top of page
Vyhledat

Sběr dat neboli data scraping = porušení GDPR?

  • Obrázek autora: Josef Bátrla
    Josef Bátrla
  • 27. 2.
  • Minut čtení: 4

Společnost Kaspr dostala od francouzského dozorového úřadu pokutu ve výši 240 tisíc eur za porušení GDPR v souvislosti s tzv. data scrapingem. O co se jedná? A může být systematické zpracovávání kontaktních údajů ze sociálních sítí v souladu s GDPR?

V prosinci 2024 vydal francouzský dozorový úřad (CNIL) rozhodnutí ve věci společnosti Kaspr, která čelila obvinění z porušování několika ustanovení GDPR v souvislosti s praktikou zvanou „data scraping“. Jedná se o automatizovaný proces extrakce dat z webových stránek a dalších online zdrojů, která jsou následně zpracována do užitečnějšího formátu. Data scraping může být legální činností, pokud probíhá v souladu s pravidly ochrany osobních údajů. Společnost Kaspr však tato pravidla porušila a čelila tak pokutě ve výši 240 tisíc eur (cca šest milionů korun).


Pozadí případu

Společnost Kaspr nabízí placené rozšíření pro prohlížeč Chrome, které umožňuje zákazníkům získat profesní kontaktní údaje osob, jejichž profily navštěvují na sociální síti LinkedIn. Za tímto účelem společnost Kaspr vytváří databázi kontaktních údajů nejenom ze sociální sítě LinkedIn, ale i z dalších zdrojů, jako jsou například registry doménových jmen. Takto shromážděné kontaktní údaje využívají zákazníci společnosti Kaspr obecně pro kontaktování cílové osoby, například za účelem obchodního průzkumu, náboru nebo ověření totožnosti. Databáze společnosti Kaspr přitom zahrnuje přibližně 160 milionů kontaktů získaných pomocí data scrapingu.


Několik osob kontaktovaných zákazníky společnosti Kaspr na základě získaných údajů přes uvedené rozšíření vyjádřilo obavy ohledně zpracování svých osobních údajů a podalotak stížnosti k CNIL. V návaznosti na tyto stížnosti provedl CNIL inspekci a na základě zjištění učiněných během této inspekce dospěl k závěru, že společnost Kaspr porušila několik povinností stanovených GDPR.

Společnost zpracovávala i neveřejné kontaktní údaje z LinkedIn

V čem spočívalo porušení GDPR

CNIL při inspekci zjistil vícero porušení GDPR ze strany společnosti Kaspr, a to konkrétně porušení:


  • zásady zákonnosti zpracování dle čl. 6 GDPR;

  • zásady omezení uložení po dobu nezbytnou pro stanovené účely dle čl. 5 odst. 1 písm. e) GDPR;

  • zásady transparentnosti a povinnosti poskytovat subjektům údajů informace dle čl. 12 a 14 GDPR;

  • práva subjektů údajů na přístup k osobním údajům dle čl. 15 GDPR.


Porušení zásady zákonnosti zpracování spatřoval CNIL v tom, že společnost Kaspr kromě kontaktních údajů, které byly na sociální síti LinkedIn viditelné pro všechny, shromažďovala i údaje osob, jež omezily viditelnost svých údajů. LinkedIn přitom umožňuje uživatelům nastavit, kdo může vidět jejich kontaktní údaje, přičemž si mohou vybrat z následujících možností:


  • viditelné pouze pro mě;

  • viditelné pro kohokoliv na LinkedIn;

  • viditelné pro 1. stupeň spojení;

  • viditelné pro 1. a 2. stupeň spojení.


Společnost Kaspr extrahovala kromě údajů v režimu „viditelné pro kohokoliv na LinkedIn“ i údaje v režimu „viditelné pro 1. a 2. stupeň spojení“, což CNIL považoval za nezákonné. Uživatelé LinkedIn tímto omezením totiž výslovně vyjádřili své přání, aby jejich kontaktní údaje nemohl získat kdokoliv. Shromažďování těchto údajů překračovalo očekávání uživatelů a bylo tedy provedeno v rozporu s GDPR.


Zásadu omezení uložení porušila společnost Kaspr tím, že uchovávala kontaktní údaje uživatelů pomocí automatické obnovy doby uchovávání až po dobu pěti let od každé aktualizace údajů. Aktualizace obvykle nastane, když dotčená osoba změní zaměstnání. Pro uživatele, kteří změnili práci nebo zaměstnavatele před uplynutím této doby, byla tato doba dle CNIL nepřiměřeně dlouhá.


Porušení zásady transparentnosti a povinnosti poskytovat subjektům údajů informace v případě, že osobní údaje nebyly získány od subjektu údajů, shledal CNIL v tom, že společnost Kaspr začala informovat subjekty údajů o sběru jejich dat až v roce 2022, tedy čtyři roky po spuštění rozšíření. Informace byly poskytovány prostřednictvím e-mailu v angličtině, který obsahoval odkaz na možnost vznést námitku. CNIL uvedl, že taková komunikace nebyla dostatečně transparentní ani srozumitelná pro všechny dotčené osoby.


Společnost Kaspr dále nerespektovala práva subjektů údajů na přístup k osobním údajům. Osoby, které požádaly o informace o tom, z jakých zdrojů byly jejich kontaktní údaje získány, obdržely od společnosti Kaspr obecnou odpověď, že jejich údaje pocházejí z veřejně dostupných zdrojů. CNIL však zdůraznil, že i když společnost Kaspr technicky nebyla schopna specifikovat zdroj údajů u každé dotčené osoby, měla být schopna poskytnout konkrétnější informace alespoň v rozsahu zdrojů, o kterých věděla. Společnost si totiž byla vědoma některých zdrojů, jež plnily její databázi a které byly navíc uvedeny v jejích zásadách zpracování osobních údajů.


Rozhodnutí CNIL

CNIL uložil společnosti Kaspr za uvedená porušení pokutu ve výši 240 tisíc eur (přibližně 6,03 milionu korun českých) a nařídil jí, aby:


  • ukončila shromažďování údajů osob, jež omezily viditelnost svých kontaktních údajů, a odstranila údaje, které byly již tímto způsobem shromážděny;

  • pokud nebude možné rozlišit údaje s omezenou viditelností, do tří měsíců informovala dotčené osoby o zpracování jejich údajů a poskytnout jim možnost vznést námitku proti tomuto zpracování;

  • zastavila automatické obnovování doby uchovávání osobních údajů;

  • informovala osoby, jejichž údaje jsou shromažďovány, v jazyce, kterému rozumějí;

  • poskytla na žádost subjektů údajů všechny dostupné informace o zdrojích shromažďování údajů.


Společnost Kaspr má na zajištění souladu postupů s GDPR lhůtu šesti měsíců, která končí 18. 6. 2025.https://gdpr-poverenec.com/uoou-nova-pravidla-pro-kamery-ve-skolach/


Závažnost případu

CNIL zveřejněním svého rozhodnutí zdůraznil závažnost uvedených porušení, která se dotkla velkého množství osob. Zveřejnění tohoto rozhodnutí má za cíl informovat dotčené osoby o jejich právech a o zpracování jejich údajů společností Kaspr, aby mohly účinně uplatňovat svá práva vyplývající z GDPR. Tento případ je dalším důkazem důležitosti dodržování zásad ochrany osobních údajů ve světě digitálních technologií a sociálních sítí, a to především v případě data scrapingu.


 
 
 

Comentarios

Sdělení pro spotřebitele: Případné spory z poskytování právních služeb můžete řešit mimosoudně prostřednictvím České advokátní komory v souladu se zákonem č. 634/1992 Sb., o ochraně spotřebitele. Další informace včetně postupu naleznete zde  

© 2020 - 2022 by Josef Bátrla.

bottom of page