4. apríla 2019

Éra netransparentného nakladania s dátami používateľov sa zrejme pomaly kráti. Google aj Facebook dostali na začiatku roka veľké pokuty za nedovolené spracúvanie osobných údajov, Európska komisia pripravuje aj nové pravidlá, ktoré znemožnia firmám obhajovať sa, že poskytujú iba neplatené služby. Platí sa za ne totiž osobnými údajmi.

Na začiatku roka udelili európski regulátori dve závažné sankcie veľkým technologickým spoločnostiam. Prvú dostal Google od francúzskeho úradu na ochranu osobných údajov (CNIL). Druhú udelil Facebooku nemecký protimonopolný úrad (Bundeskartellamt).

Sankcie pochádzajú od rozdielnych regulátorov, v prípade Francúzska ide priamo o orgán zodpovedný za dohľad nad zákonnosťou spracúvania osobných údajov, kým Bundeskartellamt dohliada na zákonnosť hospodárskej súťaže. Obe sa však týkali spôsobu, akým firmy spracúvajú dáta o svojich užívateľoch.

Google spustil na Slovensku platenie telefónmi

Prvá pokuta, z Francúzska, bola udelená v januári 2019 za nerešpektovanie nariadenia o ochrane osobných údajov (GDPR), a to v rekordnej výške 50 miliónov eur. Druhá sankcia síce nebola peňažná, je však nemenej závažná. Regulátor totiž zakázal Facebooku kombinovať dáta o užívateľoch naprieč rôznymi službami, ktoré spadajú do jeho skupiny, napríklad WhatsApp či Instagram.

Za čo má Google zaplatiť 50 miliónov

Je známe, že tak francúzsky regulátor, ako aj nemecký, patria medzi striktnejších ochrancov práv jednotlivcov. Vysoké sankcie teda od nich neboli prekvapujúce. Pokuta 50 miliónov eur je v rámci Európskej únie zatiaľ historicky najvyššou finančnou sankciou v oblasti ochrany osobných údajov. CNIL ju udelil najmä za dve porušenia GDPR. Prvým bolo nedostatočné a neprehľadné poskytnutie informácie o spracúvaní dát pri konfigurácii androidového mobilného zariadenia a pri zriaďovaní Google účtu. Informácia o spracúvaní údajov bola roztrúsená do niekoľkých dokumentov. Tie často odkazovali na viacero hypertextových liniek alebo okien a niekedy bolo potrebných až šesť odkliknutí, aby sa užívateľ „prebojoval“ k informácii, ktorú hľadal.

Je tu s nami už 15 rokov. Facebook zmenil svet nehľadiac na následky

Zároveň boli opisy účelov spracúvania a spracúvaných dát veľmi nejasné. Absentovala aj informácia o dĺžke uchovávania dát. Druhým dôvodom vysokej pokuty bol nedostatočný súhlas užívateľov s personalizovanou reklamou. Obsah, ktorý mali používatelia odsúhlasovať, bol tiež roztrúsený do viacerých dokumentov. Súhlas bol nešpecifický a nejasný, a najmä ho Google štandardne prednastavil ako „udelený“ (pre-ticked box).

sundar pichai google
Šéf Googlu Sundar Pichai. Foto: TASR/AP

Zaujímavým aspektom pokuty bolo, že bola adresovaná americkej materskej spoločnosti, teda Google LLC (USA), a to napriek tomu, že Google má v Írsku pobočku pre Európsku úniu. Google sa aj snažil o argumentáciu, že ak má byť (vôbec) niektorá pobočka sankciovaná, nech je to práve írska pobočka, keďže práve ona „zastrešuje“ záležitosti Google pre EÚ. CNIL nesúhlasil a uviedol, že írska pobočka nemá žiadne rozhodovacie právomoci ohľadom spracovania dát, a teda je správne adresovať sankciu materskej spoločnosti.

Ani jedno z týchto rozhodnutí nebolo prekvapujúce, krátko po ich vydaní sme však mohli sledovať vlnu rôznych názorov. Z radov nadšencov internetovej ekonomiky rezonovali názory, že kto nechce, nemusí ani služby Google ani Facebooku používať a že nakoniec sú užívateľom poskytované „zadarmo“. Dnes však už argument, že služby, za ktoré sa „platí“ osobnými údajmi, by bolo možné považovať za bezplatné, obstojí iba obtiažne.

Európska únia nastavuje nové pravidlá 

Nedávno predložila Európska komisia dva návrhy smerníc v oblasti ochrany spotrebiteľov. Týkajú sa digitálnych služieb, za ktoré spotrebitelia neplatia, ale namiesto platby poskytujú osobné údaje. Ide napríklad o cloudové úložiská, sociálne médiá či e-mailové účty. Návrh uvádza, že ochrana spotrebiteľa by sa nemala uplatňovať iba na zmluvy, na základe ktorých obchodník poskytuje digitálnu službu za peňažnú úhradu, ale aj na situácie, keď spotrebiteľ za službu poskytuje alebo zaväzuje sa poskytovať osobné údaje.

Vzhľadom na svoju kontroverznosť má nový legislatívny návrh už od počiatku veľa kritikov. Medzi jedného z najviditeľnejších patrí Európsky výbor na ochranu osobných údajov (European Data Protection Board, EDPB). Tento orgán je zodpovedný za jednotnú a konzistentnú aplikáciu nariadenia GDPR. Uvádza, že keď sa namiesto platby za službu poskytujú osobné údaje, nemožno tieto služby považovať za bezplatné. Takéto služby nie sú zdarma, keďže ekonomická hodnota osobných údajov je čoraz vyššia.

EDPB tiež namieta, že návrh novej legislatívy naznačuje, že osobné údaje predstavujú nový typ platidla. Žiada, aby Komisia návrh predložila v znení, v ktorom sa poskytovanie osobných údajov nebude dávať na rovnakú úroveň ako platba peniazmi. V prípade, že spotrebiteľ zaplatí peniazmi, je ekonomická hodnota služby zrejmá. Ak sa však „platí“ osobnými údajmi, nie je jednoduché povedať, koľko služba „stála“, a celý proces je tak vysoko netransparentný.

Pohľad na osobné údaje ako na prostriedok platby za digitálny obsah degraduje ich charakter a neguje sa aj forma, akou sú chránené na úrovni práva EÚ (ako jedno z práv obsiahnutých v Európskej charte základných práv).

Je teda evidentné, že osobné údaje a spôsob, akým s nimi firmy nakladajú, sú v centre pozornosti dozorných orgánov, ako aj tvorcov novej legislatívy. Spomenuté rozhodnutia sú stále relatívne čerstvé a zrejme ešte prejdú odvolacím konaním. V každom prípade je však zrejmé, že éra netransparentného nakladania s dátami jednotlivcov sa asi pomaly kráti.

Autorka článku Zuzana Cích Hečko je advokátka v advokátskej kancelárii Allen & Overy.

Hlavné foto: TASR/AP

Našli ste chybu? Napíšte nám na editori@forbes.sk