Článek
Takzvané GDPR (General Data Protection Regulation) má asi nejvíce uživatelů spjato s otravnými okny vyskakující na každé webové stránce, domáhající se souhlasu s umožněním přístupu všemožných slídících prostředků, které mají různým subjektům předávat data o našem chování na dané webové stránce. Jako mnohokráte se ukázalo, že původní pozitivní smysl zákona (vyhlášky) může být zcela upozaděn, pokud je její technologická implementace provedena způsobem, který je pro občana (v tomto případě pro uživatele internetu) k zlosti, a pokud je dotyčnými úřady a osobami zcela rezignováno na protiprávní jednání, které je s jeho implementací spjaté. Obojí se týká, bohužel, i GDPR. Nutno podotknout, že obě věci jsou v gesci národních legislativ. V zemi, kde si bývalý premiér a žhavý kandidát na premiéra příštího, nechá psát a tisknout e-maily v Průhonicích pomocí instrukcí v jadrných smskách, vládní zmocněnec pro boj s digitální propagandou prohlásí, že neví, co jsou dezinformace, a zaměstnanci ICT ve státní správě berou stejně vysokou mzdu jako sekretářka, je však oblast práva v oblasti digitálních technologií ponechána zcela na pasivní, špatně implementované evropské legislativě. To pak vede k dalšímu nepochopení faktického záměru a následnému zneužívání populistů v podobě dalšího důkazu diktátu EU. A z pravé části politického spektra pak můžeme poslouchat nářek nad přeregulovaností (v mnoha jednotlivých případech určitě oprávněné) a nad bržděním technologického rozvoje. Za příklad pak bývají dávány USA, kde nic takového nemají. Pojďme se společně podívat, jak v některých případech, mezi které patří třeba GDPR, nic z toho není pravda, a jak USA již dlouho chystají svou vlastní verzi zákona na ochranu osobních údajů a vypadá to, že už s ní přijdou brzy.
GDPR
Pojďme si připomenou tři základní oblasti, které máme bohužel tendenci vnímat jako jednu, které je třeba při každé právní regulaci potřeba zkoumat.
1. Její záměr a účel
2. Její praktickou implementaci
3. Vymahatelnost jejího porušování
Účelem a záměrem GDPR je ochrana informací osobní povahy každého občana Evropské unie a zabránění svévolnému obchodování, sdílení a používání těchto údajů subjekty třetích stran, které k tomu od nás nedostaly explicitní povolení, které jasně definuje rozsah a způsob, jak s našimi osobními údaji bude nakládáno. A to včetně nároku na vymazání všech našich osobních údajů uložených u daného subjektu. Asi těžko bude někdo zpochybňovat tento záměr a přes všechny chyby a prohřešky, kterými se budeme zabývat dále v oblasti implementace a vymahatelnosti, za tuto ochranu můžeme být vděční. V nejhorším případě se naplnění její podstaty můžeme domáhat soudní cestou.
Praktická implementace. Ta je v oblasti GDPR hodně široká a my se dále budeme zabývat pouze tou, která byla zmíněna v úvodu. Tedy těmi otravnými formuláři. Než existovalo GDPR, náš souhlas či nesouhlas s nakládáním s našimi osobními informacemi, či informacemi o našem chování v síti www, bylo postavenou na tzv. OPT OUT modelu. Tj. vycházelo se z toho, že uživatel se slíděním souhlasí. Pokud se mu chtěl vyhnout, musel někde na stránkách vyhledat možnost sledování vypnout. Tato možnost však nebyla často vůbec implementována. OPT IN model, který se stal povinným právě po začátku účinnost GDPR, je přesně obrácený. Vychází z premisy, že uživatel o slídění a sběr svých behaviorálních dat a s jejich předáváním třetím stranám nesouhlasí. Musí tedy případně vyslovit jasný souhlas. Správně implementovaný formulář měl vypadat velmi jednoduše. Souhlasím, nesouhlasím. Konec. A pokud nesouhlasím, tak údaj o tom uložit a minimálně nějakou dobu se uživatele neptat. Uložit anonymní informace o nesouhlasu do cookies (malé soubory, které si prohlížeč ukládá na zařízení uživatele) možné je, stejně jako uložení údajů nutných pro chod stránky. Třeba jedinečného identifikátoru, který slouží k personalizaci stránek, nebo k uložení zboží do košíku. Tyto údaje totiž nemají osobní charakter a nejsou předávány třetím stranám – drží je pro své potřeby samotná stránka. Kdyby to vypadalo takto, asi by nám to nevadilo. A tím se dostáváme k vymahatelnosti.
Všechny ty formuláře s desítkami položek k zaškrtnutí a s pojmy jako, oprávněný zájem, nejsou ničím jiným, než tzv. designovými dark pattern prvky, které cílí proti vůli uživatele. Tedy snaží se mu vyslovení nesouhlasu natolik znepříjemnit, že nakonec rezignuje. Předzaškrtnutá políčka s tzv. oprávněným zájmem jdou pak přímo proti směrnici samotné, protože porušují OPT IN model (ve výchozím nastavením nesouhlasím). V naší zemi nemáme problém zavřít člověka na osm let do basy za to, že si vypěstoval na zahradě pár kytek konopí, ale postihovat nekalé praktiky, které si proti vůli milionů uživatelů internetu vynucují souhlas se špiclováním a obchodem s našimi behaviorálnimi daty, to bychom chtěli příliš.
Přes výše zmíněné nedostatky, jak bylo řečeno, právo stojí na straně uživatele. Co je zajímavé, že tento stav již neplatí pouze v Evropě, ale i v USA, kde žádnou podobnou legislativu nemají. Zatím.
USA
Ve spojených státech padl v dubnu tohoto roku rozsudek, po kterém musela společnost Google vymazat miliardy záznamů dat účastníků hromadné žaloby, kteří se domnívali, že byli společností klamáni, když používali tzv. incognito režim v prohlížeči Chrome a Google přesto jejich data sbíral. Na sporu je zajímavé, že společnost Google se tím netajila, měla to ve smluvních podmínkách. Nicméně soud dal přesto stěžovatelům za pravdu. Protože slovo incognito má svůj význam. Dále bylo společnosti uloženo, aby transparentněji informovala uživatele o zacházení s uživatelskými daty. 50 účastníků žaloby se ještě domáhá i finančního odškodnění. Jak známo, americký právní systém se opírá o tzv. precedenty, a i z toho důvodu je tento rozsudek vnímán v oblasti ochrany uživatelských dat jako přelomový.
Ještě zajímavější zlom se však odehrál na půdě amerického senátu. Senátorka Maria Cantwell již v roce 2000, kdy se začaly rodit zárodky toho, čemu dnes říkáme kapitalismus dohledu, prohlásila. „Co děláte na svém počítači by mělo být jen vaší záležitostí a nikoho dalšího.“ Skoro čtvrt století se Cantwell snažila o to, aby americký právní systém nějakým zásadním způsobem implementoval zákon na ochranu dat uživatelů internetu. Samotné její působení není bez kontroverzí, protože se ukázalo, že mnoho ze snah vlastně bojkotovala, když odmítala prosazovat jakoukoliv vizi odlišnou od té své. Dokonce byla nařknuta, že některé návrhy blokuje záměrně, protože je ve střetu zájmů (její technologická profesní minulost jí vynesla mnoho přátel v řadách šéfů big tech firem jako Microsoft, Amazon, T-mobile). Nicméně začátkem dubna došlo k průlomové dohodě Cantwellové se senátorkou McMorris Rodgersovou, která vyústila v návrh, jenž obnovil naději, že by dlouho požadovaný federální zákon o ochraně osobních údajů mohl být na dosah. Cantwellová uvedla, že klíčem k dosažení kompromisu bylo přimět vedoucí představitele Sněmovny reprezentantů, aby podepsali znění zakazující nucené arbitráže a odstranili odklad doby, kdy mohou spotřebitelé podávat žaloby."Jen chvíli trvá, než se tyto otázky týkající se způsobu ochrany těchto práv upřesní," řekla Cantwellová na dotazy novinářů z deníku Washington Post. Nový návrh zákona označila za přísnější oproti návrhu Sněmovny reprezentantů z roku 2022.
Může se tak stát, že nějaká obdoba evropského GDPR je na dohled i v USA. A jelikož stejně bouřlivé debaty, včetně prvních žalob, probíhají jak v oblastech monopolizace big tech firem a tak v oblasti rychlého vývoje umělé inteligence, mohou se v USA objevit v dohledné době i další precedenty a regulace v těchto oblastech.
Zdroje.
Time: Google Agrees to Delete Users’ ‚Incognito‘ Browsing Data in Lawsuit Settlement, https://time.com/6962521/google-incognito-lawsuit-data-settlement/
WP: This senator wants an online privacy law. She’s slowed efforts for years. https://time.com/6962521/google-incognito-lawsuit-data-settlement/
