Wykorzystywanie chatbotów w kontekście ochrony danych osobowych

Dynamiczny rozwój Internetu sprawia, że firmy mają znacznie mniej czasu na komunikację bezpośrednią czy odpisywanie na każde pytanie klienta, zwłaszcza jeżeli codziennie wpływa kilkadziesiąt takich zapytań. Stąd wirtualny asystent, funkcjonujący na platformach konwersacyjnych lub w aplikacjach, wydaje się idealnym rozwiązaniem. Asystent, który będzie wykonywał polecenia skrupulatnie i wytrwale. Asystent, który nie będzie chodził na zwolnienia lekarskie, oczekiwał podwyżki czy pochwał za wykonaną pracę.

Celem niniejszego artykułu jest krótka charakterystyka chatbotów oraz możliwości ich wykorzystania w biznesie online w kontekście przepisów o ochronie danych osobowych, gdyż wraz z wejściem w życie RODO dostosowanie chatbotów do nowych regulacji stało się niemałym wyzwaniem. 

Czym właściwie są chatboty?

Chatboty[1] są szczególną odmianą bota, czyli programu zastępującego człowieka w wykonywaniu określonych czynności. Wykorzystuje się je do prowadzenia konwersacji naśladującej zachowanie ludzkie, poprzez automatyzację odpowiedzi na powtarzalne pytania[2]. Mimo że historia pierwszych prób stworzenia botów sięga lat 50. XX w.[3], to jednak dopiero od 2016 r. obserwujemy prawdziwy rozkwit wykorzystania chatbotów do komunikacji w Internecie[4]. Wszystko za sprawą Marka Zuckerberga, który na konferencji F8 ogłosił decyzję o umieszczaniu chatbotów w Messengerze, czyli obecnie najpopularniejszym komunikatorze na świecie[5].

Jednocześnie już na samym początku należy podkreślić, że sztuczna inteligencja nie jest udziałem każdego chatbota. Wbrew przekonaniom i oczekiwaniom nie wszystkie chatboty potrafią myśleć oraz rozumieć intencje klienta. Większość z nich opiera się na ustalonych scenariuszach i ich wariantach, uzależnionych od wyboru konkretnych opcji. Tworzone są dla rozwiązania określonego, powtarzalnego problemu klienta i działają na podstawie wprowadzonych algorytmów. Jednak nie są samouczącą się sztuczną inteligencją. 

Jaką funkcję pełnią chatboty i jak mogą usprawnić obsługę klienta?

Głównym zadaniem wirtualnych asystentów jest szeroko pojęte budowanie relacji z klientem poprzez automatyzację i poprawę jakości obsługi przy pomocy wybranego komunikatora. W branży e-commerce chatboty mogą być wykorzystane jako boty odpowiadające na pytania lub powiadamiające, chatboty konkursowe lub promocyjne, sprzedażowe czy też chatboty leadowe – generujące oraz pozyskujące potencjalnych klientów[6]. 

Chatbot sklepu internetowego podaje odpowiedzi na najczęstsze pytania dotyczące produktów, przeprowadza przez proces zakupowy, informując o promocjach i nowościach w ofercie, nadaniu przesyłki z zamówieniem, wystawieniu faktury, jak również pomaga w procesie reklamacyjnym. 

Chociaż niektórzy autorzy wskazują, że chatbot ma większy wpływ na odbiorców niż newsletter, akcentując wyższy procent otwieralności komunikacji bota, to jednak w mojej ocenie zautomatyzowana komunikacja za pośrednictwem chatbota nie jest w stanie zastąpić kontaktu bardziej osobistego, jakim jest newsletter. Nie umniejsza to jednak korzyści ze stosowania botów w biznesie online. Wśród największych zalet wymienia się automatyzację przekazywania informacji. Dzieje się to poprzez uproszczenie i ułatwienie całego procesu komunikacji, która nie wymaga stałego zaangażowania człowieka. Następnie warto też zauważyć walor, którym jest wsparcie klienta przez 24 godziny na dobę, bez podnoszenia kosztów takiej obsługi. Trzeba też zwrócić uwagę na aktywizację potencjalnych i stałych klientów sklepu, wsparcie przed- i posprzedażowe, remarketing, a także podtrzymanie kontaktu z klientami, ograniczenie liczby opuszczanych koszyków oraz wzrost zaufania konsumentów. Jak podkreśla Patrycja Bilińska, im bardziej spersonalizowane doświadczenie odbiorców z chatbotami, tym większe prawdopodobieństwo, że użytkownicy zaangażują się w to doświadczenie, co przełoży się na wzrost lojalności czytelnika, czy patrząc szerzej, użytkownika danej witryny internetowej[7]. Dlatego wiele firm decyduje się na zastosowanie chatbotów, zaczynając nawet od prostych komunikatorów, jak Messenger, aż po bardziej spersonalizowane, zaprojektowane specjalnie dla danego podmiotu czy branży[8]. 

Z chatbotami nierozerwalnie wiąże się zagadnienie plików cookie, gdyż wraz z zastosowaniem  wirtualnych asystentów dochodzi do przetwarzania danych osób, które z nich korzystają. Jeżeli użytkownik nie jest dla chatbota anonimowy, a więc na przykład w sytuacji, gdy program rozpoznaje jego tożsamość z danego portalu społecznościowego, uzyskując jego imię i nazwisko, wizerunek czy inne dane, które umieścił w social mediach, wówczas do przetwarzania dochodzi już w momencie aktywacji okna chatu[9]. 

Zasady korzystania z plików cookie i ich związek z chatbotami

Wykorzystywanie chatbotów w ramach witryny internetowej jest ściśle powiązane z plikami cookie. Niektóre ciasteczka są niezbędne do prawidłowego funkcjonowania strony. Są to tzw. podstawowe pliki cookie ułatwiające połączenie do sesji użytkownika, wyświetlające żądaną stronę internetową w odpowiednim formacie lub umożliwiające optymalne działanie strony i jej przeglądanie. Innym rodzajem ciasteczek są cookie ulepszające działanie witryny. Tego rodzaju pliki cookie umożliwiają analizę i pomiar zachowań użytkowników w celu ulepszenia działania stron, ale również pozwalają na rozszerzenie jej o usługi dodatkowe, takie jak rozwiązania wirtualnego asystenta.

Przesłanki legalności stosowania plików cookie w krajowym ustawodawstwie należy szukać w art. 173 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne[10]. Regulacja ta jest konsekwencją postanowień art. 5 ust. 3 dyrektywy o prywatności[11] oraz wyjaśnień zamieszczonych w punktach 24 i 25 preambuły tej dyrektywy. Z dyrektywy wynika, że stosowanie programów pozwalających na dostęp do informacji zgromadzonej w urządzeniu lub śledzenie aktywności użytkownika, jest dopuszczalne wyłącznie w celach uprawnionych oraz za wiedzą użytkownika. Natomiast zgodnie z art. 173 Pr. Telekom. przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej na urządzeniu użytkownika  jest dozwolone, po spełnieniu następujących warunków. 

Po pierwsze, użytkownik powinien zostać poinformowany w sposób jednoznaczny, łatwy i zrozumiały o celu przechowywania i uzyskiwania dostępu do tej informacji, możliwości określenia przez niego warunków przechowywania lub uzyskiwania dostępu do tej informacji za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi. Ponadto informacja ta powinna zostać przekazana w sposób bezpośredni oraz przed uzyskaniem dostępu do urządzenia użytkownika. 

Kolejnym warunkiem jest uzyskanie zgody użytkownika na dostęp do informacji znajdujących się na jego telefonie, tablecie czy komputerze, na którym przegląda strony internetowe. Stąd wszelkie ciasteczka[12] powinny być zablokowane do momentu, kiedy użytkownik wyrazi zgodę na dany rodzaj plików cookie poprzez kliknięcie w stosowny przycisk[13]. Ostatnią przesłanką legalności stosowania plików cookie jest to, że przechowywana informacja lub uzyskiwanie do niej dostępu nie powoduje zmian konfiguracyjnych w urządzeniu użytkownika końcowego i oprogramowaniu zainstalowanym na tym urządzeniu.

W kontekście zastosowania chatbota istotne jest podkreślenie, że może być on zastosowany za zgodą użytkownika, w związku z pozyskiwaniem przez niego danych osobowych osób fizycznych odwiedzających witrynę. Dlatego o rodzaju stosowanych plików cookie oraz sposobie ich wykorzystania powinien zostać poinformowany każdy użytkownik zaraz po wejściu na stronę internetową, ale również w dokumencie zwanym polityką prywatności oraz poprzez przekazanie mu klauzuli informującej o przetwarzanych danych osobowych. 

Informowanie o przetwarzaniu danych osobowych pozyskanych przez chatbota

W literaturze wiele miejsca poświęca się zagadnieniom sposobu pozyskiwania danych osobowych od użytkowników komunikatorów. Tematyka ta rodzi niemało problemów zarówno teoretycznych, jak i praktycznych. Z jednej strony mamy bowiem do czynienia z dynamicznym rozwojem świata wirtualnego. Z drugiej natomiast z prawem osoby fizycznej do prywatności, w tym uprawnienie do kontrolowania treści i obiegu informacji, które jej dotyczą. Toteż zmiany wprowadzone rozporządzeniem o ochronie danych[14] do dotychczasowych regulacji w kontekście pozyskiwania i przetwarzania danych osobowych, w tym za pośrednictwem chatbotów, wydają się jak najbardziej uzasadnione.

Jednym z obowiązków, które nakłada rozporządzenie o ochronie danych, jest przekazanie niezbędnych informacji wymienionych w art. 13 i 14 RODO. Realizując powyższy obowiązek, administrator danych powinien umieścić w polityce prywatności informacje o przetwarzanych danych osobowych w związku z komunikacją przy użyciu chatbota. Jeżeli przykładowo administrator pozyskuje dane osobowe z aplikacji Messenger, wówczas będzie przetwarzał takie dane, jak: imię i nazwisko lub pseudonim, płeć, wersja językowa aplikacji Messenger, strefa czasowa, lokalizacja, wiek oraz inne dane osobowe podane przez osobę fizyczną za pośrednictwem aplikacji chatbot. 

Udzielając informacji wymaganych przepisami, zgodnie ze stanowiskiem Grupy Roboczej Art. 29[15] administrator może zastosować warstwowe udzielanie informacji, które służy przejrzystości komunikacji. Polega to na przekazywaniu osobie najpierw najważniejszych informacji, takich jak cele przetwarzania, tożsamość administratora i wskazanie istniejących praw osoby, której dane dotyczą, a także informacji na temat najważniejszych skutków przetwarzania lub na temat przetwarzania. Natomiast pozostałe informacje wymagane w art. 13 i 14 RODO mogą zostać przekazane za pośrednictwem innych, dodatkowych środków, takich jak przesłanie kopii polityki ochrony prywatności w wiadomości e-mail lub przesłanie osobie, której dane dotyczą, linku do warstwowego internetowego oświadczenia o ochronie prywatności[16]. 

Kolejną kwestią, oprócz obowiązku informacyjnego, jest zagadnienie retencji danych osobowych pozyskanych za pośrednictwem chatbota. Zgodnie z art. 5 ust. 1 lit. e RODO dane osobowe mają być przetwarzane przez okres niezbędny dla celu, dla którego zostały pozyskane. Okres przechowywania (lub kryteria jego ustalania) może być podyktowany takimi czynnikami, jak wymogi ustawowe lub wytyczne branżowe, jednak informacja o nim powinna być sformułowana w taki sposób, aby osoba, której dane dotyczą, miała możliwość ocenienia – na podstawie własnej sytuacji – ile będzie trwał okres przetrzymywania w przypadku określonych danych oraz celów. Jak podkreśla Grupa Robocza Art. 29, ogólne stwierdzenie przez administratora danych, że dane osobowe będą przechowywane tak długo, jak jest to niezbędne do prawnie uzasadnionych celów przetwarzania, jest niewystarczające. W praktyce administratorzy danych osobowych, w kontekście danych pozyskanych poprzez chatbota, posługują się takimi sformułowaniami jak: „Dane będą przetwarzane przez okres 5 lat od dnia wyrażenia powyższej zgody, nie dłużej jednak niż do dnia jej cofnięcia” (polityka prywatności Semilac); „Dane przechowywane są przez okres, w którym Użytkownik korzysta z Usługi Chatbot” (regulamin chatbota w Stowarzyszeniu mali bracia Ubogich); „Dane osobowe w programach komputerowych typu chatbot będą przetwarzane przez okres dostępności tego programu dla Użytkowników lub do czasu cofnięcia zgody Użytkownika” (polityka prywatności Tymbark, Grupa Maspex Sp. z o.o. Sp.k.)[17].

Z wykorzystaniem chatbotów wiąże się także problematyka automatycznie podejmowanych decyzji mających wpływ na sytuację konkretnej osoby. Jak wspomniałam wcześniej, co prawda w przypadku chatbotów nie mamy do czynienia ze sztuczną inteligencją, gdyż nie potrafią one myśleć ani rozumieć intencji klienta. Jednakże mogą podejmować decyzje na podstawie danych przekazanych przez użytkowników i opierając się na wprowadzonych algorytmach. Dlatego niezbędne jest precyzyjne określenie zakresu danych osobowych przetwarzanych przy tego typu czynnościach oraz podstawy legalizującej takie przetwarzanie. Nadto konieczne jest uwzględnienie algorytmów, które zapewnią nie tylko prawidłowe przetwarzanie danych, ale również wykluczą sytuacje, gdy zautomatyzowane decyzje będą miały charakter dyskryminujący lub niekorzystny dla niektórych grup użytkowników. Istotne znaczenie ma prawidłowe implementowanie przepisów w zakresie zautomatyzowanego przetwarzania danych i podejmowania decyzji, dając użytkownikom realne środki umożliwiające zakwestionowanie lub zaskarżenie niekorzystnych dla nich decyzji.

Podsumowanie

Chatboty to rozwiązanie coraz powszechniej wykorzystywane w obsłudze klienta. Zakupy online stają się prostsze, oferty są bardziej spersonalizowane, a klient nie musi już czekać, aż konsultant znajdzie czas, aby udzielić mu odpowiedzi. Wirtualni asystenci robią to dzień i noc, bez odpoczynku i poczucia zmęczenia. Dzięki rozwojowi technologii widzimy dynamiczny rozkwit chatbotów, które nie ograniczają się jedynie do sklepów internetowych, ale stosowane są także w bankowości, czy przez firmy obsługujące płatności. Świadomość tego sprawiła, że celem prawodawstwa Unii Europejskiej stało się zapewnienie odpowiedniego poziomu bezpieczeństwa w świecie wirtualnym użytkownikom, których dane osobowe są pozyskiwane w czasie prowadzonej komunikacji z chatbotem i przetwarzane.

Małgorzata Moczulska

adwokat i pedagog; właścicielka Kancelarii Prawnej Bliżej Prawa pomagającej małym biznesom legalnie działać online.

[1] Na potrzeby niniejszego artykułu zamiennie będzie używane pojęcie „bot”, „chatbot”, „wirtualny asystent”.

[2] Por. B. Pleban, Analiza i porównanie zastosowań chatbotów w e-biznesie [w] „Nierówności Społeczne a Wzrost Gospodarczy” 2011, nr 23, s. 198.

[3] Wtedy to Alan Turing zaproponował test inteligencji. Celem testu Turinga było pośrednio udowodnić inteligentne zdolności maszyny dzięki skutecznemu udawaniu człowieka w rozmowie poprzez terminal tekstowy. Rozmowa prowadzona była w czasie rzeczywistym, a sędziowie posiadali zbiór pytań, które zadawali przez terminal programowi lub człowiekowi, nie wiedząc, kto znajduje się po drugiej stronie. Na podstawie udzielanych odpowiedzi musieli zdecydować, czy rozmawiali ze stworzonym programem, czy z człowiekiem. Do 2019 roku wszelkie zawody skupiały się dokoła testu Turinga. W 2019 roku podczas zawodów o Nagrodę Loebnera sędziowie po raz pierwszy rozmawiali tylko z maszynami. Ich zadaniem było wskazanie systemu konwersacyjnego, z którym rozmawia się najlepiej, za: https://pl.wikipedia.org/wiki/Nagroda_Loebnera [dostęp: 22.04.2021].

[4] Według prognoz do 2025 roku rynek chatbotów osiągnie wartość ponad 1,25 mld dolarów, za: Statista, 2018, https://kodabots.com/blog/chatbot-statystyki/ [dostęp: 17.05.2021].

[5] Według danych na listopad 2019 r. z Messengera w Polsce korzystało ponad 13,8 mln użytkowników, za: NapoleonCat, 2019, https://kodabots.com/blog/chatbot-statystyki/ [dostęp: 17.05.2021].

[6] Na podstawie zebranych danych chatbot dokonuje ich analizy, identyfikując konkretną potrzebę klienta i proponuje najbardziej odpowiedni dla niego produkt.

[7] P. Bilińska, Chatboty jako narzędzie dystrybucji treści wykorzystywane przez wydawców medialnych [w:] Studia Medioznawcze 2020, tom 21, nr 3 (82), s.702.

[8] Obecnie wystarczy wpisać odpowiednie hasło w wyszukiwarce internetowej i pojawią się oferty firm projektujących chatboty, które jak zapewniają autorzy „słuchają, obserwują i reagują na zachowania użytkowników w dowolnym kanale” (Actionbot).

[9] Por. P. Markiewicz, K. Wątrobiński, Czy chatboty powinny przestrzegać RODO?, Dziennik Gazeta Prawna 11.09.2018, https://prawo.gazetaprawna.pl/artykuly/1252790,czy-chatboty-powinny-przestrzegac-rodo.html [dostęp: 17.05.2021].

[10] Ustawa z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne, t.j. Dz. U. 2021, poz. 576, dalej: Pr. Telekom.

[11] Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dalej: dyrektywa o prywatności) w art. 5 ust. 3 stanowi, że „Państwa członkowskie zapewniają, aby przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym abonenta lub użytkownika było dozwolone wyłącznie pod warunkiem że dany abonent lub użytkownik wyraził zgodę zgodnie z dyrektywą 95/46/WE po otrzymaniu jasnych i wyczerpujących informacji, między innymi o celach przetwarzania. Nie stanowi to przeszkody dla każdego technicznego przechowywania danych ani dostępu do nich jedynie w celu wykonania transmisji komunikatu za pośrednictwem sieci łączności elektronicznej lub gdy jest to ściśle niezbędne w celu świadczenia usługi przez dostawcę usługi społeczeństwa informacyjnego, wyraźnie zażądanej przez abonenta lub użytkownika”.

[12] Potoczna nazwa plików cookie. Pliki te pozwalają stronie internetowej zapamiętać użytkownika oraz jego preferencje i zainteresowania. Ciasteczka używane są do dopasowania reklam odpowiadających odwiedzanym przez użytkownika stronom internetowym. Z drugiej strony ciasteczka są niezbędne, by witryny internetowe mogły działać skutecznie. Dlatego usuwanie ich może spowodować, że strona będzie działała gorzej lub niezbędne będzie ponowne zalogowanie.

[13] Najczęściej na przycisku znajduje się napis „Akceptuję”, „Wyrażam zgodę” lub podobnie brzmiący komunikat.

[14] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „rozporządzenie o ochronie danych”, „RODO”).

[15] Grupa robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, zwana dalej Grupą Roboczą Art. 29, powołana została na mocy art. 29 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r.

[16] Wytyczne Grupy Roboczej Art. 29 w sprawie przejrzystości na mocy rozporządzenia 2016/679, motyw 38, s. 21-22.

[17] Zacytowane fragmenty pochodzą z polityk prywatności znajdujących się na stronach internetowych wskazanych podmiotów [dostęp: 17.05.2021].