Meta a YouTube čelí v Irsku trestnímu řízení za špionáž
Sledovací kódy a zákaz blokování reklam porušuje evropské digitální zákony, tvrdí obhájci soukromí. Vlastník Facebooku Meta a YouTube od Googlu nyní čelí v Irsku trestnímu oznámení za údajné nezákonné sledování občanů EU prostřednictvím sledovacích skriptů.
Konzultant v oblasti ochrany soukromí Alexander Hanff napadl shromažďování údajů společností Meta bez výslovného souhlasu podle irského zákona o zneužívání digitálních zařízení. Uvedl, že v současné době podává podobné trestní oznámení na YouTube kvůli používání skriptů k detekci rozšíření pro blokování reklamy v prohlížečích.
"Oznámil jsem policii, že jim chci poskytnout prohlášení pro účely trestního oznámení, a o víkendu jim pošlu další informace," řekl Hanff. "Dnes odpoledne se mi ozvali zpět s tím, že stížnost berou na vědomí a žádají o další informace."
Před dvěma týdny podal Hanff občanskoprávní stížnost k irské komisi pro ochranu osobních údajů na dotazovací systém YouTube, který detekuje software pro blokování reklam a odmítá přehrávat videa, pokud nejsou reklamy povoleny nebo nejsou předány peníze za předplatné. Regulační orgány právě nyní čekají na odpověď od společnosti Google, aby mohly poskytnout aktuální informace o stavu této stížnosti.
S poukazem na rozhodnutí soudů a úřadů pro ochranu údajů v Evropě, které behaviorální reklamu bez výslovného souhlasu zakázaly, Hanff tvrdí, že Meta zpracovává údaje pro behaviorální cílení reklamy, aniž by k tomu měla právní základ, nejméně posledních pět let. Z toho podle něj vyplývá, že nasazení a provádění skriptů, které monitorují chování a shromažďují údaje, je rovněž nezákonné.
"Společnost Meta Platforms Ireland Ltd po dobu nejméně pěti let od 25. května 2018 do současnosti nezákonně nasazovala sledovací technologie do počítačů za účelem sledování chování uživatelů a neměla žádný rozumný důvod ani zákonné oprávnění," tvrdí Hanff.
Meta také v těchto letech "nezákonně zachycovala přenosy dat v rámci informačního systému (počítačových zařízení) za účelem sledování chování uživatelů," uvedl dále. Instagram má celou řadu reklamních, analytických a sledovacích skriptů a ty se pravidelně mění, ale jedním z příkladů má být Meta Pixel, který Meta popisuje jako "kousek kódu JavaScriptu, který umožňuje sledovat aktivitu návštěvníků na vašich webových stránkách". Hanff se domnívá, že tyto činnosti spadají pod irský zákon o zneužívání počítačů, konkrétně pod články 2 a 5 zákona Criminal Justice (Offences Relating to Information Systems) Act 2017.
Oddíl 2 praví: "Osoba, která bez zákonného oprávnění nebo rozumné záminky úmyslně přistupuje k informačnímu systému porušením bezpečnostního opatření, se dopouští trestného činu."
A § 5 říká: "Osoba, která bez zákonného oprávnění úmyslně zachytí jakýkoli přenos (jiný než veřejný přenos) dat do informačního systému, z informačního systému nebo uvnitř informačního systému (včetně elektromagnetického vyzařování z takového informačního systému, které přenáší taková data), se dopustí přestupku."
Meta nasazuje skripty za účelem sledování navzdory nastavení Do Not Track a bez jakéhokoli souhlasu, což by představovalo trestný čin. Hanff tvrdí, že zpracování osobních údajů společností Meta za účelem behaviorální reklamy je od 25. května 2018, kdy vstoupilo v platnost nařízení GDPR, nezákonné.
"Jak víte z dopisu, který jsem obdržel od Evropské komise v souvislosti s detekcí blokátorů reklamy - Do Not Track (DNT) je považováno za nastavení nebo jinou aplikaci v rámci webového prohlížeče, která signalizuje odepření souhlasu podle bodu 66 odůvodnění 2009/136 (směrnice o právech občanů), a proto vzhledem k tomu, že mám DNT povoleno (a vždy jsem ho měl), by nasazení skriptů společnosti Meta do mého koncového zařízení za účelem sledování mých aktivit (behaviorálního profilování) navzdory mému nastavení DNT a bez jakéhokoli souhlasu představovalo porušení výše uvedeného bodu 2, a tudíž trestný čin, " tvrdí Hanff. "Společnost Meta Platforms Ireland nebyla oprávněna nasadit tyto skripty do mých zařízení a měla vědět, že k tomu není oprávněna v důsledku signálu Do Not Track vyslaného z mého prohlížeče."
S poukazem na § 5 Hanff tvrdí, že vzhledem k tomu, že nasazení skriptů bylo nezákonné a společnost Meta při nasazení těchto skriptů obešla signál DNT, je zřejmé, že jakékoli zachycení chování v jeho zařízení (pohyby myší, kliknutí atd.) by bylo rovněž nezákonné. Pokud jde o službu YouTube, Hanff uvedl, že problém je v podstatě stejný, jen se týká pokusů služby YouTube detekovat software pro blokování reklam pomocí skriptů.
"Považuji skript YouTube za spyware - neboli sledovací technologii, protože je bez mého vědomí nebo povolení nasazena do mého zařízení pouze za účelem zachycení a sledování mého chování (bez ohledu na to, zda se reklamy v mém prohlížeči načítají nebo zda jsou blokovány blokátorem reklam)," vysvětlil.
"Rozhodl jsem se jít cestou trestního oznámení, protože z historického hlediska jsou regulační orgány EU při prosazování směrnice o soukromí a elektronických komunikacích naprosto neschopné - a tím myslím opravdu špatné, řekl bych, že dokonce nedbalé; a jako člověk, který s těmito problémy bojuje již 15 let v rámci směrnice o soukromí a elektronických komunikacích, jsem se rozhodl změnit taktiku a podat žalobu podle trestního práva, protože nejsem ochoten čekat dalších 15 let, než regulační orgány začnou dělat svou práci a prosazovat zákon - nemohu si také dovolit riziko neuvěřitelně vysokých nákladů při vedení občanskoprávního sporu, který by trval roky a Google a Meta by mne utopily v soudních poplatcích."
Na otázku ohledně vhodnosti nastavitelných příznaků prohlížeče, jako je Do Not Track a Global Privacy Control, k řešení nežádoucího shromažďování údajů vyjádřil skepsi. Souhlas s jakoukoli interakcí s kódem, která není nezbytná - skripty, analytika, písma třetích stran atd. - by měl být normou, jak to vyžaduje právo EU, tvrdí Hanff a doufá, že podávání těchto stížností bude pro společnosti jasným signálem, že musí přestat používat sledovací technologie v zařízeních lidí.
"Irský zákon, který jsem se rozhodl využít, navíc činí ředitele, manažery nebo jiné úředníky, kteří úmyslně způsobí spáchání takového trestného činu (například prostřednictvím politiky nebo povolení), odpovědnými za stejný trestný čin a nejsou chráněni právnickou osobou, pro kterou pracují," řekl. "Doufám, že taková odpovědnost by mohla přimět vedoucí pracovníky společností, aby si rozmysleli, zda pod obavou z odpovědnosti podepíší nezákonné chování, protože je zřejmé, že tato rozhodnutí někdo činí a musí vědět, že za ně může a bude hnán k odpovědnosti."
Co se týče načasování, Hanff uvedl, že za posledních 24 měsíců došlo k posunu v opatřeních přijatých za účelem omezení behaviorální reklamy a online dohledu, přičemž poukázal na rozhodnutí, která se týkají společností Meta a TikTok. Naznačuje však, že by měl být vyvíjen větší tlak, protože regulační proces probíhá příliš pomalu a finanční sankce byly příliš malé na to, aby změnily chování společností.
"Regulační orgány nás zklamaly a jsou naprosto (podle mého názoru) částečně zodpovědné za erozi našich základních práv a rozšíření tohoto nezákonného chování tím, že nedělají svou práci a nepřijímají důrazná donucovací opatření proti porušovatelům," tvrdí. "V důsledku toho je to nyní považováno za normální způsob podnikání na internetu, což je neuvěřitelně špatná vizitka regulačních orgánů a výrazně to podkopalo důvěru veřejnosti, že se jejich stížnostmi bude vůbec někdo zabývat - natož aby se jimi zabýval smysluplně."
"To se musí změnit," pokračoval Hanff. "Například od roku 2019 mám u CNIL stížnost na společnost Withings - neuvěřitelně jednoduchou stížnost na vyřízení (zákon a judikatura jsou v otázce, na kterou jsem si stěžoval, naprosto jasné), přesto se stále nedostavil žádný výsledek - a vidím to u všech stížností, které jsem od roku 2018 podal dozorovým orgánům v celé EU. To je nepřijatelné a nemůže to pokračovat."
Společnosti Meta i Google si nepřály komentovat situaci.
Zdroj: The Register