top of page
Obrázek autoraJosef Bátrla

Další pokuta pro sociální sítě: LinkedIn zaplatí 310 milionů eur

Padla další milionová pokuta za cílení reklamy v rozporu s GDPR. LinkedIn využíval osobní údaje uživatelů pro behaviorální analýzu bez řádného právního titulu. Co to znamená pro cílení reklam na sociálních sítích do budoucna? A co má případ LinkedInu společného s řízením ÚOOÚ vůči společnosti Seznam.cz?

Asi se shodneme na tom, že so­ciální sítě jsou špatný sluha a špatný pán. Kromě toho, že na nich trávíme poměrně dost času (někdy s nulovou přidanou hodnotou pro náš pracovní či osobní život), ne­zřídka se stává, že sociální sítě toho zneužívají a snaží se z našich aktivit vyždímat, co se dá.


V podstatě každá sociální síť, která má alespoň část obsahu a funkcí pro uživatele zdarma, přemýšlí nad tím, jak si peníze vydělat jiným způsobem. A to i profesní síť LinkedIn, na níž se dnes profesní obsah čím dál více vytrá­cí a zůstává marketingová platforma, kde se spíše než o novinkách v profes­ním světě dozvíme o (velmi často smy­šlených) životních příbězích lidí, kteří zaměňují LinkedIn za Facebook. Stejně jako sociální síť Facebook, i LinkedIn se pokoušel monetizovat své fungová­ní, a to prostřednictvím behaviorální analýzy uživatelů za účelem poskytnutí cílené reklamy pro své uživatele. Všichni si přitom asi vzpomenou, kam tento postup u Facebooku vedl a jak to vlastně celé dopadlo. Pojďme se podí­vat na to, jak se situace vyvíjela u LinkedInu.

LinkedIn nezákonně využíval osobní údaje uživatelů pro cílení reklamy

Na praktiky cílení reklamy na Lin­kedInu si posvítil už v roce 2018 irský dozorový orgán, a to na základě stížnosti neziskové organizace La Qua­ drature du Net původně k francouz­ skému úřadu. Tato organizace podala vůči LinkedInu stížnost, neboť nebyla plně spokojena s tím, jak sociální síť přistupuje k plnění povinnosti zásady transparentnosti. Nesoulad spatřovala nejen v rámci zpracování dat uživate­lů LinkedInu, která na této sociální síti vznikala, ale i v rámci dat, jež LinkedIn získal pro svoje účely od třetích stran.


Irský dozorový orgán se tak na zá­kladě stížnosti pustil do kontroly, kte­rá měla odhalit, jakým způsobem LinkedIn přistupuje k otázce behaviorální analýzy. Tato kontrola byla na straně úřadu završena v červenci 2024, kdy byl v rámci mechanismu mezinárodní spolupráce dle čl. 60 GDPR předložen dotčeným evropským kolegům návrh rozhodnutí k připomínkám, jenž byl v podobě rozhodnutí vydán dne 22. 10. 2024.


Konečný účet vystavený společ­nosti LinkedIn byl založen na několika zjištěních, počínaje porušením zásady zákonnosti ve třech rovinách, kdy Lin­kedIn podřazoval různé operace po­dobného charakteru pod různé právní tituly.


První, co se dozorovému orgánu nelíbilo, byl způsob, jakým Linked­In získával souhlas se zpracováním osobních údajů. Tento souhlas nebyl totiž dle dozorového orgánu informo­vaný, a tudíž ani konkrétní či jedno­ značný. Takový souhlas pak přirozeně nebyl poskytnut svobodně.


Druhá věc, nad kterou se úřad po zastavil, bylo používání oprávněného zájmu jako titulu ke zpracování osob­ních údajů uživatelů této sociální sítě za účelem behaviorální analýzy a cí­lené reklamy, včetně zpracování pro analytické účely jako takové, které dle úřadu nemohly mít přednost před zájmy a základními právy a svobodami uživatelů.


A konečně – do třetice všeho dob­rého – se úřad nespokojil s tím, že by behaviorální reklama mohla být nezbytná pro splnění smlouvy. Ostatně, v této otázce se ke stejnému závěru do­stal v soudním řízení i Facebook, tudíž by nás tento závěr neměl překvapit.


Druhý typ porušení, který úřad identifikoval, se týká právě zásady transpa­rentnosti, neboť LinkedIn nedostateč­ně poskytoval informace o zpracování osobních údajů.

Přejde LinkedIn na model „pay or OK“ stejně jako Facebook?

LinkedIn tak odchází z řízení s na­pomenutím a pokutou ve výši 310 mi­lionů eur (cca 7,82 miliardy korun), ale také povinností dát věci do pořádku. Nabízí se tak otázka, zda se po vzoru Facebooku dočkáme přechodu sociální sítě LinkedIn na princip „pay or okay“.


Metoda „pay or okay“ je v poslední době velmi oblíbený, avšak problematic­ký způsob získávání legitimity pro další nakládání s osobními údaji. Tomuto tématu jsme se věnovali v předchozích číslech Zpravodaje (zde), připomeneme proto jen, že celý mechanismus funguje tak, že subjekt údajů dostane od správce osobních údajů na výběr, zda souhlasí s tím, že jeho osobní údaje budou zpra­covávány za účelem například zobrazo­vání cílené reklamy, nebo je ochoten za­platit si za běžné fungování služeb bez daných operací zpracování.


Právě tuto cestu zvolil Facebook, který za užívání své služby bez „sledo­vání“ uživatelů (zjednodušeně řečeno) vybírá poplatek, a stejného mechani­smu začaly využívat i některé tuzem­ské služby. Celá otázka je velmi citlivá, neboť Facebook k tomuto kroku došel na základě série rozhodnutí Soudního dvora Evropské unie, přičemž tato prak­tika byla silně kritizována i ze strany EDPB a některých dozorových orgánů.


Ke kritikům této metody se sho­dou okolností přidal i český Úřad pro ochranu osobních údajů, který si v této souvislosti posvítil na společnost Sez­nam.cz. Ta totiž na model „pay or okay“ přešla jako jedna z prvních českých společností, a to přesto, že tento model si v evropském kontextu nezís­kal úplně jednoznačnou podporu, po­kud jde o legálnost takového postupu.


ÚOOÚ vydal předběžné opatření, v rámci nějž Seznamu do 30. 9. přiká­zal, aby:


  • se zdržel zpracování osobních údajů shromážděných na základě sou­hlasu subjektu údajů uděleného k je­jich zpracování za účelem označeným účastníkem řízení jako cílení reklamy, jehož jedinou alternativou pro mož­nost subjektu údajů získat přístup k we­bovým stránkám a online službám provozovaným účastníkem řízení bylo zaplacení jím stanoveného poplatku; a zároveň

  • se zdržel získávání souhlasu se zpracováním osobních údajů za úče­lem cílení reklamy, jehož jedinou alter­nativou, kdy subjekt údajů může získat přístup k webovým stránkám a online službám provozovaným účastníkem ří­zení, je zaplacení jím stanoveného po­platku.


Jako zdůvodnění ÚOOÚ uvedl mimo jiné následující: „Na základě výše uvedeného však vyvstávají závažné a důvodné pochyby o tom, zda je souhlas udělovaný v tomto konkrétním modelu „consent or pay“ svobodný, a tedy zda lze na základě předmětného souhlasu se zpracováním osobních údajů za účelem cílení reklamy zpracovávat osobní údaje poskytnuté ze strany subjektů údajů za tímto účelem. Tyto pochyby v souladu s výše uvedeným vyplývají především z toho, že subjektu údajů není dána reálná možnost svobody volby, neboť je na něj vyvíjen nátlak ve formě hrozící újmy, a to skrze poplatek za využívání služeb stanovený účastníkem řízení, který je jedinou alternativou udělení souhlasu se zpracováním osobních údajů za účelem cílení reklamy; a dále že dané operace zpracování nejsou fakticky nezbytné pro přístup k online službám, provozovaných účastníkem řízení, a subjekt údajů nemá možnost zpracování osobních údajů odmítnout bez ztráty přístupu k těmto službám, pokud nechce utrpět újmu ve své ekonomické sféře.“


V tuto chvíli tak probíhají další še­tření ve společnosti Seznam.cz, ale ta­ké ve skupinách Mafra či Czech News Center, které společně zaujímají ne malý kus celého českého mediálního trhu. Brzy se tak dozvíme, zda doporu­čovaná opatrnost vůči metodě „pay or okay“ byla na místě, či nikoliv.


Comments


bottom of page