Ako užívateľ rôznych sociálnych sietí a online platforiem si uvedomujem, že súkromie, ako sme ho poznali, už dávno neexistuje. Pokiaľ teda voľakedy existovalo. Zoči voči komplexnosti rizík by som mohla urobiť jediné – odhlásiť sa zovšadiaľ, zrušiť všetky účty. Ani to by nepomohlo, je to ako bojovať proti vlne cunami. Je to nerovný boj. A hlavne, prehrala by som v ňom hlavne ja. Svet sa mení a my s ním.
Ako jednotivci môžme urobiť len pár dobrých osobných rozhodnutí. Udržiavať zvýšenú opatrnosť pri pridávaní kontaktov. Nezdieľať nič, čo nemusíme pre chod danej appky či sociálnej siete. Vypnúť, čo sa dá. Používať bezpečené prihlásenie. Nesťahovať neoverené appky, neklikať na čudné e-maily. Nepoužívať pracovný mobil na zábavné appky. Appky ako napríklad Clubhouse. Je však Clubhouse zábavná appka alebo ju chcete používať pracovne? Viem, mnohí z nás máme to šťastie, že hranica medzi prácou a zábavou je minimálna, pokiaľ vôbec nejaká.
Odpoveď na túto otázku je dôležitá. Ide totiž o súkromie, a kde ide o súkromie, tam ide (nielen) o spracúvanie osobných údajov. A teda o GDPR.
Ochrana súkromia na Clubhouse
Samozrejme, že Clubhouse, resp. spoločnosť Alpha Exploration Co., Inc.zverejnila Privacy Policy, teda čosi ako naše Zásady ochrany osobných údajov.
Zásady ochrany osobných údajov uverejnené na webstránke appky sa vzťahujú na appku samotnú, ako aj na ich webstránku. To sa píše v prvom odstavci, kde mi však chýbala zásadná informácia, a to identifikácia a kontaktné údaje Prevádzkovateľa v zmysle GDPR.
Vlastne, aké GDPR? Táto Privacy Policy nemá s GDPR nič spoločné.
Prevádzkovateľ prijme vhodné opatrenia s cieľom poskytnúť dotknutej osobe všetky informácie uvedené v článkoch 13 a 14 a všetky oznámenia podľa článkov 15 až 22 a článku 34, ktoré sa týkajú spracúvania, a to v stručnej, transparentnej, zrozumiteľnej a ľahko dostupnej forme, formulované jasne a jednoducho, a to najmä v prípade informácií určených osobitne dieťaťu. Informácie sa poskytujú písomne alebo inými prostriedkami, vrátane v prípade potreby elektronickými prostriedkami. […]
Aby sa dalo uvažovať o súlade, musela by mať príslušné jazykové mutácie, aby boli zrozumiteľné pre užívateľov v krajine, kde je appka dostupná.
GDPR – CLUBHOUSE 2:0
Trochu teórie o prenose osobných údajov do zahraničia
Pri letmom pohľade na výsledky vyhľadávania po zadaní názvu spoločnosti do vyhľadávača, som sa potešila, že spoločnosť sídli v Kanade. Potom som trošku zvážnela, že v Belfaste, ale napokon sa ukázalo, že ide o iné spoločnosti s totožným názvom. Naša Alpha Exploration sídli v San Franciscu, USA. To ma nepotešilo.
Pre prenose osobných údajov do zahraničia, rozlišuje GDPR (zjednodušene) krajiny EÚ, tretie krajiny a krajiny s primeranou úrovňou ochrany osobných údajov. Tretie krajiny sú považované za krajiny, v ktorých je úroveň ochrany osobých údajov nižšia ako v EÚ. Sú to všetky krajiny mimo EÚ, ako aj tých, o ktorých Európska komisia vydala rozhodnutie o primeranosti podľa GDPR, menovite: Andorrské kniežatstvo, Argentína, Faerské ostrovy Guernsey, Izrael, Jersey, Nový Zéland, Kanada, Ostrov Man, Švajčiarsko, Uruguajská východná republika.
Schrems II.
Ešte do leta 2020 bolo možné prenášať osobné údaje do USA podľa právnej úpravy s názvom EU – US Privacy Shield. V lete 2020 Súdny dvor EÚ rozhodol, že tento štít nie je dostatočný a stratil platnosť.
V odborných GDPR kruhoch to vzbudilo riadny rozruch. Prevádzkovatelia však o tom poväčšine netušia a neriešia, hoci sa to týka každého, kto používa cloudové riešenia či online nástroje hostované na US serveroch. Dotýka sa to aj tak samozrejmých služieb ako Mailchimp, Facebook a ďalších. Riešenie existuje, ale poďme postupne.
Áno, alebo nie?
Definovať, či užívaním appky Clubhouse dochádza ku spracovateľským činnostiam, alebo nie, nie je jednoduché.
- Predstavme si firmu XYZ s.r.o. Je to personálna spoločnosť. Konzultant tejto spoločnosti vytvorí roomku na tému “Ako nájsť prácu (nielen) v časoch korony”. Je to súkromná alebo firemná aktivita? Táto aktivita vedie ku nárastu popularity firmy a na profile užívateľa vidia ostatní užívatelia adresu, kde si môžu po zadaní e-mailu stiahnuť e-book zadarmo. Je to súkromná aktivita alebo dochádza už ku spracovateľskej činnosti?
- Predstavme si inú firmu. ABC s.r.o. Je to predajca exotických potravín. Jeden z konateľov tejto spoločnosti vytvorí roomku na tému “Ako si vybrať naozaj dobré mango”. Je to súkromná alebo firemná aktivita? Táto aktivita vedie ku nárastu popularity a na profile vidia ostatní užívatelia adresu jeho e-shopu, kde si môžu objednať vzorku zadarmo. Je to súkromná aktivita alebo dochádza už ku spracovateľskej činnosti?
- Predstavme si firmu Obchod s.r.o. Je to živnostník, ktorý má e-shop a predáva tekvicové semienka zabalené v špeciálnom papieri s venovaním. Na Clubhouse vytvoril roomku “Všetko čo ste chceli vedieť o tekvicových seminkach ale báli ste sa opýtať”. Táto aktivita vedie ku nárastu jeho popularity a na jeho profile vidia ostatní užívatelia adresu jeho e-shopu, kde si môžu nakúpiť tovary. Je to súkromná aktivita alebo dochádza už ku spracovateľskej činnosti?
- Predstavme si ešte inú firmu. 123 s.r.o. Je to vzdelávacia spoločnosť. Šéf firmy požiada zamestnancov, lektorov, aby si otvorili na Clubhouse účet a vytvárali roomky. Budú neformálnym spôsobom budovať vzťahy s potenciálnymi zákazníkmi. To už je jasne firemná aktivita, a rovno poviem, že nie je v poriadku.
Ak je odpoveď áno
Ak by chcela obchodná spoločnosť pôsobiaca na Slovensku využívať Clubhouse na firemné účely, tak by na základe rozhodnutia Schrems II. bolo nutné splniť niekoľko podmienok, na základe ktorých by bol prenos do tretích krajín zákonný:
- Informovať o prenose dotknuté osoby vo svojich Zásadách spracúvania osobných údajov
- Musela by existovať Sprostredkovateľská zmluva: s poskytovateľom služby, Sprostredkovateľom, musí mať Prevádzkovateľ podpísanú Sprostredovateľskú zmluvu, v ktorej budú stanovené nielen účely a rozsah spracúvania, ale aj bezpečnostné opatrenia a lehoty na výmaz.
- Museli by existovať Štandardné zmluvné doložky (SCC): tieto majú garantovať zákonnosť spracovateľských činností. Napríklad Apple inc., ale aj mnoho iných, to poriešil takto.
Viac info:
A možno ani to by nestačilo
Ak ste Prevádzkovateľ so spracovateľskými činnosťami, počas ktorých prenášate osobné údaje do tretej krajiny, mali by ste si najprv prečítať podmienky používania a smernicu či zásady ochrany osobných údajov poskytovateľa služby.
V prípade appky Clubhouse ide o spoločnosť so sídlom v San Franciscu, ktoré je Kalifornii, a podlieha právnej úprav CCPA, California Consumer Privacy Act. Nám ostatným odkazuje Clubhouse v bode 10 toto:
10. MEDZINÁRODNÍ UŽÍVATELIA
Používaním našej Služby rozumiete a beriete na vedomie, že vaše osobné údaje budú prenesené z vášho miesta do našich zariadení a serverov v Spojených štátoch a prípadne na servery technologických partnerov, ktorých používame na poskytovanie našej Služby.
Podľa článku 6 GDPR, odsek a) súhlas (consent) je získaný zákonne len vtedy, ak je dobrovoľný, aktívne daný a jednoznačný. Musí byť oddelený od ostatných podmienok. Súhlas získaný tak, že ním Prevádzkovateľ podmieni nákup či prístup ku službe, nie je získaný zákonne.
Používaním Služby vyjadrujete súhlas s postupmi popísanými v týchto Pravidlách ochrany osobných údajov. Ak nesúhlasíte s týmito Pravidlami ochrany osobných údajov, prosím nevstupujte na webové stránky ani inak nepoužívajte Službu.
Ani tieto ustanovenia z dielne Clubhouse nie je teda v súlade s GDPR. Appka tiež na základe súhlasu užívateľa má prístup ku adresáru mobilného telefónu, aby užívateľovi navrhla, komu môže Clubhouse odporúčať a poslať pozvánku na platformu. Za problém považujem, že sa týmto spôsobom spracúvajú aj osobné údaje tretích osôb.
Clubhouse, samozrejme, zdieľa údaje svojich užívateľov so svojimi poskytovateľmi služieb a zároveň nedefinuje bohvieako lehoty na výmaz osobných údajov.
“Osobné údaje uchovávame tak dlho, ako je to primerane potrebné na účely opísané v týchto zásadách ochrany osobných údajov, zatiaľ čo to musíme urobiť z obchodného hľadiska, alebo tak, ako to vyžaduje zákon (napr. Na daňové, právne, účtovné alebo iné účely), podľa toho, čo je dlhšie.”
Ak súkromná osoba na tieto podmienku pristúpi, je to jej vec. Ale firma, teda Prevádzkovateľ?
GDPR – CLUBHOUSE 4:0
Všetko má svoj dôvod. Alebo účel
Zoznam údajov, ktoré Clubhouse zhromažďuje je dlhý. Nebojte sa. Nie je to jediný poskytovateľ služby s rozsiahlými spracovateľskými činnosťami. To by sme nemohli používať nič, ak hovorím o nás, súkromných osobách. Podstatný nie je ani tak rozsah, ako jeho primeranosť, zákonnosť a účelnosť. Clubhouse deklaruje normálne, legitímne účely. Ale. Ak dôjde ku úniku osobných údajov alebo bezpečnostnému incidentu, tak Clubhouse vopred varuje, že:
Službu využívate na svoje vlastné riziko. Nemôžeme kontrolovať činnosť používateľov na platforme, ktorí sa môžu usilovať používať aplikácie alebo zariadenia tretích strán na zaznamenávanie, ukladanie alebo zdieľanie obsahu alebo komunikácie bez predchádzajúceho súhlasu ostatných používateľov. Pri používaní Služby na to nezabudnite.
Prevádzkovateľom do pozornosti odporúčam články 25, 28, 32 a 35 GDPR.
GDPR – CLUBHOUSE 5:1
Poznámka pred záverom
Jedna taká všeobecná maličkosť. Slovami klasika, “rozmohl se nám tady takový nešvar”.
SCREENSHOT
V minulosti boli sociálne siete zaplavené fotografiami zo školení, konferencií a firemných večierkov, teraz screenshotmi obrazoviek zo ZOOMov, tímsov a iných platforiem. Kým pri párty alebo školení mohol človek aspoň vidieť fotografa a odísť, teraz je úplne bezmocný. Ak to urobí súkromná osoba, a bez opýtania, považujem to za drzé. Ak to urobí bez preukázateľného súhlasu Prevádzkovateľ, nie je otázkou či ale kedy narazí na nahnevaného účastníka confcallu, ktorý ho bude s nelegitímnosťou tohto konania konfrontovať.
Všímam si, že už aj Clubhouse populácia sa rada pochváli podujatím, na ktoré ide. Je to milé, je to fajn, len prosím, orežte mená tých, ktorí netušia, že ich niekde propagujete. Hlavne teda, keď ste firma a Clubhouse by ste napriek všetkému chceli na firemné účely.
Záver
Plnohodnotné, cielené a plánované používanie Clubhouse pre firemné účely neodporúčame, a to hlavne preto, že:
- Nie je identifovaný Prevádzkovateľ
- Informačná povinnosť nie je splnená zákonným spôsobom
- Žiada súhlas nezákonným spôsobom
- Medzinárodným užívateľom nie je zaručená ochrana súkromia podľa GDPR
- Nie sú stanovené lehoty na výmaz
- Vyžaduje sprístupnenie adresára mobilu
- V Európe nemenovali zodpovednú osobu
- Nie sú k dispozícii Sprostredkovateľské zmluvy a SCC
Napríklad v Nemecku už bola na Clubhouse podaná žaloba najväčšou organizáciou zaoberajúcou sa ochranou práv spotrebiteľov. V zahraničných médiách dvíhajú varovný prst, že ochrana súkromia na Clubhouse je … vlastne nie je.
Osobné stanovisko
Súkromne som Clubhouse používala. Nebol problém v roomke rozprávať o témach prepojených s mojou prácou. Hranice sa už dávno zotreli. Vzájomný follow, rozhovor, inšpirácia a feedback sú vždy vzácne!
Ku spracovateľskej operácii v zmysle GDPR by došlo v momente, keby som povedala niečo ako:
- a teraz všetci v tejto roomke, kto chcete bla bla, pošlite mi e-mail …
- pozývam vás všetkých na školenie o GDPR, ktoré sa uskutoční …
Alebo v momente, keď:
- začnem klientov pozývať na Clubhouse s tým, že tam bude k dispozícii nejaký exkluzívny obsah (čosi ako audio newsletter)
- začnem vytvárať roomky, v ktorých prezentujem svoje služby
Ako súkromnú osobu ma appka nadchla, ako každá novinka. Považovala som za fantastické bez akejkoľvek námahy sa dozvedieť, kto s kým, kedy a o čom bude diskutovať. Ešte úžasnejšia bola možnosť sa zapojiť. Do našej kuchyne sa tak dostávali osobnosti slovenského aj svetového biznisu, vydavatelia, šéfkuchari, podnikatelia, žurnalisti. Tešila som sa,že namiesto zdĺhavej tvorby podcastu či e-booku som mohla s ľuďmi naživo pohovoriť aj ja o mojich myšlienkach, pýtať sa, počúvať iné názory.
V čase písania tohto článku bol Clubhouse novinkou a ja som bola presvedčená, že ich biznis use case potvrdí, že sa im oplatí investovať do ochrany osobných údajov a časom sa prispôsobí našim skostnatelým a nadhodile vymáhaným európskym pravidlám. Zdá sa však, že appka sa v tichosti vytratila z online priestoru.
Martina Javůrková pôsobila 15 rokov ako konzultantka a manažérka pre oblasť náboru zamestnancov v regióne EMEA. Dnes vedie spoločnosť Dimensions Consulting Services s.r.o., ktorú založila v roku 2013. Spolupracuje najmä s rodinnými firmami, malými a strednými podnikmi a inštitúciami na Slovensku. Venuje sa ochrane osobných údajov a marketingu. O praktických GDPR témach píše pre portál www.bezpecnostvpraxi.sk.