Padla další milionová pokuta za cílení reklamy v rozporu s GDPR. LinkedIn využíval osobní údaje uživatelů pro behaviorální analýzu bez řádného právního titulu. Co to znamená pro cílení reklam na sociálních sítích do budoucna? A co má případ LinkedInu společného s řízením ÚOOÚ vůči společnosti Seznam.cz?
Asi se shodneme na tom, že sociální sítě jsou špatný sluha a špatný pán. Kromě toho, že na nich trávíme poměrně dost času (někdy s nulovou přidanou hodnotou pro náš pracovní či osobní život), nezřídka se stává, že sociální sítě toho zneužívají a snaží se z našich aktivit vyždímat, co se dá.
V podstatě každá sociální síť, která má alespoň část obsahu a funkcí pro uživatele zdarma, přemýšlí nad tím, jak si peníze vydělat jiným způsobem. A to i profesní síť LinkedIn, na níž se dnes profesní obsah čím dál více vytrácí a zůstává marketingová platforma, kde se spíše než o novinkách v profesním světě dozvíme o (velmi často smyšlených) životních příbězích lidí, kteří zaměňují LinkedIn za Facebook. Stejně jako sociální síť Facebook, i LinkedIn se pokoušel monetizovat své fungování, a to prostřednictvím behaviorální analýzy uživatelů za účelem poskytnutí cílené reklamy pro své uživatele. Všichni si přitom asi vzpomenou, kam tento postup u Facebooku vedl a jak to vlastně celé dopadlo. Pojďme se podívat na to, jak se situace vyvíjela u LinkedInu.
LinkedIn nezákonně využíval osobní údaje uživatelů pro cílení reklamy
Na praktiky cílení reklamy na LinkedInu si posvítil už v roce 2018 irský dozorový orgán, a to na základě stížnosti neziskové organizace La Qua drature du Net původně k francouz skému úřadu. Tato organizace podala vůči LinkedInu stížnost, neboť nebyla plně spokojena s tím, jak sociální síť přistupuje k plnění povinnosti zásady transparentnosti. Nesoulad spatřovala nejen v rámci zpracování dat uživatelů LinkedInu, která na této sociální síti vznikala, ale i v rámci dat, jež LinkedIn získal pro svoje účely od třetích stran.
Irský dozorový orgán se tak na základě stížnosti pustil do kontroly, která měla odhalit, jakým způsobem LinkedIn přistupuje k otázce behaviorální analýzy. Tato kontrola byla na straně úřadu završena v červenci 2024, kdy byl v rámci mechanismu mezinárodní spolupráce dle čl. 60 GDPR předložen dotčeným evropským kolegům návrh rozhodnutí k připomínkám, jenž byl v podobě rozhodnutí vydán dne 22. 10. 2024.
Konečný účet vystavený společnosti LinkedIn byl založen na několika zjištěních, počínaje porušením zásady zákonnosti ve třech rovinách, kdy LinkedIn podřazoval různé operace podobného charakteru pod různé právní tituly.
První, co se dozorovému orgánu nelíbilo, byl způsob, jakým LinkedIn získával souhlas se zpracováním osobních údajů. Tento souhlas nebyl totiž dle dozorového orgánu informovaný, a tudíž ani konkrétní či jedno značný. Takový souhlas pak přirozeně nebyl poskytnut svobodně.
Druhá věc, nad kterou se úřad po zastavil, bylo používání oprávněného zájmu jako titulu ke zpracování osobních údajů uživatelů této sociální sítě za účelem behaviorální analýzy a cílené reklamy, včetně zpracování pro analytické účely jako takové, které dle úřadu nemohly mít přednost před zájmy a základními právy a svobodami uživatelů.
A konečně – do třetice všeho dobrého – se úřad nespokojil s tím, že by behaviorální reklama mohla být nezbytná pro splnění smlouvy. Ostatně, v této otázce se ke stejnému závěru dostal v soudním řízení i Facebook, tudíž by nás tento závěr neměl překvapit.
Druhý typ porušení, který úřad identifikoval, se týká právě zásady transparentnosti, neboť LinkedIn nedostatečně poskytoval informace o zpracování osobních údajů.
Přejde LinkedIn na model „pay or OK“ stejně jako Facebook?
LinkedIn tak odchází z řízení s napomenutím a pokutou ve výši 310 milionů eur (cca 7,82 miliardy korun), ale také povinností dát věci do pořádku. Nabízí se tak otázka, zda se po vzoru Facebooku dočkáme přechodu sociální sítě LinkedIn na princip „pay or okay“.
Metoda „pay or okay“ je v poslední době velmi oblíbený, avšak problematický způsob získávání legitimity pro další nakládání s osobními údaji. Tomuto tématu jsme se věnovali v předchozích číslech Zpravodaje (zde), připomeneme proto jen, že celý mechanismus funguje tak, že subjekt údajů dostane od správce osobních údajů na výběr, zda souhlasí s tím, že jeho osobní údaje budou zpracovávány za účelem například zobrazování cílené reklamy, nebo je ochoten zaplatit si za běžné fungování služeb bez daných operací zpracování.
Právě tuto cestu zvolil Facebook, který za užívání své služby bez „sledování“ uživatelů (zjednodušeně řečeno) vybírá poplatek, a stejného mechanismu začaly využívat i některé tuzemské služby. Celá otázka je velmi citlivá, neboť Facebook k tomuto kroku došel na základě série rozhodnutí Soudního dvora Evropské unie, přičemž tato praktika byla silně kritizována i ze strany EDPB a některých dozorových orgánů.
Ke kritikům této metody se shodou okolností přidal i český Úřad pro ochranu osobních údajů, který si v této souvislosti posvítil na společnost Seznam.cz. Ta totiž na model „pay or okay“ přešla jako jedna z prvních českých společností, a to přesto, že tento model si v evropském kontextu nezískal úplně jednoznačnou podporu, pokud jde o legálnost takového postupu.
ÚOOÚ vydal předběžné opatření, v rámci nějž Seznamu do 30. 9. přikázal, aby:
se zdržel zpracování osobních údajů shromážděných na základě souhlasu subjektu údajů uděleného k jejich zpracování za účelem označeným účastníkem řízení jako cílení reklamy, jehož jedinou alternativou pro možnost subjektu údajů získat přístup k webovým stránkám a online službám provozovaným účastníkem řízení bylo zaplacení jím stanoveného poplatku; a zároveň
se zdržel získávání souhlasu se zpracováním osobních údajů za účelem cílení reklamy, jehož jedinou alternativou, kdy subjekt údajů může získat přístup k webovým stránkám a online službám provozovaným účastníkem řízení, je zaplacení jím stanoveného poplatku.
Jako zdůvodnění ÚOOÚ uvedl mimo jiné následující: „Na základě výše uvedeného však vyvstávají závažné a důvodné pochyby o tom, zda je souhlas udělovaný v tomto konkrétním modelu „consent or pay“ svobodný, a tedy zda lze na základě předmětného souhlasu se zpracováním osobních údajů za účelem cílení reklamy zpracovávat osobní údaje poskytnuté ze strany subjektů údajů za tímto účelem. Tyto pochyby v souladu s výše uvedeným vyplývají především z toho, že subjektu údajů není dána reálná možnost svobody volby, neboť je na něj vyvíjen nátlak ve formě hrozící újmy, a to skrze poplatek za využívání služeb stanovený účastníkem řízení, který je jedinou alternativou udělení souhlasu se zpracováním osobních údajů za účelem cílení reklamy; a dále že dané operace zpracování nejsou fakticky nezbytné pro přístup k online službám, provozovaných účastníkem řízení, a subjekt údajů nemá možnost zpracování osobních údajů odmítnout bez ztráty přístupu k těmto službám, pokud nechce utrpět újmu ve své ekonomické sféře.“
V tuto chvíli tak probíhají další šetření ve společnosti Seznam.cz, ale také ve skupinách Mafra či Czech News Center, které společně zaujímají ne malý kus celého českého mediálního trhu. Brzy se tak dozvíme, zda doporučovaná opatrnost vůči metodě „pay or okay“ byla na místě, či nikoliv.
Comments