Nadměrné zpracování dat uživatelů Facebooku z pohledu evropského práva
Klikněte pro přepnutí plného a náhledového zobrazení.

Nadměrné zpracování dat uživatelů Facebooku z pohledu evropského práva

Rakouský právník Max Schrems, autor iniciativy Europe vs. Facebook, se ve své práci zabývá právními aspekty vyplývajícími z pozice Facebooku ve vztahu k procesu zpracování osobních údajů uživatelů. Problematika nadměrného zpracování dat je v tomto ohledu jednou z klíčových oblastí, na které Schrems v rámci projektu upozornil.

Dle dostupných informací shromažďuje společnost Facebook nepřiměřené množství osobních údajů o svých uživatelích i třetích osobách, které nejsou na sociální síti přihlášeny a nevyslovily tak souhlas s Podmínkami použití, na jehož základě by mohly být uvedené údaje zpracovány. Se získanými informacemi navíc Facebook nenakládá pouze v rozsahu oprávnění danými uživateli, ale průběžně přistupuje i k jejich zpracování pro vlastní účely z pozice správce bez souhlasu subjektu údajů. Hovoříme zde o využití získaných dat např. k přizpůsobení nabídky reklamy či uspořádání příspěvků v kategorii news feed.

Dopady evropské právní úpravy

Zpracování osobních údajů uživatelů pro vlastní účely je z pohledu evropského práva [čl. 6 odst. 1 písm. c) směrnice Evropského parlamentu a Rady 95/46/ES] i irského zákona na ochranu osobních údajů tzv. nadměrným zpracováním a jedná se tedy o nelegální postup. Irský zákon se zde musí vzít v potaz, neboť na základě Podmínek použití uzavřeli evropští uživatelé sociální sítě smlouvu s Facebook Ireland Ltd., zatímco uživatelé z USA a Kanady přímo s Facebook Inc. Veškeré stížnosti v rámci Evropy proto směřují k irskému Úřadu pro ochranu osobních údajů. Odpovídající ustanovení najdeme ale i v zákoně č. 101/2000 Sb., o ochraně osobních údajů. Pokud právnická osoba shromažďuje nebo zpracovává osobní údaje v rozsahu nebo způsobem, který neodpovídá stanovenému účelu, jedná se dle § 45 odst. 1 písm. c) o správní delikt.

Max Schrems podal proti Facebook Ireland Ltd. k současnému datu 23 stížností k příslušným irským úřadům a kritika nadměrného zpracování osobních údajů je obsažena v několika z nich. Hlavními požadavky jsou uvedení v soulad s evropským právem, zabezpečení větší transparentnosti a zajištění kontroly nad obsahem pro uživatele. Nastíněný problém se netýká ovšem jen Facebooku, s podobným postupem přicházejí i další americké IT firmy, které v Evropě poskytují své služby. Setkáváme se zde tak se střetem dvou odlišných právních přístupů k otázce ochrany osobních údajů a nerespektování evropské právní úpravy ze strany Facebooku je jádrem celého problému.

Řešení v podobě nového nařízení?

Evropská unie připravuje nové nařízení o ochraně osobních údajů, které by nahradilo stávající směrnici, jež nebyla v řadě zemí dostatečně implementována. Podstatnou změnu zavádí mj. v oblasti teritoriálního dosahu. Zatímco současná úprava se na společnosti sídlící mimo EU vztahuje pouze v případě, kdy správce provádí zpracování prostřednictvím svých organizačních jednotek umístěných na evropském území, nařízení je platné pro všechny subjekty nabízející své služby v EU bez ohledu na lokalizaci výše zmíněných prostředků. Zpřísnění přichází dále i v určení výše správních sankcí či povinnosti ohlašovat všechny případy narušení ochrany. Zmíněné sankce za protiprávní jednání by dosahovaly výše až 100 milionů euro nebo 5 % celosvětového obratu společnosti. Pro srovnání lze uvést, že podle zákona č. 101/2000 Sb. může maximální výše správní pokuty činit v určených případech 10 mil. Kč.

Nařízení si vyžádalo poměrně velkou kritiku ze zahraničí z důvodu nadměrné právní regulace v oblasti ochrany osobních údajů. Určité výhrady se objevují i ze strany členských států. Argumentem, který však v souvislosti s uplynulými událostmi – odposlechy ze strany NSA, kauza PRISM apod. – hovoří pro přijetí jednotné právní úpravy s působností i pro mimoevropské subjekty, je otázka bezpečnosti zpracovávaných dat a jejich minimalizace. Facebook např. v současnosti nezaručuje při zpracování osobních údajů žádný stupeň zabezpečení, což představuje vzhledem k objemu shomážděných informací značná rizika.

Závěrem

Max Schrems přikládá k podaným stížnostem i řešení, jakým způsobem zajistit ve sporných bodech soulad s evropským právem. Jednou z možností je nastavení tzv. digitáního zapomnění. Uživatel by tak disponoval prostředky, které by umožnily automatické odstranění sdíleného obsahu po určitém časovém úseku. Dále jde o omezení využití uživatelských dat ze strany Facebooku. To v praxi znamená, že po uplynutí stanovené doby, by byla tato data pouze archivována a Facebook by neměl oprávnění k jejich dalšímu zpracování.

Jednání se zástupci Facebooku ani odpovědnými irskými úřady zatím nevedla k dostatečným výsledkům. Byl proveden audit, na jehož základě došlo k určitým změnám, ale podstata stížností vyřešena nebyla. Schrems tedy požaduje oficiální rozhodnutí irského komisaře pro ochranu osobních údajů a v případě rozporu s platnými normami podnikne další právní kroky. Ohledně připravovaného nařízení se předpokládá, že by mohlo nabýt účinnosti v roce 2016.

Zdroj informací: europe-v-facebook.org

Zdroj obrazového materiálu: Pixabay.com, autor: Simon Steinberger

(2)(0)

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *