Klikací cirkus vyskakovacích okien nemá konca kraja. Kto je ale na vine? Ako absurdne sa mnohé weby rozhodli s GDPR porátať a ako svojich používateľov úmyselne podvádzajú a obťažujú? Pozrite sa s nami na prehliadku obludností, ktorá ani po roku vôbec neprestáva.
V máji ubehol presne rok, čo v rámci Európskej únie vošli do platnosti nové nariadenia GDPR, určené na ochranu dátového súkromia jej obyvateľov. Tejto zmene sa museli podriadiť nielen európske firmy, ale aj spoločnosti z celého sveta, ktoré v našich končinách poskytujú svoje služby. Bolo pritom načase. Obludné a maximálne nezodpovedné narábanie s dátami používateľov dosiahlo také mamutie rozmery, že internet pripomínal skôr nespútaný divoký západ, než civilizovanú spoločnosť.
V našom minuloročnom tematickom článku „Prečo potrebujeme GDPR a ďalšie zmeny ako soľ?“ ste sa mohli dozvedieť, prečo sú tieto nariadenia nesmierne potrebné, ako fungujú a čo konkrétne od internetových firiem požadujú.
V tomto článku sa pozrieme na to, ako dodržovanie týchto nariadení na webe v praxi vyzerá, pričom sa zameriame na tie najabsurdnejšie riešenia, ktoré dokážu nejedného používateľa poriadne rozčúliť. Krátko po zavedení GDPR sa totiž veľká časť internetu premenila na ukážku špekulantov, podvodníkov a manipulantov, ktorí svetu odhalili svoju pravú tvár.
Ceníme si vaše súkromie, súhlaste prosím, že ho porušíme
Za posledných 12 mesiacov sa otravný a nevraživý dizajn webu stal novým trendom a možno máte z tohto dôvodu pocit, že otravná GDPR „pokazila internet“. Na každej stránke vás otravuje nejaké bezcenné vyskakovacie okno, s ktorým aj tak musíte súhlasiť a nie je divu, že mnoho ľudí dospeje k názoru, že GDPR je tyranský zákon šikanujúci ľudí. Vedzte ale, že toto nie je dôsledok GDPR ako takého. Splniť tieto nariadenia tak, aby používateľa nezdržovali a cítil sa po nich lepšie, je totiž ľahko možné a niektoré weby to aj robia.
To otravné správanie, ktoré vám píli nervy rôznym zdržovaním a prekážkami nie je výtvorom nových zákonov. Je spôsobené výhradne úmyselnými činmi prevádzkovateľov stránok, ktorí sa tieto systémy zámerne rozhodli takto navrhnúť. Urobili to z dôvodu, že nechcú prestať s mechanizmami, ktoré dlhodobo používajú, a tak sa nové zákony a nariadenia snažia figliarsky preonačiť tak, aby sa pre nich v základe nič nezmenilo. Zjednodušene by sa to dalo zhrnúť vetou „ja budem robiť všetko tak ako doteraz a ak nové zákony niečo sťažia, to sťaženie nech cíti používateľ, nie ja ako prevádzkovateľ“.
Absurdné a neplatné splnenie GDPR povinnosti na stránke Popular Science
Asi najsmutnejšie sú prípady webových stránok, ktoré celkom zreteľne princípy a zásady GDPR nedodržujú a aj napriek tomu sa rozhodli, že budú predstierať, že áno a návštevu vám čo najviac znepríjemnia. Ako príklad môže slúžiť stránka Popular Science (popsci.com), ktorá vám po návšteve namiesto obsahu zobrazí bielu plochu, na ktorej vás upozorňuje, že prostredníctvom svojich reklamných partnerov pre vás efektívne poskytuje relevantnú reklamu, založenú na tom, aké stránky navštevujete.
Táto veta je peknou rečou zaobalený jednoduchý fakt, že je napojená na systémy, ktoré sledujú neprestajne váš pohyb po internete. Dole vás pri tom vyzýva, aby ste klikli na „Allow all cookies“ (povoliť všetky cookies), pretože inak vás na stránku nevpustí. Tlačidlo pre odmietnutie chýba. Toto je v priamom rozpore s GDPR, nakoľko tieto sledovacie systémy nie sú potrebné na prevádzku stránky. Žiadna vláda ani Európska únia pravdaže nezakázala, aby stránka zobrazovala reklamy a mohla tak zabezpečovať svoje príjmy. To, čo vám GDPR ponúklo, je možnosť odmietnuť neprestajné sledovanie vášho pohybu po internete, dôsledkom čoho sa zobrazia iba „nerelevantné“ reklamy (i keď samozrejme môžu byť stále relevantné napríklad tým, že po navštívení IT webu sa vám zobrazia reklamy na softvér a hardvér).
Je zarážajúce, že stránka v súvislosti s GDPR očividne vyvinula aktivitu (finančnú aj vývojársku), ale neunúvala sa to urobiť tak, aby zákon naozaj dodržala. Stránka namiesto povinnej možnosti odmietnutia zobrazuje len maličký rozbaľovací prvok, ktorý vám zobrazí informácie o tom, že vytvára na vašom počítači 111 rôznych cookies, od viac ako 50 reklamných spoločností, s životnosťou od niekoľko dní až po niekoľko rokov.
Podľa ich popisu väčšina z nich vytvára váš unikátny identifikátor, slúžiaci na sledovanie vašich návštev na rôznych stránkach celého webu, ďalej umožňujú merať vašu interakciu, zaznamenávať výrazy ktoré hľadáte, lokalitu z ktorej sa pripájate, frekvenciu s akou na reklamy reagujete a podobne. Zarážajúce je, že stránka nemá spoluprácu s nejakými čudesnými a neznámymi poskytovateľmi reklamných systémov. Sú celkom bežní, pričom nespočetný zástup iných webov odpojenie od ich monitorovacej aktivity umožňuje. Nie však stránka Popular Science, pre ktorú zákony zrejme neplatia.
Popular Science nie je jedinou stránkou s týmto previnením a obdobný systém skúšal v prvých mesiacoch zavedenia GDPR aj veľký americký web časopisu Forbes. Po návšteve zobrazil používateľom možnosť voľby a keď si „slobodne“ zvolili, že sa na sledovacie systémy nechcú napojiť, web prešiel na bielu stránku s nápisom „Vybrali ste si nesúhlas s personalizovanými reklamami. Dúfame, že nabudúce svoje rozhodnutie zmeníte. Svoju voľbu zmeníte návratom na predošlé nastavenie“. Žiadny obsah sa následne nezobrazil. Našťastie, v nasledujúcich mesiacoch si majitelia webu uvedomili, že to asi takto nebude správne a možnosť odmietnutia sfunkčnili.
Forbes GDPR povinnosť vyriešil svojsky. Umožnil výber a ľudí, ktorí si vybrali súkromie z webu vyhodil
Aj keď je GDPR komplexná skupina nariadení, v tejto súvislosti je celý mechanizmus značne jasný a dá sa zhrnúť na tri základné body. Ak je stránka napojená na sledovacie mechanizmy používateľov, musí odhaliť, že ich používa a prečo. Ak ich chce používať, používatelia jej musia k tomu dať vedomý súhlas. No a po tretie, používatelia musia dostať aj možnosť ich odmietnuť, pričom nesmú byť za túto voľbu trestaní neposkytnutím služby. Jedinú výnimku na tretie pravidlo majú služby, ktoré zo svojho princípu nemôžu bez povolenia vôbec fungovať, pričom očividným príkladom je mapová navigácia, ktorá vás bez povolenia na zistenie vašej polohy nemôže navigovať, a teda nemá zmysel. Do tejto výnimky v žiadnom prípade nespadajú bežné weby.
Mnoho webov sa rozhodlo splniť iba prvú povinnosť, pričom nadväzné dve pravidlá sa snažia prekabátiť nejakým „prefíkaným riešením“. Typickým je oznámenie, že ak nechcete byť sledovaní, máte si vo svojom prehliadači nastaviť, aby blokoval všetky cookies. Toto je samozrejme pre používateľa nevhodné, pretože by tým plošne vyradil funkčnosť mnohých iných webov. Aj keď prehliadače umožňujú blokovať tieto mechanizmy len na konkrétnych stránkach, vyžaduje si to dostatočnú znalosť a takisto špecifické nastavenie konkrétnej výnimky ručne a zakaždým. Výsledkom je vytvorenie mechanizmu, pri ktorom je súhlas extrémne ľahký a bleskový, ale nesúhlas je komplikovaný a vyžaduje si mnoho krokov a zdržovania.
GDPR na túto slabinu v základe myslí a od poskytovateľov vyžaduje, aby nesledovanie používateľa bol základný stav (bez akcie). Weby sa to snažia špekulatívne prekonať tým, že za základný stav s nesúhlasom považujú len prvotné okno, ktoré sa dá ľahko odsúhlasiť. Udržanie nesúhlasu je naopak extrémne časovo a fyzicky náročné. Zubami nechtami sa tak snažia držať svojho modelu a skúšajú hľadať medzery a slabiny, na úkor pohodlia používateľa. Asi najobludnejšie na tejto situácii je, že sa pri tom často snažia zachovať tvár a predstierajú, že oni sú tí ochrancovia súkromia, ktorým na vás nesmierne záleží.
Atlas Obscura a jeho obsurdné okno
Do extrému tento princíp dohnal web Atlasobscura.com, ktorý po navštívení stránky zobrazí okno s veľkým textom „Vážime si vaše súkromie“. Text okna, ktoré môžete vidieť vyššie, následne pokračuje vetou o tom, že Atlas Obscura a jeho dôveryhodní partneri používajú na webe technológie na personalizovanie reklamy, mechanizmy sociálnych sietí a analýzu návštev. Následne vás žiadajú, aby ste s tým súhlasili, pričom na spodku okna je veľké červené tlačidlo „Súhlasím“.
V texte okna sa nachádza aj informácia „ak sa chcete dozvedieť viac, alebo svoj súhlas v budúcnosti zrušiť, navštívte text našich podmienok používania služby“. Je to jediná vec okrem súhlasu, na ktorú sa dá kliknúť, pričom vás zavedie na hromadu textu o tom, s čím vlastne súhlasíte. Ten by si bolo možno aj zaujímavé prečítať, ale bohužiaľ hneď v jeho prvom odseku sa nachádza veta „Atlas Obscura môže v diskrétnosti a bez akéhokoľvek upozornenia tieto podmienky kedykoľvek zmeniť. Akonáhle náš web po takejto zmene navštívite, je to považované za váš súhlas s touto zmenou“.
To je vskutku zaujímavé. Prvé navštívenie stránky vás víta s tým, že niekto, koho nepoznáte, si váži vaše súkromie. Podľa textu svojich podmienok ho ale následne okamžite naruší (zdieľa vaše správanie a návštevy s reklamnými systémami, ktoré sledujú váš pohyb na webe) a nemáte možnosť si vybrať, aby to neurobil. Môžete síce odísť a nikdy už danú stránku nenavštíviť, avšak ako si potom môže web vaše súkromie vážiť? Okrem toho, ak aj stránke uveríte, že dnes si vaše súkromie naozaj váži, čo ak zajtra, alebo rovno o 5 minút už prestane? Vo svojich podmienkach predsa uvádza, že sa môžu jej úmysly potajme kedykoľvek zmeniť a automaticky počíta s tým, že súhlasíme so všetkým. Takéto výjavy sú vskutku ako príbehy z Kocúrkova a je zarážajúce, že takýto mechanizmus niekto vytvoril a aktivoval ako reakciu na GDPR. Veď je to skoro úplne presný zrkadlový opak toho, čo tieto naradenia požadujú.
Veselá klikacia hra s 322 tlačidlami, pretože nám na vás záleží
Iné weby sa rozhodli nariadenia GDPR dodržiavať, avšak štýlom, že ľudí, ktorí budú chcieť jeho ochranu využiť, náležite za trest zbičujú. Prevádzkovateľom stránky Macworld.co.uk napríklad napadol systém s oknom „Záleží nám na vašom súkromí“, ktoré vysvetlilo situáciu so sledovaním a ponúklo možnosť „použite tento zoznam na nastavenie vášho súkromia“. Po rozkliknutí sa zobrazil zoznam 502 reklamných spoločností a systémov, pričom každá mala pri sebe jazdec na povolenie/zakázanie. Všetky boli povolené a ak ste nechceli, aby vás reklamné systémy týchto spoločností sledovali po celom webe, jediná možnosť bola na 502 tlačidiel postupne klikať a po jednom ich zakazovať. Možnosť hromadného zákazu všetkých chýbala. Asi netreba dodávať, že na to nikto nemal nervy.
Toto riešenie nevytvoril len web Macworld, ale aj mnoho ďalších webov, ako napríklad Thumblr, ktorý takto ponúkol možnosť po jednom odmietnuť 322 partnerov. Šlo o peknú ukážka špekulantstva, pri ktorom sa stránky snažili získať súhlas totálnou dezilúziou používateľa. Obe riešenia sa objavili v prvých mesiacoch po zavedení GDPR, pričom sa na ne zniesla oprávnená kritika používateľov i médií. Donútilo ich to následne k úpravám, pričom Tumblr všetkých partnerov okrem piatich základných deaktivoval a na ich aktiváciu je dnes už nutná akcia. Macworld naopak všetkých 502 partnerov ponechal aktívnych a používateľ ich musí stále deaktivovať, milosrdne ale pridal do okna tlačidlo na hromadnú akciu.
Takto sa rozhodol situáciu riešiť web Recode. Zobrazuje len veľké tlačidlo so súhlasom. Ak chcete nesúhlasiť, musíte kliknúť na nenápadný odkaz na pravidlá v texte. Tie zobrazia 20 000 znakov textu, v ktorých sú inštrukcie, ako sa odhlásiť zo sledovacích systémov 56 rôznych spoločností
Mnoho webov skúša tieto triky aj naďalej, pričom sa prekvapujúco objavujú ešte absurdnejšie riešenia. Niektoré weby sa rozhodli GDPR „dodržať“ tak, že ponúknu len zoznam 300 až 500 sledovacích a profilovacích reklamných systémov a na každý poskytnú odkaz. Ak má používateľ záujem, môže týchto niekoľko stoviek stránok sám navštíviť a na každej hľadať možnosť ako sa z nich odhlásiť. Toto je očividne proti princípom GDPR a stránka by pri kontrole regulátorov neobstála. Avšak na to, aby toto špekulantské riešenie bolo zlikvidované, musia byť tieto stránky najprv nahlásené a svoj boj s regulačnými orgánmi musia prehrať. Až to následne spustí domino efekt, dôsledkom ktorého tento hlúpy trik prestanú ostatné weby skúšať.
Uplatňovanie temných mechanizmov v plnom prúde
Tretím, veľmi populárnym špekulantským riešením je používanie tzv. temných mechanizmov. V angličtine sa to označuje ako Dark Patterns, teda v doslovnejšom preklade niečo ako temné vzory alebo pokútne šablóny. Ide o špecifické dizajnové metódy, ktorých úlohou je používateľa oklamať a zmanipulovať špecifickým riešením grafických prvkov a otázok (podrobnejšie sme sa týmto metódam venovali v samostatnom článku Temné mechanizmy: ako sa nás rôzne IT firmy snažia beztrestne zmanipulovať s úsmevom na tvári, ktorý nájdete na našom webe).
V rámci GDPR sa weby snažia temné mechanizmy uplatňovať rôznou formou. Medzi tie jednoduché patrí klasický trik, pri ktorom sa používateľovi neponúkne rýchla, prehľadná a jasná voľba medzi áno a nie. Väčšina stránok dáva v dialógu na výber medzi Súhlasím/Nastavenie. Prvá možnosť je zelená, jasná a ostro graficky ohraničená, zatiaľ čo tá druhá šedá a často krát ani nie je zrejmé, či sa na ňu dá vôbec kliknúť. Obvykle to nie je ani tlačidlo, ale len text s menším fontom niekde v rohu okna.
Je to ale len slovný trik, pretože po kliknutí na druhú nedominantnú možnosť sa naozaj nastavenia zobrazia a umožnia vám sledovacie systémy odmietnuť. Systém je teda funkčný a relatívne splňuje nariadenia GDPR. Je však zámerne navrhnutý takto neefektívne, pretože kým súhlas je možný na jeden klik, nesúhlas potrebuje obyčajne tri kliky a viac, nejaké to čítanie, rozpaky a premýšľanie.
Spleť temných mechanizmov webu TechRadar, ktorý sa vás silou mocou snaží od odhlásenia z monitorovacích mechanizmov odradiť
Skvelou ukážkou je dialóg webu TechRadar. V prvom okne dáva na výber medzi tlačidlom SÚHLASÍM a pod ním očividne netlačidlovým textom „Ukáž dôvod“. Po kliknutí naň sa zobrazí regulárne okno, kde sa dá zo sledovacích systémov odhlásiť. Nie ale okamžite. Musíte kliknúť buď na veľké tlačidlo „SÚHLASÍM A POKRAČOVAŤ“, alebo zase len na netlačidlový nevýrazný text pod ním „Odmietnuť všetko“ (všimnite si, že slovo o pokračovaní chýba). Pri odmietnutí sa následne zobrazí tretie okno, ktoré sa veľkými písmenami spýta „STE SI ISTÝ?“, pričom veľké tlačidlo hlási „VRÁTIŤ SA SPÄŤ“. Nevýrazný text pod ním je v znení „Odísť“, čo naznačuje, že ste zo stránky vykázaný.
Po kliknutí na spodnú možnosť je ale všetko v poriadku a stránka sa správne zobrazí bez napojenia na sledovacie systémy. Ako je vidieť, web TechRadar splnil GDPR povinnosť, ale úmyselne sa vás snažil pri odmietnutí čo najviac zdržať, vystrašiť a zmiasť. Toto žiadny zákon nevyžaduje. Web to skonštruoval zámerne. Toto okno vôbec nemusí blokovať vstup a môže obsahovať len rýchle dve tlačidlá Súhlasím/Nesúhlasím, plus odkaz na viac informácií.
Čo myslíte, prečo to väčšina webov takto nerobí a dávajú na výber medzi SÚHLASÍM/Zisti viac, prípadne medzi AKCEPTUJEM/Prečítajte si o možnostiach odmietnutia? Je to jednoznačne preto, že ten prehľadnejší systém dosahoval výrazne väčší podiel odmietnutí. Je to skvelé potvrdenie toho, že ľudom nie je ich súkromie ukradnuté.
Ide to aj správne a jednoducho. Šikovný súhlas alebo nesúhlas s povolením sledovacích mechanizmov na webe magazínu Smashing
Bežne sa môžeme stretnúť s argumentom, že 99 % ľudí GDPR okná ignoruje a len rýchlo kliknú na súhlas, aby sa dostali na stránku. Obrovské rozšírenie temných mechanizmov je však demonštráciou toho, že to tak nie je. Keby stránky zobrazili regulárne okno s tlačidlami SÚHLASÍM/NESÚHLASÍM a 99 % ľudí by kliklo na SÚHLASÍM, žiadne temné mechanizmy by neboli potrebné a nikto by sa nimi neobťažoval.
Oveľa pravdepodobnejšie je, že pri klasickom výbere veľký počet a možno aj väčšina ľudí klikne, že si neprajú byť monitorovaní a sledovaní reklamnými systémami po celom webe a práve preto sú tieto temné mechanizmy potrebné, aby naklonili váhy smerom k povoleniu. Čím je temný mechanizmus temnejší, tým viac sa mu darí.
Ako zákernejšia ukážka môže slúžiť web Wheather Underground (wunderground.com), určený na predpovede a sledovanie počasia. Po príchode vás uvíta okno „Vaše súkromie a použitie dát“, ktoré splní zákon a oznámi vám, aké systémy na sledovanie sa používajú. Hneď v okne je na výber, či sa používať majú alebo nie. Stačí vybrať Súhlasím/Nesúhlasím a je hotovo. Teda až na to, že sa prevádzkovateľ rozhodol špekulovať.
Na obrázku si všimnite, ako je okno šikovne graficky navrhnuté tak, že nie je možné vizuálne rozpoznať, či sú posuvníky nastavené na „Súhlasím“ (Opt-in), alebo „Nesúhlasím“ (Opt-out). Obe voľby sú graficky odlišné, ale bez toho aby ste s nimi začali hýbať neviete, čo je „jazdec“ a čo je jeho pozadie. Na prvý pohľad sa môže zdať, že sú voľby nastavené na zákaz (ako GDPR káže) a používateľ okno len zavrie a už sa mu nikdy viac neobjaví. Lenže ako náhle začnete s jazdcom posúvať, zistíte, že sú v skutočnosti nastavené na súhlas.
Mätúce tlačidlá webu WeatherUnderground. Aká možnosť je aktívna?
Tento nepekný temný mechanizmus, snažiaci sa vás oklamať, pritom prevádzkovateľovi nestačil. Ak toto grafické špekulantstvo odhalíte, vyberiete nesúhlas a okno sa pokúsite zavrieť, začnú sa vaše odmietnutia vykonávať otvorením malého okienka „nastavujem vaše preferencie“. Všetko následne trvá dve až tri minúty, pri ktorých sa namiesto obsahu stránky pozeráte len na točiace sa koliesko. Zaujímavý trest pre tých, čo si vážia svoje súkromie.
Jeden z najodpornejších temných mechanizmov použil v tejto súvislosti Facebook. Konkrétne v rámci funkcionality rozpoznávania tvárí. GDPR vyžaduje, aby bolo rozpoznávanie aktívne až potom, ako naň dá používateľ výslovný súhlas. Vzhľadom na to, že Facebook na tejto funkcionalite nie je založený, podľa GDPR si od Európanov nemôže súhlas vynútiť štýlom „Klikni na súhlasím, lebo inak bude tvoj účet zrušený“. Musí dať používateľovi jasne na výber, aby mal možnosť túto funkciu odmietnuť. Po vstupe GDPR do platnosti teda Európanom zobrazil okno s nápisom „Zapnite rozpoznávanie tváre, ak chcete, aby sme používali túto technológiu“.
Tým jeho počestnosť ale končila. Namiesto logických tlačidiel „áno, súhlasím“ a „nie, nesúhlasím“ obsahovalo okno tlačidlá „Spravovať nastavenia údajov“ (šedé) a „Akceptovať a pokračovať“ (žiarivo modré). Už len toto zmätenie zapríčinilo, že mnoho ľudí kliklo na modré tlačidlo nachádzajúce sa na pozícii „pokračovať“, neuvedomujúc si, že funkciu už týmto povoľujú a mali aj inú možnosť. Ak si to uvedomili a klikli na nič nehovoriace šedé tlačidlo, zobrazilo sa druhé okno s druhým temným mechanizmom, kde Facebook na presvedčenie schválenia použil strach.
Ešte predtým, než používateľovi zobrazil na výber medzi povolením alebo nepovolením tejto funkcie, ukázal im okno s nasledovným textom: „Technológia rozpoznávania tváre nám umožňuje chrániť vás pred cudzími osobami používajúcimi vašu fotku na predstieranie vašej identity alebo prostredníctvom počítača obrazovky informovať ľudí s poruchami zraku o tom, kto je na fotke alebo vo videu. Ak ponecháte rozpoznávanie tváre vypnuté, nebudeme môcť túto technológiu použiť v prípadoch, keď cudzia osoba použije fotku, na ktorej ste, na predstieranie vašej identity“.
Temný mechanizmus Facebooku pri žiadosti o aktiváciu rozpoznávania tváre
Táto informácia bola zavádzajúca. Schopnosť chrániť sa proti falošným profilom totiž s funkciou rozpoznávaní tváre nijako nesúvisí a nijako vás proti nim neochráni. Váš účet by po jej vypnutí nebol z hľadiska tejto ochrany o nič horší a ani o nič menej bezpečný. Šlo a aj stále ide o nečestnú praktiku vyvolania súhlasu hlúpym zastrašením, ktoré používatelia bez dostatočných znalostí danej technológie nemohli rozpoznať.
Ide o nepeknú ukážku toho, kam až temné mechanizmy môžu firmy posúvať, len aby sa vyhli dôsledkom GDPR a naďalej pokračovali vo všetkom tak ako doteraz. Je značne odpudivé a neseriózne, že potom ako sa firmy presvedčili, že príliš veľa ich návštevníkov volilo cestu súkromia, rozhodli sa vytvoriť svoje systémy tak, aby sa im nesúhlasilo ťažšie a aby existencia možnosti nesúhlasu bola čo možno najviac neviditeľná. To je v ostrom kontraste s tým, ako sú tieto okná často s veľkým nápisom „Záleží nám na vašom súkromí“, pretože z toho ako sú konštruované je jasné, že sa tento záujem len predstiera s úsmevom na tvári.
Merateľný pozitívny efekt GDPR a prvé udeľovanie pokút
Vzhľadom na to, že GDPR je lokálna zmena (i keď s globálnym dopadom), môžeme pomerne dobre zhodnocovať, aký má vplyv na zmenu správania firiem a zlepšovanie situácie z hľadiska práv používateľov. Nejde totiž len o nejaký bezzubý zákon plný snov a túžob (čo sa dalo povedať o staršom cookies nariadení), ale o praktický mechanizmus na ochranu používateľských práv a zlepšovanie ich pozície na dlhodobo zhoršujúcom sa divokom západe neviazaného narábania s ich dátami.
Hneď v prvých troch mesiacoch po zavedení došlo k zaujímavým zmenám na poli reklamných sledovacích mechanizmov, ktoré sú integrované do obrovského množstva stránok. Nemecká spoločnosť Cliqz, zameriavajúca sa na ochranu súkromia internetových používateľov, monitoruje prostredníctvom svojej webovej služby https://whotracks.me 2000 svetových webstránok v rôznych kategóriách (spravodajstvo, biznis, e-shopy, obsah pre dospelých a pod.) a ich aktívne napojenie na sledovacie systémy. Kým bežné porno stránky či e-shopy obsahujú v priemere 5 až 8 sledovacích služieb, bežiacich na pozadí, vrchol dosahujú na spravodajských weboch, kde je ich v priemere 14.
GDPR malo hneď v prvých troch mesiacoch pozitívny vplyv na pokles monitorovacích mechanizmov na webových stránkach, zatiaľ čo v USA v rovnakej dobe pokračoval prudký rast
Už za prvé tri mesiace platnosti GDPR bol zaznamenaný prekvapivý zvrat a priemerný pokles sledovacích mechanizmov o 4 %. Pokles je vidieť vo väčšine kategórií. Najväčší bol podiel v spravodajstve, kde priemer trackerov klesol zo 14 na 12 a na záujmových a cestovateľských weboch, kde klesol 12 na 11. Prekvapivé je to hlavne kvôli tomu, že počet sledovacích mechanizmov na webe dlhodobo stúpa, čo dobre vidieť aj na tom, že za rovnaké obdobie došlo v USA naopak k 8 % rastu.
Webová služba Whotracks.me monitoruje viac ako 1000 rozličných trackerov, respektíve sledovacích systémov, používaných na weboch (obvykle v rámci reklamných systémov), pričom pred GDPR dosahovali 300 miliónov načítaní mesačne na viac ako pol milióna stránok. Na grafe môžete vidieť, že kým veľké marketingové systémy Googlu a Facebooku zaznamenali 2 až 5 % pokles, menšie reklamné spoločnosti, ktoré sú v snahe presadiť sa na trhu pri trackingu často ešte výrazne agresívnejšie, zaznamenali v EU masívne poklesy používania od 10 do 25 %. Je to dôsledok toho, ako webové stránky dávajú používateľom na výber hlavne u týchto spoločností (zatiaľ čo väčšie systémy klasifikujú pre seba ako esenciálne a neumožňujú ich vypnúť) a obrovské množstvo ľudí to očividne robí aj napriek prekážkam hádzaným pod nohy.
Zaujímavo dopadla aj štatistika, ktorá bola vykonaná Oxfordskou univerzitou (Changes in Third-Party Content on European News Websites after GDPR), ktorá zaznamenala 22 % pokles vytvárania cookies tretích strán (teda tie ktoré vytvárajú reklamné systémy, nie samotné stránky na svoju analytiku a obsah) naprieč EÚ. Aj v tomto teda GDPR pomohlo a zlepšilo správanie poskytovateľov k lepšiemu.
Výrazný pokles dosahu reklamného trackingu v EU v prvých mesiacoch GDPR
Veľmi pozitívny efekt zavedenia GDPR sa ukázal takisto aj na reportovaní dátových únikov. Podľa GDPR totiž musí každá firma verejne nahlásiť akýkoľvek únik používateľských dát, najneskôr do 72 hodín po tom, ako sa o úniku dozvie. Je jedno či šlo o interný dôvod, spôsobený vlastným pochybením, alebo o dôsledok napadnutia a hackerského prieniku. Ak sa dáta používateľov stali zraniteľné a unikli von, firma to pod hrozbou veľkých pokút musí včas oznámiť verejnosti. Za prvých 8 mesiacov od spustenia GDPR (25. máj 2018 – 28. január 2019) ich bolo podľa najnovšej štatistiky, publikovanej Európskou komisiou, nahlásených 41 502.
Tento objem je v ostrom rozpore s predchádzajúcimi rokmi. Napríklad v celom roku 2017 došlo podľa reportu bezpečnostnej firmy Gemalto, ktorá zhromažďuje celosvetové štatistiky o dátových prienikoch v súvislosti s osobnými dátami, k 1757 nahláseným prienikom. To je len malý zlomok aktuálneho počtu a taký nárast z roka na rok by bol doslova alarmujúci. Stúpnutie o 35-násobok pravdaže neznamená, že z ničoho nič bolo o toľko prienikov viac. Naopak to ukazuje, že ešte nedávno bolo bežnou praxou tieto prieniky zatajovať a len silné tresty na základe GDPR donútili firmy správať sa zodpovednejšie.
Tieto poznatky nám celkovo ukazujú, že aj v prvom „skúšobnom“ roku má GDPR reálny pozitívny efekt a nejde teda len o nejakú neúčinnú reguláciu, ktorá má podobu nejakého okienka na webe navyše. Aj napriek špekulantským snahám rôznych webov so zavádzajúcimi dialógmi teda ide o úspech. Zostáva len veriť, že na najväčších previnilcov dopadnú v nasledujúcich mesiacoch tresty.
To, že v prvých rokoch GDPR budú regulátori zhovievavejší, bolo dlhodobo známe. Je to koniec koncov vhodné, vzhľadom na to, aké veľké zmeny GDPR prináša a je treba aby sa firmy vyrovnali so systémom aj v praxi. Počet nahlásení porušení GDPR však nie je malý a v rôznych členských krajinách dosiahol do konca roku (resp. za prvých 8 mesiacov GDPR) číslo niekoľko tisíc. Podľa štatistiky Európskej komisie publikovanej k 25. januáru došlo k 95 180 sťažnostiam. Čísla sú pri tom v rôznych krajinách značne odlišné. Napríklad vo Francúzsku a Holandsku bolo zhruba rovnaký počet nahlásení (9700 / 9661), a to aj napriek značnému rozdielu v populácii (67 oproti 17 miliónom). Nemecko zaznamenalo 6892 nahlásení, Poľsko 4068, Taliansko 2944 a Švédsko 1765. Na Slovensku sa objavilo 361 nahlásení porušenia GDPR, čo je značne menej, avšak ak vezmeme do úvahy rozdiely v populácii, je to zhruba o štvrtinu viac ako v Taliansku, ale takisto zhruba o štvrtinu menej ako v Nemecku.
Jednoduchý temný mechanizmus (Súhlasím/Nastavenie) v úvodnom okne magazínu Motherboard vydavateľstva Vice
Relatívna zhovievavosť regulátorov, ktorí zohľadňujú čerstvosť nariadení a nie sú extrémne prísni pri posudzovaní porušení, sa bude postupom času ale meniť. Podľa reportu Európskej komisie sa do 25. januára udelilo celkom 91 pokút. Výška pokuty závisí od druhu pochybenia, pričom v tých najvážnejších prípadoch sa môže vyšplhať až na 20 miliónov eur, alebo 4 % ročného obratu (vyberá sa vyššia možnosť). Pri posudzovaní sa zohľadňuje to, koľko ľudí bolo porušením dátového súkromia ovplyvnených a takisto aj to, ako veľmi bol v probléme prevádzkovateľ služby zapojený (napríklad či šlo o úmyselné alebo neúmyselné pochybenie).
Ako dobrý príklad by mohol slúžiť nemecký web Knuddels.de, zameraný na flirtovanie a chatovanie, ktorý v lete minulého roku zaznamenal dátový prienik, pri ktorom boli odcudzené dáta v podobe 808 000 emailových adries a 1,8 milióna používateľských mien a hesiel. Firma prienik síce nahlásila a postupovala správne, avšak pri vyšetrovaní sa zistilo, že bezpečnosť osobných dát masívne podcenila a skladovala ich v čistej nezašifrovanej podobe, za čo im bola v novembri bola udelená relatívne malá pokuta vo výške 20 000 eur. Naproti tomu Google v januári zinkasoval vo Francúzsku pokutu 50 miliónov eur, ktorú mu udelil miestny úrad na ochranu osobných údajov (CNIL). Dôvodom bolo nedostatočné dodržiavanie zásad GDPR pri úvodnej konfigurácii Androidu (na novom zariadení), kde nebol vyžiadaný riadny a vedomý súhlas so spracovaním veľkého množstva osobných dát na účely reklamných systémov.
Pseudododržiavanie GDPR a hranie trápneho divadla musí skončiť
Rok GDPR pekne ukázal, aký cirkus na súčasnom webe je a že porušovanie súkromia je na dennom poriadku. Neprestajné skryté sledovanie používateľov po webe, nekonečný a ničím nezviazaný zber dát a napokon aj laxnosť v informovaní, kam dáta idú, čo sa bude s nimi robiť a či ich vôbec niekto neukradol a nezneužil. Mnohé firmy sa snažia odmietať realitu a proti nariadeniam bojujú trucom.
Mikko Hypponen, vedúci výskumu fínskej antivírusovej a bezpečnostnej firmy F-Secure to pekne zhrnul vyjadrením, že všetko je dôsledok toho, ako si firmy dlhodobo odmietajú pripustiť celkom základný poznatok, že osobné dáta nepatria im, ale používateľom. Tieto spoločnosti si zvykli na to, že nech osobné dáta získajú akokoľvek, môžu s nimi narábať a používať ich ako uznajú za vhodné. Nie je preto prekvapujúce, že nové obmedzenia, ktoré vyplynuli z GDPR, považujú za neférové. Ich mylná predstava, že všetky osobné dáta používateľov im bez obmedzení patria, sa musí zmeniť. Občania si zaslúžia kontrolu nad tým, ako je s nimi narábané a toto im GDPR začína aspoň základne po prvýkrát v histórii poskytovať. V budúcnosti naopak potrebujeme nové a ešte mocnejšie pravidlá, nie menšie.
GDPR je mnohými kritizované kvôli vysokej vágnosti a nejasnosti interpretácií, pričom sa v tejto súvislosti poukazuje hlavne na to, ako výrazne odlišne pristúpili prevádzkovatelia webov k získaniu súhlasu na aktiváciu monitorovacích mechanizmov. Niektoré vás bez súhlasu nepustia na stránku vôbec, iné umožňujú vybrať si zákaz daných mechanizmov po otravnom procese. Mnohé riešenia sú už na prvý pohľad v rozpore so základnými ideami GDPR a ich tvorcovia sa spoliehajú, že špekulantské riešenie je dostačujúce a zákony sa im podarilo prekabátiť.
Temný mechanizmus webu Newsweek. Stránka umožnuje nastavenie, ale dostanete sa k nemu len ignorovaním tlačidla Súhlasiť a zavrieť. Je potrebné kliknúť na nevýrazný text „Dozvedieť sa viac“
Niektoré spoločnosti sú neschopné splniť GDPR z princípu, že doposiaľ si na divokom dátovom západe doslova založili svoj biznis. Pokúšajú sa tak GDPR označiť za nesplniteľnú nereálnosť a extrémnu záťaž. Lenže fakt, že nemôžu splniť ani také základné povinnosti, ako GDPR ukladá v súvislosti s nepoužívaním sledovacích mechanizmov používateľov, vypovedá skôr viac o povahe ich biznisu a prístupu k ľudom, než o zákone ako takom. Ak by sme mali použiť extrémny príklad, obrana proti zrušeniu otroctva takisto nemohla byť v štýle „tie zákony nebudem dodržiavať, pretože moja firma sa bez práce otrokov neudrží a skrachuje“.
Je nevyhnutné, že v nadchádzajúcich mesiacoch sa firmy budú snažiť byť čo najviac na hrane povoleného. To je prirodzený stav. Akonáhle ale kladivo trestov začne dopadať čoraz častejšie a silnejšie, situácia sa vyjasní a hranice tolerovateľnosti sa vykryštalizujú. Jedno je isté. Európska únia nastavila pomerne jasnú a agresívnu cestu, pri ktorej sa postavila na stranu občanov a ich práv, nie na stranu veľkých nadnárodných korporácií a poskytovateľov. Už dnes je jasné, že tie najväčšie prvotné údery nepocítia nejakí malí prevádzkovatelia lokálnych webov a služieb, ale hlavne tí najväčší hráči na trhu, ktorí z aktuálnej dátovej divočiny ťažili najviac. A to je pozitívne. Zákony musia platiť pre všetkých, nielen pre tých, ktorí sú príliš malí na to aby sa mohli brániť.
Tento článok vyšiel aj v tlačenom májovom vydaní TOUCHIT č. 5/2019, preto sa niektoré skutočnosti uvedené v článku, môžu odlišovať oproti aktuálnemu dátumu publikovania.
