Pro webové stránky přineslo GDPR mnoho nových požadavků. Jedním z nich je přidání stránky s informacemi o práci s osobními údaji uživatelů. Na takové stránce musí být pokryty všechny informace z článků 13 a 14 GDPR. Text musí být napsaný jasně a srozumitelně s vynecháním právnických frází. Stránka o ochraně osobních údajů či odkaz na ni se musí nacházet na viditelném místě, tedy v liště cookies a na webových formulářích. Uživatel musí udělit souhlas se zpracováním osobních údajů nejpozději ve chvíli, kdy stránka takovéto údaje začíná sbírat. Příkladem takové situace může být udělení souhlasu se sběrem cookies, udělení souhlasu se zpracováním osobních údajů nebo odkaz jako součást obchodních podmínek.
Provozovatel je povinen uchovávat uživatelův souhlas v podobě v jaké ho poskytl, musí tedy obsahovat například časovou lhůtu pro uchování a nakládání s osobními údaji, která byla odsouhlasena. Nově je vyžadováno, aby uživatel měl možnost přejít na cookies režim opt-in.
Jedná se o princip, kdy uživatel musí nejdříve cookies na webu povolit a až následně může provozovatel přejít k jejich užívání. Výjimkou jsou pak funkční cookies, které jsou nutné k základnímu fungování webu. Uživatel o využívání těchto cookies musí být informován, není ale nutný jeho souhlas. Využití analytických a marketingových cookies musí být vždy explicitně odsouhlaseno a nelze ho vynutit. Možnosti cookies musí být možné modifikovat v budoucnu. V případě, že jsou osobní údaje součástí objednávkového formuláře a má dojít k plnění smlouvy, lze takovéto údaje využívat k marketingovým účelům, protože GDPR toto hodnotí jako oprávněný zájem. U kontaktních formulářů je to naopak. Uživatel musí být informován o zpracování osobních údajů, ale pro cílení marketingového obsahu už je třeba jeho souhlas. (Solidpixels, 2021)
Správce webu, kterému uživatel sděluje své osobní údaje, musí archivovat a být schopný doložit všechny souhlasy uživatele, a to po celou dobu zpracování těchto údajů. Lhůta pro uchování a zpracování osobních údajů musí být vždy stanovena, tento souhlas nelze udělit na dobu neurčitou. Doba uložení závisí na charakteru a účelu uložených informací, například u
internetového nákupu může být tímto účelem reklamace. Pokud souhlas uživatele nesplňuje podmínky GDPR, je provozovatel webu povinen získat opětovný souhlas se zpracováním osobních údajů. GDPR se dále odvolává na obecné zásady ochrany dat jako je šifrování, anonymizace a bezpečnostní certifikáty. (Solidpixels, 2021)
2. Sběr informací na internetu
Společnosti sbírají uživatelská data už od 90. let minulého století. V této době došlo ke vzniku databázového marketingu a věrnostních programů. Na začátku 21. století, spolu s rozšířením internetu do více domácností, význam sběru dat, stejně jako jejich množství, stoupal. S ná-stupem chytrých telefonů a sociálních sítí začala éra digitálního sledování uživatelů. Dnešní sběr informací na internetu se od zavedení internetu značně rozvinul. Dnes je ukládání osob-ních údajů ošetřeno GDPR. Osobní údaje zahrnují údaje o jméně, poloze, kontaktech nebo rodinném stavu. Mimo tyto údaje jsou prostřednictvím internetu a mobilních aplikací sbírána další data, prostřednictvím kterých osobu sice nelze identifikovat, ale lze je využít při analýze chování subjektu, k obchodnímu a marketingovému modelování a cílení obsahu. V roce 2018 bylo na internetu denně vyprodukováno 2,5 trilionů bytů dat a dle výzkumu autorů z Science Focus společnosti Google, Facebook, Microsoft a Amazon mají uložené nejméně 1 200 pe-tabytů informací generovaných 4,8 miliardami uživatelů internetu po celém světe. Odhaduje se, že 90 % celosvětových dat vzniklo v posledních dvou letech. (Evans, 2019; Christl, 2017;
Vuleta, 2021)
Data můžeme rozdělit do dvou hlavních skupin dle typu sběru na aktivní a pasivní. Aktivní data jsou ta data, která uživatel s platformou sdílí vědomě. Pasivní pak ty, jejichž sběr probíhá na pozadí při aktivitě uživatele na síti, zařízení či v aplikaci.
2.1 Typy údajů
2.1.1 Údaje o poloze
Data o poloze se skládají z geografické pozice zeměpisné šířky a délky, případně i nadmořské výšky. Mimo jiné lze pro určení polohy využívat geohash, což je jedinečný řetězec znaků složený z písmem a číslic. Přesnost geohashe záleží na délce tohoto řetězce. Polohové údaje lze využít pro sledování pohybu (Origin-Destination Study), zájmů a chování subjektů.
Standardní a často využívanou technologií pro získání těchto údajů je GPS posílající signál konkrétního zařízení satelitu. Zařízení přijímající signál určuje polohu dle jeho délky. Jedná se o velmi přesný údaj, ke zkreslení však může dojít, pokud se zařízení nachází v budově či v místě s velkým množstvím zařízení.
Další možností sbírání polohových údajů je prostřednictvím Wi-Fi. Za pomoci kontaktu s routery v okolí lze určit vzdálenost mezi zařízením a routerem. Toto řešení je ideální v situaci, kdy selhává přesnost GPS, tedy například v budovách.
Sdílení polohy může být také součástí kódu aplikace, kdy aplikace přebírá polohu zařízení, na kterém je nainstalována. V tomto případě musí uživatel udělit přímý souhlas se sběrem
polohových informací. Sdílení polohy může běžet na pozadí nebo pouze pokud je aplikace otevřená.
Data o poloze lze získávat z reklam v mobilních aplikací či na webu, hovoříme pak o tak-zvaných bidstream datech. Reklamy běžně neukládají polohu zařízení, ale mají přístup k IP adrese. Tento způsob určení polohy není příliš přesný, protože uživatel může využívat i vzdálenou IP adresu.
Transakční údaje pocházejí z platebních systémů, a mimo polohu se pojí s dalšími přida-nými informacemi, jako nakupované položky či zaplacená částka. Transakce zachycují pouze osoby, které provedly nákup, takže dle těchto dat nelze určit polohu dalších osob v okolí.
(Quadrant.io, 2021)
2.1.2 Historie vyhledávání
Historie vyhledávání se ukládá v internetovém prohlížeči automaticky, pokud se uživatel po-hybuje ve standardním režimu. Prohlížeč hraje roli překladače mezi uživatelskými požadavky a odpovědí serverů. Moderní prohlížeče obsahují možnost vytvořit účet a přenášet tak nejen nastavení profilu či záložky, ale právě i historii vyhledávání. Většina prohlížečů nabízí také anonymní režim, kde k ukládání navštívených URL nedochází. Z historie lze extrahovat klí-čová slova či četnost vyhledávání. V kombinaci s časy vyhledávání lze sestavit vzorce chování uživatele. V roce 2016 došlo v berlínské Tectical Tech kanceláři k vyšetřování, při kterém sku-pina datových analytiků zkoumala dvouhodinovou výseč z historie vyhledávání švýcarského novináře. Výsledkem se stal velmi podrobný článek s popisem dne sledovaného subjektu.
(Share lab, 2017)
2.1.3 Obrazová a audiovizuální data
Audiovizuální data jsou v době sociálních médií často sdílena na internetu. Může se jed-nat o obrazové materiály jako fotky a videa nahrané uživatelem, ale také data z webkamer.
Analýzou prochází osoby na fotografii (rozpoznání obličeje a rysů), okolí i předměty. Mnoho aplikací nabízí filtry, které snímají a analyzují pohyby obličeje tak, aby se mohly přizpůsobit uživateli. Aplikace také mohou vyžadovat přístup k celé knihovně fotografií a videí na uživa-telském zařízení. Na obrázku níže lze vidět pět aplikací a jejich přístup k obrazovým a audio datům. Všechny mají přístup k technologii rozpoznávání obličeje, rozpoznávání okolí a osob ve vašem okolí, případně propojení s jejich identitou, knihovně fotografií a jazyku zařízení.
Technologie rozpoznávání obličeje je založená na analýze rysů obličeje. Obraz obličeje je roz-dělen na dimenzionální body, které odpovídají velikosti obrazu v pixelech. (Slynchuk, 2021;
Oravec, 2010)
Obrázek 2.1: Přístup aplikací k audiovizuálním datům, zdroj: (Slynchuk, 2021)