Konec lanskega leta je regulator iz ZDA, Federal Trade Commission (FTC), katerega naloga je zaščita potrošnikov pred zavajajočimi in nepoštenimi poslovnimi praksami ponudnikov storitev, objavil analizo, v kateri na podlagi podrobne raziskave ugotavlja, da Facebook ne deluje v skladu z zakonodajo in da je s spremembami nastavitev leta 2009 nepošteno zavajal svoje uporabnike glede nadzora, ki ga imajo nad lastnimi podatki. Seznam obljub, ki jih je Facebook dal svojim uporabnikom, pa se jih ni držal, je dolg.

Uporabnikom, ki so v svojih nastavitvah označili, naj lista njihovih prijateljev ne bo vidna vsem, je Facebook brez obvestila ali njihovega dovoljenja nastavitev spremenil tako, da je lista postala javna. Tako je zlorabil zaupanje tistih, ki so verjeli, da lahko obdržijo podatke o svojih prijateljstvih zase, če to želijo, kar je Facebook zatrjeval v nastavitvah zasebnosti. Kar naenkrat in brez opozorila je bilo vsem, ki radi malo pobrskajo po facebooku (pa takih niti najmanj ne primanjkuje!), razkrito, s kom nekdo prijateljuje - z vodstvenim zaposlenim iz konkurenčnega podjetja, z ženino prijateljico itd.

FTC tudi opozarja na pomanjkljiv izbris podatkov, ki jih uporabnik ne želi več na svojem profilu. Ko je uporabnik izbrisal fotografijo ali video iz svojega profila, je upravičeno pričakoval, da ta ne bo več dostopen na spletu. Nasprotno, kdor si je shranil URL-naslov fotografije in ga vpisal v naslovno vrstico, je enostavno prišel do "izbrisanega" materiala. Zaradi vseh navedenih zavajanj in napak, predvsem pa zato, ker Facebook pred spremembami, ki jih je uvajal, in pred širjenjem dostopa do podatkov uporabnika o tem ni obvestil in pridobil njegove privolitve, je FTC zaključila, da gre pri ravnanju omrežja tudi za kršitev načel "varnega pristana" (ta daje zagotovilo evropskim uporabnikom, da organizacija iz ZDA, ki ji zaupajo svoje podatke, s podatki ravna na zadovoljivo visoki ravni, podobni evropskim pravilom).

A namesto da bi FTC zaradi navedenih ugotovitev izrekla sankcije, je s Facebookom sklenila dogovor, po katerem bo moral ta svoje uporabnike veliko jasneje in bolj pošteno obveščati o tem, s kom delijo svoje podatke pri določenih nastavitvah, poleg tega pa brez vnaprejšnje privolitve uporabnika ne bo smel dopustiti dostopa do podatkov tretjim. Dogovor vsebuje ukrepe, s katerimi bo Facebook pokazal, kako bo spoštoval zaveze v prihodnosti; na primer tako, da bo naslednjih dvajset let moral na dve leti dopustiti zunanjo revizijo svojega delovanja glede varovanja zasebnosti uporabnikov. Vzpostaviti bo moral notranji program za varstvo zasebnosti, ki naj bi bil varovalka pred napakami in zlorabami pri novih produktih in storitvah. Če bo kršil dogovor, ga za vsako kršitev čakajo denarne kazni.

Prvi evropski celostni pregled delovanja Facebooka

Le kak mesec za ameriškimi kolegi je prvi celovit pregled delovanja velikana z 800 milijoni aktivnih uporabnikov po vsem svetu opravil tudi eden od evropskih nacionalnih nadzornih organov za varstvo osebnih podatkov, irski informacijski pooblaščenec. Njegovo inšpekcijo na Facebooku je spodbudila tudi gora prijav, ki jih je, ker je Facebook (sicer zaradi davčnih ugodnosti) ustanovil podružnico na Irskem in je kot tak zavezan irskim zakonom, prejel od avstrijskih študentov iz iniciative Europe v. Facebook. Pobudnik akcije, Max Schrems, je v delovanju Facebooka odkril številne kršitve evropske zakonodaje s področja varstva osebnih podatkov in se pritožil irskemu pooblaščencu.

Pritožbe podobno kot v ZDA letijo na Facebookove prakse pomanjkljivega obveščanja uporabnikov o tem, kaj se bo dogajalo z njihovimi podatki in kdo jih bo lahko videl (v šali je bilo že večkrat rečeno, da je izjava o zasebnosti daljša od ameriške ustave, predvsem pa veliko bolj nepregledna), ter uporabo podatkov brez privolitve uporabnika.

Tudi med drugimi evropskimi nadzornimi organi je počasi, a vztrajno naraščalo nezadovoljstvo nad tem, kako Facebook obdeluje osebne podatke in se izogiba obveznostim, ki jih po evropskem pravu ima. Vrh je bil bržkone dosežen, ko je Facebook predstavil svojo novo storitev, pri kateri je kar avtomatično označil osebo na fotografiji, brez njene privolitve.

Kako je to storil? Baza fotografij, ki so jih uporabniki facebooka objavili, je praktično nepredstavljive velikosti. Od uporabnikov, ki so označili, kdo so ljudje na fotografijah, se je sistem naučil avtomatične prepoznave obrazov. Torej, jaz naložim novo fotografijo, facebook jo primerja s svojo bazo obrazov, in če obraz prepozna, mi ponudi ime. Fotografiram naključnega mimoidočega na ulici in ga identificiram na facebooku. Krasno? Predvsem ima taka prepoznava obrazov daljnosežne posledice in je z vidika zasebnosti popolnoma nesprejemljiva, če seveda uporabnik ne poda posebne privolitve, da si lahko facebook njegov obraz shrani za namen biometrične primerjave in identifikacije. Šele po pritisku nadzornih organov je Facebook uvedbo prepoznave obraza brez vnaprejšnje privolitve označil za - napako.

Zadnja večja kritika je prišla s strani nemških nadzornih organov, in sicer glede gumba I like oziroma "všečkanja", ki se je razširilo po spletnih straneh. Ne glede na to, ali sem uporabnik facebooka ali ne, ali sem prijavljena ali ne, facebook ve, kdo sem (ker mi je že dodelil identifikacijsko številko oziroma me prepozna po mojem IP-naslovu), in mi sledi po tistih straneh, na katerih je gumb "všeč mi je", tudi če nisem kliknila na gumb. Ker se ti podatki zbirajo brez kakšnegakoli obvestila uporabnika, kaj šele njegove privolitve, je nemški nadzorni organ celo zagrozil nemškim spletnim stranem, ki uporabljajo gumb, z globami in jih pozval, da gumb prenehajo uporabljati, saj nezakonito posredujejo Facebooku podatke o uporabnikih interneta.

Na te in še mnoge druge pritožbe se je odzval irski pooblaščenec, ki je v začetku tega leta izdal poročilo o svoji inšpekciji na Facebooku, v katerem ugotavlja, da Facebook na praktično vseh zgoraj navedenih področjih ne sledi najbolj natančno evropski zakonodaji. Kljub temu se je irski pooblaščenec odločil za best practice approach in v prvi fazi definiral področja, kjer mora Facebook implementirati drugačne, boljše rešitve. Sem sodijo bolj jasna obvestila, lažje dostopne informacije o tem, kako se obdelujejo podatki, natančna pojasnila, kateri podatki se uporabljajo za oglaševanje, dejanski izbris podatkov iz vseh baz, sledenje uporabnikom preko gumba "všeč mi je" ni dovoljeno oziroma bo moral Facebook podatke izbrisati, strogo upoštevanje zahteve po predhodni privolitvi v obdelavo osebnih podatkov, omejitev dostopa aplikacij do podatkov uporabnika. Facebook bo moral v roku posredovati uporabnikom vse podatke, ki jih o njih hrani.

Pogajalska moč Facebooka in regulatorjev

Irski pooblaščenec je vsekakor odgovoril na mnoga vprašanja o doslej precej misterioznem notranjem delovanju Facebooka. Na nekaterih področjih je inšpekcija pokazala, da so skrbi za zdaj odveč (Facebook ne ustvarja profilov neuporabnikov), na drugih velike pomanjkljivosti, ki jih bo moral Facebook odpraviti do junija letos, ko ga čaka drugi krog inšpekcije, kjer bodo lahko izrečene globe zaradi kršitve irske, torej evropske zakonodaje.

In kje je smo v tej zgodbi mi? Informacijski pooblaščenec vsak teden prejme najmanj pet prošenj za pomoč, posredovanje, nasvet, mnenje ali prijavo v zvezi s facebookom. Manjše število bi jih lahko uvrstili med take, ki se tičejo Facebooka samega in njegovega bolj ali manj zakonitega delovanja. Največ pa jih zadeva različne oblike zlorab podatkov na facebooku, kot so objava fotografij brez dovoljenja, objava zasebnih podatkov, vdori v profil, prevzemanje identitete drugega in ustvarjanje lažnih profilov, žalitve in nadlegovanje preko socialnih omrežij, uporaba že objavljenih podatkov v sodnih in disciplinskih postopkih. Torej težave, za katere smo odgovorni uporabniki sami in način, na katerega omrežje uporabljamo, in ne Facebook, ki ponuja zgolj orodje.

Čeprav Facebook pri svojem delovanju ni več tako brez meja in je pod vse večjim nadzorom regulatorjev, ki bodo njegove prakse, upajmo, še izboljšali, je glavni nauk še vedno ta, da nas pred lastno lahkomiselnostjo in neumnostjo ne more varovati noben regulator. Na vsakem od nas je odločitev, kaj bomo objavili, s kom se bomo spoprijateljili, kako javno bomo vodili svoje življenje online. Ko pride do zlorabe, je običajno prepozno, elektronske sledi je težko odstraniti in profil na spletu ostane.

Informacijski pooblaščenec najpogosteje v takih situacijah sploh ne more posredovati, saj ne gre za kršitev varstva osebnih podatkov, ki bi bili del zbirke (kot so npr. zdravstvene kartoteke in podobno). Pravne poti pri zlorabah zaupanja in nadlegovanju prek spleta so tako najpogosteje vezane na uveljavljanje pravic v civilnih ali kazenskih postopkih, kar pa je večinoma neučinkovito. Najstniku, ki hoče le to, da ga sošolci prenehajo zbadati in žaliti na svojih profilih na facebooku, in to hitro, te pravne poti, ki lahko trajajo mesece, žal ne pomagajo dovolj. Zato je ključnega pomena preventiva, izobraževanje mladih pa tudi njihovih staršev. Družbena omrežja na spletu so enaka tistim na tleh, torej naj veljajo ista pravila obnašanja, odgovornosti in previdnosti.