Denník N

Čo o vás vie Google a Facebook a ako od mája Únia zvýši ochranu súkromia na internete

Dátové centrum Googlu. Ilustračné foto – TASR
Dátové centrum Googlu. Ilustračné foto – TASR

Od mája začnú platiť nové pravidlá ochrany súkromia. Firmy budú musieť vysvetliť, čo s osobnými údajmi robia.

Muž v stredných rokoch z Pezinka je čerstvý rodič dvojičiek a denne vlakom dochádza do práce v Bratislave. Cez obed si pravidelne otvára bulvárny portál, vždy klikne na šokujúcu správu na titulke. Článok nedočíta, po pár sekundách začne v inom okne prehliadača vyhľadávať príznaky svojej choroby alebo program na víkend. Práve si hľadá dovolenku v Španielsku. Občas ponocuje a do skorého rána pozerá tenisové videá.

Takto môže vyzerať internetový profil kohokoľvek poskladaný z histórie vyhľadávaní, otvorených stránok, nákupov v e-shopoch a zo sociálnych sietí, teda prakticky z takmer všetkého, čo ľudia robia online.

Súkromie na internete už prakticky neexistuje a každý po sebe zanecháva stopy, ktoré firmy skladajú a využívajú najmä na cielenú internetovú reklamu alebo lepšiu ponuku obsahu.

Aké podrobné detaily sú ukladané v profiloch ľudí a čo všetko sa s nimi deje, presne nevieme. Rozprávali sme sa s viacerými odborníkmi na spracovanie dát či internetovú bezpečnosť zo Slovenska aj zahraničia o tom, ako rôzne nástroje na zber fungujú, čo všetko zaznamenávajú v službách Googlu, na Facebooku či na príklade stránky Denníka N.

Zároveň si prečítate, aké veľké zmeny k nám už tento rok prídu. Od mája sa výrazne zvýši ochrana súkromia ľudí a povinnosti firiem, ktoré ukladajú osobné dáta ľudí. Regulácia ochrany dát pod skratkou GDPR prinúti banky, operátorov, zamestnávateľov, sociálne siete, firmy a ďalších podrobne vysvetliť ľuďom, čo z ich súkromia zbierajú a ako s tým ďalej naložia.

Čo o vás vie Google

Medzi najväčších zberačov dát patria veľké sociálne siete ako Facebook či IT firmy Microsoft a Google, no informácie zhromažďuje prakticky každá veľká firma na internete a aj malé portály, ktoré skúmajú správanie svojich návštevníkov a zákazníkov.

Časť informácií o sebe ľudia odovzdávajú sami pri vypĺňaní rôznych formulárov, no omnoho zaujímavejšie dáta odovzdávajú bez toho, že by si to uvedomili.

Na každý počítač či mobil sa z väčšiny stránok uloží malý súbor cookie, čo je v preklade sušienka. Je v ňom jedinečný identifikátor zo zhluku písmen a čísel a vďaka nemu je možné spárovať správanie na internete s konkrétnym zariadením alebo osobou.

Internetové obchody využívajú cookies napríklad na to, aby zákazníkovi zostal v košíku zatiaľ neobjednaný tovar, aj keď sa na stránku vráti neskôr. Cez cookies tiež môže sledovať, či ste si stránku otvorili prvýkrát alebo sa na ňu pripájate niekoľkokrát za deň. Po registrácii tieto údaje dokáže stránka priradiť ku konkrétnemu človeku.

Google vie odhadnúť podrobný profil ľudí ešte lepšie – cez vyhľadávač videí, aké stránky navštevujete, čo hľadáte, na aké reklamy klikáte, a ak máte telefón s Androidom, pozná aj vašu polohu. Podľa informácií portálu Quartz sledoval Google polohu telefónov, aj keď v nich boli lokalizačné služby vypnuté. Stačilo, aby sa telefón so zapnutým internetom pripojil na konkrétne vysielače.

Google vysvetľuje, že informácie o užívateľoch zbiera preto, aby im pomohol byť produktívnejšími, no zároveň im ponúka možnosť, ako zber dát obmedziť. Tvrdí, že osobné dáta ďalej neodovzdáva a využíva ich len na zobrazovanie relevantných reklám.

Zoznam toho, čo zbiera Google, je dlhý: Uchováva si napríklad aj údaje, ktoré zadajú ľudia do vyhľadávača ešte pred stlačením tlačidla „Enter“, a vie tak čiastočne, ako rozmýšľame, vysvetľuje IT odborník Matúš Kováčik, ktorý zakladal združenie Digital Nomads a je aj za projektom Súkromie.digital.

„Google zbiera informácie o tom, s kým, ako často, v akých časoch a o čom si píšeme a kto píše nám. Aké videá na YouTube si pozeráme, aké scény sme si pozerali opakovane, a ktoré sme preskočili. Rovnako to platí o fotkách cez Google Picasa. Vie, ktoré miesta sme vyhľadávali cez Google Maps, aké miesta na mapách sme si prezerali a aké trasy pre cestu sme zvažovali,“ hovorí Kováčik.

Ďalej môže získať aj informácie o aktivitách z kalendára, vie čítať obsah dokumentov v programe Google Drive alebo čo robíme s telefónom s Androidom. „Má aj prístup k obidvom kamerám a mikrofónu, no nemám informácie o tom, či, ako často a na aké účely s týmito informáciami pracuje, no technicky môže, akokoľvek chce,“ hovorí Kováčik.

Tieto údaje podľa neho slúžia na vytvorenie profilu ľudí najmä na ponúkanie reklamy. „Čo ešte ďalšie robí s týmito údajmi, nie je známe, no poskytuje ich aj americkej NSA (Národná bezpečnostná agentúra).“

Inzerenti nevidia konkrétnych ľudí

Veľmi podobne zbiera údaje do profilov ľudí aj Facebook, ktorý má navyše informácie o našich priateľoch a ako často sme s nimi v kontakte, či ktoré profily si pozeráme. Kováčik hovorí, že vidí aj to, čo si píšeme cez Messenger, pri svojej druhej aplikácii WhatsApp napriek šifrovaniu vie aspoň to, ako, s kým a ako často si píšeme.

„Facebook nás takto profiluje a tieto údaje používa na to, aby nám ponúkol tie informácie, ktoré zdieľajú naši priatelia a stránky, ktoré sledujeme, ktoré sa domnieva, že nás najviac zaujímajú. Zároveň to používa na servírovanie reklamy pre nás.“

V praxi to vyzerá tak, že si napríklad na stránke s ubytovaním pozeráte ponuky hotelov v Ríme. Zatiaľ ste sa nerozhodli a rezerváciu nedokončíte. Neskôr sa vám na úplne iných stránkach môže zobrazovať reklama na rovnaké alebo úplne iné hotely v tomto meste. Reklama sa nemusí zobraziť vždy, ale napríklad iba vtedy, keď ste si ponuky pozerali aspoň dve minúty, čo zvyšuje šance, že rezerváciu chcete dokončiť, hovorí Michal Novoveský zo spoločnosti Exponea, ktorá sa venuje zberu a analýze internetových dát.

Firmy, ktoré si inzerciu objednajú, nevidia konkrétnych ľudí, ale už agregované dáta podľa lokality, veku či záujmov, prípadne môžu reklamu zobrazovať pri vyhľadávaní kľúčových spojení.

Facebook má pravdepodobne ešte podrobnejšie informácie o svojich užívateľoch ako Google. Vidí, aké príspevky lajkujete, ktoré stránky si otvárate, koho sledujete, kde sa nachádzate. Reklama na Facebooku môže ísť do takých detailov, že sa zobrazí napríklad iba niekoľkým stovkám mužov v Spojených štátoch, ktorí zároveň počúvajú skupinu Elán.

„Facebook zbiera úplne všetko a je veľmi silný. Musí vedieť veľmi veľa o človeku,“ tvrdí Novoveský. Hovorí, že ak napríklad na Facebook nahrá súbor s údajmi o päťdesiatich ľuďoch, sociálna sieť mu dokáže nájsť sto ďalších podobných ľudí.

K týmto údajom sa môžu dostať aj vývojári rôznych iných služieb, kam sa ľudia môžu pohodlne prihlásiť bez registrácie iba s facebookovým účtom. „Otvoríte im tak svoj profil a vedia potom robiť podobnú analytiku ako Facebook,“ hovorí Novoveský.

Odborník na bezpečnosť a súkromie na internete Pavol Lupták z firmy Nethemba hovorí, že Google a Facebook vedia, kde ľudia práve sú, pozná, aké zariadenia používate, aké sú vaše osobné preferencie, a to všetko využívajú na cielený marketing. Vedia v podstate všetko, čo odsúhlasíte v podmienkach registrácie.

Podľa nedávnej štúdie Eurostatu sú Slováci na internete opatrnejší a až 60 percent z opýtaných sa zaujíma, ako sú ich údaje ďalej využité. Priemer EÚ je výrazne nižší, informácie o použití osobných údajov číta iba 37 percent ľudí.

Roman z Galanty hovorí, že si podmienky číta pravidelne, aby mal čisté svedomie. No keď narazil na informáciu o zbere súkromných údajov, súhlasil napokon s ich použitím na komerčné účely, aby mohol aplikáciu alebo službu využívať.

Lupták hovorí, že ľudia sú pre firmy za sociálnymi sieťami či pre Google iba produkt. Ten potom predávajú svojim klientom, teda firmám, obchodom a komukoľvek, kto ponúka svoj tovar a služby.

„Ak im to nevadí, nemusia robiť nič. Ak áno, môžu prejsť na bezpečnejšie varianty, ktoré však môžu byť platené. Napríklad ProtonMail miesto Gmailu alebo Diaspora ako náhrada za Facebook, kde je však menšia sieť ľudí.“

Program Disconnect blokuje neviditeľné nástroje na sledovanie súkromia.

Povoliť zber dát alebo nie?

Ak niekto nechce meniť zvyky, služby ako Google ponúkajú možnosť aspoň čiastočne zber dát obmedziť. So sledovaním užívateľov stránok je to komplikovanejšie. Na rozdiel od reklám sú nástroje, ktoré sledujú správanie a súkromie ľudí nenápadne a pri prehliadaní webu nijako nerušia. Na prvý pohľad sa dá navyše iba ťažko rozlíšiť, čo konkrétny nástroj robí. Okrem rozšírených blokovačov reklám sa však objavujú aj menej známe aplikácie, ktorých úlohou je sledovanie zastaviť.

Jeden z takýchto programov sa volá Disconnect a vždy, keď zaregistruje pokus o spojenie mimo stránky, zablokuje ho. Aplikáciu vyvinula firma s rovnakým názvom v roku 2011. Jej šéf Casey Oppenheim hovorí, že nástroje na sledovanie najčastejšie zbierajú informácie, aké stránky navštevujete, čo nakupujete alebo hľadáte, a potom ich firmy využívajú na biznis s inzerciou, alebo ich predávajú firmám, poisťovniam či vládam.

„Veľmi málo z našej aktivity na internete nie je možné sledovať. Veľké korporácie zbierajú toľko dát, koľko je možné. Cez identifikačné znaky zariadení vedia spojiť našu online aktivitu na mobiloch, počítačoch aj smart televíziách. Často sú profily prepojené s menom, adresou, telefónom a emailom. Tisíce spoločností, o ktorých ľudia predtým nikdy nepočuli, majú ich detailné profily a sú použité takým spôsobom, aký by nikdy nečakali alebo nechceli,“ hovorí Oppenheim.

Hoci tým firmy podľa neho narúšajú dôveru a súkromie, aby zarobili peniaze, výhodou pre ľudí je, že za mnohé služby alebo obsah portálov vďaka tomu nemusia platiť.

„Niektorí sa extrémne obávajú toho, čo sa dá s tými informáciami robiť, tak ich nechcú uvoľniť inej firme. Z mojich skúseností je to minimálne percento ľudí a drvivá väčšina ľudí to nerieši,“ vraví Novoveský.

Väčšia ochrana má aj tú nevýhodu, že stránka po zablokovaní niektorých svojich funkcií nemusí fungovať správne. „Keď je web veľmi personalizovaný a znemožnia sa jeho funkcie, ľudia sa pripravia o zážitok.“

Články, ktoré odporúča algoritmus na Denníku N podľa toho, čo čítate vy a ďalší ľudia.

Denník N

Cookies a nástroje na analýzu návštevnosti či personalizáciu reklám využívajú takmer všetky slovenské aj zahraničné spravodajské portály – aj Denník N. Okrem merania návštevnosti môžeme prispôsobiť rôzne kampane podľa typu návštevníka. Napríklad odkaz na ponuku predplatného nevyskočí na nového čitateľa hneď pri prvej návšteve. Vtedy je ešte malá šanca, že si predplatné kúpi, reklamný banner sa mu tak ukáže až po otvorení troch článkov.

Ďalší nástroj zasa sleduje, aké články ľudia čítajú. Na základe preferencií ďalších čitateľov vám vie cez algoritmy lepšie odporučiť nové texty, ktoré by vás mohli zaujať. Tie sa zobrazujú buď v nižších pozíciách na titulnej strane, alebo po dočítaní ktoréhokoľvek článku.

Pre Denník N to znamená, že na stránke zostanete dlhšie, čitateľ zasa dostane na mieru šitý obsah bez dlhého hľadania v rubrikách.

„Často to vychádza. Na Denníku N je kvantum článkov. Ak by sa mal čitateľ prehrabávať cez všetky, tak by mu to trvalo dlho. Cez algoritmus vyťahujeme články, ktoré dávajú zmysel danej osobe,“ vysvetľuje Novoveský.

Funkcia zobrazovania koncom roka prekvapila politika Richarda Sulíka. Šéfa opozičnej SaS rozčúlilo, že redakcia Denníka N vytiahla na titulku starší článok o SaS, ktorý bol už neaktuálny. V skutočnosti na to redakcia nemala vplyv a o zobrazení článku rozhodol počítač.

Podobne fungujú aj služby ako Spotify alebo Netflix a internetové obchody. „Každý človek má vyhranený štýl, ale obchod sa snaží predávať viac štýlov. Nemusí sa preklikávať cez 10-tisíc produktov. Vďaka personalizácii vyskočia tie, čo ma zaujímajú,“ hovorí Novoveský.

Problém je, keď firmy zozbierané dáta zneužijú, ako to urobila prepravná služba Uber v Spojených štátoch, na obchádzanie zákona.

Uber sa vyhýbal kontrolám tak, že vodičov neposielal po objednávky od mestských inšpektorov. Tých identifikoval po vyvinutí špeciálneho programu, ktorý podľa New York Times sledoval, komu patria kreditné karty a či objednávky prichádzajú z blízkosti vládnych budov a ľudia zároveň aplikáciu často otvárali a zatvárali.

Uber sa po odhalení bránil, že nástroj vytvoril na ochranu vodičov, ktorých v niektorých krajinách napádali taxikári.

V Spojených štátoch zasa v minulosti niektoré obchody ponúkali ten istý tovar zákazníkom za rozdielne sumy podľa toho, aké boli ich doterajšie zvyky. Novoveský hovorí, že by sa to nemalo diať a je to na hranici zákona, alebo až za ňou. „Legálne je, ak ľuďom, ktorí nákup nedokončia, pošlú po týždni zľavový kupón. Firmám to neodporúčame, lebo zákazníkov naučia na takéto správanie.“

Únia sprísni ochranu súkromia

Novoveský hovorí, že keď ľuďom na stretnutiach vysvetľuje, ako práca s dátami funguje, dostáva dva druhy reakcií: Prvá je, že veď to je úplný Big Brother. Druhá je, že vau, to je super, lebo zobrazujeme správny obsah.

„Ja sa na to pozerám ako na výhodu pre ľudí, pretože internet je presýtený informáciami a je ťažké nájsť niečo zaujímavé pre daného človeka, no vďaka technológiám je to jednoduchšie a stále má slobodnú voľbu.“

Problém by podľa neho bol, keby súkromné údaje unikli, alebo by ich niekto spároval s konkrétnym človekom. „Ľudia by sa toho nemali báť, servery sú zabezpečené a vždy existovali podmienky či úrad na ochranu osobných údajov. A vznikajú aj iniciatívy ako GDPR.“

GDPR je skratka, ktorá vo firmách v Únii už teraz vyvoláva paniku. General Data Protection Regulation v preklade znamená novú reguláciu ochrany osobných údajov na internete aj mimo neho a dotkne sa bánk, operátorov, obchodov, zamestnávateľov a každého, kto zbiera osobné údaje.

Nariadenie vstúpi do platnosti od 25. mája. Bežní ľudia po tomto dátume žiadne zásadné zmeny nepostrehnú, no získajú viac informácií, čo sa deje s ich dátami.

Na internete už teraz museli stránky informovať o využívaní cookies, no doteraz bol súhlas so zberom údajov vynútený používaním stránky. Od mája budú firmy musieť zrozumiteľne vysvetliť, aké údaje spracujú, na čo ich vôbec potrebujú a čo s nimi budú ďalej robiť, tak, aby to ktokoľvek pochopil. To všetko musí prebehnúť ešte pred načítaním stránky, návštevníci sa teda k obsahu dostanú až po odkliknutí súhlasu so spracovaním osobných údajov.

Za porušenie nariadenia hrozia firmám obrovské pokuty, až 20 miliónov eur, alebo štyri percentá z ročného obratu spoločnosti podľa toho, ktorá suma bude vyššia. Novoveský hovorí, že si pre vysoké pokuty firmy dajú pozor. „Spoločnosti na Západe robia extrémne opatrenia, niektoré si zaplatili aj právnikov. Boja sa, že dostanú pokutu.“

Ak firmy už dnes súhlas zákazníka majú, no nespĺňa štandard podľa GDPR, budú oň musieť požiadať znovu. Súhlas navyše bude kedykoľvek odvolateľný. Za deti mladšie ako 16 rokov budú môcť vyjadriť súhlas iba rodičia.

Nové pravidlá skomplikujú fungovanie aj e-shopom. Najväčší český a slovenský eshop Alza hovorí, že už teraz zbierajú osobné údaje zákazníkov len s ich súhlasom. „Marketingové kampane si robíme sami, neodovzdávame ich ďalej bez súhlasu zákazníka. Domnievame sa, že nakupovanie v e-shopoch sa po týchto úpravách zmení, bohužiaľ, v neprospech zákazníka,“ vraví hovorkyňa Alzy Patricie Šedivá.

Zákazník bude podľa hovorkyne musieť odklikať súhlas so spracovaním osobných dát, inak nebude môcť využiť všetky funkcie e-shopu. „Alza.cz nikdy nepodmieňovala nákup poskytnutím dát na marketingové účely, ale niektoré služby bez súhlasu nie je možné ponúkať.“

Ďalšie nariadenie

Do platnosti má v budúcnosti vstúpiť aj ďalšie nariadenie, ePrivacy, ktoré zmení využívanie cookies na sledovanie užívateľov. Ľudia budú môcť v prehliadači sledovanie úplne odmietnuť.

Lupták hovorí, že osobné údaje bežných ľudí budú pod GDPR lepšie chránené, no na úkor vyšších nákladov súkromných firiem. Doteraz mali spoločnosti podľa Luptáka hlavne motiváciu trhovej konkurencie, únik osobných informácií z ich systémov znamenal stratu reputácie.

„Po novom je zrejmé, že Únia považuje osobné informácie občanov za také kritické, že ich ochrana musí byť vynucovaná pod hrozbou plošného nariadenia EÚ a prenesená na spoločnosti a všetkých daňových poplatníkov, ktorí budú financovať kontrolné a regulačné úrady.“

Nová, prísnejšia ochrana dát je podľa Luptáka príliš komplexná a nákladná pre spoločnosti, aby ju zaviedli do hĺbky. „Je príliš vágna a hrozí, že sa otvorí priestor na korupciu. Striktné vynucovanie GDPR môže viesť k cenzúre internetu, keď weby mimo EÚ môžu bojkotovať GDPR.“

Proti nariadeniu sa v piatok ozval aj šéf SaS a europoslanec Sulík. „Toto nariadenie je šialené. Spraví z nás národ udavačov a pokuty sú doslova likvidačné. Výsledok je štátom garantovaný biznis pre rôznych poradcov, certifikovaných koordinátorov a data protection officerov. Firmy budú musieť platiť tisíce eur, lebo EÚ si z ochrany osobných údajov spravila modlu,“ vraví Sulík.

Na 25. máj sa okrem firiem pripravuje aj Úrad na ochranu osobných údajov. „Aj pre úrad je to nová situácia, ktorá však neznamená to, že úrad bude ukladať pokuty iba preto, lebo môže. Úrad ako správny orgán je a bude povinný pri uložení akejkoľvek pokuty zohľadniť mnoho faktorov, ktoré na jej výšku, ak bude uložená, budú mať vplyv.“

Nariadenie GDPR

Teraz najčítanejšie