Nie je žiadnym tajomstvom, že naše aktivity na internete sú sledované. Môžu za to súbory cookies a kódy na stránkach či v aplikáciách známe ako advertising ID (AID), ktoré zbierajú dáta o používateľovi a odosielajú ich firmám. Tie získané informácie agregujú a vytvárajú z nich výstupy na pomoc vývojárom a programátorom lepšie cieliť reklamy. Do akej miery sú ale tieto postupy v súlade s platnou legislatívou a ako sa proti nim brániť?
Od roku 2002 reguluje v Európskej únii (EÚ) cookies a podobné skriptové technológie ePrivacy smernica EÚ, ktorá podmieňuje ich marketingové využívanie súhlasom používateľa. Členské štáty však túto legislatívu podľa advokáta a odborníka na ochranu osobných údajov implementujú málo a zle. „Napriek tomu, že regulácia cookies v rámci ePrivacy legislatívy v EÚ existuje už od roku 2002, máme na Slovensku nulovú vymožiteľnosť týchto pravidiel. Osobne považujem za veľmi nešťastné, že ePrivacy nepatrí rovnako ako GDPR pod kompetenciu Úradu na ochranu osobných údajov SR ale pod bývalý telekomunikačný úrad, ktorý sa od nášho vstupu do EÚ k regulácii cookies, mobilným aplikáciám, SDK a marketingovej analytike akosi ešte nestihol vyjadriť“, konštatuje Jakub Berthoty z advokátskej kancelárie Dagital Legal. Formálne teda máme reguláciu cookies aj na Slovensku, podľa expertov však implementovanú nesprávne. Zahraničné dozorné orgány reguláciu cookies začínajú chápať tak, že sa vzťahuje aj na skriptové technológie ako Software Developement kit (SDK). AID sú totiž ukladané aj pomocou technológie SDK aj pomocou technológie cookies.
Nedostatočnú reguláciu využívajú okrem známych gigantov ako napríklad Google, Facebook či Apple aj samotní vývojári aplikácií. V prípade vývojárov ide ale často o nepochopenie komplexných podmienok spoločností Google či Facebook, ktoré hovoria o tom, kto je v akom postavení pri marketingovej analytike a personalizovanej reklame. „Mnohí vývojári nerozumejú svojmu právnemu postaveniu a tvrdia, že si len objednávajú kampaň a že žiadne dáta nespracúvajú. Myslia si, že keď s dátami priamo nepracujú, nie sú za ne právne zodpovední oni a túto zodpovednosť preberajú agregátori dát. Primárna zodpovednosť za zabezpečenie súladu s ePrivacy legislatívou, a teda získaním súhlasu a informovaním, je však na vývojároch, ktorí sú v tomto postavení prevádzkovateľmi“, upozorňuje Jakub Berthoty.
Ak chce vývojár mobilnej aplikácie dostávať späť od Google, či Facebook štatistiky resp. merať úspešnosť kampaní, musí do kódu aplikácie implementovať SDK, čo je unikátny kód, ktorý umožní odosielanie presne špecifikovaných dát používateľa do analytických nástrojov firiem ako práve spomínaní giganti. Obdobne to platí aj o webstránkach, ktoré ukladajú AID na základe súborov cookies. Dátoví giganti množstvo prijímaných dát agregujú a vývojárom posielajú požadované a veľmi presné štatistiky, ktoré sa zobrazujú agregovane. „Väčšina mobilných aplikácií dnes ale neinformuje dostatočne transparentne o tom, aké dáta aplikácia spracúva a ktorým tretím stranám tieto dáta zasiela. Mnoho aplikácií totiž stále žije v mylnej predstave, že nespracúva žiadne osobné údaje, keďže vývojári za osobné údaje považujú prakticky len meno, priezvisko, bydlisko či rodné číslo a unikátne on-line identifikátory sú pre nich anonymné dáta“, vysvetľuje Jakub Berthoty, advokát kancelárie Dagital Legal a odborník na ochranu osobných údajov. „Nie sú to anonymné dáta, sú to najviac osobné dáta aké existujú. Stačí si len pozrieť, aké SDK a API (Application Programming Interface) majú aplikácie implementované a zistíte skutočný rozsah zbieraných dát. To, že tieto dáta nemusia ísť priamo na server aplikácie neznamená, že vývojár aplikácie nenesie za daný zber dát žiadnu zodpovednosť. Práve naopak, je primárne zodpovedný“, upozorňuje Jakub Berthoty.
Kúsok kontroly do zberu dát z aplikácií sa v júni pokúsila zaviesť spoločnosť Apple, kedy informovala, že súčasťou nového updatu iOS 14 bude aj povinný opt-in súhlas na používanie AID. Drvivá väčšina aplikácií dnes totiž používa AID bez súhlasu používateľa zariadenia. Po novom by však používateľovi museli aplikácie automaticky ponúknuť možnosť, či chce odosielať svoje dáta alebo nie. Je veľký predpoklad, že mnohí používatelia by s odosielaním svojich osobných údajov nesúhlasili, čím by prišlo k signifikantným skresleniam analytických výsledkov. Na prvý pohľad progresívne gesto Applu ale narazilo na ostrú kritiku Facebooku, ktorému by sa výrazne znížili výnosy z kampaní cielených na iOS zariadenia. Facebook dokonca Applu pohrozil, že vypne možnosť cieliť na Apple zariadenia úplne. Ozvali sa ale aj vývojári, ktorí pohrozili, že prestanú pre iOS vyvíjať aplikácie. Pod silným náporom Apple napokon odložil zmenu na začiatok roka 2021, aby mali vývojári dostatok času na adaptáciu. „Napriek možnému skrytému komerčnému motívu, môžeme krok spoločnosti Apple označiť za progresívny a dlho očakávaný. Dôležité bude, aby systémová možnosť iOS spĺňala prísne požiadavky GDPR na platne udelený súhlas. Na vývojároch aplikácii zostane, či budú dostatočne informovať pomocou privacy policy. Súhlas a privacy policy sú prepojené nádoby a preto by sa vývojári aplikácii mali zamýšľať čoraz viac na tým, či sú v tomto smere dostatočne transparentní voči používateľom“, uzatvára Jakub Berthoty.