Chatboty i RODO – wszystko, co musisz wiedzieć

Przyglądając się rozwojowi działań dostępnych w Internecie oraz jego możliwościom, można uznać, że w dalszym ciągu trwa rewolucja dotycząca używania chatbotów oraz inteligentnych asystentów i nieustannie przybywa im zwolenników. Coraz to nowsze zastosowania i rosnące z nich korzyści, sprawiają, że przedsiębiorcy częściej i chętniej wykorzystują sztuczną inteligencję (AI) w swoich firmach.

W związku z obowiązującym od 25 maja 2018r. rozporządzeniem o ochronie danych osobowych – „RODO”, pojawiły się wątpliwości dotyczące funkcjonowania zgodnego z prawem chatbotów i innych inteligentnych asystenów. Mając na uwadze grożące na podstawie RODO wysokie kary za nieprzestrzeganie przepisów dotyczących przetwarzania danych osobowych, kluczowym jest zadbanie, aby nowe kampanie organizowane w ramach takich chatbotów spełniały postawione wymagania.

Czym jest chatbot

Pojęcie „Chatbot” jest coraz częściej spotykane w wirtualnym świecie, ale czym jest i do czego można go wykorzystać?

Chatbot to tak zwany wirtualny asystent lub inteligentny asystent. Pod tym pojęciem kryje się program komputerowy zaprogramowany na podstawie wcześniej zebranych danych i wprowadzonych algorytmów, udzielający odpowiedzi na zadane pytania bądź prowadzący daną rozmowę z użytkownikiem – odbiorcą. 

Spotykamy się z nimi na coraz to większej liczbie stron internetowych. Od ubiegłego roku, popularnością cieszy się wykorzystanie globalnej platformy – Messenger, za pomocą której, firmy mogą korzystać z chatbotów i tym samym zwiększać dotarcie do swoich odbiorców. Oczywiście istnieją również startupy, które stworzyły i korzystają z własnych systemów udostępniających live chaty na stronach internetowych przedsiębiorców w postaci prostych wtyczek np. do wordpress.

Chatbot posiada dostęp do niezbędnych informacji na dany temat (np. konkurs, kampania reklamowa), ale również w bardzo krótkim odstępie czasowym są w stanie udzielić odpowiedzi na zadane pytania (np. reklamacje). Do zalet możemy zaliczyć nie tylko znaczną oszczędność finansową, ale przede wszystkim zwiększenie zadowolenia użytkownika z proponowanych usług – jakości, szybkości i dostępności działania. Dlatego też, zainteresowanie wprowadzenia przez nowoczesne przedsiębiorstwa chatbotów nieustannie rośnie.

Nasz rodzimy rynek również nie pozostaje w tyle. Jednym z pierwszych chatbotów w Polsce, był ten firmy Multikino wprowadzony za pomocą Messengera. Za jego śladem poszły również inne marki takie jak: Peugeot Polska – stworzyła chatbota odpowiadającego na pytania użytkowników dotyczące premiery nowego samochodu, TUiR Warta – proponująca możliwość zgłoszenia szkody za pomocą chatbota, czy nowość – startup Emplocity wykorzystujący chatbota jako pomoc przy szukaniu zatrudnienia.

Jak używać chatbotów zgodnie z RODO

W świetle obowiązującego RODO, bez wątpienia można uznać, iż chatboty mają dużo wspólnego z nowym systemem prawnym i niewątpliwie wymagają weryfikacji i zmian, aby spełniać nałożone obowiązki.

Zgodnie z RODO danymi osobowymi są wszelkie informacje na podstawie, których jesteśmy w stanie zweryfikować daną osobę. Możemy do nich zaliczyć: imię i nazwisko, nr identyfikacyjny, dane o lokalizacji, jeden, bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

RODO w zakresie chatbotów również reguluje odpowiedzialność prawną – wskazuje na kim spoczywa obowiązek należytej ochrony danych osobowych. Czy odpowiedzialny jest np. Facebook – Messenger jako miejsce zamieszczenia chatbota, czy może firma zlecająca jego funkcjonowanie?

Właściwą odpowiedzią jest uznanie, że oboje mają za zadanie chronić przetwarzane dane osobowe – za które uważane jest zarówno ich zbieranie, ale także: przechowywanie, udostępnianie, pobieranie, przeglądanie czy usuwanie.

Firma zlecająca zrobienie chatbota, odpowiedzialna jest za wskazanie celów i sposobów przetwarzania danych osobowych, w związku z czym spełnia ona role administratora danych osobowych, na którym spoczywa zarówno obowiązek informacyjny, jak i obowiązek zebrania należytych zgód od użytkownika.

Drugim odrębnym administratorem (nie mylić ze współadministratorem) jest Facebook – w tym przypadku platforma Messenger, gdyż jest związana z działaniami na Facebooku i obejmuje ona ochroną i obowiązkiem przetwarzania danych osobowych, konwersacje wymieniane między jednostkami jak i jednostkami a firmami.

Granica pomiędzy administratorem danych a podmiotem przetwarzającym dane osobowe jest bardzo cienka i zależy od wielu czynników m.in. od zawartej umowy pomiędzy firmą a podmiotem zewnętrznym.

Powyższe rozwiązanie ma charakter ostrożnościowy ze względu na interpretacje zasad działania Facebooka pod kątem tego, kto i kiedy jest administratorem danych osobowych na tej platformie.

Warto również zajrzeć na Facebooka i przeczytać, co jego właściciele sądzą o RODO i Messengerze: https://www.facebook.com/business/m/messenger-and-the-gdpr

Zgoda – kiedy i w jakiej postaci powinna być wyrażona

Dla większości czynności chatbota wymagana jest zgoda użytkownikówna przetwarzanie danych osobowych, np. dotyczy się to wysyłki informacji handlowych przez Messenger.

Przed wyrażeniem zgody, niezbędne jest poinformowanie użytkownika o celu w jakim przetwarzane są jego dane osobowe, jak również o możliwości ich cofnięcia czy sprostowania – czyli spełnienie tzw. obowiązku informacyjnego, o czym szerzej poniżej.

Istotne jest, aby informacja na temat przetwarzania danych była napisana w sposób jasny, zwięzły, niebudzący wątpliwości oraz prostym językiem. Takie działania nie tylko zagwarantują funkcjonowanie zgodne z prawem, ale także dzięki nim przedsiębiorcy zyskają zaufanie użytkownika, który w konsekwencji chętniej weźmie udział w konwersacji z botem.

Przetwarzanie danych osobowych na podstawie umowy

Występują jednak sytuacje w których nie jest konieczna zgoda, gdyż podstawa prawna przetwarzania danych osobowych opiera się na zawartej umowie.

Nie ma potrzeby uzyskania dodatkowej zgody na przetwarzanie danych osobowych w sytuacji, gdy użytkownik inicjując rozmowę za pośrednictwem chatbota porusza temat, który zalicza się do standardowej obsługi klienta – wówczas udzielane są konkretne informacje o usłudze czy produkcie. W pewnych okolicznościach, takie działanie może być również określone jako udzielona zgoda na przekazanie informacji marketingowych.

Zgoda w takich okolicznościach zostaje udzielona poprzez działanie tego użytkownika. Należałoby przeanalizować kwestie tego, jak i co ma oferować sam chatbot i w takim kontekście wybrać odpowiednią podstawę przetwarzania.

Zgodnie z obowiązującymi przepisami nie jest wymagane uzyskanie dodatkowej zgody, jeżeli przetwarzane dane są niezbędne do realizacji umowy jak i wykonania wszystkich kroków niezbędnych do jej zawarcia – akcji rozpoczętej z inicjatywy użytkownika np. kiedy sam prosi o udzielenie informacji na temat danej oferty.

Wystąpienie interesu prawnego

Znacznie szersza podstawa prawna przetwarzania danych osobowych wynika z RODO, art.6 pkt. 1 lit f), wskazując, że może być nią również uzasadniony interes prawny realizowany przez administratora lub stronę trzecią. Jest to najbardziej pojemna przesłanka, którą można zastosować w pewnych sytuacjach – najczęściej, przy udostępnianiu danych podmiotom trzecim.

Jednakże, należy pamiętać, że wskazana przesłanka nie zawsze ma zastosowanie. Wszystko zależy od sytuacji administratora oraz praw osoby, której dane dotyczą.

Chatboty w kontekście profilowania i marketing automation

Zgodnie z art. 4 pkt. 4 RODO profilowanie to: „Dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polegają na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Profilowanie wykorzystywane w celach: statystycznych, rozwojowych lub wyłącznie w celu wewnętrznym firmy, nie wymaga wcześniejszego uzyskania zgody pod warunkiem, że nie ma ono żadnego znaczenia przy procesie decyzyjnym wobec danej osoby.

Profilowaniem, gdzie musiałaby być wcześniej wyrażona zgoda uznaje się na dzień dzisiejszy np. udzielanie rabatów czy odrzucenie zawarcia umowy w sposób zautomatyzowany. Konieczne jest wystąpienie sytuacji mającej wpływ prawny lub gospodarczy na użytkownika np. gdy profilowanie wpływa na decyzje o udzieleniu kredytu czy wysłaniu danej oferty handlowej do jednostki (chociaż wysyłanie spersonalizowanych ofert również jest dyskusyjne, czy jest to profilowanie kwalifikowane, czy nie).

Zastosowania profilowania dla chatbotów w działaniach marketingowych jest całe mnóstwo. Możemy zaliczyć do nich:

  • Wysyłanie wiadomości o treści – charakterze newslettera za pomocą Messengera,
  • Udzielenie odpowiedzi na zadane przez użytkownika pytania dotyczące produktu bądź usługi,
  • Wysyłanie przypomnień dotyczących usług czy produktów,
  • Wyszukiwanie miejsca na podstawie lokalizacji,
  • Prowadzenie konkursów czy loterii.

Konkursy

Chatboty niewątpliwie bardzo dobrze sprawdzają się podczas przeprowadzania konkursów i loterii. Mogą one w sposób bezpośredni weryfikować uczestników i obsługiwać duży napływ zgłoszeń w bardzo krótkim czasie. Firma Desperados właśnie w takim celu wykorzystała inteligentnego Chatbota, który udzielał informacji na temat konkursu, regulaminu a także automatycznie sprawdzał kody, które wcześniej użytkownicy znaleźli na kapslach piwa, pod którymi kryły się nagrody.

Administratorem danych osobowych przy prowadzeniu konkursu jest organizator właściwy konkursu, czyli np. Desperados. Jednak nie należy zapominać o wspomnianych wcześniej granicach i możliwości wystąpienia dwóch odrębnych administratorów danych osobowych.

Na temat konkursów i innych aspektach prawnych możesz przeczytać w naszym kompendium wiedzy: https://www.prawowmodzie.pl/konkurs-na-blogu-i-facebooku-prawo-kompendium-wiedzy/

Obowiązek Informacyjny

Jest to jeden z podstawowych obowiązków administratora danych osobowych. Niezbędne jest bowiem poinformowanie w sposób rzetelny i zrozumiały, w jakim celu, w jaki sposób oraz przez jaki czas będą przetwarzane dane osobowe danej jednostki, jak również wskazanie z jakich praw może ona korzystać.

Ponadto, należy wskazać czy zebrane dane będą przetwarzane przez podmioty trzecie – jeśli tak, to również niezbędne jest ich wymienienie (chociażby kategorie tych podmiotów),

Obowiązek informacyjny może zostać spełniony poprzez zawarcie niezbędnych informacji pod formularzem kontaktowym, czy zapisu do newslettera – ale także w pewnych sytuacjach w polityce prywatności, którą wszyscy już znamy. Kluczowe jest jednak sformułowanie go w sposób przystępny dla przeciętnego odbiorcy, zwięźle i przystępnie, tak, aby jego treść nie budziła wątpliwości. Użytkownik ma mieć całkowitą świadomość na co wyraża zgodę, gdy przystępuje do zawarcia umowy, czy zgadza się na otrzymywanie newslettera.

Dobra praktyka – podsumowanie

Wszechstronne zastosowanie chatbotów, jak i ilość korzyści jakie generują, niewątpliwie wpływa na chęć ich wykorzystania zarówno przez małe jak i duże przedsiębiorstwa.

Nie należy jednak zapominać, iż chatbot musi spełniać postawione przez RODO wymagania i obostrzenia.

Dlatego też, warto zastanowić się, czy poprzez działania chatbota przetwarzamy dane osobowe? – W znacznej większości odpowiemy na to pytanie twierdząco.

Wówczas, czy podlegają one działaniom w oparciu o umowę, czy może niezbędne jest wcześniejsze uzyskanie zgody na przetwarzanie danych osobowych?

Jeśli podstawą przetwarzania danych jest zgoda – to należy mieć na uwadze w jaki sposób musi być wyrażona.

Kolejną ważna kwestią jest ustalenie kto jest podmiotem przetwarzającym dane, a kto ich administratorem danych – gdyż to na administratorze danych ciąży obowiązek informacyjny wobec użytkownika, który może być spełniony poprzez skopiowanie informacji do treści wiadomości lub odrębną politykę prywatności – pamiętając, że musi być ona przedstawiona w sposób jasny, czytelny, prostym językiem, zawierająca cele, sposoby i uprawnienia użytkownika, którego dane mają być przetwarzane.

Autorzy: Arkadiusz Szczudło, Magdalena Konieczna

Arkadiusz Szczudło

Autor: Arkadiusz Szczudło

Opiekun bloga FutureTech.legal. Prawnik w Kancelarii Snażyk Korol Mordaka sp.k. Specjalizuje się w prawie własności intelektualnej, nowych technologii, reklamy i mediów oraz ochronie marki i zwalczaniu nieuczciwej konkurencji.