O tom, že „Facebook o nás ví všechno“, se tak nějak všeobecně ví. Co ale přesně tato sociální síť shromažďuje? Jak s těmito daty nakládá a k čemu je používá? Dá se proti tomu nějak bránit?
Na většinu těchto otázek odpoví přímo podmínky Facebooku, resp. stránka nazvaná „Zásady používání dat“. Zejména po zavedení nařízení GDPR došlo ze strany Facebooku k poměrně podrobnému a přehlednému vymezení hlavních pravidel, jimiž se při nakládání s našimi osobními údaji řídí.
Co Facebook shromažďuje?
Předně je si třeba uvědomit, že když mluvíme o tom, že něco dělá Facebook, máme na mysli společnost. Popisované informace se totiž vztahují nejen na Facebook jako takový, ale i jeho další produkty, jako je třeba Instagram nebo WhatsApp. Přímo podmínky zmiňují, že informace jsou mezi jednotlivými produkty sdílené a vytváří tedy celistvý obraz. Facebook uvádí, že to slouží například k tomu, aby vám mohl nabídnout na Instagramu ke sledování profily lidí, s nimiž si píšete na Messengeru.
Tím se dostáváme k tomu, že získaná data slouží ke dvěma hlavním účelům. Jde o zlepšování personalizace obsahu a pak pochopitelně i komerční účely. Facebook se samozřejmě snaží akcentovat „zlepšování uživatelského zážitku“, nicméně realisticky vzato, celý byznys model je postaven právě na tom, že získané informace, resp. od nich odvozená data, komerčně nabízí.
Teď už ale k tomu, co konkrétně o nás Facebook ví. V „Zásadách“ jsou informace rozděleny podrobně do kategorií, my z nich nicméně sestavíme obecnější tematické celky.
Informace o zařízení
Jak již z názvu této kategorie vyplývá, první velkou sekcí shromažďovaných informací jsou v podstatě hardwarové identifikátory a statistiky. Facebook tak zaznamenává, jaký operační sytém používáte, jakou verzi aplikace či prohlížeče máte nainstalovanou, nebo jaké jazykové a časové prostředí máte nastavené. Facebook se dozví také, jestli je na pozadí či popředí, na počítači dokonce analyzuje i vaše pohyby myši.
Ukládají se samozřejmě i cookies. V případě, že povolíte Facebooku přístup k souborům, jako jsou třeba fotografie, dochází i k analyzování jejich metadat. Z těch jde získat například polohu, datum a čas pořízení, autora, technické informace a podobně.
V případě mobilních zařízení pak jsou shromažďovány i informace o baterii, signálu Wi-Fi a Bluetooth, telefonním čísle a v některých případech i o okolních bezdrátových sítích. Ukládají se i informace o ostatních nainstalovaných aplikacích, v případě dostupnosti mohou být zaznamenány i různé identifikátory třetích stran. Pokud jste to povolili, bude Facebook zachytávat i polohu podle GPS.
U polohy ještě chvíli zůstaňme. I pokud přístup k GPS (resp. zkrátka hardwarovému určení polohy) neudělíte, neznamená to, že by Facebook neměl tušení o tom, kde se nacházíte. Bude se to pokoušet zjistit z dalších dat. Za tímto účelem jsou tak analyzovány například IP adresy, místa v nichž se „ohlásíte“, nebo události, u nichž jste potvrdili účast. Čím víc takových informací „poskytnete“, tím přesnější obrázek si samozřejmě algoritmy Facebooku utvoří.
Sítě a kontakty
Tahle kategorie patří k těm méně překvapivým. Facebook zkrátka tak nějak z principu fungování sociální sítě sleduje vaše sociální interakce. Zaznamenáváno tak je, s kým komunikujete, jaké stránky sledujete, členy jakých skupin jste, jaké hashtagy používáte nebo s nimi nějak interagujete a podobně. Zaznamenávají se ale i prostá zobrazení příspěvků. Analyzuje se samozřejmě i četnost a pravidelnost těchto kontaktů, takže Facebook dokáže odlišit náhodné lajky od trvalejších preferencí apod.
Pokud se rozhodnete s Facebookem synchronizovat svůj adresář, nebo mu udělíte přístup k SMS zprávám či historii hovorů, jsou zpracovány i všechny tyto údaje.
Hodí se také poznamenat, že se s vašim „datovým profilem“ propojují nejen informace pocházející přímo od vás. Facebook analyzuje stejným způsobem i všechny ostatní profily. Ví tedy také to, že vás někdo označil na fotce, okomentoval váš příspěvek, poslal vám zprávu, nebo si třeba synchronizoval vaše kontaktní údaje.
Rozpoznávání obličejů
Pokud máte aktivní rozpoznávání obličejů, vytvoří si Facebook jakousi šablonu vašeho obličeje. Tu následně používá k detekci vaší osoby na vlastních i cizích fotografiích a videích. Sociální síť vás tak může upozornit, že někdo nahrál fotografii, na níž jste, může vám dát možnost nahlásit profil, který se pokusil použít vaši podobiznu jako vlastní profilovou fotografii a podobně.
Zajímavé také je, že aktivováním této funkce můžete pomoci osobám se zrakovým postižením. Těm totiž Facebook údajně takto pomůže zjistit, kdo je na fotce či videu.
Tato funkce je dobrovolná. Pokud ji zapnete, nemělo by přesto dle pravidel Facebooku dojít k žádnému komerčnímu využití šablony vaší tváře, resp. jejímu poskytnutí třetím stranám. Podmínky totiž uvádějí, že tyto šablony patří podle legislativy EU spolu například s orientací, etnickou příslušností, náboženstvím a podobnými informacemi k datům se speciální ochranou. Facebook se tak dušuje, že nenabízí žádné funkce, které by vás umožnily takto identifikovat cizím osobám.
Vypnutí funkce pak zcela smaže vytvořenou šablonu. Osoby mladší 18 let pak tuto funkci k dispozici nemají vůbec, což souvisí s přísnějšími pravidly týkajícími se mladistvých, kteří mají obecně nižší míru personalizace obsahu.
Platební údaje
Pokud přes Facebook nakupujete či třeba přispějete na nějaký dobročinný účel, získá Facebook i vaše platební údaje. Ukládá se číslo a další údaje o platební kartě, způsob ověření, ale také třeba doručovací údaje a zvolený způsob dopravy.
Informace od partnerů
Tato kategorie je sice stále obsažena v „Zásadách“, nicméně podle všeho by mělo jít již jen o relikt minulosti. Šlo o partnerský program, kdy Facebook spolupracoval s marketingovými společnostmi, jimž umožňoval kombinovat vlastní data s daty získanými od třetích stran a vytvářet tak velmi specificky cílené kampaně. Po kauze s Cambridge Analytica nicméně byl tento program ukončen.
Proč je nadále obsažen v „Zásadách“ naposledy aktualizovaných 21. srpna 2020, není úplně jasné. Přímo ze „Zásad“ totiž vede odkaz na seznam těchto partnerů, místo nějž však najdete už jen oznámení, že v dubnu 2018 byl program ukončen.
Aktivita mimo Facebook
Této kategorii jsme se věnovali už dříve v samostatném článku, takže ji zde zmíníme jen stručně. Aplikace a weby se mohou rozhodnout, že budou předávat určité informace Facebooku, který je pak může využít v jejich prospěch.
Typovým příkladem je, že navštívíte e-shop, kde si budete prohlížet nějaké zboží, ale nekoupíte si ho. E-shop může následně Facebooku předat informaci, že uživatel s identifikátorem XYZ se zajímal o zboží ABC. Facebook se vás pokusí na základě těchto dat identifikovat a zobrazit vám personalizovanou reklamu na konkrétní produkt v konkrétním obchodě, třeba i s nějakou slevou.
Tip: Facebook vás sleduje napříč internetem. Poradíme, jak funkci vypnout
Možných použití je samozřejmě mnohem více, pro ilustraci ale toto stačí. Pokud se vám tento mechanismus nelíbí, lze veškerá data vymazat a celou funkci vypnout. Jak na to, se dozvíte v odkazovaném článku. Upozorňujeme však, že nemilým vedlejším efektem je, že se nebudete moci nadále přihlašovat do služeb třetích stran přes Facebook.
Co Facebook s vašimi daty dělá?
„Zásady“ Facebooku dělí nakládání s daty do dvou hlavních kategorií. A to sice jak s informacemi nakládají oni, a jak je sdílí. Nejprve se věnujme první sekci.
Facebook veškeré získané údaje používá samozřejmě v první řadě sám. Jde jednak o personalizaci vlastních funkcí, poskytování doporučení napříč produkty (jako je zmiňované doporučování profilů na Instagramu), vývoj nových produktů, odhalování škodlivého chování (různí boti, spam apod.), nebo také předkládání na vás cílených reklam přímo v prostředí Facebooku. Toto jsou skutečně interní využití. Facebook sem nicméně řadí i úkony, které sice provádí sám, ale už ne tak úplně pro vlastní účely.
Facebook tak například umí firemním zákazníkům prodávat různé analýzy a měření týkající se toho, jak uživatelé interagují s jejich profily, webovými stránkami a podobně. Další oblastí je pak „společensky prospěšný výzkum a inovace“. Zde jde v podstatě o stejnou věc, akorát poskytovanou různým neziskovkám a výzkumníkům. Jako příklad Facebook uvádí analýzu „migračních tendencí v dobách krizí na podporu úsilí humanitárních organizací“.
Sdílení informací
Výše uvedené úkony sice někdy slouží přímo Facebooku a někdy třetím stranám, ale jedno mají společné. Vaše data vždy zpracovává přímo Facebook a případným partnerům prodává až odvozená data v podobě různých analýz a reportů. Oproti tomu do kategorie sdílení informací už patří předávání dat jiným subjektům, především tedy těm externím. Ani v tomto případě nicméně technicky vzato nejde přímo o prodej dat jako takových.
Pro formu dodáváme, že Facebook do této kategorie opět řadí i víceméně interní operace. Upozorňuje tedy, že pokud něco sdílíte na profilu zcela veřejně, může k tomu získat přístup kdokoliv (i hromadně pomocí API), nebo že když na nějakém webu přidáte komentář přes Facebook, dozví se to i provozovatel webu a podobně. Tyto záležitosti jsou natolik jasné, že se jim asi nemá smysl podrobněji věnovat. Ostatně v „Zásadách“ jsou rozepsané velmi podrobně. Shrnout by se to dalo tak, že pokud něco sdílíte veřejně, či používáte službu třetí strany nějak propojenou s Facebookem, dostanou se vaše data asi i ke třetím stranám.
Zajímavé je v této sekci snad jen upozornění, že pokud by některý, nebo všechny produkty Facebooku v budoucnu získal jiný vlastník, mohou mu převést i informace o vás. To může znít velmi teoreticky, ale pokud by se realizovalo zejména v USA stále častěji skloňované „rozbití“ Facebooku, mohlo by se to velmi snadno stát realitou. Vynucené prodání Instagramu a WhatsAppu by pak mohlo být pro potenciálního kupce zajímavé i z toho hlediska, že by takto mohl získat zajímavý balík uživatelských dat. Nejen službu a uživatele jako takové.
Sdílení dat externím partnerům
Teď už ale pojďme k nejdůležitější podkategorii, a to sice předávání vašich dat externím partnerům. Facebook hned v úvodu této sekce píše, že vaše informace nikomu neprodává a ani v budoucnu nikdy nikomu prodávat nebude. To je poněkud diskutabilní tvrzení. Facebook samozřejmě neprodává přímo vaše data jako taková a vždy je přítomná i určitá míra anonymizace. Na druhou stranu však zkrátka vaše informace zpracovává a získané výstupy nějakým způsobem komerčně nabízí. Ostatně, posuďte sami.
První kategorií externích subjektů, s nimiž Facebook data sdílí, jsou partneři využívající „služby analýzy“. Jde tedy o osoby a firmy, které zajímá, jak lidé interagují s jejich příspěvky, stránkami, videi a dalším obsahem na Facebooku, Instagramu a jinde. Jde o různé souhrnné analýzy, jako jsou přehledy demografického složení fanoušků stránky a podobně.
Druhou kategorií jsou inzerenti. Těm Facebook poskytuje zpětnou vazbu o úspěšnosti jejich reklam a opět jim poskytuje data o uživatelích. V tomto případě však již mnohem více cílené na jednotlivce než u minulé kategorie. Facebook zde jako příklad dává, že inzerentovi například sdělí, že reklamu viděla žena z Madridu zajímající se o softwarové inženýrství ve věku 25 až 34 let.
Inzerent se dozví i o tom, pokud by některá specifická reklama vedla takového uživatele třeba k nákupu či jiné významné akci. Facebook poznamenává, že bez vašeho souhlasu inzerentovi neposkytne žádné identifikátory, jako je třeba e-mailová adresa.
Třetí kategorií jsou tzv. partneři pro měření. To jsou společnosti, které provádějí analýzu dat pro třetí strany.
Další externí partneři
Tyto tři kategorie zahrnují hlavní externí zpracovatele dat, resp. odvozených informací. Facebook ale informace sdílí i s celou řadou dalších partnerů, ovšem už v trochu jiném režimu.
Jde například o to, že když si skrze Facebook něco zakoupíte u třetí strany, informace nutné pro dokončení transakce, jako jsou třeba doručovací údaje, projdou k tomuto partnerovi logicky skrze Facebook.
Dalším, kdo nějakým způsobem může analyzovat vaše informace, jsou „prodejci a poskytovatelé služeb“. Ovšem nenechte se zmást, jde o subjekty, které si najímá naopak Facebook. Jako příklady jsou uváděny například společnosti zajišťující správu technické infrastruktury, analyzující využívání jednotlivých produktů Facebooku, nebo třeba provozují platební brány.
Facebook také „informace a obsah“ poskytuje výzkumníkům a akademikům. Vtipné je, že jde jednak o akademiky provádějící výzkum „v zájmu vědy a inovací“, ale také o výzkumníky pracující na projektech, které podporují podnikání a cíle Facebooku.
Poslední a velmi specifickou kategorií je sdílení dat ze zákona, tedy zejména s bezpečnostními složkami a dalšími státními organizacemi. Tato kategorie je téma samo pro sebe a v nedávné době se stala i předmětem judikatury Soudního dvora EU.
Co na to GDPR?
Obecné nařízení o ochraně osobních údajů, všeobecně známé spíše pod anglickou zkratkou GDPR, všechno toto umožnuje. Nebo si to tak alespoň Facebook vykládá. Hlavní změnou, které nařízení v oblasti zpracování těchto údajů na Facebooku přineslo, je úprava nastavení.
Tip: Američané mění vztah k Facebooku: čtvrtina lidí smazala aplikaci, další si lépe chrání soukromí
Část týkající se ochrany soukromí a osobních údajů je od roku 2018 podrobnější a minimálně vám umožňuje si zobrazit veškeré informace, které o vás Facebook uchovává. Vypnout shromažďování dat zpravidla nejde, byť některé výjimky jsme v článku jmenovali.
Co se také pojí s GDPR, je právo na přístup, opravu, přenesení a vymazání vašich údajů. Jak asi víte, všechny, nebo konkrétně vybrané údaje, si můžete nechat v nastavení exportovat. V případě fotografií dokonce existuje možnost jejich přímého přenesení do několika málo vybraných služeb.
Co se týče smazání, to je realizováno definitivně smazáním profilu. V takovém případě by mělo dojít ke skutečně nenávratnému smazání všech vašich dat. Neplatí to však samozřejmě o obsahu, který se vás sice týká, ale sdílel ho někdo jiný – například fotografií, na nichž jste.
Facebook má i jakýsi formulář, kterým můžete vznést námitku proti zpracování vašich údajů. Týká se to ovšem dat, která jsou zpracována na základě „oprávněných zájmů společnosti Facebook nebo pro výkon úkonů prováděných ve veřejném zájmu“. Úspěšnost takové stížnosti tak asi bude minimální. Realisticky vzato, pokud Facebook používáte, prostě o vás bude data shromažďovat.
Omezení funkcí Messengeru a ePrivacy směrnice
Jak jste si mohli všimnout, poměrně nedávno přestaly fungovat některé funkce na Messengeru a Instagramu. Facebook tvrdí, že je v EU dočasně odstranil, aby vyhověl tzv. ePrivacy směrnici. Ta pochází z roku 2002, ovšem nově do jejího režimu spadají kromě klasických telekomunikačních služeb i tzv. over the top komunikace, tedy především přes internet poskytované hlasové a video hovory, ale i další média.
Směrnice především omezuje poskytovatele v tom, jak mohou nakládat s obsahem a metadaty komunikace mezi uživateli a brání analyzování či „odposlouchávání“ komunikace bez souhlasu všech zúčastněných. Mimo jiné proto nedávno Gmail ukazoval uživatelům žádost, aby se rozhodli, jestli nadále chtějí používat chytré funkce. Ty totiž právě vyžadují, aby mohl Gmail skenovat text emailů.
Většina interaktivních funkcí, které Facebook v nějaké podobě omezil, nemají s obsahem směrnice zdánlivě nic společného. Facebook se vyjádřil ve smyslu, že chce funkce vrátit co nejdříve zpět, jakmile zajistí, že jsou v souladu se směrnicí, resp. jejími implementacemi.
Facebook si ovšem zároveň na svém blogu stěžuje, že zahrnutí pod ePrivacy směrnici omezuje některé jeho „bohulibé“ činnosti. V režimu směrnice tak prý například není možné využívat metadata k detekci materiálů týkajících se možného zneužívání dětí.
Nařízení ePrivacy možná vše změní
Do analýzy dopadů aplikování ePrivacy směrnice na Facebook a další služby se nicméně asi nemá cenu pouštět. Celá směrnice by totiž měla být zrušena a nahrazena zbrusu novou evropskou legislativou. Té se opět přezdívá ePrivacy, nicméně tentokrát má mít formu nařízení, stejně jako GDPR. To mimo jiné znamená zcela jednotnou úpravu v celé EU, přímou aplikovatelnost předpisu a podobně.
Problém však je, že se evropští zákonodárci, resp. členské státy, nedokáží již několik let shodnout na podobě tohoto nařízení. Úplně původně se předpokládalo, že by mohlo začít platit již spolu s GDPR, což se nestalo. Naposled se o dosažení konsensu neúspěšně pokoušelo německé předsednictví, které skončilo koncem roku.
Je tak otázkou, kdy a v jaké podobě bude nařízení ePrivacy přijato. Nařízení má potenciál ledacos změnit, protože se na rozdíl od GDPR má týkat právě i metadat, která tvoří značnou část dat popisovaných v tomto článku.
