet-washlet-symbols/
