Działająca także w Kanadzie amerykańska sieć z materiałami budowlanymi, Home Depot, przekazywała firmie Meta Platforms (Facebook, Instagram) dane o klientach pozyskiwane wówczas, gdy klienci wyrażali zgodę na wysłanie mailem kopii sklepowego rachunku. Klienci tacy jednak nigdy nie byli pytani o zgodę na przekazanie informacji o swoich zakupach do właścicieli Facebooka – poinformował pod koniec stycznia br. kanadyjski Privacy Commissioner, urząd nadzorujący ochronę danych osobowych.
Wykorzystanie wrażliwych danych
Dziennikarze publicznego nadawcy CBC ujawnili w tym tygodniu, że podobnych praktyk dopuszcza się co najmniej osiem innych firm: Anthropologie, Bed Bath & Beyond, Best Buy, Gap, Hudson’s Bay, Lululemon, PetSmart i Sephora.
Według ustaleń dziennikarzy, zbierane w ten sposób wrażliwe dane są wykorzystywane do analiz, a następnie do podsuwania użytkownikom Facebooka ofert innych sprzedawców.
W miarę jak firmy coraz aktywniej starają się o dostarczanie usług drogą elektroniczną, muszą uważnie rozważyć konsekwencje pozyskania prywatnej informacji, której użycie może wymagać dodatkowej zgody. (..) Jest rzeczą nieprawdopodobną, by klienci Home Depot oczekiwali, że ich prywatne dane zostaną przekazane platformie mediów społecznościowych tylko dlatego, że wybrali dostarczenie rachunku drogą elektroniczną - powiedział cytowany w komunikacie komisarz ds. prywatności Philippe Dufresne.
Tłumaczenie "zmęczeniem" klientów
"Takie dane mogą być wysoce wrażliwe w odniesieniu do innego typu zakupów, ujawniając np. informacje o zdrowiu danej osoby czy seksualności" - ostrzegł urząd w komunikacie, podkreślając, że podczas dochodzenia odrzucono zapewnienia firmy Meta o uzyskiwaniu zgody. W istocie wybranie opcji wysłania rachunku drogą elektroniczną w Home Depot nie wiąże się z żadną informacją, że dane klienta trafią do Facebooka. Urząd nie uwierzył też w wyjaśnienia Home Depot, że obawiano się "zmęczenia" klientów koniecznością wyrażania zgody i nakazał jej uzyskiwanie.
Według ustaleń urzędu, przynajmniej od 2018 r. Home Depot przekazywał Facebookowi dane klientów, którzy wybrali opcję wysłania rachunku mailem. Facebook wyszukiwał w swojej bazie danych, na podstawie adresu mailowego, czy dany klient jest również użytkownikiem mediów społecznościowych. Jeśli tak, badano skuteczność reklam Home Depot na Facebooku porównując je z zakupami klienta, a potem używano posiadanych danych do podsuwania innych ofert.
Konsekwencje decyzji komisarza
Firmy opisane przez dziennikarzy CBC zastanawiają się nad konsekwencjami decyzji komisarza ds. prywatności. Hudson’s Bay, najdłużej działająca sieć handlowa w angielskojęzycznych krajach (od 1670 r), wstrzymała przekazywanie danych Facebookowi. Ale już PetSmart, sieć sklepów z żywnością dla zwierząt, podobnie jak sklepy z odzieżą takie jak Anthropologie i Gap, odmówiły odpowiedzi. Home Depot twierdzi, że po rozpoczęciu dochodzenia komisarza zaprzestał w październiku ubiegłego roku przekazywanie danych.
Meta odmówiła odpowiedzi na pytanie jak wielu kanadyjskich sprzedawców przekazuje informacje o zakupach swoich klientów.
Dochodzenie komisarza ds. prywatności zaczęło się od historii mężczyzny, który likwidował konto na Facebooku i przy okazji znalazł informacje o swoich zakupach w Home Depot. Dziennikarze CBC posłużyli się opcją "off-Facebook activity", która umożliwia użytkownikom uzyskanie raportu na temat gromadzonych danych.
Pozew zbiorowy
Urząd komisarza ds. prywatności nie może nakładać kar finansowych. Jeden z poszkodowanych naruszeniem prywatności przez Home Depot i Meta, prawnik z Alberty, organizuje obecnie pozew zbiorowy przeciw Home Depot. Eksperci cytowani w mediach ponawiają apele, by uświadomić sobie, że skoro firmom tak bardzo zależy na danych klientów sklepów, to znaczy, że mają one wysoką wartość.
Z Toronto Anna Lach