Dane osobowe a marketing VR – czy metaverse da nowe możliwości?

  • 14.12.2022

  • Autor: Wojciech Brzostowski

  • News

Ludzie prowadzą swoje życie w wirtualnej, łączącej elementy świata realnego i fikcyjnego, barwnej rzeczywistości. Wyposażeni w specjalne okulary niemalże odcinające ich od prawdziwego świata, symulujące dotyk rękawice, owijające ciała kostiumy lub wielokierunkowe bieżnie, przemierzają bezkres transcendentalnego świata jako swoje spersonalizowane awatary. Wizja ta wydaje się być dzisiaj bardzo znajoma, ale nie jest rzeczą nową. Pojęcie metaverse zostało bowiem nakreślone w 1992 r. przez amerykańskiego autora Neala Stephensona na łamach powieści „Zamieć” (oryg. „Snow Crash”).

To, co 30 lat temu było całkowitą fikcją, w 2021 r. zostało wycenione na 21,83 mld USD (w Polsce – ok. 25 mln USD) z oczekiwaną roczną stopą wzrostu w latach 2022-2030 na poziomie 15,0%. Przyciągnęło również uwagę największych gigantów technologicznych, tj. Facebooka (obecnie – Mety), Microsoftu, Tencentu i NVIDIA, którzy stosują omawiane rozwiązania w projektach z zakresu m.in. architektury, produkcji, edukacji bądź medycyny. Powyższa tendencja została również dostrzeżona przez najbardziej kreatywne i otwarte działy marketingu. Narzędzia wirtualnej rzeczywistości (ang. virtual reality – VR) w ramach swojej promocji wykorzystują już dziś m.in. McDonald, IKEA, Adidas, New York Times, Volvo, Marrell, L’Oréal Paris, Walmart, Samsung, KFC czy nawet Londyńskie Muzeum Historii Naturalnej.

Niemniej, niemalże nieograniczone możliwości rodzą zawsze liczne problemy i wątpliwości. Przykładowo, jak charakter funkcjonowania metaverse i niezbędnych do tego narzędzi VR wpłynie na bezpieczeństwo danych osobowych ich użytkowników?

W tym artykule zarysuję podstawowe problemy, które w perspektywie postanowień RODO mogą napotkać wszyscy zainteresowani wdrożeniem rozwiązań marketingu VR w swoich przedsiębiorstwach.

 

  • Przetwarzanie danych o szczególnym charakterze („danych wrażliwych”)

Wbudowane w zestawy VR sensory, by umożliwić współdziałanie użytkownika z metaverse, korzystają z rozbudowanej sieci czujników pozwalających na zbieranie informacji o reakcjach fizycznego ciała ze światem zaprojektowanym. Należą do nich m.in. systemy rozpoznawania twarzy (jej mimiki, geometrii), śledzenia ruchów gałki ocznej, siatkówki oka, całego ciała (pozycji głowy oraz rąk, odcisków palców, itd.), innych fizjologicznych reakcji organizmu (temperatury, reakcji skóry, tętna, wysycenia krwi, aktywności elektrycznej mięśni – a wkrótce może – fal mózgowych) lub rejestrowania głosu.

Oczywiście, wskazane wycinki będą równocześnie postrzegane jako bezcenny wkład dla reklamodawców. Dzięki nim będą w stanie uczyć się, modelować, przewidywać i manipulować zachowaniem podmiotów danych w stopniu, który obecnie utożsamiamy ze światem zobrazowanym w filmie „Raporcie Mniejszości” i stosowanymi tam spersonalizowanymi reklamami.

W perspektywie prawnej, informacje te są uznawane za dane biometryczne (dane o szczególnym charakterze), tj. wynikające ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne (art. 4 pkt 14 RODO).

Ich przetwarzanie objęte jest tym samym bardziej rygorystycznymi wymaganiami.

Po pierwsze i najważniejsze, co do zasady, jest zakazane. Poza enumeratywnie wymienionymi w RODO celami, np. ze względu na ważny interes publiczny (w tym w dziedzinie zdrowia publicznego), profilaktykę zdrowotną, medycynę pracy lub sprawowanie wymiaru sprawiedliwości przez sądy (por. art. 9 ust. 2 RODO), na dokonanie takich czynności konieczne jest uzyskanie stosownej zgody.

Po drugie, jak podkreśla polski Urząd Ochrony Danych Osobowych, budowa każdego systemu przetwarzania danych tego typu powinna być poprzedzona przeprowadzeniem oceny skutków dla ochrony danych (tzw. DPIA – art. 35 RODO), a ostateczna decyzja o jego zastosowaniu uwzględniać podstawowe zasady ochrony danych osobowych, takie jak niezbędność, celowość oraz proporcjonalność (art. 5 RODO).

Co więcej, w wytycznych europejskich organów nadzoru wskazuje się również na obowiązki administratora w zakresie klauzul informacyjnych (art. 13-14 RODO) oraz zastosowania odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający potencjalnym ryzykom, np. szyfrowanie lub kontrola dostępu do bazy danych (art. 32 RODO).

  • Zgoda podmiotu danych

Zgoda podmiotu danych umożliwia podjęcie przetwarzania danych „wrażliwych” przez administratora. By można było uznać ją za wyrażoną poprawnie, musi spełniać kilka warunków, m.in. być dobrowolna, konkretna, świadoma i jednoznaczna (por. art. 7 RODO; Motywy 32-33 i 42-43 RODO). To właśnie tym warunkom musimy przyjrzeć się szczegółowo w perspektywie marketingu w VR.

Co ważne, zgoda powinna zostać udzielona przed rozpoczęciem przetwarzania danych osobowych. Musi zostać wyrażona wprost, określać osobę, która zgody udziela oraz której dane osobowe mają być udostępnione. Podmiot danych musi wiedzieć komu udziela zgody i znać jej zakres (m.in. okres przetwarzania, zakres danych i zamierzony cel).

Na potrzeby metaverse powyższe łączy się bezsprzecznie z trudnością w postawieniu granicy pomiędzy treściami niezbędnymi a tymi dodatkowymi. Dodatkowo, niezmiernie wymagającym zadaniem będzie określenie tego zakresu w treści zgody i klauzuli informacyjnej. Przykładem może być tutaj stworzenie całej platformy VR jako zabiegu marketingowego (treści marketingowe stanowią wówczas istotę rozwiązania) albo korzystanie z reklam wewnątrz innego, publicznie dostępnego świata wirtualnego.

W perspektywie art. 7 ust. 4 RODO pojawiają się również wątpliwości w zakresie możliwości swobodnego wyrażenia zgody w świecie VR. Szczególnie dotyczą one niezbędności przetwarzania danych biometrycznych w perspektywie technicznych aspektów funkcjonowania samego rozwiązania.

W omawianej materii, koniecznym jest również zwrócenie uwagi na tzw. zgody użytkowników końcowych („osoba, która nie udostępnia publicznych sieci łączności elektronicznej ani publicznie dostępnych usług łączności elektronicznej”) na wysyłanie komunikatów do celów marketingu bezpośredniego z wykorzystaniem usług łączności elektronicznej. Reguły ich uzyskiwania oraz ich zakres zostały określone w szeroko rozumianym prawie łączności elektronicznej, w szczególności prawie krajowym (w Polsce – Prawo Telekomunikacyjne), Dyrektywie UE o tzw. e-prywatności, a także jej planowanym następcy – Rozporządzeniu e-Privacy (Rozporządzenie Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej i uchylające dyrektywę 2002/58/WE).Wymaga się bowiem uzyskiwania zgody na wykorzystanie każdego z urządzeń końcowych odrębnie, tj. np. e-mail, telefon lub poszczególnych aplikacji. Tym samym, celem by zgodnie z prawem stosować marketing w świecie VR niezbędne jest również uzyskanie tego typu zgody. W omawianym przypadku będą mogły być objęte zarówno poszczególne platformy, w ramach których świadczona jest usługa VR, jak i samo wymagane urządzenie dostępowe (np. gogle VR).

  • Forma klauzul informacyjnych i zgód

Zastosowanie dokumentów w formie pisemnej czy elektronicznej (kwalifikowany podpis elektroniczny) na potrzeby VR już na pierwszy rzut oka nie wydaje się właściwe. Co do marketingu, zazwyczaj używa się ich wówczas bardzo wielu – są to np. formularze zgód, polityki prywatności, polityki cookies, regulaminy konkursów itd. Tym samym oznacza to, że niezbędne jest znalezienie dla nich odpowiedniego zastępstwa i dostosowanie do realiów metaverse.

Rozpocząć trzeba od podstaw czyli dostarczenia konfigurowalnych ustawień prywatności. Obejmować będą one np. to, ile danych „fizjologicznych” użytkownik chce dopuścić do stworzenia swojego awatara lub immersyjności świata VR. Opcje kontroli powinny obejmować ograniczenie dostępu do profilu, blokowanie i ukrywanie innych użytkowników/podmiotów trzecich oraz kontrolę dostępu. Na przykład mogłyby obejmować one intensywność interakcji w rzeczywistości wirtualnej i zakres włączenia biosygnałów w celu dostosowania prezentowanych treści. Wiem jednak, że zbyt głęboka ingerencja użytkownika w omawiane ustawienia mogłaby zagrozić głównej funkcji metaverse, jaką bezsprzecznie jest zapewnienie doświadczenia jak najbardziej rzeczywistego. W skutek działań użytkownika mogłoby z oczywistych przyczyn zniweczyć ten cel.

Jako otwarte zostawiam więc pytanie, czy i jakie elementy prywatności mogłyby podlegać modyfikacji, uwzględniać tzw. paradoks prywatności, a jednocześnie nie doprowadzić do katastrofy samego konceptu VR.

Dodatkowo, jednym z proponowanych przez naukowców rozwiązań mogłoby być wymaganie od użytkowników obejrzenia krótkiego filmu lub ilustracji i zaangażowania się w interaktywne ćwiczenia (np. quiz, wirtualny quest, tor przeszkód itd.). Edukowałyby one o możliwych konsekwencjach przetwarzania danych w rzeczywistości wirtualnej i testowały zrozumienie prezentowanego zagadnienia. Wówczas proces wyrażania zgody byłby poprzedzony interaktywnym procesem, a nie jednorazowym, teoretycznym, bezrefleksyjnym przeczytaniem (przewinięciem w „dół”) tekstowej polityki prywatności.

Uwzględniając powyższe, podmioty planujące rozpocząć swój marketing w VR powinny zadbać, by regulacje dotyczące prywatności w metaverse realnie uwzględniały motywacje użytkowników. Interaktywne platformy, w połączeniu z kontrolą ustawień prywatności, zmotywowałyby użytkowników do tego, by usiedli i przemyśleli konsekwencje swoich doświadczeń z wirtualną rzeczywistością w sposób, w jaki tekstowa polityka prywatności nie jest w stanie tego zrobić.

  • Co z danymi biometrycznymi może zrobić marketing?

Dlaczego dane biometryczne często uznawane są za Święty Graal marketingu personalizowanego?

Już w 2018 roku systemy komercyjne zazwyczaj śledziły ruchy ciała 90 razy na sekundę, aby odpowiednio wyświetlić scenę, a systemy wysokiej klasy rejestrowały 18 rodzajów akcji w obrębie głowy i rąk. W konsekwencji spędzenie 20 minut w symulacji VR pozostawiało niecałe 2 miliony unikalnych rekordów dotyczących ciała użytkownika. Mogą one przykładowo obejmować reakcję źrenic bezpośrednio mierzoną przez wiele metod eye-trackingu. Ona sama ujawnia w jakimś stopniu poziom zainteresowania (np. emocjonalnego) tym, na co ktoś patrzy. Wzrok staje się jeszcze bardziej znaczący w połączeniu z właściwościami, takimi jak fale mózgowe (ujawniające stany umysłu), galwaniczna reakcja skóry (niepokój, stres), czujniki pulsu i ciśnienia krwi (gniew, podniecenie), temperatury ciała, sposób poruszania się, gesty głowy i rąk (komunikacja niewerbalna).

Zaawansowane algorytmy AI na podstawie tych danych mogą jednoznacznie zidentyfikować użytkownika oraz jego reakcję. Czy przeszedł obojętnie, zastanawiał się, utrwalił przekazaną informację, czy szybko odwrócił wzrok lub nawet czy był zainteresowany, podekscytowany, zakłopotany lub znudzony?

Podmiot, który dysponuje takimi danymi, w połączeniu z informacjami dotyczącymi prawdziwej tożsamości podmiotu danych (np. nazwisko, nr karty kredytowej), w banalny sposób może dokonywać nieskończonej, perfekcyjnej reidentyfikacji. Oznacza to, że obecne próby podejmowane na podstawie narzędzi big data (np. programmatic) będzie znacznie tańsze i dokładniejsze.

Przekładając powyższe na konkretne działania marketingowe, metaverse będzie dawało możliwość wręcz bezbłędnego dopasowania treści do użytkownika. Ujawniane będą wyłącznie treści, które go interesują, nie tylko pod względem treści, lecz również kolorystyki, formy itd. Reklama naturalnie zsynchronizuje się więc z wyraźną bądź ukrytą dyrektywą emocjonalną, a w konsekwencji zmotywuje osobę ukrytą za awatarem do kupienia czegoś, zagłosowania za lub przeciw komuś, albo po prostu pozostania w domu. Perfekcyjnie zrealizuje tym samym zamierzony przez reklamodawcę cel.

Autor

Wojciech Brzostowski

Adwokat, specjalista z zakresu ochrony danych osobowych i prawa pracy. Absolwent Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego. W roku 2021 wyróżniony przez Dziekana Okręgowej Rady Adwokackiej w Warszawie za uzyskanie jednego z najwyższych wyników z egzaminu adwokackiego.
Doświadczenie zdobywał w renomowanych kancelariach prawnych oraz jako inspektor ochrony danych podmiotów medycznych. Posiada szeroką praktykę w prowadzeniu i organizacji szkoleń, wdrożeń i audytów. Doradca w projektach o charakterze międzynarodowym, jak i realizowanych w Polsce przez Klientów zagranicznych. Obsługę prowadzi również w języku angielskim.
Autor publikacji naukowych i branżowych z zakresu ochrony danych osobowych i prawa pracy.