to, čo tento článok však popisuje, je veľmi smutné ... k tomu, aby som načrtol prečo, malý exkurz do histórie:
Facebook začal ako nástupca "Facemashu" ako "nevinná" sieť na Harvarde dňa 4.2.2004. Facemash ako predchodca Facebooku začal dňa 28.10.2003 ako služba na hodnotenie fotografií študentov, ktoré však boli získané nabúraním sa do informačného systému univerzity.
Facebook per se bol ako služba tiež nápad, ktorý autor ukradol trom študentom, s ktorými preto v roku 2008 prehral súdny spor.
Mimochodom možno poznamenať, že tento článok je tiež približným prekladom tohto článku:
http://zakon.ru/Tools/DownloadFileRecord/57
Americký prístup k ochrane súkromia a osobných údajov je rovnako nekomentovateľný ako ten európsky. "Sektorálny" prístup totiž v skutočnosti znamená to, že softwaroví giganti ako Google si napíšu podmienky použitia služieb (bežne časť Privacy Policy), ktorá vyhovuje iba im (viď napr. štúdia Fernback, Papacharissi, 2007 - Online privacy as legal safeguard: the relationship among consumer, online portal, and privacy policies) a zo strany FTC a spol. existuje proti tejto mašinérii takmer nulová ochrana.
Ako píše známy profesor práv danah boyd (zámerne malé písmená, takto to on sám používa) vo svojom peknom článku Facebook's Privacy Trainwreck: Exposure, Invasion, and Social Convergence už v roku 2008 a následne v ďalšom článku s výstižným názvom Facebook privacy settings: Who cares? z roku 2010, takéto správanie "producentov" a ich vábidlom omámených "konzumentov" sa dá iba očakávať. Príslušné orgány EÚ sa však dlho tvárili, akoby sa ich to vôbec netýkalo, už nehovoriac o národných orgánoch, napriek tomu, že tento boom sociálnych sietí a iných služieb s masívnym spracúvaním osobných údajov sa týkal významne aj ľudí v EÚ (hlavne, že podľa už v rýchlo evolvujúcej informačnej spoločnosti snáď archaickej smernice č. 95/46/ES prevádzkovatelia dát musia upovedomiť príslušné regulačné orgány, pričom oni zodpovedajú za ochranu dát).
Dnes, keď v informačnej spoločnosti fungujú javy ako interdependencia, holizmus a komplexita, počítače používajú cloud computing či algoritmy swarm intelligence (viď tento zaujímavý článok: www.akademickyrepozitar.sk/sk/repozitar/od-industrialnej-k-informacnej-spoloc.pdf) nemožno neočakávať, že (citujem z reagovaného článku): "Facebook mu napokon poskytol súbor vo formáte pdf zahŕňajúci neuveriteľných 1224 strán informácií. Paradoxne, väčšinu týchto informácií Schrenk nevytvoril sám, ale boli o ňom zhromaždené Facebookom na základe inputov od iných užívateľov." Nachádzame sa v technologicky sprostredkovaných spoločenských vzťahoch (technologically mediated sociality, bližšie viď: http://userpages.umbc.edu/~zeynep/papers/ZeynepCanYouSeeMeNowBSTS.pdf) a počet takýchto prípadov bude narastať, pokiaľ bude existovať bezbreho konzumná spoločnosť (veď dopyt zbadal aj Zuckerberg so spomenutou službou Facemash - 22 tisíc návštev za 4 hodiny !) a pokiaľ nebude spoločnosť práve tá, ktorá ľudí vychová ...
... apropo, výchova ľudí ... keďže človek sa formuje celý život a podstatnou zložkou jeho výchovy je štátne a "súkromné" školstvo (štátne osnovy musia aj na súkromných školách byť rešpektované, iná je akurát aplikácia), sme už dávno v informačnom veku a reakcia štátnej vzdelávacej politiky žiadna. Kto neskúsené deti, vyrastajúce v technologicky sprostredkovanej spoločnosti, naučí rozlíšiť virtuálnu realitu od skutočného sveta (prvé lastovičky problémov sú už tu, viď tento článok van Manena z roku 2010: www.ncbi.nlm.nih.gov/pubmed/20335498). A čo až za pár rokov prídu do bežnej praxe fenomény ako augmented reality (viď tu: http://en.wikipedia.org/wiki/Augmented_reality) a pod., čo potom?
Viviane Reding a spol. majú veľmi archaický pohľad na to, ako funguje informačná spoločnosť, inak by nepúšťali do éteru takéto vyhlásenia: "Veríme, že spoločnosti poskytujúce služby spotrebiteľom v EÚ by mali byť tiež adresátmi únijných noriem v oblasti ochrany osobných údajov. V opačnom prípade by nemali byť oprávnené podnikať na vnútornom trhu EÚ. To platí aj pre sociálne siete s užívateľmi v EÚ." Vnímajúc rýchlosť informačnej evolúcie - zaspali dobu, a z pohľadu práva porušili vlastné právne normy, keď tento následok sa mal aplikovať na Facebook a spol. od samého začiatku ich pôsobenia v EÚ. Tie nové únijné normy sú z ríše sci-fi už len z toho pohľadu, že de facto nie je možné "vymazať všetky údaje z internetu" o niekom (preto právo na zabudnutie je slušne povedané - fikcia, skôr by som uvažoval o inom práve, o ktorom však je ticho ako pri všiach pod chrastou, a to o práve nebyť identifikovaný -> viď článok prof. Woo-a: nms.sagepub.com/content/8/6/949.full.pdf), možno jediný spôsob, ako ich presadiť, je drasticky obmedziť internet a zviazať ho kazajkou regulácie a kontroly (k čomu smeruje napr. ACTA a teda možno predpokladať, že toto má milá Viviane a spol. na mysli).
Skúste v priestore toku informácií, kde technik v ČR opravuje na serveri v Katare cez linky v Indii chybu na bankovom účte nemeckej banky, ktorý má založený brazílska spoločnosť, čiže v sieti neuveriteľnej globálnej previazanosti a zároveň postupnej implózie (štrukturálna premena) zabrániť tomu, aby v každom medzičlánku neunikli nejaké osobné údaje. Pre mňa čosi nepredstaviteľné, a už vôbec nie niekoľkými smernicami či nariadeniami EÚ. Namiesto toho, aby právo teda reflektovalo spoločenskú realitu a ponúkalo funkčnú a použiteľnú reguláciu ochrany osobných dát (napríklad tak, že umožníme užívateľom maskovanie v sieti - s čím je napr. smernica 2006/24/ES v priamom rozpore), sa tu konštruuje paródia na "Veľkého Brata", ktorý skrátka nedozrie na všetko ...
... no a potom príde "pán Zuckerberg" (predtým istý Gates a Jobs a tak dookola do histórie) a milé vedenie Harvardu sa nestačí čudovať, čo sa to v tej ich sieti zrazu odohráva. V SR je reakcia ešte viac za opicami, pretože všetci chcú študovať humanitné odbory, pričom nemajú vžité elementárne základy matematiky a fyziky (čo je v informačnom veku, kde určujúcimi činiteľmi sú informácie a práca s nimi, priam nevyhnutnosť) a ten, ktorý má regulovať spoločnosť, čiže štát, na to zvysoka (autocensored). Bavíme sa tu o počítačovej gramotnosti, čo je dnes asi dôležitejší činiteľ, ako vedieť písať a čítať (lebo píše za mňa klávesnica a číta program, ale používať počítač a uvažovať pri tom za mňa nikto nebude), avšak ani vysokoškolsky vzdelaní ľudia z "Generácie Facebook" o pár rokov nebudú vedieť, ako sa správať na sociálnej sieti (dnešní vysokoškoláci a alumni sú ešte tí, ktorí vyrastali akurát tak na mobiloch s volaním a sms).
Preto je veľmi smutné, keď až 22 sťažností musí byť podaných, aby príslušné európske orgány sa rozhýbali konať, a preto je smutné, ak si ešte eurobyrokracia neuvedomuje (ešte smutnejšie je, ak to zámerne ignoruje), že nemá na to regulovať ako "Big Brother" štruktúru ako je internet a že jej úlohou je najmä harmonizovať prostriedky self-defense pre užívateľov (ako napr. anonymizácia a neidentifikácia). Evolúcia života nás učí, že život si cestu nájde, a tak obdobne si súkromný biznis tiež cestu nájde, ako prekľučkovať cez komplikované regulácie EÚ (má na to peniaze a vplyv) ... evolúcia života nás však tiež učí, že reakcia vytvára protireakciu a preto na dosiahnutie optima je nevyhnutná rovováha týchto dvoch (čo je evolučná pointa). In concreto: dnes súkromie a ochrana jednotlivého užívateľa je v hlbokej defenzíve ... úlohou eurobyrokracie je preto dať mu široký priestor na protiofenzívu (čiže napr. vzdelávať ho, legalizovať mu nástroje na protiútok a nie vykonávať ju zaňho, to ako keby niekto za iného napr. kráčal).
Európa versus Facebook
Milan Suchý | 16. 02. 2012 | komentárov: 7
Aktuálna iniciatíva jedného 24-ročného rakúskeho študenta práva spôsobila, že svetový gigant v oblasti sociálnych sietí Facebook sa zaviazal zmeniť politiku poskytovaných služieb a vylepšiť ochranu dát pre milióny európskych užívateľov.
Prípad rakúskeho študenta Maxa Schrenka zahŕňa niekoľko významných dôsledkov pre európske právo na ochranu osobných údajov [1] (a právo EÚ vo všeobecnosti). Právo EÚ už dávno nie je akýsi umelý systém, ktorý si nezaslúži príliš veľa pozornosti od nadnárodných obchodných spoločností resp. jednotlivcov. Naopak, musí byť vnímané ako integrálna súčasť vnútroštátnych právnych poriadkov členských štátov schopná zakladať práva priamo jednotlivcom a de facto majúca prednosť pred národnými úpravami. Navyše úroveň ochrany osobných údajov v EÚ je skutočné rozsiahla a tiež oveľa striktnejšia ako je tomu v mimoeurópskych krajinách, najmä v USA. Nadnárodné spoločnosti sa jednoducho budú musieť vyrovnať s tým, že svoje stratégie musia nevyhnutne prispôsobovať pre európskych spotrebiteľov.
Avšak mnohí právni experti pre oblasť ochrany osobných údajov sú toho názoru, že únijná legislatíva je príliš ťažkopádna a nespĺňa trendy globalizácie. Pritom nie je ani efektívnejšia ako tá americká – ovplyvnená liberálnou doktrínou laissez-faire v ekonomike.
Americký prístup k ochrane osobných údajov sa označuje ako sektorálny a spočíva v kombinácii samoregulácie a legislatívnej regulácie. Americká právna úprava zabezpečuje ochranu osobných údajov prostredníctvom zákonov prijímaných ad hoc, teda v prípade potreby. Naopak, prístup Európskej únie sa označuje ako komplexný a jeho právnym základom je smernica 95/46 [2] upravujúca základné inštitúty ochrany osobných údajov pre celú Úniu. Základným konceptom je pritom vnímanie ochrany osobných údajov ako jedného zo základných práv. [3] Tieto odlišnosti výstižne zhodnotil expert na ochranu súkromia Joel R. Reidenberg keď povedal, že „prvým obrancom v prípade porušenia súkromia v Európe je štát. Náš inštinkt v Spojených štátoch je iný, liberálnejší – necháme súkromných aktérov, nech sa zažalujú sami“.
Prirodzene, európsky prístup k ochrane osobných údajov je do značnej miery výsledkom turbulentného historického vývoja, ktorý svedčí o viacerých tragických prípadoch zneužitia osobných údajov. Napríklad zneužitie cirkevných záznamov nacistami na zhromažďovanie a posielanie Židov do koncentračných táborov. Podobne boli osobné údaje zneužívané aj počas komunistických režimov v krajinách strednej východnej Európy. Tak či onak, rozdiel v prístupoch je zreteľný – u Európanov badať zreteľný strach z korporácií, Američania sú zase omnoho citlivejší na vládne zásahy do súkromia. Len na ilustráciu – v Holandsku je odpočúvanie 135 krát bežnejšie ako v USA. Iniciatíva rakúskych študentov práva Europe versus Facebook [4] je aktuálnou ukážkou toho, ako liberálny prístup Facebooku k ochrane osobných údajov narazil na tvrdú reguláciu Únie.
Žijeme vo svete, kde sú dve veci dôležitejšie ako čokoľvek iné – informácie a kontakty. Existuje však jedna myšlienka, ktorá obe veci geniálne spojila – Facebook. Facebook už v minulosti viackrát ukázal, že nepredstavuje iba prechodný módny trend. David Kirkpatrick vo svojej knihe The Facebook Effect tvrdí, že Facebook mení jednotlivca na autoritu. Facebook už skutočne predviedol, že môže byť nástrojom obrovskej sily – dokázal mobilizovať tisíce (milióny) ľudí, aby sa vzopreli diktátorským režimom v Kolumbii, Egypte či Iráne a spoločne bojovali za idey demokracie a slobody. Rovnako politici či podnikatelia využívajú jeho potenciál pre svoje aktivity. No Kirkpatrick sa tiež pýta – čo si máme v skutočnosti myslieť o tejto novodobej forme komunikácie používanej miliónmi užívateľov, ktorá je riadená jedinou spoločnosťou? Naozaj chceme riskovať zverenie takého množstva svojich osobných údajov jednej komerčnej entite?
Tieto otázky provokovali aj Maxa Schrenka, zakladateľa iniciatívy Europe versus Facebook. Jej hlavným cieľom je zvýšenie transparentnosti Facebooku pri spracovávaní osobných údajov (nielen) európskych užívateľov. Tu sú niektoré príklady, ktoré uvádza Schrenkova iniciatíva ako prípady porušenia smernice na ochranu osobných údajov:
Označovanie (Tags)
Označovanie prebieha bez akéhokoľvek predchádzajúceho súhlasu užívateľa. Práve naopak, užívateľ musí sám seba „odznačiť“. Navyše označenia odstránené používateľom sú iba deaktivované a uchovávané v databáze Facebooku.
Správy (Messages)
Správy (vrátane chatových správ) sú uchovávané Facebookom aj po ich vymazaní používateľom. To znamená, že používateľ ich nemôže nikdy skutočne vymazať.
Tlačidlo „Páči sa mi to“
Toto tlačidlo vytvára nadmerné informácie o užívateľovi, na základe ktorých ho možno sledovať po celom internete. Pritom neexistuje žiadny legitímny základ na tvorbu týchto údajov.
Nadmerné spracovávanie osobných údajov
Facebook spracováva enormné množstvo osobných údajov. V skutočnosti sú tieto používané na jeho vlastné komerčné účely.
Bezpečnosť osobných údajov
Facebook vo svojich podmienkach uvádza, že negarantuje žiadnu bezpečnosť osobných údajov.
Som si istý, že každý vie, čo je to Facebook. Avšak len málo ľudí vie, kde je jeho skutočné sídlo. Väčšina ľudí považuje Facebook za americkú spoločnosť, pravdou však je, že jeho medzinárodná centrála sa nachádza v Dubline (pravdepodobne z daňových dôvodov). Preto spoločnosť Facebook Ireland Limited podlieha dozornej právomoci írskeho úradu na ochranu osobných údajov. Každý členský štát má totiž v súlade so smernicou 95/46 a judikatúrou Súdneho dvora povinnosť zabezpečiť, aby na jeho území vykonávala dozor nad ochranou osobných údajov „národná autorita,“ ktorá musí mať úplne nezávislé postavenie. Uvedená smernica tiež stanovuje, že tieto národné autority musia byť vybavené efektívnymi vyšetrovacími a intervenčnými právomocami, aby garantovali ochranu v prípade porušenia práv v oblasti ochrany osobných údajov.
Avšak iniciatíva Europe vs Facebook zvolila špecifickú stratégiu, keď namiesto podania žaloby proti Facebooku poslala 22 individuálnych sťažností írskemu úradu na ochranu osobných údajov [5]. Táto taktika sa v danom prípade osvedčila ako vhodný nástroj na efektívne presadzovania práv, ktoré jednotlivcovi vyplývajú z európskej legislatívy, keďže na rozdiel od žaloby, bolo v tomto prípade hlavné bremeno aktivity prenesené na írsku agentúru na ochranu osobných údajov. Taktiež „európsky rozmer“ urobil celú kauzu omnoho silnejšou. Írsky úrad následne začal vykonávať trojmesačný audit v spoločnosti Facebook, ktorý mohol potenciálne vyústiť do uloženia peňažnej sankcie súdom až do výšky 100 0000 €.
A ako vlastne Schrenkova iniciatíva začala? Max Schrenk uplatnil voči Facebooku právo na prístup k svojím osobným údajom, ktoré plynie každému zo smernice 95/46 voči kontrolórovi osobných údajov. Tak sa dopracoval ku všetkým údajom, ktoré o ňom zhromaždil Facebook od roku 2008. Facebook mu napokon poskytol súbor vo formáte pdf zahŕňajúci neuveriteľných 1224 strán informácií. Paradoxne, väčšinu týchto informácií Schrenk nevytvoril sám, ale boli o ňom zhromaždené Facebookom na základe inputov od iných užívateľov. Tiež zistil, že Facebook o ňom zhromažďuje také údaje, ktoré už predtým sám vymazal, čo je v rozpore s tzv. „právom byť zabudnutý“ [6]. Toto právo umožňuje európskym užívateľom žiadať vymazanie svojich osobných údajov z internetových serverov.
Nakoniec sa Facebooku podarilo vyhnúť pokutám hroziacim na základe výsledkov auditu írskeho úradu na ochranu osobných údajov. Podľa vyhlásenia Geryho Davisa, hlavného kontrolóra vykonávajúceho audit, však išlo o najprecíznejší audit aký kedy írsky úrad vykonal. Hoci Facebook napokon nebol sankcionovaný, spoločnosť prisľúbila vykonať v najbližších šiestich mesiacoch rozsiahle zmeny v užívateľských nastaveniach súkromia rovnako ako v oblasti používania osobných údajov pre svoje komerčné aktivity. Domnievam sa, že takéto zmeny prinesú omnoho viac pozitív pre európskych užívateľov než by priniesla jednorázová pokuta v Írsku.
Schrenkova iniciatíva voči Facebooku však nie je jedinou v EÚ. Podľa Úradu na ochranu osobných údajov štátu Hamburg porušil Facebook únijné normy na ochranu osobných údajov uvedením softvéru na rozpoznávanie tvárí [7], ktorý zbiera biometrické údaje osôb bez ich predchádzajúceho súhlasu. Úrad skonštatoval, že „Facebook uviedol v Európe tento softvér do prevádzky bez informovania užívateľov a získania ich predchádzajúceho súhlasu. Súhlas dotknutých osôb pritom vyžaduje tak právo EÚ ako aj nemecké právo pre oblasť ochrany osobných údajov.“
V týchto súvislostiach je potrebné spomenúť kľúčový fakt a síce, že osobné údaje môžu byť podľa práva EÚ zhromažďované a spracované iba po splnení podmienok ustanovených v článku 7 smernice 95/46. Jednou zo základných podmienok je jasný súhlas údajového subjektu daný vopred. V prípade funkcie rozpoznávania tvárí je však zjavné, že tieto podmienky nie sú dodržiavané, keďže biometrické údaje sú už zhromaždené a súhlas dáva subjekt až retrospektívne. V každom prípade má nemecký úrad obmedzenú akcieschopnosť, nakoľko Facebook nemá v Nemecku umiestnené žiadne servery.
To sa však má zmeniť už v priebehu tohto roka. Viviane Reding, európska komisárka pre spravodlivosť plánuje revíziu zastaranej smernice 95/46 na ochranu osobných údajov tak, aby korešpondovala s vývojom v oblasti informačných technológií. Nová právna úprava má zabezpečiť pôsobnosť práva EÚ voči každej spoločnosti pracujúcej s osobnými údajmi a podnikajúcej na území EÚ bez ohľadu na to, či má sídlo na území niektorého z členských štátov. Viviane Reding vo svojom vyhlásení uviedla: „Veríme, že spoločnosti poskytujúce služby spotrebiteľom v EÚ by mali byť tiež adresátmi únijných noriem v oblasti ochrany osobných údajov. V opačnom prípade by nemali byť oprávnené podnikať na vnútornom trhu EÚ. To platí aj pre sociálne siete s užívateľmi v EÚ.“ Hoci vo svojom vyjadrení nespomenula „veľkých hráčov“ ako Facebook či Google, nová legislatíva ich nepochybne tvrdo zasiahne. Nové zmeny by mali byť premietnuté do sekundárneho práva EÚ v januári.
Možno súčasná podoba nastavení súkromia na Facebooku neporušila konkrétne povinnosti vyplývajúce z práva EÚ v oblasti ochrany osobných údajov. To ale neznamená, že nie je v rozpore s jeho základnými princípmi, ktorými sú transparentnosť, primeranosť a legitímny účel spracovania osobných údajov. Facebook totiž namiesto toho, aby užívateľom poskytoval možnosť zvoliť si určité nastavenie súkromia („opt in“), poskytuje iba možnosť jeho následnej zmeny („opt out“). Navyše väčšina užívateľov považuje nastavenia súkromia na Facebooku za zložité a mätúce. Samozrejme, v konečnom dôsledku to nie je Facebook, kto nás označuje na fotografiách – robia tak naši priatelia. Na druhej strane, Facebook nám ani neponecháva právo dať im na to súhlas. Namiesto toho sa musíme sami „odznačiť“ tam, kde nás označili naši priatelia.
Mark Zuckerberg verí, že ak sme (na Facebooku) viac viditeľní, staneme sa postupne lepšími ľuďmi. Zuckerberg bol a je od začiatku presvedčený, že každý užívateľ môže mať na Facebooku iba jednu identitu, čo povedie k tomu, že bude musieť niesť dôsledky za svoje konanie v tejto virtuálnej realite. Áno, dnes je pravdepodobne omnoho zložitejšie podvádzať priateľa/priateľku na párty, kde vaši priatelia mávajú fotoaparátmi. Ale čo spoločnosť, ktorá preveruje potenciálnych kandidátov na svoje pozície tým, že si prezerá ich facebook-profily? Chceme naozaj skončiť ako obyvatelia malej dediny, kde vie každý o každom všetko? Transparentnosť je nepochybne veľmi dôležitá - vzťahy medzi ľuďmi a inštitúciami pracujúcimi s ich osobnými údajmi by mali byť založené na vzájomnej dôvere. História nám však ukazuje príliš veľa príkladov, kedy tento koncept jednoducho zlyhal. Preto musí byť súkromie vnímané ako oblasť vyžadujúca plnú pozornosť zákonodarcu. Ak totiž dôjde k narušeniu dôvery zo strany jednotlivca, ten musí disponovať efektívnymi nástrojmi na ochranu svojho základného práva.
[1] Ustálený je anglický termín „European data protection law“
[2] Smernica Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov.
[3] Právo na ochranu osobných údajov je zakotvené aj v Charte základných práv Európskej únie (v článku 8).
[4] http://europe-v-facebook.org
[5] V obchodných podmienkach Facebooku sa v kapitole 18 uvádza: Ak máš bydlisko alebo miesto podnikania v USA alebo Kanada, tieto podmienky sú dohodou medzi tebou a Facebook, Inc. Vo všetkých ostatných prípadoch ide o dohodu medzi tebou a Facebook Ireland Limited.
[6] Right to be forgotten
[7] Facial recognition software
Avšak mnohí právni experti pre oblasť ochrany osobných údajov sú toho názoru, že únijná legislatíva je príliš ťažkopádna a nespĺňa trendy globalizácie. Pritom nie je ani efektívnejšia ako tá americká – ovplyvnená liberálnou doktrínou laissez-faire v ekonomike.
Americký prístup k ochrane osobných údajov sa označuje ako sektorálny a spočíva v kombinácii samoregulácie a legislatívnej regulácie. Americká právna úprava zabezpečuje ochranu osobných údajov prostredníctvom zákonov prijímaných ad hoc, teda v prípade potreby. Naopak, prístup Európskej únie sa označuje ako komplexný a jeho právnym základom je smernica 95/46 [2] upravujúca základné inštitúty ochrany osobných údajov pre celú Úniu. Základným konceptom je pritom vnímanie ochrany osobných údajov ako jedného zo základných práv. [3] Tieto odlišnosti výstižne zhodnotil expert na ochranu súkromia Joel R. Reidenberg keď povedal, že „prvým obrancom v prípade porušenia súkromia v Európe je štát. Náš inštinkt v Spojených štátoch je iný, liberálnejší – necháme súkromných aktérov, nech sa zažalujú sami“.
Prirodzene, európsky prístup k ochrane osobných údajov je do značnej miery výsledkom turbulentného historického vývoja, ktorý svedčí o viacerých tragických prípadoch zneužitia osobných údajov. Napríklad zneužitie cirkevných záznamov nacistami na zhromažďovanie a posielanie Židov do koncentračných táborov. Podobne boli osobné údaje zneužívané aj počas komunistických režimov v krajinách strednej východnej Európy. Tak či onak, rozdiel v prístupoch je zreteľný – u Európanov badať zreteľný strach z korporácií, Američania sú zase omnoho citlivejší na vládne zásahy do súkromia. Len na ilustráciu – v Holandsku je odpočúvanie 135 krát bežnejšie ako v USA. Iniciatíva rakúskych študentov práva Europe versus Facebook [4] je aktuálnou ukážkou toho, ako liberálny prístup Facebooku k ochrane osobných údajov narazil na tvrdú reguláciu Únie.
Žijeme vo svete, kde sú dve veci dôležitejšie ako čokoľvek iné – informácie a kontakty. Existuje však jedna myšlienka, ktorá obe veci geniálne spojila – Facebook. Facebook už v minulosti viackrát ukázal, že nepredstavuje iba prechodný módny trend. David Kirkpatrick vo svojej knihe The Facebook Effect tvrdí, že Facebook mení jednotlivca na autoritu. Facebook už skutočne predviedol, že môže byť nástrojom obrovskej sily – dokázal mobilizovať tisíce (milióny) ľudí, aby sa vzopreli diktátorským režimom v Kolumbii, Egypte či Iráne a spoločne bojovali za idey demokracie a slobody. Rovnako politici či podnikatelia využívajú jeho potenciál pre svoje aktivity. No Kirkpatrick sa tiež pýta – čo si máme v skutočnosti myslieť o tejto novodobej forme komunikácie používanej miliónmi užívateľov, ktorá je riadená jedinou spoločnosťou? Naozaj chceme riskovať zverenie takého množstva svojich osobných údajov jednej komerčnej entite?
Tieto otázky provokovali aj Maxa Schrenka, zakladateľa iniciatívy Europe versus Facebook. Jej hlavným cieľom je zvýšenie transparentnosti Facebooku pri spracovávaní osobných údajov (nielen) európskych užívateľov. Tu sú niektoré príklady, ktoré uvádza Schrenkova iniciatíva ako prípady porušenia smernice na ochranu osobných údajov:
Označovanie (Tags)
Označovanie prebieha bez akéhokoľvek predchádzajúceho súhlasu užívateľa. Práve naopak, užívateľ musí sám seba „odznačiť“. Navyše označenia odstránené používateľom sú iba deaktivované a uchovávané v databáze Facebooku.
Správy (Messages)
Správy (vrátane chatových správ) sú uchovávané Facebookom aj po ich vymazaní používateľom. To znamená, že používateľ ich nemôže nikdy skutočne vymazať.
Tlačidlo „Páči sa mi to“
Toto tlačidlo vytvára nadmerné informácie o užívateľovi, na základe ktorých ho možno sledovať po celom internete. Pritom neexistuje žiadny legitímny základ na tvorbu týchto údajov.
Nadmerné spracovávanie osobných údajov
Facebook spracováva enormné množstvo osobných údajov. V skutočnosti sú tieto používané na jeho vlastné komerčné účely.
Bezpečnosť osobných údajov
Facebook vo svojich podmienkach uvádza, že negarantuje žiadnu bezpečnosť osobných údajov.
Som si istý, že každý vie, čo je to Facebook. Avšak len málo ľudí vie, kde je jeho skutočné sídlo. Väčšina ľudí považuje Facebook za americkú spoločnosť, pravdou však je, že jeho medzinárodná centrála sa nachádza v Dubline (pravdepodobne z daňových dôvodov). Preto spoločnosť Facebook Ireland Limited podlieha dozornej právomoci írskeho úradu na ochranu osobných údajov. Každý členský štát má totiž v súlade so smernicou 95/46 a judikatúrou Súdneho dvora povinnosť zabezpečiť, aby na jeho území vykonávala dozor nad ochranou osobných údajov „národná autorita,“ ktorá musí mať úplne nezávislé postavenie. Uvedená smernica tiež stanovuje, že tieto národné autority musia byť vybavené efektívnymi vyšetrovacími a intervenčnými právomocami, aby garantovali ochranu v prípade porušenia práv v oblasti ochrany osobných údajov.
Avšak iniciatíva Europe vs Facebook zvolila špecifickú stratégiu, keď namiesto podania žaloby proti Facebooku poslala 22 individuálnych sťažností írskemu úradu na ochranu osobných údajov [5]. Táto taktika sa v danom prípade osvedčila ako vhodný nástroj na efektívne presadzovania práv, ktoré jednotlivcovi vyplývajú z európskej legislatívy, keďže na rozdiel od žaloby, bolo v tomto prípade hlavné bremeno aktivity prenesené na írsku agentúru na ochranu osobných údajov. Taktiež „európsky rozmer“ urobil celú kauzu omnoho silnejšou. Írsky úrad následne začal vykonávať trojmesačný audit v spoločnosti Facebook, ktorý mohol potenciálne vyústiť do uloženia peňažnej sankcie súdom až do výšky 100 0000 €.
A ako vlastne Schrenkova iniciatíva začala? Max Schrenk uplatnil voči Facebooku právo na prístup k svojím osobným údajom, ktoré plynie každému zo smernice 95/46 voči kontrolórovi osobných údajov. Tak sa dopracoval ku všetkým údajom, ktoré o ňom zhromaždil Facebook od roku 2008. Facebook mu napokon poskytol súbor vo formáte pdf zahŕňajúci neuveriteľných 1224 strán informácií. Paradoxne, väčšinu týchto informácií Schrenk nevytvoril sám, ale boli o ňom zhromaždené Facebookom na základe inputov od iných užívateľov. Tiež zistil, že Facebook o ňom zhromažďuje také údaje, ktoré už predtým sám vymazal, čo je v rozpore s tzv. „právom byť zabudnutý“ [6]. Toto právo umožňuje európskym užívateľom žiadať vymazanie svojich osobných údajov z internetových serverov.
Nakoniec sa Facebooku podarilo vyhnúť pokutám hroziacim na základe výsledkov auditu írskeho úradu na ochranu osobných údajov. Podľa vyhlásenia Geryho Davisa, hlavného kontrolóra vykonávajúceho audit, však išlo o najprecíznejší audit aký kedy írsky úrad vykonal. Hoci Facebook napokon nebol sankcionovaný, spoločnosť prisľúbila vykonať v najbližších šiestich mesiacoch rozsiahle zmeny v užívateľských nastaveniach súkromia rovnako ako v oblasti používania osobných údajov pre svoje komerčné aktivity. Domnievam sa, že takéto zmeny prinesú omnoho viac pozitív pre európskych užívateľov než by priniesla jednorázová pokuta v Írsku.
Schrenkova iniciatíva voči Facebooku však nie je jedinou v EÚ. Podľa Úradu na ochranu osobných údajov štátu Hamburg porušil Facebook únijné normy na ochranu osobných údajov uvedením softvéru na rozpoznávanie tvárí [7], ktorý zbiera biometrické údaje osôb bez ich predchádzajúceho súhlasu. Úrad skonštatoval, že „Facebook uviedol v Európe tento softvér do prevádzky bez informovania užívateľov a získania ich predchádzajúceho súhlasu. Súhlas dotknutých osôb pritom vyžaduje tak právo EÚ ako aj nemecké právo pre oblasť ochrany osobných údajov.“
V týchto súvislostiach je potrebné spomenúť kľúčový fakt a síce, že osobné údaje môžu byť podľa práva EÚ zhromažďované a spracované iba po splnení podmienok ustanovených v článku 7 smernice 95/46. Jednou zo základných podmienok je jasný súhlas údajového subjektu daný vopred. V prípade funkcie rozpoznávania tvárí je však zjavné, že tieto podmienky nie sú dodržiavané, keďže biometrické údaje sú už zhromaždené a súhlas dáva subjekt až retrospektívne. V každom prípade má nemecký úrad obmedzenú akcieschopnosť, nakoľko Facebook nemá v Nemecku umiestnené žiadne servery.
To sa však má zmeniť už v priebehu tohto roka. Viviane Reding, európska komisárka pre spravodlivosť plánuje revíziu zastaranej smernice 95/46 na ochranu osobných údajov tak, aby korešpondovala s vývojom v oblasti informačných technológií. Nová právna úprava má zabezpečiť pôsobnosť práva EÚ voči každej spoločnosti pracujúcej s osobnými údajmi a podnikajúcej na území EÚ bez ohľadu na to, či má sídlo na území niektorého z členských štátov. Viviane Reding vo svojom vyhlásení uviedla: „Veríme, že spoločnosti poskytujúce služby spotrebiteľom v EÚ by mali byť tiež adresátmi únijných noriem v oblasti ochrany osobných údajov. V opačnom prípade by nemali byť oprávnené podnikať na vnútornom trhu EÚ. To platí aj pre sociálne siete s užívateľmi v EÚ.“ Hoci vo svojom vyjadrení nespomenula „veľkých hráčov“ ako Facebook či Google, nová legislatíva ich nepochybne tvrdo zasiahne. Nové zmeny by mali byť premietnuté do sekundárneho práva EÚ v januári.
Možno súčasná podoba nastavení súkromia na Facebooku neporušila konkrétne povinnosti vyplývajúce z práva EÚ v oblasti ochrany osobných údajov. To ale neznamená, že nie je v rozpore s jeho základnými princípmi, ktorými sú transparentnosť, primeranosť a legitímny účel spracovania osobných údajov. Facebook totiž namiesto toho, aby užívateľom poskytoval možnosť zvoliť si určité nastavenie súkromia („opt in“), poskytuje iba možnosť jeho následnej zmeny („opt out“). Navyše väčšina užívateľov považuje nastavenia súkromia na Facebooku za zložité a mätúce. Samozrejme, v konečnom dôsledku to nie je Facebook, kto nás označuje na fotografiách – robia tak naši priatelia. Na druhej strane, Facebook nám ani neponecháva právo dať im na to súhlas. Namiesto toho sa musíme sami „odznačiť“ tam, kde nás označili naši priatelia.
Mark Zuckerberg verí, že ak sme (na Facebooku) viac viditeľní, staneme sa postupne lepšími ľuďmi. Zuckerberg bol a je od začiatku presvedčený, že každý užívateľ môže mať na Facebooku iba jednu identitu, čo povedie k tomu, že bude musieť niesť dôsledky za svoje konanie v tejto virtuálnej realite. Áno, dnes je pravdepodobne omnoho zložitejšie podvádzať priateľa/priateľku na párty, kde vaši priatelia mávajú fotoaparátmi. Ale čo spoločnosť, ktorá preveruje potenciálnych kandidátov na svoje pozície tým, že si prezerá ich facebook-profily? Chceme naozaj skončiť ako obyvatelia malej dediny, kde vie každý o každom všetko? Transparentnosť je nepochybne veľmi dôležitá - vzťahy medzi ľuďmi a inštitúciami pracujúcimi s ich osobnými údajmi by mali byť založené na vzájomnej dôvere. História nám však ukazuje príliš veľa príkladov, kedy tento koncept jednoducho zlyhal. Preto musí byť súkromie vnímané ako oblasť vyžadujúca plnú pozornosť zákonodarcu. Ak totiž dôjde k narušeniu dôvery zo strany jednotlivca, ten musí disponovať efektívnymi nástrojmi na ochranu svojho základného práva.
[1] Ustálený je anglický termín „European data protection law“
[2] Smernica Európskeho parlamentu a Rady 95/46/EHS z 24. októbra 1995 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov.
[3] Právo na ochranu osobných údajov je zakotvené aj v Charte základných práv Európskej únie (v článku 8).
[4] http://europe-v-facebook.org
[5] V obchodných podmienkach Facebooku sa v kapitole 18 uvádza: Ak máš bydlisko alebo miesto podnikania v USA alebo Kanada, tieto podmienky sú dohodou medzi tebou a Facebook, Inc. Vo všetkých ostatných prípadoch ide o dohodu medzi tebou a Facebook Ireland Limited.
[6] Right to be forgotten
[7] Facial recognition software
Súvisiace články
„Principiálny“ problém práva EÚSlovenským notárom už nemusí byť len SlovákE-justícia Prípad PADAWANVLK pred Súdnym dvorom EÚ Články autora
„Principiálny“ problém práva EÚ
Ondrej Pivarči | 16. 02. 2012 17:52:52
// Reagovať
zaujímavé
Michal Novotný | 17. 02. 2012 10:51:39
// Reagovať
Nič
k téme, lebo o nej ani nič neviem. Ale že autor preloží cudzí článok a ani na to neupozorní, to je podľa mňa trochu silné kafe... navyše na serveri, ktorý chce byť (a aj je) serióznym fórom.
Milan Suchý | 17. 02. 2012 11:23:58
// Reagovať
Naozaj neviem prečo píšete, že som preložil cudzí článok. Tento článok je kratšou - slovenskou verziou môjho vlastného článku (link je uvedený v prvom komentári), ktorý vznikol na účely jednej konferencie v Petrohrade. Slovenskú verziu som umiestnil na toto fórum, lebo ma zaujímajú názory na fungovanie európskej legislatívy v oblasti ochrany osobných údajov vo vzťahu k sociálnym sieťam.
Ondrej Pivarči | 17. 02. 2012 12:06:05
// Reagovať
je mi zrejmé
že linkovaný súbor sa volá "esej petrohrad koncept uzsi.pdf" a teda bolo jasné, že to písal Slovák, avšak neviem, prečo ste sem do záveru nedali odkaz na tú anglickú širšiu verziu, lebo v tomto článku chýba viacero podstatných vecí z jeho anglickej verzie, napr. aj pasáž o americkej obchodnej komisií (FTC), ktorá v origináli je a je dosť podstatná, nakoľko sa tam píše aj o tom, že USA nemajú dostatočnú reguláciu, pričom FTC zriedka koná proti spoločnostiam. To dosť mení význam aj náhľad čitateľa na vec. Nie som fan takejto "autocenzúry" (zveličenie).
Inak, toto rozhodnutie ESD zo včerajšieho dňa je veľmi zaujímavé: (http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:62010CJ0360:CS:HTML), nakoľko v dôsledkoch tvrdí presný opak, než si myslia "autori" tzv. práva na zabudnutie, ktorí ho mienia zakomponovať do európskych smerníc (konkrétne zase Viviane a spol., teda EK), a ešte systémom "opt-out" (viď napr. článok tu: http://veda-a-technika.noviny.sk/veda-a-technika-clanky/26-01-2012/europa-bojuje-proti-pocitacovym-piratom-pravom-byt-zabudnuty.html), namiesto férovejšieho opt-in (ja chcem data, ty službu, tak sa dohodnime). ESD na báze už 12 ! rokov existujúcej smernice o el. obchode rozhodol, že žiadny teror (za vlastné náklady, pre cudzieho záujmy atď.) v mene autorského práva sa konať nebude.
Ostatné k rozhodnutiu viď môj dnešný príspevok k prípadu PADAWAN.
Inak, toto rozhodnutie ESD zo včerajšieho dňa je veľmi zaujímavé: (http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:62010CJ0360:CS:HTML), nakoľko v dôsledkoch tvrdí presný opak, než si myslia "autori" tzv. práva na zabudnutie, ktorí ho mienia zakomponovať do európskych smerníc (konkrétne zase Viviane a spol., teda EK), a ešte systémom "opt-out" (viď napr. článok tu: http://veda-a-technika.noviny.sk/veda-a-technika-clanky/26-01-2012/europa-bojuje-proti-pocitacovym-piratom-pravom-byt-zabudnuty.html), namiesto férovejšieho opt-in (ja chcem data, ty službu, tak sa dohodnime). ESD na báze už 12 ! rokov existujúcej smernice o el. obchode rozhodol, že žiadny teror (za vlastné náklady, pre cudzieho záujmy atď.) v mene autorského práva sa konať nebude.
Ostatné k rozhodnutiu viď môj dnešný príspevok k prípadu PADAWAN.
Michal Novotný | 17. 02. 2012 15:04:46
// Reagovať
Pardon
nevšimol som si, že ten článok je tiež Váš. Ospravedlňujem sa... dnes mám trochu komplikovaný deň. Ešte raz pardon.
Milan Suchý | 17. 02. 2012 13:49:01
// Reagovať
Súhlasím s tým, že súčasný stav extrémnej mobility informácií na internete vedie k tomu, že ochrana osobných údajov jednotlivca je fakticky zatláčaná do úzadia. Súhlasím aj s tým, že je v tejto oblasti potrebná riadna osveta užívateľov (čo by mohla Únia aj viac podporovať). Dôkazom je aj samotný fakt, že iba naozaj mizivé percento užívateľov Facebooku si upravuje nastavenia svojho súkromia. To však nič nemení na fakte, že Facebook svojimi „opt-out“ nastaveniami koná v rozpore s princípmi ochrany osobných údajov v EÚ, na čo je potrebné poukázať...Inak je pravdou, že nová legislatíva prichádza naozaj neskoro, veď staručká smernica z roku 1995 vôbec nedržala krok s aktuálnym vývojom, hoci sa uplatňoval jej široký výklad (viď predovšetkým rozsudok vo veci C 101/01)
Odhliadnuc od faktického stavu (existencia nadnárodných korporácií, ktoré spracúvajú a uchovávajú osobné údaje v obrovskom rozsahu) si aj tak myslím, že je lepšie mať určitý jednotný právny rámec pre ochranu osobných údajov ako len sporadickú právnu úpravu (USA). Taktiež možno skonštatovať, že legislatívne snahy EÚ v tejto oblasti, nech sú už hodnotené akokoľvek, sú v podstate výsledkom koncepcie vnútorného trhu EÚ.
Nesúhlasím však s tvrdením, že „je veľmi smutné, keď až 22 sťažností musí byť podaných, aby príslušné európske orgány sa rozhýbali konať.“ Jednak ako z textu vyplýva, sťažnosti boli adresované írskemu úradu na ochranu osobných údajov a jednak tento postup bol zvolený samotným sťažovateľom (Europe vs. Facebook) preto, aby získal lepší prehľad o tom, ako sa k jednotlivým problémom úrad pri audite postaví a aké následky bude vyvodzovať.
Taktiež aby sme úplne Facebooku nekrivdili. Nie je celkom pravda, že M. Zuckerberg „ukradol“ ideu na vytvorenie sociálnej siete od iných študentov Harvardu ako sa všeobecne uvádza, resp. ako aj vyznieva z filmu Social network. Stránka týchto študentov (Harward Connections) mala už pri svojom vzniku iný účel ako Facebook (fungovala hlavne ako invitation website). Navyše už pred vznikom samotného Facebooku existovali úspešné projekty sociálnych sietí (napr. MySpace). Teda Facebook sa stal úspešným predovšetkým vďaka množstvu inovácií, ktorých autorom je M. Zuckerberg – napr. to, že Facebook funguje ako platforma pre tisíce aplikácií.
Navyše Facebook v poslednej dobe aj na Slovensku zohral veľmi pozitívnu rolu pri boji o transparentnosť našej politiky, ale to už nie je predmetom článku.
Odhliadnuc od faktického stavu (existencia nadnárodných korporácií, ktoré spracúvajú a uchovávajú osobné údaje v obrovskom rozsahu) si aj tak myslím, že je lepšie mať určitý jednotný právny rámec pre ochranu osobných údajov ako len sporadickú právnu úpravu (USA). Taktiež možno skonštatovať, že legislatívne snahy EÚ v tejto oblasti, nech sú už hodnotené akokoľvek, sú v podstate výsledkom koncepcie vnútorného trhu EÚ.
Nesúhlasím však s tvrdením, že „je veľmi smutné, keď až 22 sťažností musí byť podaných, aby príslušné európske orgány sa rozhýbali konať.“ Jednak ako z textu vyplýva, sťažnosti boli adresované írskemu úradu na ochranu osobných údajov a jednak tento postup bol zvolený samotným sťažovateľom (Europe vs. Facebook) preto, aby získal lepší prehľad o tom, ako sa k jednotlivým problémom úrad pri audite postaví a aké následky bude vyvodzovať.
Taktiež aby sme úplne Facebooku nekrivdili. Nie je celkom pravda, že M. Zuckerberg „ukradol“ ideu na vytvorenie sociálnej siete od iných študentov Harvardu ako sa všeobecne uvádza, resp. ako aj vyznieva z filmu Social network. Stránka týchto študentov (Harward Connections) mala už pri svojom vzniku iný účel ako Facebook (fungovala hlavne ako invitation website). Navyše už pred vznikom samotného Facebooku existovali úspešné projekty sociálnych sietí (napr. MySpace). Teda Facebook sa stal úspešným predovšetkým vďaka množstvu inovácií, ktorých autorom je M. Zuckerberg – napr. to, že Facebook funguje ako platforma pre tisíce aplikácií.
Navyše Facebook v poslednej dobe aj na Slovensku zohral veľmi pozitívnu rolu pri boji o transparentnosť našej politiky, ale to už nie je predmetom článku.
Ondrej Pivarči | 17. 02. 2012 17:52:37
// Reagovať
ad Milan
Trvám na tom, že je veľmi smutné, keď až 22 sťažností musí byť podaných, aby sa príslušné európske orgány rozhýbali, nakoľko pointa tohto môjho tvrdenia vôbec nie je v tom, že či boli adresované írskemu úradu alebo priamo niektorému európskemu orgánu, ale v tom, že existuje smernica na ochranu osobných údajov a zároveň v priestore EÚ pôsobia subjekty, ktoré túto smernicu veselo porušujú a toto ich konanie nie je neznámou ojedinelou lokálnou raritou, ale rozsiahlou kontinuálnou a rozsiahlou činnosťou vo všetkých krajínách EÚ a žiadny orgán EÚ k tomu nič. Keď je napr. EK schopná si všímať nejakú maďarskú úpravu zákonov o centrálnej banke či nemecký telekomunikačný zákon, takéto porušenie smernice by si tým skôr mala všímať (že si členské štáty veselo hovejú a ich občania sú vystavení svojvoľnému agregovaniu ich dát).
Áno, aby som Facebooku a tomu pánovi špeciálne nekrivdil, tak možno povedať, že celú ideu sociálnych sietí ukradol a nielen od MySpace služby (existoval napr. Friendster, Orkut, Tribe.net, LinkedIn atď.), ktorá bola spustená v lete 2003, čiže mierne skôr, než Zuckerberg čokoľvek programoval, ale dokonca si "vypožičal" predpripravený kód od HarvardConnections (viď: http://en.wikipedia.org/wiki/Tyler_Winklevoss), za čo sa potom "vyrovnal" podielmi na Facebooku, ktorý sa stal hodnotným, až keď doňho masívne investoval P. Thiel (co-founder Paypalu), ktorého pozadie pre istotu tuná nebudem pitvať. Pripomína mi to silne patentové bitky s nie férovým pozadím.
To, že Facebook funguje ako platforma pre tisíce aplikácií, to je asi jediné, čo ho odlišuje technicky od iných sietí a čo má možno pôvodné, a aj to nebol celkom jeho nápad. Ale dobre, nebudem už do Facebooku vŕtať, zohral napr. pozitívnu rolu v tom, že na základe jeho popularity začalo mnoho užitočných diskusií.
Áno, aby som Facebooku a tomu pánovi špeciálne nekrivdil, tak možno povedať, že celú ideu sociálnych sietí ukradol a nielen od MySpace služby (existoval napr. Friendster, Orkut, Tribe.net, LinkedIn atď.), ktorá bola spustená v lete 2003, čiže mierne skôr, než Zuckerberg čokoľvek programoval, ale dokonca si "vypožičal" predpripravený kód od HarvardConnections (viď: http://en.wikipedia.org/wiki/Tyler_Winklevoss), za čo sa potom "vyrovnal" podielmi na Facebooku, ktorý sa stal hodnotným, až keď doňho masívne investoval P. Thiel (co-founder Paypalu), ktorého pozadie pre istotu tuná nebudem pitvať. Pripomína mi to silne patentové bitky s nie férovým pozadím.
To, že Facebook funguje ako platforma pre tisíce aplikácií, to je asi jediné, čo ho odlišuje technicky od iných sietí a čo má možno pôvodné, a aj to nebol celkom jeho nápad. Ale dobre, nebudem už do Facebooku vŕtať, zohral napr. pozitívnu rolu v tom, že na základe jeho popularity začalo mnoho užitočných diskusií.
