|
Tento dokument je reakcí na zásadní obavy profesní asociace IAB Europe týkající se navrhovaného evropského Nařízení o ochraně osobních údajů, které má nahradit stávající Směrnici z roku 1995. Najdete v ní stručné odpovědi na tři nejdůležitější otázky a doplnění dalších souvislostí. Pokud budete potřebovat k těmto tématům ještě další informace, obraťte se prosím na tým IAB Europe nebo na výkonné pracoviště SPIR.
Otázky a odpovědi
Jaké obavy v IAB Europe vyvolává současná diskuze o ochraně osobních údajů? Obavy IAB Europe se dají shrnout do tří hlavních oblastí: výslovný souhlas, profilování a koncepty anonymity a pseudonymity.
Výslovný souhlas Ve Směrnici o ochraně osobních údajů z roku 1995, která platí dodnes, existují dvě úrovně souhlasu. První z nich je označována jako souhlas a druhá výslovný souhlas. V kontextu stávající Směrnice se výslovný souhlas uplatňuje v případě citlivých údajů (definované seznamem kategorií, který obsahuje mj. rasový nebo etnický původ, politické názory, náboženské nebo filozofické přesvědčení, členství v odborových organizacích a zpracovávání údajů souvisejících se zdravím a sexuálním životem). V Evropské komisi a Evropském parlamentu tato Směrnice z roku 1995 v současnosti prochází revizí a byl vznesen návrh, aby byla nahrazena novým Nařízením. Je důležité si uvědomit, že mezi těmito dvěma typy právních dokumentů je zásadní rozdíl. Směrnice musí být transponována (tj. převedena do právních norem jednotlivých států a příslušně upravena) do podoby vnitrostátních zákonů jednotlivých členských zemí. Nařízení EU ovšem platí přímo a okamžitě bez nutnosti dalších úprav právními systémy členských států. My toto nařízení sice v zásadě vítáme, protože bude znamenat větší harmonizaci a více jistoty i předvídatelnosti v našem oboru, zároveň ale cítíme obavy z toho, že bude málo flexibilní a v praxi proto nepoužitelné.
Jaké nové problémy navrhovaná právní úprava přinese? Nejde jenom o to, že Komise změnila povahu právního nástroje (z podoby směrnice na nařízení, což je samo o sobě pozitivní krok), ale také o to, že jeho ustanovení jsou mnohem přísnější než ty původní. Například definice toho, co je to osobní údaj, byla v současném návrhu rozšířena. Uživatelé budou muset poskytovat svůj souhlas u většiny způsobů zpracovávání osobních údajů. Všechny online identifikátory, jako jsou soubory cookie a IP nebo MAC adresy, se teď téměř ve všech situacích považují za osobní údaje. Pokud budou všechny společnosti nuceny žádat o souhlas uživatelů u mnoha činností, které žádné bezpečnostní riziko nepředstavují (neškodné údaje), uživatelé začnou k věci přistupovat mechanicky. To vyvolává riziko, že budou poskytovat svůj souhlas automaticky, aniž by vůbec zvážili, s čím vlastně souhlasí, a aniž by tomu rozuměli. Pro společnosti podnikající s jinými společnostmi (B2B) bude situace složitější než pro ty jednající přímo se zákazníky (B2C), protože ty své uživatelé znají. Evropský internetový sektor se skládá zejména z B2B podniků, které ve většině případů zpracovávají (anonymní nebo pseudonymní) údaje spotřebitelů. Velké B2C platformy jsou převážně neevropské. Jelikož B2C společnosti mají přímý vztah se svými uživateli a mohou tak od nich získat výslovný souhlas, postihne je to v menší míře. Uživatelé většinou neznají značku B2B společností, které nemají příležitost kontaktovat je přímo (internetové stránky pravděpodobně nepovolí vyskakovací okna či jiné formy narušení za účelem získání souhlasu třetí stranou).
Co se stane, pokud společnosti nebudou schopné získat souhlas uživatelů? Vydavatelé novin nebudou moci využívat služeb dodavatelů, kteří jim pomáhají analyzovat a monetizovat jejich webové stránky, a kteří jim umožňují lépe pochopit potřeby uživatelů, co na stránkách hledají a jak. Na všechny společnosti, jejichž oborem je měření a analýza web stránek, bude mít tato změna výrazný dopad, protože jim coby třetím stranám znemožní sledování návštěvníků těchto stránek. V důsledku toho bude měření internetu a online uživatelů společnostmi v EU méně přesné, což povede k menší míře transparentnosti trhu, menšímu množství inovací a změn a nižšímu objemu sponzorovaného obsahu. Pozn. SPIR: Čím méně peněz získají vydavatelé z různých forem propagace, reklamy, cílení, prodeje obsahu apod., tím menší šanci na přežití mají vydavatelé na internetu a tím menší variabilitu obsahu budou mít uživatelé. Inzerenti, kteří investují do online kampaní, budou jen těžko moci sledovat jejich efektivitu a omezovat frekvenci zobrazení reklam pro získání její větší efektivity a menšího obtěžování uživatelů. Agentury budou také muset získat výslovný souhlas uživatelů internetu. Nebude to pro ně ale jednoduché, protože nejednají s nimi přímo, a nebudou ani moci zajistit, aby jejich obchodní partneři získali od uživatelů souhlas, který se bude vztahovat i na jejich činnost. Sektor online reklamy uživatelům poskytuje obsah a služby financované reklamou o celkové hodnotě téměř 70 miliard eur (za IAB EU, SPIR publikuje data celoročních výkonů internetové reklamy za ČR, které najdete zde). Multiplikační efekt reklamy v minulém roce (2012) vytvořil obrat ve výši 24 miliard eur – pokud bude Nařízení ve své současné podobě schváleno, bude výkon internetové reklamy za rok 2013 a dále ohrožen. Pokud webové stránky a služby přijdou o svoje obchodní modely, bude potenciálně ohrožena otevřenost a svoboda internetu jako takového. Bude složitější realizovat modely placeného obsahu; vytváření menšího množství obsahu placeného reklamou pak omezí pluralitu médií.
V čem je profilování v navrhované podobě Nařízení jiné? „Profilování je opatření založené na automatickém zpracovávání informací a dat, které má na uživatele výrazný dopad, a jehož cílem je vyhodnocovat osobnostní rysy a analyzovat nebo předvídat ekonomickou situaci uživatelů, jejich geografickou polohu, osobní preference, spolehlivost nebo chování.“ Jedním z významných rysů reklamy je ovlivňování lidského chování a nabádání k tomu, aby si uživatelé vybrali určitý produkt nebo službu na úkor jiných. Takový vliv na chování uživatelů by mohl v navrhované podobě nařízení být považován za výrazný. To by znamenalo, že většina forem reklamy by podle tohoto nařízení spadala do kategorie profilování. Již v minulosti organizace zabývající se ochranou osobních údajů argumentovaly, že přesně to je případ online behaviorální reklamy. Zatímco některé aktivity, jako je affiliate marketing, jsou jasně zaměřeny na okamžitý prodej výrobku, tedy z právního hlediska na realizaci transakce, personalizované služby jsou navrženy tak, aby předvídaly osobní preference uživatelů; pokud taková služba povede k uzavření právní smlouvy nebo bude interpretována jako něco, co má na uživatele výrazný vliv, bude spadat do definice profilování.
Jaký má nově zavedené ustanovení o profilování dopad na podnikání? Navrhované ustanovení definuje profilování velmi zeširoka. Činnosti zaměřené na personalizování obsahu nebo služeb pravděpodobně budou do tohoto ustanovení spadat a budou tedy vyžadovat i výslovný souhlas. Alternativně by mohl tento typ činností výslovně povolit zvláštní zákon (buď vnitrostátní nebo platný pro celou EU), což by ovšem pravděpodobně vyústilo ve složitou spleť dílčích zákonů a narušilo tak samotný cíl, kterým bylo sjednotit právní předpisy napříč celým kontinentem. Stávající Směrnice z roku 1995 vyvažovala zájmy uživatelů a online společností tím, že umožnila provádět automatizovaná rozhodnutí resp. souhlasy (např. souhlas s užitím nastavením prohlížeče), čímž uvolnila ruce inovacím a zlepšování služeb. Společnosti podnikající v oboru proto nevidí důvod, proč by se měla tato situace měnit.
Jaká jsou rizika nového ustanovení o profilování? Dnešní ustanovení o automatickém zpracovávání dat je méně přísné a nevztahuje se na online společnosti, jejichž obchodní model nezpracovává osobní údaje a využívá anonymní data. Většina zpracovávaných údajů je tak „neškodná“, protože jejich cílem není identifikovat konkrétní jednotlivce. Zpracovávání takovýchto údajů poskytuje uživatelům výhody a umožňuje jim získávat lepší služby a obsah. Evropská komise mylně předpokládá, že zákonodárci musí veřejnost dokonale opečovávat.
Jak by mělo ustanovení o profilování vypadat? Využívání pseudonymních dat pro účely personalizace a jiných aktivit sloužících uživatelům, by mělo být z tohoto příliš přísného ustanovení vyňato, tento typ profilování by měl být i nadále povolen, protože identita každého jednotlivce je chráněna a zpracovávaná data lze považovat za „neškodná“.
Jaký je rozdíl mezi anonymními a pseudonymními daty? Anonymní data jsou taková, která nikdy nebyla vztažena ke konkrétní osobě, nebo která byla pozměněna tak, aby ke konkrétní osobě vztažena být5nemohla. Na anonymní údaje se Směrnice z roku 1995 nevztahuje; v novém Nařízení musí být tento termín definován, aby bylo možné získat větší právní jistotu o tom, co anonymní data přesně jsou. Pseudonymní údaje jsou data zveřejněná způsobem, který znemožňuje jejich přiřazení ke konkrétnímu uživateli bez znalosti dalších údajů, na něž se vztahují zcela samostatné a odlišné technické i organizační kontroly. V praxi by žádný jednotlivec pracující v libovolné společnosti s těmito daty v souladu s firemní politikou nesměl mít přístup k oběma sadám údajů. Tyto sady by kromě toho také musely být uloženy v oddělených databázích.
Jak se změnila definice osobních a anonymních údajů? Definice osobních údajů byla rozšířena. V důsledku toho některá data, která byla dříve považována za anonymní, již takovými nebudou. V navrhovaném nařízení je „subjektem dat“ fyzická osoba, kterou by bylo možné přímo nebo nepřímo identifikovat, a to zejména podle identifikačního čísla, geografické polohy, online identifikátoru nebo jednoho či více faktorů specifických pro fyzickou, fyziologickou, genetickou, psychickou, ekonomickou, kulturní nebo sociální identitu této osoby. V důsledku toho se bude toto Nařízení vztahovat na mnohem více typů zpracovávání dat než dříve. V Praze dne 17.6.2013 V případě nejasností a dotazů kontaktujte výkonné pracoviště SPIR www.spir.cz |
18.06.2013