Vysoká škola ekonomická v Praze
Fakulta informatiky a statistiky
Povědomí uživatelů o ochraně soukromých dat na Facebooku
BAKALÁŘSKÁ PRÁCE
Studijní program: Aplikovaná informatika Studijní obor: Aplikovaná informatika
Autor: Ivana Talašová
Vedoucí bakalářské práce: Mgr. Ing Tomáš Sigmund, Ph.D.
Praha, květen 2021
Prohlášení
Prohlašuji, že jsem bakalářskou práci Povědomí uživatel o ochraně osobních dat na sociálních sítích vypracovala samostatně za použití v práci uvedených pramenů a literatury.
V Praze dne 9. května 2021 ...
Ivana Talašová
Poděkování
Tímto bych ráda poděkovala Mgr. Ing. Tomáši Sigmundovi, Ph.D. za vedení mé bakalářské práce, za ochotu, trpělivost a cenné připomínky.
Abstrakt
Bakalářská práce je zaměřena na výzkum povědomí uživatelů Facebooku o bezpečnosti osobních údajů a obsahu smluvních podmínek Facebooku. Teoretická část práce vymezuje základní pojmy týkající se tohoto tématu. Poukazuje na rizika a nebezpečí, která hrozí osobním údajům v prostředí sociálních sítí. Zmíněna je také příslušná legislativa a doporučení pro uživatele, jak se co nejvíce vyhnout zmíněným nebezpečím. Jako součást ochrany osobních dat se dají považovat i smluvní podmínky služeb, které jsou do práce zahrnuty spolu s důvody, proč je uživatelé nečtou a s popsáním částí, které by měly nebo musí obsahovat. Následně jsou popsány a zhodnoceny smluvní podmínky a zásady použití dat Facebooku. Cílem praktické části je výzkum povědomí uživatelů o ochraně soukromých dat na Facebooku, zda jsou si vědomi toho, co obsahují smluvní podmínky a zásady používání dat, a jaký mají na dokumenty názor. Toho je dosaženo dotazníkovým šetřením rozebraným v praktické části.
Klíčová slova
Sociální sítě, osobní údaje, ochrana, smluvní podmínky
JEL klasifikace
L86
Abstract
The bachelor's thesis focuses on the research of Facebook users' awareness of the security of personal data and the content of Facebook's terms and conditions. The theoretical part of the thesis defines the basic concepts related to this topic. It points out the risks and dangers posed by personal data in the environment of social networks. Relevant legislation and recommendations for its users on how to avoid these hazards are also mentioned. As part of the personal data protection, we also have to identify the terms of service, along with the reasons why users do not read them and a description of the parts which they should or must contain. Subsequently, the data of Facebooks terms , conditions and principles of use are described and evaluated. The aim of the practical part of the thesis is to research the awareness of users about the protection of private data on Facebook, whether they are aware of what the terms and conditions and principles of use of data contain and what they think about the documents. This was achieved by a questionnaire survey analyzed in the practical part. It includes the determination and evaluation of the hypotheses.
Keywords
Social networking sites, personal data, protection, terms and conditions
JEL Classification
L86
Obsah
Úvod ... 10
1 Soukromí ... 12
1.1 Definice soukromí ... 12
1.2 Informační soukromí ... 13
1.3 Osobní údaje, citlivé údaje ... 13
1.4 Ohrožení osobních údajů ... 14
1.4.1 Hackerství ... 14
1.4.2 Phishing ... 15
1.4.3 Krádež identity... 16
1.4.4 Cookies ... 17
1.4.5 Malware ... 17
2 Ochrana soukromých údajů ... 19
2.1 Právní hledisko ochrany soukromých dat na sociálních sítích ... 19
2.1.1 GDPR – Nařízení (EU) 2016/679 ... 19
2.1.2 110/2019 Sb., Zákon o zpracování osobních údajů ... 20
2.1.3 ePrivacy ... 20
2.2 Pravidla bezpečného chování na internetu ... 21
2.2.1 Smluvní podmínky ... 22
2.2.2 Zásady ochrany osobních údajů ... 25
2.2.3 Porovnání smluvních podmínek a zásad ochrany osobních údajů s riziky ... 27
3 Sociální sítě ... 29
3.1 Definice sociálních sítí ... 29
3.2 Charakteristika sociálních sítí ... 29
4 Facebook ... 31
4.1 Smluvní podmínky Facebooku... 32
4.1.1 Zhodnocení smluvních podmínek Facebooku na základě doporučeného obsahu ... 33
4.1.2 Zhodnocení smluvních podmínek z pohledu uživatele ... 34
4.2 Zásady používání dat na Facebooku ... 35
4.2.1 Zhodnocení zásad používání dat Facebooku na základě povinného obsahu ... 36
4.2.2 Zhodnocení zásad používání dat z pohledu uživatele ... 37
5 Praktická část ... 39
5.1 Cíl výzkumu ... 39
5.2 Výzkumné hypotézy ... 39
5.3 Dotazníkové šetření ... 40
5.4 Soubor respondentů... 41
5.5 Zpracování dotazníkového šetření ... 42
5.6 Porovnání hypotéz se získanými výsledky z dotazníkového šetření ... 50
Závěr ... 52
Použitá literatura ... 53 Přílohy ... I
Seznam obrázků
Obrázek 1: Falešné účty FB I. (vlastní zpracování, zdroj: [13]) ... 16
Obrázek 2: Falešné účty FB II. (vlastní zpracování, zdroj: [13]) ... 17
Obrázek 3: Délka smluvních podmínek podle počtu slov (vlastní zpracování, zdroj: [33]) ... 23
Obrázek 4: Porovnání smluvních podmínek a zásad ochrany osobních údajů (zdroj:[35]) ... 26
Obrázek 5: Klasická URL adresa (zdroj: vlastní zpracování) ... 31
Obrázek 6: URL adresa s fbclid parametrem (zdroj: vlastní zpracování) ... 31
Obrázek 7: Věk respondentů (vlastní zpracování) ... 41
Obrázek 8: Z jak velké obce jsou respondenti (vlastní zpracování) ... 41
Obrázek 9: Vzdělání respondentů (vlastní zpracování) ... 42
Obrázek 10: Poměr respondentů, kteří smluvní podmínky četli a kteří ne (vlastní zpracování) ... 43
Obrázek 11: Míra kvality přečtení smluvních podmínek (vlastní zpracování) ... 43
Obrázek 12: Vzdělání respondentů, kteří četli podmínky (vlastní zpracování) ... 44
Obrázek 13: Souhlas/nesouhlas respondentů s tvrzeními, kteří nečetli podmínky (vlastní zpracování) ... 44
Obrázek 14: Souhlas/nesouhlas respondentů s tvrzeními, kteří nečetli podmínky (vlastní zpracování) ... 45
Obrázek 15: Porovnání, co uživatelé vědí, že Facebook může (vlastní zpracování) ... 46
Obrázek 16: O jakých aktivitách Facebooku respondenti věděli/nevěděli ... 46
Obrázek 17: Kolik údajů o sobě respondenti veřejně sdíleli (vlastní zpracování) ... 47
Obrázek 18: Počet sdílených údajů podle pohlaví (vlastní zpracování) ... 47
Obrázek 19: Průměrný počet sdílených údajů podle vzdělání (vlastní zpracování) ... 48
Obrázek 20: Pocit bezpečí údajů na Facebooku (vlastní zpracování)... 48
Obrázek 21: Poměr respondentů, kteří podmínky četli/nečetli a s tvrzením souhlasí/nesouhlasí (vlastní zpracování)... 49
Obrázek 22: Rozdělení respondentů podle toho, zda si na základě dotazníku změní nastavení soukromí (vlastní zpracování) ... 50
Úvod
Ochrana soukromých informací je v dnešní době velice diskutovaným tématem. Na internetu se odehrává velká část života snad každého člověka. Díky internetu můžeme komunikovat s lidmi na druhé straně světa. Přes internet nakupujeme, vybíráme dovolenou, hrajeme hry, dokonce si přes internet hledáme lásku svého života. K těmto i mnohým dalším aktivitám používáme také sociální sítě.
Co si ale mnoho uživatelů neuvědomuje, je fakt, že na sociálních sítích se nachází mnoho hrozeb a nebezpečí, na které by si měl každý dávat pozor. Není to ani tak naše osoba, která je na internetu v ohrožení, ale tím ohroženým jsou právě naše data a soukromé informace. Pokud sdělím kamarádovi něco v reálném životě, je docela pravděpodobné, že si danou informaci nechá pro sebe.
Nastane-li stejná situace na sociálních sítích či jinde na internetu, může se stát, že můj nebo jeho účet někdo napadne, dostane se k informaci také a může ji kdekoli zveřejnit. Osobní údaje či soukromé informace však uživatelé neposílají jen v soukromých konverzacích. Mnohdy je veřejně sdílí ve svých příspěvcích nebo na profilech. Proto je velice důležité, aby si uvědomovali, jaká nebezpečí jejich soukromým informacím ve virtuálním světě hrozí a jak se jim vyvarovat.
Na začátku roku 2021 měl Facebook 2,6 miliardy měsíčně aktivních uživatelů. [1] To z něj dělá jednu ze společností s největším počtem uživatelů. Na druhou stranu to z něj teoreticky také dělá službu, na které se dá o nejvíce uživatelích najít mnoho osobních údajů, a společnost, která pracuje s velkým množstvím našich osobních údajů. Práce je zaměřena na tuto sociální síť právě z uvedených důvodů – je nejpoužívanější a obsahuje mnoho osobních informací, které uživatelé sami sdílejí.
Cílem práce je výzkum povědomí uživatelů o ochraně soukromých dat na Facebooku, zda jsou si vědomi toho, co obsahují smluvní podmínky a zásady používání dat a jaký mají na dokumenty názor.
Ačkoli jsou tyto dokumenty součástí každé služby, jsou často opomíjeny a většina uživatelů o ně nejeví zájem. Po přečtení práce bude mít čtenář jednak představu o tom, jaké nebezpečí jeho údajům na internetu hrozí, a jak se před nimi chránit, a jednak bude mít čtenář hrubou představu o tom, jak může Facebook s jeho údaji nakládat, k čemu je používat a komu je distribuovat.
Cíl práce doplňují i dva podcíle, které se týkají smluvních podmínek. Prvním podcílem je analýza smluvních podmínek a zásad ochrany osobních data toho – jak jsou v nich ošetřeny hrozby týkající se osobních údajů. Účelem je zjistit, jak se společnosti k rizikům staví, zda jsou ošetřeny v dokumentech, a kdy se společnost zříká odpovědnosti za škodu způsobenou na její službě. Druhým podcílem je analýza smluvních podmínek a zásad používání dat Facebooku – zda obsahují pro podmínky doporučené části a pro zásady části povinné.
Teoretická část práce se zabývá soukromím, osobními údaji a jejich hrozbami. Poté se věnuje legislativní ochraně osobních údajů a pravidlům, která by měl uživatel dodržovat při používaní nejen sociálních sítí. Do ochrany je také zahrnuto téma smluvních podmínek, které dávají uživateli představu o tom, co se s jeho údaji děje a na základě jejich přečtení by se měl rozmyslet, jak je bude
sdílet. Následuje krátká definice sociálních sítí a jaká rizika na nich hrozí. Poslední kapitola teoretické části se věnuje Facebooku, rozebírá jeho smluvní podmínky a zásady ochrany dat. Každá tato část je následně zhodnocena.
Praktická část je rozdělena na dvě části. V první části jsou za základě teoretické části a osobních zkušeností autora stanovené hypotézy, které jsou na základě informací z dotazníkového šetření vyvrácené nebo potvrzené. Dotazník se týká povědomí uživatelů Facebooku o tom, co se nachází v jeho smluvních podmínkách a názoru uživatelů na jejich délku či složitost, jaké osobní informace o sobě sdílejí a zda si na základě informací z dotazníku podmínky přečtou nebo nastaví vyšší úroveň ochrany. V druhé části praktické části jsou data posbíraná z dotazníku porovnána se stanovenými hypotézami.
1 Soukromí
Pod pojmem soukromí si každý z nás představí něco jiného a jinak se svým soukromím nakládá.
Někdo si své soukromí cení nade vše a jiný se nebojí s okolním světem cokoli sdílet. Pro každého ale soukromí a soukromé informace značí něco, co si chce uchovat pro sebe, potažmo sdílet s lidmi, které si dotyčný sám zvolí. Existují údaje, které bychom neměli bez rozmyslu nikomu předávat a jejich zveřejnění by mohlo naši osobu poškodit. Kromě definování soukromí podle práva i odborníků se tato kapitola věnuje i popsání, co to jsou osobní a citlivé údaje a jaké nebezpečí jim hrozí.
1.1 Definice soukromí
Přestože soukromí je pojem často používaný v různých oblastech života, je to pojem velice široký a jakákoli jeho definice těžko k nalezení. Listina základních práv a svobod uvádí v článku 7:
“Nedotknutelnost osoby a jejího soukromí je zaručena. Omezena může být jen v případech stanovených zákonem.” a v článku 10 píše o soukromém životě: “Každý má právo na ochranu před neoprávněným zasahováním do soukromého a rodinného života.”, ale co se skrývá pod pojmem soukromí nikde uvedeno není. [2]
Ve stanovisku č. 6/2009 vydaném Úřadem pro ochranu osobních údajů je doslova napsáno, že definice slova soukromí v české legislativě chybí a je uvedeno, že soukromí můžeme popsat jako:
“osobní, intimní sféru člověka v jeho integritě, která zahrnuje všechny projevy osobnosti konkrétního a jedinečného lidského tvora. Pojem soukromí obsahuje rovněž hmotný i myšlenkový prostor jednotlivce, součástí soukromého života je i právo na vytváření a rozvíjení vztahů s dalšími lidskými bytostmi.” [3]
Kromě snah o vytvoření definice pro soukromí v legislativě, se o vymezení pojmu soukromí snaží i odborníci. Jako příklad bych zmínila profesora Daniela J. Solove, který se ve své práci Conceptualizing Privacy zabývá právě soukromím a různým přístupům k němu.
Jako první uvádí právo být nechán o samotě (Right to Be Let Alone), tím se vymezuje právo člověka dělat si cokoli chce se svými soukromými záležitostmi. Teorie zvaná omezený přístup k sobě samému (Limited Access to the Self) uznává touhu jednotlivce se nějakým způsobem skrývat a oddělit se od ostatních. Tím je myšleno, že každý má právo nechat si své záležitosti pro sebe a rozhodnout se, co bude sdílet s ostatními. Další koncepcí je nahlížení na soukromí jako na tajemství (Secrecy). Tato koncepce je užší než teorie předešlá, jelikož se týká pouze skrývání osobních informací. V koncepci kontrola nad osobními informacemi (Control Over Personal Information) si jedinec chrání jako soukromé všechny informace, nad nimiž chce udržet kontrolu. Další teorie o soukromí ho považuje za formu ochrany osobnosti (Personhood) a integrity člověka. Jako poslední uvádí chápání soukromí jako formu intimity (Intimacy). Tato teorie popisuje, že soukromí se nepojí jen s jednotlivcem samotným, ale i s jeho mezilidskými vztahy. Člověk si vytváří vztahy s různou mírou intimity, tzn.
vybírá si, s kým bude sdílet svá tajemství a části svého soukromí. [4]
Části těchto teorií se prolínají, ale i přesto se v detailech liší. Stejně jako každý jedinec do soukromí může zahrnout trochu jiné aspekty svého života a jinak s nimi nakládat než někdo jiný. Většina lidí si své soukromí v reálném životě cení mnohem více než soukromí na internetu, kde by uživatelé paradoxně měli se svými soukromými údaji nakládat s větší obezřetností.
1.2 Informační soukromí
Už v roce 2010 prohlásil zakladatel Facebooku Mark Zuckerberg, že soukromí je přežitek. Co se týče internetového života, nezbývá než souhlasit. Ať už vědomě či nevědomě sdílíme téměř denně tisíce informací, které se ukládají do databází či systémů. V reálném životě si smlouvu před podepsáním přečte každý, ve virtuálním světě však stačí zaškrtnout jedno políčko a soukromé informace se začnou ukládat, přitom mnohé z nich bychom v reálném světě vůbec nesdíleli.
K informačnímu soukromí, stejně jako k normálnímu soukromí existuje mnoho přístupů. Jeden z prvních názorů byl, že informační soukromí je schopnost člověka sledovat kdy, jak a v jaké míře jsou jeho osobní informace sdělovány ostatním. Tato definice je však pouze obecná a má mnoho mezer.
Jiní odborníci za informační soukromí považují osobní komunikaci a soukromí dat nebo také za ochranu soukromých dat při shromažďování, ukládání a dalším sdílení. [5]
Velice zajímavým jevem v informačním soukromí je tzv. privacy paradox. Tento paradox popisuje rozpor mezi obavami lidí o jejich soukromí a jejich skutečným chováním. Aby uživatel mohl konkrétní službu používat, předá za to jejímu poskytovateli informace o sobě, většinou jsou to soukromé osobní informace. [5] I když tedy chová uživatel nedůvěru v poskytování informací o svém životě internetovým službám, je ochoten kliknout na jakékoli tlačítko nebo souhlasit s podmínkami služby, jen aby mohl službu dále využívat. V průzkumech lidé uvádí, že si svého soukromí cení, i přesto dále používají služby, které narušují jejich soukromí. Příkladem může být kauza Cambridge Analytica z roku 2018, kdy tato firma tajně získala data o milionech uživatelů Facebooku. Po této kauze se navýšil počet denně aktivních uživatelů oproti předešlému roku. [6]
1.3 Osobní údaje, citlivé údaje
Osobní údaje jsou důležitou součástí soukromí. Jsou to údaje, které bychom měli nejvíce chránit.
Mohou být ukradnuty a zneužity k trestným činům nebo být jinak použity pro poškození naší osoby a ku prospěch osoby jiné. Jsou definovány jako jakékoliv informace o identifikované nebo identifikovatelné fyzické osobě. Jako identifikovatelná osoba se označuje osoba, kterou lze jakýmkoliv způsobem spojit s danými informacemi. [7]
Mezi osobní údaje patří například:
• jméno a příjmení,
• rodné číslo,
• číslo občanského průkazu/pasu,
• IP adresa,
• fotografie,
• e-mailová adresa (zvláště pokud obsahuje jméno a příjmení)
GDPR stanovuje zvláštní kategorii osobních údajů zvanou citlivé údaje. Zveřejnění těchto údajů by mohlo danou osobu poškodit v společenském i soukromém životě. Při jejich zpracování je kladen důraz na bezpečnost ještě více, než je tomu u osobních údajů. Patří sem údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení. [7]
1.4 Ohrožení osobních údajů
Mnohé z osobních údajů jsou denně uživateli zveřejňovány bez rozmyslu. Při každé registraci je nutné vyplnit minimálně naši e-mailovou adresu. Už jen jejím poskytnutím můžeme společnosti předat i jméno a příjmení, za předpokladu, že se z nich adresa skládá. Naše osobní údaje mohou ohrozit i naši kamarádi, rodina nebo jakýkoli jiný člověk využívající internet. Například když náš kamarád zveřejní fotografii, kde nejsme zrovna v lichotivé situaci, nebo bychom prostě takovou fotografii sami s veřejností nesdíleli, může nás tím poškodit, i když jeho úmysl takový vůbec nebyl.
Osobní údaje jsou ohroženy jak naším chováním, chováním jiných uživatelů, tak i společnostmi poskytujícími službu, kterou využíváme. Těmto společnostem dáváme souhlas se zpracováním osobních údajů, ale co se pod tímto spojením slov vlastně skrývá většina z nás netuší. Společnosti mohou naše údaje sdílet s jinými společnostmi a ty je využijí pro svůj prospěch. V nejlepším případě budou uživateli chodit reklamní sdělení, o které nikdy nežádal, nebo při nedostatečném zabezpečení systému mohou data uniknout do nesprávných rukou.
Kožíšek a Písecký, autoři knihy věnující se bezpečnosti na internetu, rozdělují nebezpečí na internetu do několika kategorií, které se týkají jak ohrožení osobních údajů, tak jiným hrozbám internetu.
V této kapitole se věnuji pouze těm nebezpečím, které se týkají osobních údajů. Rozdělení zmíněných autorů jsem vybrala z důvodu, že každé riziko je samo o sobě dosti rozsáhlé a je potřeba jim věnovat pozornost zvlášť. V rozdělení však dle mého chybí nebezpečí spojené se soubory cookies, které se uživatelům ukládají do počítače, a ohrožení malwarem. [8]
1.4.1 Hackerství
Prvním nebezpečím od zmíněných autorů je hackerství. Původně slovo hacker sloužilo jako označení pro člověka, který se excelentně vyznal v počítačových systémech a dokázal je různými úpravami přetvořit, aby mu posloužily, jak potřeboval. Díky působení médií si dnes představíme pod stejným označením osobu, která dělá něco nelegálního a snaží se dostat do míst jemu nepřístupných. Tito lidé se správně nazývají black hat crakeři a jejich cílem bývá prolomení firemního či osobního
zabezpečení, aby se dostali k citlivým informacím. Ty pak mohou využít k vlastnímu prospěchu (většinou obohacení), nechat je uniknout na veřejnost nebo prodat jinému subjektu. [9]
Black hat crakeři pro své účely používají mnoho technik a metod. Jednou z jednodušších metod, jak se dostat jinému uživateli do počítače, jsou programy na prolamování hesel. Takové programy dokážou heslo zjistit v i v řádu sekund. Čím slabší heslo, tím lehčí prolomení. Dalšími technikami jsou například níže zmíněný phishing či různé druhy malwaru.
Na druhou stranu existují tzv. white hat hackeři. Jejich dovednosti jsou sice stejné jako u crakerů, ale nevyužívají je pro poškozování jiných. Tito hackeři pomáhají společnostem hledat skulinky v jejich bezpečnostních systémech. Následně společnosti své systémy upravují, aby nebyly tak snadno prolomitelné, nejlépe neprolomitelné. [9]
1.4.2 Phishing
Častým jevem může být obdržení e-mailu od nějaké společnosti, který nás vyzývá ke změně či pouze zadání přihlašovacích údajů. Tak se tvůrce tohoto e-mailu může dostat například k údajům do internetového bankovnictví a poté si poslat peníze na svůj účet. Při pořádném přečtení e-mailu si uživatel může všimnout, že několika detailů, které by se v opravdovém e-mailu nevyskytly. Firma ESET, zabývající se zabezpečením našeho internetového života, uvádí na svých stránkách sedm rad, jak poznat phishingový e-mail. [10]
• „Obecné nebo neformální oslovení – I když to nemusí být nutně znak phishingu, banky a úřady většinou používají personifikované oslovení.
• Požadavek na citlivé informace – Žádná seriózní banka nebo finanční situace po vás nebude chtít vyplnění hesla do internetového bankovnictví v e-mailu. Jednoznačný znak phishingu.
• Špatná gramatika – Pokud vám zrovna nenapsal váš známý dysgrafik, pak je špatná čeština varovným signálem, který by mohl znamenat podvodnou zprávu.
• Neočekávaný e-mail – Nevyžádané e-maily od neznámých osob není nutné otevírat. A když už, pak rozhodně se zvýšenou pozorností.
• Přílišná naléhavost – Útočníci chtějí uživatele donutit provést požadovanou akci co nejrychleji, aby o tom neměl čas přemýšlet. Pokud tedy na vás e-mail příliš tlačí a nutí kliknout na tlačítko či odkaz, buďte ve střehu.
• Velmi výhodná nabídka – Zboží zadarmo, služba za nesmyslnou cenu, nově nalezený příbuzný milionář z Afriky, to vše je typické pro phishing.
• Podezřelá doména – České banky určitě nebudou používat německou nebo čínskou doménu.“
Phishing často není namířen na konkrétní uživatele, proto se může stát, že uživateli přijde e-mail od společnosti, u které ani nemá založený účet. To značně snižuje pravděpodobnost, že uživatel následně vyplní své údaje. Na snížení této pravděpodobnosti se zaměřuje spearphishing, který je
cílen na konkrétní uživatele nebo lidi z jedné firmy, o nichž si zjistí všechny dostupné informace.
Tento e-mail je tak mnohem osobnější, propracovanější a hůře odhalitelný. [11]
1.4.3 Krádež identity
Pod tímto pojmem se skrývají dvě situace: krádež identity a zneužití totožnosti. Ke krádeži identity dochází, když zloděj odcizí osobní, soukromé či finanční informace o někom jiném. Mezi nejčastěji zneužité informace patří například číslo kreditní karty či bankovního účtu, ale postačí i jméno a příjmení. [12]
Druhým případem je zneužití totožnosti, ke kterému dochází při využití těchto ukradených údajů.
Podvodník se na sociálních sítích vydává za veřejně známou osobnost. V případě Facebooku může mít podvodný účet stejné jméno, příjmení i profilové obrázky. Ale například na Instagramu není možné mít stejné uživatelské jméno, takže se ve falešných účtech vyskytují různé překlepy. [12]
Facebook se snaží falešné účty odhalovat a mazat je, jelikož porušují jejich pravidla. Jejich detekční technologie jsou schopné zablokovat každý den miliony pokusů o založení falešného účtu a detekovat miliony dalších minuty po jejich založení. [13]
Na obrázku 1 je vidět množství zablokovaných účtů v biliónech od čtvrtého kvartálu 2017 do čtvrtého kvartálu 2020. Obrázek 2 zobrazuje procentuálně množství účtů, které Facebook zablokoval dříve, než je jiní uživatelé nahlásili (modrá) oproti množství účtů, které byly nejdříve nahlášeny uživateli a až poté je Facebook zablokoval (oranžová). Oranžové množství zablokovaných účtů není téměř vidět.
Například v druhém kvartálu roku 2019 bylo uživateli nahlášeno 0,3 % účtů dříve, než byly zablokovány, což je při přepočtu zhruba 4 500 účtů. [13]
Obrázek 1: Falešné účty FB I. (vlastní zpracování, zdroj: [13])
Obrázek 2: Falešné účty FB II. (vlastní zpracování, zdroj: [13])
1.4.4 Cookies
Cookies jsou malé textové soubory, které webové stránky ukládají do počítače. Slouží k ukládání informací o jednotlivých uživatelích, času stráveném na dané stránce a poté data posílají automaticky zpět do prohlížeče. Původně měli cookies usnadňovat používání internetu. Webová stránka si zapamatovala přihlašovací údaje a uživatel zůstal přihlášen i při druhé návštěvě nebo si e-shop s oblečením pamatoval zboží přidané do nákupního košíku, i když uživatel stránku omylem zavřel a znovu otevřel. Toto všechno si prohlížeč pamatoval právě díky souborům cookies, se kterými uživatel většinou souhlasí při prvním navštívení daného webu. Dnes se však cookies soubory využívají často pro cílenou reklamu a marketing. [14]
Zda jsou cookies považovány za osobní údaj, se zjišťuje stejně jako u jiných údajů. Jedná se o něj, pokud je možné informace obsažené v cookies spojit s konkrétní osobou nebo má společnost k dispozici jiné informace, které by se daly spojit s danou osobou. Například pokud by společnost mohla spojit informace z cookies s informacemi z uživatelských účtů. Pak se s těmito cookies soubory musí zacházet podle GDPR a dají se zneužít jako jakékoli jiné osobní údaje. [15]
1.4.5 Malware
Malware je označení pro software, který je určený k infiltraci nebo poškození počítačového systému bez souhlasu vlastníka. Původně vznikl malware jako neškodný žert, který měl adresáta chvíli obtěžovat, než že by měl způsobit vážné škody. Dnes je však spíše využíván například k poškození dat uživatele či získání osobních údajů. [16]
Mezi typy malwaru by se daly zařadit například tyto: spyware, adware, trojský kůň, keylogger, rootkit, počítačový virus, ransomware aj. Ne všechny však představují nebezpečí pro osobní údaje, a tak detailněji popíšu jen dva typy: spyware a keylogger. [16]
Spyware je typ malwaru, který monitoruje chování uživatele na internetu a posílá sesbírané informace zpět útočníkovi, který malware stvořil a ten může sesbíraná data prodat dále. Informace se
mohou týkat pouze historie prohlížeče a následně jsou použity pro cílení reklamy, ale program může shromažďovat i naše citlivé údaje či hesla. [17]
Dalším typem malwaru, který ohrožuje osobní údaje je keylogger. Tento program tajně zaznamenává každé stisknutí klávesnice, informace ukládá a následně posílá zpět útočníkovi. V získaných informacích se mohou objevit hesla, čísla karet, rodná čísla, údaje potřebné k přihlášení do různých služeb, ale také zprávy poslané přátelům. Keylogger může mít jak podobu programu, tak i podobu fyzickou jako malé zařízení, které se připevní mezi klávesnici a základní desku. [18]
2 Ochrana soukromých údajů
Pro základní ochranu soukromých údajů existují různé zákony, směrnice a nařízení. Ty zaručují všem osobám ochranu jejich dat poskytnutých různým společnostem, stanovují pravidla pro zacházení se soukromými údaji a sankce za porušení těchto pravidel. Legislativa sice každému uživateli zaručuje ochranu osobních údajů ze strany společností, ale velkým dílem k bezpečí svých údajů přispívá i sám uživatel. Existuje mnoho doporučení pro chování na internetu, aby si uživatel svá data lépe chránil.
Oba tyto případy jsou popsány v této kapitole. Dále se v ní nachází část o smluvních podmínkách a zásadách ochrany osobních údajů, které jsou důležitými dokumenty každé společnosti, která s daty uživatel nějakým způsobem nakládá a dál je používá. Slouží jednak pro ochranu firmy před nařčením ze strany uživatele, že nakládá s jeho daty jinak než bylo domluveno, a jednak právě pro informaci uživatelům, k jakému účelu budou jejich data použita a jak budou skladována.
Dále jsou zmíněny doporučené body pro smluvní podmínky a povinné body pro zásady ochrany osobních dat. Kapitola také zjišťuje, zda mohou být smluvní podmínky a zásady použity pro ochranu před riziky hrozícími osobním údajům a jak jsou tyto případy v dokumentech ošetřeny.
2.1 Právní hledisko ochrany soukromých dat na sociálních sítích
Aby měli uživatelé jistotu, že s jejich osobními údaji a jinými informacemi je zacházeno podle nějakých pravidel a řádu, bylo potřeba s příchodem digitální doby sepsat novou legislativu. Jako první vznikl zákon č. 256/1992 Sb., o ochraně osobních dat v informačních systémech sepisující zejména povinnosti související s ochranou informací při provozování informačního systému. [19]
Mezi další důležité dokumenty můžeme zahrnout směrnici 95/46/ES, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů nebo zákon č.
101/2000 Sb., o ochraně osobních údajů. Všechny tyto zákony a nařízení s rychlým technickým pokrokem pozbyly na aktuálnosti a již nedostačovaly pro nové digitální možnosti. Proto vznikly nebo vznikají nové, které popisuji níže.
Se zákonem č. 101/2000 Sb. byl založen Úřad pro ochranu osobních údajů (ÚOOÚ). Sleduje dodržování povinností a opravuje chybné procedury v rámci zpracování osobních údajů, také přijímá stížnosti na porušení povinností. Mezi další oblasti působení ÚOOÚ patří například elektronické identifikátory, šíření obchodních sdělení nebo svobodný přístup k informacím. [20]
2.1.1 GDPR – Nařízení (EU) 2016/679
Obecné nařízení na ochranu osobních údajů (General Data Protection Regulation) je nejnovější a nejvíce komplexní evropské nařízení týkající se ochrany osobních údajů. Nové nařízení, účinné od
roku 2018, nahradilo původní směrnici 95/46/ES a zákon č. 101/2000 Sb., o ochraně osobních údajů.
[21]
S GDPR přišla řada změn, zpřísnění podmínek pro zpracování a uchování osobních údajů a nové možnosti pro uživatele. Ti musí být důkladněji informování o tom, jak je s jejich údaji nakládáno a k čemu budou údaje použity. Nově mají uživatelé právo na přístup, díky němuž si mohou občané ověřit, jestli je s jejich údaji zacházeno podle zákona. [22] Právo na výmaz, kdy je správce údajů povinen smazat údaje, které již nejsou potřeba nebo občan odvolá souhlas pro zpracování osobních údajů. [23]
Došlo ke zvýšení sankcí za porušení ochrany osobních údajů, byla rozšířena definice pro osobní údaj (kapitola 1.3). Byla zavedena ohlašovací povinnost, kdy je správce osobních údajů povinen nahlásit jakékoli porušení zabezpečení osobních údajů. GDPR je sice evropské nařízení, ale týká se i společností mimo EU, které shromažďují či zpracovávají osobní údaje evropských občanů. [24]
2.1.2 110/2019 Sb., Zákon o zpracování osobních údajů
Tento zákon zpracovává předpisy a nařízení vydané Evropskou unií v roce 2016 týkající se ochrany osobních údajů do české legislativy. Při vejití tohoto zákona v platnost v roce 2019, byl zrušen zákon 101/2000 Sb., o ochraně osobních údajů, který stále platil mezi vydáním GDPR a zákonem 110/2019 Sb., ačkoliv byl s novým nařízením v rozporu. [25][26]
Hlavním cílem zákona je zkonkretizovat některá obecná nařízení EU, například:
• Vymezení pravomocí Úřadu pro ochranu osobních údajů při porušení legislativy v této oblasti
• Zpřesnění práv a povinností správců osobních údajů
• Upřesnění věkové hranice u dětí, které jsou způsobilé k udělení souhlasu se zpracováním osobních údajů
• Sníženy pokuty za přestupky při porušení právních předpisů
2.1.3 ePrivacy
Nařízení o soukromí a elektronických komunikacích neboli ePrivacy Regulation je nařízení, které navazuje na GDPR. Původní nařízení nebere v potaz poskytovatele elektronické komunikace jako je Skype, WhatsApp nebo Facebook Messenger, a to mělo ePrivacy napravit. [27] Původně mělo nařízení vejít v platnost spolu s GDPR, ale orgány Evropské unie se neshodly na znění návrhu.
Poslední informací je zpráva Evropské komise z 10.září 2020, kdy bylo sestavování nového nařízení dočasně pozastaveno. [28]
2.2 Pravidla bezpečného chování na internetu
Legislativa se snaží udělat z internetu bezpečný prostor. Spíše ale dává uživatelům jistotu, že pokud dojde k porušení zákona či jiných pravidel, má uživatel několik možností, jak takovou situaci řešit.
Důležité je však také vědět, jak by se měl uživatel chovat, aby své údaje zbytečně nevystavoval nebezpečí. Internet je prostředek, který každý uživatel denně používá k nakupování na e-shopech, vyřizování e-mailů nebo užívání různých služeb. Některé internetové aktivity ohrožují osobní údaje uživatele více než jiné, a tak je třeba mít alespoň trochu povědomí o tom, jak svá data lépe chránit a jak se na internetu chovat.
Níže jsou zmíněné doporučení a pravidla pro bezpečnější chování na internetu. Na internetu i jinde lze najít mnoho rad, jak vystavit své údaje co nejmenšímu riziku a jak se správně chovat na internetu.
Proto jsem vybrala ty, které nejvíce souvisejí s ochranou osobních dat nebo ty, které se týkají rizik a ohrožení zmíněných v této práci.
Při registraci do nové služby by uživatel neměl vyplňovat všechny možné informace. V rámci ochrany svých osobních údajů by měl uživatel vyplňovat pouze povinné údaje. Také by se měl uživatel seznámit se smluvními podmínkami, kde zjistí, jak bude společnost s jeho osobními údaji nakládat a k jakému účelu jim budou sloužit. Některé společnosti nabízejí možnost souhlasit jen s některým využitím údajů. V tom případě je dobré zaškrtnout jen políčka s účelem, který uživateli nebude vadit nebo jen ty nezbytně nutné. [29]
Při registraci je také velice důležité heslo. Slouží k ochraně účtu, který často skrývá mnoho dalších informací, které uživatel nechce dál šířit. Každé heslo by mělo být jedinečné a uživatel by neměl používat na více stránkách stejné heslo. Hlavně důležitá hesla jako do internetového bankovnictví, e- mailu nebo na sociální sítě by měla být unikátní. Pamatovat si desítky hesel může být dosti náročné, proto vznikly aplikace či programy pro správu hesel. Také by uživatel neměl své heslo za žádnou cenu někomu sdělovat nebo posílat. Pro větší bezpečnost některé služby poskytují dvoufázovou autorizaci, kdy uživateli po klasickém přihlášení přijde SMS nebo e-mail s kontrolním kódem. [30]
V rámci sociálních sítí i jinde by měl být uživatel velice obezřetný při zadávání svých osobních údajů.
Ať už je to adresa bydliště, telefonní číslo či jiný údaj. To stejné platí i pro fotografie. Cokoli je jednou veřejně sdíleno na internetu, je velice obtížné odstranit, často dokonce nemožné. Než se uživatel rozhodne, že daný příspěvek vlastně nechtěl sdílet, mohl ho mezitím další uživatel sdílet nebo si informace někam uložit.
Dalším nebezpečím, před kterým je třeba se chránit, jsou phishingové a jiné podvodné e-maily.
Ochrana před těmito ohroženími je jednoduchá, stačí být pozorný a e-maily ignorovat. Stejně tak je tomu s falešnými zprávami, které vyzývají k finanční pomoci. Tyto zprávy jsou často posílány z falešných či ukradených účtů. [29]
V případě obtěžování na sociálních sítích (kyberšikana, kybergrooming aj.) má uživatel právo na ukončení konverzace, zablokování a nahlášení útočníkova účtu. Sociální sítě mají pro takové typy chování velice striktní pravidla a berou tyto situace velmi vážně. Oběť by se v těchto případech neměla bát se se svým problémem s někým podělit, ať už s rodiči nebo třeba s policií.
Používání veřejných Wi-Fi připojení může být také nebezpečné. Do takových připojení se útočníci jednodušeji dostanou a mohou tak získat uživatelovi přihlašovací údaje. K tomu jim také pomůže, pokud se uživatel přihlásí na nezabezpečeném webu (jeho adresa nezačíná https). Tak útočník získá uživatelovo heslo a může se pokusit s ním přihlásit na jiné internetové stránky. Proti tomu existují tzv.
anonymní okna, která nabízí každý moderní prohlížeč. Při jejich používání se neukládá historie prohlížení, soubory cookies ani žádné přihlašovací údaje či jiné vyplňované informace. [29]
Mezi další formy ochrany by se dal zařadit antivirový program, který upozorňuje na potencionálně nebezpečné stránky či soubory.
2.2.1 Smluvní podmínky
Do jisté formy ochrany by se daly zařadit i smluvní podmínky. Zvyšují povědomí o tom, co se s osobními údaji uživatele děje. Občas při registraci je při rozkliknutí detailu smluvních podmínek vidět, k jakým konkrétním účelům mohou být použity a uživatel si může vybrat, k čemu mohou být jeho údaje použity. Vždy je však nutné zaškrtnout nutné minimum políček s účely potřebnými pro dokončení registrace. Na základě toho, co se uživatel ve smluvních podmínkách dozví o využití jeho údajů, může se pak bezpečněji rozhodovat, jaké informace o sobě bude v rámci služby sdílet.
Smluvní podmínky jsou přítomny při registraci do nějaké služby i při každém stažení aplikace. Aby mohl uživatel službu využívat musí s nimi souhlasit. Je to dohoda o podmínkách služby mezi poskytovatelem a osobou, která chce služby využívat. Smluvní podmínky nejsou podmíněny zákonem. Poskytovatel služeb jimi dává vědět informace o službě a pravidla užívání služby. Snaží se tak předejít soudním sporům a nedorozuměním s uživateli.
V roce 2015 dva američtí vědci pro svůj výzkum založili falešnou sociální síť zvanou NameDrop a chtěli zjistit, kolik lidí si přečte jejich smluvní podmínky. Průměrná doba pro přečtení podmínek se měla pohybovat okolo 46 minut, respondenti však čtením strávili průměrně dvě minuty. Součástí podmínek bylo, že platbou za tuto sociální síť bude respondentovo prvorozené dítě (věkový průměr respondentů byl 19 let) a data budou sdílena s Národní bezpečnostní agenturou (NSA). Ve výsledku 98 % respondentů si smluvní podmínky nepřečetlo. [31] To potvrzuje i společnost Deloitte ve svém průzkumu o dva roky později, která zjistila, že z dvou tisíc respondentů smluvní podmínky nečte 91 % respondentů a ve věkovém rozmezí 18-34 let si je to až 97 % respondentů. [32]
Proč uživatelé podmínky nečtou?
Důvodů, proč je lidé nečtou je více. Jedním z důvodů je délka. Mnohé smluvní dokumenty jsou například delší než Ústava Spojených států amerických. Následující graf ukazuje délky smluvních podmínek jedněch z nejpoužívanější služeb (modrá) v porovnání s právními dokumenty (oranžová).
[33]
Obrázek 3: Délka smluvních podmínek podle počtu slov (vlastní zpracování, zdroj: [33])
Jako řešení by mohlo fungovat to, že by se uživateli ukázala vždy daná část podmínek, kterou část služby se právě chystá poprvé použít. Uživatelé sociálních sítí, kteří je používají pouze ke komunikaci s přáteli, nepotřebují vědět, jak funguje shromažďování informací při přidávání příspěvků nebo jak se zachází s osobními informacemi uživatelů, kteří přes sociální síť něco koupí. Pokud by se časem uživatel rozhodl, že využije část služby, kterou dosud nepoužil, zobrazila by se mu konkrétní část smluvních podmínek, která s funkcí souvisí. Uživateli by tak odpadla povinnost přečíst dlouhý dokument při registraci, což právě kvůli jeho délce mnoho uživatelů nedělá. Přečetl by si v průběhu času několik kratších dokumentů, které se ho konkrétně týkají. Stinnou stránkou tohoto řešení však může být ze začátku používaní služby časté vyskakovací okénko žádající o souhlas s podmínkami, které by mohlo být pro některé uživatele obtěžující. [34]
Dalším důvodem je jazyk, ve kterém jsou podmínky napsané. Tím myslím, že jazyk, který je použit k napsání podmínek, obsahuje složité legislativní výrazy. Společnost BBC testovala, jaké vzdělání je potřeba pro to, aby uživatel smluvním podmínkám rozuměl. Podmínky všech patnácti zkoumaných služeb (např. Netflix, Instagram, Wikipedia, Snapchat aj.) byly napsány v jazyce srozumitelném až po univerzitním vzděláním. Do některých služeb se můžou uživatelé registrovat od 13 let, proto by podle mě měly být podmínky napsány v jazyce srozumitelném i pro tyto uživatele. [35]
Řešením by mohly být například poznámky pod čarou nebo vysvětlivky. Po určité části smluvních podmínek by mohl být rámeček s více uživatelsky přijatelným vysvětlením, co vlastně daná část pro uživatele znamená. Nebo například po složité větě/části by byl obrázek žárovky (či jiný symbol) a v případě, že by na něj uživatel najel kurzorem, objevilo by se vysvětlení.
Smluvní podmínky jsou často „skryté“. Při registrování či první návštěvě stránky se objeví kolonka, kde je nutné zaškrtnout souhlas s podmínkami, a kde se často nachází na podmínky i odkaz. Pokud by ale uživatel chtěl najít podmínky později, je to obtížnější. Odkaz na ně se často nachází mimo běžnou interakci uživatele se systémem, například úplně dole na webové stránce napsané malým písmem nebo se k nim musí uživatel proklikat přes nastavení či jiné odkazy. U mobilních aplikací se dokonce stává, že musí uživatel navštívit stránku společnosti, která aplikaci vytvořila. [34]
0 2000 4000 6000 8000 10000 12000 14000 16000
Délka smluvních podmínek
Umístění odkazu pro podmínky na horní lištu dané služby nebo do hlavního menu, by mohlo být nejsnadnějším řešením tohoto problému. Nebo odkaz umístit jednoduše někam, kde bude „více na očích“.
Co by měly obsahovat smluvních podmínek
Jak již bylo zmíněno smluvní podmínky nejsou podmíněny legislativou. Jsou nejlepším způsobem jak chránit společnosti před odpovědností, řídit chování uživatelů a slouží k ochraně duševního vlastnictví poskytovatele služby. [36]
Před sepisováním smluvních podmínek je důležité si uvědomit základní pravidla a omezení pro užívání aplikace/webu, např. zda si mohou uživatelé vytvořit profil, od kolika let je služba dostupná, jaký typ obsahu se smí/nesmí nahrávat, zda je užívání služby zpoplatněno. [36]
Níže uvádím jednotlivé body, které by měly smluvní podmínky obsahovat. Ne každé podmínky však musí obsahovat všechny zmíněné body. Společnost si vybírá pouze body, které jsou pro ni relevantní.
Například Facebook je služba bezplatná a nenabízí produkty, takže je zbytečné uvádět body o platbách, přepravě nebo zárukách.
• Informace o produktu/službě – Uživatel by měl přesně vědět, jaké služby a produkty jsou nabízeny. [37]
• Platební podmínky – Placené služby musí obsahovat část o platebních podmínkách. Mělo by být uvedeno například jak a kdy se služba platí nebo co se stane, pokud uživatel poplatek nezaplatí. Konkrétní poplatky za služby nemusí být uvedeny. Bývají uvedeny na vlastní stránce s nabídkou tarifů, je vhodné na stránku uvést alespoň odkaz. [36]
• Přeprava a doručení – Pokud je produkt dodáván zákazníkovi, měl by být informován z časovém rámci, zda přepravu zajišťuje poskytovatel nebo třetí strana, jaká je jejich odpovědnost a co se stane v případě, že zboží nebude doručeno. [37]
• Záruky – Některé produkty mají záruční dobu, ať už pro vrácení zboží nebo reklamaci.
V těchto případech by mělo být přesně uvedena doba záruky. Při poruše zboží musí být zohledněno, jaké jsou další možné postupy – výměna zboží, oprava nebo vrácení peněz. [37]
• Vrácení zboží a reklamace – Ačkoli se tyto události stávají minimálně, jsou také důležitou součástí smluvních podmínek. Mělo by být přesně popsán proces vrácení zboží – jaké kroky musí zákazník dodržet, kdo platí poštovné, do kdy může být zboží vráceno. U reklamací by mělo být zahrnuto, jaké poruchy jsou přijímány, jaké informace je k poruše zboží potřeba uvést nebo kam zboží poslat. [37]
• Omezení odpovědnosti nebo zřeknutí se odpovědnosti – Obecně to znamená, že poskytovatel není odpovědný za škody vzniklé užíváním služby. Pokud by tato část chyběla, mohli by uživatelé žádat o náhradu škod způsobených viry nebo selháním aplikace. Jistotou je i uvést konkrétní případy zřeknutí se odpovědnosti. [36]
• Práva k duševnímu vlastnictví – Každý uživatel s přístupem do služby má přístup k jejímu duševnímu vlastnictví (ochranné známky, materiál chráněný autorskými právy, patentované algoritmy). V této sekci je vymezeno, co do duševního vlastnictví patří a porušení tohoto vlastnictví bez svolení je žalovatelné ze zákona. [36]
• Reklama – Pokud služba nabízí inzerci třetích stran, mělo by to být zmíněno ve smluvních podmínkách. Součástí je také zřeknutí se odpovědnosti související s reklamami. Použití osobních údajů v rámci komerce by mělo být popsáno v zásadách ochrany osobních údajů.
[36]
• Ukončení užívání služby – Tato část se věnuje důvodům pro ukončení užívání služby ze strany poskytovatele. Patří sem porušení pravidel služby, porušení hodnot, které služba uznává. [36]
• Oznámení o změnách – Smluvní podmínky se postupně aktualizují s vývojem aplikace.
V případě přidaných funkcí nebo změně pravidel užívání musí být uživatel o změnách dopředu informován. [36]
• Kontaktní údaje – Není povinné mít tuto část ve smluvních podmínkách, ale ukazuje na přívětivější přístup k uživatelům. Nabízí možnost kontaktu v případě dotazů týkajících se smluvních podmínek. [36]
Po dokončení podmínek je nutné je zveřejnit, např. pomocí odkazů. Před založením účtu na službě musí být smluvní podmínky uživatelem přijaty. Pokud by smluvní podmínky nebyly nikde zveřejněny nebo je uživatel před registrací nepřijal, nejsou vymahatelné. [36]
Velkým problémem při vytváření smluvních podmínek je snaha poskytovatele služby co nejdůkladněji popsat výše zmíněné body, aby se vyhnul možným sporům a jiným problémům a na druhou stranu zachovat podmínkám přehlednost a stručnost. V druhém případě, kdyby se poskytovatel snažil podmínky napsat kratší, aby si je přečetlo více uživatelů, pak by se mohlo stát, že opomene nebo nedůkladně popíše nějakou situaci a dá tak příležitost nespokojenému uživateli ho například zažalovat. V rámci mezery ve smluvních podmínkách by mohl uživatel spor vyhrát a poskytovatel by mu nejspíše musel vyplatit nějaké odškodné.
Z tohoto důvodu si osobně myslím, že tento problém vyřešit nejde. Poskytovatelé budou vždy volit možnost delších a důkladnějších podmínek, protože primárně jsou podmínky sepsány, aby ochránili poskytovatele a on se jimi ochránil před případnými nedorozuměními se zákazníky. Je pro ně výhodnější, aby byli podmínky pořádně napsané, než docílit toho, že si je přečte více uživatelů.
2.2.2 Zásady ochrany osobních údajů
Zásady ochrany osobních údajů jsou součástí nebo navazují na smluvní podmínky, ale oproti nim jsou nařízené zákonem. Je to prohlášení či právní dokument, kde se uživatel dozví, jaké údaje poskytovatel služby shromažďuje, z jakého důvodu, jak je zpracovává, jak je chrání, jak dlouho je potřebuje a komu je dále poskytuje. Vzhledem k tomu, že každá země má vlastní zákony, pak i obsah zásad ochrany se může lišit. V Evropě musí být zásady v souladu s GDPR, v Kanadě PIPEDA (Zákon o
ochraně osobních údajů a elektronických dokumentech) nebo v Indii Information Technology Act.
[38]
U zásad ochrany platí stejné problémy jako u smluvních podmínek. Jazyk zásad je stejný, jsou sice často kratší, ale i tak je čte málokdo.
Obrázek 4: Porovnání smluvních podmínek a zásad ochrany osobních údajů (zdroj:[35]) Souhlas se zpracováním osobních údajů
Souhlas musí být jasným projevem naší vůle, musí být svobodný, jednoznačný, konkrétní a informovaný. Ve chvíli, kdy dá uživatel společnosti tento souhlas, může správce osobních údajů zpracovat i jeho údaje. Svobodný znamená, že uživatelův souhlas není ničím podmíněný. Měl by mít volbu, zda se bude chtít sám souhlasit či ne. Také by měl mít možnost si vybrat, s jakým účelem zpracování údajů bude souhlasit, pokud by měli být údaje zpracovány pro více účelů. Souhlas musí být napsán srozumitelně, aby uživatel přesně věděl, co se bude s jeho údaji dít. [39]
Souhlas je však i odvolatelný. To ale neznamená, že správce přestane zpracovávat všechny uživatelovy údaje. Přestane zpracovávat údaje použité k účelu daném v souhlasu se zpracováním.
[40]
Co musí zásady ochrany osobních dat obsahovat
Zásady musí obsahovat, jaké informace jsou o něm shromažďovány a k čemu jsou používány. Mezi nejčastější části zásad patří:
• Osobní údaje – Zásady by měly uvádět, jaké osobní údaje jsou shromažďovány (jméno, adresa, e-mail atd.). Mělo by být také zmíněno, že množství poskytovaných informací je dobrovolné. [41]
• Zpracování dat – Tato část umožňuje uživatelům vysvětlit, jak jsou jejich osobní údaje ukládány, chráněny a spravovány. Např. kde jsou informace uloženy, jak si mohou uživatelé svá data prohlédnout, upravit nebo smazat a kdy má společnost právo smazat uživatelův účet. [42]
• Údaje o používání služby – Obsahují údaje, které se sbírají na základě používání webu/služby.
Mezi tyto informace patří typ webového prohlížeče, IP adresa, zobrazené stránky, doba strávená na stránce, protokoly o selhání a další. [41]
• Cookies – Tento bod se uvádí, pokud služba používá soubory cookies pro vylepšení funkčnosti. Například lze podotknout, že pokud uživatel zakáže cookies, pak některé funkce služby nemusí správně fungovat nebo že skrz soubory cookies není možné se dostat do uživatelova počítače. [41]
• Textové zprávy – V případě, že může uživatel nějakým způsobem kontaktovat společnost nebo mezi sebou mohou uživatelé komunikovat, mělo by být uvedeno, že tyto informace budou uchovány po dobu neurčitou. [41]
• Přístup třetích stran – Pokud společnosti sdílí data se třetími stranami, měly by zásady zmiňovat, k čemu jsou údaje použity (komerce, analýzy aj.). [42]
• Řešení sporů – Zde je popsán přístup společnosti při řešení sporů, jakým způsobem a kde mohou uživatelé vyjádřit své stížnosti. [42]
• Změny zásad ochrany osobních údajů – Stejně jako u smluvních podmínek může společnost své zásady kdykoli upravit a uživatel by o těchto změnách měl vědět. [41]
• Kontakt – Opět jako u smluvních podmínek by měl mít uživatel možnost společnost kontaktovat v případě nejasností týkajících se zásady ochrany či jiných dotazů. [42]
Důležitou součástí, která je podmíněná zákonem, je zveřejnění zásad, tak aby byly lehce k nalezení.
Často jsou také uváděny při registraci spolu se smluvními podmínkami a je vyžadován uživatelům souhlas. [42]
2.2.3 Porovnání smluvních podmínek a zásad ochrany osobních údajů s riziky
Tato podkapitola má za cíl porovnat, jak smluvní podmínky a zásady ochrany osobních údajů řeší problémy spojené s riziky hrozícími osobním údajům. Tato rizika jsou detailněji popsaná v kapitole 1.4 a patří mezi ně: hackerství, phishing, krádež identity, cookies a malware.
Jako první se budu věnovat souborům cookies, jelikož ty patří jako jediné z rizik do doporučených bodů, které uvádím výše. Soubory cookies samy o sobě rizikem nejsou, jedná se spíše o rizika, jaká jim hrozí, jelikož mohou obsahovat osobní údaje. Z tohoto důvodu by mělo být v zásadách ochrany zmíněno, k čemu jsou používány a jak jsou zabezpečeny. Některé zásady uvádějí, že soubory cookies jsou používané pro kontrolu, zda se k účtu přihlašuje opravdu jeho vlastník nebo brání spamu, podvodu či zneužití. [43] Tak je vlastně možné využít soubory cookies pro ochranu před jinými
hrozbami. Pokud budou nějakým způsobem odcizeny z úložišť společnosti soubory cookies obsahující osobní data, pak je viníkem sama společnost, jelikož tyto soubory cookies mají být patřičně zabezpečeny. V případě, že jsou soubory napadnuty na zařízení uživatele, je na vině uživatel a není možné za to vinit společnost, které soubory cookies patří.
Phishing je problémem, který se řeší už dlouho a stále se nepodařilo jej zlikvidovat. Patří k problémům, které se nedají ošetřit smluvními podmínkami. Může se jednat o útočníka, který vytvoří falešný e-mail a rozešle ho náhodně na e-mailové adresy, které najde díky tomu, že je sami uživatelé na internetu zveřejňují. V tomto případě nelze vinit žádnou společnost. Naopak kdyby se útočník naboural do databáze společnosti a tam získal e-mailové adresy, pak je na vině opět špatné zabezpečení společnosti.
V případě malwaru a jiných virů uvádí smluvní podmínky, že je zakázáno jakýkoli takový obsah na službu nahrávat. V případě porušení takových podmínek bude škodlivý obsah odebrán, uživatel bude informován a pokud se bude tato situace opakovat, může být uživateli odepřen přístup ke službě. Ve smluvních podmínkách mohou být uživatelé vyzváni k nahlašování škodlivého obsahu nebo chování.
Společnost Seznam.cz se zříká odpovědnosti za jakýkoli obsah nahraný uživatelem a odpovědný je daný uživatel. [44]
V dnešním světě kybernetických útoků a krádeží identity musí mít uživatelé jistotu, že jejich data budou v bezpečí. Pokud dojde ke krádeži identity nebývá to chyba nějaké společnosti, ale uživatelů, kteří o sobě sdílejí tolik informací, že útočník dokáže vytvořit falešnou identitu, aniž by se musel k informacím nelegálně dostat. Některé smluvní podmínky uvádějí činnosti, které jsou zakázané např.
porušovat smluvní podmínky nebo používat službu k nezákonným činnostem, kam krádež identity patří. Celkově co se týče odpovědnosti, tak pokud společnost ví o nějaké nelegální nebo škodlivé činnosti, pak musí zakročit, ale když například společnost neví o krádeži identity, kdy daný útočník podvodem vylákal z jiných uživatelů peníze, pak společnost vinit nelze.
Posledním zmíněným rizikem je hackerství. Nejčastějším hackerským postupem je dostání se do systému, stažení dat, která se dají prodat na černém trhu, zašifrování systému a následně vymáhání výkupného. Hacker používá jako páku jednak zašifrovaný systém a jednak vyhrožuje zveřejněním získaných dat. Každý takovýto útok je společnost povinná nahlásit na Úřad pro ochranu osobních údajů. Pokud by hacker ukradená data zveřejnil, bude společnost čelit sankcím v souvislosti s nedodržením GDPR nebo podobných zákonů. [45] V případě, že si bezpečnost obstarává sama společnost, pak je za její narušení zodpovědná. Druhou možností je nechat si zabezpečení spravovat specializovanou firmou, pak je za narušení bezpečnosti zodpovědná tato firma.
3 Sociální sítě
Pro mnoho lidí se staly sociální sítě nedílnou součástí života, ať už jsou používány pro komunikaci, zkrácení dlouhé chvíle či jako živobytí. Je to první věc, kterou někteří otevírají hned po probuzení a poslední věc, kterou vidí, než jdou spát.
Dle studie AMI Digital Index 2020 probíhající v České republice 92 % uživatelů internetu využívá sociální sítě a z toho 79 % je na nich každý den. Za minulý rok vzrostla doba strávená na sociálních sítích o 16 minut, tj. na 159 minut denně. Nejvíce jsou sítě používány pro komunikaci s přáteli, jako zábava nebo i zdroj informací. [46]
Sociální sítě na jednu stranu přináší mnoho výhod, na druhou se na nich můžeme potkat s kdejakými riziky, jakými mohou být uživatelé ohroženi. Výše již byla uvedena rizika týkající se osobních údajů, nejsou to však pouze údaje, které mohou být na sociálních sítích ohroženy. Často může být v ohrožení i bezpečí či psychika uživatele.
3.1 Definice sociálních sítí
Podle Cambridge Dictionary je sociální síť popsána jako webový nebo počítačový program, který umožňuje lidem komunikovat a sdílet informace na internetu pomocí počítače nebo mobilního telefonu. [47]
Sociální síť v rámci počítačového pojetí můžeme definovat jako online službu, která na základě registrace umožní vytvořit profil uživatele, pod kterým lze tuto službu využívat zejména ke komunikaci, sdílení informací, fotografií, videa atd. s dalšími registrovanými uživateli. [48]
Uvedené definice a mnohé další, které se dají na internetu nebo v knihách najít, se mohou v detailech lišit, ale základ mají stejný. Vždy se jedná o virtuální prostor, kam uživatelé přenáší svůj reálný život a žijí tak i virtuálně.
3.2 Charakteristika sociálních sítí
Každá sociální síť vzniká za jiným cílem a s tím, aby upoutala něčím novým. Dnes už jich máme tolik, že je lze rozdělit do několika kategorií podle různých kritérií. Někteří autoři uvádějí dělení podle územní působnosti sítě na lokální sítě, které jsou používané jen na menších územích (Orkut v Brazílii, Vkontakte v Rusku, Tuenti ve Španělsku) a celosvětové jako je Facebook, Twitter a další. [49]
Dalším možným dělením jsou obecné sítě a specializované. V obecných sítích máte obsah všeho druhu (Facebook, Instagram), specializované se pak věnují nějakému užšímu tématu jako je Strava pro sportovce nebo Toadsquare pro umělce. [50]
Jako základní znaky sociálních sítí můžou být uvedeny například [51]:
• Sdružování lidí – uživatelé si hledají skupiny se stejnými zájmy
• Profily – každý uživatel nějakým způsobem reflektuje na sociální sítě svůj reálný život, přidává své osobní informace nebo zájmy
• Komunikace – největším lákadlem je komunikace zdarma a udržení kontaktu s přáteli, kteří mohou být i stovky kilometrů daleko
• Aplikace – některé sociální sítě nabízejí jako možnost zábavy různé hry nebo kvízy, které můžete hrát s přáteli
4 Facebook
Podle nejnovějších statistik je na Facebooku alespoň jednou za měsíc aktivních 2,8 miliard uživatelů, z toho 1,84 miliard je aktivních denně. To z něj dělá jednu z nejpoužívanějších a největších sociálních sítích. Přes 60 % uživatelů internetu je na něm zaregistrováno. Začínal jako webová stránka pro studenty na Harvardově univerzitě a dnes je z něj celosvětová sociální síť. [52]
Na Facebooku si uživatel může vytvořit něco jako obraz sebe samého ve virtuálním světě. Při vytváření profilu musíte vyplnit své jméno a příjmení, e-mailovou adresu, pohlaví a datum narození.
Už jen tyto základní osobní údaje Facebooku poskytnete hned při registraci. Na svůj profil si dále můžete přidat profilovou fotografii, vaši adresu a telefonní číslo, profily rodinných příslušníků, sexuální orientaci či náboženské vyznání. Všechny tyto informace se dají zařadit do osobních údajů a podle toho by s nimi mělo být nakládáno.
Facebook nabízí možnosti skrytí vámi přidaného obsahu. Respektive si můžete vybrat, kdo daný obsah uvidí. První a výchozí nastavená možnost je, že váš obsah uvidí všichni uživatelé i lidé mimo Facebook. Dále můžete svůj obsah zpřístupnit svým přátelům, konkrétně vybraným přátelům nebo naopak obsah skrýt před konkrétními přáteli. V poslední řadě můžete vytvořit vlastní seznamy uživatelů, kterým se obsah ukáže/neukáže anebo ho můžete vidět jen vy. U poslední možnosti vyvstává otázka, zda je vůbec potřeba sdílet takové informace, které by viděl jen sám uživatel.
Je na každém uživateli, jaké osobní i jiné informace se o sobě rozhodne sdílet. Bohužel, i když o sobě sdílíme nejmenší možné množství informací, tak si Facebook data o nás sám nachází a uchovává.
Sleduje, jaké stránky a příspěvky se nám „líbí“, které stránky navštívíme a podle toho nám zobrazuje reklamy na produkty, které by se nám mohli líbit. Podle průzkumu 74 % uživatelů nevědělo, že Facebook sleduje jejich zájmy, z toho u 60 % uživatelů Facebook jejich reálné zájmy rozpoznal správně a polovině respondentů se toto zjištění nelíbí. [53]
Facebook však nesleduje naši aktivitu pouze na svých stránkách. Určitě se vám někdy stalo, že jste vybírali dovolenou na léto, poté otevřeli Facebook a najednou byla každá druhá reklama na letní dovolené od různých společností. Je tomu tak, jelikož Facebook sleduje naši aktivitu i mimo své stránky. Dostane se k tomu jednoduše tak, že se na stránky přihlásíte pomocí svého facebookového účtu nebo se na stránky dostanete přes tzv. fbclid parametr. [54]
Obrázek 5: Klasická URL adresa (zdroj: vlastní zpracování)
Obrázek 6: URL adresa s fbclid parametrem (zdroj: vlastní zpracování)
Na obrázku č.5 je vidět příklad klasické URL adresy, pokud se na stránku dostanete například přes Google vyhledávač. Obrázek č.6 ukazuje, co se stane s URL adresou, pokud někdo umístí na Facebook odkaz na stránku. Za posledním lomítkem přibude nová část adresy. Pokud je na dané stránce nasazen také Facebook pixel, pak může Facebook sledovat, co na nové stránce uživatel dělá.
Facebook pixel je nástroj, který umožňuje provozovateli stránky sledovat, kteří uživatelé Facebooku stránky navštívili a jestli na stránkách něco koupili. Podle těchto informací pak volí, jakým uživatelům zobrazovat na Facebooku reklamu na svoji stránku. [55]
4.1 Smluvní podmínky Facebooku
Zda je Facebooku všechno výše uvedené dovoleno, by se měl uživatel dozvědět ve smluvních podmínkách a zásadách pro používání dat. Všechno v těchto dokumentech uživatel dovolí zaškrtnutím políčka souhlas se zpracováním osobních údajů. Jak již bylo jednou v této práci zmíněno až 97 % lidí ve věkovém rozmezí 18-34 let si nepřečte smluvní podmínky. Pak se uživatelé diví, když si ve zprávách přečtou, co všechno Facebook i jiné stránky s jejich údaji dělá. [32]
Smluvní podmínky Facebooku se dají najít poměrně lehce. Stačí rozkliknout hlavní nabídku a dole je na ně odkaz. Hned na začátku je upozornění, že Facebook je součástí společnosti Facebook Ireland Limited a uvedené podmínky se vztahují na všechny aplikace této společnosti. Mezi ně patří například Instagram, Messenger, Facebook Obchody, Audience Network a další. Je také zdůrazněno, že používání Facebooku není zpoplatněno a že s inzerenty nejsou sdíleny naše osobní údaje, ani jim prodávány, bez našeho povolení. [56]
Po úvodu jsou dále smluvní podmínky rozděleny do pěti částí:
První část Námi postkytované služby píše o tom, že každý účet je unikátní. Každý uživatel má jinak nastavené soukromí, zobrazují se mu jiné příspěvky, příběhy, reklamy. Facebook se uživatelům snaží nabízet takové skupiny lidí, společnosti, produkty, které by se mu měli líbit nebo ho jinak zaujmout, a to právě na základě dat, které o konkrétním uživateli posbírá. Facebook uživatelům umožňuje komunikovat s přáteli, rodinou, sdílet příspěvky. Také se snaží tyto služby stále aktualizovat, například poměrně nedávným umožněním vytváření 360° fotky či videa. Snaží se zpřístupnit své služby i zrakově postiženým takovými technologiemi, které například komentují, co se je na obrázku nebo na videu. A v neposlední řadě chce uživatelům dopřát bezpečný pobyt na svých stránkách tím, že odstraňuje škodlivý obsah nebo zablokuje účet uživateli s nevhodným chováním. [56]
Druhá část se jmenuje Jak jsou naše služby financovány. Opět je zde uvedeno, že všechny služby jsou bezplatné. Pouze společnosti, které chtějí na Facebooku propagovat své produkty za inzerci platí.
Zobrazování reklam funguje tak, že společnost dá vědět Facebooku, jakému okruhu uživatelů by chtěla svoji reklamu zobrazit, například pánské sportovní oblečení mužům ve věku 18-30 let. Reklama se zobrazí těmto uživatelům a společnosti se pak vrátí informace, jak uživatelé na reklamu reagovali.
Společnosti jsou sdělovány ale i obecné demografické údaje a zájmy uživatele: reklamu viděl muž 25- 30 let z Prahy se zájmem o běhání. [56]
