Sociálne siete sú dnes neodmysliteľnou súčasťou virtuálnej reality a predstavujú užitočný marketingový nástroj. Okrem toho, že poskytujú hodnotný priestor na prezentovanie aktivít v podmienkach fanúšikovských stránok, umožňujú tiež implementáciu externých pluginov do zdrojových kódov webových stránok, čím takpovediac dotvárajú interaktivitu webového obsahu. Všetky tieto výhody sú dostupné ako služby sociálnych sietí a v tomto článku sa pozrieme na otázku súladnosti týchto služieb s nariadením GDPR z pohľadu prevádzkovateľa internetovej a fanúšikovskej stránky.
Cookies
Najdôležitejším spojovníkom medzi ochranou osobných údajov a službami sociálnych sietí sú tzv. sledovacie cookies (webtracking cookies), prostredníctvom ktorých dochádza k zberu informácií o správaní užívateľa internetu. Tieto informácie sú následne cielene využívané predovšetkým na obchodné a marketingové účely. Zásadným rizikovým bodom je práve schopnosť súborov cookies nájsť svoje umiestnenie na pevnom disku zariadenia v okamihu načítania webovej stránky, na ktorej sa nachádza aktívny prvok aspoň jednej zo služieb sociálnych sietí (napr. pluginy sociálnych sietí), a to častokrát bez vedomia sledovanej osoby.
Pluginy sociálnych sietí
Hoci sa pluginy sociálnych sietí tvária na prvý pohľad neškodne, no aj napriek tomu dokážu spôsobiť nemalé problémy. Zaujímavý je z toho pohľadu prípad nemeckej spoločnosti Fashion ID GmbH & Co.KG, ktorá implementovala do webového rozhrania e-shopu tlačidlo „Páči sa mi to“ od sociálnej siete Facebook, pričom následky vyústili až do konania pred Súdnym dvorom Európskej únie vo veci porušovania predpisov na úseku ochrany osobných údajov. Na podobnom princípe pracujú aj plugin „Komentáre“ a tlačidlo „Zdieľať“.
Identifikovať funkčne aktívne pluginy sociálnych sietí nie je vôbec ťažké a zvládne to takmer každý priemerný užívateľ internetu, a to preverením prítomnosti cookies tretích strán. Či už je to prostredníctvom ikony v príkazovom riadku alebo vývojárskej konzoly webového prehliadača, týmto spôsobom je možné pohodlne odhaliť nielen cookies sociálnych sietí, ale taktiež aj iných služieb ako Google Analytics, YouTube, Hotjar, OneSignal, atď. Niektoré služby sú z pohľadu ochrany súkromia menej invazívne (napr. YouTube) a iné viac (napr. Hotjar). V každom prípade sa však nemožno spoliehať na „neviditeľnosť“ cookies tretích strán, keďže ich interakcia s webovým prostredím môže vplývať na splnenie požiadavky ochrany súkromia.
Z pohľadu Súdneho dvora EÚ
Súdny dvor EÚ sa zaoberal vplyvom niektorých služieb sociálnej siete Facebook na ochranu osobných údajov. Konkrétne v sporoch Fashion ID (C-40/17) v otázke tlačidla „Páči sa mi to“ a Wirtschaftsakademie Schleswig-Holstein (C-210/16) v otázke prevádzkovania fanúšikovskej stránky na sociálnej sieti Facebook. Hoci skutkové a právne genézy oboch sporov obsiahnuté v textoch návrhov generálnych advokátov a rozsudkov súdneho dvora znejú zaujímavo a sú rozsiahle, v tejto časti článku upriamime našu pozornosť len na vymedzenie postavenia prevádzkovateľa vo vzťahu k službám sociálnych sietí.
Obidva spory majú jednu spoločnú črtu. Hoci obe zainteresované strany (Fashion ID a Wirtschaftsakademie) s istotou používali služby sociálnych sietí, no ani jedna z nich sa necítila byť prevádzkovateľom zodpovedným za spracúvanie osobných údajov. Podľa ich názoru mala byť nositeľom tejto zodpovednosti výlučne spoločnosť Facebook, keďže jej cookies sa ukladajú na koncové zariadenie užívateľa (v prípade tlačidla „Páči sa mi to“) a keďže na jej webovej lokalite sú umiestnené fanúšikovské stránky.
Súdny dvor EÚ však rozhodol1), že sociálna sieť Facebook a príjemca jej služieb sa považujú za spoločných prevádzkovateľov, pričom zodpovednosť každého z nich je obmedzená len na tie spracovateľské operácie, pri ktorých určujú účely a prostriedky spracúvania.
Prevádzkovateľom teda nemusí byť výlučne subjekt, ktorý reálne spracúva osobné údaje, ale ten, kto určuje prostriedky a účely takého spracúvania, pričom vplyv na ich určenie môže byť buď právny alebo faktický2). Nasledujúca tabuľka prostredníctvom vzájomnej súvislosti troch ukazovateľov demonštruje podiel príjemcu služieb sociálnej siete na určovaní prostriedkov a účelov spracúvania osobných údajov.
Podľa niektorých názorov4) aj samotná akceptácia účelu a prostriedkov, ktoré už vopred stanovila sociálna sieť, predstavuje podiel na ich určení. Osoba, ktorá sa rozhodla implementovať plugin do zdrojového kódu svojej webovej stránky alebo si založila fanúšikovskú stránku síce nedokáže ovplyvniť funkčný rámec, ale využívaním služieb sociálnej siete tento rámec akceptuje, a to so všetkými dôsledkami na súkromie dotknutých osôb. Pojem akceptácia však predstavuje v tomto zmysle jedno zo štádií faktického vplyvu, ktorý má nezanedbateľný význam pre definovanie podielu na určení účelu a prostriedkov spracúvania osobných údajov.
-
Príklad
Spoločnosť XYZ Consulting s. r. o. si zriadila firemnú stránku na sociálnej sieti Facebook, kde využíva nástroj Facebook Insights pre prehľadné štatistiky. Hoci sa spoločnosti zobrazujú výsledky štatistík v anonymizovanej podobe, ale ich zhotoveniu predchádzal zber osobných údajov prostredníctvom súborov cookies sociálnej siete. Okrem toho, nastavením parametrov štatistík sa podieľa na určovaní účelov a prostriedkov spracúvania, takže má postavenie spoločného prevádzkovateľa spolu so spoločnosťou Facebook.
Súladnosť s GDPR
Sledovacie cookies pluginov sociálnych sietí spravidla predstavujú osobné údaje, avšak konečné posúdenie závisí od okolností prípadu. Sociálna sieť pri navštívení fanúšikovskej stránky uloží do koncového zariadenia súbory cookies a taktiež zaznamená IP adresu. Pri strete týchto dvoch online identifikátorov už preto s istotou možno hovoriť o spracúvaní osobných údajov.
Ako teda dosiahnuť súladnosť s nariadením GDPR? Z predchádzajúcich častí tohto článku vyplýva, že príjemca služieb sociálnej siete je spoločným prevádzkovateľom, a preto si musí splniť všetky k tomu zodpovedajúce povinnosti voči dotknutej osobe, ktoré mu vyplývajú z nariadenia GDPR. Predovšetkým je potrebné nájsť vhodný právny základ pre spracúvanie osobných údajov. Vo väčšine situácií sú služby sociálnej siete v podnikateľských podmienkach využívané ako marketingové a analytické nástroje. Ak sa má používaním týchto nástrojov sledovať legitímny záujem, v takom prípade podľa názoru Súdneho dvora EÚ je možné spracúvanie založiť aj na právnom základe oprávneného záujmu podľa článku 6 ods. 1 písm. f) nariadenia GDPR5); avšak predtým je nevyhnutné overiť, či nad záujmami prevádzkovateľa neprevažujú záujmy alebo základné práva a slobody dotknutej osoby, a to vykonaním testu proporcionality. Prevádzkovateľ musí byť schopný pri kontrole zo strany dozorného úradu preukázať, a to v súlade so zásadou zodpovednosti6), že test proporcionality vykonal a že výsledok testu svedčí v prospech spracúvania osobných údajov na právnom základe oprávneného záujmu.
Za istých okolností, a to najmä v prípade pluginov implementovaných do zdrojového kódu webovej stránky, je vhodné aplikovať niektoré ďalšie technické opatrenia. To sa týka predovšetkým tlačidla „Páči sa mi to“ alebo tlačidla „Zdieľať“. Tieto tlačidlá je možné funkčne neutralizovať tak, aby ich prítomnosť na webovej stránke nespôsobovala automatické ukladanie sledovacích cookies do zariadenia bez vedomia užívateľa. K uloženiu cookies by došlo až v okamihu kliknutia, pričom užívateľ by bol o tejto skutočnosti vopred informovaný.
Záverom ešte krátku poznámku. Mimo sféry sociálnych sietí sa s podobným problémom celkom elegantne vysporiadala spoločnosť Google. Vkladanie YouTube videí na webovú stránku prostredníctvom HTML (embed) kódu je možné už aj v režime ochrany osobných údajov. Povolením tejto možnosti sa zmení doména URL adresy v HTML kóde z „www.youtube.com“ na „www.youtube-nocookie.com“. Spoločnosť Google tým garantuje, že pri takto vložených videách nebude využívať sledovacie cookies.
1) Rozsudok Súdneho dvora EÚ vo veci C-40/17 (Fashion ID) zo dňa 29. júla 2019.
2) Návrhy generálneho advokáta (Yves Bot) vo veci C-210/16 (Wirtschaftsakademie), bod 54.
3) Pod pojmom „bezplatná optimalizácia reklamy“ sa rozumie situácia, keď návštevník webovej stránky klikne na tlačidlo „Páči sa mi to“ alebo „Zdieľať“, tak takto označenú webovú stránku zviditeľní medzi svojím publikom na sociálnej sieti, čo predstavuje bezplatnú formu reklamy.
4) Návrhy generálneho advokáta (Yves Bot) vo veci C-210/16 (Wirtschaftsakademie), bod 56.
5) Rozsudok Súdneho dvora EÚ vo veci C-40/17 (Fashion ID) zo dňa 29. júla 2019.
6) Článok 5 ods. 2 nariadenia GDPR (zásada zodpovednosti).
