Pravidla pro zpracování osobních údajů byla přesně před třemi roky změněna evropským obecným nařízením o ochraně osobních údajů, známým pod zkratkou GDPR. Mnozí podnikatelé vyvinuli značné úsilí ke splnění nově upravených povinností, ale spotřebitelé si často rozsah svých práv a cenu vlastních osobních údajů nadále dostatečně neuvědomují. dTest se tak podíval na otevřené otázky v oblasti zpracování osobních údajů z pozice běžného spotřebitele.

Čtete podmínky pro ochranu soukromí, když na vás při otevření webové stránky vyskočí? Pokud ano, jste výraznou menšinou mezi spotřebiteli. Podle zjištění vyplývajícího ze vzorku účastníků školení Consumer PRO – digitální práva spotřebitelů, které dTest organizuje pro odborníky v oblasti ochrany spotřebitelských práv, uživatelé čtou podmínky z vyskakovacích lišt spíše jen výjimečně. Zjistili totiž, že nejsou schopni efektivně naložit s informacemi, které jim provozovatelé webových stránek nabízejí, případně pokud si z podmínek provozovatele vyberou omezenou variantu zpracování osobních údajů nebo využívání cookies, jsou pak stále obtěžováni vyskakovací lištou. A to tak dlouho, dokud nepodlehnou a podmínky neodsouhlasí jako celek.

Stejně jako s podmínkami pro využívání cookies nakládají spotřebitelé i s podmínkami pro zpracování osobních údajů. Typicky se to děje u aplikací, které jsou nezbytné pro smysluplné používání chytrých telefonů. „Spotřebitelé by neměli odsouhlasovat nic, čemu nerozumí. Ovšem ne každý spotřebitel má možnosti, čas a chuť tyto podmínky číst a zamýšlet se nad nimi. Proto je stále podstatná role informovaných spotřebitelů a spotřebitelských organizací při kontrolách podmínek jednotlivých provozovatelů,“ uvádí Eduarda Hekšová, ředitelka spotřebitelské organizace dTest. A dodává: „Odkázat lze na dlouholetou aktivitu Maxe Schremse, rakouského právníka, který se proslavil svým sporem s Facebookem a irským dozorovým úřadem. Stejně tak lze zmínit aktivity dTestu při jeho stížnostech směřujících na společnost Google či sociální síť TikTok.“

Stížnost dTestu na společnost Google ukazuje jednu ze slabin jinak robustního a přínosného obecného nařízení o ochraně osobních údajů. Tato stížnost spočívala ve zjištěních z roku 2018, podle kterých Google manipuloval uživatele k předávání a ukládání dat o své poloze, aniž by je adekvátně informoval o jejich využití. Zatímco dTest podal stížnost v zastoupení českého spotřebitele u českého dozorového orgánu, kterým byl Úřad pro ochranu osobních údajů, byla tato stížnost v souladu s GDPR předána k vedení řízení takzvanému vedoucímu dozorovému úřadu, kterým podle sídla společnosti Google byla irská Komise pro ochranu dat (Data Protection Commission, DPC). Ta pak z obdržených stížností spotřebitelů vytvořila „podnět“, který vyšetřuje v jiném právním režimu, než by činila u stížnosti. Do současné doby je stížnost u DPC v řízení. To ukazuje, že mechanismus spolupráce dozorových orgánů z jednotlivých členských států Evropské unie je velmi nedokonalý a nevede k cíli, který by spotřebitelé právem očekávali. 

„Pro evropské spotřebitele je smutným zjištěním, že v obdobné věci, kterou velmi dlouhou dobu řeší irský dozorový úřad, už v Austrálii stihnul příslušný úřad rozhodnout a toto rozhodnutí dokonce prošlo i soudním přezkumem. Rozhodnutí australských úřadů potvrdilo, co jsme o sbírání lokalizačních údajů ze strany společnosti Google uvedli v naší stížnosti,“ konstatuje Eduarda Hekšová. 

Tři roky od účinnosti GDPR je tedy svět ochrany osobních údajů pro spotřebitele příznivější, ale složitost podmínek zpracování osobních údajů nejen u velkých provozovatelů, především u sociálních sítí, běžnému spotřebiteli fakticky brání v jejich pochopení. Navíc spolupráce dozorových orgánů z jednotlivých členských států Evropské unie nedosahuje úrovně, která by umožňovala spravedlivě a rychle řešit stížnosti spotřebitelů. 

Lucie Korbeliusová
media@dtest.cz

Běžný uživatel obvykle neřeší, co se skrývá za podmínkami nazvanými třeba „Nastavení soukromí“ nebo „Cookies policy“, které se mu zobrazí, pokud poprvé navštíví nějaký web. Má je rovnou odkliknout, nebo zvolit jiný postup? Proč ho provozovatelé webů s těmito podmínkami „obtěžují“ a co mu hrozí, pokud je neodsouhlasí? Všechno souvisí s tím, že ani ve světě internetu se nelze pohybovat bez pravidel a za vším je třeba hledat peníze. Provozovatelé potřebují získávat finance na svoji činnost, znát své uživatele a mít správně fungující weby. 

Navštívíte-li novou webovou stránku, zpravidla na vás v dolní části obrazovky či displeje „vyskočí“ lišta s různě formulovanou informací o tom, že provozovatel při poskytování služeb využívá soubory cookies a že dalším pobytem na jeho webu s tím vyjadřujete souhlas. Co vlastně jsou soubory cookies? „Jedná se o informace, které si navštívený web ukládá v prohlížeči mobilního telefonu, tabletu nebo počítače, ze kterého si web prohlížíte. Tyto informace jsou pro provozovatele důležité z několika důvodů. Mezi hlavními se uvádí zajištění správného fungování webu, ale jde zejména o porozumění chování návštěvníků a možnost na ně zacílit reklamu,“ vysvětluje Eduarda Hekšová, ředitelka spotřebitelské organizace dTest. 

Provozovatelé webů se nemohou vyhnout povinnosti upozornit uživatele na svou politiku využívání cookies, pokud je chtějí ve vašem prohlížeči ukládat. Nutí je k tomu právní předpisy, které vycházejí z evropské legislativy a judikatury. Podmínky pro využívání cookies se však stále vyvíjejí a jejich současná podoba bude zásadně ovlivněna dlouho připravovaným evropským nařízením o soukromí a elektronických komunikacích. 

Proč je kontrola nad využíváním cookies důležitá? „Vedle bezpečnosti dat a ochrany soukromí musíte mít stále na mysli, že provozovatelé webových vyhledávačů, stránek a aplikací sbírají o vašem chování na internetu velké množství údajů, se kterými pak dále nakládají či spíše podnikají. Informace o vlastním chování na internetu jsou hodnotou, kterou můžete, ale nemusíte chtít provozovateli webu poskytnout, případně ji můžete s provozovatelem směnit za nějakou výhodu. Tou může být například bezplatné užívání jeho služeb. Pokud si však nějakou aplikaci zaplatíte, právem od provozovatele očekáváte takzvaně privilegovaný přístup, kterým například může být menší míra obtěžování reklamami,“ popisuje Eduarda Hekšová. 

O tom, jakým způsobem budou ve vašem zařízení fungovat cookies, rozhodujete v první řadě vy nastavením svého webového prohlížeče. Pokud se rozhodnete nastavení cookies změnit, můžete v prohlížeči vymazat historii prohlížení, včetně cookies. Pro každou webovou aplikaci si pak můžete rozsah ukládání cookies znovu nastavit. Přečtení podmínek využívání těchto souborů je předpokladem jejich správného pochopení a nastavení. Pokud podmínky ukládání cookies alespoň v minimálním rozsahu neschválíte, webová stránka vám obvykle nepřestane fungovat, ale budete po kliknutí neustále obtěžováni větší či menší vyskakovací lištou upozorňující vás na podmínkami využívání cookies. 

Pokud jsou cookies přiřazeny k dalším údajům, pomocí kterých je již možné identifikovat uživatele – fyzickou osobu, je jejich využívání ze strany provozovatele zpracováním osobních údajů, na které se vztahují podmínky obecného nařízení o ochraně osobních údajů známého pod zkratkou GDPR. „V těchto případech můžete využít všechna práva vyplývající z nařízení, například právo na informace o zpracování svých osobních údajů, právo na přístup ke svým osobním údajům, právo na jejich opravu či na podání stížnosti,“ uzavírá Eduarda Hekšová

Lucie Korbeliusová