Sklep bezobsługowy a RODO

Pandemia COVID-19 i automatyzacja życia codziennego

Okres pandemii przyzwyczaił nas do dokonywania wszelkich czynności za pomocą zdalnych narzędzi. Kontakt z innymi ludźmi ułatwiały nam coraz to bardziej rozwijane technologie, wykorzystywane m. in. w pracy zdalnej czy w ochronie zdrowia. Czas ten uświadomił nas, jak wiele czynności możemy dokonać samodzielnie, bez pomocy innego człowieka. Wychodząc naprzeciw naszym przyzwyczajeniom przedsiębiorcy zaczęli zwracać coraz większą uwagę na rozwój tzw. sklepów bezobsługowych (ang. unmanned store). Choć pierwszy sklep samoobsługowy powstał w 2016 r. we Szwecji, to właściwie dopiero teraz następuje rozkwit na tym rynku. Aktualnie mamy możliwość zrobienia zakupów przez wejście do sklepu, wybranie odpowiednich produktów i opuszczenie obiektu. W trakcie zakupów nasz rachunek zostanie obciążony ceną wybranych towarów. Możliwość zrobienia zakupów bez udziału kasjera, bez czekania w kolejce do kasy brzmi zachęcająco, ale warto zastanowić się przez chwilę jak ten proces wygląda od strony prawa ochrony danych osobowych.

Jak sklep samoobsługowy przetwarza nasze dane?

Trzeba wziąć pod uwagę, że przez całe zakupy towarzyszy nam (oprócz możliwych współkupujących) sztuczna inteligencja (ang. Artificial Intelligence – AI). Skoro powierzamy nasze dane osobowe programowi, to czy możemy twierdzić, że są one bezpieczne? Przykładem niech będzie popularna sieć sklepów spożywczych wprowadzająca na polski rynek bezobsługowe sklepy. Jak możemy dowiedzieć się na stronie przedsiębiorstwa, skorzystanie z oferty unmanned store jest możliwe na dwa sposoby – przez zainstalowanie odpowiedniej aplikacji i wprowadzenie do niej danych karty płatniczej lub przez przyłożenie karty płatniczej do terminala znajdującego się na odpowiednim automacie i dokonanie w tym terminalu rejestracji.

W pierwszym przypadku wejście do sklepu jest możliwe przez kod QR wygenerowany przez aplikację, w drugim natomiast przez przyłożenie już zarejestrowanej karty płatniczej do terminala. Przy obu wskazanych metodach konieczna jest rejestracja i złożenie oświadczenia o zapoznaniu się z polityką prywatności przedsiębiorstwa oraz regulaminami usług, które to dokumenty przedsiębiorca musi udostępnić klientowi zgodnie z art. 384 Kodeksu cywilnego i art. 13 Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) Podstawą przetwarzania danych niezbędnych do obsługi aplikacji i zrobienia zakupów będzie art. 6 ust. 1 lit. b RODO (niezbędność danych do wykonania umowy). W przypadku innych danych podstawą przetwarzania będzie zgoda klienta (art. 6 ust. 1 lit. a RODO).

Sklep samoobsługowy – system AI a przetwarzanie danych

Istotnym faktem, który może umknąć uwadze klientów sklepu jest to, że w trakcie zakupów udostępniamy swoje dane nie tylko właścicielowi sklepu czy dostawcy usług płatniczych, ale także dostawcy systemu AIFi – systemu AI pozwalającego na dokonanie zakupów obsługującego cały proces od momentu odblokowania klientowi wejścia do sklepu.

Jak możemy przeczytać na stronie amerykańskiego producenta AiFi jest największą platformą AI uprawniającą sprzedawców do skalowania autonomicznych rozwiązań zakupowych ze 100% wizją komputerową. System jest reklamowany jako wygodny, dostępny i spersonalizowany system kasowy pozwalający kupującym na anonimowy zakup towarów w sklepie bez konieczności czekania w kolejce lub zatrzymywania się w celu zeskanowania lub zapłacenia. System wykorzystuje technologię keypoint tracking technology, pozwalającą śledzić i lokalizować obiekt za pomocą deskryptorów punktów kluczowych z wielu widoków, co umożliwia identyfikację np. sylwetki człowieka. System nie rejestruje wizerunku twarzy, ale pozwala śledzić ruch klienta i rozpoznawać zabierane przez niego produkty. Zgodnie z polityką prywatności sklepów bezobsługowych, oprócz danych koniecznych do rejestracji, system pozyskuje także informacje o postaci wektorowej i ruchu w sklepie, podnoszonych i odkładanych produktach, czasie spędzonym w sklepie, ścieżce klienta oraz zakupionych produktach. Łącząc te dane łącznie z danymi osobowymi podawanymi w procesie rejestracji można jednoznacznie zidentyfikować daną osobę.

Zgodnie z deklaracją dostawcy oprogramowania, AI wykorzystywana w usłudze nie przetwarza danych osobowych w rozumieniu unijnego rozporządzenia, gdyż nie przetwarza informacji o zidentyfikowanej lub możliwej do zidentyfikowania (w przypadku posiadania dodatkowych informacji) osobie fizycznej zdefiniowanych w art. 4 pkt. 1 RODO takich jak imię, nazwisko, wizerunek, lokalizacja, identyfikator urządzenia klienta itp. Sama deskrypcja punktów kluczowych, bez odpowiedniego powiązania z innymi informacjami, nie może być uznana za dane osobowe, gdyż nie umożliwia w jakikolwiek sposób zidentyfikowania określonej osoby. Dostawca oprogramowania twierdzi, że ma dostęp jedynie do informacji o tym, jak poruszają się ludzie w sklepie. W tym zakresie prawdopodobieństwo zidentyfikowania konkretnej osoby przez dostawcę systemu jest niewielkie.

Trzeba jednak pamiętać, że z perspektywy właściciela sklepu mogącego połączyć dane zebrane przez kamery z danymi rejestracyjnymi klienta, nawet informacja o ścieżce ruchu klienta i jego preferencjach co do kupowanych towarów będzie daną osobową, a przekazywanie tych informacji innym podmiotom (zwłaszcza podmiotom spoza EOG) będzie wymagać zachowania odpowiednich wymogów z RODO (np. zawarcia umowy w oparciu o standardowe klauzule umowne zatwierdzone przez Komisję Europejską).

Czy dostawca systemu AI zadbał o prywatność klienta?

W przetwarzaniu danych klienta uczestniczą zatem dwa podmioty – właściciel sklepu oraz dostawca systemu AI. Każdy z tych podmiotów ma własne cele dla których korzysta z danych, jakie podał im klient. Właściciel sklepu będzie tu korzystał z danych przede wszystkim w celu obsługi zakupów. Dostawca systemu AI będzie korzystać z danych przede wszystkim w celu zapewnienia klientowi prawidłowego korzystania ze sklepu oraz sterującego nim oprogramowania, z którym łączy się aplikacja. Każdy z tych podmiotów będzie odrębnym administratorem danych osobowych i będzie we własnym zakresie ponosił odpowiedzialność za przetwarzanie tych danych.

Z perspektywy ochrony danych osobowych istotnym problemem jest to, że dane dotyczące naszych zachowań w sklepie, w tym sposób poruszania się czy wykonywania odpowiednich ruchów mogłyby pozwolić na identyfikację klientów na podstawie cech behawioralnych. Takie przetwarzanie może, ale nie musi następować w przypadku opisywanych sklepów – na chwilę obecną nie mamy informacji czy AiFi posiada funkcję pozwalającą zidentyfikować konkretną osobę na podstawie np. sposobu poruszania.

Jeśli jednak stałoby się to kiedykolwiek możliwe, to zgodnie z art. 4 pkt 14 RODO cechy behawioralne umożliwiające lub potwierdzające jednoznaczną identyfikację danej osoby są uważane za dane biometryczne, co do których, zgodnie z art. 9 ust. 1 RODO, występuje co do zasady zakaz przetwarzania, chyba że administrator posiada szczególną podstawę do takiego przetwarzania. Taką podstawą w naszym przypadku mogłaby być zgoda osoby, której dane dotyczą. Dodatkowym problemem byłoby to, że dane klientów byłyby przetwarzane w sposób zautomatyzowany, co zobowiązuje administratora do zapewnienia klientom możliwości sprzeciwienia się zautomatyzowanemu przetwarzaniu.