Na webu se platí i soukromím
Nedávný případ populární aplikace FaceApp, jež z mladého člověka ve vteřině udělala staříka a naopak, vyvolal poměrně velkou paniku a ve druhé vlně i úvahy nad úrovní narušení soukromí při použití aplikací na chytrých zařízeních. Při bližším pohledu na tuto aplikaci je to až překvapivé. Jednak byla dostupná už poměrně dlouho a za druhé, rozsah zásahu do soukromí jejích uživatelů je sice rozsáhlý, ale určitě není nevídaný.
Uživatel FaceApp uděluje provozovateli trvalou, neodvolatelnou, celosvětovou, bezúplatnou a převoditelnou licenci ke všemu, co s aplikací uživatel vytvoří, a to včetně užití jeho jména. To samo o sobě není tak neobvyklé. Obdobně široká licenční oprávnění v dnešní době vyžaduje v podstatě jakákoliv aplikace v telefonu či internetová služba.
Kromě toho však uživatel FaceApp souhlasí s tím, aby jeho uživatelský obsah mohl být použit i komerčně, tedy například v reklamě a z důvodu převoditelnosti licence i v reklamě na zcela nesouvisející výrobky nebo služby. Pokud se toto uživateli přestane líbit, nestačí snímky z aplikace smazat. I poté totiž FaceApp může tyto výtvory i nadále uchovávat a použít.
Soukromá data jako platidlo Jsou tedy aplikace zdarma lstivou pastí na uživatele a jejich data či fotografie? Ne úplně. Jako všude i v digitálním prostředí platí, že nic není zadarmo. Za aplikace „zdarma“se tak neplatí penězi, ale daty o uživatelích a jejich chování, případně jejich fotografiemi či jinými výtvory. Přestože uživatelé běžné používaných služeb (jako jsou například Facebook, Instagram, YouTube, Gmail a tzv. agregátory zpráv) za užití těchto služeb nemusí platit, protihodnotu poskytují – provozovatelům služeb dávají část svého soukromí, včetně citlivých dat.
Motivací poskytovatelů aplikací „zdarma“je získat data uživatelů, jež se dají buď dál zpeněžit nebo jsou cenným nástrojem pro nastavení jiných částí byznysu. Problémem je, že podmínkám užití aplikací a služeb drtivá většina uživatelů nevěnuje vůbec pozornost, přičemž tyto podmínky užití stanovuje výhradně poskytovatel. Z opatrnosti nebo možná spíše z pohodlnosti přitom poskytovatelé rádi formulují svá oprávnění velmi široce.
Standardem je tak stav, že uživatelé dávají souhlas s poměrně nekontrolovaným použitím svých údajů, výtvorů nebo dokonce podoby, což se může snadno vymknout kontrole.
GDPR jako štít
Velikost rozruchu, který FaceApp vyvolal, lze přičíst i tomu, že vývojář a provozovatel aplikace sídlí v Rusku, jež nemá z pohledu kyberbezpečnosti právě nejlepší pověst. Aplikace ale určitě nelze automaticky rozdělovat na bezpečné a nebezpečné pouze na základě toho, zda jejich vývojář pochází z USA, Ruska nebo Česka. Založit si formálně sídlo v renomované jurisdikci není nic složitého.
Přestože podle místa původu nelze aplikace třídit, má území a na něm platící zákony pro práva uživatelů velký význam. Z pohledu platné právní úpravy garantující ochranu osobních údajů mají čeští uživatelé poměrně dobrou pozici. Shromažďování soukromých údajů, včetně rozpoznání tváře z fotografie, totiž spadá pod širokou definici osobních údajů obsažené v obecném nařízení o ochraně osobních údajů (GDPR), které na území Evropské unie platí už více než rok.
Povinnosti plynoucí z GDPR musí dodržovat i subjekty sídlící mimo unii. Platí pro všechny subjekty, které své služby zaměřují na občany některého z členských států EU, ať poskytovatel služby sídlí v Číně, v USA nebo třeba právě v Rusku.
Pravidla vyžadují, aby společnosti transparentně a srozumitelně informovaly své zákazníky o tom, jak budou s jejich osobními údaji nakládat. Současně je zakázáno zpracovávat údaje, jež nejsou pro fungování služby nezbytné, nebo podmiňovat využívání určité služby poskytnutím údajů.
Při porovnání těchto požadavků s popsanou obvyklou praxí je ale vidět, že si provozovatelé služeb s těmito zákazy hlavu příliš nelámou. Ani dobré smluvní podmínky navíc negarantují, že je provozovatel bude dodržovat. A pro individuálního uživatele je navíc téměř nemožné si dodržení smluvních podmínek právně vymoci.
Za většinu bezplatných digitálních aplikací se neplatí penězi, ale daty, jež může provozovatel volně používat – třeba v reklamě kdesi na druhém konci světa.
Digitální stopa nemizí
Stav současného práva tedy z pohledu zajištění efektivní ochrany uživatelům moc nesvědčí, mít svoje osobní údaje zcela pod kontrolou a užívat běžnou sadu internetových a mobilních aplikací je tak fakticky nemožná kombinace. Realitou dnešních internetových služeb je všudypřítomné využívání údajů o uživatelích.
Na druhou stranu, při rozumné míře opatrnosti jde alespoň zabránit nejhorším zásahům. Před instalací jakékoliv mobilní aplikace je tak dobré zvážit, jakou důvěru vkládáme do toho, kdo aplikaci vytvořil. Uživatelé by současně měli věnovat pozornost oprávněním, které přímo v telefonu udělují instalovaným aplikacím. Přestože tato funkce má uživatele upozornit na možná zneužití – většina uživatelů povolením nevěnuje příliš pozornosti a automaticky vše potvrdí. Zneužitelný rozsah oprávnění totiž může vyžadovat i oficiální aplikace pocházející z ověřeného zdroje.
Nejlepším pravidlem ale je být si především vědom toho, že každé použití internetové či mobilní aplikace po každém zanechává digitální stopu. Ta ale nezmizí tím, že službu přestane uživatel používat nebo aplikaci smaže. Před stažením zábavné nové aplikace je proto dobré si uvědomit, kam všude může doputovat zábavná fotka, kterou s ní uživatel vytvoří, a že jí bude moci někdo použít v reklamě na druhém konci světa.
Autor je spolupracovník LN a advokát Rowan Legal