V prvej polovici tohto roka, konkrétne 25. mája 2018 vstúpili do plnej platnosti nové obecné nariadenia o ochrane osobných údajov v rámci EÚ. Ich úlohou je výrazne zvýšiť práva a bezpečnosť ľudí z hľadiska narábania s ich osobnými dátami a umožnia to, aby každý používateľ mal v tejto problematike silné slovo. Prečo sú tieto zmeny také potrebné a prečo je nutné týmto smerom pokračovať?
Každý deň, každú hodinu a každú sekundu zhromažďujú rôzne firmy po celom svete masívne množstvo osobných dát používateľov. Dôvody sú rôzne, pričom v rámci internetových gigantov ide predovšetkým o cielenie reklamy, zvyšovanie efektívnosti marketingu a, žiaľ, v nemalej miere aj o negatívne ovplyvňovanie a manipuláciu, ktorá v posledných rokoch narastá do nebezpečných výšin.
Netreba však zabudnúť ani na pozitívnu stránku veci, kde dobrá znalosť návykov a vlastností používateľov vedie k lepšiemu prispôsobeniu funkcií a vlastností produktov, šitých akoby na mieru. Či už sú použitia šľachetné, hrozivé, či extrémne nebezpečné, faktom je, že svet sa za poslednú dekádu masívne zmenil a objem zhromažďovania osobných dát dosiahol úroveň, ktorá nemá v histórii obdobu.
Množstvo veľmi osobných dát, aké jedna firma na konkrétneho človeka môže vlastniť (a predávať či poskytovať ich ďalej), je dnes také veľké, že by pred nimi zbledli závisťou aj tie najviac invázne vládne organizácie z totalitných režimov minulého storočia (hlavne východonemecká Stasi, ale napríklad aj československá ŠtB).
„Astronomické pokuty za porušenie GDPR sú veľmi dôležité, pretože zabraňujú tomu, aby veľké firmy radšej len zaplatili pokutu, ktorá je menšia ako zisk, ktorý im porušovanie pravidiel prináša“
Používateľ má nad ich existenciou a kontrolou len malú moc, čo často môže a aj vedie k veľmi nepríjemným dôsledkom. Keďže trend zberu a analýzy dát nekončí a do budúcnosti ešte naberie na sile, vyžiadalo si to oprávnenú reakciu vládnych inštitúcií. V rámci celého sveta je dnes tou najväčšou zmenou regulácia od Európskej únie, známa pod skratkou GDPR.
V minulom čísle TOUCHIT sme sa GDPR venovali predovšetkým z hľadiska firiem. Na mnohé spoločnosti pôsobí táto zmena skutočne ako strašiak, pretože výrazne mení spôsob, ako je potrebné narábať s osobnými dátami používateľov. To prináša nielen finančné náklady, ale aj strach z prípadných postihov. V tomto článku sa na celú problematiku pozrieme z opačnej strany, teda zo strany samotných ľudí. GDPR je totiž mechanizmom, ktorý má ponúknuť lepšiu mieru ochrany a takisto bezpečnosti pre osobné dáta nás všetkých, čo je nesmierne pozitívny krok.
Pre podniky síce komplikácia, pre používateľa veľké vydýchnutie
Na úvod krátke zhrnutie faktov. Skratka GPDR znamená Všeobecné nariadenie o ochrane osobných údajov (The General Data Protection Regulation), čo je regulácia venujúca sa ochrane dát a súkromia všetkých občanov Európskej únie. Nariadenia sa pritom venujú nielen uchovávaniu dát v rámci EÚ, ale aj ich existencii vo zvyšku sveta (z pohľadu občanov EÚ). Tento viac ako 200-stránkový zväzok nevznikol na zelenej lúke.
Európska komisia sa celou problematikou zaoberala viac ako dekádu, pričom sa snažila zjednotiť, sprehľadniť a vylepšiť mnoho nariadení z minulosti, ktoré už vonkoncom nezodpovedali modernej dobe a aktuálnemu stavu veci. Výsledkom je súhrn zákonov, tvoriacich spoločný framework, ktorý je jednoznačnejší a pre firmy je relatívne jednoduché jeho mechanizmy pochopiť a dodržiavať. GDPR z veľkej časti plne nahradzuje a rozširuje staršie smernice o ochrane osobných údajov z roku 1995.
Norma GDPR bola v rámci EÚ schválená v apríli 2016 a po dvojročnej čakacej lehote, v ktorej mali firmy možnosť sa na zmeny pripraviť, vstupuje do plnej platnosti v celej EÚ od 25. mája 2018. Cieľom týchto nariadení je chrániť práva občanov EÚ proti neoprávnenému zaobchádzaniu s ich dátami a predovšetkým osobnými údajmi. Týka sa všetkých firiem, on-line služieb i jednotlivcov, ktorí nejako spracovávajú osobné dáta používateľov, pričom v prípade porušenia novostanovených pravidiel im hrozia astronomické pokuty.
To je veľmi dôležité, pretože to vylučuje to, aby veľké firmy pravidlá porušovali a skrátka len zaplatili pokutu, ktorá je menšia ako zisk ktorý im porušovanie pravidiel prináša. V prípade najvážnejších prečinov je maximálna výška pokuty 20 miliónov eur, alebo 4 % z celkového ročného obratu spoločnosti, pričom sa vyberá tá vyššia možnosť. Je teda jasné, že žiadna firma, nech je akokoľvek majetná, si nemôže dovoliť tieto pravidlá porušovať dlhodobo a opakovane, pretože by zanedlho skončila bankrotom (napríklad v prípade Facebooku by šlo o pokuty na úrovni 1,6 miliardy dolárov).
„Azda tou najcennejšou ideou nových nariadení je, že namiesto toho, aby používateľ o svoje dáta natrvalo prišiel, udeľuje k nim len prístup, ktorý má neskôr právo odobrať“
GDPR nijak nezakazuje a ani v základe neobmedzuje mieru zhromažďovania osobných dát. Firmy tak ako doteraz môžu požadovať a dostávať od vás veľmi podrobné údaje. Problémom je, že doposiaľ platilo, že v okamihu ako tieto dáta občania firmám odovzdajú, strácajú nad nimi prakticky akúkoľvek moc. Tieto dáta sú pritom cennou komoditou pre najrôznejší biznis, pričom môžu slúžiť veľmi efektívnym pozitívnym, ale i negatívnym snahám.
Keďže osobné dáta tvoria dôležitú a neoddeliteľnú súčasť našej identity, EÚ sa novými nariadeniami snaží o vytvorenie akejsi rovnováhy, v rámci ktorej má požívateľ do narábania so svojimi dátami stále čo hovoriť.
Každý občan EÚ má na základe nového GDPR právo na všetky svoje údaje, ktoré má daná firma o ňom k dispozícii a musí mať k nim prístup. Toto právo je dôležité najmä z hľadiska toho, aby si mohol overiť zákonnosť ich spracovania (výnimku tvoria napríklad prípady týkajúce sa súdov či národnej bezpečnosti). Má takisto právo na informáciu o tom, ako a na aký účel sa jeho dáta používajú, komu sa poskytujú a aké dôsledky z toho pre neho vyplývajú. To je veľmi dôležité v prípade, že sa používajú na profilovanie. Ak má občan podozrenie, že dáta sú nesprávne, má možnosť podať žiadosť na ich opravu.
Azda tou najcennejšou ideou nových nariadení je, že namiesto toho, aby používateľ o svoje dáta natrvalo prišiel, udeľuje k nim len prístup, ktorý má neskôr právo odobrať. Na základe GDPR mu vzniká nová a doposiaľ nijako negarantovaná možnosť, svoje osobné dáta z rúk danej spoločnosti vziať a vymazať ich. Môže k tomu dôjsť z niekoľkých dôvodov. Používateľ bude môcť požiadať o vymazanie v prípade, že už nie sú potrebné na účel, na ktorý boli pôvodne zhromažďované (napr. súťaž či reklamná kampaň, ktorá už skončila).
Takisto ak dáta boli zhromaždené na základe jeho vysloveného súhlasu, môže tento svoj súhlas dodatočne odvolať a firma bude musieť jeho dáta bez zbytočných odkladov vymazať. To pravdaže platí len v prípade, že neexistuje žiadny právny dôvod na ich spracovanie (súdy, vyšetrovanie, zmluvy, bankové procesy, pôžičky a podobne).
V praxi teda pribudne napríklad právo na to, že ak sa rozhodnete vymazať svoj účet na Facebooku a odoberiete mu svoj súhlas na spracovanie osobných dát, táto spoločnosť na základe GDPR musí vymazať všetky dáta, ktoré má o vás zhromaždené. To v minulosti neplatilo a mohli sme sa stretnúť s tým, že Facebook všetky dáta po „zrušení“ účtu naďalej spracovával a držal na svojich serveroch.
Ak používateľ po nejakom čase zmenil názor a znova sa prihlásil, účet ho čakal v nezmenenej podobe. V rámci GDPR dochádza takisto k rozšíreniu definície toho, čo osobné dáta sú, pričom po novom medzi ne patrí e-mail, IP adresa, alebo cookie súbory v internetovom prehliadači vášho zariadenia. Špeciálna pozornosť je venovaná aj biometrickým údajom, ako sú napríklad odtlačky prstov či snímky dúhovky, ktorých spracovanie bude podliehať prísnejšiemu režimu.
Medzi veľmi pozitívne aspekty GDPR pre používateľov patrí aj to, že ak dôjde v nejakej firme k narušeniu bezpečnosti osobných údajov (únik databáz, hackerský prienik), je firma povinná o tom informovať do 72 hodín od doby, kedy sa to dozvie. Vyhneme sa tak častým prípadom toho, že firmy tieto úniky taja, v snahe ochrániť si svoju povesť.
Prečo potrebujeme čoraz prísnejšie pravidlá a zákony v tejto oblasti?
Mnoho používateľov sa na problematiku spravovania osobných dát pozerá s nezáujmom, pričom majú napríklad pocit, že nejde o problém, pretože poskytujú spoločnostiam len tie dáta, u ktorých sú so spracovaním zmierení. Väčšina ľudí si žiaľ neuvedomuje, že u týchto dát to nekončí a firmy uchovávajú o nich obrovské množstvo sekundárnych dát, ktoré sú odvodené z tých primárnych.
Typicky môže napríklad používateľ umožňovať nejakej firme prístup k tomu, aké veci nakupuje v hypermarkete. Základná predstava je, že firme poskytuje len tento zoznam a nič viac, takže tá sa ho následne bude pokúšať nalákať reklamami na zľavy na konkrétne produkty, ktoré ho zaujímajú. Je to teda výhodné, pretože získa prehľad o relevantných zľavách a daňou za to je, že poskytne len obyčajné dáta o nákupoch, ktoré nestoja za tajnosť.
To, čo už obvykle netuší, a to k čomu súhlas vedome nedal, je analýza týchto dát, ktorá v spojení s Big Data (od veľkého množstva zákazníkov) dokáže odhaliť skryté súvislosti. Ide o sekundárne osobné dáta, ktoré je následne možné aplikovať späť na jednotlivca. Z dát tohto typu je možné v konečnom dôsledku napríklad odhaľovať to, ako sa mení jeho ekonomická situácia v priebehu času, jeho zdravotný stav či odhaliť existenciu tehotenstva, čo je možné aplikovať na celkom iné súvislosti (zdieľanie dát s inými firmami, poisťovňami, bankami a podobne).
Existencia sekundárnych dát, odvodených pokročilými algoritmami, je pre mnohých ľudí neznámym faktom. Bežný človek môže napríklad Facebooku dobrovoľne poskytnúť dátumy narodenia, zoznam svojich priateľov, fotografie, polohu či svoje textové príspevky, v domnienke, že to je všetko, čo robí. Má pocit, že tieto firmy majú teda len tieto dáta a nič viac. Neuvedomí si, že z nich je možné odvodiť informácie, na ktorých odhalenie by nikdy súhlas nedal.
„Existencia sekundárnych osobných dát, odvodených pokročilými algoritmami, je pre mnohých ľudí neznámym faktom“
Na základe analýzy príspevkov je napríklad veľmi dobré možné odhaľovať zmenu nálad a takisto nábeh na rôzne duševné choroby, pričom je ich možné odhaliť skôr, než si ich je samotný človek vôbec vedomý. Ich rozvoj je pri tom možné zrýchľovať či spomaľovať úpravou zoraďovacieho algoritmu či selekciou pozitívnych a negatívnych správ, ktoré sa zobrazia. To otvára dvere k manipulácii a zneužívaniu, pričom o prvých rudimentárnych pokusoch Facebooku ovplyvňovať náladu používateľov, sa mnoho používateľov ani nedozvedelo.
Facebook tieto metódy po prvý raz vyskúšal v roku 2012 na 689 003 náhodných ľuďoch (výsledky publikoval vo vedeckej práci), pričom rozsah týchto praktík v nadchádzajúcich rokoch a v súčasnosti nie je známy. Sú držané v tajnosti. Surové dáta skrátka nie sú všetko a predstava, že používateľ odhaľuje len tie informácie, ktorých si je sám vedomý, je nesmierne naivná.
V rámci tejto problematiky je vhodné sa pozerať nielen na aktuálny stav, ale aj na horizont nasledujúcich rokov a jednej či dvoch dekád. Počet zdieľaných dát dostupných na analýzu bude neprestajne narastať pričom výrazne zasiahne do fyzického sveta. Ide teda nielen o pohyb v rámci internetu a analýzu správ a správania, ale aj fyzického pohybu, fyzickej blízkosti k iným ľudom, prítomnosti na konkrétnych miestach či dáta o fungovaní tela. Do budúcnosti sa výrazne zvýši analýza rodinných vzťahov a predovšetkým fyzických a emočných slabín.
Kým v minulosti tracking a cielená reklama znamenala jednoduchú vec, ako „hľadám pomocou vyhľadávača práčku a následne vidím reklamy na práčky“, prípadne, „navštevujem stránky o počítačoch, bude sa mi zobrazovať reklama na hardvér“, tak dnes sa od tejto éry vzďaľujeme míľovými krokmi. V súčasnosti je možné cieliť extrémne precízne na vekové, záujmové, ekonomické či názorové demografie. Ak patríte medzi tých, čo celú problematiku zhrnú vetou, že je predsa lepšie vidieť reklamu, ktorá ma môže zaujímať, ako nesúvisiacu, ktorá sa ma netýka, ignorujete moderný trend tvarovania a prípravy „diváka“.
V súčasnosti vidíme napríklad v prípade Facebooku nárast rodinného cielenia, v rámci ktorého sa reklamné mechanizmy cielia na viacerých členov rodiny pre zvýšenie úspechu. Ak je reklama cielená na všetkých, môže zavážiť napríklad pri výbere rodinnej dovolenky, výbere destinácie či hotela. Ak prichádzajú Vianoce či narodeniny dieťaťa, je vhodné zobrazovať reklamu na konkrétnu hračku obom rodičom. Potenciálne je takýmto spôsobom možné obísť aj odpor osoby, ktorá o nákupoch v rodine rozhoduje, pretože ju o nákupe nepresvedčí reklama, ale členovia jej rodiny (presvedčení reklamou ľahšie).
V rámci dnes vyvíjaných technológií, viditeľných vo výskumných prácach, vidíme trend uberania sa emočným smerom, kde budúce mechanizmy tohto typu budú môcť vyčkávať na správne momenty eufórie, emočnej labilnosti či zraniteľnosti a reagovať podľa nich. Špecifické reklamné mechanizmy tak budú môcť vyčkávať ako sup na smrť vašich blízkych, rozchod s dlhodobým partnerom či pracovný neúspech, pričom väčšina používateľov ani nebude vedieť, že tieto dáta vôbec zdieľa (môžu byť len odvodené).
Nejde pri tom o to, že po smrti vašich blízkych sa objaví reklama na pohrebné služby, ale o objavenie celkom nesúvisiacej reklamy, ktorá bude len parazitovať na vašom stave, zlomenosti a smútku. Informácia extrahovaná z Big Data môže odhaliť, že človek je v takomto okamihu zraniteľnejší a náchylnejší k tým či oným činom a môže prezradiť aj to, ako konkrétne tento efekt umocniť a znásobiť, bez toho aby si toho „obeť“ bola vedomá.
Je pri tom veľmi dôležité si uvedomiť, že tieto mechanizmy nemusia byť použité výhradne na predaj produktov, ale aj na extrémne efektívnu manipuláciu s verejnou mienkou, politickým presvedčením či úpravou názorov. Bohužiaľ, mnoho ľudí má mylný dojem, že sa ich táto problematika nijak netýka a sú proti daným mechanizmom imúnni. Pred štatistikou však niet úniku. Ako jednoduchý príklad môže slúžiť efektivita vyburcovania k účasti k voľbám. V roku 2010 vyskúšal Facebook experimentálne zobraziť 61 miliónom Američanom výzvu, že dnes je volebný deň a mali by ísť preto k volebným urnám. Použil pri tom dva druhy správ.
„Predstava, že používateľ odhaľuje len tie informácie, ktorých si je sám vedomý, je nesmierne naivná“
Časti používateľov sa zobrazilo obyčajné upozornenie a časti totožná správa doplnená o fotky priateľov, ktorí už odvolili (a oznámili to na Facebooku). Na základe analýzy toho, ako používatelia oznámili odvolenie v nasledujúcich hodinách vyplynulo, že táto drobná alternácia upozornenia vyburcovala k voľbám o 340-tisíc voličov navyše. V roku 2012 Facebook experiment zopakoval a oznámil, že sa mu takto podarilo zvýšiť počet voličov o 270-tisíc. Len pre ilustráciu, posledné prezidentské voľby v USA rozhodlo zhruba 100-tisíc hlasov v kľúčových lokalitách. Nie je teda ťažké si domyslieť, ako môže s volebným výsledkom zamávať to, ak sa takáto efektívna správa cieli napríklad len na voličov jednej strany, ale už nie na voličov tých ostatných.
A to je tá úplne najjednoduchšia a celkom triviálna manipulácia, na hony vzdialená od toho, čo je na týchto platformách možné na základe masívnej analýzy a osobného profilovania. Politická preferencia konkrétneho používateľa Facebooku je pri tom často sekundárnou informáciou, odvodenou algoritmom na základe primárnych dát (napríklad na základe lajkov, článkov ktoré používateľ číta, videí, ktoré vidí a takisto sociálnych kruhov), takže používateľ si často ani neuvedomí, že túto informáciu sociálna sieť o ňom vôbec má. V súvislosti s nedávnou kauzou a fiaskom Cambridge Analytica sa dnes ukazuje, že osobné dáta otvárajú dvere k veľmi precíznej a efektívnej manipulácii.
U mnohých ľudí žiaľ stále prevláda dojem, že oni by sa obeťou nikdy stať nemohli, pretože špecifické zobrazovanie informácií ich názory neovplyvní a reakciu na zmenu volebnej preferencie nevyvolá. Treba však upozorniť, že to nemusí byť vždy účel. Ako príklad môže slúžiť volebná kampaň Donalda Trampa, v rámci ktorej sa manažér kampane pre sociálne siete verejne pochválil tým, že na Facebooku vykonali veľmi úspešnú akciu.
Jej účelom nebola zmena volebného názoru, ale „demobilizácia“. Bola cielená na Afroameričanov v kľúčových oblastiach, pričom kampaň v nich mala vyvolať apatickosť a nechuť, ústiacu do toho, že voliť jednoducho nešli. Podľa vyjadrení ľudí, ktorí za kampaňou stáli, mala vysokú mieru konverzie a modely ukazovali, že bola nesmierne úspešná (to, z akých propagačných správ na stene príspevkov pozostávala nie je známe a manažéri kampane ani Facebook tieto dáta neodhalili).
Práve prítomnosť sekundárnych osobných dát a ich používanie je najväčší dôvod, prečo potrebujeme čoraz silnejšie zákony, ktoré umožnia ľudom o ich existencii vedieť a dajú im do ruky nástroje na ich odstránenie.
Možnosť nesúhlasu bez obavy o odmietnutie poskytnutia služby
Ak máte pocit, že GDPR je podobne ako nutnosť oznámenia o ukladaní cookies len ďalším nezmyslom, ktorý firmy odbijú tým, že zobrazia nové okno s tlačidlom „Áno, súhlasím“, mýlite sa. Do rúk používateľa sa dáva nielen rozhodovanie o tom, či dáta majú byť zmazané, ale aj možnosť zúčastniť sa rozhodnutia, ako mu bude služba poskytovaná. Inak povedané, za určitých podmienok bude mať možnosť odmietnuť poskytnúť svoje osobné údaje, bez toho aby mu firma mala možnosť odmietnuť poskytnúť konkrétnu službu.
„Už onedlho budú môcť špecifické reklamné mechanizmy vyčkávať ako supy na smrť vašich blízkych, rozchod s partnerom či pracovný neúspech, pričom väčšina používateľov ani nebude vedieť, že tieto dáta vôbec zdieľa“
V rámci webu a aplikácií dlhodobo panuje situácia v štýle „Buď súhlas so všetkým, čo chceme (nech je to akokoľvek invázne), alebo odíď“. Tento stav viedol k tomu, že používatelia sa naučili slepo a bez rozmyslu súhlasiť prakticky so všetkým, nech sú dôsledky akokoľvek absurdné.
Ide o Licenciu pre koncového používateľa, skrátene EULA (End-User-License-Agreement) alebo o Podmienky používania služby, skrátene TOS (Terms of service). Často ide o niekoľko desiatok strán hutného textu napísaného komplikovaným štýlom, ktorému nemá laik bez právnického vzdelania ani šancu porozumieť. Text teda obvykle nikto nečíta a len hľadá zaškrtávacie políčko so súhlasom.
Touto problematikou sa napríklad v roku 2016 zaoberala štúdia Najväčšia lož na internete (The Biggest Lie on the Internet: Ignoring the Privacy Policies and Terms of Service Policies of Social Networking Services), ktorej autormi sú Jonathan Obar a Anne Oeldorf-Hirsch z univerzít v z Michigane a Connecticute (USA).
V rámci výskumu sa 543 univerzitným študentom poskytol prístup k sociálnej sieti „NameDrop“, o ktorej si mysleli, že je legitímna. Pre prístup k nej pri tom bezhlavo súhlasili napríklad s tým, že sa vzdávajú práva na svoje aktuálne alebo budúce prvorodené dieťa, že všetky dáta budú odoslané zamestnancom NSA a podobne. Len málokto podmienky používania vôbec rozklikol a tí čo to urobili, s nimi súhlasili tak ako tak.
Nemožnosť niektoré časti TOS a EULA odmietnuť bez toho, aby používateľ prišiel o prístup ako celok, je problémom najmä vtedy, keď sa nejaká služba natoľko rozšíri, že je ju možné považovať za nevyhnutnosť či sociálnu normu. Používateľ má tak často pocit, že mu nič iné ako súhlasiť vlastne neostáva, pretože súhlasili všetci. Celá problematika narastá do absurdností vďaka tomu, že firmy svoje EULA a TOS môžu neprestajne meniť (pokojne aj každý deň) a stačí, aby požiadali o súhlas znova.
Ťažko očakávať, že by používatelia zakaždým desiatky strán textu čítali znova. Okrem toho, ľahko už môžu cítiť, že nemajú inú možnosť než súhlasiť, pretože do služby investovali mnoho úsilia a času a o bez súhlasu by o všetko prišli. Problematické je to aj z dôvodu, že daná firma má napríklad na danom poli už prakticky monopol a relevantná konkurencia s potenciálne menej inváznymi pravidlami sa vzhľadom na silu veľkého hráča už ani nemá šancu presadiť.
Základným princípom GDPR je, že firma nemôže na poskytovanie služby vyžadovať odovzdanie osobných dát, pokiaľ daný akt nie je esenciálne nutný z princípu fungovania samotnej služby. Dobrým príkladom je GPS navigácia, ktorá vás nemôže navigovať bez toho, aby mohla zistiť vašu polohu. Nutnosť poskytnutia týchto osobných dát je teda oprávnená. Takisto napríklad mobilná aplikácia Strava, ktorá je založená na tom, že sleduje pohyb cyklistov či bežcov v reálnom čase, nemôže plniť svoju rolu, ak daný bežec či cyklista neposkytne právo na zdieľanie svojej polohy. Na toto GPDR plne myslí a dobrovoľné vzdanie sa súkromia je plne v súlade so zákonmi.
Neexistuje skrátka možnosť, aby používateľ tieto dáta neposkytol a služba ďalej fungovala. Porovnajte to ale napríklad s tým, že si stiahnete aplikáciu na prevod jednotiek, ktorá by od vás požadovala zoznam vašich kontaktov. Táto žiadosť je legálna a používateľ môže súhlasiť s ich poskytnutím. Avšak, keďže ide o poskytnutie osobných dát, ktoré nie sú potrebné pre funkčnosť aplikácie, používateľ musí mať možnosť aj poskytnutie týchto dát jasne odmietnuť, a to bez toho, aby mu bola služba, respektíve používanie aplikácie zamietnuté.
Táto zmena bude mať nepochybne vplyv aj na sociálne siete, akou je predovšetkým Facebook, pričom rozsah potrebných zmien a súdnych sporov, ktoré problematika môže vyvolať, je dnes ešte len ťažké odhadovať. Facebook dnes zbiera a analyzuje obrovské množstvo primárnych a takisto sekundárnych dát, ktoré však nesúvisia s produktom, ktorý poskytuje používateľom, teda so samotnou sociálnou sieťou.
Súvisia s jeho obchodným modelom, teda poskytovaním cielených reklamných a propagačných kampaní, ktoré si u neho zakúpia firmy. Napríklad cielenie reklamy funguje bez ohľadu na to, či poskytnete ozajstné alebo falošné meno. Ak služba vyžaduje používanie cielenej reklamy, na základe GDPR by nemala byť schopná zakázať používať svoje služby ľudom, ktorí poskytnú falošné meno či prezývku.
Bude zaujímavé sledovať, ako bude behom nasledujúcich mesiacov proces pokračovať a je nesporné, že sa firmy pokúsia pretlačiť aj cez tie najmenšie medzery v nových zákonoch. Facebook behom apríla a mája začal používateľom v EÚ zobrazovať aktualizované podmienky a vyžaduje súhlas na pokračovanie používania služby. Tento proces ale nie je v súčasnej podobe v súlade s GDPR, pretože napríklad neposkytuje rozpis, ako budú konkrétne osobné dáta používané.
Dáta Facebooku obvykle pozostávajú z informácií ako je politické presvedčenie, sexuálna orientácia, členstvo v kluboch, záujmy, mnohé zdravotné záznamy a finančné záväzky (často nakupované od iných korektorských firiem a spárované s profilmi). Tieto sú pritom vo veľkej časti získané z neverejných zdrojov a bez vedomia a súhlasu používateľa, napríklad trackovaním pomocou sociálnych tlačidiel na rôznych stránkach.
Aj keď biznis model Facebooku na daných dátach závisí, tento fakt nie je ospravedlnením na budúce porušovanie GDPR. Biznis, ktorý nie je v súlade so zákonom, skrátka nie je v súlade so zákonom. Facebook by mal poskytnúť používateľom možnosť toho, aby spracovávanie a uchovávanie mnohých týchto osobných dát mohli odmietnuť, a to bez nutnosti ich vykázania. GDPR veľmi špecificky stanovuje, že firma nemôže prístup k službe založiť na nutnosti súhlasu odovzdať osobné dáta bezpodmienečne. Súhlas musí byť daný slobodne, nie pod hrozbou neposkytnutia alebo zrušenia poskytnutia služby, ktorú dlhodobo používate.
Odmietnu sa veľké firmy ako Facebook či Google novými pravidlami riadiť?
Mohlo by sa zdať, že GDPR nariadenie je veľmi invazívne z hľadiska toho, že firme, ako je napríklad Facebook, prikazuje poskytovať službu bez toho, aby to pre ňu bolo čo najvýhodnejšie. Ak chce predsa Facebook poskytovať službu výhradne len tým ľudom, ktorí súhlasia so všetkými jeho pravidlami bez výhrad, prečo by tak nemohol urobiť? Človek sa predsa dokáže rozhodnúť sám, no nie? Ak je plne zmierený s potenciálnymi negatívnymi dôsledkami a neobáva sa ich, pretože pozitíva, ktoré zo služby vyplývajú, si cení viac, malo by byť všetko v poriadku a zakázanie takéhoto prístupu zaváňa potlačovaním slobody.
Tento princíp je však dávno uplatňovaný v iných oblastiach trhu a pravdepodobne s ním všetci súhlasíme. Firmy nemôžu napríklad predávať auto s chybnými brzdami za polovičnú cenu a následne sa brániť tým, že chybovosť bola udaná v zmluve. Takisto nie je možné predávať ani izoláciu s azbestom, aj keď tento fakt jasne firma označí na obale a ľudia si ju vedome a dobrovoľne kúpia.
Ak od fyzických produktov prejdeme k službám či dohodám, ako príklad môže slúžiť úžera, čo je v základe dobrovoľná a vedomá zmluva, pri ktorej má jedna strana extrémne výhody a ťaží z tiesne, neskúsenosti či ľahkomyseľnosti druhej strany. Zákony proti predaju nebezpečných materiálov či poskytovaniu škodlivých služieb a dojednaní slúžia na ochranu obyvateľov. Existuje totiž obrovské množstvo ľudí, ktorí rizikám neporozumejú a spoločnosť ich v tomto ohľade chráni.
Nikto nie je expert na všetko a je správne očakávať, že regulačné orgány zaštítia čo možno najviac obyvateľov. Špekulant svoje podvody skrátka nemôže obhajovať štýlom „keby ľudia neboli hlúpi, tak mi nenaletia, je to ich chyba“.
„Základným princípom GDPR je, že firma nemôže pre poskytovanie služby vyžadovať odovzdanie osobných dát, pokiaľ daný akt nie je esenciálne nutný z princípu fungovania samotnej služby“
Na celej problematike je vidieť veľká schizofrénia až ironickosť. Facebook, Twitter či iné spoločnosti, postavené na speňažení osobných dát, sa často obhajujú jednoduchou formulkou „ak niekto s našimi pravidlami nesúhlasí, má možnosť predsa našu službu nepoužívať“. To je samozrejme pádny a logický argument. Nie je na ňom nič nesprávne. Lenže toto pravidlo neplatí len vo vzťahu poskytovateľ-používateľ, ale aj o úroveň vyššie, teda v rámci trhu a firiem.
Tak ako používateľ musí súhlasiť s pravidlami firmy, ak chce jej službu používať, tak musí firma plniť zákony štátov, v ktorých chce svoje služby ľudom poskytovať. Tieto pravidlá pri tom nemôžu byť vzájomne v rozpore a je celkom jasné, ktoré z týchto dvoch skupín pravidiel musia byť nadradené. Jednoduchým príkladom by mohla byť plaváreň, ktorej pravidlá sú – musíte zaplatiť vstupné a nesmiete behať pri bazéne, inak máme právo vás vykázať.
Všetko je v poriadku. Nemôže ale pridať do svojich pravidiel – „černochom vstup zakázaný“, pretože sa dostane do rozporu s tým, aké pravidlá musí firma dodržiavať, ak chce poskytovať služby v danom štáte (ilegalita diskriminácie na základe rasy).
Európska únia žiadnu spoločnosť nenúti, aby poskytovala svoje produkty pre občanov EÚ zdarma, alebo tak, aby sa to firmám nevyplatilo. To, čo GPDR či akékoľvek iné nariadenia tohto typu prinášajú je to, že ak firma chce poskytovať produkty či služby v rámci EÚ, musí plniť určité pravidlá. Ak tieto pravidlá plniť odmieta, má možnosť skrátka v EÚ svoju službu neposkytovať, čím otvorí miesto pre konkurenciu, ktorá sa už zákonmi riadiť bude.
Veľké nadnárodné firmy s masívnymi obratmi sa celkom určite budú snažiť niektorým pravidlám vyhnúť a budú hroziť, že v EÚ ukončia činnosť. Budú sa pri tom spoliehať na to, že ohrození používatelia donútia svojich politických zástupcov k odmietnutiu týchto zmien a ak sa to nestane, firmy sa skrátka poberú preč. Toto si ale prakticky žiadna veľká americká firma nemôže dovoliť, pretože EÚ trh je obvykle podobne silný, ako jej domáci americký.
Na prvý pohľad by sa mohlo zdať, že napríklad Facebook si môže dovoliť EÚ trh ignorovať, pretože občania EÚ tvoria len malú časť jeho viac ako 2-miliardovej členskej základne. V USA a Kanade má Facebook 241 miliónov používateľov a v Európe 377 miliónov, zatiaľ čo vo zvyšku sveta v podobe Ázie, Južnej a Strednej Ameriky a Afriky je to až 1578 miliónov. Lenže z pohľadu tržieb situácia vyzerá inak. V prvom štvrťroku 2018 z USA a Kanady pochádzalo 5,6 miliardy dolárov jej príjmov a z Európy 3 miliardy.
Aj napriek tomu, že zvyšok sveta má viac ako štvornásobne viac používateľov, prinášajú do kasičky Facebooku rovnaké 3 miliardy, rovnako ako Európa. Pre Facebook či iné firmy bude skrátka vždy lacnejšie GDPR dodržiavať, než trh opustiť, a je jedno ako silno budú opustením strašiť v rámci propagačných snáh.
Potrebný prvý, ale nie posledný krok
V budúcich mesiacoch môžeme očakávať, že mnoho firiem bude hľadať každé slabé miesto v nových nariadeniach a bude sa snažiť vykľučkovať čo najľahšie a podmienky tak vlastne nedodržiavať. Očakávať sa dajú kroky v súvislosti s tým, že na dáta, ktoré sú esenciálne pre fungovanie služby, sa pravidlá vzťahovať nebudú, pričom snaha urobiť ich esenciálnymi len naoko bude v mnohých prípadoch zrejme triviálna.
Bude preto dôležité, aby slabé miesta GDPR boli v nasledujúcich rokoch zaplátané. Takisto ani v prípade, že nejaká firma bude GDPR porušovať, nemožno očakávať reakciu v prvých dňoch. Každá sťažnosť bude musieť byť prešetrená a regulačné orgány budú zrejme aspoň v počiatku očakávať len nápravu, bez udelenia likvidačnej pokuty.
GDPR je dobre mieneným a efektívnym krokom správnym smerom, ale už teraz je jasné, že musí ísť len o začiatok. Už dnes je GDPR prakticky zastarané o zhruba 5 rokov. Nepokrýva totiž mnohé princípy, ktoré vyplynú z rozšírenia internetu vecí a masívneho nárastu používania Big Data. Tým najvážnejším smerom, ktorý bude treba zastrešiť, je silný nástup pokročilých algoritmov založených na umelej inteligencii.
Tieto systémy totiž budú môcť hľadať súvislosti a odvodzovať osobné dáta (a zraniteľné miesta pre ovplyvnenie), ktorých si žiadny človek dnes ani nie je vedomý. Tak to ale už býva. Príprava zákonov vyžaduje čas a nejaký čas trvá, kým legislatíva rýchle technické zmeny dobehne. Na neviazanú situáciu, ktorá panuje v rámci narábania s osobnými dátami v posledných rokoch, sa možno už o pár dekád budeme pozerať s nemým úžasom a zdesením, ako na dátový divoký západ.
Tento článok vyšiel aj v tlačenom májovom vydaní TOUCHIT č. 5/2018. Z tohto dôvodu sa niektoré skutočnosti uvedené v článku môžu odlišovať oproti aktuálnemu dátumu publikovania.