Francouzský dozorový úřad udělil komunikační platformě Discord pokutu 800 tisíc eur za porušení GDPR. Případ ukázal na pochybení, kterých se často dopouští i čeští správci. (Ne)děláte je také?
Slyšeli jste někdy o službě Discord? Pokud ne, tak vaše děti zaručeně ano. Tato poměrně rozšířená komunikační služba dostala začátkem listopadu pokutu 800 tisíc eur (přibližně 19,5 milionu korun) od francouzského dozorového orgánu. Co vedlo k udělení této vysoké sankce?
Co je to Discord?
Discord bychom nejlépe definovali jako komunikační platformu, kterou v současnosti využívá něco okolo 350 milionů uživatelů (aktivně okolo 150 milionů) z celého světa. Tato platforma je velice oblíbená mezi mladými hráči videoher, nicméně její obecnou relevanci dokládá i fakt, že v březnu roku 2021 měl Microsoft dle informací agentury Bloomberg jednat o jejím odkupu za 10 miliard dolarů.
Samotná služba funguje na několika bázích, přičemž v zásadě ji lze využívat jako „instant messenger“ či si v ní zakládat komunitní servery. Součástí funkcí je výměna zpráv a uskutečňování audio či audiovizuálních hovorů, ale i budování komunity prostřednictvím veřejných či soukromých kanálů. Do roku 2020 byla tato platforma vnímána jako platforma hlavně pro hráče (jakožto alternativa jiné služby – Teamspeak), prostřednictvím které si hráči domlouvali společné herní radovánky a následně spolu mohli nepřerušeně komunikovat i po dobu hraní hry. Dnes je již Discord poměrně oblíbený i mezi podnikatelskou veřejností, jelikož ve své free verzi nabízí více funkcí než třeba platforma Slack, která v poslední době razantně změnila svůj přístup k freeware verzi.
Využívání této služby s sebou však nese určitá rizika. Jejím poskytovatelem je totiž společnost Discord Inc., která sídlí ve Spojených státech amerických. A jak všichni víme, společnosti v USA nejsou úplnými premianty, co se týče dodržování povinností v rámci GDPR.
Co se nelíbilo CNIL?
Bylo tedy jen otázkou času, kdy spadne klec. CNIL provedl rozsáhlou kontrolu a v rámci ní došel k tak zajímavým zjištěním, že se rozhodl udělit pokutu ve výši 800 tisíc eur.
Jako první problém CNIL shledal porušení zásady zákonnosti, neboť kontrolovaná společnost neměla definována pravidla pro uchovávání údajů, zejména pak lhůty týkající se výmazu. CNIL tak například zjistil, že v rámci aplikace je stále vedeno celkem 2 474 000 francouzských uživatelských účtů, které nebyly využívány po dobu delší tří let, a dokonce dalších 58 000 účtů, které nebyly užívány po dobu delší pěti let. Kontrolovaná osoba toto pochybení napravila již během zahájeného kontrolního řízení a stanovila definitivní lhůtu k výmazu, která byla určena na dobu dvou let od poslední aktivity.
Tento jev se bohužel velmi často objevuje i u českých správců. Ačkoliv někteří tuzemští správci skutečně definují dobu uchování (obvykle po dobu tří let od poslední aktivity), pravdou je, že je to často jen virtuální pravidlo, neboť nedochází k systematické kontrole aktivity uživatelů, a tudíž ani k jejich plošnému výmazu.
Druhým porušením pak měla logicky být nedostatečná ochrana soukromí (respektive plnění povinností dle čl. 13 GDPR, neboť minimálně chyběly informace o době uchování údajů), i tuto povinnost však kontrolovaná osoba dodatečně splnila.
Co se však CNIL skutečně nelíbilo, byl způsob ukončování videohovorů. Jde o ukázkový příklad porušování principu standardní ochrany dle čl. 25 odst. 2 GDPR, který byl pro nezasvěcené osoby velmi často těžko představitelný. To však už dnes neplatí, neboť máme následující příklad. Pokud jste se v Discordu účastnili hovoru a chtěli ho ukončit, pravděpodobně jste kliknuli v pravém horním rohu na tlačítko „X“ a po uzavření aplikace jste předpokládali, že máte hotovo. Jenže přesně to se nestalo, neboť aplikace se neukončila, ale pouze minimalizovala a ponechala vás ve videohovoru. Pokud byste tedy své dítě navštívili v jeho pokoji s klasickou větou „už toho hraní bylo dost“ a dítě tímto způsobem pouze minimalizovalo předmětné okno, všichni jeho spoluhráči by pak pravděpodobně byli svědky vašeho domlouvání, že školní povinnosti mají přednost.
Sám Discord tuto skutečnost napravil tak, že v případě kliknutí na křížek okna aplikace (nikoliv tlačítko „odpojit z hovoru“) na vás vyskočí okno s upozorněním, že se chystáte pouze minimalizovat aplikaci na pozadí, nedojde však k ukončení aplikace – pokud tuto možnost nezvolíte v obecném nastavení.
Jedním z dalších prohřešků byl způsob, jakým se kontrolovaná osoba vypořádala s povinností přijetí bezpečnostních opatření dle čl. 32 GDPR, jmenovitě (ne)vyžadování silného hesla. V průběhu kontroly totiž vyšlo najevo, že pro založení účtu stačilo zvolení hesla o délce 6 znaků, které obsahovalo pouze číslice a základní znaky. To CNIL vyhodnotil jako porušení GDPR, neboť kontrolovaná osoba nepodnikla dostatečné kroky k zajištění bezpečnosti jednotlivých uživatelských účtů.
I tento prohřešek byl ze strany kontrolované osoby napraven, neboť nově vyžaduje heslo o délce alespoň 8 znaků, které obsahuje tři až čtyři modifikátory (malá a velká písmena, čísla a speciální znaky), přičemž v případě neobvyklých přihlášení je vyžadováno vyplnění CAPTCHA (plně automatický veřejný Turingův test k odlišení počítačů a lidí).
Posledním prohřeškem pak bylo rozhodnutí kontrolované osoby neprovést posouzení vlivu na ochranu osobních údajů. Zde se dozorovému úřadu nelíbilo, že kontrolovaná osoba nebrala na zřetel fakt, že zpracovává mnoho osobních údajů, a to hlavně o mladistvých, kteří jsou častými (ne-li nejčastějšími) uživateli. I toto v průběhu kontroly kontrolovaná osoba napravila a vyhotovila celkem dvě posouzení vlivu.
Poučení pro české správce
Ačkoliv kontrolovaná osoba napravila některé z prohřešků (jiné napravit nešlo), nevyhnula se pokutě ve výši 800 tisíc eur. I když se může tento případ zdát vzdálený, opak je pravdou. Francouzský úřad totiž pokutoval za prohřešky, se kterými se potkáváme poměrně často i u našich správců, ať už je to absence posouzení vlivu, nevyžadování silného hesla, porušení principů „privacy by default“ a „privacy by design“, či nesprávně stanovená doba uchování – schválně si zkuste projít několik zásad zpracování, zda nenarazíte na magickou větu „osobní údaje budou uchovávány po dobu, po kterou jsou nezbytné pro splnění námi stanovených účelů“.