Opinia 2/2013 w sprawie aplikacji mobilnych

Opinia 2/2013 w sprawie aplikacji mobilnych

Grupa Robocza Artykułu 29 ds. Ochrony Danych
00461/13/PL
WP 202
Opinia 2/2013 w sprawie aplikacji mobilnych
Przyjęta w dniu 27 lutego 2013 r.
Niniejsza Grupa Robocza została powołana na mocy artykułu 29 Dyrektywy 95/46/WE. Jest to niezależny europejski organ doradczy w
sprawach ochrony danych i prywatności. Jego zadania opisane zostały w artykule 30 Dyrektywy 95/46/WE i artykule 15 Dyrektywy
2002/58/WE.
Obsługę Sekretariatu zapewnia Dyrekcja C (Prawa Podstawowe i Obywatelstwo Unii Europejskiej) Dyrekcji Generalnej
ds. Sprawiedliwości Komisji Europejskiej, B-1049 Bruksela, Belgia, Biuro nr MO-59 02/013.
Strona internetowa: http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm
Streszczenie
Istnieją setki tysięcy różnych dostępnych aplikacji, pochodzących z wielu sklepów
z aplikacjami na każdy typ inteligentnego urządzenia. Każdego dnia do sklepów z aplikacjami
jest dodawane ponad 1600 aplikacji. Statystyczny użytkownik smartphone’a pobiera 37
aplikacji. Aplikacje mogą być oferowane użytkownikowi końcowemu za niewielką lub żadną
opłatą oraz mieć jedynie kilku lub wiele milionów użytkowników.
Aplikacje są w stanie zbierać wielkie ilości danych z urządzenia (np.: dane przechowywane
na urządzeniu przez użytkownika, a także dane z innych czujników, włączając lokalizację)
oraz przetwarzać je w celu zapewnienia nowych oraz innowacyjnych usług użytkownikowi
końcowemu. Jednakże dane z tych samych źródeł mogą być dalej przetwarzane, zwykle po to,
aby zapewnić dochody w sposób nieznany lub niepożądany przez użytkownika końcowego.
Twórcy aplikacji nieświadomi wymogów ochrony danych mogą tworzyć znaczne ryzyko dla
życia prywatnego oraz reputacji użytkowników inteligentnych urządzeń. Kluczowe
zagrożenia dla użytkownika końcowego odnośnie ochrony danych osobowych stanowi
połączenie braku przejrzystości oraz świadomości odnośnie rodzajów przetwarzania, które
aplikacja może podejmować, połączone z brakiem wyraźnej zgody użytkowników, zanim
przetwarzanie będzie miało miejsce. Słabe środki bezpieczeństwa, widoczny trend w kierunku
pobierania maksymalnej ilości danych oraz elastyczności celów, dla których dane są dalej
przetwarzane także przyczyniają się do powstawania ryzyka dla ochrony prywatności w
środowisku aplikacji.
Wysoki poziom ryzyka dla ochrony danych wywodzi się także ze stopnia fragmentaryzacji
uczestników rynku aplikacji. Obejmują oni: twórców aplikacji, właścicieli aplikacji, sklepy
z aplikacjami, systemy operacyjne oraz producentów urządzeń (producentów systemów
operacyjnych [OS] oraz urządzeń), oraz inne strony trzecie, które mogą być zaangażowane w
zbieranie oraz przetwarzanie danych osobowych pochodzących z inteligentnych urządzeń,
takie jak dostarczyciele aplikacji typu analytics oraz dostarczyciele reklam. Większość
konkluzji oraz zaleceń niniejszej opinii skierowana jest do twórców aplikacji (ponieważ mają
oni największą kontrolę nad dokładnym sposobem, w jaki przetwarzanie jest podejmowane
a informacje prezentowane w aplikacji), jednakże często w celu osiągnięcia najwyższego
standardu ochrony danych osobowych oraz ochrony prywatności muszą oni współpracować
z innymi stronami tworzącymi ekosystem aplikacji. Jest to szczególnie istotne w odniesieniu
do bezpieczeństwa, gdzie łańcuch wielu podmiotów jest tak silny, jak jego najsłabsze ogniwo.
Wiele rodzajów danych dostępnych na inteligentnych urządzeniach przenośnych to dane
osobowe. Odpowiednimi ramami prawnymi stosowanymi do aplikacji mobilnych jest
dyrektywa o ochronie danych, w połączeniu z ochroną urządzeń mobilnych jako częścią sfery
prywatnej użytkowników, określonej w dyrektywie o prywatności i łączności elektronicznej.
Zasady te mają zastosowanie do wszystkich aplikacji skierowanych do użytkowników na
terenie Unii Europejskiej, bez względu na lokalizację twórcy aplikacji czy sklepu
z aplikacjami.
W niniejszej opinii Grupa Robocza wyjaśnia podstawy prawne, które mają zastosowanie do
przetwarzania danych w rozwoju, dystrybucji oraz używaniu aplikacji na inteligentnych
urządzeniach, skupiając się na wymogach zgody, zasadach ograniczenia celu oraz
minimalizacji przesyłanych danych, potrzebie odpowiednich środków ochronnych,
obowiązku prawidłowego poinformowania użytkowników końcowych, ich prawach,
2
rozsądnych okresach przechowywania danych, a w szczególności uczciwego przetwarzania
danych uzyskiwanych od dzieci i na temat dzieci.
3
Spis treści
1. Wstęp...................................................................................................................................... 5
2. Zagrożenia dla ochrony danych ............................................................................................. 6
3. Zasady ochrony danych .......................................................................................................... 8
3.1. Prawo właściwe ................................................................................................................... 8
3.2. Dane osobowe przetwarzane przez aplikacje ...................................................................... 9
3.3 Podmioty zaangażowane w przetwarzanie danych ............................................................ 10
3.3.1 Twórcy aplikacji .............................................................................................................. 11
3.3.2 Producenci urządzeń oraz OS ......................................................................................... 12
3.3.3. Sklepy z aplikacjami ...................................................................................................... 13
3.3.4. Podmioty trzecie ............................................................................................................. 14
3.4. Podstawy prawne............................................................................................................... 15
3.4.1. Zgoda uprzednia względem instalacji oraz przetwarzania danych osobowych ............. 16
3.2.4. Podstawy prawne dla przetwarzania danych podczas wykorzystywania aplikacji ........ 18
3.5 Ograniczenie celu oraz minimalizacja zakresu danych ...................................................... 19
3.6. Bezpieczeństwo ................................................................................................................. 20
3.7 Informacja .......................................................................................................................... 25
3.7.1. Obowiązek poinformowania oraz wymagana treść ....................................................... 25
3.7.2. Forma informacji ............................................................................................................ 26
3.8. Prawa osób, których dane dotyczą .................................................................................... 28
3.9 Okresy przechowywania .................................................................................................... 29
3.10. Dzieci .............................................................................................................................. 29
4 Wnioski i zalecenia ............................................................................................................... 30
4
1. Wstęp
Aplikacje są programami komputerowymi często projektowanymi do konkretnych zadań oraz
skierowanymi na wybrany typ inteligentnych urządzeń takich jak smartphone’y, tablety oraz
telewizje internetowe. Organizują one informacje w sposób odpowiedni dla konkretnej
charakterystyki urządzenia i często ściśle współdziałają ze sprzętem oraz systemem
operacyjnym obecnym na urządzeniu.
Istnieją setki tysięcy różnych dostępnych aplikacji, pochodzących z wielu sklepów
z aplikacjami na każdy typ inteligentnego urządzenia. Aplikacje służą wielu celom, włączając
w to wyszukiwanie w Internecie, komunikację (e-mail, telefonia oraz przesyłanie informacji
przez Internet), rozrywkę (gry, filmy oraz muzyka), portale społecznościowe, usługi bankowe
oraz usługi oparte na lokalizacji. Każdego dnia ponad 1600 aplikacji jest dodawanych do
sklepów z aplikacjami.1 Statystyczny użytkownik smartphone’a pobiera 37 aplikacji.2
Aplikacje mogą być oferowane użytkownikowi końcowemu za niewielką lub żadną opłatą
oraz mieć jedynie kilku lub wiele milionów użytkowników.
Stanowiący podstawę system operacyjny będzie również zawierał oprogramowanie lub
struktury danych, które są istotne dla kluczowych usług „urządzenia mobilnego”, np. książka
adresowa smartphone’a. System operacyjny jest zaprojektowany w ten sposób, aby
udostępnić te komponenty aplikacjom poprzez ich interfejsy programowania aplikacji (API).
API oferują dostęp do wielu czujników, które mogą być dostępne na urządzeniu. Czujniki te
obejmują: żyroskop, kompas cyfrowy oraz miernik przyspieszenia zapewniający informacje
o szybkości oraz kierunku ruchu, przednią oraz tylną kamerę nagrywające obraz oraz zdjęcia;
a także mikrofon nagrywający dźwięk. Inteligentne urządzenia mogą zawierać także czujnik
bliskości.3 Inteligentne urządzenia mogą także łączyć się przez wiele interfejsów sieciowych,
obejmujących Wi-Fi, Bluetooth, NFC czy Ethernet. Wreszcie, dokładna lokalizacja może być
określona przez usługi geolokalizacyjne (jak opisano to w opinii Grupy Roboczej Artykułu 29
13/2011 w sprawie usług geolokalizacyjnych w inteligentnych urządzeniach przenośnych4).
Rodzaj, dokładność oraz częstotliwość tych czujników danych różni się w zależności od
urządzenia oraz systemu operacyjnego.
Poprzez API, twórcy aplikacji są w stanie zbierać takie dane w sposób ciągły, uzyskiwać
dostęp oraz zapisywać dane kontaktowe, wysyłać emaile, SMSy lub informacje w portalach
społecznościowych, odczytywać/modyfikować/kasować zawartość kart SD, nagrywać
dźwięk, wykorzystywać kamerę oraz uzyskiwać dostęp do zdjęć, odczytywać informacje na
temat stanu oraz tożsamości telefonu, zmieniać ogólne ustawienia systemu oraz zapobiegać
przejściu telefonu w stan uśpienia. API może również dostarczać informacji dotyczących
1
Raport Conceivably Tech z dnia 19 sierpnia 2012 r., dostępny na stronie www.conceivablytech
com/10283/business/apple-app-store-to-reach-1mapps-this-year-sort-of. Zacytowany przez Kamala D. Harris,
Prokuratora generalnego Departamentu Sprawiedliwości Kalifornii, Prywatność w ciągłej aktywności,
Rekomendacje
dla
komórkowego
ekosystemu,
styczeń
2013,
http://oag.ca.gov/sites/all/files/pdfs/privacy/privacy_on_the_go.pdf
2
Światowe
oszacowanie
z
2012
r.
przygotowane
przez
ABI
Research,
http://www.abiresearch.com/press/smartphone-users-worldwide-will-download-37-apps-o
3
Czujnik,
który wykrywa obecność
przedmiotów bez
fizycznego
kontaktu.
Patrz:
http://www.w3.org/TR/2012/WD-proximity-20121206/
4
Patrz: Opinia Grupy Roboczej 13/2011 w sprawie usług geolokacyjnych w inteligentnych urządzeniach
przenośnych (maj 2011), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2011/wp185_en.pdf
5
samego urządzenia poprzez jeden lub więcej unikalnych identyfikatorów oraz informacji na
temat innych zainstalowanych aplikacji. Dane z tych źródeł mogą być dalej przetwarzane,
zwykle po to, aby zapewnić dochody w sposób nieznany lub niepożądany przez użytkownika
końcowego.
Celem niniejszej opinii jest wyjaśnienie ram prawnych mających zastosowanie do
przetwarzania danych osobowych w dystrybucji oraz wykorzystaniu aplikacji na
inteligentnych urządzeniach oraz rozważenie dalszego przetwarzania, które może mieć
miejsce poza aplikacją, takie jak wykorzystywanie zbieranych danych do tworzenia profili
oraz wybierania użytkowników docelowych. Opinia analizuje kluczowe ryzyka dla ochrony
danych osobowych, zapewnia opis różnych zaangażowanych stron oraz podkreśla różne
obowiązki prawne. Obejmuje to: twórców aplikacji, sklepy z aplikacjami, producentów
urządzeń oraz Systemów Operacyjnych (producenci urządzeń oraz OS), a także inne strony
trzecie, które mogą być zaangażowane w zbieranie oraz przetwarzanie danych osobowych,
pochodzących z inteligentnych urządzeń, takich jak dostarczyciele programów typu analitycs
oraz dostawcy reklam.
Opinia skupia się na wymogach zgody, zasadach ograniczenia celu oraz minimalizacji ilości
przesyłanych danych, potrzebie odpowiednich środków ochronnych, obowiązku
prawidłowego poinformowania użytkowników końcowych, ich prawach, rozsądnych
okresach przechowywania oraz, w szczególności na uczciwym przetwarzaniu danych od i na
temat dzieci.
Zakres obejmuje wiele różnych typów inteligentnych urządzeń, lecz w szczególności skupia
się na aplikacjach dostępnych na inteligentne urządzenia mobilne.
2. Zagrożenia dla ochrony danych
Bliska interakcja z systemami operacyjnymi pozwala aplikacjom uzyskiwać dostęp do
znacząco większej ilości danych niż tradycyjne wyszukiwarki internetowe. 5 Aplikacje są
zdolne zbierać duże ilości danych z urządzenia (dane o lokalizacji, dane przechowywane na
urządzeniu przez użytkownika oraz dane z innych czujników) oraz przetwarzać te dane w celu
zapewnienia nowych oraz innowacyjnych usług użytkownikowi końcowemu.
Wysoki poziom ryzyka dla ochrony danych wywodzi się także ze stopnia fragmentaryzacji
uczestników krajobrazu rozwoju aplikacji. Pojedyncza dana może, w czasie rzeczywistym,
być przekazana z urządzenia w celu jej przetwarzania na cały świat lub być przekopiowana
przez łańcuch stron trzecich. Niektóre z najbardziej znanych aplikacji są przetwarzane przez
główne przedsiębiorstwa jednak wiele innych jest tworzone przez małe przedsiębiorstwa.
Pojedynczy programista z pomysłem oraz niewielkimi lub zgoła żadnymi zdolnościami
w zakresie programowania może dotrzeć do światowej publiczności w krótkim okresie.
Twórcy aplikacji nieświadomi wymogów ochrony danych mogą tworzyć znaczące ryzyko dla
życia prywatnego oraz reputacji użytkowników inteligentnych urządzeń. Równocześnie,
usługi stron trzecich, takie jak reklamy, rozwijają się w gwałtownym tempie, i jeśli są
połączone w odpowiednim sposób z twórcami aplikacji, mogą ujawniać znaczącą ilość
danych osobowych.
5
Wyszukiwarki internetowe mają także szerszy dostęp do danych wrażliwych użytkowników końcowych
urządzeń, napędzane przez twórcom internetowych gier.
6
Kluczowe zagrożenia dla użytkownika końcowego odnośnie ochrony danych stanowi
połączenie braku przejrzystości oraz świadomości odnośnie rodzajów przetwarzania, które
aplikacja może podejmować, połączone z brakiem wyraźnej zgody użytkowników, zanim
przetwarzanie będzie miało miejsce. Słabe środki bezpieczeństwa, widoczny trend w kierunku
maksymalizacji zakresu danych oraz elastyczności celów, dla których dane są dalej
przetwarzane także przyczynia się do powstawania ryzyk dla ochrony prywatności w
środowisku aplikacji. Wiele z tych ryzyk zostało już zbadanych przez Federalną Komisję
Handlu USA, Kanadyjski Urząd Komisarza ds. Prywatności oraz Prokuratora Generalnego
Departamentu Sprawiedliwości Stanu Kalifornia, które także odniosły się do tych kwestii. 6




Kluczowym ryzykiem z punktu widzenia ochrony danych jest brak przejrzystości.
Twórcy aplikacji są ograniczeni przez cechy udostępnione przez producentów
systemów operacyjnych oraz sklepy z aplikacjami, jeśli chodzi o zapewnienie pełnej
informacji w odpowiednim czasie użytkownikowi końcowemu. Jednakże nie wszyscy
twórcy aplikacji korzystają z tych cech, a wiele aplikacji nie ma polityki prywatności
lub nie informuje potencjalnych użytkowników w wyraźny sposób odnośnie rodzajów
danych osobowych, które aplikacja może przetwarzać oraz celów przetwarzania. Brak
przejrzystości nie ogranicza się jedynie do bezpłatnych aplikacji, lub tych pisanych
przez niedoświadczonych twórców. Zgodnie z ostatnimi badaniami jedynie 61,3% ze
150 najważniejszych aplikacji posiada politykę prywatności.7
Brak przejrzystości jest ściśle powiązany z brakiem dobrowolnej i świadomej zgody.
Gdy tylko aplikacja zostaje pobrana, zgoda jest często zredukowana do okienek
wskazujących, że użytkownik końcowy zgadza się na warunki umowy, nawet bez
zaoferowania opcji „nie, dziękuję”. Zgodnie ze studiami GSMA z września 2011 r.,
92% użytkowników aplikacji chce mieć możliwość bardziej stopniowego wyboru. 8
Słabe środki bezpieczeństwa mogą prowadzić do nieuprawnionego przetwarzania
(wrażliwych) danych osobowych, np. jeśli twórca aplikacji staje się ofiarą naruszenia
ochrony danych lub jeśli z samych aplikacji wyciekają dane osobowe.
Kolejnym zagrożeniem dla prywatności jest lekceważenie (przypadkowe lub
intencjonalne) zasady ograniczenia celu, która wymaga, aby dane były zbierane oraz
przetwarzane jedynie dla określonych oraz legalnych celów. Dane osobowe zbierane
przez aplikacje mogą być szeroko dystrybuowane do dużej liczby stron trzecich dla
niezdefiniowanych lub elastycznych celów, takich jak „badania rynkowe”. To samo
alarmujące lekceważenie jest okazywane zasadzie minimalizacji ilości przetwarzanych
6
Zob. między innymi: raport FTC Naruszenia prywatności w urządzeniach mobilnych, budowanie zaufania
poprzez przejrzystość, luty 2013, http://www.ftc.gov/os/2013/02/130201mobileprivacyreport.pff, raport FTC
Aplikacje mobilne dla dzieci: aktualne naruszenia prywatności są rozczarowujące, luty 2012
http://www.ftc.gov/os/2012/02/120216 mobile_apps_kids.pdf i jego kontynuacja w raporcie: Aplikacje mobilne
dla
dzieci:
Naruszenia
ciągle
nie
podlegają
ocenie,
grudzień
2012,
http://www.ftc.gov/os/2012/12/121210mobilekidsappreport.pdf, Kanadyjskie biuro komisarza ds. prywatności,
Możliwość zajęcia: Dobre praktyki ochrony prywatności dla tworzenia aplikacji mobilnych, październik 2012,
http://www.priv.gc.ca/information/pub/gd_app_201210_e.pdf, Kamala D. Harris, Prokurator Generalny
Departamentu Sprawiedliwości Kalifornii, Prywatność w ciągłej aktywności, Rekomendacje dla komórkowego
ekosystemu, styczeń 2013, http://oag.ca.gov/sites/all/files/pdfs/privacy/privacy_on_the_go.pdf
7
FPF, czerwiec 2012, Studium o aplikacjach mobilnych, http://www.futureofprivacy.org/wpcontent/uploads/Mobile-Apps-Study-June-2012.pdf
8
„ 89% (uzytkowników) uważa za istotne, aby wiedzieć kiedy ich dane osobowe są udostępnianie przez aplikacje
oraz aby mieć możliwość wyłączenia lub włączenia tej funkcji.” Żródło: Perspektywa użytkownika dot.
prywatności
mobilnej
http://www.gsma.com/publicpolicy/wpcontent/uploads/2012/03/futuresightuserperspectivesonuserprivacy.pdf
7
danych. Ostatnie badanie pokazało, że wiele aplikacji wyraźnie gromadzi dane ze
smartphone’ów bez żadnego znaczącego związku z widoczną funkcjonalnością
aplikacji.9
3. Zasady ochrony danych
3.1. Prawo właściwe
Odpowiednie ramy prawne EU tworzy dyrektywa o ochronie danych (95/46/WE). Ma ona
zastosowanie do każdego przypadku, gdzie wykorzystanie aplikacji na inteligentnych
urządzeniach obejmuje przetwarzanie danych osobowych osób fizycznych. W celu
identyfikacji prawa właściwego kluczowa jest w pierwszej kolejności identyfikacja roli
różnych zainteresowanych stron: identyfikacja administratora(-rów) przetwarzania
przeprowadzanego przez aplikacje mobilne jest szczególnie istotna w odniesieniu do prawa
właściwego. Siedziba administratora jest decydującym elementem powodującym stosowanie
prawa ochrony danych, chociaż nie jest jedynym kryterium. Zgodnie z art. 1.1.a) dyrektywy
o ochronie danych, prawo krajowe państwa członkowskiego jest właściwe odnośnie
wszystkich operacji przetwarzania „w kontekście prowadzenia przez administratora danych
działalności” gospodarczej na terytorium państwa członkowskiego. Zgodnie z art. 4.1. c)
dyrektywy o ochronie danych, prawo krajowe państwa członkowskiego znajduje również
zastosowanie, jeśli administrator nie prowadzi działalności gospodarczej na terytorium
Wspólnoty, a do celów przetwarzania danych osobowych wykorzystuje środki znajdujące się
na terytorium wymienionego państwa członkowskiego. Jako że urządzenie jest instrumentem
w przetwarzaniu danych osobowych od i na temat użytkownika, kryterium to jest zwykle
spełnione.10 Jednakże ma to zastosowanie jedynie wtedy, jeśli administrator nie ma siedziby
na terytorium UE.
W rezultacie, kiedykolwiek strona zaangażowana w rozwój, dystrybucję lub działanie
aplikacji jest uznana za administratora, strona taka jest odpowiedzialna, samodzielnie lub
wspólnie z innymi, za zapewnienie zgodności z wszystkimi wymogami przedstawionymi
w dyrektywie o ochronie danych. Określenie ról stron zaangażowanych w aplikacje mobilne
będzie dalej przeanalizowane poniżej w części 3.3.
Dodatkowo obok dyrektywy o ochronie danych, dyrektywa o prywatności i łączności
elektronicznej(220/58/WE, w brzmieniu nadanym jej przez dyrektywę 2002/58/WE)
ustanawia szczegółowe standardy dla wszystkich stron na świecie, które chciałyby gromadzić
oraz mieć dostęp do zgromadzonych informacji na urządzeniach użytkowników w
Europejskim Obszarze Gospodarczym (EOG).
Zgodnie z art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej „przechowywanie
informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu
końcowym abonenta lub użytkownika było dozwolone wyłącznie pod warunkiem że dany
abonent lub użytkownik wyraził zgodę zgodnie z dyrektywą 95/46/WE po otrzymaniu jasnych i
wyczerpujących informacji, między innymi o celach przetwarzania”(…).
9
Wall
Street
Journal,
Twoje
aplikacje
cię
podglądają,
http://online.wsj.com/article/SB10001424052748704694004576020083703574602.html
10
W tym celu aplikacje generują przesył danych osobowych do administratorów. To kryterium nie musi być
spełnione, jeśli dane przetwarzane są tylko lokalnie, wyłącznie na urządzeniu.
8
Podczas gdy wiele postanowień dyrektywy o prywatności i łączności elektronicznej ma
zastosowanie jedynie do dostawców publicznie dostępnych usług komunikacji elektronicznej
oraz dostawców publicznych sieci komunikacyjnych we Wspólnocie Europejskiej, art. 5(3)
znajduje zastosowanie do każdego podmiotu, który umieszcza oraz odczytuje informacje
z inteligentnych urządzeń. Znajduje on zastosowanie bez względu na formę podmiotu
(t.j. niezależnie czy jest to podmiot publiczny czy prywatny, indywidualny programista czy
wielka korporacja lub czy jest administratorem danych, przetwarzającym czy stroną trzecią).
Wymogi zgody określone w art. 5 ust. 3 znajdują zastosowanie do każdej informacji,
niezależnie od charakteru przechowywanych danych lub dostępu do nich. Zakres nie jest
ograniczony do danych osobowych, informacją może być każdy rodzaj danych
przechowywany na urządzeniu.
Wymogi zgody z art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej znajdują
zastosowanie do usług oferowanych „we Wspólnocie”, to znaczy, do wszystkich osób
fizycznych mieszkających na obszarze Europejskiego Obszaru Gospodarczego, niezależnie od
lokalizacji dostawcy usług. Dla twórców aplikacji istotne jest, aby wiedzieć, że obie
dyrektywy są prawami nakazującymi, w tym, że prawa jednostek nie podlegają przekazaniu
oraz nie można od nich odstąpić poprzez umowę. Oznacza to, że zastosowanie europejskiego
prawa prywatności nie może być wyłączone przez jednostronną deklarację lub rozwiązania
umowne.11
3.2. Dane osobowe przetwarzane przez aplikacje
Wiele rodzajów danych przechowywanych lub generowanych przez inteligentne urządzenia
są danymi osobowymi. Zgodnie z motywem 24 dyrektywy o prywatności i łączności
elektronicznej:
„Wyposażenie terminali użytkowników sieci łączności elektronicznej oraz informacje
przechowywane na tych urządzeniach stanowią część prywatnej sfery użytkowników
podlegającej ochronie na mocy Europejskiej Konwencji o Ochronie Praw Człowieka
i Podstawowych Wolności.”
Danymi osobowymi zawsze są dane, które odnoszą się do osoby fizycznej, która w sposób
bezpośredni (np. poprzez nazwisko) lub pośredni jest możliwa do zidentyfikowania przez
administratora lub stronę trzecią. Mogą odnosić się do właściciela urządzenia lub
jakiejkolwiek innej osoby, np. dane kontaktowe przyjaciół w książce adresowej.12 Dane mogą
być zbierane oraz przetwarzane na urządzeniu lub, po przekazaniu, wszędzie w
infrastrukturze twórców aplikacji lub stron trzecich, przez połączenie do zewnętrznego API,
w czasie rzeczywistym bez wiedzy użytkownika końcowego.
Przykładami takich danych osobowych, które mogą mieć znaczący wpływ na życie prywatne
użytkowników i innych jednostek są:
- lokalizacja
11
Np. oświadczenia, że tylko prawo jurysdykcji spoza EOG ma zastosowanie.
Dane mogą być (i) automatycznie generowane przez urządzenie, na podstawie cech określonych wcześniej
przez twórcę OS i/oraz urządzenia lub odpowiedniego dostawcę telefonii komórkowej (np. dane
geolokalizacyjne, ustawienia sieci, adres IP), (ii) wygenerowane przez użytkownika poprzez aplikacje (lista
kontaktów, notatki, zdjęcia); (iii) wygenerowane przez aplikacje (np. historia wyszukiwania)
12
9
- kontakty
- unikalne identyfikatory urządzenia oraz użytkownika (takie jak IMEI13, IMSI14, UDID15,
oraz numer telefonu mobilnego)
- tożsamość osoby, której dane dotyczą
- tożsamość telefonu (tj. nazwa telefonu16)
- karta kredytowa oraz dane dotyczące płatności
- logi połączeń telefonicznych, SMS-ów oraz natychmiastowych wiadomości
- historia przeglądania
- e-mail
- informacje pozwalające na uwierzytelnienie w usługach społeczności (szczególnie usługi
z cechami społecznymi)
- zdjęcia oraz filmy
- biometria (np. rozpoznawanie twarzy oraz odciski palców)
3.3 Podmioty zaangażowane w przetwarzanie danych
Wiele różnych podmiotów jest zaangażowanych w rozwój, dystrybucję oraz działanie
aplikacji i na każdym z nich ciążą inne obowiązki w zakresie ochrony danych.
Istnieją cztery główne podmioty, które mogą być wyróżnione. Są to: (i) twórcy aplikacji
(włączając właścicieli aplikacji)17, (ii) producenci urządzeń oraz systemów operacyjnych
(„producenci OS oraz urządzeń)18, (iii) sklepy z aplikacjami (dystrybutorzy aplikacji) oraz
(iv) inne strony zaangażowane w przetwarzanie danych osobowych. W niektórych
przypadkach obowiązki związane z ochroną danych są dzielone, w szczególności wtedy jeśli
te same podmioty są zaangażowane w wielu etapach, np. jeśli producenci OS kontrolują także
sklep z aplikacjami.
Jest także rola dla użytkowników końcowych, którzy muszą wziąć odpowiednią
odpowiedzialność za to, jak tworzą oraz przechowują dane osobowe na swoich urządzeniach
mobilnych. Jeśli takie przetwarzanie służy wyłącznie celom osobistym lub domowym,
dyrektywa o ochronie danych nie ma zastosowania (art. 3 ust. 2) i użytkownik jest wyłączony
od formalnych obowiązków w zakresie ochrony danych. Jednakże jeśli użytkownicy decydują
się dzielić danymi poprzez aplikacje, np. poprzez ich upublicznienia nieokreślonej liczbie
osób19 wykorzystujących aplikacje portali społecznościowych, przetwarzają informacje poza
warunkami koniecznymi dla uznania ich za przetwarzane do celów domowych.20
13
International Mobile Equipment Identity
International Mobile Subscriber Identity
15
Unique Device Identifier
16
Użytkownicy mają tendencję do nazwyania swoich telefonów prawdziwym imieniem: „iPhone Jana
Kowalskiego”
17
Grupa robocza używa wspólnej terminologii dla twórców aplikacji, ale podkreślenia wymaga, że pojęcia nie
są ograniczone do programistów czy osób odpowiadających za techniczne tworzenie aplikacji, ale obejmują
także właścicieli aplikacji czyli spółki i organizacje, które posiadają aplikacje i definiują ich cele.
18
W niektórych przypadkach, pojecie producent OS może pokrywać się z pojęciem twórca urządzenia,
a w innych przypadkach twórca urządzenia jest innym podmiotem niż dostawca OS
19
Zobacz sprawy przed Europejskim Trybunałem Sprawiedliwości, Sprawa C-101/01 Postępowanie karne
przeciwko Bodil Lindqvist, wyrok z dnia 6 listopada 2003 r. oraz Sprawa C-73/07 Tietosuojavaltuutettu
v Satakunnan Markkinapörssi Oy and Satamedia Oy, wyrok z dnia 16 grudnia 2008 r.
20
Zobacz opinię Grupy Roboczej art. 29 5/2009 o sieciach społecznościowych
on-line
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp163_en.pdf
14
10
3.3.1 Twórcy aplikacji
Twórcy aplikacji tworzą aplikacje oraz/lub udostępniają je użytkownikom końcowym.
Kategoria ta obejmuje prywatne oraz publiczne organizacje, które zlecają rozwój aplikacji
a także te przedsiębiorstwa oraz osoby fizyczne budujące oraz rozprowadzające aplikacje.
Projektowanie oraz/lub tworzenie przez powyższe podmioty oprogramowania, które będzie
działać na smartphone’ach decyduje o zakresie, w jakim aplikacje będą miały dostęp oraz
będą przetwarzały różne kategorie danych osobowych na urządzeniach oraz/lub poprzez
zdalne zasoby obliczeniowe (jednostki obliczeniowe twórców aplikacji lub stron trzecich).
W zakresie w jakim twórca aplikacji decyduje o celach i środkach przetwarzania danych
osobowych na inteligentnych urządzeniach, jest administratorem danych zgodnie z definicją
z art. 2(d) dyrektywy o ochronie danych. W tym przypadku, musi działać w zgodności
z przepisami całej dyrektywy o ochronie danych. Kluczowe przepisy są wyjaśnione
w ustępach 3.4. do 3.10. niniejszej opinii.
Nawet jeśli wyłączenie do celów domowych znajduje zastosowanie do użytkownika, twórca
aplikacji ciągle będzie odpowiedzialny jako administrator danych, jeśli przetwarza dane dla
swoich własnych celów. Powyższe ma zastosowanie np.: gdy aplikacja wymaga dostępu do
całej książki adresowej w celu dostarczenia usługi (natychmiastowe wiadomości, połączenia
telefoniczne, połączenia wideotelefoniczne).
Obowiązki twórcy aplikacji będą znacząco ograniczone, jeśli dane osobowe nie są
przetwarzane, lub/i udostępniane poza urządzenie, lub gdy twórca aplikacji przyjął
odpowiednie środki organizacyjne i techniczne w celu zapewnienia, że dane są
nieodwracalnie zanonimizowane oraz zagregowane na samym urządzeniu, uprzednio do
przekazania danych poza urządzenie.
W każdym przypadku, jeśli twórca aplikacji uzyskuje dostęp do informacji, która jest
przechowywana na urządzeniu, dyrektywa o prywatności i łączności elektronicznej ma
również zastosowanie i twórca aplikacji musi zapewnić zgodność z wymogami zgody
określonymi w art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej.
W zakresie, w jakim twórca aplikacji powierzył niektóre lub wszystkie z faktycznie
przetwarzanych danych stronie trzeciej i strona trzecia przyjęła rolę administratora danych,
twórca aplikacji musi zapewnić zgodność z wszystkimi obowiązkami odnoszącymi się do
wykorzystania danych jako przetwarzający dane. Objęłoby to również wykorzystanie
dostawców usługi przetwarzania w chmurze (np. dla zewnętrznego przechowywania
danych).21
W zakresie, w jakim twórca aplikacji pozwala na dostęp do danych użytkownika przez strony
trzecie (takie jak reklamy uzyskujące dostęp przez sieć do danych geolokalizacyjnych
urządzenia w celu dostarczenia reklamy) musi wdrożyć odpowiedni mechanizm w celu
zapewnienia zgodności z wymogami ram prawnych UE. Jeśli strona trzecia uzyskuje dostęp
do danych przechowywanych na urządzeniu, obowiązek uzyskania świadomej zgody
z art. 5(3) dyrektywy o prywatności i łączności elektronicznej ma zastosowanie. Ponadto jeśli
strona trzecia przetwarza dane osobowe dla własnych celów, może być również
współadministratorem danych razem z twórcą aplikacji i musi z tego względu zapewnić
21
Zobacz opinię Grupy roboczej 05/2012 o przetwarzaniu
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2012/wp196_en.pdf.
w
chmurze
(lipiec
2012),
11
poszanowanie zasady ograniczenia celu oraz obowiązków w zakresie zabezpieczeń22 dla tej
części przetwarzania, co do której decyduje o celach i środkach. Jako że mogą istnieć różne
rodzaje umów – zarówno biznesowych, jak i technicznych – pomiędzy twórcami aplikacji a
stronami trzecimi, odpowiednie obowiązki każdej strony muszą być określone dla
poszczególnych przypadków, mając na względzie konkretne okoliczności danego
przetwarzania.
Twórca aplikacji musi użyć bibliotek z oprogramowaniem oferującym wspólne
funkcjonalności, należących do strony trzeciej, takich jak np. biblioteka do platform gier
sieciowych. Twórca aplikacji musi zapewnić, że użytkownicy są świadomi każdej operacji
przetwarzania podejmowanej przez takie biblioteki i jeśli taka sytuacja ma miejsce, że takie
przetwarzanie danych jest zgodne z ramami prawnymi UE i gdy ma to zastosowanie,
obejmuje otrzymanie zgody od użytkownika. W tym sensie, twórcy aplikacji muszą
zapobiegać wykorzystywaniu funkcjonalności, które są ukryte przed użytkownikiem.
3.3.2 Producenci urządzeń oraz OS
Producenci urządzeń oraz OS powinni również być uważani za administratorów danych (oraz
gdy to odpowiednie za współ-administratorów) dla każdych danych osobowych, które są
przetwarzane dla ich własnych celów, takich jak płynne działanie urządzenia, bezpieczeństwo
itd. Obejmuje to dane generowane przez użytkownika (np. dane użytkownika przy rejestracji),
dane automatycznie generowane przez urządzenia (np. jeśli urządzenie posiada
funkcjonalność „phone home” dla swojego otoczenia) oraz dane osobowe przetwarzane przez
producentów urządzeń lub OS na skutek instalacji lub wykorzystania aplikacji. Tam gdzie
producenci OS urządzeń oraz OS zapewniają dodatkowe funkcjonalności, takie jak wsparcie
lub zdalną lokalizację, również powinni być administratorami danych dla danych osobowych
przetwarzanych w tym celu.
Aplikacje, które wymagają dostępu do geolokalizacji muszą wykorzystać usługi lokalizacji
OS. Kiedy aplikacja używa geolokalizacji, OS może zbierać dane osobowe, aby zapewnić
informację geolokalizacyjną aplikacji oraz może rozważyć użycie tych danych do
poprawienia własnej usługi lokalizacji. Dla tego ostatniego celu OS jest administratorem
danych.
Producenci urządzeń oraz OS są również odpowiedzialni za interfejs programowania aplikacji
(API), który pozwala na przetwarzanie danych osobowych przez aplikacje na inteligentnych
urządzeniach. Twórca aplikacji będzie w stanie uzyskać dostęp do tych cech oraz funkcji,
które producenci urządzeń oraz OS udostępnią poprzez API. Jako że producenci urządzeń
oraz OS określają środki (oraz zakres) dostępu do danych osobowych, muszą zapewnić, że
twórca aplikacji ma wystarczająco szczegółową kontrolę, tak aby dostęp był udzielany
jedynie do tych danych, które są niezbędne dla funkcjonowania aplikacji. Producenci
urządzeń oraz OS powinni także zapewnić, aby dostęp mógł być odwołany w prosty oraz
skuteczny sposób.
22
Zobacz opinię grupy 2/2010 dotyczacą reklamy behawioralnej on-line (czerwiec 2010),
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_en.pdf
oraz opinię grupy 1/2010
dotyczącą
pojęcia
„administratora”
i
„przetwarzającego”
(luty
2010),
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_en.pdf
12
Pojęcie „prywatności w fazie projektowania” jest istotną zasadą, do której pośrednio
odwołano się już w dyrektywie o ochronie danych 23 oraz która, razem z „prywatnością
domyślną” wyłania się jaśniej w dyrektywie o prywatności i łączności elektronicznej.24
Wymaga ona od producentów urządzeń lub aplikacji uwzględnienia ochrony danych od
samego początku projektu. Prywatność w fazie projektowania jest wprost wymagana dla
projektowania urządzeń telekomunikacyjnych, jak określono to w dyrektywie w sprawie
urządzeń radiowych i końcowych urządzeń telekomunikacyjnych.25 Z tego względu
producenci urządzeń oraz OS, razem ze sklepami z aplikacjami, są odpowiedzialni za
zapewnienie środków ochronnych oraz ochrony danych osobowych oraz ochrony prywatności
użytkowników aplikacji. Obejmuje to zapewnienie dostępności odpowiedniego mechanizmu
w celu poinformowania oraz wykształcenia użytkownika końcowego w zakresie tego, co
aplikacje mogą robić oraz do jakich danych mogą uzyskać dostęp, jak również zapewnienia
odpowiednich ustawień dla użytkowników aplikacji w celu zmiany parametrów
przetwarzania.26
3.3.3. Sklepy z aplikacjami
Każde z najpowszechniej używanych inteligentnych urządzeń posiada własny sklep
z aplikacjami i często ma miejsce sytuacja, że dany OS jest głęboko zintegrowany z danym
sklepem z aplikacjami. Sklepy z aplikacjami często pobierają opłaty wstępne za aplikację
i mogą także wspierać zakupy app-in, co wymaga rejestracji użytkowników i podania danych
obejmujących nazwisko, adres oraz dane finansowe. Te (bezpośrednio) możliwe do
zidentyfikowania dane mogą być połączone z danymi na temat zakupu oraz zachowaniem
związanym z wykorzystaniem aplikacji oraz z danymi odczytywanymi lub generowanymi
przez urządzenie (takimi jak unikalny identyfikator). Dla przetwarzania takich danych
osobowych sklepy z aplikacjami są prawdopodobnie administratorami danych, włączając w to
sytuacje, w których przekazują te informacje z powrotem do twórców aplikacji. Jeśli sklep
z aplikacjami przetwarza pobranie aplikacji lub historię wykorzystania aplikacji przez
użytkownika końcowego lub podobną funkcjonalność w celu przywrócenia uprzednio
pobranych aplikacji, także jest administratorem danych przetwarzanych dla tego celu.
Sklep z aplikacjami przechowuje rekordy danych potrzebnych do uwierzytelniania, jak
również historię poprzednich zakupów. Prosi także użytkownika o podanie numeru karty
kredytowej, który będzie przechowywany na koncie użytkownika. Sklep z aplikacjami jest
administratorem danych dla tych operacji.
Z drugiej strony, strony internetowe, które pozwalają na pobieranie aplikacji w celu
zainstalowania na urządzeniu bez żadnego uwierzytelnienia, mogą uznać, że nie przetwarzają
23
Zobacz motyw 46 i art. 17
Zobacz art. 14 (3)
25
Dyrektywa 1999/5/EC z dnia 9 marca 1999 w sprawie urządzeń radiowych i końcowych urządzeń
telekomunikacyjnych oraz wzajemnego uznawania ich zgodności (OJ EC L 91/10, 7.4.1999). Art. 3.3 (c)
stanowi Komisja może zdecydować, że aparatura należąca do niektórych klas sprzętu lub aparatura określonego
typu ma być tak skonstruowana, aby miała wbudowane systemy zabezpieczające w celu zapewnienia ochrony
danych osobowych i prywatności użytkownika lub subskrybenta.
26
Grupa Robocza z radością przyjmuje zalecenia FTC w tym zakresie, w raporcie Naruszenia prywatności
w urządzeniach mobilnych, do którego odniesiono się w przypisie 6, np. na stronie 15 „(…) platformy znajdują
się w unikalnej pozycji do zapewnienia ciągłego udostępniania pomiędzy aplikacjami oraz zachęca się je do
tego. Spójnie z komentarzami z warsztatów, mogłyby także rozważyć kwestię tego, czy te udostępnienia nie
mogłyby się odbywać w wielu momentach”.
24
13
żadnych danych osobowych.
Sklepy z aplikacjami mają silną pozycję, aby umożliwić twórcom aplikacji dostarczanie
odpowiednich informacji o aplikacji, włączając w to rodzaj danych, który aplikacja może
przetwarzać oraz cele dla jakich może je przetwarzać. Sklepy z aplikacjami mogą wymusić te
reguły poprzez ich politykę przyjmowania (opartą o kontrolę ex ante lub ex post). We
współpracy z producentami OS, sklepy z aplikacjami mogą rozwinąć ramy/zasady w celu
umożliwienia twórcom aplikacji dostarczenia spójnych oraz mających znaczenie informacji
(takich jak symbole reprezentujące pewne typy dostępu do określonych danych) oraz
wyświetlać je w wyraźny sposób w katalogu sklepu z aplikacjami.
3.3.4. Podmioty trzecie
Istnieje wiele różnych podmiotów trzecich zaangażowanych w przetwarzanie danych poprzez
wykorzystanie aplikacji.
Na przykład wiele darmowych aplikacji jest opłacanych przez reklamodawców, którzy mogą
być (ale nie ograniczają się do tego) reklamodawcami zajmującymi się reklamą kontekstualną
lub spersonalizowaną, umożliwioną poprzez urządzenia do śledzenia takie jak pliki Cookies
czy inne identyfikatory urządzenia. Reklama może opierać się na banerze wewnątrz aplikacji,
reklamach zewnętrznych, które są dostarczane przez zmodyfikowanie ustawień wyszukiwarki
lub umieszczenie ikon na wyświetlaczu urządzenia mobilnego lub dostarczone przez
spersonalizowaną organizację zawartości aplikacji (np. sponsorowane rezultaty
wyszukiwania).
Reklamy dla aplikacji są generalnie dostarczane przez sieci reklamowe oraz podobnych
pośredników, którzy mogą być powiązani, być tym samym podmiotem co producent OS lub
sklep z aplikacjami. Jak wskazano w opinii GR29 2/201027, reklama on-line często obejmuje
przetwarzanie danych osobowych, tak jak je zdefiniowano w art. 2 dyrektywy
o ochronie danych, zinterpretowanym przez Grupę Roboczą Art. 29.28
Innymi przykładami stron trzecich są dostawcy programów typu analytics oraz dostawcy
usług komunikacyjnych. Dostawcy programów typu analytics pozwalają twórcom aplikacji
uzyskać wgląd w informacje o wykorzystaniu, popularności oraz użyteczności aplikacji.
Dostawcy usług komunikacyjnych29 mogą także odegrać istotną rolę w określaniu ustawień
domyślnych oraz aktualizacjach zabezpieczeń wielu urządzeń oraz mogą przetwarzać dane
o wykorzystaniu aplikacji. Ich ustawienia (branding) mogą mieć konsekwencje dla
możliwych technicznych oraz funkcjonalnych środków, które użytkownik może zastosować
do ochrony jego danych osobowych.
W porównaniu do twórców aplikacji, podmioty trzecie odgrywają dwa typy ról: pierwsza to
wykonywanie operacji dla właścicieli aplikacji, np. zapewnianie oprogramowania typu
analytics w ramach aplikacji. W tym przypadku, jeżeli działają wyłącznie na rzecz twórcy
27
Opinia 2/2010 Grupy Roboczej Art. 29 w sprawie internetowej reklamy behawioralnej (czerwiec 2010)
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_pl.pdf
28
Zobacz także interpretację pojęcia danych osobowych w Opinii Grupy Roboczej Art. 29 4/2007 w sprawie
pojęcia danych osobowych, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_pl.pdf
29
Dostarczyciele usług komunikacyjnych podlegają także sektorowym obowiązkom w zakresie ochrony danych,
które znajdują się poza zakresem tej opinii.
14
aplikacji i nie przetwarzają danych dla swoich własnych celów i/lub dzielą dane pomiędzy
twórcami, prawdopodobnie działają jako przetwarzający dane.
Ich druga rola to zbieranie informacji pomiędzy aplikacjami w celu dostarczenia
dodatkowych usług: zapewnienia danych z programów typu analytics na większą skalę
(popularność aplikacji, spersonalizowane zalecenia) lub unikanie wyświetlania tej samej
reklamy temu samemu użytkownikowi. Jeżeli strony trzecie przetwarzają dane dla swoich
własnych celów, działają jako administratorzy danych i z tego względu muszą działać zgodnie
ze wszystkimi mającymi zastosowanie przepisami dyrektywy o ochronie danych.30
W przypadku reklamy behawioralnej administrator danych musi uzyskać ważną zgodę
użytkownika na zbieranie oraz przetwarzanie danych osobowych, składającą się np. z analizy
oraz zestawiania danych osobowych oraz tworzenia i/lub stosowania profili. Jak już
wyjaśniono w Opinii Grupy Roboczej Art. 29 2/2012 na temat behawioralnej reklamy
internetowej taka zgoda może być w najlepszy sposób osiągnięta poprzez zastosowanie
uprzedniego mechanizmu zgody opt-in.
Przedsiębiorstwo zapewnia metryki właścicielom aplikacji oraz reklamodawcom poprzez
wykorzystanie urządzeń do śledzenia wbudowanych, przez twórcę aplikacji, w aplikację.
Urządzenia do śledzenia przedsiębiorstwa mogą być w ten sposób zainstalowane
w wielu aplikacjach oraz na wielu urządzeniach. Jedną z ich usług jest informowanie
twórców aplikacji, jakie inne aplikacje są używane przez użytkownika, poprzez zbieranie
unikalnego identyfikatora. Przedsiębiorstwo określa środki (tj. urządzenia do śledzenia) oraz
cele ich urządzeń przed zaoferowaniem ich twórcom aplikacji, reklamodawcom oraz innym,
i w ten sposób działa jako administrator danych.
W zakresie, w którym podmioty trzecie uzyskują dostęp lub przechowują informację na
inteligentnych urządzeniach, muszą zapewnić zgodność z wymogami zgody zawartymi w art.
5(3) dyrektywy o prywatności i łączności elektronicznej.
W tym kontekście istotne jest, aby zauważyć, że na inteligentnych urządzeniach użytkownicy
mają generalnie ograniczone możliwości zainstalowania oprogramowania, które
kontrolowałoby przetwarzanie danych osobowych, jak jest to powszechne w środowisku
sieciowym pulpitu. Jako alternatywę dla wykorzystania Cookies http, strony trzecie często
uzyskują dostęp do unikalnych identyfikatorów w celu wyróżnienia (grup) użytkowników
oraz dostarczenia im ukierunkowanych usług, włączając w to reklamy. Jako że wiele z tych
identyfikatorów nie może być skasowanych lub zmienionych przez użytkowników (takich jak
IMEL, IMSI, MSISDN31 oraz konkretne unikalne identyfikatory urządzenia dodane przez
system operacyjny) te podmioty trzecie mają potencjał to przetwarzania znaczących ilości
danych osobowych bez kontroli sprawowanej przez użytkownika końcowego.
3.4. Podstawy prawne
W celu przetwarzania danych osobowych wymagana jest podstawa prawna, jak wskazano w
art. 7 dyrektywy o ochronie danych. Art. 7 wyróżnia 6 podstaw prawnych dla przetwarzania
danych: jednoznaczna zgoda osoby, której dane dotyczą; przetwarzanie jest konieczne dla
realizacji umowy, której stroną jest osoba, której dane dotyczą; przetwarzanie jest konieczne
30
31
Opinia 2/2010 Grupy Roboczej Art. 29 w sprawie internetowej reklamy behawioralnej s. 14
Numer abonenta sieci komórkowej.
15
dla ochrony żywotnych interesów osób, których dane dotyczą; konieczność wykonania
zobowiązania prawnego; (dla instytucji publicznych) przetwarzanie danych jest konieczne dla
realizacji zadania wykonywanego w interesie publicznym oraz konieczność uzasadnionego
(biznesowego) interesu.
W odniesieniu do przechowywania informacji lub uzyskiwania dostępu do informacji już
przechowywanej na inteligentnym urządzeniu, art. 5 ust. 3 dyrektywy o e-prywatności (tj.
wymóg zgody na umieszczenie oraz uzyskanie informacji z urządzenia) tworzy bardziej
precyzyjne ograniczenia/restrykcje podstaw prawnych, które mogą być wzięte pod uwagę.
3.4.1. Zgoda uprzednia względem instalacji oraz przetwarzania danych osobowych
Zgoda jest podstawą prawną dla aplikacji mobilnych. Kiedy aplikacja jest instalowana,
informacja jest umieszczona na urządzeniu użytkownika końcowego. Wiele aplikacji może
także uzyskać dostęp do danych przechowywanych na urządzeniu, kontaktów w książce
adresowej, zdjęć, filmów oraz innych dokumentów osobistych. We wszystkich tych
przypadkach art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej wymaga zgody
od użytkownika, któremu została dostarczona jasna oraz wyczerpująca informacja, przed
umieszczeniem oraz uzyskiwaniem informacji z urządzenia.
Istotne jest odnotowanie różnicy pomiędzy zgodą wymaganą do umieszczenia jakiejkolwiek
informacji i odczytaniem informacji z urządzenia, oraz zgodą potrzebną do posiadania
podstawy prawnej przetwarzania różnych rodzajów danych osobowych. Chociaż wymogi obu
zgód mają zastosowanie w tym samym czasie, każda bazuje na innej podstawie prawnej, obie
podlegają warunkom stanowiącym, że mają być dobrowolne, określone oraz świadome (tak
jak to zdefiniowano w art. 2 (h) dyrektywy o ochronie danych). Z tego względu dwa typy
zgody mogą być w praktyce połączone, w trakcie instalacji lub zanim aplikacja zacznie
zbierać dane osobowe z urządzenia, zakładając, że użytkownik jest jednoznacznie świadomy
tego, na co się zgadza.
Wiele sklepów z aplikacjami zapewnia twórcom aplikacji możliwość poinformowania
użytkowników końcowych na temat podstawowych cech aplikacji przed instalacją oraz
wymaga pozytywnego działania użytkownika przed tym jak aplikacja zostanie pobrana oraz
zainstalowana (tj. kliknięciem przycisku „zainstaluj”). Chociaż taka operacja może,
w niektórych warunkach, wypełnić wymogi zgody z art. 5 ust. 3, nieprawdopodobne jest
zapewnienie wystarczającej informacji, tak aby móc uznać, że zgoda na przetwarzanie danych
osobowych jest ważna. Temat ten został już poruszony w opinii GR29 15/2011 na temat
definicji zgody.32
W kontekście inteligentnych urządzeń „dobrowolna” oznacza, że użytkownik musi mieć
wybór, czy akceptuje czy odrzuca przetwarzanie swoich danych osobowych. Z tego względu,
jeśli aplikacja potrzebuje przetwarzać dane osobowe, użytkownik musi mieć swobodę
w wyrażeniu zgody lub odmowy. Użytkownik nie powinien być stawiany w sytuacji, w której
na ekranie wyświetla się jedynie opcja „tak, zgadzam się” w celu ukończenia instalacji. Opcja
„anulowania” lub inna wstrzymująca instalację musi być dostępna.
32
Opinia Grupy Robczej Art. 29 w sprawie definicji zgody (lipiec 2011), http://ec.europa.eu/justice/dataprotection/article-29/documentation/opinion-recommendation/files/2011/wp187_pl.pdf
16
„Świadoma” oznacza, że osoba, której dane dotyczą musi mieć wystarczające informacje do
swojej dyspozycji w celu podjęcia odpowiedniej decyzji.33 W celu uniknięcia jakiejkolwiek
dwuznaczności, taka informacja musi być udzielona przed przetwarzaniem jakikolwiek
danych. Obejmuje to przetwarzanie danych, które może mieć miejsce podczas instalacji np.
dla celów debugowania lub śledzenia. Treść oraz forma takich informacji jest rozwinięta
w paragrafie 3.7 niniejszej opinii.
„Konkretna” oznacza, że wyrażenie woli musi odnosić się do przetwarzania konkretnych
danych lub ograniczonej kategorii danych. Właśnie z tego powodu proste kliknięcie przycisku
instaluj nie może być uznane za ważną zgodę na przetwarzanie danych osobowych, ponieważ
zgoda nie może być sformułowaną generalnie autoryzacją. W niektórych przypadkach
użytkownicy mogą wyrazić stopniową zgodę, gdy zgoda jest wymagana dla każdego rodzaju
danych, do którego aplikacja chce uzyskać dostęp.34 Takie podejście pozwala osiągnąć dwa
istotne wymogi prawne, pierwszy odpowiedniego poinformowania użytkownika o ważnych
elementach usługi oraz drugi poproszenia o zgodę na każdy z nich. 35 Alternatywne podejście
twórców aplikacji proszących swoich użytkowników o zaakceptowanie długiego zestawu
warunków oraz/i polityki prywatności nie konstytuuje konkretnej zgody.36
Konkretność odnosi się także do praktyki śledzenia zachowania użytkowników przez
reklamodawców oraz inne strony trzecie. Ustawienia domyślne zapewnione przez OS oraz
aplikacje muszą być takie, aby unikać jakiegokolwiek śledzenia, tak aby pozwolić
użytkownikom wyrazić konkretną zgodę na ten typ przetwarzania danych. Te ustawienia
domyślne nie mogą być obchodzone przez strony trzecie, tak jak to obecnie często ma miejsce
w przypadku mechanizmu „nie śledź” wdrożonego w wyszukiwarkach.
Przykłady konkretnej zgody
Aplikacja zapewnia informacje o pobliskich restauracjach. Aby była zainstalowana, twórca
aplikacji musi uzyskać zgodę. W celu uzyskania dostępu do danych geolokalizacyjnych,
twórca aplikacji musi oddzielnie prosić o zgodę, np. podczas instalacji lub przed uzyskaniem
dostępu do geolokalizacji.
Konkretność oznacza, że zgoda musi być ograniczona do określonego celu doradzenia
użytkownikowi odnośnie pobliskiej restauracji. Dane lokalizacyjne z urządzenia mogą z tego
względu być dostępne jedynie, kiedy użytkownik wykorzystuje aplikacje do tego celu. Zgoda
użytkownika na przetwarzanie danych geolokalizayjnych nie pozwala aplikacji w sposób
ciągły zbierać danych z urządzenia. To dalsze przetwarzanie wymagałoby dodatkowych
informacji oraz odrębnej zgody.
Podobnie, aby aplikacje komunikacyjne mogły uzyskać dostęp do listy kontaktów,
użytkownik musi być w stanie wybrać kontakty, z którymi użytkownik chce się
komunikować, zamiast udzielać dostępu do całej książki adresowej (włączając dane
33
Idem 20
Stopniowa zgoda oznacza, że jednostki mogą konkretnie kontrolować, które funkcje związane z
przetwarzaniem dnaych osobowych przez aplikację chcą aktywować.
35
Potrzeba takiej stopinowej zgody została wprost poparta przez raport FTC (przypis 6) na stronach 15-16 „(…)
platformy powinny rozważyć zapewnienie ujawnień w odpowiednim czasie oraz uzyskanie afirmatywnie
wyrażonej zgody na zbieranie innej treści, którą konsumenci mogą uznać za wrażliwą w wielu kontekstach, takie
jak fotografie, kontakty, wpisy do kalendarza lub nagrania wideo i audio:.
36
Idem, s. 34-35 „Ogólna zgoda bez precyzyjnego wskazania celu przetwarzania na które osoba, której dane
dotyczą się zgadza, nie jest zgodna z tym wymogiem. Oznacza to, że informacja na temat celu przetwarzania nie
może być zawarta w ogólnych przepisach, a w odrębnej klauzuli zgody”.
34
17
kontaktowe nie-użytkowników tej usługi, którzy nie mogli zgodzić się na przetwarzanie
danych ich dotyczących).
Ważne jest jednakże odnotowania, że nawet w przypadku gdy zgoda spełnia trzy elementy
opisane powyżej, nie stanowi to licencji na nieuczciwe oraz niezgodne z prawem
przetwarzanie. Jeżeli cel przetwarzania danych jest nadmierny i/lub nieproporcjonalny, nawet
jeżeli użytkownik się zgodził, twórca aplikacji nie będzie miał ważnej podstawy prawnej
i prawdopodobnie będzie naruszał dyrektywę o ochronie danych.
Przykład nadmiernego oraz niezgodnego z prawem przetwarzania danych
Aplikacja działająca jako budzik oferuje opcjonalną funkcjonalność, w której użytkownik
może wydać polecenie głosowe, aby budzik ucichł, lub przeszedł w stan „drzemki”. W tym
przypadku zgoda na nagranie byłaby ograniczona do momentu, w którym dzwoni budzik.
Jakiekolwiek monitorowanie lub nagrywanie głosu, kiedy alarm nie dzwoni, byłoby
prawdopodobnie uznane za nadmierne i niezgodne z prawem.
W przypadku zainstalowanych aplikacji na urządzeniu w ramach ustawień domyślnych (przed
tym gdy urządzenie stało się własnością użytkownika), lub innego przetwarzania
podejmowanego przez OS, które opiera się na zgodzie jako podstawie prawnej, administrator
danych musi uważnie rozważyć, czy zgoda ta jest naprawdę ważna. W wielu przypadkach
oddzielny mechanizm zgody powinien być rozważony, być może kiedy aplikacja uruchamia
się po raz pierwszy, w celu umożliwienia administratorowi danych pełnego poinformowania
użytkownika końcowego. W przypadku szczególnych kategorii danych, tak jak zostało to
zdefiniowane w art. 8 dyrektywy o ochronie danych, zgoda musi być wyraźna.
Ostatnią, ale nie najmniej ważną kwestią jest to, że użytkownik musi mieć możliwość
odwołania swojej zgody w prosty i skuteczny sposób. Zostanie to rozwinięte w części 3.8
niniejszej opinii.
3.2.4. Podstawy prawne dla przetwarzania danych podczas wykorzystywania aplikacji
Jak wyjaśniono powyżej, zgoda jest konieczną podstawą prawną, aby pozwolić twórcy
aplikacji odczytywać oraz zapisywać informacje zgodnie z prawem i w konsekwencji
przetwarzać dane osobowe. W następującej fazie, w trakcie używania aplikacji, twórca
aplikacji może przywołać inne podstawy prawne dla innych typów przetwarzania danych, tak
długo jak nie obejmuje to przetwarzania danych wrażliwych.
Takimi podstawami prawnymi może być konieczność wykonania umowy z osobą, której dane
dotyczą lub konieczność spełnienia uzasadnionego interesu, art. 7 (b) oraz (f) dyrektywy
o ochronie danych.
Te podstawy prawne są ograniczone do przetwarzania niewrażliwych danych osobowych
określonego użytkownika, oraz mogą być przywołane jedynie w zakresie, w którym niektóre
dane są ściśle konieczne do wykonania oczekiwanej usługi, lub w przypadku art. 7(f), tylko
kiedy interesy takie podporządkowane są interesom związanym z podstawowymi prawami
i wolnościami osoby, której dane dotyczą.
18
Przykład umowy jako podstawy prawnej
Użytkownik zgadza się na zainstalowanie aplikacji bankowości mobilnej. W celu spełnienia
prośby wykonania płatności, bank nie musi prosić o oddzielne zgody użytkownika na
ujawnienie jego nazwiska oraz numeru konta odbiorcy płatności. To ujawnienie jest ściśle
konieczne w celu wykonania umowy z konkretnym użytkownikiem, i z tego względu bank
posiada podstawę prawną w postaci art. 7 (b) dyrektywy o ochronie danych. To samo
uzasadnienie ma zastosowanie do aplikacji komunikacyjnych; kiedy zapewniają one
kluczowe informacje takie jak nazwa konta, adres e-mail oraz numer telefonu do innej osoby
fizycznej, z którą użytkownik chce się skomunikować, ujawnienie jest w oczywisty sposób
konieczne do wypełnienia usługi.
3.5 Ograniczenie celu oraz minimalizacja zakresu danych
Kluczowymi zasadami stanowiącymi podstawę dyrektywy o ochronie danych są ograniczenie
celu oraz minimalizacja ilości pobieranych danych. Ograniczenie celu umożliwia
użytkownikom dokonanie rozmyślnego wyboru co do powierzenia stronie ich danych
osobowych jako że będą wiedzieli, jak ich dane będą wykorzystywane, oraz będą w stanie
polegać na ograniczonym opisie celu, tak aby zrozumieć dla jakich celów ich dane będą
wykorzystane. Z tego względu cele przetwarzania muszą być dobrze zdefiniowane oraz
zrozumiałe dla przeciętnego użytkownika bez zaawansowanej wiedzy w zakresie prawa lub
techniki.
Równocześnie ograniczenie celu wymaga, aby twórcy aplikacji mieli dobry ogląd swojego
przypadku biznesowego zanim rozpoczną zbieranie danych osobowych od użytkowników.
Dane osobowe mogą być przetwarzane jedynie w uczciwy oraz zgodny z prawem sposób (art.
6(1)a dyrektywy o ochronie danych) oraz cele te muszą być zdefiniowane przed
rozpoczęciem przetwarzania.
Zasada ograniczenia celu wyklucza nagłe zmiany w kluczowych warunkach przetwarzania.
Na przykład, jeżeli aplikacja miała za cel pierwotny umożliwianie użytkownikom wysyłania
maili do siebie nawzajem, ale twórca postanawia zmienić swój model biznesowy oraz
połączyć adresy email swoich użytkowników z numerami telefonów użytkowników innych
aplikacji. Odpowiedni administratorzy danych musieliby wtedy poprosić indywidualnie
każdego użytkownika o jednoznaczną zgodę na ten nowy cel przetwarzania ich danych
osobowych.
Ograniczenie celu idzie ręka w rękę z zasadą minimalizacji ilości pobieranych danych.
W celu zapobiegnięcia niepotrzebnemu i potencjalnie niezgodnemu z prawem przetwarzaniu
danych, twórcy aplikacji muszą ostrożnie rozważyć, jakie dane są ściśle konieczne do
wykonania oczekiwanej funkcjonalności.
Aplikacje mogą uzyskać dostęp do wielu funkcjonalności urządzenia i są w związku z tym
zdolne do robienia wielu rzeczy, takich jak wysyłanie ukrytych SMSów, uzyskiwania dostępu
do zdjęć oraz całych książek adresowych. Wiele sklepów z aplikacjami wspiera (w pół)
zautomatyzowane uaktualnienia, w których twórca aplikacji może zintegrować nowe cechy
oraz uczynić je dostępnymi z niewielkim lub zgoła żadnym uczestnictwem uczestnika
końcowego.
19
Grupa Robocza podkreśla w tym miejscu, że podmioty trzecie uzyskujące dostęp do danych
użytkownika poprzez aplikacje muszą szanować zasady ograniczenia celu oraz minimalizacji
ilości pobieranych danych. Unikalne, często niezmienialne, identyfikatory urządzenia nie
powinny być używane dla celu interesu opartego na reklamie i/lub dostarczaniu
oprogramowania typu analytics, z uwagi na niemożność odwołania zgody przez użytkownika.
Twórcy aplikacji powinni zapobiegać powolnemu rozprzestrzenianiu się funkcji poprzez
niezmienianie przetwarzania z jednej wersji aplikacji na inną bez dania użytkownikowi
aplikacji odpowiedniej informacji oraz możliwości wycofania z przetwarzania lub z całej
usługi. Użytkownikom powinno się także zaoferować środki techniczne w celu weryfikacji
oświadczeń na temat deklarowanych celów, poprzez umożliwienie im dostępu do informacji
na temat ilość danych pobieranych przez aplikację w porównaniu do przepływu
zapoczątkowanego przez użytkownika.
Informacja oraz kontrola użytkownika są kluczowymi cechami w celu zapewnienia
poszanowania zasad minimalizacji zakresu danych oraz ograniczenia celu.
Dostęp do podstawowych danych na urządzeniu poprzez API daje producentom urządzeń
oraz OS, a także sklepom z aplikacjami szansę wymuszenia konkretnych reguł oraz
zaoferowania odpowiedniej informacji dla użytkowników końcowych. Na przykład,
producenci OS oraz urządzeń powinni zaoferować API z precyzyjnymi urządzeniami
kontrolnymi w celu rozróżnienia każdego typu tych danych oraz zapewnienia, że twórcy
aplikacji mogą żądać dostępu jedynie do tych danych, które są ściśle koniczne dla (zgodnej
z prawem) funkcjonalności ich aplikacji. Rodzaje danych żądanych przez twórców aplikacji
mogą w ten sposób być w jasny sposób wyświetlone w sklepie z aplikacjami, tak aby
poinformować użytkowników przed instalacją.
W tym zakresie, kontrola nad dostępem do danych przechowywanych na urządzeniu opiera
się na różnych mechanizmach:
a) Producenci OS oraz urządzeń oraz sklepy z aplikacjami definiują zasady, które mają
zastosowanie to dostarczania aplikacji do ich sklepów z aplikacjami: twórcy aplikacji
muszą szanować te zasady lub ryzykować brak obecności w tych sklepach.37
b) API systemów operacyjnych definiują standardowe metody uzyskiwania dostępu do
danych przechowywanych w telefonach, do których aplikacje mają dostęp. Mają
również wpływ na zbieranie danych po stronie serwera.
c) Kontrola ex-ante – kontrola mająca miejsce przed zainstalowaniem aplikacji.38
d) Kontrola ex-post – kontrola wdrożona po zainstalowaniu aplikacji.
3.6. Bezpieczeństwo
Zgodnie z art. 17 dyrektywy o ochronie danych administratorzy danych oraz przetwarzający
muszą podjąć niezbędne środki organizacyjne i techniczne w celu zapewnienia ochrony
danych osobowych, które przetwarzają. W rezultacie, środki muszą zostać podjęte przez
wszystkie podmioty zidentyfikowane w części 3.3., każdy zgodnie ze swoją rolą oraz
obowiązkami.
37
Urządzenia z usuniętymi ograniczeniami pozwalają na instalacje aplikacji spoza oficjalnych sklepów;
urządzenia z systemem Android również pozwalają na instalację aplikacji z innych źródeł.
38
W szczególnym przypadku pre-instalowania aplikacji.
20
Cel zgodności z wymogami bezpieczeństwa jest dwojaki. Umożliwi użytkownikom
kontrolowanie swoich danych w bardziej rygorystyczny sposób oraz wzmocni poziom
zaufania do podmiotów, które przetwarzają ich dane.
Twórcy aplikacji, sklepy z aplikacjami oraz producenci OS oraz urządzeń, a także podmioty
trzecie w celu zapewnienia zgodności z odpowiednimi wymogami bezpieczeństwa jako
administratorzy danych, muszą wziąć pod uwagę zasady prywatności w fazie projektowania
oraz prywatności w fazie ustawień domyślnych. Wymaga to nieustannej oceny zarówno
istniejących, jak i przyszłych ryzyk dla prywatności, wdrożenia oraz ewaluacji skutecznych
środków zapobiegawczych, włączając w to minimalizację ilości pobieranych danych.
Twórcy aplikacji
Istnieje wiele publicznie dostępnych wytycznych dotyczących bezpieczeństwa aplikacji
mobilnych opublikowanych przez producentów OS oraz urządzeń i niezależnych podmiotów
trzecich, jak np. ENISA.39
Poza zakresem niniejszej opinii leży przegląd najlepszych praktyk w zakresie bezpieczeństwa
w rozwoju aplikacji; jednakże GR wykorzystuje tę szansę na przegląd tych, które mogą mieć
potencjalnie zły wpływ na prawa podstawowe użytkowników aplikacji.
Istotną decyzją przed zaprojektowaniem aplikacji jest określenie, gdzie dane będą
przechowywane. W niektórych przypadkach dane użytkowników są przechowywane na
urządzeniach, jednakże twórcy aplikacji mogą także wykorzystać architekturę serwera klienta.
Oznacza to, że dane osobowe są przekazywane lub kopiowane do systemów dostawcy usługi.
Przechowywanie oraz przetwarzanie danych na urządzeniu daje użytkownikom końcowym
większą kontrolę nad tymi danymi, np. poprzez pozwolenie im na usunięcie danych, jeśli
wycofują zgodę na ich przetwarzanie. Jednakże bezpieczne przechowywanie danych
w odległej lokalizacji może pomagać w odzyskaniu danych w wyniku zgubienia lub
kradzieży urządzenia. Pośrednie metody są także możliwe.
Twórcy aplikacji muszą zdefiniować jasne polityki dotyczące tego, jak oprogramowanie jest
rozwijane oraz dystrybuowane. Jest tu także rola dla producentów OS oraz urządzeń
w promowaniu bezpiecznego przetwarzania danych przez aplikacje, które będzie rozwinięte
poniżej. Po drugie, twórcy aplikacji oraz sklepy z aplikacjami muszą zaprojektować oraz
wdrożyć środowisko przyjazne, z narzędziami zapobiegającymi rozszerzaniu się złośliwych
aplikacji oraz pozwalającymi wszystkim aplikacjom łatwo się instalować oraz
odinstalowywać.
Dobre praktyki, które mogą być wdrożone podczas projektowania aplikacji obejmują
minimalizację wierszy oraz skomplikowania kodu, oraz wdrażania punktów kontrolnych, tak
aby wykluczyć możliwość, że dane będą narażone lub przekazane w niezamierzony sposób.
Ponadto wszelkie dane wejściowe powinny być uwierzytelniane, tak aby zapobiec
przepełnieniu bufora lub atakom. Inne mechanizmy bezpieczeństwa warte wspomnienia to
odpowiednia strategia zarządzania uaktualnieniami zabezpieczeń, oraz wykonywanie
regularnego, niezależnego audytu systemów zabezpieczeń. Dodatkowo kryteria tworzenia
aplikacji powinny obejmować wprowadzenie zasady najmniejszego uprzywilejowania w fazie
39
ENISA „Wytyczne dotyczące rozwoju zabezpieczeń smartphone’ów:
http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-applications/smartphone-security1/smartphone-secure-development-guidelines
21
ustawień domyślnych, gdzie aplikacjom umożliwia się dostęp jedynie do tych danych,
których naprawdę potrzebują do wykonania funkcjonalności dostępnej dla użytkownika.
Twórcy aplikacji oraz sklepy z aplikacjami powinny także zachęcać użytkowników,
z odpowiednimi ostrzeżeniami, do uzupełniania tych dobrych praktyk projektowania poprzez
zgodne z prawem działanie użytkowników, takie jak aktualizowanie ich aplikacji do
najnowszej dostępnej wersji, oraz przypomnienia o unikaniu ponownego wykorzystania hasła
w różnych serwisach.
Podczas fazy projektowania aplikacji, twórcy aplikacji muszą także podjąć środki w celu
zapobieżenia nieuprawnionemu dostępowi do danych osobowych poprzez zapewnienie, że
dane są chronione zarówno podczas przepływu, jak i wtedy gdy są przechowywane, jeśli ma
to zastosowanie.
Aplikacje mobilne powinny być uruchamiane w konkretnych lokalizacjach pamięci
urządzenia (sanboxes40), w celu zredukowania konsekwencji złośliwych aplikacji/złośliwego
oprogramowania. W bliskiej współpracy z producentami OS oraz/i sklepami z aplikacjami,
twórcy aplikacji muszą wykorzystywać dostępne mechanizmy, które pozwalają
użytkownikom na ogląd tego, jakie dane są przetwarzane przez które aplikacje, oraz
wybiórczo udzielać im pozwolenia oraz je wycofać. Wykorzystywanie ukrytych
funkcjonalności nie powinno być dozwolone.
Twórcy aplikacji muszą ostrożnie rozważyć swoje metody identyfikacji użytkowników oraz
uwierzytelniania. Nie powinni używać stałych (konkretnych dla urządzenia) identyfikatorów,
ale zamiast tego używać identyfikatorów o niskim poziomie entropii lub tymczasowych
identyfikatorów urządzenia, aby uniknąć śledzenia użytkowników w czasie. Przyjazne
prywatności mechanizmy uwierzytelniania powinny być rozważone. Podczas
uwierzytelniania użytkowników twórcy aplikacji muszą poświęcić uwagę zarządzaniu
identyfikatorami oraz hasłami użytkowników. Te ostatnie muszą być przechowywane
w zaszyfrowanej formie oraz w sposób bezpieczny, taki jak chronione kluczem
kryptograficznym funkcje skrótu. Udostępnienie użytkownikom testu pozwalającego na
określenie odporności wybranych haseł jest również użyteczną techniką promującą używanie
lepszych haseł (test entropii). Kiedy to odpowiednie (dostęp do danych wrażliwych, ale także
do zasobów, za które trzeba płacić) kolejne uwierzytelnienie mogłoby zostać przewidziane,
także przy użyciu wielu czynników oraz różnych kanałów (np. kod dostępu wysłany przez
SMS) i/lub wykorzystanie danych uwierzytelniających połączonych raczej z użytkownikiem
niż z urządzeniem końcowym. Także podczas wybierania identyfikatorów sesji, powinno się
stosować nieprzewidywalny tekstowy typ danych, możliwie w połączeniu z informacją
kontekstualną, taką jak data i czas, ale również adresem IP lub danymi geolokalizacyjnymi.
Twórcy aplikacji powinni być świadomi wymogów przedstawionych w dyrektywie
o prywatności i łączności elektronicznej w odniesieniu do naruszeń ochrony danych
osobowych oraz potrzeby proaktywnego informowania użytkowników. Choć obecnie
wymogi te znajdują zastosowanie jedynie do dostawców publicznie dostępnych usług
komunikacyjnych oczekuje się, że obowiązek ten zostanie rozciągnięty na wszystkich
administratorów danych (oraz przetwarzających dane) poprzez przyszłe rozporządzenie o
ochronie danych w brzmieniu propozycji Komisji (COM 2012/0011/COD). Wzmacnia to
dalej potrzebę posiadania całościowego „planu zabezpieczeń” oraz jego nieustannej
ewaluacji, pokrywającego zbieranie, przechowywanie oraz przetwarzanie jakichkolwiek
40
Piaskownica – mechanizm bezpieczeństwa oddzielający uruchomione programy.
22
danych osobowych, tak aby zapobiec takim naruszeniem ochrony danych oraz uniknąć
ciężkich kar pieniężnych przewidzianych w takich przypadkach. Plan zabezpieczeń, między
innymi, musi także zajmować się zarządzaniem podatnością oraz terminowym oraz
bezpiecznym udostępnianiem godnych zaufania aktualizacji zwalczających błędy.
Odpowiedzialność twórców aplikacji za bezpieczeństwo ich produktów nie kończy się
z dostarczeniem działającej wersji na rynek. Aplikacje mogą, jak każde oprogramowanie,
cierpieć na skutek błędów w zabezpieczeniach oraz podatności, twórcy aplikacji muszą
rozwinąć uaktualnienia dla nich oraz dostarczyć je tym podmiotom, które mogą udostępnić je
użytkownikom lub im samym.
Sklepy z aplikacjami
Sklepy z aplikacjami są ważnymi pośrednikami pomiędzy użytkownikami końcowymi
a twórcami aplikacji i powinny zapewnić dużą liczbę mocnych oraz skutecznych punktów
kontrolnych dla aplikacji, przed wpuszczeniem ich na rynek. Powinny one zapewnić
informację na temat tych punktów, które rzeczywiście ustanawiają oraz załączyć informację,
jaki typ punktów kontrolnych dotyczących zgodności z ochroną danych stosują.
Chociaż środek ten nie jest w 100% skuteczny w eliminowaniu rozprzestrzeniania złośliwych
aplikacji, statystyki wskazują, że praktyka ta w wyraźny sposób redukuje występowanie
złośliwych funkcjonalności w „oficjalnych” sklepach z aplikacjami.41 W celu radzenia sobie
z dużą liczbą aplikacji, które codziennie są przekazywane, proces ten może skorzystać na
zastosowaniu automatycznych narzędzi do analizy, jak również na wdrożeniu kanałów
wymiany informacji pomiędzy ekspertami ds. bezpieczeństwa oraz specjalistami ds.
programowania, a także skutecznych procedur oraz polityk w celu radzenia sobie ze
zgłoszonymi problemami.
Dodatkowo do przeglądu aplikacji przed dopuszczeniem ich do sklepu z aplikacjami,
aplikacje powinny być poddane mechanizmowi publicznej reputacji. Aplikacje nie powinny
być oceniane tylko przez użytkowników na podstawie tego, jak są „fajne”, lecz także na
podstawie ich funkcjonalności, ze specjalnym odniesieniem do prywatności oraz
mechanizmów bezpieczeństwa. Również mechanizm reputacji powinien być zaprojektowany
w taki sposób, aby zapobiegać fałszywym ocenom. Mechanizmy kwalifikacji oraz reputacji
dla aplikacji mogą także okazać się skuteczne w budowaniu wzajemnego zaufania pomiędzy
różnymi podmiotami, szczególnie jeśli dane są wymieniane przez długi łańcuch stron
trzecich.
Sklepy z aplikacjami często mają wdrożoną metodę zdalnego odinstalowywania złośliwych
lub niezabezpieczonych aplikacji. Mechanizm ten, jeśli nie jest poprawnie zaprojektowany,
może stanowić przeszkodę w uprawnieniu użytkowników do utrzymania ściślejszej kontroli
nad ich danymi. Środki przyjazne prywatności oznaczają dla sklepu z aplikacjami, że zdalne
odinstalowanie aplikacji powinno być oparte o poinformowanie oraz zgodę użytkownika. Co
więcej, z bardziej praktycznego punktu widzenia, kanały sprzężenia zwrotnego powinny być
udostępnione użytkownikom w celu raportowania problemów z bezpieczeństwem ich
aplikacji oraz skuteczności jakiejkolwiek zdalnej procedury usuwania.
41
„Hej Ty, Spadaj z mojego rynku: Wykrywanie złośliwych aplikacji na oficjalnym oraz alternatywnym rynku
Androida”, Y. Zhou et. Al., Sympozjum na temat sieci oraz dystrybuowanych systemów zabezpieczeń (NDSS),
2012
23
Tak jak twórcy aplikacji, sklepy z aplikacjami powinny być świadome przyszłego obowiązku
powiadamiania o naruszeniu ochrony danych osobowych oraz ściśle współpracować
z twórcami aplikacji w celu zapobieżenia tym naruszeniom.
Producenci urządzeń oraz OS
Producenci urządzeń oraz OS są również ważnymi graczami w zdefiniowaniu minimalnych
standardów oraz najlepszych praktyk pomiędzy twórcami aplikacji, nie tylko w zakresie
bezpieczeństwa podstawowego oprogramowania oraz API, ale również odnośnie narzędzi,
wytycznych oraz materiałów, które stanowią punkt odniesienia, udostępnianych przez nich.
Producenci urządzeń oraz OS powinni udostępnić silny oraz dobrze znany algorytm
szyfrowania oraz wspierać odpowiednią długość kluczy. Powinni również ustanowić silny
i bezpieczny mechanizm uwierzytelniania dostępny dla twórców aplikacji (np. wykorzystanie
certyfikatów podpisanych przez zaufane instytucje certyfikujące w celu weryfikacji
uwierzytelniania zdalnych zasobów). Pozwoliłoby to także uniknąć potrzeby dla twórców
aplikacji rozwijania własnych mechanizmów uwierzytelniania. W praktyce jest to często
słabo implementowane i może stanowić poważną podatność.42
Dostęp do danych osobowych oraz ich przetwarzanie przez aplikacje powinny być zarządzane
poprzez wbudowane w API klasy oraz metody zapewniające odpowiednie punkty kontrolne
oraz środki ochronne. Producenci urządzeń oraz OS powinni zapewnić, że metody oraz
funkcje pozwalające na dostęp do danych osobowych zawierają cechy nakierowane na
wdrożenie prośby o stopniową zgodę. Podobnie, powinno się podjąć działania w celu
wykluczenia lub ograniczenia dostępu do danych osobowych poprzez wykorzystanie funkcji
niskiego poziomu lub innych środków, które mogłyby obejść punkty kontroli oraz środki
ochronne wdrożone do API.
Producenci urządzeń oraz OS muszą także rozwinąć jasne ścieżki audytu w urządzeniach,
takie, aby użytkownicy końcowi mogli jasno zobaczyć, które aplikacje miały dostęp do ich
danych na ich urządzeniach.
Wszystkie strony muszą odpowiadać szybko na podatności w obszarze bezpieczeństwa
w odpowiednim czasie, tak aby użytkownicy końcowi nie byli w niepotrzebny sposób
narażeni na braki w dziedzinie bezpieczeństwa. Niestety niektórzy producenci urządzeń oraz
OS (a także operatorzy telekomunikacyjni, kiedy dystrybuują urządzenia markowe) nie
zapewniają długoterminowego wsparcia dla OS, pozostawiając użytkowników
niezabezpieczonymi przed dobrze znanymi podatnościami w dziedzinie bezpieczeństwa.
Producenci urządzeń oraz OS, wspólnie z twórcami aplikacja, muszą od razu zapewnić
użytkownikom informację na temat okresu, w którym mogą oni liczyć na regularne
uaktualnienia dotyczące bezpieczeństwa. Powinni także poinformować użytkowników
najszybciej jak to możliwe o tym, że kwestia związana z bezpieczeństwem wymaga
uaktualnienia.
42
Wskazano ostatnio, że brak wizualnych indykatorów bezpieczeństwa dla wykorzystania SSL/TLS oraz
nieodpowiednie wykorzystanie SSL/TLS może być wykorzystane do wywołania ataków Man-in-theMiddle
(MITM). Łączna zainstalowana baza aplikacji z potwierdzonymi podatnościami na ataki MITM obejmuje kilka
milionów użytkowników, zgodnie z ostatnimi studiami. „Dlaczego Ewa oraz Mallory kochają Androida. Analiza
systemu zabezpieczeń SSL Androida, Bernd Freisleben and Matthew Smith, 19 konferencja ACM na temat
komputerów oraz bezpieczeństwa komunikacyjnego (ACM CCS 2012).
24
Strony trzecie
Powyższe cechy bezpieczeństwa oraz rozważania muszą być także zastosowane przez strony
trzecie, kiedy zbierają one dane osobowe i przetwarzają je dla własnych celów, przede
wszystkim przez reklamodawców oraz dostarczycieli oprogramowania typu analytics.
Obejmuje to bezpieczną transmisję oraz zaszyfrowane przechowywanie unikalnego
identyfikatora urządzenia oraz użytkownika aplikacji oraz innych danych osobowych.
3.7 Informacja
3.7.1. Obowiązek poinformowania oraz wymagana treść
Zgodnie z art. 10 dyrektywy o ochronie danych, każda osoba, które dane dotyczą ma prawo
znać tożsamość administratora danych, który przetwarza jej dane osobowe. Dodatkowo, w
kontekście aplikacji, użytkownik końcowy ma prawo wiedzieć, jakie rodzaje danych
osobowych są przetwarzane oraz dla jakich celów dane mają być użyte. Jeżeli dane osobowe
użytkownika są zbierane od innych aktorów w ekosystemie aplikacji (opisanych w części 3.3.
niniejszej opinii), użytkownik końcowy, zgodnie z art. 11 dyrektywy o ochronie danych,
także ma prawo do bycia poinformowanym o takim przetwarzaniu, w taki sam sposób jak to
opisano. Z tego względu odpowiedni administrator danych w przypadku przetwarzania
danych osobowych musi poinformować potencjalnych użytkowników przynajmniej o:
- tym, kim są (tożsamość oraz dane kontaktowe)
- konkretnych kategoriach danych osobowych, które twórcy aplikacji będą zbierać oraz
przetwarzać
- tym, po co je przetwarzają (dla jakich dokładnie celów)
- czy dane będą ujawnione stronom trzecim
- tym, jak użytkownicy mogą wykorzystać swoje prawa odnośnie wycofania zgody oraz
usunięcia danych.
Dostępność tych informacji o przetwarzaniu danych osobowych jest kluczowa w celu
uzyskania zgody od użytkownika na przetwarzanie danych. Zgoda może być ważna jedynie
wtedy, gdy osoba została poinformowana o kluczowych elementach przetwarzania danych.
Zapewnianie tych informacji po tym jak aplikacja zaczęła przetwarzać dane osobowe (co
często zaczyna się w trakcie instalowania) nie może być uznane za wystarczające i jest
prawnie nieważne. W zgodzie z raportem FTC, Grupa Robocza podkreśla potrzebę
zapewnienia informacji w momencie, który ma znaczenie dla konsumenta, tuż przed
zbieraniem takich informacji przez aplikacje. Powiedzenie, jakie dane są przetwarzane, jest
szczególnie ważne, biorąc pod uwagę szeroki dostęp, jaki generalnie mają aplikacje do
czujników oraz struktur danych na urządzeniu, gdzie w wielu przypadkach dostęp taki nie jest
intuicyjnie wyczuwalny. Odpowiednie informacje mają także kluczowe znaczenie, kiedy
aplikacje przetwarzają specjalne kategorie danych osobowych, np. o stanie zdrowia,
przekonaniach politycznych, orientacji seksualnej itp. Wreszcie twórcy aplikacji powinni
jasno odróżnić obligatoryjne oraz opcjonalne informacje i system powinien pozwalać
użytkownikowi na odmówienie dostępu do opcjonalnych informacji, przy użyciu przyjaznych
prywatności ustawień domyślnych.
W odniesieniu do tożsamości administratora danych, użytkownicy potrzebują wiedzy na
temat tego, kto jest prawnie odpowiedzialny za przetwarzanie ich danych osobowych oraz jak
uzyskać kontakt z administratorem. W innym przypadku nie mogą oni wykonywać swoich
25
praw, takich jak prawo dostępu do danych (zdalnie) przechowywanych na ich temat. Z uwagi
na sfragmentaryzowany charakter krajobrazu aplikacji, kluczowe jest to, aby każda aplikacja
miała pojedynczy punkt kontaktowy, biorący odpowiedzialność za całe przetwarzanie danych,
które odbywa się za pośrednictwem aplikacji. Nie można pozostawić użytkownikowi
końcowemu wyszukiwania powiązań pomiędzy twórcą aplikacji a innymi stronami
przetwarzającymi dane osobowe przez aplikacje.
W odniesieniu do celu (-ów), użytkownicy końcowi muszą być w odpowiedni sposób
poinformowani, które dane na ich temat są gromadzone oraz dlaczego. Użytkownicy powinni
być także poinformowani w jasny sposób oraz przy użyciu prostego języka, czy ich dane
mogą być ponownie wykorzystane przez inne strony, a jeśli tak, dla jakich celów. Elastyczne
cele, takie jak „innowacja produktów”, są nieodpowiednie, jeśli chodzi o poinformowanie
użytkowników. Powinno być to jasno powiedziane, jeżeli użytkownicy mają się zgodzić na
dzielenie danych ze stronami trzecimi dla celów reklamowych oraz/i celów związanych z
działaniem oprogramowania typu analytics. Na sklepach z aplikacjami ciąży istotny
obowiązek zapewnienia, że informacje istnieją i są łatwo dostępne dla każdej aplikacji.
Na sklepach z aplikacjami ciąży istotny obowiązek zapewnienia odpowiedniej informacji.
Wykorzystanie znaków wizualnych lub ikon dotyczących wykorzystania danych jest silnie
rekomendowane w celu uświadomienia użytkowników odnośnie rodzajów przetwarzania
danych.
Dodatkowo do wymienionego powyżej minimalnego zakresu informacji, koniecznego w celu
uzyskania zgody od użytkownika aplikacji, Grupa Robocza mając na uwadze uczciwe
przetwarzanie danych osobowych, mocno doradza administratorom danych podanie
użytkownikom także informacji na temat:
- aspektów proporcjonalności rodzajów zbieranych danych, lub danych do których uzyskują
dostęp na urządzeniu
- okresów przechowywania danych
- środków bezpieczeństwa stosowanych przez administratora danych
Grupa Robocza zaleca także twórcom aplikacji włączenie informacji na temat ich polityki
prywatności dedykowanej użytkownikom europejskim, dotyczącej tego w jaki sposób
aplikacja spełnia wymogi europejskiego prawa ochrony danych, obejmującą możliwe
przekazywanie danych osobowych z Europy do np. USA, oraz tego, czy i jak aplikacje
spełniają w takim przypadku wymogi programu Bezpiecznej Przystani.
3.7.2. Forma informacji
Zasadniczy zakres informacji na temat przetwarzania danych osobowych musi być dostępny
dla użytkowników przed instalacją aplikacji poprzez sklep z aplikacjami. Po drugie,
odpowiednia informacja na temat przetwarzania danych musi być także dostępna w aplikacji,
po instalacji.
Jako współ-administrator wspólnie z twórcami aplikacji w odniesieniu do informacji, sklepy z
aplikacjami muszą zapewnić, że każda aplikacja zapewnia kluczowe informacje na temat
przetwarzania danych osobowych. Powinny one sprawdzić hyperlinki do załączonych stron z
informacją na temat prywatności oraz usunąć aplikacje z niedziałającymi linkami lub z innego
powodu niedostępnymi informacjami na temat przetwarzania danych.
26
Grupa Robocza zaleca, aby informacja na temat przetwarzania danych osobowych była także
dostępna oraz łatwa do zlokalizowania, np. wewnątrz sklepu z aplikacjami oraz, co jest
preferowane, na stałych stronach twórców aplikacji odpowiedzialnych za aplikacje.
Nieakceptowane jest, aby stawiać użytkowników w pozycji, w której musieliby wyszukiwać
w sieci informacje na temat polityk przetwarzania danych przez aplikacje zamiast być
poinformowanymi bezpośrednio przez twórców aplikacji lub administratora danych.
Jak najbardziej podstawowy obowiązek, każda aplikacja powinna mieć czytelną, zrozumiałą
oraz łatwo dostępną politykę prywatności, gdzie wszystkie powyższe informacje są zawarte.
Wiele aplikacji nie spełnia tego minimalnego wymogu odnośnie przejrzystości. Zgodnie
z przeprowadzonym w czerwcu 2012 badaniem FPF, 56% płatnych aplikacji nie ma polityki
prywatności, podobnie jak prawie 30% bezpłatnych aplikacji.
Aplikacje które nie przetwarzają danych osobowych lub nie zamierzają ich przetwarzać,
powinny jasno stwierdzić to w polityce prywatności.
Oczywiście, są ograniczenia dotyczące ilości informacji, które mogą być umieszczone na
małym wyświetlaczu, jednakże nie stanowi to wyłączenia wymogu odpowiedniego
poinformowania użytkowników. Można przyjąć kilka strategii w celu zapewniania
świadomości użytkowników co do kluczowych elementów usługi. Grupa Robocza widzi
korzyści w zastosowaniu warstwowego systemu powiadamiania szczegółowo opisanego w
Opinii GR29 10/200443, gdzie początkowa informacja dla użytkowników zawiera minimalne
informacje wymagane przez ramy prawne UE, a dalsze informacje są dostępne przez linki
odwołujące się do całej polityki prywatności. Informacja powinna być zaprezentowana
bezpośrednio na ekranie, być łatwo dostępna oraz wyraźnie widoczna. Poza zrozumiałą
informacją dopasowaną do małego ekranu urządzeń mobilnych, użytkownicy muszą być w
stanie dotrzeć do bardziej szczegółowych wyjaśnień, np. w polityce prywatności, na temat
tego, jak aplikacje wykorzystują dane osobowe, kto jest administratorem danych oraz gdzie
użytkownik może wykorzystać swoje prawa.
Podejście to może być połączone z wykorzystaniem ikon, zdjęć, filmów oraz dźwięków, oraz
wykorzystać kontekstualną notyfikację w czasie rzeczywistym, kiedy aplikacja uzyskuje
dostęp do książek adresowych lub zdjęć.44 Ikony te muszą być znaczące, t.j. jasne, niezależne
oraz jednoznaczne. Oczywiście producenci OS ponoszą w dużym stopniu
współodpowiedzialność za ułatwienie wykorzystania takich ikon.
Twórcy aplikacji prześcigają się w programowaniu oraz projektowaniu całościowych
interfejsów dopasowanych do małych ekranów i GR29 wzywa przemysł do wykorzystania tej
kreatywności do dostarczenia bardziej innowacyjnych rozwiązań w celu efektywnego
informowania użytkowników odnośnie przetwarzania danych osobowych na urządzeniach
mobilnych. W celu zapewnienia, że informacja jest naprawdę zrozumiała dla użytkowników
bez wiedzy technicznej lub prawniczej, Grupa Robocza (zgodnie z raportem FTC) mocno
zaleca testy konsumenckie wybranych strategii.45
43
Opinia Grupy Roboczej Art. 29 nr 10/2004 w sprawie dalszej harmonizacji zasad informowania:
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2004/wp100_pl.pdf
44
Np. ikony ostrzegawcze dla przetwarzania geo-lokalizacyjnego wykorzystywanego przez iPhone’y.
45
Raport FTC, przypis 6, s. 16
27
3.8. Prawa osób, których dane dotyczą
Zgodnie z art. 12 oraz 14 dyrektywy o ochronie danych, twórcy aplikacji oraz inni
administratorzy danych w ekosystemie aplikacji mobilnych muszą umożliwić użytkownikom
aplikacji wykonywanie ich praw dostępu, poprawienia, usunięcia oraz wyrażanie sprzeciwu
odnośnie przetwarzanych danych. Jeżeli użytkownik wykorzystuje prawo dostępu,
administrator danych musi zapewnić użytkownikowi informację na temat przetwarzanych
danych oraz źródła tych danych. Jeżeli administrator podejmuje zautomatyzowaną decyzję
opartą na zebranych danych, administrator musi także poinformować użytkownika o logice
stojącej za tymi decyzjami. Może mieć to miejsce kiedy zachowanie użytkowników jest
oceniane, np. na podstawie danych finansowych lub zdrowotnych lub innych danych
profilowych. Na prośbę użytkownika, administrator danych w aplikacji musi umożliwić
poprawienie, usunięcie lub zablokowanie danych osobowych, jeżeli są niekompletne,
niedokładne lub przetwarzane niezgodnie z prawem.
Aby użytkownicy byli w stanie wykonywać kontrolę nad przetwarzaniem ich danych
osobowych, aplikacje muszą jasno oraz w widoczny sposób informować użytkowników
o istnieniu tych mechanizmów dostępu oraz poprawiania. Grupa Robocza Art. 29 zaleca
zaprojektowanie oraz wdrożenie prostych, ale bezpiecznych narzędzi dostępu do sieci.
Narzędzia dostępu powinny być dostępne w każdej aplikacji lub poprzez zaoferowanie linku
do funkcjonalności on-line, gdzie użytkownicy mogą uzyskać natychmiastowy dostęp do
wszystkich danych przetwarzanych na ich temat oraz niezbędnych wyjaśnień w tym zakresie.
Podobne inicjatywy muszą być wdrożone przez dostarczycieli usług internetowych, takie jak
różne deski rozdzielcze oraz inne mechanizmy dostępu.
Potrzeba łatwego dostępu on-line jest szczególnie wysoka w przypadku, gdy aplikacje
przetwarzają bogate profile użytkownia, takie jak w aplikacjach networkingowych,
społecznościowych lub związanych z wysyłaniem wiadomości lub aplikacjach, które
przetwarzają dane wrażliwe lub finansowe. Oczywiście dostęp powinien być przyznany tylko
jeśli tożsamość osoby, której dane dotyczą, została potwierdzona, w celu zapobieżenia
wypłynięciu danych do stron trzecich. Jednakże ten obowiązek weryfikacji tożsamości nie
powinien prowadzić do dodatkowego, nadmiernego zbierania danych osobowych, na temat
osoby, której dane dotyczą. W wielu przypadkach uwierzytelnienie może wystarczyć, zamiast
(pełnej) identyfikacji.
Dodatkowo użytkownikom powinno zawsze się zapewnić możliwość wycofania zgody w
sposób prosty oraz nieobarczony barierami. Osoba, której dane dotyczą, może wycofać zgodę
na przetwarzanie danych na wiele różnych sposobów oraz z wielu różnych powodów.
Preferowaną opcją wycofania zgody powinno być jej udostępnienie przez wspomniany
powyżej łatwo dostępny mechanizm. Musi być możliwe odinstalowanie aplikacji i usunięcie
w ten sposób wszystkich danych, także z serwerów administratorów danych. W umożliwieniu
użytkownikom, by ich dane mogły być usunięte przez twórców aplikacji, istotną rolę do
odegrania mają producenci OS, którzy sygnalizują twórcom aplikacji to, że użytkownik ją
odinstalował. Taki sygnał mógłby być przekazany za pośrednictwem API. Zasadniczo, po
odinstalowaniu aplikacji, twórca aplikacji nie ma podstawy prawnej do dalszego
przetwarzania danych osobowych dotyczących użytkownika i dlatego musi skasować
wszystkie dane. Twórca aplikacji, który chce zachować pewne dane, np w celu ułatwienia
reinstalcji aplikacji, musi odrębnie poprosić o zgodę w czasie odinstalowywania, prosząc
użytkownika o zgodę na dodatkowy, zdefiniowany okres przechowywania. Jedynym
wyjątkiem od tej zasady jest możliwe istnienie obowiązków prawnych przetrzymywania
28
niektórych danych dla określonych celów, np. dla obowiązków fiskalnych związanych z
operacjami finansowymi.46
3.9 Okresy przechowywania
Twórcy aplikacji muszą rozważyć okresy przechowywania danych zbieranych przez aplikacje
oraz ryzyka dla ochrony danych, jakie to stwarza. Konkretny okres będzie zależał od celów
aplikacji oraz znaczenia danych dla użytkownika końcowego. Np. aplikacje dzielące
kalendarze, pamiętniki lub zdjęcia zostawiałyby określenie czasu użytkownikowi
końcowemu, podczas gdy w przypadku aplikacji nawigacyjnych mogłoby wystarczyć jedynie
10 ostatnio odwiedzonych lokalizacji. Twórcy aplikacji powinni także zastanowić się nad
danymi tych użytkowników, którzy nie wykorzystywali aplikacji przez dłuższy okres.
Użytkownicy ci mogli utracić urządzenie, lub zamienić je na inne bez aktywnego
odinstalowania wszystkich aplikacji z początkowego urządzenia. Z tego względu twórcy
aplikacji powinni na wstępie określić okres braku aktywności, po którym konto będzie
traktowane jako wygasłe oraz zapewnić, aby użytkownik był poinformowany o takim okresie.
Po upłynięciu tego okresu, administrator danych powinien poinformować użytkownika oraz
dać mu szansę na odzyskanie tych danych. Jeżeli użytkownik nie odpowie, dane odnoszące
się do użytkownika oraz wykorzystania aplikacji powinny być nieodwracalnie
zanonimizowane lub skasowane. Okres przypominania zależy od celu aplikacji oraz
lokalizacji, gdzie dane są przechowywane. Jeśli chodzi o dane przechowywane na samym
urządzeniu, np. rekord w grach, dane mogą być przechowywane tak długo jak aplikacja jest
zainstalowana. Jeśli chodzi o dane, które są używane jedynie raz na rok, takie jak informacje
na temat ośrodku narciarskiego, okres przypomnienia może wynosić 15 miesięcy.
3.10. Dzieci
Dzieci są gorliwymi użytkownikami aplikacji, na ich własnych urządzeniach, lub dzielonych
z innymi (np. ich rodziców, rodzeństwa lub w szkole) i widoczne jest istnienie dużego oraz
zróżnicowanego rynku aplikacji nakierowanych na dzieci. Jednak jednocześnie dzieci
posiadają niewielkie lub żadne zrozumienie i wiedzę na temat wrażliwości danych, do których
aplikacje mogą zdobyć dostęp, czy zakresu danych dzielonych ze stronami trzecimi dla celów
reklamowych
Grupa Robocza zajmowała się w wyczerpujący sposób kwestią przetwarzania danych dzieci
w Opinii 2/2009 o ochronie danych osobowych dzieci i zajęła się jedynie częścią ryzyk oraz
zaleceń właściwych dla aplikacji obecnych w tym ustępie.47
46
Grupa Robocza przypomina wszystkim usługom społeczeństwa informacyjnego, takim jak aplikacje, że
europejskie obowiązki w zakresie przechowywania danych (dyrektywa 2006/24/WE), nie mają do nich
zastosowania i z tego względu nie mogą być przywołane jako podstawa prawna do dalszego przetwarzania
danych użytkowników, po tym jak skasowali aplikacje. Grupa Robocza wykorzystuje tą okazję do podkreślenia
szczególnie ryzykownej natury danych o ruchu, które wymagają specjalnej ostrożności oraz środków
ochronnych samych w sobie – jak to podkreślono w Raporcie GR29 na temat wdrożenia dyrektywy retencyjnej
(WP172) – gdzie wszyscy interesariusze zostali wezwani do wdrożenia odpowiednich środków bezpieczeństwa.
47
Opinia Grupy Roboczej art. 29 nm 2/2009 w sprawie ochrony danych osobowych dzieci (Ogólne wytyczne i
szczególny przypadek szkół) (11 lutego 2009)
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp160_pl.pdf
29
Twórcy aplikacji oraz inni administratorzy danych powinni zwrócić uwagę na limit wieku
dzieci oraz niepełnoletnich, tak jak zdefiniowano to w prawie krajowym, gdzie zgoda
rodziców jest warunkiem wstępnym zgodnego z prawem przetwarzania danych przez
aplikacje.48
Kiedy zgoda może legalnie być uzyskana od nieletniego, a aplikacja jest przeznaczona do
użytku przez dzieci lub osoby niepełnoletnie, administrator danych powinien zwrócić uwagę
na możliwie niewielkie zrozumienie oraz uwagę przywiązywaną przez niepełnoletnich do
informacji na temat przetwarzania danych. Z powodu ich ogólnej podatności, a także biorąc
pod uwagę, że dane muszą być przetwarzane uczciwie oraz zgodnie z prawem,
administratorzy danych skierowani na dzieci powinni nawet bardziej restrykcyjnie
respektować zasady minimalizacji zakresu danych oraz ograniczenia celu. Szczególnie
administratorzy danych nie powinni przetwarzać danych dzieci dla celów reklamy
behawioralnej, ani w sposób bezpośredni ani pośredni, jako że znajduje się to poza
zrozumieniem dzieci i z tego względu przekracza granice legalnego przetwarzania.
Grupa Robocza podziela obawy wyrażone przez Federalną Komisję Handlu w jej raporcie na
temat aplikacji mobilnych dla dzieci.49
Twórcy aplikacji, we współpracy ze sklepami z aplikacjami oraz producentami urządzeń oraz
OS, powinni dostarczyć odpowiednią informację w prosty sposób, w języku dostosowanym
do wieku. Administratorzy danych powinni powstrzymać się od jakiegokolwiek zbierania
danych związanych z rodzicami lub członkami rodziny od użytkownika będącego dzieckiem,
takich jak informacje finansowe lub informacje na temat specjalnych kategorii informacji,
takich jak dane medyczne.
4 Wnioski i zalecenia
Wiele rodzajów danych dostępnych w inteligentnych urządzeniach mobilnych to dane
osobowe. Właściwą podstawę prawną stanowi dyrektywa o ochronie danych, w połączeniu
z określonym wymogiem zgody zawartym w artykule 5 ust. 3 dyrektywy o prywatności
i łączności elektronicznej. Przepisy te mają zastosowanie do każdej aplikacji, której grupą
docelową są użytkownicy aplikacji w UE, bez względu na lokalizację twórcy aplikacji czy też
sklepu z aplikacjami.
Fragmentaryczny charakter ekosystemu aplikacji, szeroki zakres technicznych możliwości
dostępu do danych przechowywanych w urządzeniach mobilnych lub przez nie
wygenerowanych oraz brak świadomości prawnej wśród twórców stwarzają szereg
poważnych zagrożeń w zakresie ochrony danych dla użytkowników aplikacji, począwszy od
braku przejrzystości i braku świadomości wśród użytkowników aplikacji, aż po słabe środki
bezpieczeństwa, mechanizmy zgody oparte na błędnych przesłankach, tendencję do
maksymalizacji zakresu danych oraz elastyczność celów przetwarzania danych.
48
W państwach członkowski UE limit wieku wacha się od 12 do 18 lat.
Raport FTC Aplikacje mobilne dla dzieci: Obecne ujawnienia prywatności są rozczarowujące (Frb. 2012):
http://www.ftc.gov/os/2012/02/120216mobile_apps_kids.pdf „Podczas gdy badacze napotkali zróżnicowane
aplikacje dla dzieci stworzone przez setki różnych twórców, znaleziono niewiele, jeśli w ogóle, informacji
w miejscach sprzedaży aplikacji na temat zbierania danych oraz dzielenia praktyk tych aplikacji.”
49
30
Ma miejsce nakładanie się zobowiązań w zakresie ochrony danych między różnymi stronami
zaangażowanymi w rozwój, rozpowszechnianie oraz możliwości techniczne aplikacji.
Większość wniosków i zaleceń kierowana jest to twórców aplikacji (tak aby mieli jak
największą kontrolę nad dokładnym sposób przetwarzania czy też przedstawiania informacji
w ramach aplikacji), ale często, aby osiągnąć najwyższe standardy ochrony danych
i prywatności, muszą oni współpracować z innymi stronami w ekosystemie aplikacji, takimi
jak producenci OS i urządzeń, sklepy z aplikacjami i strony trzecie, np. dostawcy analityczni
oraz sieci reklamowe.
Twórcy aplikacji muszą

Być świadomi i przestrzegać swoich zobowiązań jako administratorzy danych, gdy
przetwarzają dane od lub na temat użytkowników;

Być świadomi i przestrzegać swoich zobowiązań jako administratorzy danych, gdy
zwierają umowy z przetwarzającymi dane, np. gdy powierzają gromadzenie
i przetwarzanie danych osobowych twórcom, programistom i na przykład dostawców
usług przechowywania w chmurze;

Prosić o zgodę zanim aplikacja rozpocznie wyszukiwanie lub umieszczanie informacji
na urządzeniu, np. przed instalacją aplikacji. Zgoda musi być wyrażona dobrowolnie,
być konkretna i świadoma;

Prosić o stopniową zgodę dla każdego rodzaju danych, do których aplikacja będzie
miała dostęp; co najmniej dla kategorii Lokalizacja, Kontakty, Unikalny identyfikator
urządzenia, Tożsamość osoby, której dane dotyczą, Tożsamość telefonu, Dane
dotyczące karty kredytowej i płatności, Telefonia i SMS, Historia wyszukiwania,
Email, Dane pozwalające na uwierzytelnienie w portalach społecznościowych oraz
Dane biometryczne;

Być świadomi faktu, że zgoda nie uprawnia do nadmiernego lub nieproporcjonalnego
przetwarzania danych;

Zapewnić dobrze określone i zrozumiałe cele przetwarzania danych przed instalacją
aplikacji oraz nie mogą zmieniać tych celów bez ponownej zgody; zapewnić
szczegółowe informacje na temat tego, czy dane będą wykorzystywanie do celów
strony trzeciej, takich jak reklama czy cele analityczne;

Zapewnić użytkownikom możliwość odwołania zgody oraz odinstalowania aplikacji
oraz usunąć dane, gdy to właściwe;

Przestrzegać zasady minimalizacji zakresu danych i zbierać jedynie te dane, które są
absolutnie niezbędne do realizacji wymaganej funkcjonalności;

Podjąć niezbędne środki techniczne i organizacyjne w celu zapewnienia ochrony
danych osobowych, które przetwarzają, na wszystkich etapach projektowania i
wdrażania aplikacji (ochrona prywatności w fazie projektowania, tzw. privacy by
design), jak określono w artykule 3 ust. 6 niniejszej Opinii;

Zapewnić pojedynczy punkt kontaktowy dla użytkowników aplikacji;

Zapewnić odczytywalną, zrozumiałą i łatwo dostępna politykę prywatności, która
informuje użytkowników co najmniej na temat tego:
- kim są (tożsamość i dane kontaktowe),
- jakie konkretne kategorie danych osobowych aplikacja chce zbierać i przetwarzać,
31
- dlaczego przetwarzanie danych jest konieczne (do jakich celów),
- czy dane będą ujawniane stronom trzecim (nie tylko ogólny, ale szczegółowy opis tego,
komu dane będą udostępnione),
- jakie prawa posiadają użytkownicy, jeżeli chodzi o wycofanie zgody oraz usunięcie
danych;

Umożliwić użytkownikom aplikacje realizację ich praw dostępu do danych, ich
poprawienia, usunięcia, oraz ich prawa do wyrażenia sprzeciwu wobec przetwarzania
danych oraz poinformować ich o istnieniu takich mechanizmów;

Określić racjonalny okres przechowywania danych zebranych przy pomocy aplikacji
oraz określić wcześniej okres nieaktywności, po którym konto będzie traktowane jako
wygasłe;

W odniesieniu do aplikacji skierowanych do dzieci: zwracać uwagę na limit wiekowy
dla dzieci i niepełnoletnich przewidziany w ustawodawstwie krajowym, wybrać
najbardziej rygorystyczne podejście do przetwarzania danych przy pełnym
uwzględnieniu zasad minimalizacji zakresu danych oraz ograniczenia celu,
powstrzymać się od przetwarzania danych dzieci do celów reklamy behawioralnej, czy
to bezpośrednio czy pośrednio, oraz powstrzymać się od gromadzenia od dzieci
danych na temat ich rodziny i/lub przyjaciół.
Grupa Robocza zaleca, aby twórcy aplikacji

Przeanalizowali właściwe wytyczne dotyczące określonych zagrożeń bezpieczeństwa
i środków;

Proaktywnie informowali użytkowników o naruszeniach ochrony danych osobowych
zgodnie z wymogami dyrektywy o prywatności i łączności elektronicznej;

Informowali użytkowników o swoich rozważaniach dotyczących proporcjonalności
dla rodzajów danych, które są zbierane lub do których jest umożliwiany dostęp na
urządzeniu, o okresach przechowywania danych oraz stosowanych środkach
bezpieczeństwa;

Opracowali narzędzia umożliwiające użytkownikom dostosowanie okresów
przechowywania ich danych osobowych w oparciu o ich konkretne preferencje
i kontekst, zamiast oferować wcześniej określone warunki przechowywania;

Zawarli informacje w swojej polityce prywatności przeznaczonej dla użytkowników
europejskich;

Opracowali i wdrożyli proste, ale bezpieczne narzędzia dostępu online dla
użytkowników, bez zbierania dodatkowych nadmiernych danych osobowych;

Wraz z producentami OS i urządzeń oraz sklepami z aplikacjami wykorzystywać ich
kreatywny talent do opracowywania innowacyjnych rozwiązań w celu odpowiedniego
informowania użytkowników w urządzeniach mobilnych, na przykład za pomocą
systemu warstwowego powiadamiania połączonego ze znaczącymi ikonami.
Sklepy z aplikacjami muszą

Być świadome i przestrzegać swoich zobowiązań jako administratorzy danych,
gdy przetwarzają dane od lub na temat użytkowników;
32

Egzekwować obowiązek informacyjny twórcy aplikacji, w tym rodzaje danych, do
których aplikacja może mieć dostęp i dla jakich celów, oraz czy następuje
wymiana danych ze stronami trzecimi;

Zwracać szczególną uwagę na aplikacje skierowane do dzieci w celu ochrony
przed nielegalnym przetwarzaniem ich danych oraz w szczególności wdrożyć
obowiązek przedstawienia istotnych informacji w prosty sposób, w języku
dostosowanym do wieku użytkownika;

Zapewnić szczegółowe informacje na temat operacji sprawdzenia dostarczenia
aplikacji do sklepu, których rzeczywiście dokonują, w tym tych mających na celu
oszacowanie kwestii ochrony danych i prywatności.
Grupa Robocza zaleca, aby sklepy z aplikacjami

We współpracy z producentem OS, rozwinęły narzędzia kontroli dla
użytkowników, takie jak symbole przedstawiające dostęp do danych
w urządzeniu mobilnym lub przez nie generowanych;

Poddawały wszystkie aplikacji mechanizmom reputacji publicznej;

Wdrożyły zdalny mechanizm
prywatności;

Zapewniły użytkownikom możliwości zgłaszania problemów dotyczących
ochrony prywatności i/lub bezpieczeństwa;

Współpracowały z twórcami aplikacji w celu proaktywnego informowania
użytkowników o naruszenia ochrony danych osobowych;

Ostrzegały i informowały twórców aplikacji o specyficznych cechach prawa
europejskiego przed wprowadzeniem aplikacji na rynek europejski, na
przykład informowały o wymogu zgody oraz w przypadku przekazywania
danych osobowych krajów spoza UE.
odinstalowania przyjazny dla ochrony
Producenci OS oraz urządzeń muszą

Aktualizować swoje API, zasady przechowywania i interfejsy użytkownika,
aby zapewnić użytkownikom wystarczające środki do kontroli realizacji
zgodnej z prawem zgody na przetwarzanie danych przez aplikacje;

Wdrożyć mechanizmy uzyskiwania zgody w ich systemach operacyjnych (OS)
przy pierwszym wprowadzeniu aplikacji lub gdy aplikacja pierwszy raz
próbuje uzyskać dostęp do kategorii danych mających istotny wpływ na
ochronę prywatności;

Zastosować zasady ochrony prywatności w fazie projektowania (privacy by
design), aby zapobiec potajemnemu monitorowaniu użytkownika;

Zapewnić bezpieczeństwo przetwarzania;

Zapewnić (ustawienia domyślne), że wcześniej zainstalowane aplikacje będą
zgodne z europejskim prawem w zakresie ochrony danych;

Oferować stopniowy dostęp do danych, czujników i usług, w celu
zapewnienia, że twórca aplikacji będzie mógł mieć dostęp tylko do tych
danych, które są niezbędne dla jego aplikacji;
33

Zapewnić przyjazne dla użytkownika i skuteczne środki pozwalające uniknąć
bycia śledzonym przez reklamodawców i inne strony trzecie. Ustawienia
domyślne muszą umożliwiać unikanie śledzenia;

Zapewnić dostępność odpowiednich mechanizmów do informowania
i edukowania użytkownika końcowego na temat tego, co aplikacje mogą robić
i do jakich danych mogą mieć dostęp;

Zapewnić, że każdorazowy dostęp do kategorii danych jest odzwierciedlony
w informacji dla użytkownika przed instalacją aplikacji: przedstawione
kategorie muszą być jasne i zrozumiałe;

Wdrożyć bezpieczne środowisko, wraz z narzędziami zapobiegającymi
rozprzestrzenianiu się szkodliwych aplikacji i pozwalającymi na łatwe
zainstalowanie/odinstalowanie każdej funkcjonalności.
Grupa Robocza zaleca, aby producenci OS i urządzeń

Zapewnili użytkownikom możliwość odinstalowania aplikacji oraz dali znać
(np. poprzez API) twórcy aplikacji, aby umożliwić usunięcie określonych
danych użytkownika;

Systematycznie oferowali i usprawniali regularne aktualizacji bezpieczeństwa;

Zapewnili metody i funkcje pozwalające na dostęp do danych osobowych ,
w tym cechy mające na celu wdrożenie próśb o stopniową zgodę;

Aktywnie pomagali w rozwijaniu i usprawnianiu ikon informujących
użytkowników o różnym wykorzystaniu danych przez aplikacje;

Tworzyli jasne ścieżki audytu urządzeń, tak aby użytkownicy końcowi mogli
wyraźnie zobaczyć, jakie aplikacje mają/miały dostęp do danych na ich
urządzeniach oraz poznać wielkości ruchu wychodzącego dla danej aplikacji,
w odniesieniu do ruchu zainicjowanego przez użytkownika.
Strony trzecie muszą

Być świadome i przestrzegać swoich zobowiązań jako administratorzy danych,
gdy przetwarzają dane na temat użytkowników;

Przestrzegać wymogu zgody określonego w artykule 5 ust. 3 dyrektywy
o prywatności i łączności elektronicznej, gdy odczytują lub zapisują dane na
urządzeniach mobilnych, we współpracy z twórcami aplikacji i/lub sklepami
z aplikacjami, które koniecznie zapewniają użytkownikowi informacje na
temat celów przetwarzania danych;

Nie mogą pominąć żadnego mechanizmu służącego unikaniu śledzenia, co
obecnie często ma miejsce w przypadku mechanizmów „Do Not Track”
zastosowanych w przeglądarkach;

Dostawcy usług komunikacyjnych, gdy wprowadzają markowe urządzenia,
muszą zapewnić ważną zgodę użytkowników dla wcześniej zainstalowanych
aplikacji oraz podjąć się właściwych zobowiązań w sytuacji, gdy przyczyniają
się do określenia konkretnych cech urządzenia oraz OS, np. gdy ograniczają
dostęp użytkownika do określonych parametrów konfiguracji lub filtrują stałe
udostępnienia (funkcjonalne lub związane z bezpieczeństwem) zapewniane
przez producentów urządzenia lub OS;
34

Podmioty reklamujące muszą w szczególności unikać dostarczania reklam
wykraczających poza kontekst aplikacji. Przykładem może być dostarczanie
reklam poprzez modyfikację ustawień przeglądarki lub umieszczanie ikon na
pulpicie urządzenia mobilnego. Muszą powstrzymać się od używania
unikalnego urządzenia lub identyfikatorów abonenta do celu śledzenia;

Powstrzymać się od przetwarzania danych dzieci do celów reklamy
behawioralnej, czy to pośrednio czy bezpośrednio. Stosować odpowiednie
środki bezpieczeństwa. Obejmuje to bezpieczne przekazywanie i szyfrowane
przechowywanie unikalnego urządzenia i identyfikatorów użytkownika
aplikacji oraz innych danych osobowych.
Grupa Robocza zaleca, aby strony trzecie

Opracowały i wdrożyły proste, ale bezpieczne narzędzia dostępu online dla
użytkowników, bez gromadzenia dodatkowych nadmiernych danych
osobowych;

Gromadziły i przetwarzały tylko dane, które są zgodne z kontekstem
podawania danych przez użytkownika.
Sporządzono w Brukseli, w dniu 27 lutego 2013 r.
W imieniu Grupy Roboczej
Przewodniczący
Jacob KOHNSTAM
35