Kategorie: Dlouhodobý slídil
Vítěz: Facebook za invazivní a dlouhodobě nezodpovědný přístup k osobním datům uživatelů i dalších osob
Facebook jakožto každoroční nominant v soutěži o jednu z anticen Velkého bratra se dočkal ocenění při příležitosti oslav 15 let jeho existence. Rok 2018 byl přitom vyústěním dlouhodobého nezodpovědného přístupu k osobním údajům uživatelů i osob, které nikdy uživateli Facebooku nebyly, ale jejichž data Facebook stejně shromažďuje.
Facebook byl v soutěži o anticeny prakticky vždy nominován z mnoha různých důvodů. Oceněn byl již před deseti lety. Následně mu další ocenění unikala proto, že skandály Facebooku byly všeobecně známé a považovali jsme za důležitější upozorňovat na méně známé případy zásahu do soukromí. Nicméně nic netrvá věčně a rok 2018 byl natolik výjimečný i v řadě skandálů Facebooku z minulých let, že se porota rozhodla tento rok ocenění Facebooku udělit znovu.
V roce 2018 předně čelil Facebook kritice za nedostatečnou ochranu uživatelských informací ve skandálu Cambridge Analytica. Facebook zde umožňoval společnosti zabývající se ovlivňováním voličů získat a dále využívat k sofistikovanému politickému marketingu data desítek milionů nic netušících uživatelů. Je tak již nad slunce jasnější, že sběr dat není motivován jen lepším cílením reklamy na nový telefon či dovolenou, ale může jít i o velmi efektivní snahu ovlivňovat formování názorů a volební chování.
V minulém roce tak vyšlo najevo, že síť poskytuje nadstandardní přístup k uživatelským informacím vybraným společnostem, a to bez vědomí uživatelů. Na podzim zase vyšla najevo obří chyba zabezpečení, která potenciálním útočníkům umožnila ovládat účty až 50 milionů uživatelů. Na konci roku se pak ukázalo, že kvůli chybě v kódu Facebook rovněž nezáměrně zpřístupnil necelých sedm milionů privátních fotografií uživatelů. Zaslouženost ocenění potvrzují i další odhalení ze začátku roku letošního, kdy vyšlo najevo, že Facebook v rozporu s pravidly pro vývojáře aplikací v ekosystému Apple motivoval uživatele k instalaci aplikace, která sleduje veškerý jejich síťový provoz. Facebook zde zvláště cílil na děti.
Pravý charakter Facebooku hezky shrnul Edward Snowden ve svém tweetu: „Firmy, které vydělávají peníze pomocí sbírání a prodávání detailních záznamů soukromých životů se dříve jmenovaly sledovací společnosti. Jejich rebranding jakožto sociálních médií je nejúspěšnějším krycím manévrem od doby, kdy se z ministerstev války stala ministerstva obrany.“
Facebook dlouhodobě představuje toho nejnenasytnějšího datožrouta na internetu. Přesto ani série skandálů nedokáže jeho oblíbenost výrazně oslabit, byť jeho růst snad již dosahuje svých hranic. V České republice témař každý druhý člověk navštíví svůj účet na Facebooku každý den. Celosvětově jde o cca 1,5 miliardy lidí. Facebook si navíc pojišťuje přísun dat i nákupem dalších rychle rostoucích služeb, jako je WhatsApp, ale zejména prudce rostoucí Instagram.
Zdroj:
https://www.irozhlas.cz/komentare/facebook-vyroci-socialni-sit_1902041035_zlo
https://www.lupa.cz/aktuality/facebook-podvedl-apple-firma-mu-za-to-vypnula-interni-aplikace-v-ios/
Kategorie: Firemní slídil
Vítěz: iRobot za špehující vysavače Roomba
Některé novější typy vysavačů Roomba od společnosti iRobot zasílají do cloudových úložišť společnosti údaje o prostorách, v nichž se pohybují, jako jsou půdorysy bytů, detekce objektů nebo dokonce snímky. Údaje jsou propojitelné přes účet s dalšími údaji, které společnost zpracovává. Společnost se rovněž netají tím, že by ráda data sdílela i s dalšími velkými hráči na poli budování „inteligentní“ domácnosti.
Na to, že informace, které sdílíme při práci s počítačem, jsme si už zvykli. Jakým způsobem nám ale do soukromí stále agresivněji vstupují přístroje a zařízení v domácnosti, které o nás shromažďují informace, si mnohdy neuvědomujeme. Na první pohled nejde o informace nijak zvlášť citlivé. Jejich hodnota nicméně spočívá hlavně v tom, že jsou propojitelné s jinými informacemi, a také v tom, že jde o informace často unikátní, které nikdo jiný nemá.
O tom, že společnost iRobot prostřednictvím svých vysavačů sbírá osobní údaje, které centrálně zpracovává, se ví již několik let. V roce 2017 společnost přiznala, že údaje hodlá sdílet s velkými internetovými giganty jako je Amazon, Apple či Google v rámci budování „inteligentní“ domácnosti. V reakci na kritiku společnost iRobot přispěchala s ujištěním, že toto bude dělat pouze se souhlasem klientů.
Mnohastránková pravidla zpracování osobních údajů společnosti iRobot nám říkají, jaké údaje společnost o svých zákaznících sbírá, a to různým způsobem. Jde o široké spektrum osobních údajů včetně třeba informací o životním stylu, výši příjmů, volnočasových a jiných zájmech, počtu dětí a domácích mazlíčků nebo informace o vašem domácím prostředí. To vše a mnoho dalšího pak může dle podmínek propojovat s dalšími údaji získanými přímo vysavačem ve vaší domácnosti a využívat třeba pro cílený marketing. Společnost sice informuje v různých vyjádřeních, že se shromažďování a odesílání dat vysavačem děje se souhlasem uživatele, v pravidlech ochrany soukromí nicméně následně uvádí, že právním základem zpracování těchto dat je plnění smlouvy nebo ochrana oprávněných zájmů výrobce, nikoli tedy souhlas klienta. Podle všeho tak tedy společnost chápe jako udělení souhlasu už to, že zákazník vysavač začne plně využívat se všemi jeho funkcionalitami. Sesbíraná data jsou dále zasílána do USA a sdílena s dalšími společnostmi.
Domov považuje většina lidí za výsostné místo, kde očekáváme nejvyšší míru soukromí. Udělením ceny společnosti iRobot chceme navázat na udělení anticen v minulosti za další prvky toho, co se souborně nazývá „inteligentní domácnost“, počínaje šmírujícími televizory až po dětské hračky propojené přes wi-fi s umělou inteligencí, která prostřednictvím mikrofonů komunikuje s dítětem. Klademe si otázku, nakolik je každý z nás ochoten za drobné „vychytávky“ inteligentní domácnosti platit kromě penězi i informacemi ze soukromí, jejichž široké budoucí možnosti využití dnes často zatím neznají ani ti, kdo je sbírají. Bez ohledu na to, nakolik společnost iRobot opravdu disponuje, správně odškrtnutými souhlasy s různými typy zpracování osobních údajů je třeba upozornit i na obecnější otázku, nakolik v dnešní „přesouhlasené“ době ještě vůbec dokážeme dohlédnout, s čím vlastně souhlasíme a zda naše souhlasy s komplexnějšími způsoby zpracování osobních údajů lze vůbec považovat za platné.
Zdroj:
https://www.irobot.com/legal/privacy-policy
https://www.zdnet.com/article/irobot-and-google-team-up-to-understand-your-smart-home/
Kategorie: Úřední slídil
Vítěz: Finanční správa ČR za vyžadování informací o svatebních hostinách od novomanželů
Finanční úřad pro Olomoucký kraj se v létě 2018 obrátil na desítky novomanželských párů s výzvou k poskytnutí řady informací o jejich svatební hostině. V případě nevyhovění úřad hrozil statisícovými sankcemi. Cílem této netradiční hořké tečky za svatebním veselím bylo zjistit možná porušení zákona o EET. Tato praxe byla následně posvěcena i nadřízeným Generálním finančním ředitelstvím či ministryní financí Alenou Schillerovou.
Akce „novomanželé“ začala oslovením zhruba 10 matričních úřadu v působnosti finančního úřadu s dotazem, kdo v určité dny uzavíral sňatek. S těmito informacemi se pak začal finanční úřad obracet s výzvou na novomanžele. Žádal informace o tom, kde měli svatební hostinu, kolik na ní bylo hostů či kde hosty ubytovali. Zároveň měli manželé dodat veškeré doklady související s placením svatební hostiny. Rybářský styl akce, kdy úřad rozhazuje sítě v naději, že se někdo chytí, ukazuje i skutečnost, že takto byli osloveni i novomanželské páry, které měly svatební hostinu doma.
Svůj pohled na výkon finanční správy následně obhajobou tohoto postupu prezentovalo i Generální finanční ředitelství a ministryně financí Alena Schillerová, která v odpovědi poslancům, kteří se o případ zajímali, uvedla: „V případě uvedeného postupu Finanční správy ČR proto nešlo o exces, který by vybočoval ze zákonného rámce, a není ani systémovým problémem správní praxe Finanční správy ČR.“ Postup byl tedy označen za zcela legální, maximálně “necitlivý”.
Jiného názoru byla řada expertů na daňové právo, dle nichž je výklad pravomocí úřadu značně extenzivní a úřad vůbec neměl právo takovouto výzvu novomanželům zaslat. Navíc pokud bychom akceptovali jako legální tento způsob plošného rozesílání výzev s výhrůžkami vysokých pokut občanům pouze na základě toho, že se ženili či vdávaly v určitý den, tak bychom otevírali finanční správě do budoucna možnost žádat v podstatě jakékoli informace od kohokoli. Jde totiž jen těžko definovat okruh informací, které by nemohly mít význam pro správu daní a poplatků. Vzhledem k dosti obecně definovaným pravomocem je nezbytné, aby finanční správa respektovala zásady, které jsou pro řízení vůdčí, včetně zásady přiměřenosti, což se v tomto případě zjevně nedělo.
Ocenění směřuje k Finanční správě ČR jako celku a nikoli pouze k inkriminovanému finančnímu úřadu z toho důvodu, že z reakce je zřejmé, že pokud jde o posouzení oprávněnosti daného postupu, tak zde panuje ve finanční správě shoda, což porota považuje za neblahý příslib obdobného přístupu ke správě daní a způsobu jednání s občany v budoucnu.
Zdroj:
Kategorie: Výrok Velkého bratra
Vítěz: Petr Stuchlík, kandidát na pražského primátora za výrok spojený s nápadem zavést do pražských škol kamerové systémy
Výrok:
„ Nedokážu si představit, proč by náš návrh školy odmítly. Není to nic proti ničemu a je vždy lepší, když tam bude bezpečno…“
Výrokem Stuchlík dle serveru iDnes.cz okomentoval předvolební slib pražského ANO namontovat po volbách do cca 860 pražských škol kamery. Tento výrok, který je další variací na stále se objevující tvrzení „kdo nic nepáchá, nemá se čeho bát“ upozorňuje i na širší tlak na osazování škol kamerami, který v posledních letech sílí a skrývá v sobě hned tři omyly zastánců kamerového sledování a dobře dokumentuje Stuchlíkovo nepochopení problematiky.
První omyl spočívá v tom, že tím, kdo by se měl k instalaci kamer vyjádřit, jsou školy a nikoli učitelé, rodiče nebo děti, které by kamery měly sledovat, a kterým by tak případně sledování mohlo vadit především. Další omyl spočívá v přesvědčení, že proti kamerám vlastně nelze nic namítat, že vlastně nemohou nikomu vadit a není to tak „nic proti ničemu“. Ostatně to, že tato představa je mylná ukázala i odmítavá vyjádření z některých škol, které na záměr reagovaly.
Možná největší je ale poslední omyl, který souvisí s představou, že kamery jsou vhodným nástrojem na posílení bezpečnosti zřejmě prakticky kdekoli. Kamery přitom jen těžko pomohou napadenému s obranou či zloději v odnesení lupu. Nedostatek personálu, který by byl takové množství obrazů schopen sledovat a reagovat, by šlo částečně překlenout možností detekce „nestandardních jevů“, jak dále rozvíjel Stuchlík své myšlenky. Automatizace sledování ovšem kromě dalších nákladů může znamenat i ještě invazivnější zásah do soukromí. Pokud by se nastavení kamerových systémů chopili lidé, kteří nechápou, že kamery mohou lidem vadit právě kvůli zásahu do soukromí, tak je toto riziko více než reálné. Vedle pochyb o smyslu kamer při zajišťování okamžité reakce na incidenty je třeba doplnit, že i funkce prevence nebo funkce důkazního prostředku při vyšetřování nějakého incidentu je v praxi často oslabena tím, že se jednoduše nepodaří pachatele identifikovat ani podle natočených záznamů, případně i otupěním pachatelů, pro něž je dnes „práce pod kamerami“ už denním chlebem.
Bezpečí dětí ve školách je jistě důležité. Bohužel politici na všech úrovních, školy i rodiče podléhají často přesvědčení krmenému zájmy dodavatelů kamerových systémů, že kamery vyřeší bezpečnost za nás. Na školách často chybí bezpečnostní audity, které by měly zhodnotit, jaká opatření jsou nejvhodnější. Klíčovou roli přitom hrají režimová pravidla a zejména pak jejich dodržování. Tedy, kdo má do školy přístup, za jakých podmínek se cizí osoby po škole pohybují, kdo za co zodpovídá a kdo to kontroluje. Pokud tato pravidla chybí nebo se obcházejí, tak to kamery nezachrání. Spíše než zlepšení bezpečnosti se pak dočkáme užívání kamer k usvědčení pachatele, který o velké přestávce podrazil spolužákovi nohy nebo snědl svačinu.
Zdroj:
Kategorie: Pozitivní cena Edwarda Snowdena
Vítěz: Evropská spotřebitelská organizace BEUC za koordinované podání stížnosti na nelegální praktiky při získávání přístupu k informacím o poloze uživatelů Androidu společností Google
Pozitivní cena tentokrát směřuje ke spotřebitelské organizaci, která zastřešuje spotřebitelské organizace napříč Evropou včetně například české organizace dTest. Důvodem ocenění je podání podnětu ke kontrole společnosti Google, který byl koordinovaně podán k dozorovým úřadům v sedmi členských státech EU, včetně České republiky. Podnět upozorňuje na porušování předpisů o ochraně osobních údajů při získávání informací o poloze uživatelů internetovým gigantem.
Porota ocenila BEUC jako zastřešující organizaci podání podnětu ke kontrole na Google členskými organizacemi k národním dozorovým úřadům ve Švédsku, Nizozemí, Řecku, Slovinsku, Polsku, Norsku a České republice. V České republice byl podnět podán spotřebitelskou organizací dTest. Podnět vychází ze závěrů studie norské spotřebitelské organizace Forbrukerrådet „Every step you take“ kde je popsáno, jak Google tlačí a manipuluje uživatele operačního systému Android k povolení nepřetržitého sledování polohy, což dle stěžovatelů odporuje GDPR.
Dle publikovaného výzkumu Google sleduje polohu uživatelů prostřednictvím služeb „Historie polohy“ a „Aktivity na webu a aplikacích“, která jsou pevnou součástí všech účtů Google. Google využívá například defaultně nastavená sledování, uživatele informuje nevyváženě o tom, co volba určování polohy znamená, uživatelé musí opakovaně potvrzovat volbu odmítnutí sledování polohy, služby Googlu rovněž jsou propojeny natolik, že nelze volit určení polohy pouze u některých služeb.
V podnětech je poukazováno na to, že uvedené praktiky nejspíše porušují zásady stanovené v GDPR, zejména pak zásadu transparentnosti zpracování spojenou s právem na informace. Udělené souhlasy pak nelze považovat za svobodné, což je jeden z hlavních požadavků jejich platnosti dle GDPR.
Porota ocenění udílí nejen proto, že údaje o poloze, které dávají často komplexní informaci o pohybu mobilního telefonu a tedy obvykle i jeho držitele patří k vůbec nejcitlivějším údajům, které poskytovatelům internetových či telekomunikačních služeb poskytujeme, ale i proto, že koordinované podání podnětu poukazuje na širší fenomén neetických či dokonce nezákonných praktik při získávání souhlasů se zpracováním osobních údajů, s nimiž se můžeme setkat u řady společností, které pracují s našimi osobními údaji.
Zdroj:
https://www.dtest.cz/clanek-7039/podavame-stiznost-na-google-kvuli-poruseni-gdpr
https://fil.forbrukerradet.no/wp-content/uploads/2018/11/27-11-18-every-step-you-take.pdf
Za rok 2018 vybírala vítěze porota v tomto složení:
Jan Cibulka – datový novinář, Český rozhlas
Oldřich Kužílek – expert na otevřenost veřejné správy a ochranu osobních údajů
Robert Malecký – redaktor, Hlídacipes.org
Ján Matejka – ředitel Ústavu státu a práva AV ČR, člen rozkladové komise ÚOOÚ
Ondrej Mikle – odborník na ICT technologie
Adam Ondráček – brand consultant a vítěz Pozitivní ceny BBA 2007
Pavel Růžička – expert na IT bezpečnost,
Jan Vobořil – výkonný ředitel IuRe a advokát
Václav Vlk – advokát, Moreno Vlk & Asociados