Systém sledování kliknutí myší Meta AI může porušovat GDPR. Evropané o tom neví a nemůžou se bránit

Meta od dubna 2026 nahrává pohyby myši a stisky kláves svých amerických zaměstnanců. Zachycuje přitom i komunikaci Evropanů.

Zdroj fotografie: Pexels

Agentura Reuters 21. dubna 2026 odhalila interní program s názvem Model Capability Initiative. Na pracovních počítačích zaměstnanců v USA zaznamenává kliknutí, pohyby kurzoru, stisky kláves, navigaci v aplikacích a občas pořizuje snímky obrazovky, a to ve více než dvou stovkách aplikací a webů. Cílem není kontrola výkonu ani bezpečnostní audit. Meta Platforms z těchto dat trénuje autonomní AI agenty, kteří mají převzít běžné kancelářské úkoly. Problém začíná ve chvíli, kdy americký zaměstnanec otevře e-mail nebo chat od kolegy v Dublinu, Varšavě nebo Praze. Obsah té komunikace se stává součástí tréninkového datasetu a evropský odesílatel o tom prakticky neví.

Co přesně MCI sbírá a proč to není běžný monitoring

Firemní monitoring zaměstnanců není v Evropě nic nového. Microsoft provozuje auditní logy v Purview, Google zaznamenává administrátorské události ve Workspace. Obojí slouží k vyšetřování incidentů, správě přístupů a dodržování předpisů. Kdo co změnil, z jaké IP adresy a v jaké roli. Žádná z těchto firem veřejně nedeklaruje, že z každodenního klikání zaměstnanců staví tréninkový korpus pro umělou inteligenci.

MCI je jiná kategorie. Nejde o logování událostí pro bezpečnost, ale o zachycení celého pracovního workflow, tedy jak člověk naviguje menu, kam kliká, co píše a co má na obrazovce. Reuters v květnu 2026 doplnila, že zaměstnanci si stěžovali na technické dopady: systém v některých případech během několika dnů vyčerpal celý měsíční datový limit domácího internetu. To ukazuje, že nešlo o papírový experiment, ale o masivní, reálně běžící sběr.

Kde začíná problém pro Evropu

Meta v interním FAQ podle Reuters přiznala, že pokud neamerický člověk pošle e-mail nebo zprávu americkému kolegovi s aktivním MCI, „ta aktivita bude zachycena“. Firma tvrdí, že neamerické zaměstnance informovala o tom, že nástroj na počítačích amerických kolegů běží. Jenže obecná notifikace nestačí.

Evropan z takového upozornění nezjistí, která konkrétní zpráva byla zachycena, v jakém rozsahu, do jaké databáze se dostala a jak ji může dohledat. A právě tady narážíme na několik klíčových principů GDPR:

• Transparentnost a informační povinnost (čl. 14): Data nejsou získávána přímo od dotčené osoby, ale zachycena na pozadí. Správce musí aktivně informovat o účelu, rozsahu a příjemcích.
• Účelové omezení: Pracovní e-mail byl odeslán za účelem komunikace, ne jako palivo pro trénink AI. Sekundární využití vyžaduje buď slučitelnost s původním účelem, nebo nový právní základ.
• Právo na přístup a výmaz (čl. 15, 17): Meta v FAQ uvedla, že data budou „oddělena“ od identifikačních údajů, a proto je nepůjde dohledat ani smazat pro konkrétní osoby.

Poslední bod je zásadní. Meta Platforms používá vlastní termín „dissociated“, který nemá v GDPR oporu. Podle Evropského sboru pro ochranu osobních údajů jsou pseudonymizovaná data stále osobními údaji. A i samotný proces anonymizace je zpracováním, které musí mít právní základ. Firemní nálepka „dissociated“ neznamená, že data přestala být osobní v právním smyslu.

Časová osa: od spuštění po ústupky

Události se odvíjely rychle:

• 21. dubna 2026: Reuters odhaluje interní memo o spuštění MCI na pracovních počítačích amerických zaměstnanců.
• 29. května 2026: Reuters rozšiřuje příběh o evropský rozměr, tedy zachycení komunikace neamerických kolegů, kontakt Mety s irským úřadem DPC, stížnosti zaměstnanců na datovou náročnost i soukromí.
• 2. června 2026: Meta po interním odporu zavádí možnost pozastavit sběr až na 30 minut a požádat o výjimku. Reuters ale popisuje tyto ústupky ve vztahu k americkým zaměstnancům, ne k Evropanům zachyceným nepřímo.

Meta irskému regulátorovi sdělila, že evropská zaměstnanecká data ani obsah obrazovek nespadají do „primárního účelu“ nástroje. Pro GDPR je ale podstatné, že ke zpracování fakticky dochází, bez ohledu na to, zda je primární, nebo vedlejší.

Co hrozí Metě a co mohou Evropané udělat

Irský Data Protection Commission už s Metou v oblasti AI trénování komunikoval dříve; v květnu 2025 řešil trénování Meta AI na datech evropských uživatelů. Regulační kontinuita existuje. A sankční rámec je tvrdý: GDPR umožňuje pokuty až 20 milionů eur nebo 4 % celosvětového ročního obratu. Jako precedent poslouží pokuta 32 milionů eur, kterou francouzský úřad CNIL uložil Amazon France Logistique za excesivní monitoring zaměstnanců a nedostatečnou transparentnost.

Evropan, jehož komunikace mohla být zachycena (typicky zaměstnanec, externista, dodavatel nebo partner v kontaktu s americkým kolegou z Mety), může podat žádost o přístup k datům přímo Metě, žádat výmaz nebo omezení zpracování a v případě nevyhovění se obrátit na dozorový úřad. V Česku je to ÚOOÚ, přeshraničně irský DPC. Meta sice může namítat, že v „oddělených“ datech konkrétní osobu neidentifikuje. Tím ale spor nekončí, přesouvá se k otázce, zda je takové nastavení vůbec slučitelné s GDPR.

Nejde o sledování, ale o přeměnu práce na tréninkový materiál

Jádro problému není v tom, že firma monitoruje zaměstnance — to dělají tisíce firem v mezích zákona. Jádro je v tom, že Meta Platforms mění pracovní komunikaci a každodenní workflow na surovinu pro autonomní AI, přičemž dotčení lidé mimo USA nemají reálnou kontrolu nad tím, co bylo zachyceno, kam to putuje a jak se toho zbavit. Zaměstnanci Mety to podle Reuters čtou jednoznačně: trénují si vlastní náhrady. Evropané, jejichž zprávy se do datasetu dostaly bokem, o tom zatím většinou nevědí vůbec.