top of page

Lze využít citlivé údaje „zveřejněné“ subjektem k cílení reklamy?

Obrázek autora: Josef BátrlaJosef Bátrla

Společnost Meta opět stanula před soudem. Tentokrát kvůli tomu, že zpracovávala citlivé osobní údaje „zveřejněné“ subjektem údajů mimo její platformy pro účely personalizované reklamy. Jak se k otázce postavil Soudní dvůr EU?

Pokud by si někdo zasloužil vlastní parkovací místo před budovou Soudního dvora Evropské unie, byli by to pravděpodobně společnost Meta Platforms Ireland Ltd (dříve Facebook) a Maximilian Schrems. Dost možná by ale každé místo muselo být na opačném konci parkoviště, protože v kontextu rozhodování SDEU se jedná o dva nesmiřitelné nepřátele. O jejich dlouholetém klání jsme na těchto stránkách psali už několikrát, tudíž jen připomeneme, že Schrems, respektive jeho urputnost v boji proti Facebooku a způsobu, jakým zpracovává osobní údaje, několikrát zasáhla do fungování samotné sociální sítě Facebook. Je také důvodem, proč SDEU již dvakrát zrušil rozhodnutí Evropské komise – prvně Safe Harbour, pak Privacy Shield – a je dost možné, že třetí rozhodnutí bude mít také namále. V říjnu tohoto roku vyšlo další rozhodnutí SDEU, které se týká společnosti Meta a Maxe Schremse, jehož závěry si rozebereme v tomto článku.

Meta využívala k reklamě i citlivé údaje získané ze služeb třetích stran

Facebook dnes

Samotný spor je celkem zajímavý. Sociální síť Meta byla až do listopadu minulého roku poskytována bezplatně – respektive jen za naše osobní údaje. Od konce roku 2023 však Meta přešla na placený model „pay or okay“, kdy má uživatel na výběr buď souhlasit se zpracováním osobních údajů pro reklamní účely (primární monetizační systém Facebooku), nebo si zaplatit poplatek.


Samotný sběr osobních údajů probíhal nejen v rámci sociální sítě (tedy z fotek či příspěvků, které uživatel na stránkách zveřejnil), ale také z různých pluginů či pixelů, jež jsou vkládány na služby třetích stran. Například pokud uvidíte na internetové stránce třetí osoby tlačítko „to se mi líbí“, můžete si být téměř jisti, že Meta o vás získá určité informace nejen po kliknutí na dané tlačítko, ale už při návštěvě předmětné stránky.


Celá věc je ještě problematičtější, pokud se předmětné funkce (a tedy i pluginy) nacházejí na stránkách politických subjektů či na stránkách určených pro uživatele určité sexuální orientace.


A přesně v tom Schrems spatřoval problém, který vedl k předmětnému rozhodnutí SDEU. Schrems společnosti Meta totiž nepovolil, aby zpracovávala jeho osobní údaje, jež získá od inzerentů a svých dalších partnerů mimo společnost pro účely personalizované reklamy. Přesto k tomu mělo podle společnosti Meta docházet. V rámci řízení SDEU totiž bylo uvedeno následující: „M. Schrems obdržel reklamu týkající se jedné rakouské političky, která vycházela z analýzy provedené společností Meta Platforms Ireland, podle níž má společné body s dalšími uživateli, kteří této političce dali hodnocení ‚to se mi líbí‘. M. Schrems dále pravidelně dostával rovněž reklamy zacílené na homosexuální veřejnost a pozvánky na odpovídající události, i když se nikdy předtím o tyto události nezajímal a neznal místo, kde se tyto události konaly. Tyto reklamy a pozvánky nebyly založeny přímo na sexuální orientaci M. Schremse a jeho ‚přátel‘, ale na analýze jejich zájmů, v projednávaném případě na skutečnosti, že jeden z přátel M. Schremse ohodnotil určitý výrobek tlačítkem ‚to se mi líbí‘.“


Zajímavý je na tom samozřejmě i Schremsův metodický přístup. Ten si totiž své soukromí na Facebooku pečlivě střeží, a ačkoliv o své sexuální orientaci několikrát veřejně mluvil (zejména pak v rámci kulatého stolu, kterého se zúčastnil na pozvání Evropské komise v Rakousku, kde právě Facebook kritizoval), Facebooku tento svůj aspekt soukromého života nikdy nesdělil. A právě to, že Facebook takové údaje používal, se Schremsovi nelíbilo, stejně jako to, že Meta dle jeho slov nedbá na zásadu minimalizace a dlouhodobě zpracovává osobní údaje svých uživatelů za účelem nabízení personalizované reklamy, aniž by měla v plánu pro tyto účely předmětné údaje mazat.


Předběžné otázky pro SDEU

Max Schrems tak celou věc předložil k řešení vídeňskému soudu (jelikož je původem z Rakouska), přičemž Nejvyššímu soudu Rakouska nezbylo, než se obrátit na SDEU se čtyřmi předběžnými otázkami, z nichž dvě vzal zpět. SDEU se tak nakonec zabýval těmito dvěma otázkami:


  1. Musí být čl. 5 odst. 1 písm. c) GDPR (minimalizace údajů) vykládán v tom smyslu, že veškeré osobní údaje, které byly (zejména dotčenou osobou nebo třetími subjekty v rámci dané platformy a mimo ni) poskytnuty takové platformě, jako je platforma dotčen ve věci v původním řízení, lze časově neomezeně nebo s ohledem na povahu daných údajů agregovat, analyzovat a zpracovávat pro účely cílené reklamy?

  2. Musí být ustanovení čl. 5 odst. 1 písm. b) GDPR ve spojení s jeho čl. 9 odst. 2 písm. e) vykládána v tom smyslu, že vyjádření o vlastní sexuální orientaci pro účely diskuse u kulatého stolu umožňuje zpracování jiných údajů týkajících se sexuální orientace za účelem agregace a analýzy údajů pro účely personalizované reklamy?


Zásada minimalizace

Co SDEU odpověděl na otázku ohledně minimalizace? Dle SDEU má být zásada minimalizace vykládána tak, že brání tomu, aby veškeré osobní údaje, které provozovatel sociální sítě získal od subjektu údajů nebo třetích osob a které byly shromážděny jak na této platformě, tak i mimo ni, byly agregovány, analyzovány a zpracovávány pro účely cílené reklamy, a to bez časového omezení a bez rozlišování podle povahy těchto údajů.


SDEU totiž připomněl, že předmětné zpracování je nutné považovat za zvlášť rozsáhlé právě proto, že se týká potenciálně neomezeného množství údajů a má významný dopad na uživatele, pokud jsou všechny jeho činnosti sledovány ze strany Mety, respektive subjekt údajů může podlehnout dojmu, že celý jeho soukromý život je sledován.

Citlivé údaje nelze zpracovávat pro cílení reklamy, i když je subjekt sám zveřejnil ve veřejné diskusi

SDEU k „zveřejněným údajům“

Druhá otázka se týkala výše zmíněného kulatého stolu, respektive otázky výkladu čl. 9 odst. 2 písm. e) GDPR, dle nějž smí správce zpracovávat zvláštní kategorie osobních údajů v případě, že se jedná o zpracování údajů zjevně zveřejněných subjektem údajů.


Odpověď SDEU je však i v tomto případě poměrně nekompromisní, neboť dle jeho názoru musí být předmětné ustanovení GDPR vykládáno tak, že pokud se určitá osoba při veřejné diskusi u kulatého stolu vyjádřila ke své sexuální orientaci, neopravňuje provozovatele online platformy pro sociální síť zpracovávat další údaje týkající se sexuální orientace této osoby získané případně mimo tuto platformu z aplikací a internetových stránek třetích stran za účelem jejich agregace a analýzy s cílem nabídnout jí personalizovanou reklamu.


Dohra u soudu

Závěr SDEU je jednoznačný, nicméně ještě bude záležet na tom, jak s těmito odpověďmi naloží rakouské soudy. Jisté je jen to, že společnost Meta bude muset v rámci Facebooku zapracovat na tom, jak se staví k otázce minimalizace osobních údajů.


Comments


bottom of page