Mnohí označujú aktivizmus rakúskeho študenta práva Maxa Schremsa (26) s najpopulárnejšou sociálnou sieťou Facebook za súboj Dávida s Goliášom. O fenoméne boja slabšieho so silnejším napísal pôvodom kanadský novinár novinár Malcolm Gladwell bestseller David and Goliath: Underdogs, Misfits and the Art of Battling Giants, kde prišiel s poučením, že vlastnosti, ktoré „obrom“ v našich očiach dávajú silu, sú často ich veľkou slabinou.
Toto poučenie môže poškodiť aj firme zakladateľa Marka Zuckerberga, ktorá s 1,32 miliardami používateľov patrí k jedným z Goliášov. Rodák zo Salzburgu bojuje s internetovým gigantom už štyri roky pre zlepšenie ochrany osobných údajov. Teraz vyzval miliardu ľudí ku kolektívnej žalobe, ktorú si musí obhájiť pred Európskym súdnym dvorom.
#Thanks to more than 20k supporters on http://t.co/YOP30cB9qx! Never thought this would skyrocket that quickly #FBclaim #Facebook #EUDataP
— Max Schrems (@maxschrems) August 6, 2014CD s 1 222 stranami dát
Všetko sa začalo v roku 2011, keď Max Schrems spustil na internete kampaň Európa versus Facebook. Keďže európska centrála americkej firmy sídli v Írsku (pre daňové možnosti), podal Rakúšan na írskom úrade pre ochranu osobných údajov na americkú filmu 22 sťažností týkajúcich sa napríklad služieb geolokalizácie alebo zhromažďovania osobných údajov.
Spravil tak na základe európskej legislatívy a chcel, aby mu Facebook zaslal osobné dáta, ktoré eviduje. Dostal CD, ktoré obsahovalo 1 222 strán, na ktorom boli tri roky jeho virtuálneho života. Boli rozdelené do 57 kategórií, od náboženských a politických postojov až po informácie, ktoré už dávno zmazal.
M. Schrems dosiahol čiastočný úspech, keď írsky úrad na ochranu osobných údajov Facebooku odporučil, aby zlepšil nakladanie s údajmi a ich ochranu. Stále to však bolo len odporučenie a sociálna sieť vyhovela len zlomku toho, čo úrad navrhol.
Dôvod sporu? Spolupráca s tajnými
Dôvody na právnu bitku zosilneli po odhalení informácií o tajnom bezpečnostnom programe PRISM americkej NSA. Podľa M. Schremsa dcérske spoločnosti amerických IT spoločnosti ako Facebook, Apple (Írsko), Skype a Microsoft (Luxembursko) či Nemecko (Yahoo) posielajú používateľské dáta z Európy na spracovanie do USA a spolupracujú tak s NSA.
Akonáhle európska dcérska spoločnosť odošle dáta do americkej materskej spoločnosti, ide o takzvaný export dát. Podľa európskeho práva je však tento mimo EÚ povolený iba v prípade, ak cieľová krajina garantuje adekvátnu ochranu osobných údajov (ide o takzvanú dohodu Safe Harbor).
Po odhalení britského The Guardianu a The Washinton Post o programe PRISM možno adekvátnou ochranou osobných údajov argumentovať len ťažko, tvrdí Max Schrems, s ktorým sa TREND.sk zhováral v nedeľu. To, že mladík to so svojím bojom za súkromie myslí vážne, potvrdzuje aj kniha Kämpf um deine Daten, ktorú vydal na konci mája.
Kniha Kämpf um deine Daten od Maxa Schremsa
V piatok ste vyzvali používateľov Facebooku, aby sa pripojili ku kolektívnej žalobe voči Facebooku. Aký máte zatiaľ úspech?
Za 24 hodín sa k skupinovej žalobe prihlásilo 8 000 používateľov vrátane USA a Kanady (pozn. red.: aktuálne číslo zo stredy 6. augusta je viac ako 20-tisíc). S ich podporou bude náš hlas silnejší. Našou snahou je prinútiť Facebook, aby konečne rešpektoval zákony na ochranu osobných údajov v regióne, kde pôsobí.
Facebook má na svedomí množstvo porušení cez sporné nakladanie s osobnými údajmi na komerčné účely a do aplikácií, tlačidlo Like, ktoré generuje nadmerné informácie o používateľovi cez externé web stránky, absencia súhlasu používateľov k použitiu osobných dát či služba Graph Search (pozn. red.: funkcia umožňuje filtrovanie osôb podľa kľúčových informácií, vyhľadávať napríklad miesta podľa toho, či ho navštívili alebo ohodnotili vaši priatelia. Používatelia sa tam môžu ocitnúť aj kvôli dávnym likeom, na ktoré už zabudli)
Prečo bojujete len proti Facebooku? Podobné praktiky predsa bežne používajú aj Google alebo Microsoft.
Áno, ale kapacitne by som to nedokázal stíhať. Iniciatíva Europe vs. Facebook má len 20 členov, ktorí si delia medzi sebou úlohy.
Kto vás financuje, aby ste mohli zaplatiť súdne trovy?
Od ľudí, ktorí sa pripoja ku kolektívnej žalobe, neberieme nič, oni neznášajú riziko. Budem ich len zastupovať vo svojom mene. Samozrejme, potrebujeme počítať s nákladmi na trovy konania. Aj preto fungujeme cez rôzne dary a crowdfundingovú platformu crowd4privacy.org.
Doteraz sme cez ňu vyzbierali viac ako 58-tisíc eur. Dary sú anonymne zverejnené na webstránke, pohybujú sa najčastejšie okolo eura, ale nájdete tam aj dary v niekoľkých desiatkach eur. Zastupovať nás bude právna kancelária Roland ProzessFinanz AG, ktorá si po prípadnom úspechu zoberie 20 percent odmeny.
Môžete prezradiť, o koľko peňazí ide, ak spor vyhráte?
No aj keď vyhráme, my z peňazí nič nemáme. Celá suma sa zníži o províziu právnej kancelárie a súdne trovy. Zvyšok rozdelíme používateľom z kolektívnej žaloby. Škody z porušenia osobných údajov jedného používateľa boli vypočítané na 500 eur. Tých 500 eur dostanem aj ja, rovnako ako každý iný poškodený.
Prečo práve 500 eur, kto to vypočítal?
Analyzovali sme podobné súdne spory z minulosti a mohli by sme žiadať aj viac, ale radšej požadujeme symbolickú sumu než obrovské množstvo šialených súdnych sporov.
Ak by sa prihlásilo napríklad 10-tisíc používateľov, odškodnenie bude (pre Facebook) pomerne ľahko zvládnuteľných päť miliónov eur. Ak sa pripojí viac používateľov, náklady na odškodnenie nemusia byť pre Facebook zanedbateľné.
Kde sa nabral nápad, že budete žalovať Facebook?
Študoval som pár mesiacov v USA a na jednu hodinu prišiel prednášať zástupca z Facebooku. Vysvetľoval nám európske zákony o ochrane osobných dát. Keďže som to študoval vo Viedni, nesúhlasil som s jeho prispôsobeným vysvetlením. Jednoducho tomu nerozumel. Spolužiakom z USA bola ochranu súkromia na Facebooku ľahostajná.
Keď som sa vrátil domov, venoval som sa tejto téme na seminárnej práci. Kamaráti mi poradili, aby som to poslal írskemu úradu na ochranu osobných úradov. Z práce vzišlo 22 sťažností, ako Facebook narába s našimi osobnými dátami.
Ale opakujem, že pri spore nám nejde o peniaze, ale o správnu ochranu dát. Teda jasné informácie a rozhodnutie používateľa k nakladaniu s jeho informáciami. Ide o minimálny štandard, ktorý požaduje legislatíva EÚ. Oni vedú istým spôsobom choré PR, že sám užívateľ by mal byť natoľko vzdelaný, aby vedel, čo firme povolil. Je to absurdné, pretože práve oni by tieto informácie mali jasne podať užívateľom.
Pred troma rokmi ste dosiahli úspech, keď Facebook pod tlakom kampane, ktorú ste rozvírili, zrušil dáta a deaktivoval službu automatického rozpoznávania tvári. Čím si zdôvodňujete, že ďalší výraznejší úspech sa už neopakoval?
Spor beží už tri roky. Stále však nepadol verdikt, pritom nám sľubovali, že rozhodnutie padne do mesiaca, alebo že padne čoskoro. Namiesto toho čakáme a nemáme žiaden záväzný rozsudok. Mnoho Írov vraví, že v krajine existuje intenzívny politický a ekonomický tlak, aby legislatíva netlačila na americké technologické spoločnosti. Nechcú ich z krajiny vyplašiť. Výsledkom je verdikt írskeho Najvyššieho súdu.
Ten v júni tohto roka konštatoval, že aj program PRISM je v súlade s dohodou Safe Harbor, ktorá upravuje požiadavky na ochranu súkromných údajov občanov Európskej únie v prípade, že firmy pôsobiace na území EÚ tieto informácie prevádzajú do USA. A zároveň povedal, že je úrad príliš malý, aby o tom mal rozhodovať. V júni sa preto rozhodol vec odovzdať Európskemu súdnemu dvoru (ESD).
Safe Harbor bol kritizovaný expertmi dlhodobo. Kauza PRISM je možno len vrcholom ľadovca, ktorý je viditeľný, a že v skutočnosti naše dáta nie sú nijako chránené. To, že je niekto členom Safe Harbor, znamená, že môže pokojne posielať dáta do centrály NSA? To, že to predali ďalej na ESD, je politicky veľmi rozumné riešenie. Je stále otázne, či dohoda, ktorá platí od roku 2000, môže byť stále aktuálna, keď sme zažili 9/11 a vojny proti terorizmu a PRISM.
Požadujete aj istú revíziu dohody Safe Harbor?
Smernica na ochranu údajov v EÚ zakazuje, aby sa osobné údaje z členských štátov EU prenášali do krajín, ktoré nedisponujú rovnakou úrovňou ochrany osobných údajov. Vždy ide teda o obsah. Pohľad legislatívy USA a Európy bude vždy odlišný, ale mali by sa zbližovať.
Nemôže to byť však dlhodobé riešenie, ak si budú len Európania vymáhať svoje základne práva sami. Už len fakt, že si ich vymáha študent práv od Facebooku, je pomerne smiešny. O toto by sa mali starať európske inštitúcie a nie jednotlivci.
Čo očakávate od posúdenia Európskeho súdneho dvora (ESD)?
Dúfame, že nám môže pomôcť aj kvôli nedávnemu rozhodnutiu „právo na zabudnutie“. Možno sa nám podarí nájsť odpoveď aj na otázku, či Írsko dostatočne chránilo naše právo na súkromie, keď neprerušilo tok dát smerom k cudzím tajným službám. Ľuďom by som poradil, aby už nežili a nekomunikovali na internete ako v dobe kamennej. Skúste šifrovať maily či mazať cookies.
Koľko bude celá súdna mašinéria na ESD stáť?
Problém je v tom, že iba jednotlivec môže podať sťažnosť na súd a som za to zodpovedný. V Írsku sú náklady na celý proces obrovské. Prechod na ESD nás môže stať niekoľko stotisíc eur.
Máme vyzbieraných takmer 60-tisíc eur, ale nepôjdem do osobného bankrotu. Nejako ma to teraz ani netrápi. Je to pre mňa experiment, v ktorom chcem zistiť, či je možné, aby si bežný človek vybojoval právo, na ktoré má nárok.
Mimochodom, čo si myslíte o májovom rozhodnutí, kde môže každý používateľ požiadať, aby články o ňom Google alebo Bing vymazal z vyhľadávania (tzv. právo na zabudnutie)?
Myslím si, že je to správne rozhodnutie, ale je nutné dávať si pozor, aby sa nevymklo spod kontroly. Ak existuje v článku problematická pasáž, človek musí byť schopný sa s tým vysporiadať aj formálne cez akýsi výmaz týchto informácií. Takéto informácie môžu mať skutočne malú informačnú hodnotu pre verejnosť, ale môžu zruinovať život človeka.
