Nie je žiadnym tajomstvom, že sú naše aktivity na internete sledované. Môžu za to súbory „cookies“ a kódy na stránkach, či v aplikáciách známe ako „advertising ID“ (AID), ktoré zbierajú dáta o používateľovi a odosielajú ich firmám, ktoré tieto informácie agregujú a vytvárajú z nich výstupy, ktoré pomáhajú vývojárom a programátorom lepšie cieliť reklamy. Do akej miery sú ale tieto postupy v súlade s platnou legislatívou a ako sa proti nim brániť?
Od roku 2002 reguluje v EÚ „cookies“ a podobné skriptové technológie ePrivacy smernica Európskej Únie, ktorá podmieňuje ich marketingové využívanie súhlasom užívateľa. Členské štáty však túto legislatívu podľa advokáta a odborníka na ochranu osobných údajov implementujú málo a zle.
„Napriek tomu, že regulácia cookies v rámci ePrivacy legislatívy v EÚ existuje už od roku 2002, máme na Slovensku nulovú vymožiteľnosť týchto pravidiel. Osobne považujem za veľmi nešťastné, že ePrivacy nepatrí, rovnako ako GDPR, pod kompetenciu Úradu na ochranu osobných údajov SR ale pod bývalý telekomunikačný úrad, ktorý sa od nášho vstupu do EÚ k regulácii cookies, mobilným aplikáciám, SDK a marketingovej analytike akosi ešte nestihol vyjadriť,“ konštatuje Jakub Berthoty z advokátskej kancelárie Dagital Legal.
Formálne teda máme reguláciu cookies aj na Slovensku, podľa expertov však implementovanú nesprávne. Zahraničné dozorné orgány reguláciu cookies začínajú chápať tak, že sa vzťahuje aj na skriptové technológie ako Software Developement kit (SDK). Advertising ID (AID) sú totiž ukladané aj pomocou technológie SDK aj pomocou technológie cookies.
Naše odosielané dáta nie sú anonymné
Nedostatočnú reguláciu využívajú okrem známych gigantov ako napríklad Google, Facebook, či Apple aj samotní vývojári aplikácií. V prípade vývojárov ide ale často o nepochopenie komplexných podmienok spoločností Google, či Facebook, ktoré hovoria o tom, kto je v akom postavení pri marketingovej analytike a personalizovanej reklame.
„Mnohí vývojári nerozumejú svojmu právnemu postaveniu a tvrdia, že si len objednávajú kampaň a že žiadne dáta nespracúvajú. Myslia si, že keď s dátami priamo nepracujú, nie sú za ne právne zodpovední oni a túto zodpovednosť preberajú agregátori dát. Primárna zodpovednosť za zabezpečenie súladu s ePrivacy legislatívou, a teda získaním súhlasu a informovaním, je však na vývojároch, ktorí sú v tomto postavení prevádzkovateľmi,“ upozorňuje Jakub Berthoty.
Ak chce vývojár mobilnej aplikácie dostávať späť od Google, či Facebook štatistiky resp. merať úspešnosť kampaní, musí do kódu aplikácie implementovať tzv. „Software Development Kit“ (SDK), čo je unikátny kód, ktorý umožní odosielanie presne špecifikovaných dát užívateľa do analytických nástrojov firiem ako práve spomínaní giganti. Obdobne to platí aj o webstránkach, ktoré ukladajú AID na základe súborov cookies. Dátoví giganti množstvo prijímaných dát agregujú a vývojárom posielajú požadované a veľmi presné štatistiky, ktoré sa zobrazujú agregovane.
„Väčšina mobilných aplikácií dnes ale neinformuje dostatočne transparentne o tom, aké dáta aplikácia spracúva a ktorým tretím stranám tieto dáta zasiela. Mnoho aplikácií totiž stále žije v mylnej predstave, že nespracúva žiadne osobné údaje, keďže vývojári za osobné údaje považujú prakticky len meno, priezvisko, bydlisko, či rodné číslo a unikátne online identifikátory sú pre nich anonymné dáta,“ vysvetľuje Jakub Berthoty, advokát kancelárie Dagital Legal a odborník na ochranu osobných údajov.
„Nie sú to anonymné dáta, sú to najviac osobné dáta aké existujú. Stačí si len pozrieť, aké SDK a API (Application Programming Interface) majú aplikácie implementované a zistíte skutočný rozsah zbieraných dát. To, že tieto dáta nemusia ísť priamo na server aplikácie neznamená, že vývojár aplikácie nenesie za daný zber dát žiadnu zodpovednosť. Práve naopak, je primárne zodpovedný,“ upozorňuje Jakub Berthoty.
Ochrana súkromia v online priestore nie je samozrejmosť
Kúsok kontroly do zberu dát z aplikácií sa v júni pokúsila zaviesť spoločnosť Apple, keď informovala, že súčasťou nového updatu iOS 14 bude aj povinný opt-in súhlas na používanie AID. Drvivá väčšina aplikácií dnes totiž používa AID bez súhlasu užívateľa zariadenia. Po novom by však užívateľovi museli aplikácie automaticky ponúknuť možnosť, či chce odosielať svoje dáta alebo nie. Je veľký predpoklad, že mnohí užívatelia by s odosielaním svojich osobných údajov nesúhlasili, čím by prišlo k signifikantným skresleniam analytických výsledkov.
Na prvý pohľad progresívne gesto Applu ale narazilo na ostrú kritiku Facebooku, ktorému by sa výrazne znížili výnosy z kampaní cielených na iOS zariadenia. Facebook dokonca Applu pohrozil, že vypne možnosť cieliť na Apple zariadenia úplne. Ozvali sa ale aj vývojári, ktorí pohrozili, že prestanú pre iOS vyvíjať aplikácie. Pod silným náporom Apple napokon odložil zmenu na začiatok roka 2021, aby mali vývojári dostatok času na adaptáciu.
„Napriek možnému skrytému komerčnému motívu, môžeme krok spoločnosti Apple označiť za progresívny a dlho očakávaný. Dôležité bude, aby systémová možnosť iOS spĺňala prísne požiadavky GDPR na platne udelený súhlas. Na vývojároch aplikácii zostane, či budú dostatočne informovať pomocou privacy policy. Súhlas a privacy policy sú prepojené nádoby a preto by sa vývojári aplikácii mali zamýšľať čoraz viac na tým, či sú v tomto smere dostatočne transparentní voči užívateľom,“ uzatvára Jakub Berthoty.