Nizozemský úřad pro ochranu dat vydal metodiku pro data scraping

Automatizované stahování dat z veřejně přístupného internetu, tzv. data scraping, je z pohledu ochrany osobních údajů značně rizikové. Nizozemský úřad proto vydal metodický pokyn, jak při data scrapingu neporušit GDPR.

Co je to data scraping?

Metodika nizozemského úřadu objasňuje, že data scrapingem je automatizovaný sběr a zaznamenávání všech informací z určených webových stránek. Data scraping se typicky používá pro tyto účely:

  • Sběr informací pro trénování algoritmů;

  • Sběr dotazů a stížností od (potenciálních) zákazníků organizace prostřednictvím online kanálů, jako jsou sociální média a recenzní weby;

  • Monitorování online zpráv o organizaci, aby na ně mohla reagovat, ať už pro účely řešení reputace, prodeje nebo marketingu.

Nizozemský úřad pro ochranu osobních údajů rozlišuje data scraping od internetových vyhledávačů tím, že pomocí data scrapingu jsou dostupné informace shromažďovány a zaznamenávány do databáze a poté zpracovávány data pro konkrétní účel.

Data scraping a legislativa

Podle metodiky musí být každá organizace při data scrapingu, který zahrnuje osobní údaje, v souladu s GDPR a musí mít pro toto zpracování (shromáždění a další využití osobních údajů) dostatečný právní základ podle článku 6 GDPR. Organizace musí rovněž zajisti, aby tento proces zpracování osobních údajů byl v souladu se základními principy zpracování osobních údajů podle čl. 5 odst. 1 GDPR. Konkrétně musí organizace dodržovat zásady zákonnosti, omezení účelu, minimalizace údajů, přesnosti, omezení uložení, integrity a důvěrnosti.

Metodika uznává i výjimky z působnosti GDPR. Například data scraping pro trénování algoritmu, který umožňuje uživatelům mimo EU generovat obrázky nebo počítačový kód, nespadá pod GDPR, pokud je správce zřízen mimo EU a nenabízí zboží nebo služby v EU.

Jaká omezení platí pro data scraping citlivých údajů?

Metodika dodává, že organizace zpracovávající citlivé osobní údaje musí splňovat i další požadavky GDPR.

V těchto případech musí organizace zpracovávat citlivé osobní údaje na základě jedné z výjimek stanovených GDPR, jako je výslovný souhlas subjektu údajů nebo zjevné zveřejnění údajů subjektem údajů. Pokud jde o údaje zveřejněné subjektem údajů, metodika upozorňuje, že informace sdílené někým jiným než subjektem údajů samotným pod tuto výjimku nespadají. Stejně tak u informací zveřejněných samotným subjektem údajů musí být z jeho chování zjevný úmysl učinit je veřejnými.

Dopady na obchodní modely a služby

Nově vydané metodika nizozemského úřadu může mít významný dopad na obchodní modely poskytovatelů informačních služeb.

Wouter Seinen, expert na kybernetiku, data a technologie z Pinsent Masons, uvedl: "Nejpozoruhodnějším bodem pro mě je, že úřad se rozhodl rozšířit pohled na praktiky sběru dat jako na obecné téma, s tím závěrem, že mnohé současné postupy a modely mohou ve skutečnosti porušovat GDPR. To může ovlivnit podniky, které se spoléhají na data scraping v oblastech sahajících od boje proti praní špinavých peněz až po kontrolu zákazníků a přímý marketing."

Sběr dat prostřednictvím webového scrapingu se spoléhá na použití automatizovaných nástrojů nebo botů, kteří rychle získávají osobní údaje a další informace z mnoha zdrojů. Metodika si klade za cíl objasnit, kdy může být webový scraping používán v souladu s pravidly GDPR, přičemž firmy musí prokázat „oprávněný zájem“ na zpracování osobních údajů i v případech, kdy jsou informace volně dostupné online.

Nizozemský úřad také reagoval na tzv. „široce rozšířené nedorozumění“, že scraping je povolen jednoduše proto, že informace jsou veřejně dostupné na webu. Metodika potvrzuje, že i když jsou osobní údaje veřejně dostupné, neznamená to automaticky, že jejich další zpracování, ať už manuální nebo automatizované (pomocí data scrapingu), povoleno. Například pokud někdo zveřejní na sociálních médiích, že vyhrál v loterii nebo prodělal operaci, neznamená to, že tato data může kdokoliv využít pro libovolný účel.

Data scraping pod drobnohledem

Komentovaná metodika nizozemského úřadu nepřináší žádný přelomový výklad GDPR ani dalších pravidel pro ochranu dat a soukromí. Jednoznačně však formuluje povinnosti aplikovat základní principy GDPR i při automatizovaném sběru veřejně dostupných údajů. Jako taková představuje významný krok směrem k důslednější regulaci data scrapingu. 

Metodika a zaměření dozorových úřadů na tyto postupy mohou mít dalekosáhlé důsledky pro organizace, které se spoléhají na sběr a analýzu dat z veřejně dostupných online zdrojů. Společnosti by proto měly přezkoumat své praktiky a zajistit, že jsou v souladu s GDPR, aby se vyhnuly možným právním problémům a sankcím.

Článek byl uveden také na gdpr.cz

Chcete získat dárek k narozeninám?