Naslov in uvod
Primer, v katerem ustanovitelj Schollyja Chris Gray toži svojega prevzemnika Sallie Mae, ni le še en spor po prodaji startupa. Zadeva zadeva bistveno vprašanje: kaj se zgodi z osebnimi podatki in zaupanje uporabnikov, ko aplikacijo z družbenim poslanstvom prevzame velik finančni igralec?
Če se Grayeve navedbe izkažejo vsaj delno za resnične, bo ta zgodba šolski primer, kako se podatki študentov – vključno s podatki o mladoletnikih in rasnem ozadju – tiho spremenijo v tržno blago. V nadaljevanju analiziram, kaj se je zgodilo, zakaj je to pomembno tudi za Evropo in kakšne lekcije bi morali iz tega potegniti ustanovitelji, regulatorji in študenti v Sloveniji.
Dogajanje na kratko
Kot poroča TechCrunch, je Chris Gray, soustanovitelj platforme za iskanje štipendij Scholly, vložil tožbo proti Sallie Mae na sodišču v Delawaru ter prijavo žvižgača pri ameriški agenciji SEC.
Scholly je Sallie Mae prodal julija 2023 in postal podpredsednik v podjetju. Približno leto kasneje naj bi Sallie Mae odpustila ustanovno ekipo Schollyja, nato pa še njega, potem ko je interno opozoril na sporne prakse upravljanja študentskih podatkov.
Po navedbah v dokumentih, ki jih povzema TechCrunch, je Sallie Mae Scholly prenesla v nebančno hčerinsko družbo SLM Education Services, ki upravlja stran Sallie.com. Ta naj bi prodajala uporabniške podatke – starost, spol, raso, podatke o finančni stiski in druge podrobnosti – oglaševalcem, univerzam in posrednikom podatkov. Gray trdi, da takšna struktura omogoča obhod strožjih pravil, ki veljajo za regulirano bančno dejavnost.
Sallie Mae očitke zavrača kot neutemeljene in napoveduje ostro obrambo, na konkretna vprašanja o zasebnosti podatkov pa ne odgovarja.
Zakaj je to pomembno
Na površini gre za spor med ustanoviteljem in finančno institucijo. V resnici pa primer razgalja tri sistemske težave: edtech, fintech in nadzor nad osebnimi podatki.
1. Krhko zaupanje v „poslanstvene“ startupe
Scholly je zrasel na obljubi, da bo pomagal predvsem mladim iz manj privilegiranih okolij najti štipendije – torej skupini z majhno pogajalsko močjo in malo znanja o tem, kako se njihovih podatkov lahko tržno izkoristi. Če takšna platforma kasneje postane del stroja za prodajo podatkov, je sporočilo preprosto: vaše zaupanje velja le do dneva prodaje.
Tudi slovenski ustanovitelji aplikacij z družbenim učinkom bi morali to vzeti resno. Obljuba »nikoli ne bomo prodajali vaših podatkov« je pravno skoraj brez vrednosti, če podjetje kasneje lahko kupi nekdo, ki to počne. Brez močnih pogodb ali regulatornih omejitev se z etičnimi standardi ob prevzemu zlahka pomete.
2. Regulativni arbitražni prijemi kot poslovni model
Gray trdi, da je Sallie Mae Scholly preselila v nebančno hčerinsko družbo prav zato, da lahko počne stvari, ki jih regulirana banka ne sme – konkretno: prodaja podrobne profile študentov. Če to drži, gledamo klasičen primer regulativne arbitrže: konkurenčna prednost ni v produktu, temveč v pravni strukturi.
Takšni prijemi so v financah stari znanci, a ko gre za mladoletnike, raso in znake finančne stiske, so tveganja večja. Tudi v ZDA, kjer je zasebnost podatkov šibkeje urejena kot v EU, je to tip sivine, ki običajno pritegne pozornost nadzornih organov.
3. Normalizacija nadzora nad študenti
Izobraževalne tehnologije imajo že zdaj dvomljivo zgodovino: orodja za nadzor pri spletnem izpitnem preverjanju, sistemi, ki sledijo vsakemu kliku, univerze, ki kupujejo podatke za napoved izpada študentov. Podatkovno bogata štipendijska aplikacija se v tak ekosistem lepo vklopi. Če se podatki prodajajo oglaševalcem in institucijam, nastajajo vedenjski dosjeji o najstnikih, še preden sploh razumejo posledice.
Zmagovalci so, če so navedbe resnične, oglaševalci in posredniki podatkov z izjemno natančnim vpogledom v generaciji Z in Alfa. Poraženci so študenti, ki jih algoritmi segmentirajo in ciljajo v trenutku največje finančne ranljivosti.
Širša slika
Zgodba Schollyja se lepo ujema z večjimi trendi: rast v klasičnem potrošniškem fintechu se umirja, zato banke in posojilodajalci iščejo nove prihodke v podatkih in medijih.
Že nekaj let spremljamo:
- Banke, ki se preoblačijo v „platforme“ in medijske mreže. Sallie.com in oglaševalska mreža Backpack Media sta po opisu zelo podobni temu, kar počnejo kartična združenja in neobanke z ponudbami trgovcev in oglaševalsko usmerjenimi programi ugodnosti.
- Preusmerjanje edtecha od naročnin k monetizaciji podatkov. Številne platforme so začele z majhnimi naročninami, kasneje pa dodale oglaševanje, posredovanje kontaktov univerzam ali delodajalcem. Ko naročnine dosežejo plafon, postanejo podatki naravna vzvodnica.
- Zgodovino agresivnih praks pri študentskih posojilih. Naveza Sallie Mae / Navient ima za sabo že več poravnav in glob zaradi očitanega plenilskega vedenja. To ozadje je pomembno: trg je navajen, da se tveganje prevali na študente.
Kar je tokrat drugače, je občutljivost podatkov. Starost, rasa, finančna stiska in izobraževalni podatki so zelo blizu kategorijam, ki jih GDPR šteje za posebne ali občutljive. V kombinaciji z geolokacijo in kontaktnimi podatki dobimo profil, ki je praktično kvazi kreditna ocena – a brez enake stopnje pravne zaščite.
Finančne institucije so tradicionalno uživale ugled „dolgočasnih, a varnih“ skrbnikov podatkov. Če se bodo še naprej vedele kot oglaševalska podjetja, bodo v očeh javnosti in regulatorjev prej ali slej tudi tako obravnavane.
Evropski in slovenski vidik
Evropski bralci bi lahko zamahnili z roko, češ da gre za tipično ameriško zgodbo. Toda podrobnosti so za EU in Slovenijo zelo poučne.
GDPR bi večino tu opisanih praks zelo hitro ustavil:
- Pravna podlaga in preglednost. Prodaja podatkov študentov – posebej mladoletnih in z rasnimi ter finančnimi indikatorji – bi skoraj zagotovo zahtevala izrecno, jasno in ločeno soglasje. Skrivanje v dolgih pravilnikih zasebnosti preprosto ne zadostuje.
- Omejitev namena. Zbiranje podatkov za iskanje štipendij in njihova kasnejša uporaba za oglaševalsko mrežo sta po GDPR dva različna namena obdelave. Drugi brez dodatne pravne podlage ni dopusten.
- Posebne vrste podatkov in mladoletniki. Rasa in, v določenih okoliščinah, finančna stiska sodita med posebej varovane kategorije. Pri mladoletnikih je prag še višji, nacionalni organi (v Sloveniji Informacijski pooblaščenec) pa zelo pozorni.
Za slovenske banke, neobanke, zavarovalnice in domače ali regionalne platforme za štipendije in študentske kredite je sporočilo jasno: regulatorji ne bodo gledali prijaznih blagovnih znamk in lepih zgodb, temveč dejansko pot podatkov.
Hkrati je to signal za študente in starše v Sloveniji: vedno preverite, kdo stoji za aplikacijo za štipendije, pripravništva ali študentsko delo – in ali je njihov glavni kupec res vi, ali pa oglaševalci v ozadju.
Pogled naprej
Postopki v ZDA bodo trajali leta, a posledice bomo videli precej prej.
1. Več zanimanja regulatorjev. Tudi če formalne preiskave ne bodo odprte takoj, bo primer Scholly postal referenca v razpravah o varstvu mladoletnikov in podatkov v financah. V EU lahko pričakujemo dodatna pojasnila nadzornih organov glede profiliranja mladih, morda tudi primere dobre prakse.
2. Trši pogoji pri prevzemih v edtechu in fintechu. Ustanovitelji, ki delajo z občutljivimi skupinami, bodo v pogodbah o prodaji pogosteje zahtevali omejitve glede nadaljnje prodaje podatkov, obvezno ponovno pridobivanje soglasij uporabnikov in rok trajanja za hrambo najbolj občutljivih podatkov.
3. Več pozornosti temnim vzorcem. Gray opozarja, da sta spletni strani Sallie Mae in Sallie.com po videzu zelo podobni. Tudi v EU že vidimo, da organi kaznujejo zavajajoče vmesnike in zasnove, ki uporabnike „porinejo“ k deljenju več podatkov. Primer Scholly bo tak argument le še okrepil.
4. Pritisk za model „podatkovnega zaupnika“. V akademskih in političnih krogih dobiva zagon ideja, da bi morali biti določeni skrbniki podatkov – na primer v izobraževanju in financah – pravno zavezani k lojalnosti do uporabnika, podobno kot odvetniki ali zdravniki. Primeri, kot je ta, dajejo zagovornikom dodatno municijo.
Največja neznanka je, koliko trdnih dokazov bo Gray lahko predložil: notranja elektronska sporočila, prodajne predstavitve, pogodbe o deljenju podatkov. Od tega je odvisno, ali bo primer postal le opomba ali pa prelomnica v razumevanju podatkov študentov.
Bistvo
Scholly proti Sallie Mae ni le zgodba o enem ustanovitelju, ki se je sprl s kupcem. Razgalja, kako hitro se lahko produkt, zgrajen za povečanje dostopa do izobraževanja, spremeni v natančno oglaševalsko orožje.
Če gradite rešitve za študente ali druge ranljive skupine, morata biti vprašanje: „Kaj bo s podatki ob prodaji podjetja?“ del arhitekture že od začetka. Če ste regulator, se vprašajte, ali današnja pravila res preprečujejo, da regulirani subjekti prek hčerinskih družb počnejo to, česar sami ne smejo.
Neprijetno vprašanje za vse nas: koliko „pomoči“ v izobraževalni tehnologiji je v resnici le uvodni zaslon za naslednjo generacijo podatkovno gnanega dolga?
