Mamy pana dane i co nam pan zrobi? Jak firmy w Kanadzie zdobywają informacje o klientach

Podczas czerwcowego szczytu liderów G7, który odbył się w Kananaskis w kanadyjskiej Albercie,  była mowa o cyfryzacji. W komunikacie kanadyjskiej prezydencji po zakończonym 17 czerwca szczycie znalazł się akapit o tym, że “liderzy G7 koncentrowali się na rozwoju gospodarczym”, rozmawiali o zapewnianiu stabilności ekonomicznej, stymulowaniu wzrostu i inwestycji i położeniu nacisku na “bezpieczeństwo energetyczne i transformację cyfrową”.

Bot, czyli nikt

Czym jest transformacja cyfrowa? Wikipedia podsumowuje, że to wykorzystywanie technologii cyfrowych przez organizację w celu digitalizacji analogowych produktów, usług lub operacji. Zamiast rozmawiać z przedstawicielem firmy telekomunikacyjnej w jej biurze czy sklepie można usiąść przy komputerze i załatwić sprawy na czacie. Czasem jednak na czacie odpowiada, z zerowym rezultatem, tylko zapętlony chatbot. Czyli nikt.

W kasach samoobsługowych w kanadyjskich sklepach, w których klient bezpłatnie wykonuje pracę kasjera,  potrzebna jest pomoc... pomocnika kasy samoobsługowej, jeśli się coś zatnie. Zatem za sytuacje niestandardowe odpowiada człowiek.

Klientów bez telefonu nie obsługujemy

Jeszcze kilkanaście miesięcy temu zwroty towaru w kanadyjskiej IKEA były proste. Przychodziło się do serwisu zwrotów, pobierało anonimowy numerek, numer wyświetlał się na ekranie razem z numerem kasy. Pracownik sprawdzał towar i zwracał pieniądze na rachunek karty, którą płaciło się za zakupy. Teraz trzeba w terminalu wybrać jedną z dostępnych opcji w sprawie zwrotów, wpisać numer telefonu komórkowego i imię. Przyjdzie SMS. A co jeśli klient nie ma telefonu? Jak są przetwarzane zbierane dane i kiedy klient wyraża świadomą zgodę na gromadzenie i przetwarzanie danych? Pytam o to biuro prasowe kanadyjskiej IKEA.

– Wszystkie te informacje są w naszej polityce prywatności, która jest na stronie IKEA.ca – odpowiada Alicia Carroll, która jest szefową PR. 

Proszę pokazać klienta, który przed wybraniem się z niepotrzebnym karniszem do zwrotu wejdzie na stronę i przeczyta politykę prywatności. Ta zaś informuje: „Używamy prywatnych informacji  i zachowujemy je tak długo, jak to jest wymagane do celu zidentyfikowanego wówczas, gdy podawałeś te informacje lub jeśli to potrzebne do spełnienia wymogów prawnych”. Polityka prywatności IKEI zapewnia też, że „masz prawo odmowy podania prywatnej informacji”. 

Jednak wbrew zapewnieniom Alicii Carrol w polityce prywatności nie ma odpowiedzi na pytanie, co dzieje się, jeśli klient chce zwrócić towar, ale nie ma telefonu albo nie chce podać numeru. Nikt nie ma prawnego obowiązku posiadania komórki. Cyfryzacja procedur nie przewidziała nietypowych przypadków i klientów rebeliantów. Cała zaś sytuacja zaskakująco przypomina rozmowy osób, które domagają się zapewnienia możliwości używania anonimowej gotówki.

Nowe procedury to dostęp do nowych informacji

Warto jednak zauważyć, że nowa procedura oznacza dla firmy uzyskanie nowych informacji. Numer telefonu klienta to przecież dane, których IKEA wcześniej mogła nie mieć. Muszą być cenne, skoro firma zastrzega sobie prawo użycia zanonimizowanych danych bez ograniczeń. Co z tego ma klient? Niewiele. W sklepie z butami zapytano mnie ostatnio o mail, z tego tytułu otrzymałabym 2,5 CAD, czyli ok. 7 zł upustu.

W 2023 r. dziennikarze publicznego kanadyjskiego nadawcy CBC ujawnili, że Facebook uzyskiwał w Kanadzie dostęp do danych o zakupach klientów niektórych sieci, choć nie wyrażali oni na to zgody. Zgadzali się jedynie na podanie sprzedawcy adresu mailowego do przesłania kopii sklepowego rachunku. W procederze uczestniczyło wiele sklepów, zaczynając od budowlanego Home Depot, przez Anthropologie, Bed Bath & Beyond, Best Buy, Gap, po Hudson’s Bay, Lululemon, PetSmart i Sephorę.

Kanadyjski urząd komisarza ds. prywatności komentował wówczas, że dalsze przetwarzanie pozyskanej informacji może wymagać dodatkowej zgody. Jego szef Philippe Dufresne podkreślał, że jest „rzeczą nieprawdopodobną, by klienci Home Depot oczekiwali, że ich prywatne dane zostaną przekazane platformie mediów społecznościowych tylko dlatego, że wybrali dostarczenie rachunku drogą elektroniczną”. Urząd nie uwierzył w wyjaśnienia, że obawiano się „zmęczenia” klientów koniecznością wyrażania zgody.

Dane bez odpowiedzialności

17 czerwca br. Philippe Dufresne podczas konferencji prasowej powiedział, że dochodzenie jego urzędu prowadzone wspólnie z brytyjskim odpowiednikiem wykazało, że 23andMe, czyli firma zajmująca się testami genetycznymi, która w 2023 r. doznała wielkiego ataku hakerskiego, została okradziona z danych 6,9 mln osób, ponieważ nie miała odpowiednich zabezpieczeń. Dane 320 tys. Kanadyjczyków razem z ich informacją genetyczną trafiły na czarny rynek. 

„Firma zawiodła w przeprowadzeniu właściwego dochodzenia nt. sygnałów, że mogło dojść do włamania, w tym [zignorowała] wiarygodną informację, że dane klientów mogły być skradzione” – napisano w komunikacie urzędu komisarza.

W Wielkiej Brytanii 23andMe będzie musiało się zmierzyć z karą w wysokości 2,31 mln funtów. W Kanadzie nie można nakładać kar i komisarz chce zmiany prawa. Po wszczęciu dochodzenia w Kanadzie i Wielkiej Brytanii w sprawie 23andMe ta amerykańska firma rozpoczęła postępowanie upadłościowe. Philippe Dufresne podsumował, że historia 23andMe to „przestroga dla wszystkich organizacji w sprawie ochrony danych”.

Aby wyrejestrować, trzeba zarejestrować

Tyle że nawet rządy czasem nie zwracają uwagi na bezpieczeństwo danych i mnożenie procedur, w których kolejne dane są ujawniane innym podmiotom. W największej kanadyjskiej prowincji Ontario jest ministerstwo usług rządowych i usług dla konsumenta. Pod tą przydługą nazwą kryje się m.in. urząd właściwy do rejestracji i wyrejestrowania firm. Jeszcze kilka lat temu rejestracja małej firmy była prosta. Szło się do ministerstwa i po kilkunastu minutach wychodziło z tzw. business licence. Po pięciu latach trzeba ją było odnowić. Wchodziło się więc na stronę ministerstwa, odklikiwało, co trzeba, płaciło kartą i drukowało potwierdzenie przedłużenia działalności firmy. Zamknięcie firmy było bezpłatne.

Aliści w 2021 r. pojawił się obowiązek posiadania dodatkowego numeru, tzw. Company Key. Numer należy uzyskać, rejestrując się w odpowiednim miejscu. Bez Company Key nie da się firmy ani założyć, ani odnowić licencji, ani zamknąć. W jaki sposób firmy zostały powiadomione o zmianach? Po miesiącu czekania i ponagleniach biuro prasowe resortu o długiej nazwie odpowiedziało, że informacja jest na stronie internetowej ministerstwa i została przekazana różnym stowarzyszeniom biznesowym. Na ponowne pytanie o chociażby konferencję prasową, żeby udostępnić informację tym, którzy nie są w żadnych stowarzyszeniach i nie mają przez kilka lat żadnego powodu, by wchodzić na stronę ministerstwa, biuro prasowe odpowiedziało to samo, co poprzednio.

Daje się obejść wymóg Company Key. Należy zgłosić się do pośrednika, któremu trzeba zapłacić i podać dane, które wcześniej podawało się tylko ministerstwu. Ministerstwo dodaje, że lista akredytowanych pośredników jest na stronie internetowej. Udzielenie akredytacji oznacza natomiast “wymóg dostosowania się do pewnych standardów poufności i bezpieczeństwa”. Jakich standardów – nie wiadomo. Ministerstwo przerzuciło jednak własną odpowiedzialność za bezpieczeństwo danych na firmy prywatne. Przy okazji pośrednik zyskuje dostęp do prywatnych danych i jeszcze mu się za to płaci.

Prywatyzacja danych

Sprawy się komplikują, kiedy zebrane dane trafiają w miejsca, na które klient się nie zgadzał, gdy je podawał. Na początku czerwca br. sąd zatwierdził sprzedaż różnych pozostałości po gasnącej najstarszej kanadyjskiej firmie Hudson's Bay innej kanadyjskiej firmie – Canadian Tire. W transakcję wartą 30 mln dolarów kanadyjskich weszła też baza danych o klientach programu lojalnościowego Hudson's Bay. Baza zostaje w Kanadzie. Rebelii klientów nie było.

Jednak kiedyś taka rebelia była. Pięć lat temu, gdy zaczynała szaleć pandemia, z wielkiej inwestycji w ludzkie dane w Toronto wycofał się Google. Jego spółka Sidewalk Labs chciała od 2017 r. zbudować „inteligentne miasteczko” w ramach projektu Quayside. Projekt zakładał wykorzystanie danych zbieranych o mieszkańcach, gościach i przechodniach. W październiku 2019 r. projekt otrzymał wstępną zgodę, a jednym z warunków było przechowywanie danych na terenie Kanady. Sidewalk Labs tłumaczyła pół roku później rezygnację z projektu pandemią. Jednak w Toronto stoczyła się całkiem głośna batalia o dane i o to, czy prywatna firma może przejąć zarządzanie nad organizmem miejskim. Specjaliści od ochrony danych osobowych i konstytucjonaliści zarzucili Sidewalk Labs chęć zawieszenia obowiązywania konstytucji w „inteligentnym miasteczku”.

Wówczas jeszcze pamiętano o aferze Cambridge Analytica i awanturze, którą wywołały pomysły kanadyjskiego urzędu statystycznego. Statistics Canada w 2018 r. wsławił się zamiarem zebrania informacji o 500 tys. prywatnych kont Kanadyjczyków bez ich wiedzy. Plan wstrzymano.

Łatwiej czy trudniej?

Wymyślanie kolejnych procedur może służyć jako pretekst do zbierania danych i potrafi utrudnić procesy, zamiast je uprościć. A wystarczy słuchać specjalistów. 18 czerwca br. podczas ceremonii wręczania dyplomów absolwentom kilku kierunków nauk ścisłych na Toronto Metropolitan University nadano również doktorat honoris causa pani Jan Kestle, prezesce Environics Analytics. Ta kanadyjska pionierka wykorzystywania danych w biznesie, jedna z pierwszych kobiet w Kanadzie, które studiowały metody statystyczne, tłumaczyła, dlaczego dobrze przetworzone dane wspierają biznes. Jednak podkreślała, że należy wychodzić poza pracę z danymi i algorytmami, właśnie po to, by zetknąć się z sytuacjami niestandardowymi. Świeżo upieczonym posiadaczom licencjatu, magistrom i doktorom Jan Kestle tłumaczyła, że warto poświęcać czas na czytanie rzeczy spoza swojej dziedziny, bo to poszerza horyzonty i przygotowuje na nieoczekiwane wyzwania. Same dane i algorytmy są bezradne, gdy sytuacja wymaga indywidualnego podejścia – zwracała uwagę.

Główne wnioski

1. Wymyślanie kolejnych procedur może służyć jako pretekst do zbierania danych. Daje to okazję do tworzenia rynku pośredników, załatwiających sprawy za firmy, zyskujących dostęp do prywatnych danych.
2. Nadużywanie nośnego hasła cyfryzacji potrafi zapętlić procesy zamiast je uprościć. Nie uwzględnia np. tego, że nie ma prawnego obowiązku posiadania telefonu komórkowego.
3. Cyfryzacja gospodarki daje wiele przykładów, że gromadzenie danych może odbywać się bez zapewnienia odpowiedzialności: firma, która nie ma zabezpieczeń może zbankrutować, a interesy klienta nie są chronione.