Aplikacje na urządzenia inteligentne

Grupa Robocza ds. Ochrony Osób Fizycznych w Zakresie Przetwarzania Danych Osobowych (w skrócie: Grupa Robocza Art. 29) w opinii 02/2013 w sprawie aplikacji na urządzenia inteligentne wskazała, że aplikacje mogą służyć różnym celom, a szczególnie są związane z komunikacją, przeglądaniem internetu, z rozrywką, usługami społecznościowymi, bankowymi czy lokalizacyjnymi.

Analizując problematykę związaną z powyższymi aplikacjami, Grupa Robocza Art. 29 określiła ramy prawne mające zastosowanie do przetwarzania danych osobowych w zakresie dystrybucji i wykorzystywania aplikacji do urządzeń inteligentnych. Duży nacisk został położony na zagrożenia wynikające z przetwarzania danych osobowych użytkowników, którzy korzystają z aplikacji.

Jak wspomniano we wcześniejszej części tekstu, urządzenia inteligentne typu smartfon czy tablet przechowują i generują wiele rodzajów danych, z czego część z nich to dane osobowe (należy mieć na uwadze, że zgodnie z motywem 24 dyrektywy 2002/58/WE o prywatności i łączności elektronicznej wyposażenie terminali użytkowników sieci łączności elektronicznej oraz informacje przechowywane na tych urządzeniach stanowią część prywatnej sfery użytkowników podlegającej ochronie na mocy Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności).

Dane będą traktowane jako dane osobowe, jeśli odnoszą się do osoby fizycznej, która jest bezpośrednio lub pośrednio możliwa do zidentyfikowania przez administratora danych lub osobę trzecią. Co więcej, mogą one być powiązane z właścicielem urządzenia lub jakąkolwiek inną osobą.

Przykładami takich danych są: lokalizacja, kontakty, niepowtarzalne kody identyfikacyjne wyrobu i klienta, dane karty kredytowej i płatności, wiadomości e-mail czy fotografie i filmy.

Jak zauważa Grupa Robocza Art. 29 w opinii, głównym czynnikiem ryzyka związanym z ochroną danych dla użytkowników jest brak przejrzystości i świadomości rodzajów przetwarzania, jakich może dokonywać aplikacja, w połączeniu z brakiem świadomej zgody użytkowników końcowych wyrażonej przed rozpoczęciem przetwarzania danych.

Omawiając problematykę aplikacji na urządzenia inteligentne nie należy zapominać o tym, że słabe środki bezpieczeństwa i tendencja do maksymalizacji danych, a także elastyczność celów, w jakich gromadzi się dane osobowe, jeszcze bardziej przyczyniają się do występowania czynników ryzyka.

Główne czynniki ryzyka związane z ochroną danych wg Grupy Roboczej Art. 29:

1. brak przejrzystości - wiele aplikacji nie posiada polityki prywatności lub nie informuje swoich ewentualnych użytkowników w zrozumiały sposób o rodzaju danych osobowych, jakie dana aplikacja może przetwarzać, ani o celu tego przetwarzania;
2. brak świadomej zgody osoby zainteresowanej;
3. słabe środki bezpieczeństwa - mogą prowadzić do bezprawnego przetwarzania (także wrażliwych) danych osobowych, jak choćby w przypadku, gdy podmiot opracowujący aplikacje doświadcza przypadku naruszenia danych osobowych lub jeżeli z samej aplikacji następuje wyciek danych;
4. nieprzestrzeganie zasady ograniczenia celu - która wymaga, aby dane osobowe były gromadzone i przetwarzane wyłącznie w określonych i zgodnych z prawem celach.

Ochrona prawna użytkowników

Aplikacje na urządzenia inteligentne pociągają za sobą przetwarzanie danych osobowych osób fizycznych, w związku z tym odpowiednie ramy prawne wyznaczają tutaj przepisy dyrektywy 95/46/WE w sprawie ochrony danych oraz dyrektywa o prywatności i łączności elektronicznej 2002/58/WE, w wersji zmienionej przez 2009/136/WE i tak np. artykuł 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej stanowi, że przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym abonenta lub użytkownika jest dozwolone wyłącznie pod warunkiem że dany abonent lub użytkownik wyraził zgodę zgodnie z dyrektywą 95/46/WE po otrzymaniu jasnych i wyczerpujących informacji, między innymi o celach przetwarzania.

Jak zauważa Grupa Robocza Art. 29 w opinii, w celu określenia prawa właściwego, kluczowe jest określenie administratora lub administratorów danych w odniesieniu do przetwarzania dokonywanego za pomocą aplikacji, zaś elementem decydującym o zastosowaniu przepisów UE o ochronie danych jest miejsce prowadzenia działalności gospodarczej przez administratora danych (chociaż nie jest to jedynym kryterium).

W efekcie, jeśli dany podmiot zostanie uznany za administratora danych, to taka strona jest odpowiedzialna, samodzielnie lub wspólnie z innymi podmiotami, za zapewnienie zgodności ze wszystkimi wymaganiami przedstawionymi w dyrektywie o ochronie danych.

Kto jest administratorem danych

W procesie przetwarzania danych osobowych użytkowników korzystających z aplikacji na urządzenia inteligentne można wyróżnić kilka stron, które będą miały różne zobowiązania w zakresie ochrony danych osobowych, w tym także wynikające z roli administratora danych.

Podmioty opracowujące aplikacje - tworzą aplikacje lub udostępniają je użytkownikom, np. opracowują lub tworzą oprogramowanie, które będzie funkcjonowało na smartfonach, i w ten sposób decydują o zakresie, w jakim dana aplikacja będzie uzyskiwała dostęp do różnych kategorii danych osobowych na urządzeniu oraz przetwarzała te dane. W zakresie, w jakim podmiot opracowujący aplikacje określa cele i sposoby przetwarzania danych osobowych na urządzeniach inteligentnych, jest on administratorem danych jak określono w art. 2 dyrektywy o ochronie danych. Grupa Robocza Art. 29 zwraca uwagę na to, że odpowiedzialność podmiotu opracowującego aplikacje będzie znacząco ograniczona, jeżeli np. żadne dane osobowe nie będą przetwarzane lub udostępniane na zewnątrz urządzenia.

Producenci systemów operacyjnych i urządzeń – pełnią funkcję administratorów danych w odniesieniu do wszelkich danych osobowych przetwarzanych do ich własnych celów, ale także danych generowanych przez użytkownika, danych generowanych automatycznie przez urządzenie czy też danych osobowych przetwarzanych przez producenta systemu operacyjnego lub urządzenia wynikających z instalacji lub korzystania z aplikacji. Oznacza to, że na producentach systemów operacyjnych i urządzeń oraz sklepach z aplikacjami ciąży istotna odpowiedzialność za zapewnienie zabezpieczeń w celu ochrony danych osobowych i prywatności użytkowników aplikacji.

Sklepy z aplikacjami – często zdarzają się sytuacja, gdy sklep z aplikacjami np. przetwarza aplikacje pobrane przez użytkownika, zapisuje dane logowania czy historię wcześniej zakupionych aplikacji – w takich wypadkach sklepy muszą być również administratorem przetwarzanych w tym celu danych osobowych.

Osoby trzecie – osoby trzecie przetwarzające dane osobowe do swoich własnych celów, działają jak administratorzy i w związku z tym muszą przestrzegać wszystkich mających zastosowanie przepisów dyrektywy o ochronie danych – w tej grupie można wyróżnić np. dostawców usług analitycznych i dostawców usług łączności.

W opinii w sprawie aplikacji na urządzenia inteligentne położono nacisk na to, że zgodnie z art. 17 dyrektywy w sprawie ochronie danych administratorzy (i przetwarzający) muszą podjąć konieczne środki organizacyjne i techniczne, aby zapewnić ochronę przetwarzanych danych osobowych - w efekcie takie środki muszą podjąć wszystkie wspomniane powyżej podmioty.