Nedávne novinárske vyšetrovanie v Írsku, ktoré odhalilo online dostupnosť lokalizačných údajov z mobilných telefónov európskych občanov za účelom predaja, opätovne poukázalo na sporné uplatňovanie Všeobecného nariadenia o ochrane údajov (GDPR) v krajine. Minulý mesiac írsky verejnoprávny vysielateľ RTÉ zverejnil informácie, že dáta o polohe telefónov desaťtisícov občanov boli prístupné na predaj online v takmer reálnom čase. Novinári úspešne rekonštruovali pohyb vzorky 64 000 anonymizovaných osôb, ktoré im dátový broker bezplatne poskytol. Sledovanie viedlo od citlivých lokalít, ako sú vojenské základne, sídla politických inštitúcií a kliniky duševného zdravia, až po ich adresy trvalého bydliska. Táto reportáž zvýšila tlak na írsku vládu a Írsku komisiu pre ochranu údajov (DPC), národný regulačný orgán pre ochranu súkromia, aby prijali rázne opatrenia. Zároveň vyvoláva vážne otázky o mechanizmoch, ktorými sa tieto citlivé údaje dostávajú na online trh. Informoval o tom server Euractiv.
Čítajte viac Umelá inteligencia redefinuje detekciu kybernetických hrozieb
V reakcii na reportáž RTÉ vydala DPC bezodkladne vyhlásenie, v ktorom vyjadrila mimoriadne znepokojenie. Krátko nato nasledovalo oznámenie o začatí vyšetrovania. Predseda vlády Írska, Micheál Martin, potvrdil novinárom, že jeho vláda spolupracuje s DPC na prešetrení obchodu s digitálnymi lokalizačnými údajmi, berúc do úvahy rozsiahle bezpečnostné obavy. Tento postup je považovaný za rutinnú stratégiu krízového manažmentu. Aktivisti za ochranu súkromia však zdôrazňujú, že je neprípustné prehliadať zásadnú aplikačnú medzeru, ktorá umožňuje reklamnému ekosystému na internete naďalej získavať osobné údaje jednotlivcov. Takto dochádza k vytváraniu digitálnych nádob na med (honeypots) citlivých informácií, ktoré sú pripravené na škodlivé zneužitie. Táto situácia nastáva viac ako sedem rokov po nadobudnutí platnosti GDPR, ktoré bolo prezentované ako prelomový krok v digitálnej legislatíve.
GDPR (General Data Protection Regulation) je všeobecné nariadenie Európskej únie o ochrane osobných údajov, ktoré nadobudlo účinnosť 25. mája 2018. V Slovenskej republike je implementované prostredníctvom zákona č. 18/2018 Z. z. o ochrane osobných údajov. Cieľom GDPR je:
- zabezpečiť ochranu osobných údajov fyzických osôb,
- poskytnúť jednotlivcom väčšiu kontrolu nad tým, ako sú ich údaje spracúvané,
- zjednotiť pravidlá naprieč EÚ,
- zaviesť prísne sankcie za porušenie pravidiel (až do výšky 20 miliónov eur alebo 4 % z obratu firmy).
Sektor online reklamy je závislý od rozsiahlej siete spoločností, ktoré zhromažďujú obrovské objemy osobných údajov o jedincoch – od charakteristík, cez návyky, záujmy, až po presnú polohu. Tieto dáta slúžia na tvorbu detailných profilov, ktoré dátoví brokeri predávajú inzerentom. Jadrom tohto problému je systém real-time bidding (RTB): mechanizmus online reklamy, kde inzerenti v rýchlych aukciách súťažia o zobrazenie reklamy konkrétnej osobe. Systém využíva dostupné dáta o danej osobe na rozhodovanie o aukčnej ponuke. „Predaj lokalizačných záznamov v reálnom čase nie je chybou systému. Je to samotný systém,“ uviedla pre Euractiv Itxaso Domínguez de Olazábal z mimovládnej organizácie EDRi. „Dodávateľský reťazec adtech transformuje pohyby a zraniteľnosti osôb na komerčne využiteľné dáta. To vystavuje každého riziku profilovania, cielenia a ohrozenia bezpečnosti.“
Čítajte viac EÚ prijala plán na lepšie riadenie európskych kybernetických kríz a incidentov
Johnny Ryan, riaditeľ divízie zameranej na presadzovanie práva voči veľkým technologickým firmám v írskej mimovládnej organizácii Irish Council for Civil Liberties (ICCL), už dlhé roky upozorňuje na riziká súkromia a bezpečnosti spojené s RTB. Hoci írska DPC tvrdí, že bola o tejto záležitosti informovaná až novinármi, Ryan je presvedčený, že mohla a mala konať oveľa skôr. Uviedol, že podrobné správy o rizikách RTB im poskytol už v roku 2017. Írsky regulačný orgán má kľúčovú úlohu pri presadzovaní ochrany súkromia v celej Európe, vzhľadom na to, že v Írsku sídli mnoho technologických gigantov vrátane Google, Microsoft a Meta. Podľa GDPR sú národné regulačné orgány zodpovedné za dohľad nad podnikmi na svojom území.
Čítajte viac Ivan Makatura: V kybernetickom priestore je najlepšou vlastnosťou človeka opatrnosť
Ryan zastáva názor, že DPC mala zastaviť „divokú jazdu za dátami“ už priamo pri zdroji, tu v Írsku, prijatím rozhodných krokov proti najväčším spoločnostiam RTB, vrátane Google a Microsoft. K tomu však nedošlo. Ryan poukazuje na to, že sú ohrozené bezpečnosť osôb a verejná bezpečnosť. „Naša extrémna zraniteľnosť v oblasti národnej bezpečnosti voči Rusku a iným krajinám je prehlbovaná desaťročným zlyhaním DPC zastaviť tok údajov o nás všetkých – o každom z nás – ktoré sú zverejňované po celom svete,“ dodal.
