• Josef Bátrla

Porušuje aplikace Clubhouse GDPR a ePrivacy?

Aplikace Clubhouse nabírá poslední dobou v českém prostředí na popularitě. K čemu slouží a jak zachází s osobními údaji uživatelů? Některé její funkce jsou z pohledu GDPR problematické – zpracování osobních údajů neuživatelů či nahrávání hovorů. Porušuje Clubhouse nařízení GDPR A směrnici ePrivacy?


Pokud sledujete sociální sítě a pohybujete se na internetu, určitě vám neuniklo, že se v rámci České republiky stále častěji hovoří o sociální síti Clubhouse. Popsat tuto aplikaci tomu, kdo ji nikdy neviděl a nepoužíval, není jednoduché. Pokud však znáte například Discord, nebude vám fungování tohoto nového fenoménu až tak cizí. Oproti Discordu nemůžete v rámci aplikace Clubhouse psát či posílat soubory jiným uživatelům – můžete s nimi jen mluvit. Aplikaci si představte jako virtuální hospodu, kde se posadíte k libovolnému stolu (pokud není privátní), posloucháte rozhovor a popřípadě se i do hovoru zapojíte. Ostatně v médiích je této aplikaci věnován čím dál větší prostor, proto není těžké si o ní a o jejím fungování zjistit více.

Proč si toto téma zaslouží vaši pozornost? Počet českých uživatelů aplikace se sice stále pohybuje v řádu nižších tisíců, nicméně například na internetových stránkách vlády se objevila informace, že v rámci marketingové kampaně proti dezinformacím budou probíhat diskuze právě i na sociální síti Clubhouse, což svědčí minimálně o její možné budoucí relevanci, a to i přes to, že aktuálně není dostupná pro uživatele Androidu. Jistě tedy není od věci nahlédnout na otázky zpracování osobních údajů i v rámci této aplikace. Samotný přístup k aplikaci není úplně jednoduchý, neboť musíte splnit dvě podmínky – mít iPhone, respektive zařízení s iOS, a zároveň obdržet pozvánku (popřípadě se zařadit na takzvaný waiting list a počkat na schválení jiným uživatelem). V tomto bodě pravidelné čtenáře Zpravodaje zaujmou minimálně dvě věci – způsob zasílání pozvánek do aplikace a následná možnost nahrávání rozhovorů.

Způsob zasílání pozvánek

Pokud chcete do služby někoho přidat, kliknete v aplikaci na funkci „invite“. Objeví se kontakty z vašeho adresáře seřazené podle toho, kolik má daný uživatel již na Clubhousu přátel. Následně máte možnost si jednotlivé uživatele vybrat a prostřednictvím iMessage jim zaslat pozvánku na jejich telefonní číslo – aplikace totiž umožňuje tvořit pouze jeden účet, který je s telefonním číslem propojen. Vašemu kamarádovi pak od vás přijde zpráva s odkazem, kde si Clubhouse stáhnout. Zdá se vám to povědomé? Ano, jedná se o variaci funkce tell-a-friend, kterou známe již z jiných sociálních sítí a která se vymstila sociální platformě Twoo – za užívání této funkce obdržela od belgického úřadu pro ochranu osobních údajů pokutu padesát tisíc eur. O tomto případu jsme informovali v minulých číslech Zpravodaje.

Aplikace využívá funkci tell-a-friend, za níž byla v minulosti udělena pokuta 50 tisíc eur

Co se tehdy belgickému úřadu nelíbilo? Primárně to, že má aplikace přístup k vašim kontaktům a kontroluje, zda je daný kontakt již uživatelem aplikace, či nikoliv. V případě Clubhousu aplikace nadto ukáže i počet „společných přátel“, kteří již Clubhouse využívají. Problém je v tomto případě relativně jednoduše popsatelný z pohledu neuživatele služby. Aniž byste cokoliv udělali, aplikace má informace o tom, kteří uživatelé mají vaše telefonní číslo ve svém adresáři, a zná celkový počet těchto uživatelů (v současné době implicitně s informací, že máte mobilní zařízení s operačním systémem iOS). To vše pak zobrazuje uživatelům, kteří mají uložené vaše telefonní číslo.

Že je taková operace z pohledu GDPR i ePrivacy komplikovaná, už dobře víme. Můžete si to připomenout v článku Problém jménem tell- a-friend v digitálním marketingu. Problém tkví zejména v tom, že aplikace zpracovává osobní údaje ještě předtím, než k tomu potenciální uživatel udělí souhlas. Neméně komplikované je pak i stanovení právního titulu, respektive podmínek podle směrnice ePrivacy, které se týkají zasílání obchodních sdělení. Sociální platforma Twoo tuto funkci následně odebrala, což svědčí o tom, že tento problém nemá úplně jednoduché řešení. Ačkoliv v tomto případě je situace možná lehce odlišná, z pohledu vyřešení mechanismu zpracování osobních údajů je to výzva.

Nahrávání hovoru

Jak již bylo zmíněno v úvodu, celá interakce uživatelů této aplikace probíhá v rámci hlasové komunikace. Moderátor a jím připuštění uživatelé mohou hovořit na takzvané „stage“ (označováni jsou jako „speakers“) a ostatní, tedy prakticky kdokoliv, pokud místnost není uzamčena, mohou jejich hovor poslouchat (označováni jsou jako „listeners“).

To samo otevírá novou výzvu s ohledem na ochranu soukromí, a sice nahrávání hovoru aplikací a zároveň i jednotlivými uživateli. Co se týče poskytovatele aplikace, samotný hovor je nahráván vždy po dobu jeho trvání, a to ryze z bezpečnostních důvodů, přičemž pokud nedojde k nahlášení porušení podmínek služby, měl by být záznam hovoru smazán. Aplikace tedy sama o sobě neumožňuje uživatelům nahrávat konverzaci, děje se tak pouze nepřímo v případě, kdy jednotliví uživatelé nahlásí jednání, které považují za závadné, a poskytovatel si uchová záznam, aby mohl toto nařčení přezkoumat.

Co však nahrávání ze strany uživatelů prostřednictvím jiných aplikací? Clubhouse k tomuto problému přistupuje podle pravidla „co se stane ve Vegas, zůstane ve Vegas“. V souladu s tímto pravidlem v rámci Community Guidelines (pravidla komunity) stanovuje, že uživatel není oprávněn přepisovat, nahrávat či jakkoliv jinak reprodukovat či sdílet informace, které získal v rámci užívání Clubhousu – pokud to není předem umožněno (doslovný překlad by byl „bez předchozího souhlasu“).

Samotná pravidla komunity již tuto otázku neřeší, je tedy nutno nahlédnout do Terms of Services (podmínky užívání služby), které jsou taktéž závazným dokumentem pro všechny uživatele. Tyto podmínky zavazují uživatele souhlasit s tím, že nebude nahrávat ani část konverzace bez předchozího písemného souhlasu všech zúčastněných „hovořících uživatelů“ („speakers“) a dále že uživatel nebude sdílet (ať už na Clubhousu, či kdekoliv jinde) informaci, o níž „speaker“ prohlásil, že s ní má být zacházeno, jako by byla vyřčena „mimo záznam“ (tedy off the record).

Pokud chce tedy kdokoliv nahrávat konverzaci na Clubhousu, je postaven před veskrze nemožný úkol – je nucen si od všech, kteří aktivně vystupují v konverzaci, obstarat písemný souhlas. Avšak jak již bylo řečeno dříve, aplikace neumožňuje jiným uživatelům napsat. Navíc je nutné upozornit, že stále platí zákony, které se týkají ochrany soukromí (ať už občanský zákoník v části týkající se ochrany osobnosti, či GDPR). Přesto však někteří uživatelé daný obsah nahrávají a následně jej zveřejňují jako podcasty, čímž se mohou dopouštět porušení pravidel. Sám Clubhouse trestá případné přešlapy nekompromisně, druhou šanci zpravidla nedává, lze tedy předpokládat, že v případě zjištění porušení svá pravidla vynucuje poměrně přísně.

Závěrem

Zda si Clubhouse získá srdce všech uživatelů jiných sociálních sítích a jeho popularita vzroste, těžko říct. Využívání aplikace určitě otevírá nové možnosti v rámci mezilidské interakce, ale tvoří i staronové výzvy z pohledu ochrany osobních údajů.


Článek byl publikován v Elektronickém zpravodaji pro pověřence dne 4.2.2021