Politika společnosti Google v oblasti sběru a uchovávání dat uživatelů

 

Ve svých počátcích byl vyhledávač díky finančnímu zajištění vývoje i provozu Stanfordskou Univerzitou nezávislý na dalších příjmech. Většina konkurenčních vyhledávačů využívala v té době převládající model založený na ziscích ze zobrazování kontextové reklamy. Lary Page a Sergey Brin ve společném článku The Anatomy of a Large-Scale Hypertextual Web Search Engine však tento obchodní model kritizují; vyhledávače placené reklamou jsou podle nich „ze své podstaty neobjektivní vůči svým uživatelům, jelikož upřednostňují zájmy inzerentů“.[1]

Po ukončení provozu na univerzitních serverech, který znamenal přesun vyhledávače z akademické sféry do sféry komerční, však bylo potřeba zajistit financování dalšího provozu. Google tak i přes předchozí kritiku přechází na stejný model jako konkurence a začíná ve výsledcích vyhledávání zobrazovat reklamní sdělení. Aby si udržel dosavadní úroveň kvality, drží se několika zásad: stručného nerušivého formátu reklam, jasného oddělení sponzorovaných odkazů od výsledků vyhledávání (aby nedocházelo ke změně pořadí výsledků) a obsahové relevance reklamních sdělení.[2] V případě, že Google nemá pro vyhledávaný výraz v databázi relevantní reklamní sdělení, jednoduše se žádné nezobrazí. Tento způsob sice ctí filozofii zakladatelů, z marketingového hlediska však není tak výhodný. Google proto hledá i jiné cesty, jak zvýšit své příjmy z poskytování reklamy. Prostřednictvím několika akvizic (např. společností Applied Semamtics, DoubleClick či mDialog) buduje základ reklamních služeb AdSense a DoubleClick, které umožňují Googlu umisťovat vysoce relevantní reklamy na dostupné reklamní plochy napříč spolupracujícími weby (tzv. Google Display Network). V roce 2001 začíná pro lepší, personifikované cílení reklamních sdělení využívat historii vyhledávání.[3] Pokud uživatel klikne na některý z odkazů uvedených ve výsledcích vyhledávání, Google si tuto webovou stránku zapamatuje, a je-li některé z následujících vyhledávání tematicky příbuzné, nabídne mu vhodnou reklamu. Navštíví-li uživatel např. webovou stránku o cyklistice a následně vyhledává slovo „dovolená“, může mu být zobrazena reklama na zájezdy s možností jízdy na kole. V případě, že uživatel často navštěvuje webové stránky se společnou tematikou, může Google zobrazovat cílenou reklamu i na webech, které jsou tematicky odlišné.

Čím více tedy Google o svých uživatelích ví, tím lépe a přesněji dokáže cílit reklamní sdělení. Lepší cílení pak znamená vyšší pravděpodobnost, že uživatel na reklamu klikne, a tím pádem i vyšší zisky. Proto postupně začíná využívat i další data získaná prostřednictvím ostatních nabízených služeb. Jedná se například o polohu, pohlaví, věk a další informace neosobní povahy, obsažené v uživatelském profilu. Vzhledem k množství nabízených služeb se jedná o širokou škálu potenciálně využitelných informací. Podle výkonného ředitele Světového fóra pro ochranu soukromí (World Privacy Forum) Pama Dixona „Žádná firma ještě nikdy neměla tolik dat o uživatelích“.[4]

Zásadní význam, který pro společnosti uživatelská data a informace mají, se odráží v přístupu k jejich získávání a uchovávání. V zájmu Googlu, ale i dalších společností profitujících z poskytování reklam je, aby těchto dat uživatelé poskytovali co nejvíce.[5] Tento přístup se může následně projevit nejen na formulaci smluvních podmínek, ale také na designu a nastavení služeb.

Ekonom Richard Thaler a profesor práva na Harvardově univerzitě Cass Sunstein popisují koncept zvaný „architektura volby“ (choice architecture). Ten říká, jak lze vhodným rozvržením a pořadím nabízených možností ovlivnit naši konečnou volbu.

Mnoho lidí při využívání různých služeb postupuje cestou nejmenšího odporu. Jinými slovy, pokud je systém (v našem případě služba) primárně nastaven tak, aby upřednostňoval konkrétní volbu, většina uživatelů toto nastavení ponechá, bez ohledu na to, zda je pro ně výhodné. Stejným způsobem pak naše chování ovlivňují i volby označené jako „doporučené“. Podle autorů lze tohoto konceptu využít s dvěma odlišnými motivy: pomoci uživateli a pomoci sobě. V prvním případě se jedná například o doporučení typu instalace či předvolby základního nastavení, které mají při instalaci nových programů pomoci nezkušeným uživatelům. Typickým příkladem druhého typu jsou pak primárně označené volby pro instalaci programů třetích stran,[6] změnu domovské stránky či zasílání obchodních sdělení.

Pokud tedy společnosti v rámci zakládání uživatelských účtů využijí vhodného výchozího nastavení pro získání co největšího množství dat, je velká pravděpodobnost, že mnoho uživatelů se s tímto nastavením spokojí. Většina společností proto využívá v nastavení spíše princip opt-out, tedy možnost následného odhlášení ze sběru dat, než princip opt-in, tedy dobrovolného přihlášení ke sběru dat (např. kvůli zlepšení služeb).

Ještě donedávna byl výše zmíněný princip velmi často kombinován s úmyslným skrýváním nastavení za nepřehledné množství odkazů a webových stránek, jež mělo uživatelům ztížit jejich nalezení. Od této praktiky se však v poslední době pomalu upouští. Důvodem je snaha o větší transparentnost a získání důvěry uživatelů. V současnosti je již u společnosti Google základní nastavení soukromí součástí obecného nastavení účtu.

Získávání dat a informací

Shromažďování údajů společností Google probíhá dvěma způsoby, které logicky odpovídají již zmíněnému rozdělení na aktivní a pasivní způsob utváření digitální identity. Jedná se tedy o údaje sdělené samotnými uživateli a  a údaje získané využíváním služeb.[7]

Informace sdílené uživateli

Využití některých služeb Google (např. Gmail, Google+, Drive) je podmíněno vytvořením uživatelského účtu. Při jeho založení je vyžadováno zadání několika základních identifikačních údajů:

  • jména
  • příjmení
  • hesla
  • uživatelská jména (budoucí e-mailová adresa ve formátu uživatelské jméno@gmail.com),
  • data narození
  • pohlaví
  • místa pobytu (země)
  • aktuální e-mailové adresy (volitelné)
  • telefonní čísla (volitelné)[8]

V případě, že bude chtít uživatel provádět nákupy mobilních aplikací prostřednictvím obchodu Google Play,[9] bude vyžadováno také zadání platných údajů o platební kartě, skrze kterou budou transakce probíhat. Kromě těchto povinných údajů mohou uživatelé poskytovat společnosti Google další informace skrze různé služby, zejména pak sociální síť Google+. Jejím prostřednictvím lze doplnit profil například o údaje jako je místo narození, přesné místo pobytu, dosažené vzdělání, zaměstnání, rodinné vazby, významné životní události a podobně. V tomto případě však záleží pouze na uživateli, kolik informací je ochoten poskytnout. Do této skupiny můžeme zahrnout také veškerý obsah, který uživatelé do svých služeb nahrají – fotografie v albu Picasa, dokumenty a další soubory uložené na Disku Google, blogy vedené ve službě Blogger, vlastní mapy vytvořené prostřednictvím Map Google, události v Kalendáři Google, ale také e-mailovou korespondenci.[10]

Údaje získané využíváním služeb

Na rozdíl od předchozího typu zde informace nevkládá uživatel, ale vznikají jako důsledek jeho interakce se službami, a jsou přímo spojeny s jejich provozem. Jedná se o informace o způsobu využití a nastavení jednotlivých služeb, navštívených webových stránkách či zobrazení reklamních sdělení. V rámci zveřejněných zásad ochrany osobních údajů uvádí Google na svých stránkách uvádí šest typů informací, které shromažďuje:

  • Informace o zařízení – všechna mobilní zařízení (telefony, tablety či chytré hodinky) s operačním systémem Android, která jsou spojená s uživatelským účtem Google, poskytují několik druhů informací, na jejichž základě je možné je identifikovat. Mezi tyto údaje patří výrobcem přidělené číslo IMEI (International Mobile Equipment Identity) obsahující informace o modelu hardwaru, sériové číslo či kód výrobce, dále pak verze operačního systému, údaje o mobilní síti, telefonní číslo a anonymní identifikátor. Anonymní identifikátor je náhodný řetězec znaků, využívaný k identifikaci zařízení. Zastupuje tak funkci souboru cookies na platformách, na kterých není tato technologie podporována. Tyto informace jsou využívány pro lepší přizpůsobení služeb konkrétním zařízením či pro vzdálenou správu zařízení v případě jeho odcizení či ztráty.
  • Informace z protokolu serverů (server log) – při každém využití služeb nebo zobrazení obsahu společnosti Google dojde k uložení informací do protokolu serveru. Ty obsahují údaje o tom, jakým způsobem uživatel využil konkrétní službu (např. zadaný dotaz), IP adresu, identifikační údaje jako jsou typ prohlížeče, použitý jazyk, datum a čas požadavku, předchozí navštívenou URL adresu,[11] hardware a jeho nastavení, informace o již uložených souborech cookies a v případě chytrého telefonu také telefonní číslo, čísla volajícího, datum, čas a trvání hovorů, typ hovoru a směrování SMS zpráv. Jak vypadá obsah protokolu serveru při zadání dotazu do vyhledávače Google lze vidět na Obrázku 1 2.

 obr1-zaznam-z-protokolu-serveru

Obrázek 1 – Záznam z protokolu serveru pro vyhledávání ve vyhledávači Google

Protokol obsahuje:

  1. IP adresa zařízení, ze kterého byl dotaz zadán. Může sloužit k určení polohy uživatele.
  2. Datum, čas a kompenzace časové zóny.
  3. Jazyk požadovaného výsledku.
  4. Dotaz.
  5. Operační systém uživatele.
  6. Použitý webový prohlížeč.

Kromě výše zmíněných informací může obsahovat také doplňující informace, obsahující typ požadavku, odezvu serveru a engine pro vykreslení, které ale nejsou z pohledu získávání uživatelských dat významné.[12]

 obr2

Obrázek 2 – Záznam z protokolu serveru při vyhledávání prostřednictvím Google

V tomto případě je protokol navíc doplněn o jedinečný identifikátor souboru cookie (řetězec 740674ce2123a969), který byl při některé z předchozích relací uložen do počítače uživatele.[13]

  • Informace o poloze – společnost Google může v rámci svých služeb shromažďovat údaje o poloze uživatelů. K určování polohy jsou, v závislosti na použitém zařízení, využívány různé technologie. U počítačů se jedná o IP adresu, u mobilních zařízení pak také o signál mobilní sítě a GPS, přístupové body Wi-Fi sítí a další pohybové senzory jako jsou akcelerometr či gyroskop. Kromě výše zmíněných údajů využívá Google také tzv. implicitní údaje o poloze.[14] Jedná se například o zadání dotazu na určité místo. Z těchto dat sice není možné jednoznačně určit polohu uživatele, Google však na základě tohoto vyhledávání může odvodit, že se uživatel o dané místo buď zajímá, nebo se na něm nachází. Ukládání dat o poloze není v základním nastavení účtu Google primárně povoleno a na rozdíl od mnoha jiných údajů tak jejich sběr funguje na bázi opt-in, tedy dobrovolného přihlášení. Využívá-li však uživatel mobilní zařízení s operačním systémem Android, je při použití některých aplikací (např. Mapy Google) nucen sdílení polohy zapnout. Bez tohoto kroku se daná aplikace nespustí.
  • Jedinečná čísla aplikací – při instalaci, odinstalaci či aktualizaci již nainstalovaných aplikací mohou vybrané služby společnosti Google shromažďovat jedinečné identifikátory těchto aplikací a další doplňující informace jako je operační systém či verze dané aplikace. Tímto způsobem Google získává přehled i o aplikacích instalovaných z jiných zdrojů než oficiálního obchodu Google Play.
  • Místní úložiště – webové prohlížeče v počítačích a aplikace v mobilních zařízení mohou prostřednictvím nástrojů webového úložiště a mezipaměti aplikací ukládat provozní data do zařízení. Tato data pak mohou sloužit například k načtení posledních relací při pádu prohlížeče nebo pro práci v off-line režimu. Některé služby Google mohou tato úložiště využít k uchovávání informací osobní i neosobní povahy.
  • Soubory cookie a anonymní identifikátory – jak již bylo řečeno, cookies jsou malé textové soubory, ukládané prostřednictvím webového prohlížeče do zařízení návštěvníka webových stránek za účelem jeho opětovné identifikace. Společnost Google může tyto soubory ukládat nejen prostřednictvím svých domén, ale také skrze všechny webové stránky, využívající některou z technologií Google (mapy, reklamní služby, analýzy návštěvnosti Google Analytics a další).[15] Google tyto soubory využívá k různým účelům, u kterých je určitá identifikace nezbytná.[16]
  1. Nastavení – soubory cookies nesoucí označení PREF (preference) slouží k zapamatování uživatelských předvoleb týkajících se nastavení daného webu – jeho vzhledu, jazykových, lokalizačních a dalších preferencí. Soubory tohoto typu mohou přenášet také informace o určitých nastaveních z uživatelova účtu. Pokud uživatel zvolí, že si nepřeje dostávat personifikovanou reklamu, umístí Google do prohlížeče soubor cookie, který zamezí dalšímu zobrazování cílených reklam (nikoliv reklam obecně) v rámci sítě Google Display Network.
  2. Zabezpečení – soubory označené SID a HSID obsahují údaje o ID účtu uživatele a čase posledního přihlášení. Slouží tak jako součást mechanismu ověření identity uživatele. Proto jsou z bezpečnostních důvodů opatřeny digitálním podpisem a jejich obsah je přenášen v šifrované podobě. Díky zaznamenávání údajů o čase přihlášení, které jsou ukládány do historie účtu, umožňují uživateli či společnosti Google odhalit jeho neoprávněné užití.
  3. Procesy – správné fungování některých procesů při poskytování služeb na webových stránkách zajišťují mimo jiné také soubory cookies. Aby bylo například možné otevřít současně více dokumentů ve službě Dokumenty Google, je využíván soubor cookie s označením lbcs.
  4. Stav relace – tyto soubory umožňují identifikaci a předávání nezbytných informací o předchozích aktivitách (například přihlášení či zvolené nastavení) při pohybu uživatele mezi jednotlivými stránkami webu v rámci konkrétní relace. Suplují tak chybějící paměť webových stránek a značně zjednodušují uživatelům práci s webem, jelikož odstraňují nutnost opětovného zadávání informací při opuštění stránky. Typickým příkladem jsou nákupní košíky v elektronických obchodech, které si pamatují uložené položky i poté, co je uživatel opustí a pokračuje v nákupu. Společnost Google využívá cookies stavu relace také pro sledování využití jednotlivých stránek či k měření efektivity inzerce typu PPC (pay-per-click). Může se jednat například o cookies s názvem recently_watched_video_id_list, obsahující seznam naposledy přehraných videí na serveru YouTube. Tyto soubory jsou pouze dočasné a po zavření prohlížeče jsou odstraněny.
  5. Google Analytics – webové stránky využívající k analýze návštěvnosti nástroj Google Analytics mohou pro shromažďování potřebných informací a následné vytváření statistik ukládat několik souborů cookies. Takto získaná data mohou provozovatelé stránek sdílet ve zvoleném rozsahu se společností Google, která na jejich základě může vytvářet souhrnné statistiky, přehledy a zlepšovat nabízené nástroje pro dané odvětví.[17] Jedná se však o anonymní souhrnná data o využití, která neobsahují údaje umožňující identifikaci jednotlivých návštěvníků. V kombinaci s dalšími soubory cookies mohou sloužit k lepšímu cílení reklamních sdělení zobrazovaných v rámci reklamní sítě Google Display Network či v rámci jednotlivých služeb.
  6. Reklama – množství souborů cookies je ukládáno za účelem zlepšení efektivity cílených reklamních sdělení. Tyto soubory umožňují identifikovat uživatele napříč jednotlivými navštívenými weby a ukládat informace o tomto pohybu a interakcích s webovými stránkami či jejich jednotlivými prvky (zde především zobrazenými reklamami). Jejich funkce je tedy velmi podobná již zmíněným cookies stavu relace. Na rozdíl od nich však nemusí být ukládány pouze navštíveným webem (tedy jako cookies první strany), slouží pro sledování aktivit i mimo daný web a jsou trvalé, to znamená, že po ukončení relace nezanikají, ale zůstávají nadále uložené v počítači pro další využití.
    Tyto soubory mohou být ukládány prostřednictvím několika různých domén – jedná se například o google.com, doubleclick.net, invitemedia.com, admeld.com, ooglesyndication.com nebo googleadservices.com.[19] Ukládání, čtení či úpravy mohou být realizovány různými nástroji obsaženými na dané stránce. Může se jednat např. o pixelové tagy, sociální wigdety (tlačítko „+1“), reklamních bannery, či další vložené služby Google (např. Mapy). Soubory cookies, sloužící pro reklamní účely, můžeme rozdělit do dvou základních skupin. První z nich zahrnuje soubory PREF, NID či SID, které jsou primárně využívány pro zobrazování reklam na webech společnosti Google. Slouží pro zapamatování posledních vyhledávání či využití již zobrazených reklam. Pro zobrazování reklam v rámci sítě Google Display Network, tedy i mimo weby Google, jsou pak využívány i další soubory cookies. Hlavním z nich je soubor označený id, ukládaný prostřednictvím domény Doubleclick.net, který slouží k identifikaci uživatelova počítače napříč jednotlivými webovými stránkami. Kromě něj se může jednat také o soubory _drt_, FLC, exchange_uid či _gads (ten je ukládán prostřednictvím domény navštíveného webu).[19] Obě skupiny mohou být vzájemně ombinovány, soubory uložené doménou DoubleClick tak mohou sloužit pro zobrazenírelevantních reklam nejen v síti Google Display Network, ale také v rámci dalších služeb Google.

Zde je však potřeba zmínit, že pro utváření digitální identity v rámci společnosti Google hraje zásadní roli fakt, zda je uživatel při pohybu v prostředí internetu aktuálně přihlášen ke svému uživatelskému účtu. Informace o zařízení, soubory cookies, informace z protokolu serverů, obsah místního úložiště a údaje o poloze jsou shromažďovány (v případě cookies vydávány) u všech návštěvníků bez ohledu na to, zda jsou registrovanými uživateli či nikoliv. Zařízení, z něhož uživatel ke službě přistupuje, je identifikováno pomocí IP adresy, v případě souborů cookies pomocí jedinečného řetězce znaků, či prostřednictvím takzvaného otisku prohlížeče (browser fingerprint), což je soubor informací o nastavení daného prohlížeče (viz obr. 1). Žádný z těchto údajů neumožňuje zjištění identity návštěvníka. V případě, že je uživatel aktuálně přihlášen, však mohou být tyto identifikátory i shromažďované informace propojeny přímo s uživatelským účtem, a tedy i s konkrétní osobou. Jsou-li tyto informace spojeny s konkrétním uživatelem a stávají se tak součástí jeho identity, Google s nimi nadále nakládá jako s osobními údaji. Výjimkou jsou informace obsažené v souborech cookies služby DoubleClick. Jelikož jsou tyto soubory využívány také třetími stranami, společnost Google bez souhlasu uživatele nespojuje uložené informace s dalšími údaji, které by mohly vést ke zjištění jeho totožnosti.[20]

Nakládání s daty

Množství stávajících služeb Google vzniklo postupně na základě akvizic jiných společností. S každou další akvizicí byly pro danou službu přijaty nové zásady ochrany osobních údajů, které obvykle do značné míry vycházely ze smluvních podmínek původních společností. Do roku 2012 tak vzniklo více jak 70 odlišných zásad pro ochranu osobních údajů. Zpracování dat se proto i v rámci jednoho účtu řídilo zásadami jednotlivých služeb. K 1. 3. 2012 se společnost Google rozhodla sloučit jednotlivé zásady ochrany osobních údajů z více než 60 služeb do jediného souhrnného dokumentu.[21] Tento krok umožnil společnosti Google pracovat s uživatelským účtem jako s jedním uživatelem napříč celým spektrem služeb.

Tato změna vyvolala vlnu kritiky nejen z řad běžných uživatelů, ale také z řad politiků[22] a veřejných organizací zabývajících se ochranou soukromí.[23] Hlavním důvodem byla obava z příliš velkého zásahu do soukromí uživatelů, které by mohlo sloučení informací z jednotlivých služeb přinést. Ve skutečnosti však k žádným zásadním změnám nedošlo. Využívání informací napříč jednotlivými službami funguje běžně již od roku 2005 a umožňuje výrazně ulehčit uživatelům jejich využívání. Příkladem může být otevření přílohy e-mailu prostřednictví služby Dokumenty bez nutnosti opustit e-mailovou schránku či sdílení vytvořených map prostřednictvím e-mailu přímo z aplikace. Společnost Google však kvůli stávajícím smluvním podmínkám nemohla kombinovat data ze dvou významných služeb – historie vyhledávání a videoserveru YouTube. To jí znemožňovalo nabízet uživatelům videa doporučená na základě předchozích vyhledávání, a naopak zlepšovat personifikaci výsledků vyhledávání na základě shlédnutých videí. Uživatelská data ze všech využívaných služeb jsou tedy nyní spravována centrálně.

Uchovávání dat

Obecný časový rámec pro uchovávání uživatelských dat, který by bylo možné aplikovat současně na data nahraná uživatelem i na data vznikající při využívání služeb, vzhledem k jejich odlišné povaze neexistuje. Proto i zde musíme rozdělit data do těchto dvou skupin, i když v některých případech bude jejich zařazení mírně odlišné, než v předchozí kapitole.

Uchovávání dat získaných při využívání služeb

Uchovávání informací, které jsou získávány ve spojitosti s provozem elektronických služeb, je v tomto ohledu na rozdíl od dat dobrovolně nahrávaných uživateli právně ošetřeno. Subjekty podnikající na území členských států Evropské unie se při zpracování a uchovávání osobních údajů (obecně) musí řídit směrnicí Evropského parlamentu a rady 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Směrnice uvádí, že osobní údaje musí být „uchovávány ve formě umožňující identifikaci subjektů údajů po dobu ne delší než je nezbytné pro uskutečnění cílů, pro které jsou shromažďovány nebo dále zpracovávány.“[24] Tento výklad je ovšem velmi vágní a umožňuje tak společnostem s časovým rámcem snadno manipulovat. Ani pozdější směrnice Evropského parlamentu a rady 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích), která upravuje některé části předchozí směrnice pro využití v oblasti elektronické komunikace, nijak nespecifikuje dobu, po kterou mohou poskytovatelé služeb získaná data uchovávat. Přesné časové ohraničení pro některé služby stanovila až v roce 2006 směrnice Evropského parlamentu a rady 2006/24/ES o uchovávání údajů vytvářených nebo zpracovávaných v souvislosti s poskytováním veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačních sítí a o změně směrnice 2002/58/ES, která říká že: „Členské státy zajistí, aby se kategorie údajů uvedené v článku 5 uchovávaly po dobu nejméně šesti měsíců a nejvýše dvou let ode dne komunikace.“[25] Uvedenými kategoriemi jsou myšleny internetové připojení, elektronická pošta a elektronická telefonie.

Jelikož se tato směrnice týká také některých služeb poskytovaných společností Google, musela na začátku roku 2007 přistoupit k anonymizaci vybraných údajů obsažených v souborech cookies a protokolech serverů. U protokolů serveru byla maximální doba uchovávání nastavena na 18-24 měsíců, u souboru cookies na 18 měsíců.[26] Anonymizace spočívá ve změně posledních osmi bitů v záznamu IP adresy obsažené v těchto souborech. V případě protokolů serveru pak navíc o změnu záznamu identifikačního čísla souboru cookies, který obsahoval počítač uživatele v době relace, a odstranění vyhledávaného výrazu.[27]

I přesto, že byly nově nastavené podmínky v souladu s evropskými zákony, byla společnost Google požádána oficiální pracovní skupinou Article 29,[28] zabývající se ochranou dat v rámci Evropské unie, o zkrácení lhůty pro anonymizaci informací z protokolů serveru s odůvodněním, že společnost Google dostatečně neobjasnila, proč je pro provoz jejích služeb nezbytné uchovávat zmíněné informace po tak dlouhou dobu, a její jednání je tudíž v rozporu se směrnicí 95/46/ES.[29] Pracovní skupina Article 29 zároveň požadovala zkrácení doby expirace souborů cookies, jež byla nastavena na rok 2038.[30] Společnost Google vyšla požadavkům částečně vstříc a zkrátila dobu pro anonymizaci údajů obsažených v protokolech serverů na 18 měsíců. U souborů cookies pak dochází k anonymizaci již po 9 měsících a k expiraci po dvou letech. V roce 2008 oznámila společnost Google zkrácení doby uchovávání informací u protokolů serveru také na 9 měsíců.[31] V tomto případě se ovšem jedná pouze o změnu některých (méně než osmi) bitů v IP adrese, ostatní informace zůstávají stále po dobu 18 měsíců.

Podle odborníků je však tento postup nedostačující a nemá na zvýšení ochrany soukromí prakticky žádný vliv.[32] Posledních osm bitů IP adresy může nabývat hodnoty 1-255. Jejich odstranění tak nevede k úplné anonymizaci, ale pouze k zařazení počítače mezi 254 dalších zařízení se shodnou neanonymizovanou částí IP adresy. V první fázi, ve které dochází k odstranění méně než osmi bitů, je počítač skryt pouze mezi skupinu 64 nebo 127 dalších počítačů, v závislosti na počtu změněných bitů. Problémové je také uchovávání jedinečného identifikátoru souboru cookie, který je odstraněn až po uplynutí 18 měsíců. Na základě tohoto identifikátoru je totiž možné spojit novější vyhledávání konkrétního uživatele se staršími bez ohledu na to, že již došlo k částečné anonymizaci IP adresy.

Ani zkrácení doby expirace souborů cookies nijak nepřispívá ke zlepšení ochrany soukromí uživatelů. Dvouletá lhůta je počítána od posledního využití některé ze služeb Google. Přistoupí-li uživatel během této doby ke službě Google, hodnota cookies je pozměněna a doba expirace automaticky prodloužena. U naprosté většiny uživatelů tento postup znamená téměř neomezenou životnost souboru cookie. Na rozdíl od protokolu serverů je však správa těchto souborů v rukou uživatelů, kteří je mohou kdykoliv ze svého počítače odstranit.

Uchovávání dat nahraných uživateli

U dat, která jsou do služeb nahrávána uživateli, je situace podstatně jednodušší. Vzhledem k povaze poskytovaných služeb je logické, že kontrolu nad jejich uchováváním má pouze uživatel, který je do služby nahrál. Společnost Google tato data nemaže, ani jinak neupravuje, a to i v případě, že je účet delší dobu neaktivní. Jediným případem, ve kterém může dojít ke smazání uživatelských dat ze strany společnosti Google je případné ukončení provozu dané služby. V takovém případě je uživatel s předstihem upozorněn o chystaném zrušení služby a je mu umožněno nahraná data ze služby získat, pokud je to technicky možné.[33]

Prakticky všechny služby umožňují odstranění či úpravu dat přímo v uživatelském rozhraní. K jejich smazání dojde také při zrušení účtu k dané službě či kompletního účtu u společnosti Google. Při zrušení celého účtu dojde k vymazání uživatelských dat ze všech navázaných služeb. Jelikož jsou uživatelská data z bezpečnostních důvodů zálohována na více místech, jejich kompletní odstranění se může projevit až za nějaký čas. Uživatelé mají nově také možnost předem zvolit, co se s jejich daty stane v případě, že bude účet po stanovenou dobu neaktivní (například v důsledku smrti). Prostřednictvím nástroje Správce neaktivních účtů mohou nastavit libovolný časový horizont a vybrat požadovanou akci. Pokud se uživatel během stanoveného časového období k účtu nepřihlásí, dojde buď ke kompletnímu smazání účtu, či k poskytnutí přístupu vybrané osobě (např. rodinnému příslušníkovi).

Do této skupiny můžeme zařadit také informace o poloze, webové historii či shlédnutých videích, které sice spadají do kategorie informací získaných při využívání služeb, ale přihlášení k jejich sběru i nástroje pro jejich následnou správu jsou obsaženy v základním nastavení uživatelského účtu a uživatel nad nimi tedy má kontrolu.

Sdílení dat

V prostředí internetu je prodej informací osobní i neosobní povahy pro marketingové účely běžnou praxí. Společnost Google však uživatelská data dále neprodává a využívá je k cílení pouze v rámci vlastní reklamní sítě Google Display Network. V rámci zásad ochrany soukromí si však vyhrazuje právo data v určitých případech dále sdílet. Předmětem sdílení mohou být údaje osobní a  a údaje souhrnné, které neumožňují identifikaci uživatele.

Souhrnnými údaji jsou zde myšleny například statistiky obecného využití jednotlivých služeb či žebříčky nejsledovanějších videí a nejhledanějších slov, které slouží pro tvorbu každoročních přehledů aktuálních světových trendů.[34] Do těchto statistik jsou zahrnuti jak registrovaní, tak neregistrovaní uživatelé. Jednotlivé záznamy neobsahují žádné osobní ani jiné informace, na základě kterých by bylo možné vybrat či identifikovat konkrétní osobu. Tyto údaje mohou být sdíleny veřejně (Trendy Google) nebo s partnery společnosti Google (vydavatelé, inzerenti či weby využívající služby Google Analytics).

Osobní údaje nejsou běžně sdíleny s žádnými společnostmi, organizacemi ani jednotlivci mimo společnost Google. Přesto však k jejich sdílení může dojít, a to celkem ve čtyřech případech:

  • Se souhlasem uživatele – pokud uživatel udělí společnosti Google souhlas, může dojít k poskytnutí informací z účtu uživatele dalším subjektům. Jedná se například o povolení přístupu k účtu při instalaci mobilních aplikací, které spolupracují se službami Google či doplňků třetích stran, rozšiřujících funkčnost některých služeb (například rozšíření pro kancelářskou sadu Dokumenty Google). Uživatel je při žádosti o souhlas vždy seznámen s výčtem informací, ke kterým daná aplikace vyžaduje přístup. Jedná-li se o přístup k citlivým údajům (náboženské vyznání, rasová příslušnost, sexuální orientace, politická příslušnost či údaje o zdravotním stavu), je potřeba výslovný souhlas uživatele.
  • S administrátory domén – společnost Google poskytuje své služby také jako platformu pro firmy či školy. V takovém případě jsou účty vytvářeny a spravovány pověřeným administrátorem, který v rámci dané instituce poskytuje uživatelskou podporu. Administrátor má oprávnění změnit heslo, přistupovat ke statistikám o využití účtu, získat informace z účtu, zrušit přístup k účtu či nastavovat oprávnění pro úpravu údajů v účtu.
  • Z právních důvodů – osobní údaje mohou být sdíleny se třetími stranami v případě, že je to nezbytné s ohledem na „dodržení platného zákona, nařízení, právního postupu nebo vynutitelného vládního požadavku; uplatnění příslušných smluvních podmínek včetně vyšetření jejich možného porušení; zjištění, zabránění nebo jiného postupu proti podvodu, technickým potížím či bezpečnostním problémům; ochrany před poškozením práv, majetku nebo bezpečnosti společnosti Google, našich uživatelů nebo veřejnosti tak, jak to vyžaduje nebo povoluje zákon.“[35]
  • Za účelem externího zpracování – zpracování některých dat je prováděno tzv. spřízněnými společnostmi (affilliates), patřícími do skupiny společností Google, nebo jinými důvěryhodnými subjekty. Zpracování dat v takovém případě podléhá stejným zásadám ochrany osobních údajů, jako při zpracování společností Google.

Google si také vyhrazuje právo zveřejňovat jméno, příjmení, fotku a provedené akce v rámci ostatních nabízených služeb za účelem zlepšení služeb. Jedná se například o veřejné uživatelské hodnocení restaurace v rámci Map Google či recenze zboží. Toto hodnocení se také může objevit jako součást reklamního sdělení zobrazeného při vyhledávání daného zboží či restaurace. Uživatelé však mají možnost nastavit, zda si přejí zobrazovat svá hodnocení v rámci reklam či nikoliv.

 


 

 

  1. BRIN, Sergey a Lawrence PAGE. The Anatomy of a Large-Scale Hypertextual Web Search Engine [online]. Stanford (CA), 1998 [cit. 2015-07-08]. Dostupné z:
    http://infolab.stanford.edu/~backrub/google.html. Stanford University, Computer Science Department.
  2. Desatero, kterým se řídíme. GOOGLE. O  O společnosti Google [online]. 2014 [cit. 2015-04-18]. Dostupné z: https://www.google.com/intl/cs/about/company/philosophy/
  3. Google’s Widening Range. The Wall Street Journal Europe [online]. Brussel: Dow Jones, 2010 [cit. 2015-05-27]. Dostupné z: http://www.wsj.com/news/interactive/WTKGOOGLE
  4. Vlastní překlad autora.
    MITCHELL, Robert L. What Google Knows About You. Computerworld: IT news, careers, business technology, reviews [online]. Framingham (Massachusetts): IDG [International Data Group], 2009 [cit. 2015-06-01]. ISSN 0010-4841. Dostupné z: http://www.computerworld.com/article/2551008/networking/what-google-knows-about-you.html
  5. RICHARD H. THALER, Richard H.Cass R. Nudge: improving decisions about health, wealth, and happiness. Rev. and expanded ed. New York: Penguin Books, 2009. ISBN 01-431-1526-X.
  6. Obvykle se jedná o tzv. Adware, tedy nežádoucí programy vytvořené za účelem zobrazování reklam na napadeném počítači, přesměrování vyhledávání na reklamní stránky či sběr dat pro marketingové účely.
  7. Zásady ochrany osobních údajů. GOOGLE. Ochrana soukromí a smluvní podmínky [online]. 2015 [cit. 2015-04-18]. Dostupné z: http://www.google.com/policies/privacy/
  8. Společně s aktuální e-mailovou adresou slouží k bezpečnějšímu přihlašování prostřednictvím dvojfázového ověření či pro obnovení přístupu v případě ztráty přihlašovacích údajů. Pokud uživatel vlastní mobilní telefon s operačním systémem Android, Google zná jeho telefonní číslo, i když ho při registraci nezadá. GOOGLE. Vytvoření účtu Google [online]. c2015 [cit. 2015-06-01]. Dostupné z: https://accounts.google.com/signup?hl=cs
  9. Ve Spojených státech amerických lze službu Google Wallet využít nejen pro platby v rámci obchodu Google Play, ale pro jakýkoliv typ plateb on-line, převod peněz mezi účty a v zařízeních s podporou technologie NFC (Near Field Communication) také pro platby v běžných obchodech.
  10. Jelikož je tento obsah analyzován a dále využíván pro přesnější poskytování služeb, a k jejich dalšímu rozvoji, řadí Google tento typ informací až do druhé skupiny, tedy mezi údaje, které shromažďuje na základě využívání služeb. V rámci zachování logiky členění však zde, i ve zbytku práce ponechám informace, nad jejichž vznikem a sdílením mají uživatelé kontrolu oddělené od informací, které vznikají v rámci fungování služeb a jejichž vznik uživatelé nemohou prakticky ovlivňovat.
  11. V případě, že uživatel přistupuje na webovou stránku skrze hypertextový odkaz, ať už z jiné stránky, či výsledků vyhledávání, je cílovému serveru odeslán HTTP dotaz, který ve své hlavičce nese tzv. HTTP Referrer, tedy URL adresu a další informace o stránce, ze které uživatel přistupuje.
  12. DOVER, Danny. The Evil Side of Google? Exploring Google’s User Data Collection. Moz: SEO Software, Tools and Resources for Better Marketing [online]. 2008 [cit. 2015-06-01]. Dostupné z: http://moz.com/blog/the-evil-side-of-google-exploring-googles-user-data-collection
  13. Klíčové pojmy. GOOGLE. Ochrana soukromí a smluvní podmínky [online]. 2015 [cit. 2015-06-08]. Dostupné z: http://www.google.com/policies/privacy/key-terms/#toc-terms-server-logs
  14. Jaké typy dat o poloze Google využívá. GOOGLE. Ochrana soukromí a smluvní podmínky [online]. 2015 [cit. 2015-06-08]. Dostupné z: http://www.google.com/policies/technologies/location-data/
  15. Jak Google využívá data, když používáte weby nebo aplikace našich partnerů. GOOGLE. Ochrana soukromí a smluvní podmínky [online]. 2015 [cit. 2015-06-08]. Dostupné z: http://www.google.com/policies/privacy/partners/
  16. Typy souborů cookie, které Google používá. GOOGLE. Ochrana soukromí a smluvní podmínky [online]. 2015 [cit. 2015-06-10]. Dostupné z: http://www.google.com/intl/cs/policies/technologies/types/
  17. Uživatelé Google Analytics mohou v rámci svého účtu nastavit, jaká data chtějí sdílet a jaká ne. Ovšem i v případě, že uživatel v nastavení sdílení nepovolí, dochází k odesílání některých dat mezi Google Analytics a návaznými službami Google. Nastavení sdílení údajů. GOOGLE. Nápověda Analytics [online]. 2015 [cit. 2015-06-13]. Dostupné z: https://support.google.com/analytics/answer/1011397?hl=cs
  18. Reklama. GOOGLE. Ochrana soukromí a smluvní podmínky [online]. 2015 [cit. 2015-06-14]. Dostupné z: http://www.google.com/intl/cs/policies/technologies/ads/
  19. Cookies domény DoubleClick mohou využívat všechny spolupracující webové stránky, které splňují stanovené podmínky. Tyto soubory tak mohou být ukládány prostřednictvím navštívených serverů (tedy jako cookies první strany) i přesto, že jsou využívány společností DoubleClick. Tímto způsobem je možné obejít zákaz ukládání.
  20. Číslo je nižší, jelikož k částečnému sloučení 12 duplicitních smluvních podmínek došlo již v roce 2010. Tento krok se však na rozdíl od pozdějšího obešel bez většího mediálního zájmu. YANG, Mike. Trimming our privacy policies. Official Google Blog: Insights from Googlers into our products, technology, and the Google culture [online]. 2010 [cit. 2015-05-20]. Dostupné z: http://googleblog.blogspot.cz/2010/09/trimming-our-privacy-policies.html
  21. Výjimku tvoří pouze služby rodiny Chrome (Chrome OS, Chromecast, prohlížeč Chrome), Peněženka Google, Google Books a vysokorychlostní připojení Fibre (dostupné pouze ve vybraných městech USA). Tyto služby jsou upravovány vlastními smluvními podmínkami, jelikož vyžadují speciální ošetření některých právní aspektů, které se na zbytek služeb nevztahují. Jedná se například o autorský zákon (Google Books) či některé zákony z oblasti financí (Peněženka Google).
  22. Například CLARKE, Roger. AUSTRALIAN PRIVACY FOUNDATION. Re: Google’s Announcement of Changes to its Terms and Policies [online]. Message to: SIMS, R. 29 January 2012 [cit. 2015-05-20]. Dostupné z: https://www.privacy.org.au/Papers/ACCC-Google-120129.pdf. Korespondence.
    FALQUE-PIERROTIN, Isabelle. COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTÉS. N/Réf: IFP/BPS/CE121115: A rappeler dans toute correspondance [online]. Message to: Larry Page 27.FEV.2012. [cit. 2015-05-20]. Dostupné z: https://epic.org/privacy/ftc/google/Courrier-Google-CE121115-27-02-2012.pdf. Korespondence MCCULLAGH, Declan. Politicians aim some pointed privacy questions at Google. Cnet: Product reviews and prices, software downloads, and tech news [online]. 2012 [cit. 2015-05-20]. Dostupné z: http://www.cnet.com/news/politicians-aim-some-pointed-privacy-questions-at-google/
  23. SUTTON, Maira. International Reactions to Google’s New Privacy Policy. Electronic Frontier Foundation: Denfending your rights in the digital world [online]. 2012 [cit. 2015-05-22]. Dostupné z: https://www.eff.org/deeplinks/2012/03/international-reactions-googles-new-privacy-policy
    CHAVEZ, Pablo. GOOGLE, INC. Letter to Members of Congress regarding Privacy Policy [online]. January30,2012 [cit. 2015-05-20]. Dostupné z: https://drive.google.com/file/d/0BwxyRPFduTN2NTZhNDlkZDgtMmM3MC00Yjc0LTg4YTMtYTM3NDkxZTE2OWRi/view. Korespondence
  24. Směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Úřední věstník Evropské unie. 1995. Dostupné také z: http://eur-lex.europa.eu/legalcontent/CS/TXT/PDF/?uri=CELEX:31995L0046&qid=1435002360712&from=EN
  25. Směrnice Evropského parlamentu a Rady 2006/24/ES ze dne 15. března 2006 o uchovávání údajů vytvářených nebo zpracovávaných v souvislosti s posky továním veřejně dostupných služeb elektronických komunikací nebo veřejných komunikačn ích sítí a o změně směrnice 2002/58/ES. Úřední věstník Evropské unie. 2006. Dostupné také z: http://eur-lex.europa.eu/legalcontent/CS/TXT/PDF/?uri=CELEX:32006L0024&qid=1435001543311&from=EN
  26. FLEICHER, Peter. Taking steps to further improve our privacy practices. Official Google Blog [online]. 2007 [cit. 2015-06-24]. Dostupné z: http://googleblog.blogspot.cz/2007/03/taking-steps-to-furtherimprove-our.html
    GOOGLE. Google Log Retention Policy FAQ [online]. 2007 [cit. 2015-04-23]. Dostupné z: http://static.googleusercontent.com/external_content/untrusted_dlcp/services.google.com/en/us/blog_resources/google_log_retention_policy_faq.pdf
  27. GOOGLE. Google Log Retention Policy FAQ [online]. 2007 [cit. 2015-04-23]. Dostupné z: http://static.googleusercontent.com/external_content/untrusted_dlcp/services.google.com/en/us/blog_resources/google_log_retention_policy_faq.pdf
  28. Article 29 Working Party je nezávislý orgán skládající se ze zástupců úřadů pro ochranu údajů z každého členského státu Evropské unie, Evropského dozorce pro ochrany údajů (European Data Protection Supervisor) a Evropské komise
  29. Směrnice 95/46/ES hovoří výhradně o osobních údajích, tedy takových, které jsou spojené s konkrétní osobou a na jejichž základě je možné tuto osobu přímo či nepřímo identifikovat. Protokoly serverů samy o sobě žádné osobní údaje neobsahují. Obsahují však identifikační číslo souboru cookies, který může být v případě přihlášených uživatelů spojen s konkrétním účtem, obsahujícím osobní údaje. Kvůli možnosti tohoto spojení protokolu serveru s osobními údaji tak podléhá dané směrnici.
    SCHAAR, Peter. ARTICLE 29 DATA PROTECTION WORKING PARTY. Letter to Mr. Peter FLEISCHER, Privacy Counsel, Google [online]. [cit. 2015-05-30]. Dostupné z: https://www.epic.org/privacy/ftc/google/art29_0507.pdf. Korepondence.
  30. V době, kdy byly navrhovány soubory cookies typu PREF, byla záměrně zvolena takto dlouhá expirační doba, aby bylo zajištěno dlouhodobé zachování zvoleného uživatelského nastavení.
  31. FLEISCHER, Peter. Another step to protect user privacy. Official Google Blog [online]. 2008 [cit. 2015-06-25]. Dostupné z: http://googleblog.blogspot.cz/2008/09/another-step-to-protect-user-privacy.html
  32. SOGHOIAN, Chris. Debunking Google’s log anonymization propaganda. Cnet: Product reviews and prices, software downloads, and tech news [online]. 2008 [cit. 2015-06-25]. Dostupné z: http://www.cnet.com/news/debunking-googles-log-anonymization-propaganda/
  33. Smluvní podmínky společnosti Google. GOOGLE. Ochrana soukromí a smluvní podmínky [online]. 2014 [cit. 2015-07-01]. Dostupné z: http://www.google.com/intl/cs/policies/terms/
  34. Dostupné na https://www.google.com/trends/
  35. Statistiky počtu žádostí bezpečnostních složek jednotlivých zemích od roku 2009, včetně počtu žádostí, kterým bylo vyhověno, lze nalézt na stránce: http://www.google.com/transparencyreport/userdatarequest/country

 

 

 

 

 

Skoček, Jakub. Politika společnosti Google v oblasti sběru a uchovávání dat uživatelů. Informace [online]. , č. [cit. 2024-03-29]. ISSN 1805-2800. Dostupné z: https://www.lib.cas.cz/casopis_informace/politika-google-sber-uchovavani-dat/

Tisknout stránku