Je MAC adresa osobní údaj?

1. Pokud vás zajímá právo a technologie může vás zaujmout třeba případ Max Schrems vs Facebook, vedoucí ke zrušení certifikace Safe Harbor, která byla do té doby uznávaným právním nástrojem zajišťující legální přenos osobních údajů z Evropy do USA (a vůbec, Facebook poslední dobou dostává od Evropy na prdel solidně, bude to ještě zajimavý). Nebo Google vs Španělsko, který nám dal výsledné Right to be Forgotten, a Googlu celé nové oddělení právníků, co se od té doby musí zabývat statisícema žádostí o odstranění linku. 

2. Mimochodem, aby vám Google schválil žádost o odstranění linku, který vede k fotce vašeho konečníku ve kterém je zastrčená pastelka, budete muset prokázat, že vám veřejná distribuce takového snímku způsobuje újmu, ta informace není aktuální (pastelku ste si z prdele už vyndali) a zároveň na tu fotku nelze aplikovat tzv. "veřejný zájem".  Tedy že z té fotky společnost jednoznačně jako celek neprofituje. Takže například kdyby ten konečník nepatřil vám, ale sousedovic nezletilci, a ta pastelka nebyla pastelka, ale váš penis, je důvodné se domnívat, že Google tu žádost zamítne, protože bude tvrdit, že veřejnost má právo o vás vědět, že ste nebezpečný pedofil. Just sayin...

3. Mě osobně zajímá právní regulace sběru a vyhodnocování informací o pohybu lidí po komerčních prostorech. Podívejte se třeba na Nomi vs FTC a Bluetrace vs Holandsko. Jednoduše: máte mobilní telefon. Občas chodíte ven. A ten mobil máte s sebou. Dete do kina, které je umístěno v obchodním středisku. Po kině, mírně zklamaní z blbého filmu zajdete na palačinku, pak zabrouzdáte do knihkupectví a těsně před odchodem z nákupního centra si koupíte boty. Pokud ste s sebou měli telefon a nechali ho komunikovat s internety, je možné, že váš pohyb po Obludáriu byl monitorován.

4. Jak a proč? Jak: přístroj sbírající okolo procházející MAC adresy (MAC - media access code - zjednodušeně: specifický kód, pomocí kterého se identifikuje přístroj komunikující v rámci určité sítě.) ji zachytí a udržuje s ní kontakt a může sledovat vaší pozici, jak ste kde dlouho, a kam dete pak. Proč? Protože pro obchodníky je zajímavé vědět, že lidi co dou z Vánočního Kameňáku zamíří pak do McDonalda, a ti co zhlídli Revenanta to běží odborně rozebrat nad tapiokovým bubble tea, a ti co se nechali nabudit atmosférou snímku Creed si půjdou koupit boxerské rukavice, ale polovina z nich si předtím ještě dojde koupit proteinový prášek a druhá polovina knihu "boxování za dva semestry". V kině nakonec dostanete k lístkům na filmy lidové zábavy kupón do Mekáče, k depresivní inťoušárně pro kavárnu pozvánku na veganský čaj, a k akčnímu béčku odkaz na místní prodejnu sportovního nářadí. Profit.

5. Než se začnete bouřit a hlásat něco o velkém bratrovi, je dobré se zamyslet nad tím, jestli z pouhé MAC adresy je nebo není možné (nebo ne bez velmi specifických podmínek) zjistit identitu osoby, které přesně patří. A právě tím se dostáváme k tomu, jestli to je nebo není osobní údaj. Většina zákonů ve světě totiž definuje osobní údaj jako jakoukoliv informaci, pomocí které se dá (přímo či nepřímo) identifikovat konkrétní živá osoba. 

6. Takže - může vás MAC adresa prozradit? V několika současných rozhodnutí příslušných orgánů se uvádí že MAC adresa je "unikátní kód pevně spojený s unikátním přístrojem", a za osobní údaj se považuje. Ale je to tak jednoznačné? Vzhledem k tomu, že MAC adresa se dá měnit (byť ve většině případů zřejmě jen spoofovat, nikoliv skutečně změnit), může jí sdílet vícero přístrojů, Apple jí rozdává tzv. na "random" (údajně na popud Edwarda Snowdena, že jinak NSA bude sledovat všechny všude), může se u jednoho a toho samého přístroje měnit i v závislosti na komponentech, které se použíjí, a hlavně vzhledem k tomu, že bez znalosti mnoha dalších údajů je téměř nemožné se k té konkrétní osobě a její identitě dostat?

7. Existují stanoviska, kde se tvrdí, že ano. A že firmy co MAC adresu využívají mají zařídit, aby k tomu lidé dávali souhlas. Ale jak takového běžného uživatele chcete informovat o tom: (i) co je MAC adresa (ii) jak poznat prostor, kde se MAC adresa sleduje (iii) co mu hrozí? Má Obludárium dát ke vchodu cedulku "vaše wifi aktivita je monitorována" a odkaz na obchodní podmínky které si nikdo ale před vstupem do obchoďáku nepřečte? Má výrobce do telefonu instalovat funkci, která bude po uživateli chtít před prvním použitím odkliknout, že chápe co je MAC adresa,  že ji někdo někde může sbírat a že můžete telefon nebo wifi vypnout pokud se vám to nelíbí? A je MAC skutečně osobní údaj? Pojďme si zjednodušeně provést test, kterým se určuje zda nějaký informační element je, není, nebo může být osobní údaj. Musíte si vyhodnotit 2 hlediska: A) unikátnost a B) identifikační potenciál (IDP). 

U + IDP = VLN

8. Unikátnost: na stupnici od 0 do 10 přiřadíte hodnotu. Pokud je informační element naprosto neunikátní (označení "člověk", ) dáte mu 0, a otisku prsku, který je unikátní pro každou jednotlivou osobu dáte 10.

9. IDP: přiřaďte písmeno podle toho, jak jednoduché či složité je z informačního elementu  něcí identitu dovodit nebo s ní spojit. Tedy například vaše jméno vás identifikuje hned. U telefonního čísla, které ke svému jménu uvádíte veřejně na netu, to také bude hračka. I u čísla, které vám dal zaměstnavatel a je v adresáři všech ostatních zaměstnanců je relativně jednoduché zjistit, komu patří. A tak dále.

10. A když si tyhle dvě hodnoty určíte, vyjde vám, jestli je datový element dostatečně unikátní a zároveň má dostatečně realistický IDP a pouze pokud ano, bude to osobní údaj.  Tedy než vám v příštím článku sdělím, jak hodnotí MAC adresu a její využití specializovaní právníci, zeptám se vás: jaké písmeno a číslo byste MAC adrese svého přístroje určili vy, a proč? A pokud se domníváte že MAC adresa je osobní údaj, chcete být informováni o každém případu, kdy ji někdo komerčně využívá? (Pro jasnost: 10 znamená že údaj je zcela unikátní a J že údaj je velmi jednoduše přiřaditelný ke konkrétní osobě). Kde je podle vás MAC adresa? 8J, 4C, 9B, něco jiného, šach mat?