Francouzský dozorový úřad udělil pokutu za porušení GDPR ve výši 125 tisíc eur společnosti, která se zabývá sdílením elektroskútrů. Problém byl v uchovávání geolokačních údajů i předávání analytických dat společnosti Google.
Potkat v našich velkých městech obyvatele, kteří jsou nadšení ze sdílených elektroskútrů či elektrokoloběžek, je kvůli mnoha problémům tohoto fenoménu čím dál těžší. Někomu vadí nebezpečná rychlost volně dostupných strojů, některým to, že jezdí po chodnících a pěších zónách (motoristům naopak, že jezdí po silnici), jiným zase mnohdy problematické parkování na ulicích. Dnešní článek tak možná potěší některé kritiky, neboť se věnuje pokutě ve výši 125 tisíc eur, kterou 16. 3. 2023 udělil jednomu provozovateli sdílených elektroskútrů francouzský dozorový úřad (CNIL).
Jak tato služba funguje?
Sdílené elektroskútry či elektrokoloběžky se staly velmi populární alternativou k tradičním dopravním prostředkům, a to nejen v České republice, ale prakticky po celém světě. Obvykle celá služba funguje tak, že na vymezených místech jsou umístěny jednotlivé dopravní prostředky (elektrokoloběžky či elektroskútry), které mohou být zapůjčeny a následně vráceny prostřednictvím mobilní aplikace. Samotná mobilní aplikace je důležitým prostředkem pro fungování celé služby, neboť kromě zapůjčování a vracení se využívá i k provádění plateb.
Dejte si pozor na využívání geolokačních údajů
Celý systém by velmi těžko fungoval bez použití technologií. Samotné stroje jsou totiž často vybaveny technologií GPS a dalšími senzory, které umožňují sledovat jejich polohu. Díky tomu má provozovatel služby přehled nad všemi svými stroji, jejich rozmístěním, případnými nedostatky v konkrétních oblastech, ale také tím může předcházet krádežím a chybnému parkování či může kontrolovat dodržování pravidel silničního provozu. Fungování této služby má však i svoje limity v oblasti ochrany osobních údajů.
Kontrola CNIL
Již v roce 2020 si francouzský dozorový orgán naplánoval kontrolu v určitých oblastech každodenního života, se kterými se běžný francouzský občan může potkat. Patřily mezi ně i aspekty geolokace. Za tímto účelem se CNIL zaměřil na provozovatele sdílených elektroskútrů, společnost Cityscoot (jež se zabývá krátkodobým pronájmem těchto zařízení), a to pochopitelně z pohledu ochrany osobních údajů. Dozorový orgán zajímalo, jak společnost sbírá a zpracovává jednotlivé údaje, které se dozví o svých uživatelích (jichž k minulému roku bylo okolo 250 tisíc) prostřednictvím telefonů či počítačů.
Co se CNIL nelíbilo?
Pojďme se tedy podívat na to, za co si společnost Cityscoot vysloužila pokutu ve výši 125 tisíc eur (v přepočtu cca 2,9 milionu korun). CNIL v rámci své činnosti a v rámci spolupráce s dalšími dozorovými orgány z jiných členských států EU (daná společnost totiž operuje i na území Itálie či Španělska) například zjistil, že společnost sbírá o svých uživatelích údaje o jejich poloze, a to v intervalu každých 30 sekund, přičemž tyto údaje uchovává po delší dobu. Samotné uchování lokačních údajů mělo probíhat z několika důvodů, včetně zpracování z důvodu dopravních prostředků, případných stížností uživatelů, kvůli uživatelské podpoře či pro obhajobu právních nároků a řešení krádeží.
To však CNIL vyhodnotil jako nedostatečné důvody ke zpracování osobních údajů v daném rozsahu. Důvod spočívá mimo jiné v tom, že předmětný rozsah zpracovávaných osobních údajů může potenciálně leccos prozradit o soukromém životě uživatelů, včetně jejich obvyklého denního režimu, často navštěvovaných místech či o veškerých zastávkách během dne.
Pro nadbytečnost daného sledování pak hovoří i fakt, který argumentaci firmy Cityscoot vyvracel – společnost totiž zároveň nabízela identickou službu, která se bez sběru geolokačních údajů obešla. V daném případě tak CNIL konstatoval, že společnost Cityscoot nedodržela zásadu minimalizace.
Další porušení
Výše uvedený problém navíc nebyl jediným prohřeškem společnosti Cityscoot vůči GDPR. CNIL v rámci kontroly odhalil i další pochybení, včetně nedostatečného obsahu zpracovatelských smluv, ale také nezákonný sběr osobních údajů prostřednictvím služby reCAPTCHA od Google (bezplatná služba, která chrání webové stránky před spamem a zneužitím). V rámci tohoto zpracování odcházela analytická data bez souhlasu uživatelů do společnosti Google.
Využívání údajů z GPS
Jaké si z tohoto případu můžeme vzít ponaučení? Používání údajů z GPS je dnes poměrně běžné, nicméně z pohledu ochrany osobních údajů jde stále o poměrně problematické téma. Ať už se bavíme o sledování zaměstnanců prostřednictvím GPS, popřípadě o sběru geolokačních údajů našich zákazníků, nejedná se o úplně jednoduchou operaci zpracování, co se souladu s GDPR týče. Ačkoliv obchodní důvody mohou svědčit v náš prospěch, otázku ochrany osobních údajů ne vždy vyřešíme jen samotnou existencí našeho oprávněného zájmu.
Commenti