iSecure logo
  • pl
  • en
    • Blog

    Kilka słów o AI pricingu i RODO

    Jakub Brzozowski
    Kategorie

    Coraz częściej zdarza się, że dwóch użytkowników widzi różne ceny tego samego produktu lub usługi. W świecie e-commerce i aplikacji nie jest to przypadek, lecz efekt tzw. price personalization, czyli ustalania ceny na podstawie danych o konkretnym użytkowniku. OECD tłumaczy to jako „praktykę różnicowania cen wobec konsumentów końcowych na podstawie ich cech osobistych i zachowań, prowadzącą do ustalania cen jako rosnącej funkcji ich skłonności do zapłaty”. Rozwój technologii AI może wynieść ten model na niespotykany dotąd poziom. Personalizacja cen oparta na analizie danych behawioralnych budzi jednak istotne pytania prawne – zwłaszcza na gruncie RODO.

    Do danych, które mogą być przydatne w procesie określania cech użytkownika, zaliczają się na przykład historia zakupów, lokalizacja, statyczny i dynamiczny identyfikator IP, urządzenie czy aktywność w sieci. Wszystkie te informacje, wraz z ewentualnymi wnioskami, które powstały przy analizie profilu behawioralnego użytkownika, stanowią dane osobowe w myśl art. 4 pkt 1) RODO.

    Z perspektywy RODO istotne jest to, że wszystkie te informacje, pomimo braku personaliów, stanowią dane osobowe i jako takie podlegają ochronie.

    PODSTAWOWE ZASADY RODO

    Pierwsze wyzwania, jakie czekają twórców systemu personalizacji cen, wynikają już z podstawowych zasad RODO zawartych w artykule 5. Najwięcej trudności może nastręczać zasada minimalizacji danych (art. 5(1) lit. c). Niewątpliwie, z perspektywy takiego systemu i rynku e-commerce – im więcej danych, tym lepiej. Jakość i efektywność systemów AI zależy bowiem od ilości danych, na których są trenowane. Należy jednak pamiętać, że zebrane dane muszą być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Zbieranie informacji o działalności użytkownika poza platformą może niekoniecznie być adekwatne do celu, jakim jest sprzedaż produktów i usług z personalizowaną ceną. Nie mniejsze wyzwania pojawiają się w związku z realizacją zasady przejrzystości (art. 5(1) lit. a). Wyjaśnienie zasad działania systemu personalizacji cen w sposób godzący tajemnice przedsiębiorstwa, a jednocześnie przystępny dla użytkowników może być naprawdę nie lada wyzwaniem.

    PROFILOWANIE

    Zestaw danych pozwalający na stworzenie profilu użytkownika w połączeniu z personalizacją ceny produktu czy usługi może stanowić profilowanie w rozumieniu RODO. Z uwagi na ograniczone ramy niniejszego artykułu przyjmijmy, że personalizacja jest procesem całkowicie zautomatyzowanym, a ingerencja człowieka występuje jedynie na etapie wdrożenia tego mechanizmu. Stosowanie takich mechanizmów wiąże się z pewnymi ograniczeniami. Przykładowo, art. 22 RODO stanowi, że osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Zaproponowanie ceny/oferty usługi na platformie e-commerce może wywoływać wobec osoby skutki prawne lub w podobny sposób istotnie na nią wpłynąć. Z drugiej strony, Grupa Robocza Artykułu 29 ds. Ochrony Danych stoi na stanowisku, że w przypadku personalizowanej reklamy internetowej sprawa nie jest oczywista. W wielu typowych przypadkach decyzja o prezentacji ukierunkowanej reklamy opartej na profilowaniu nie będzie miała w podobny sposób istotnego wpływu na osoby fizyczne. Jednakże, w przypadku inwazyjnego charakteru procesu profilowania, w tym śledzenia osób na różnych stronach internetowych, urządzeniach i serwisach bądź wykorzystania wiedzy o podatnościach osób, których dane dotyczą, które są celem tej reklamy, można już poważnie się zastanawiać nad wystąpieniem istotnego wpływu

    w myśl art. 22(1) RODO. Uwagi te poczynione wobec reklam mają jak najbardziej zastosowanie wobec ceny widocznej na platformie, która stanowi już ofertę w myśl kodeksu cywilnego. Jak widać, kwestia ta nie jest jednoznaczna i z pewnością każdy przypadek musi zostać indywidualnie i skrupulatnie oceniony. Można jednak zauważyć, że istotny wpływ na jednostkę rośnie wraz z ilością nagromadzonych danych na jej temat.

    Art. 22 RODO zostawia nam kilka „furtek”, za pomocą których można legalnie wprowadzić omawiany system. Decyzja oparta na scharakteryzowanym wyżej profilowaniu może mieć miejsce w trzech przypadkach określonych w art. 22 ust. 2 RODO – jak m.in. (a) niezbędność do zawarcia lub wykonania umowy (b) jeśli jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą (c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą. O punktach (a) i (c) jednak kilka słów poniżej.

    PODSTAWA PRAWNA

    Jednym z kluczowych problemów związanych z personalizacją cen jest ustalenie właściwej podstawy prawnej przetwarzania danych. W praktyce możliwości są ograniczone.

    Po pierwsze, trudno uznać, że personalizacja ceny jest niezbędna do wykonania umowy (art. 6 ust. 1 lit. b RODO). Co do zasady użytkownik chce kupić produkt lub usługę – a nie otrzymać spersonalizowaną cenę. Mechanizm pricingowy jest więc raczej dodatkiem biznesowym niż elementem koniecznym. Na podobnym stanowisku stoi także Grupa Robocza Art. 29: „[konieczność przetwarzania w celu wykonania umowy] nie jest odpowiednią podstawą prawną w odniesieniu do tworzenia profilu dotyczącego upodobań i stylu życia użytkownika w oparciu o jego kliknięcia na stronie internetowej i zakupione przedmioty. Wynika to z tego, że administratorowi danych nie zlecono tworzenia profili, a raczej na przykład dostarczanie określonych towarów i usług”. Nie wydaje się zatem, aby ta podstawa prawna była adekwatna do tego przypadku.

    Kolejną podstawą przetwarzania danych w omawianym przypadku może być zgoda (art. 6 ust. 1 lit. a RODO), z której zastosowaniem wiąże się jednak kilka problemów. Musiałaby być dobrowolna i świadoma, co w praktyce oznacza konieczność realnej możliwości skorzystania z usługi bez personalizacji ceny. Ponadto, wyrażenie zgody nie zostanie uznane za dobrowolne, jeżeli osoba, której dane dotyczą, nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji. Oznacza to zatem, że osoby niekorzystające z AI pricingu miały zapewniony ten sam poziom świadczenia usługi/produktu, co mogłoby być trudne do realizacji w praktyce. Jednakże, zgoda jest chyba najpewniejszą podstawą prawną przetwarzania danych w celu personalizacji cen, szczególnie mając na uwadze kwestie związane z profilowaniem (zob. art. 22). Jej kolejną wadą jest niewątpliwie to, że może być w każdym momencie odwołana.

    W praktyce AI pricing najczęściej próbuje się oprzeć na uzasadnionym interesie administratora (art. 6 ust. 1 lit. f RODO). Nie jest to jednak podstawa, z której można skorzystać „automatycznie”.

    Wymaga to każdorazowo oceny, czy:

    • administrator ma realny, gospodarczo uzasadniony cel,
    • przetwarzanie danych jest rzeczywiście potrzebne do jego osiągnięcia,
    • a przede wszystkim — czy nie narusza nadmiernie praw użytkownika.

    W kontekście personalizacji cen największe wątpliwości pojawiają się właśnie na tym ostatnim etapie. Trudno bowiem przyjąć, że użytkownik spodziewa się, iż cena produktu będzie ustalana indywidualnie na podstawie jego zachowania. Dodatkowo, skutki takiego przetwarzania mają bezpośredni wymiar ekonomiczny. W efekcie, choć uzasadniony interes może stanowić podstawę dla AI pricingu, jego zastosowanie w bardziej zaawansowanych modelach, opartych na szerokim profilowaniu, może być trudne do obrony.

    CZY MOŻNA WPROWADZIĆ TEN SYSTEM BEZ RODO?

    Sposobem na ograniczenie zastosowania RODO może być oparcie personalizacji cen na danych, które nie pozwalają na identyfikację konkretnej osoby. W literaturze wskazuje się, że wraz z rozwojem Big Data możliwe jest budowanie modeli w oparciu o wzorce zachowań (np. komunikacji mobilnej), bez przypisywania ich do konkretnych użytkowników.

    W takim modelu algorytmy nie identyfikują osoby, lecz przypisują ją do określonej grupy o podobnych cechach i na tej podstawie różnicują ceny. Przykładowo, jeśli cena zależy wyłącznie od marki telefonu czy poziomu baterii, dane te nie pozwalają na wyodrębnienie konkretnej osoby, a jedynie reprezentują szerszą kategorię użytkowników. Przy okazji warto wspomnieć o przykładzie jednej z aplikacji przewozowych, która dyktowała wyższe ceny w przypadku, jeśli użytkownik miał niższy poziom baterii w telefonie. Jeśli bowiem cena zależy wyłącznie od marki telefonu czy poziomu baterii, to taki zestaw danych nie pozwala ustalić tożsamości konkretnej osoby, ale pozwala ustalić, do jakiej grupy konsumentów należy użytkownik.

    Nie oznacza to jednak automatycznie wyłączenia RODO. Kluczowe znaczenie ma bowiem to, czy w praktyce możliwa jest identyfikacja użytkownika – także pośrednia. Co więcej, nawet takie modele mogą prowadzić do błędnych wniosków i dyskryminacji, mimo że nie operują na danych wprost identyfikujących osobę.

    PODSUMOWANIE

    Podsumowując, personalizacja cen w oparciu o dane użytkowników to mechanizm coraz powszechniejszy w e-commerce i aplikacjach, który pozwala dostosowywać oferty do konkretnych grup konsumentów. Jednocześnie niesie on ryzyka prawne związane z RODO, zwłaszcza gdy dane pozwalają na profilowanie i wnioskowanie o użytkownikach.

    Dlatego każda firma planująca wprowadzenie AI pricingu powinna uważnie rozważyć podstawę prawną przetwarzania danych i przeanalizować potencjalny wpływ na użytkowników.

     

    ŹRÓDŁA:

    • Zihao Li (2022) Affinity-based algorithmic pricing: A dilemma for EU data protection law, Computer Law Security Review 46 (2022). Affinity-based algorithmic pricing: A dilemma for EU data protection law – ScienceDirect
    • Wytyczne 2/2019 w sprawie przetwarzania danych osobowych na podstawie art. 6 ust. 1 lit. b) rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO) w kontekście świadczenia usług online na rzecz osób, których dane dotyczą edpb_guidelines-art_6-1-b-adopted_after_public_consultation_pl.pdf
    • Wytyczne 05/2020 dotyczące zgody na mocy rozporządzenia 2016/679 pdf
    • Wytyczne Grupy Roboczej Art. 29 ds. ochrony danych dotyczące zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania dla celów rozporządzenia 2016/679 pdf
    • Anna Nowak (2022), Personalizacja oparta na sztucznej inteligencji a ochrona praw konsumentów zagadnienia wybrane, Biblioteka UOKiK
    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Olga Skotnicka

    Rekordowa kara PUODO dla administratora – a kontrola podmiotu przetwarzającego

    Czy korzystasz z usług podmiotów przetwarzających? Czy przykładasz szczególną wagę do odpowiedniej weryfikacji procesorów przed powierzeniem im danych osobowych do przetwarzania? A może zlecasz kontrolę prawidłowości przetwarzania danych w trakcie współpracy? 19 stycznia br. Prezes Urzędu Ochrony Danych Osobowych (dalej: PUODO) wydał decyzję w sprawie niewdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych. […]

    Czytaj więcej
    Dokładnie przeczytaj regulamin. Nie akceptuj, jeśli nie rozumiesz
    Katarzyna Ułasiuk-Delamare

    Zmiana celu przetwarzania danych osobowych na gruncie RODO

    Autor tekstu: Aleksandra Eluszkiewicz Przetwarzanie danych osobowych na gruncie RODO rządzi się swoimi prawami i powinno odbywać się w oparciu o zasady w nim określone. Jedną z naczelnych zasad jest zasada ograniczenia celu, według której dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi […]

    Czytaj więcej
    Księgi akcyjne
    Olga Jaworowska

    Kopiowanie dokumentów publicznych w świetle nowych regulacji

    Na parę dni przed 12-tym lipca, czyli wejściem w życieustawy z dnia 22 listopada 2018 r. o dokumentach publicznych, w Internecie zawrzało od komentarzy określających rozpoczęcie obowiązywania jej zapisów jako początku całkowitego zakazu kserowania wskazanych ustawowo dokumentów, w tym dowodu osobistego, czy dokumentu prawa jazdy. Informacje, które początkowo zostały przez media podane, po zapoznaniu się […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera z materiałami edukacyjnymi, a także o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki