Aplikacje mobilne a prawo

www.sxc.hu

Grupa Robocza Art. 29 ds. Ochrony Danych opublikowała datowaną na 27 lutego 2013 r. opinię 2/2013 w sprawie aplikacji mobilnych.

Powinna to być obszerna, interesująca lektura dla twórców aplikacji, producentów urządzeń oraz OS a także sklepów z aplikacjami.

Przypomnijmy, że Grupa Robocza Art. 29 ds. Ochrony Danych to niezależny podmiot o charakterze doradczym, powołany na mocy art. 29 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.

W skład tego podmiotu wchodzą Generalni Inspektorzy Ochrony Danych Osobowych z poszczególnych państw członkowskich UE.

Czy opinie GR mają moc powszechnie obowiązujących przepisów prawa – nie mają. Są to wytyczne, rekomendacje z którymi jednak – jak pokazuje praktyka – warto się do nich stosować.

Sam dokument jest obszerny (36 stron) i zawiera – jak na organ opiniodawczy – dosyć szczegółowe i konkretne wytyczne.

Interesujące są zidentyfikowane przez GR kluczowe zagrożenia dot. korzystania z aplikacji mobilnych:

- brak przejrzystości. Twórcy aplikacji są ograniczeni przez cechy udostępnione przez producentów systemów operacyjnych oraz sklepy z aplikacjami, jeśli chodzi o zapewnienie pełnej informacji w odpowiednim czasie użytkownikowi końcowemu.

Jednakże nie wszyscy twórcy aplikacji korzystają z tych cech, a wiele aplikacji nie ma polityki prywatności lub nie informuje potencjalnych użytkowników w wyraźny sposób odnośnie rodzajów danych osobowych, które aplikacja może przetwarzać oraz celów przetwarzania. Brak przejrzystości nie ogranicza się jedynie do bezpłatnych aplikacji, lub tych pisanych przez niedoświadczonych twórców. Zgodnie z ostatnimi badaniami jedynie 61,3% ze 150 najważniejszych aplikacji posiada politykę prywatności.

- brak przejrzystości jest ściśle powiązany z brakiem dobrowolnej i świadomej zgody. Gdy tylko aplikacja zostaje pobrana, zgoda jest często zredukowana do okienek wskazujących, że użytkownik końcowy zgadza się na warunki umowy, nawet bez zaoferowania opcji „nie, dziękuję”. Zgodnie ze studiami GSMA z września 2011 r., 92% użytkowników aplikacji chce mieć możliwość bardziej stopniowego wyboru.

- słabe środki bezpieczeństwa mogą prowadzić do nieuprawnionego przetwarzania (wrażliwych) danych osobowych, np. jeśli twórca aplikacji staje się ofiarą naruszenia ochrony danych lub jeśli z samych aplikacji wyciekają dane osobowe.

- lekceważenie (przypadkowe lub intencjonalne) zasady ograniczenia celu, która wymaga, aby dane były zbierane oraz przetwarzane jedynie dla określonych oraz legalnych celów.

Dane osobowe zbierane przez aplikacje mogą być szeroko dystrybuowane do dużej liczby stron trzecich dla niezdefiniowanych lub elastycznych celów, takich jak „badania rynkowe”.

To samo alarmujące lekceważenie jest okazywane zasadzie minimalizacji ilości przetwarzanych  danych. Ostatnie badanie pokazało, że wiele aplikacji wyraźnie gromadzi dane ze smartphone’ów bez żadnego znaczącego związku z widoczną funkcjonalnością aplikacji.

Przydatne mogą również same przykłady przywołane w tekście opinii, np.:

Aplikacje, które wymagają dostępu do geolokalizacji muszą wykorzystać usługi lokalizacji OS. Kiedy aplikacja używa geolokalizacji, OS może zbierać dane osobowe, aby zapewnić informację geolokalizacyjną aplikacji oraz może rozważyć użycie tych danych do poprawienia własnej usługi lokalizacji. Dla tego ostatniego celu OS jest administratorem danych.

Grupa Robocza wylistowała także (z podziałem na funkcje) obowiązki / bullet pointy o których powinni pamiętać twórcy aplikacji, producenci, sklepy z aplikacjami.

Twórcy aplikacji muszą
- być świadomi i przestrzegać swoich zobowiązań jako administratorzy danych, gdy przetwarzają dane od lub na temat użytkowników;

- być świadomi i przestrzegać swoich zobowiązań jako administratorzy danych, gdy zwierają umowy z przetwarzającymi dane, np. gdy powierzają gromadzenie i przetwarzanie danych osobowych twórcom, programistom i na przykład dostawców usług przechowywania w chmurze;

- prosić o zgodę zanim aplikacja rozpocznie wyszukiwanie lub umieszczanie informacji na urządzeniu, np. przed instalacją aplikacji. Zgoda musi być wyrażona dobrowolnie, być konkretna i świadoma;

- prosić o stopniową zgodę dla każdego rodzaju danych, do których aplikacja będzie miała dostęp; co najmniej dla kategorii Lokalizacja, Kontakty, Unikalny identyfikator urządzenia, Tożsamość osoby, której dane dotyczą, Tożsamość telefonu, Dane dotyczące karty kredytowej i płatności, Telefonia i SMS, Historia wyszukiwania, Email, Dane pozwalające na uwierzytelnienie w portalach społecznościowych oraz Dane biometryczne;

- być świadomi faktu, że zgoda nie uprawnia do nadmiernego lub nieproporcjonalnego przetwarzania danych;

- zapewnić dobrze określone i zrozumiałe cele przetwarzania danych przed instalacją aplikacji oraz nie mogą zmieniać tych celów bez ponownej zgody; zapewnić szczegółowe informacje na temat tego, czy dane będą wykorzystywanie do celów strony trzeciej, takich jak reklama czy cele analityczne;

-zapewnić użytkownikom możliwość odwołania zgody oraz odinstalowania aplikacji oraz usunąć dane, gdy to właściwe;

- przestrzegać zasady minimalizacji zakresu danych i zbierać jedynie te dane, które są absolutnie niezbędne do realizacji wymaganej funkcjonalności;

- podjąć niezbędne środki techniczne i organizacyjne w celu zapewnienia ochrony danych osobowych, które przetwarzają, na wszystkich etapach projektowania i wdrażania aplikacji (ochrona prywatności w fazie projektowania, tzw. privacy by design);

- zapewnić pojedynczy punkt kontaktowy dla użytkowników aplikacji;

- zapewnić odczytywalną, zrozumiałą i łatwo dostępna politykę prywatności, która informuje użytkowników co najmniej na temat tego:

- kim są (tożsamość i dane kontaktowe),

- jakie konkretne kategorie danych osobowych aplikacja chce zbierać i przetwarzać,

- dlaczego przetwarzanie danych jest konieczne (do jakich celów),

- czy dane będą ujawniane stronom trzecim (nie tylko ogólny, ale szczegółowy opis tego, komu dane będą udostępnione),

- jakie prawa posiadają użytkownicy, jeżeli chodzi o wycofanie zgody oraz usunięcie danych;

- umożliwić użytkownikom aplikacje realizację ich praw dostępu do danych, ich poprawienia, usunięcia, oraz ich prawa do wyrażenia sprzeciwu wobec przetwarzania danych oraz poinformować ich o istnieniu takich mechanizmów;

- określić racjonalny okres przechowywania danych zebranych przy pomocy aplikacji oraz określić wcześniej okres nieaktywności, po którym konto będzie traktowane jako wygasłe;

- w odniesieniu do aplikacji skierowanych do dzieci: zwracać uwagę na limit wiekowy dla dzieci i niepełnoletnich przewidziany w ustawodawstwie krajowym, wybrać najbardziej rygorystyczne podejście do przetwarzania danych przy pełnym uwzględnieniu zasad minimalizacji zakresu danych oraz ograniczenia celu, powstrzymać się od przetwarzania danych dzieci do celów reklamy behawioralnej, czy to bezpośrednio czy pośrednio, oraz powstrzymać się od gromadzenia od dzieci danych na temat ich rodziny i/lub przyjaciół.
Grupa Robocza zaleca, aby twórcy aplikacji

- przeanalizowali właściwe wytyczne dotyczące określonych zagrożeń bezpieczeństwa i środków;

- proaktywnie informowali użytkowników o naruszeniach ochrony danych osobowych zgodnie z wymogami dyrektywy o prywatności i łączności elektronicznej;

- informowali użytkowników o swoich rozważaniach dotyczących proporcjonalności dla rodzajów danych, które są zbierane lub do których jest umożliwiany dostęp na urządzeniu, o okresach przechowywania danych oraz stosowanych środkach bezpieczeństwa;

- opracowali narzędzia umożliwiające użytkownikom dostosowanie okresów przechowywania ich danych osobowych w oparciu o ich konkretne preferencje i kontekst, zamiast oferować wcześniej określone warunki przechowywania;

- zawarli informacje w swojej polityce prywatności przeznaczonej dla użytkowników europejskich;

- opracowali i wdrożyli proste, ale bezpieczne narzędzia dostępu online dla użytkowników, bez zbierania dodatkowych nadmiernych danych osobowych;

- wraz z producentami OS i urządzeń oraz sklepami z aplikacjami wykorzystywać ich kreatywny talent do opracowywania innowacyjnych rozwiązań w celu odpowiedniego informowania użytkowników w urządzeniach mobilnych, na przykład za pomocą systemu warstwowego powiadamiania połączonego ze znaczącymi ikonami.

Sklepy z aplikacjami muszą
- być świadome i przestrzegać swoich zobowiązań jako administratorzy danych, gdy przetwarzają dane od lub na temat użytkowników;

- egzekwować obowiązek informacyjny twórcy aplikacji, w tym rodzaje danych, do których aplikacja może mieć dostęp i dla jakich celów, oraz czy następuje wymiana danych ze stronami trzecimi;

- zwracać szczególną uwagę na aplikacje skierowane do dzieci w celu ochrony przed nielegalnym przetwarzaniem ich danych oraz w szczególności wdrożyć obowiązek przedstawienia istotnych informacji w prosty sposób, w języku dostosowanym do wieku użytkownika;

- zapewnić szczegółowe informacje na temat operacji sprawdzenia dostarczenia aplikacji do sklepu, których rzeczywiście dokonują, w tym tych mających na celu oszacowanie kwestii ochrony danych i prywatności.

Grupa Robocza zaleca, aby sklepy z aplikacjami
- we współpracy z producentem OS, rozwinęły narzędzia kontroli dla użytkowników, takie jak symbole przedstawiające dostęp do danych w urządzeniu mobilnym lub przez nie generowanych;

-poddawały wszystkie aplikacji mechanizmom reputacji publicznej;

- wdrożyły zdalny mechanizm odinstalowania przyjazny dla ochrony prywatności;

- zapewniły użytkownikom możliwości zgłaszania problemów dotyczących ochrony prywatności i/lub bezpieczeństwa;

- współpracowały z twórcami aplikacji w celu proaktywnego informowania użytkowników o naruszenia ochrony danych osobowych;

- ostrzegały i informowały twórców aplikacji o specyficznych cechach prawa europejskiego przed wprowadzeniem aplikacji na rynek europejski, na przykład informowały o wymogu zgody oraz w przypadku przekazywania danych osobowych krajów spoza UE.

Producenci OS oraz urządzeń muszą
- aktualizować swoje API, zasady przechowywania i interfejsy użytkownika, aby zapewnić użytkownikom wystarczające środki do kontroli realizacji zgodnej z prawem zgody na przetwarzanie danych przez aplikacje;

- wdrożyć mechanizmy uzyskiwania zgody w ich systemach operacyjnych (OS) przy pierwszym wprowadzeniu aplikacji lub gdy aplikacja pierwszy raz próbuje uzyskać dostęp do kategorii danych mających istotny wpływ na ochronę prywatności;

- zastosować zasady ochrony prywatności w fazie projektowania (privacy by design), aby zapobiec potajemnemu monitorowaniu użytkownika;

-zapewnić bezpieczeństwo przetwarzania;

- zapewnić (ustawienia domyślne), że wcześniej zainstalowane aplikacje będą zgodne z europejskim prawem w zakresie ochrony danych;

- oferować stopniowy dostęp do danych, czujników i usług, w celu zapewnienia, że twórca aplikacji będzie mógł mieć dostęp tylko do tych danych, które są niezbędne dla jego aplikacji;

-zapewnić przyjazne dla użytkownika i skuteczne środki pozwalające uniknąć bycia śledzonym przez reklamodawców i inne strony trzecie. Ustawienia domyślne muszą umożliwiać unikanie śledzenia;

- zapewnić dostępność odpowiednich mechanizmów do informowania i edukowania użytkownika końcowego na temat tego, co aplikacje mogą robić i do jakich danych mogą mieć dostęp;

- zapewnić, że każdorazowy dostęp do kategorii danych jest odzwierciedlony w informacji dla użytkownika przed instalacją aplikacji: przedstawione kategorie muszą być jasne i zrozumiałe;

- wdrożyć bezpieczne środowisko, wraz z narzędziami zapobiegającymi rozprzestrzenianiu się szkodliwych aplikacji i pozwalającymi na łatwe zainstalowanie/odinstalowanie każdej funkcjonalności.

Grupa Robocza zaleca, aby producenci OS i urządzeń
- zapewnili użytkownikom możliwość odinstalowania aplikacji oraz dali znać (np. poprzez API) twórcy aplikacji, aby umożliwić usunięcie określonych danych użytkownika;

- systematycznie oferowali i usprawniali regularne aktualizacji bezpieczeństwa;

- zapewnili metody i funkcje pozwalające na dostęp do danych osobowych , w tym cechy mające na celu wdrożenie próśb o stopniową zgodę;

- aktywnie pomagali w rozwijaniu i usprawnianiu ikon informujących użytkowników o różnym wykorzystaniu danych przez aplikacje;

- tworzyli jasne ścieżki audytu urządzeń, tak aby użytkownicy końcowi mogli wyraźnie zobaczyć, jakie aplikacje mają/miały dostęp do danych na ich urządzeniach oraz poznać wielkości ruchu wychodzącego dla danej aplikacji, w odniesieniu do ruchu zainicjowanego przez użytkownika.

Strony trzecie muszą
- być świadome i przestrzegać swoich zobowiązań jako administratorzy danych, gdy przetwarzają dane na temat użytkowników;

- przestrzegać wymogu zgody określonego w artykule 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej, gdy odczytują lub zapisują dane na urządzeniach mobilnych, we współpracy z twórcami aplikacji i/lub sklepami z aplikacjami, które koniecznie zapewniają użytkownikowi informacje na temat celów przetwarzania danych;

- nie mogą pominąć żadnego mechanizmu służącego unikaniu śledzenia, co obecnie często ma miejsce w przypadku mechanizmów „Do Not Track” zastosowanych w przeglądarkach;

- dostawcy usług komunikacyjnych, gdy wprowadzają markowe urządzenia, muszą zapewnić ważną zgodę użytkowników dla wcześniej zainstalowanych aplikacji oraz podjąć się właściwych zobowiązań w sytuacji, gdy przyczyniają się do określenia konkretnych cech urządzenia oraz OS, np. gdy ograniczają dostęp użytkownika do określonych parametrów konfiguracji lub filtrują stałe udostępnienia (funkcjonalne lub związane z bezpieczeństwem) zapewniane przez producentów urządzenia lub OS;

- podmioty reklamujące muszą w szczególności unikać dostarczania reklam wykraczających poza kontekst aplikacji. Przykładem może być dostarczanie reklam poprzez modyfikację ustawień przeglądarki lub umieszczanie ikon na pulpicie urządzenia mobilnego. Muszą powstrzymać się od używania unikalnego urządzenia lub identyfikatorów abonenta do celu śledzenia;

-powstrzymać się od przetwarzania danych dzieci do celów reklamy behawioralnej, czy to pośrednio czy bezpośrednio. Stosować odpowiednie środki bezpieczeństwa. Obejmuje to bezpieczne przekazywanie i szyfrowane przechowywanie unikalnego urządzenia i identyfikatorów użytkownika aplikacji oraz innych danych osobowych.

Mało?

Interesujący jest także fragment odnoszący się do warunków zgody udzielanej przez użytkownika.

Zgodnie z opinią GR:

W kontekście inteligentnych urządzeń „dobrowolna” oznacza, że użytkownik musi mieć wybór, czy akceptuje czy odrzuca przetwarzanie swoich danych osobowych. Z tego względu, jeśli aplikacja potrzebuje przetwarzać dane osobowe, użytkownik musi mieć swobodę w wyrażeniu zgody lub odmowy. Użytkownik nie powinien być stawiany w sytuacji, w której na ekranie wyświetla się jedynie opcja „tak, zgadzam się” w celu ukończenia instalacji. Opcja „anulowania” lub inna wstrzymująca instalację musi być dostępna.

„Świadoma” oznacza, że osoba, której dane dotyczą musi mieć wystarczające informacje do swojej dyspozycji w celu podjęcia odpowiedniej decyzji. W celu uniknięcia jakiejkolwiek dwuznaczności, taka informacja musi być udzielona przed przetwarzaniem jakikolwiek danych. Obejmuje to przetwarzanie danych, które może mieć miejsce podczas instalacji np. dla celów debugowania lub śledzenia.

„Konkretna” oznacza, że wyrażenie woli musi odnosić się do przetwarzania konkretnych danych lub ograniczonej kategorii danych. Właśnie z tego powodu proste kliknięcie przycisku instaluj nie może być uznane za ważną zgodę na przetwarzanie danych osobowych, ponieważ zgoda nie może być sformułowaną generalnie autoryzacją. W niektórych przypadkach użytkownicy mogą wyrazić stopniową zgodę, gdy zgoda jest wymagana dla każdego rodzaju danych, do którego aplikacja chce uzyskać dostęp.34 Takie podejście pozwala osiągnąć dwa istotne wymogi prawne, pierwszy odpowiedniego poinformowania użytkownika o ważnych elementach usługi oraz drugi poproszenia o zgodę na każdy z nich. Alternatywne podejście twórców aplikacji proszących swoich użytkowników o zaakceptowanie długiego zestawu warunków oraz/i polityki prywatności nie konstytuuje konkretnej zgody.

Konkretność odnosi się także do praktyki śledzenia zachowania użytkowników przez reklamodawców oraz inne strony trzecie. Ustawienia domyślne zapewnione przez OS oraz aplikacje muszą być takie, aby unikać jakiegokolwiek śledzenia, tak aby pozwolić użytkownikom wyrazić konkretną zgodę na ten typ przetwarzania danych. Te ustawienia domyślne nie mogą być obchodzone przez strony trzecie, tak jak to obecnie często ma miejsce w przypadku mechanizmu „nie śledź” wdrożonego w wyszukiwarkach.

Całość opinii dostępna poniżej:

Opinia 2 2013 w Sprawie Aplikacji Mobilnych Tlumaczenie Nieoficjalne by Michał Kluska

Autor: Michał Kluska, aplikant adwokacki w Kancelarii Olesiński & Wspólnicy, biuro we Wrocławiu


Tagi: , , , , , , , ,

Możliwość komentowania jest wyłączona.