Za sledovanie našich aktivít môžu súbory cookies a kódy na stránkach či v aplikáciách známe ako advertising ID (AID), ktoré zbierajú dáta o používateľovi a odosielajú ich firmám. Tie informácie agregujú a vytvárajú z nich výstupy, aby pomohli vývojárom a programátorom lepšie cieliť reklamy.
Regulácia sledovania užívateľov
Od roku 2002 reguluje v EÚ cookies a podobné skriptové technológie ePrivacy smernica Európskej Únie, ktorá podmieňuje ich marketingové využívanie súhlasom užívateľa.
Podľa advokáta a odborníka na ochranu osobných údajov však členské štáty túto legislatívu implementujú málo a zle. Na Slovensku máme aj napriek regulácii nulovú vymožiteľnosť týchto pravidiel.
„Osobne považujem za veľmi nešťastné, že ePrivacy nepatrí, rovnako ako GDPR, pod kompetenciu Úradu na ochranu osobných údajov SR, ale pod bývalý telekomunikačný úrad,“ konštatuje odborník na ochranu osobných údajov Jakub Berthoty z advokátskej kancelárie Dagital Legal. Pritom tento úrad sa podľa neho od vstupu Slovenska do EÚ k regulácii cookies, mobilným aplikáciám, SDK a marketingovej analytike „akosi ešte nestihol vyjadriť.“
Formálne teda máme reguláciu cookies aj na Slovensku, podľa expertov však implementovanú nesprávne. Zahraničné dozorné orgány reguláciu cookies začínajú chápať tak, že sa vzťahuje aj na skriptové technológie ako Software Developement kit (SDK). Advertising ID (AID) sú totiž ukladané aj pomocou technológie SDK, aj pomocou technológie cookies.
Vývojári sa od toho dištancujú
Nedostatočnú reguláciu využívajú okrem známych gigantov, ako napríklad Google, Facebook či Apple, aj samotní vývojári aplikácií. V prípade vývojárov ide ale často o nepochopenie komplexných podmienok spoločností Google či Facebook, ktoré hovoria o tom, kto je v akom postavení pri marketingovej analytike a personalizovanej reklame.
„Mnohí vývojári nerozumejú svojmu právnemu postaveniu a tvrdia, že si len objednávajú kampaň a že žiadne dáta nespracúvajú. Myslia si, že keď s dátami priamo nepracujú, nie sú za ne právne zodpovední oni a túto zodpovednosť preberajú agregátori dát,“ hovorí Jakub Berthoty.
„Primárna zodpovednosť za zabezpečenie súladu s ePrivacy legislatívou, a teda získaním súhlasu a informovaním, je však na vývojároch, ktorí sú v tomto postavení prevádzkovateľmi,“ upozorňuje.
Software Development Kit
Ak chce vývojár mobilnej aplikácie dostávať späť od Google či Facebook štatistiky, resp. merať úspešnosť kampaní, musí do kódu aplikácie implementovať Software Development Kit (SDK), čo je unikátny kód, ktorý umožní odosielanie presne špecifikovaných dát užívateľa do analytických nástrojov firiem.
Obdobne to platí aj o webstránkach, ktoré ukladajú AID na základe súborov cookies. Dátoví giganti množstvo prijímaných dát agregujú a vývojárom posielajú požadované a veľmi presné štatistiky, ktoré sa zobrazujú agregovane.
Naše odosielané dáta nie sú anonymné
Väčšina mobilných aplikácií dnes však neinformuje dostatočne transparentne o tom, aké dáta aplikácia spracúva a ktorým tretím stranám tieto dáta zasiela.
„Mnoho aplikácií totiž stále žije v mylnej predstave, že nespracúva žiadne osobné údaje, keďže vývojári za osobné údaje považujú prakticky len meno, priezvisko, bydlisko či rodné číslo, a unikátne online identifikátory sú pre nich anonymné dáta,“ vysvetľuje J. Berthoty
Nie sú to však anonymné dáta. Sú to najviac osobné dáta, aké existujú. „Stačí si len pozrieť, aké SDK a API (Application Programming Interface) majú aplikácie implementované, a zistíte skutočný rozsah zbieraných dát. To, že tieto dáta nemusia ísť priamo na server aplikácie, neznamená, že vývojár aplikácie nenesie za daný zber dát žiadnu zodpovednosť. Práve naopak, je primárne zodpovedný,“ dopĺňa.
Ochrana súkromia v online priestore nie je samozrejmosť
Kúsok kontroly do zberu dát z aplikácií sa v júni pokúsila zaviesť spoločnosť Apple, keď informovala, že súčasťou nového updatu iOS 14 bude aj povinný opt-in súhlas na používanie AID.
Drvivá väčšina aplikácií dnes totiž používa AID bez súhlasu používateľa zariadenia. Po novom by však používateľovi museli aplikácie automaticky ponúknuť možnosť, či chce odosielať svoje dáta, alebo nie. Je veľký predpoklad, že mnohí používatelia by s odosielaním svojich osobných údajov nesúhlasili, čím by prišlo k signifikantným skresleniam analytických výsledkov.
Facebook skritizoval Apple
Na prvý pohľad progresívne gesto Apple narazilo na ostrú kritiku Facebooku, ktorému by sa výrazne znížili výnosy z kampaní cielených na iOS zariadenia. Facebook dokonca pohrozil, že vypne možnosť cieliť na zariadenia od Apple úplne. Ozvali sa ale aj vývojári, ktorí pohrozili, že prestanú pre iOS vyvíjať aplikácie.
Pod silným náporom napokon Apple odložil zmenu na začiatok roka 2021, aby mali vývojári dostatok času na adaptáciu. „Napriek možnému skrytému komerčnému motívu môžeme krok spoločnosti Apple označiť za progresívny a dlho očakávaný,“ vraví Jakub Berthoty.
Dôležité bude, aby systémová možnosť iOS spĺňala prísne požiadavky GDPR na platne udelený súhlas. Na vývojároch aplikácií zostane, či budú dostatočne informovať pomocou privacy policy.
„Súhlas a privacy policy sú prepojené nádoby, a preto by sa vývojári aplikácii mali zamýšľať čoraz viac na tým, či sú v tomto smere dostatočne transparentní voči užívateľom,“ uzatvára.
Advokáti súkromia v technologickom veku
Dagital Legal je prvý právny butik na Slovensku výlučne zameraný na ochranu súkromia v súvislosti s technológiami. Autorom a realizátorom myšlienky takto špecializovanej advokátskej kancelárie je Jakub Berthoty.
Advokátska kancelária má vďaka hĺbkovým znalostiam, prvotriednym skúsenostiam a vlastnému know-how v portfóliu široké spektrum klientov od začínajúcich startupov až po etablované a regulované inštitúcie.
Juraj Vedej, CHAPTER 4 Slovakia s. r. o.
