14. srpna 2019 7:00 Lidovky.cz > Byznys > Právo a justice

GDPR dopadá i na mobilní aplikace. Zakazuje zpracovávat údaje, které nejsou nezbytné

FaceApp. | na serveru Lidovky.cz | aktuální zprávy FaceApp. | foto: Reuters

PRAHA Nedávný případ populární aplikace FaceApp vyvolal poměrně velkou paniku a ve druhé vlně i úvahy nad úrovní narušení soukromí při použití aplikací na chytrých zařízeních. Při bližším pohledu na samotnou FaceApp je to až překvapivé. Jednak FaceApp už byla dostupná poměrně dlouho a za druhé, rozsah zásahu do soukromí uživatelů ze strany FaceApp je sice rozsáhlý, ale určitě není nevídaný.

Nejprve bych uvedl krátký právní rozbor podmínek použití FaceApp. Uživatel FaceApp uděluje provozovateli trvalou, neodvolatelnou, celosvětovou, bezúplatnou a převoditelnou licenci ke všemu, co s FaceApp vytvoříte, a to včetně užití jména uživatele. To samo o sobě není tak neobvyklé. Obdobně široká licenční oprávnění v dnešní době vyžaduje v podstatě jakákoliv aplikace v telefonu či internetová služba. Kromě toho však uživatel FaceApp souhlasí s tím, aby jeho uživatelský obsah mohl být použit i komerčně, tj. například v reklamě a z důvodu převoditelnosti licence i reklamě na zcela nesouvisející výrobky nebo služby. Pokud se toto uživateli přestane líbit, nestačí fotky z aplikace smazat. I poté totiž FaceApp může tyto výtvory i nadále uchovávat a použít.

Data místo peněz

Jsou tedy FaceApp a podobné aplikace lstivá past na uživatele a jejich data a fotografie? Ne úplně. Jako všude i v digitálním prostředí platí, že nic není zadarmo. Platidlem aplikací „zdarma“ tak nejsou peníze, ale data o uživatelích a jejich chování nebo jejich fotky či jiné výtvory. Přestože uživatelé běžně používaných služeb (jako jsou například Facebook, Instagram, YouTube, Gmail, Google Překladač či různé vyhledávače a tzv. agregátory zpráv) za užití těchto služeb nemusí platit, ve skutečnosti za použití protihodnotu poskytují – provozovatelům služeb dávají část svého soukromí včetně citlivých dat. To však samo o sobě nemusí znamenat nekalé úmysly poskytovatele. Motivace poskytovatelů aplikací a služeb „zdarma“ je získat data uživatelů, která se dají buď dál zpeněžit nebo jsou cenným nástrojem pro nastavení jiných částí byznysu provozovatele. Tento obchodní model v digitálním prostředí funguje už dlouhá léta, je považován za legitimní a v rukou zodpovědného provozovatele služby není pro uživatele škodlivý. Ostatně se to v principu neliší od fungování věrnostní kartičky ve vašem oblíbeném supermarketu.

Problémem je, že podmínkám užití aplikací a služeb drtivá většina uživatelů nevěnuje vůbec pozornost, přičemž tyto podmínky užití stanovuje výhradně poskytovatel, aniž by je uživatel mohl ovlivnit. Z opatrnosti nebo možná spíše z pohodlnosti přitom poskytovatelé rádi formulují svá oprávnění velmi široce. Standardem je tak stav, že uživatelé dávají souhlas s poměrně nekontrolovaným použitím svých údajů, výtvorů nebo dokonce podoby, což se může snadno vymknout kontrole.

Je aplikace bezpečná?

Nabízí se otázka, jestli existuje nějaká možnost, jak snadno rozeznat bezpečnou aplikaci nebo službu. Velikost rozruchu, který FaceApp v USA a následně i třeba u nás odstartovala, lze přičíst i tomu, že vývojář a provozovatel aplikace – společnosti Wireless Lab – sídlí v Rusku, které nemá z pohledu kyberbezpečnosti nejlepší pověst.

Aplikace ale určitě nelze automaticky rozdělovat na bezpečné a nebezpečné pouze na základě toho, zda jejich vývojář pochází z USA, Ruska nebo Česka. Založit si formálně sídlo v renomované jurisdikci není nic složitého a ostatně i američtí Facebook a Google jsou často kritizování za nadměrné vytěžování dat uživatelů a mají problémy se zneužitím jimi zpracovávaných dat.

Přestože tedy nejde třídit aplikace dle místa původu, má území a na něm platící právní normy pro práva uživatelů velký význam. Z pohledu platné právní úpravy garantující ochranu osobních údajů mají čeští uživatelé poměrně dobrou pozici. Shromažďování soukromých údajů, včetně rozpoznání tváře z fotografie, totiž spadá pod širokou definici osobních údajů obsažené v obecném nařízení o ochraně osobních údajů (GDPR), které na území Evropské unie, tedy i v ČR, platí už více než rok.

GDPR i pro neevropské subjekty

Přestože to může být pro někoho překvapivé, tak povinnosti vyplývající z GDPR musí dodržovat i ruské či jakékoli jiné subjekty sídlící mimo EU. GDPR totiž musí dodržovat všechny subjekty, které své služby zaměřují na občany některého z členských států EU, ať poskytovatel služby sídlí v Číně, USA nebo třeba právě v Rusku.

Evropská pravidla ochrany osobních údajů vyžadují, aby společnosti transparentním a srozumitelným způsobem informovaly své zákazníky o tom, jak budou s jejich osobními údaji nakládat. Současně je podle GDPR zakázáno zpracovávat údaje, které nejsou pro fungování služby nezbytné, nebo podmiňovat využívání určité služby poskytnutím údajů. Při porovnání těchto požadavků GDPR s popsanou obvyklou praxí je ale vidět, že si provozovatelé služeb s těmito zákazy hlavu příliš nelámou. Ani dobré smluvní podmínky navíc negarantují, že je provozovatel bude dodržovat. A pro individuálního uživatele je navíc téměř nemožné si dodržení smluvních podmínek právně vymoci. Tuto nerovnováhu by mohla částečně vyrovnat úprava hromadných žalob plánovaná a evropské i české úrovni, ale to je zatím daleko a samo o sobě to nevyřeší problém poskytovatelů služeb z exotických jurisdikcí.

Stav současného práva tedy z pohledu zajištění efektivní ochrany uživatelům moc nesvědčí a mít svoje osobní údaje zcela pod kontrolou a užívat běžnou sadu internetových a mobilních aplikací je tak fakticky nemožná kombinace. Realitou dnešních internetových služeb je všudypřítomné využívání údajů o uživatelích.

Pozornost k oprávnění

Na druhou stranu, při rozumné míře opatrnosti jde alespoň zabránit nejhorším zásahům. Před instalací jakékoliv mobilní aplikace je tak dobré zvážit, jakou důvěru vkládáme do toho, kdo aplikaci vytvořil. Přestože zmiňovaní velcí poskytovatelé služeb data uživatelů určitým způsobem získávají, nemůžou si i jen z reputačních důvodů vytvářet vyloženě zlovolné služby.

Uživatelé by současně měli věnovat pozornost oprávněním, které přímo v telefonu udělují instalovaným aplikacím. Přestože tato funkce má uživatele upozornit na možná zneužití – většina uživatelů povolením nevěnuje příliš pozornosti a automaticky vše potvrdí. Zbytečně velký a do budoucna zneužitelný rozsah oprávnění přitom může vyžadovat i oficiální aplikace pocházející z ověřeného zdroje.

Nejlepším pravidlem ale je být si především vědom toho, že každé použití internetové či mobilní aplikace po nás zanechává digitální stopu, a používat jen služby, které opravdu používat chcete. Je třeba mít na paměti že digitální stopa jednoduše nezmizí tím, že službu přestanete používat nebo aplikaci smažete. Před stažením zábavné nové aplikace je proto dobré si uvědomit, kam všude může doputovat zábavná fotka, kterou s ní vytvoříte, a že jí bude moci použít v reklamě na druhém konci světa.

Autor je spolupracovník LN a advokát Rowan Legal.

Domácí násilí: Soud chce vyšší tresty, pokud k němu dochází před dětmi
Domácí násilí: Soud chce vyšší tresty, pokud k němu dochází před dětmi

Fyzické i psychické násilí v přítomnost dětí může mít ještě větší dopad, než tomu bylo doposud. Násilník se totiž nedopouští trestného činu pouze na partnerovi, ale také na nezletilých. Jaké následky může domácí násilí mezi partnery na dětech zanechat?

Najdete na Lidovky.cz