Opinia 2/2013 w sprawie aplikacji mobilnych
Transkrypt
Opinia 2/2013 w sprawie aplikacji mobilnych
Grupa Robocza Artykułu 29 ds. Ochrony Danych 00461/13/PL WP 202 Opinia 2/2013 w sprawie aplikacji mobilnych Przyjęta w dniu 27 lutego 2013 r. Niniejsza Grupa Robocza została powołana na mocy artykułu 29 Dyrektywy 95/46/WE. Jest to niezależny europejski organ doradczy w sprawach ochrony danych i prywatności. Jego zadania opisane zostały w artykule 30 Dyrektywy 95/46/WE i artykule 15 Dyrektywy 2002/58/WE. Obsługę Sekretariatu zapewnia Dyrekcja C (Prawa Podstawowe i Obywatelstwo Unii Europejskiej) Dyrekcji Generalnej ds. Sprawiedliwości Komisji Europejskiej, B-1049 Bruksela, Belgia, Biuro nr MO-59 02/013. Strona internetowa: http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm Streszczenie Istnieją setki tysięcy różnych dostępnych aplikacji, pochodzących z wielu sklepów z aplikacjami na każdy typ inteligentnego urządzenia. Każdego dnia do sklepów z aplikacjami jest dodawane ponad 1600 aplikacji. Statystyczny użytkownik smartphone’a pobiera 37 aplikacji. Aplikacje mogą być oferowane użytkownikowi końcowemu za niewielką lub żadną opłatą oraz mieć jedynie kilku lub wiele milionów użytkowników. Aplikacje są w stanie zbierać wielkie ilości danych z urządzenia (np.: dane przechowywane na urządzeniu przez użytkownika, a także dane z innych czujników, włączając lokalizację) oraz przetwarzać je w celu zapewnienia nowych oraz innowacyjnych usług użytkownikowi końcowemu. Jednakże dane z tych samych źródeł mogą być dalej przetwarzane, zwykle po to, aby zapewnić dochody w sposób nieznany lub niepożądany przez użytkownika końcowego. Twórcy aplikacji nieświadomi wymogów ochrony danych mogą tworzyć znaczne ryzyko dla życia prywatnego oraz reputacji użytkowników inteligentnych urządzeń. Kluczowe zagrożenia dla użytkownika końcowego odnośnie ochrony danych osobowych stanowi połączenie braku przejrzystości oraz świadomości odnośnie rodzajów przetwarzania, które aplikacja może podejmować, połączone z brakiem wyraźnej zgody użytkowników, zanim przetwarzanie będzie miało miejsce. Słabe środki bezpieczeństwa, widoczny trend w kierunku pobierania maksymalnej ilości danych oraz elastyczności celów, dla których dane są dalej przetwarzane także przyczyniają się do powstawania ryzyka dla ochrony prywatności w środowisku aplikacji. Wysoki poziom ryzyka dla ochrony danych wywodzi się także ze stopnia fragmentaryzacji uczestników rynku aplikacji. Obejmują oni: twórców aplikacji, właścicieli aplikacji, sklepy z aplikacjami, systemy operacyjne oraz producentów urządzeń (producentów systemów operacyjnych [OS] oraz urządzeń), oraz inne strony trzecie, które mogą być zaangażowane w zbieranie oraz przetwarzanie danych osobowych pochodzących z inteligentnych urządzeń, takie jak dostarczyciele aplikacji typu analytics oraz dostarczyciele reklam. Większość konkluzji oraz zaleceń niniejszej opinii skierowana jest do twórców aplikacji (ponieważ mają oni największą kontrolę nad dokładnym sposobem, w jaki przetwarzanie jest podejmowane a informacje prezentowane w aplikacji), jednakże często w celu osiągnięcia najwyższego standardu ochrony danych osobowych oraz ochrony prywatności muszą oni współpracować z innymi stronami tworzącymi ekosystem aplikacji. Jest to szczególnie istotne w odniesieniu do bezpieczeństwa, gdzie łańcuch wielu podmiotów jest tak silny, jak jego najsłabsze ogniwo. Wiele rodzajów danych dostępnych na inteligentnych urządzeniach przenośnych to dane osobowe. Odpowiednimi ramami prawnymi stosowanymi do aplikacji mobilnych jest dyrektywa o ochronie danych, w połączeniu z ochroną urządzeń mobilnych jako częścią sfery prywatnej użytkowników, określonej w dyrektywie o prywatności i łączności elektronicznej. Zasady te mają zastosowanie do wszystkich aplikacji skierowanych do użytkowników na terenie Unii Europejskiej, bez względu na lokalizację twórcy aplikacji czy sklepu z aplikacjami. W niniejszej opinii Grupa Robocza wyjaśnia podstawy prawne, które mają zastosowanie do przetwarzania danych w rozwoju, dystrybucji oraz używaniu aplikacji na inteligentnych urządzeniach, skupiając się na wymogach zgody, zasadach ograniczenia celu oraz minimalizacji przesyłanych danych, potrzebie odpowiednich środków ochronnych, obowiązku prawidłowego poinformowania użytkowników końcowych, ich prawach, 2 rozsądnych okresach przechowywania danych, a w szczególności uczciwego przetwarzania danych uzyskiwanych od dzieci i na temat dzieci. 3 Spis treści 1. Wstęp...................................................................................................................................... 5 2. Zagrożenia dla ochrony danych ............................................................................................. 6 3. Zasady ochrony danych .......................................................................................................... 8 3.1. Prawo właściwe ................................................................................................................... 8 3.2. Dane osobowe przetwarzane przez aplikacje ...................................................................... 9 3.3 Podmioty zaangażowane w przetwarzanie danych ............................................................ 10 3.3.1 Twórcy aplikacji .............................................................................................................. 11 3.3.2 Producenci urządzeń oraz OS ......................................................................................... 12 3.3.3. Sklepy z aplikacjami ...................................................................................................... 13 3.3.4. Podmioty trzecie ............................................................................................................. 14 3.4. Podstawy prawne............................................................................................................... 15 3.4.1. Zgoda uprzednia względem instalacji oraz przetwarzania danych osobowych ............. 16 3.2.4. Podstawy prawne dla przetwarzania danych podczas wykorzystywania aplikacji ........ 18 3.5 Ograniczenie celu oraz minimalizacja zakresu danych ...................................................... 19 3.6. Bezpieczeństwo ................................................................................................................. 20 3.7 Informacja .......................................................................................................................... 25 3.7.1. Obowiązek poinformowania oraz wymagana treść ....................................................... 25 3.7.2. Forma informacji ............................................................................................................ 26 3.8. Prawa osób, których dane dotyczą .................................................................................... 28 3.9 Okresy przechowywania .................................................................................................... 29 3.10. Dzieci .............................................................................................................................. 29 4 Wnioski i zalecenia ............................................................................................................... 30 4 1. Wstęp Aplikacje są programami komputerowymi często projektowanymi do konkretnych zadań oraz skierowanymi na wybrany typ inteligentnych urządzeń takich jak smartphone’y, tablety oraz telewizje internetowe. Organizują one informacje w sposób odpowiedni dla konkretnej charakterystyki urządzenia i często ściśle współdziałają ze sprzętem oraz systemem operacyjnym obecnym na urządzeniu. Istnieją setki tysięcy różnych dostępnych aplikacji, pochodzących z wielu sklepów z aplikacjami na każdy typ inteligentnego urządzenia. Aplikacje służą wielu celom, włączając w to wyszukiwanie w Internecie, komunikację (e-mail, telefonia oraz przesyłanie informacji przez Internet), rozrywkę (gry, filmy oraz muzyka), portale społecznościowe, usługi bankowe oraz usługi oparte na lokalizacji. Każdego dnia ponad 1600 aplikacji jest dodawanych do sklepów z aplikacjami.1 Statystyczny użytkownik smartphone’a pobiera 37 aplikacji.2 Aplikacje mogą być oferowane użytkownikowi końcowemu za niewielką lub żadną opłatą oraz mieć jedynie kilku lub wiele milionów użytkowników. Stanowiący podstawę system operacyjny będzie również zawierał oprogramowanie lub struktury danych, które są istotne dla kluczowych usług „urządzenia mobilnego”, np. książka adresowa smartphone’a. System operacyjny jest zaprojektowany w ten sposób, aby udostępnić te komponenty aplikacjom poprzez ich interfejsy programowania aplikacji (API). API oferują dostęp do wielu czujników, które mogą być dostępne na urządzeniu. Czujniki te obejmują: żyroskop, kompas cyfrowy oraz miernik przyspieszenia zapewniający informacje o szybkości oraz kierunku ruchu, przednią oraz tylną kamerę nagrywające obraz oraz zdjęcia; a także mikrofon nagrywający dźwięk. Inteligentne urządzenia mogą zawierać także czujnik bliskości.3 Inteligentne urządzenia mogą także łączyć się przez wiele interfejsów sieciowych, obejmujących Wi-Fi, Bluetooth, NFC czy Ethernet. Wreszcie, dokładna lokalizacja może być określona przez usługi geolokalizacyjne (jak opisano to w opinii Grupy Roboczej Artykułu 29 13/2011 w sprawie usług geolokalizacyjnych w inteligentnych urządzeniach przenośnych4). Rodzaj, dokładność oraz częstotliwość tych czujników danych różni się w zależności od urządzenia oraz systemu operacyjnego. Poprzez API, twórcy aplikacji są w stanie zbierać takie dane w sposób ciągły, uzyskiwać dostęp oraz zapisywać dane kontaktowe, wysyłać emaile, SMSy lub informacje w portalach społecznościowych, odczytywać/modyfikować/kasować zawartość kart SD, nagrywać dźwięk, wykorzystywać kamerę oraz uzyskiwać dostęp do zdjęć, odczytywać informacje na temat stanu oraz tożsamości telefonu, zmieniać ogólne ustawienia systemu oraz zapobiegać przejściu telefonu w stan uśpienia. API może również dostarczać informacji dotyczących 1 Raport Conceivably Tech z dnia 19 sierpnia 2012 r., dostępny na stronie www.conceivablytech com/10283/business/apple-app-store-to-reach-1mapps-this-year-sort-of. Zacytowany przez Kamala D. Harris, Prokuratora generalnego Departamentu Sprawiedliwości Kalifornii, Prywatność w ciągłej aktywności, Rekomendacje dla komórkowego ekosystemu, styczeń 2013, http://oag.ca.gov/sites/all/files/pdfs/privacy/privacy_on_the_go.pdf 2 Światowe oszacowanie z 2012 r. przygotowane przez ABI Research, http://www.abiresearch.com/press/smartphone-users-worldwide-will-download-37-apps-o 3 Czujnik, który wykrywa obecność przedmiotów bez fizycznego kontaktu. Patrz: http://www.w3.org/TR/2012/WD-proximity-20121206/ 4 Patrz: Opinia Grupy Roboczej 13/2011 w sprawie usług geolokacyjnych w inteligentnych urządzeniach przenośnych (maj 2011), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2011/wp185_en.pdf 5 samego urządzenia poprzez jeden lub więcej unikalnych identyfikatorów oraz informacji na temat innych zainstalowanych aplikacji. Dane z tych źródeł mogą być dalej przetwarzane, zwykle po to, aby zapewnić dochody w sposób nieznany lub niepożądany przez użytkownika końcowego. Celem niniejszej opinii jest wyjaśnienie ram prawnych mających zastosowanie do przetwarzania danych osobowych w dystrybucji oraz wykorzystaniu aplikacji na inteligentnych urządzeniach oraz rozważenie dalszego przetwarzania, które może mieć miejsce poza aplikacją, takie jak wykorzystywanie zbieranych danych do tworzenia profili oraz wybierania użytkowników docelowych. Opinia analizuje kluczowe ryzyka dla ochrony danych osobowych, zapewnia opis różnych zaangażowanych stron oraz podkreśla różne obowiązki prawne. Obejmuje to: twórców aplikacji, sklepy z aplikacjami, producentów urządzeń oraz Systemów Operacyjnych (producenci urządzeń oraz OS), a także inne strony trzecie, które mogą być zaangażowane w zbieranie oraz przetwarzanie danych osobowych, pochodzących z inteligentnych urządzeń, takich jak dostarczyciele programów typu analitycs oraz dostawcy reklam. Opinia skupia się na wymogach zgody, zasadach ograniczenia celu oraz minimalizacji ilości przesyłanych danych, potrzebie odpowiednich środków ochronnych, obowiązku prawidłowego poinformowania użytkowników końcowych, ich prawach, rozsądnych okresach przechowywania oraz, w szczególności na uczciwym przetwarzaniu danych od i na temat dzieci. Zakres obejmuje wiele różnych typów inteligentnych urządzeń, lecz w szczególności skupia się na aplikacjach dostępnych na inteligentne urządzenia mobilne. 2. Zagrożenia dla ochrony danych Bliska interakcja z systemami operacyjnymi pozwala aplikacjom uzyskiwać dostęp do znacząco większej ilości danych niż tradycyjne wyszukiwarki internetowe. 5 Aplikacje są zdolne zbierać duże ilości danych z urządzenia (dane o lokalizacji, dane przechowywane na urządzeniu przez użytkownika oraz dane z innych czujników) oraz przetwarzać te dane w celu zapewnienia nowych oraz innowacyjnych usług użytkownikowi końcowemu. Wysoki poziom ryzyka dla ochrony danych wywodzi się także ze stopnia fragmentaryzacji uczestników krajobrazu rozwoju aplikacji. Pojedyncza dana może, w czasie rzeczywistym, być przekazana z urządzenia w celu jej przetwarzania na cały świat lub być przekopiowana przez łańcuch stron trzecich. Niektóre z najbardziej znanych aplikacji są przetwarzane przez główne przedsiębiorstwa jednak wiele innych jest tworzone przez małe przedsiębiorstwa. Pojedynczy programista z pomysłem oraz niewielkimi lub zgoła żadnymi zdolnościami w zakresie programowania może dotrzeć do światowej publiczności w krótkim okresie. Twórcy aplikacji nieświadomi wymogów ochrony danych mogą tworzyć znaczące ryzyko dla życia prywatnego oraz reputacji użytkowników inteligentnych urządzeń. Równocześnie, usługi stron trzecich, takie jak reklamy, rozwijają się w gwałtownym tempie, i jeśli są połączone w odpowiednim sposób z twórcami aplikacji, mogą ujawniać znaczącą ilość danych osobowych. 5 Wyszukiwarki internetowe mają także szerszy dostęp do danych wrażliwych użytkowników końcowych urządzeń, napędzane przez twórcom internetowych gier. 6 Kluczowe zagrożenia dla użytkownika końcowego odnośnie ochrony danych stanowi połączenie braku przejrzystości oraz świadomości odnośnie rodzajów przetwarzania, które aplikacja może podejmować, połączone z brakiem wyraźnej zgody użytkowników, zanim przetwarzanie będzie miało miejsce. Słabe środki bezpieczeństwa, widoczny trend w kierunku maksymalizacji zakresu danych oraz elastyczności celów, dla których dane są dalej przetwarzane także przyczynia się do powstawania ryzyk dla ochrony prywatności w środowisku aplikacji. Wiele z tych ryzyk zostało już zbadanych przez Federalną Komisję Handlu USA, Kanadyjski Urząd Komisarza ds. Prywatności oraz Prokuratora Generalnego Departamentu Sprawiedliwości Stanu Kalifornia, które także odniosły się do tych kwestii. 6 Kluczowym ryzykiem z punktu widzenia ochrony danych jest brak przejrzystości. Twórcy aplikacji są ograniczeni przez cechy udostępnione przez producentów systemów operacyjnych oraz sklepy z aplikacjami, jeśli chodzi o zapewnienie pełnej informacji w odpowiednim czasie użytkownikowi końcowemu. Jednakże nie wszyscy twórcy aplikacji korzystają z tych cech, a wiele aplikacji nie ma polityki prywatności lub nie informuje potencjalnych użytkowników w wyraźny sposób odnośnie rodzajów danych osobowych, które aplikacja może przetwarzać oraz celów przetwarzania. Brak przejrzystości nie ogranicza się jedynie do bezpłatnych aplikacji, lub tych pisanych przez niedoświadczonych twórców. Zgodnie z ostatnimi badaniami jedynie 61,3% ze 150 najważniejszych aplikacji posiada politykę prywatności.7 Brak przejrzystości jest ściśle powiązany z brakiem dobrowolnej i świadomej zgody. Gdy tylko aplikacja zostaje pobrana, zgoda jest często zredukowana do okienek wskazujących, że użytkownik końcowy zgadza się na warunki umowy, nawet bez zaoferowania opcji „nie, dziękuję”. Zgodnie ze studiami GSMA z września 2011 r., 92% użytkowników aplikacji chce mieć możliwość bardziej stopniowego wyboru. 8 Słabe środki bezpieczeństwa mogą prowadzić do nieuprawnionego przetwarzania (wrażliwych) danych osobowych, np. jeśli twórca aplikacji staje się ofiarą naruszenia ochrony danych lub jeśli z samych aplikacji wyciekają dane osobowe. Kolejnym zagrożeniem dla prywatności jest lekceważenie (przypadkowe lub intencjonalne) zasady ograniczenia celu, która wymaga, aby dane były zbierane oraz przetwarzane jedynie dla określonych oraz legalnych celów. Dane osobowe zbierane przez aplikacje mogą być szeroko dystrybuowane do dużej liczby stron trzecich dla niezdefiniowanych lub elastycznych celów, takich jak „badania rynkowe”. To samo alarmujące lekceważenie jest okazywane zasadzie minimalizacji ilości przetwarzanych 6 Zob. między innymi: raport FTC Naruszenia prywatności w urządzeniach mobilnych, budowanie zaufania poprzez przejrzystość, luty 2013, http://www.ftc.gov/os/2013/02/130201mobileprivacyreport.pff, raport FTC Aplikacje mobilne dla dzieci: aktualne naruszenia prywatności są rozczarowujące, luty 2012 http://www.ftc.gov/os/2012/02/120216 mobile_apps_kids.pdf i jego kontynuacja w raporcie: Aplikacje mobilne dla dzieci: Naruszenia ciągle nie podlegają ocenie, grudzień 2012, http://www.ftc.gov/os/2012/12/121210mobilekidsappreport.pdf, Kanadyjskie biuro komisarza ds. prywatności, Możliwość zajęcia: Dobre praktyki ochrony prywatności dla tworzenia aplikacji mobilnych, październik 2012, http://www.priv.gc.ca/information/pub/gd_app_201210_e.pdf, Kamala D. Harris, Prokurator Generalny Departamentu Sprawiedliwości Kalifornii, Prywatność w ciągłej aktywności, Rekomendacje dla komórkowego ekosystemu, styczeń 2013, http://oag.ca.gov/sites/all/files/pdfs/privacy/privacy_on_the_go.pdf 7 FPF, czerwiec 2012, Studium o aplikacjach mobilnych, http://www.futureofprivacy.org/wpcontent/uploads/Mobile-Apps-Study-June-2012.pdf 8 „ 89% (uzytkowników) uważa za istotne, aby wiedzieć kiedy ich dane osobowe są udostępnianie przez aplikacje oraz aby mieć możliwość wyłączenia lub włączenia tej funkcji.” Żródło: Perspektywa użytkownika dot. prywatności mobilnej http://www.gsma.com/publicpolicy/wpcontent/uploads/2012/03/futuresightuserperspectivesonuserprivacy.pdf 7 danych. Ostatnie badanie pokazało, że wiele aplikacji wyraźnie gromadzi dane ze smartphone’ów bez żadnego znaczącego związku z widoczną funkcjonalnością aplikacji.9 3. Zasady ochrony danych 3.1. Prawo właściwe Odpowiednie ramy prawne EU tworzy dyrektywa o ochronie danych (95/46/WE). Ma ona zastosowanie do każdego przypadku, gdzie wykorzystanie aplikacji na inteligentnych urządzeniach obejmuje przetwarzanie danych osobowych osób fizycznych. W celu identyfikacji prawa właściwego kluczowa jest w pierwszej kolejności identyfikacja roli różnych zainteresowanych stron: identyfikacja administratora(-rów) przetwarzania przeprowadzanego przez aplikacje mobilne jest szczególnie istotna w odniesieniu do prawa właściwego. Siedziba administratora jest decydującym elementem powodującym stosowanie prawa ochrony danych, chociaż nie jest jedynym kryterium. Zgodnie z art. 1.1.a) dyrektywy o ochronie danych, prawo krajowe państwa członkowskiego jest właściwe odnośnie wszystkich operacji przetwarzania „w kontekście prowadzenia przez administratora danych działalności” gospodarczej na terytorium państwa członkowskiego. Zgodnie z art. 4.1. c) dyrektywy o ochronie danych, prawo krajowe państwa członkowskiego znajduje również zastosowanie, jeśli administrator nie prowadzi działalności gospodarczej na terytorium Wspólnoty, a do celów przetwarzania danych osobowych wykorzystuje środki znajdujące się na terytorium wymienionego państwa członkowskiego. Jako że urządzenie jest instrumentem w przetwarzaniu danych osobowych od i na temat użytkownika, kryterium to jest zwykle spełnione.10 Jednakże ma to zastosowanie jedynie wtedy, jeśli administrator nie ma siedziby na terytorium UE. W rezultacie, kiedykolwiek strona zaangażowana w rozwój, dystrybucję lub działanie aplikacji jest uznana za administratora, strona taka jest odpowiedzialna, samodzielnie lub wspólnie z innymi, za zapewnienie zgodności z wszystkimi wymogami przedstawionymi w dyrektywie o ochronie danych. Określenie ról stron zaangażowanych w aplikacje mobilne będzie dalej przeanalizowane poniżej w części 3.3. Dodatkowo obok dyrektywy o ochronie danych, dyrektywa o prywatności i łączności elektronicznej(220/58/WE, w brzmieniu nadanym jej przez dyrektywę 2002/58/WE) ustanawia szczegółowe standardy dla wszystkich stron na świecie, które chciałyby gromadzić oraz mieć dostęp do zgromadzonych informacji na urządzeniach użytkowników w Europejskim Obszarze Gospodarczym (EOG). Zgodnie z art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej „przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym abonenta lub użytkownika było dozwolone wyłącznie pod warunkiem że dany abonent lub użytkownik wyraził zgodę zgodnie z dyrektywą 95/46/WE po otrzymaniu jasnych i wyczerpujących informacji, między innymi o celach przetwarzania”(…). 9 Wall Street Journal, Twoje aplikacje cię podglądają, http://online.wsj.com/article/SB10001424052748704694004576020083703574602.html 10 W tym celu aplikacje generują przesył danych osobowych do administratorów. To kryterium nie musi być spełnione, jeśli dane przetwarzane są tylko lokalnie, wyłącznie na urządzeniu. 8 Podczas gdy wiele postanowień dyrektywy o prywatności i łączności elektronicznej ma zastosowanie jedynie do dostawców publicznie dostępnych usług komunikacji elektronicznej oraz dostawców publicznych sieci komunikacyjnych we Wspólnocie Europejskiej, art. 5(3) znajduje zastosowanie do każdego podmiotu, który umieszcza oraz odczytuje informacje z inteligentnych urządzeń. Znajduje on zastosowanie bez względu na formę podmiotu (t.j. niezależnie czy jest to podmiot publiczny czy prywatny, indywidualny programista czy wielka korporacja lub czy jest administratorem danych, przetwarzającym czy stroną trzecią). Wymogi zgody określone w art. 5 ust. 3 znajdują zastosowanie do każdej informacji, niezależnie od charakteru przechowywanych danych lub dostępu do nich. Zakres nie jest ograniczony do danych osobowych, informacją może być każdy rodzaj danych przechowywany na urządzeniu. Wymogi zgody z art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej znajdują zastosowanie do usług oferowanych „we Wspólnocie”, to znaczy, do wszystkich osób fizycznych mieszkających na obszarze Europejskiego Obszaru Gospodarczego, niezależnie od lokalizacji dostawcy usług. Dla twórców aplikacji istotne jest, aby wiedzieć, że obie dyrektywy są prawami nakazującymi, w tym, że prawa jednostek nie podlegają przekazaniu oraz nie można od nich odstąpić poprzez umowę. Oznacza to, że zastosowanie europejskiego prawa prywatności nie może być wyłączone przez jednostronną deklarację lub rozwiązania umowne.11 3.2. Dane osobowe przetwarzane przez aplikacje Wiele rodzajów danych przechowywanych lub generowanych przez inteligentne urządzenia są danymi osobowymi. Zgodnie z motywem 24 dyrektywy o prywatności i łączności elektronicznej: „Wyposażenie terminali użytkowników sieci łączności elektronicznej oraz informacje przechowywane na tych urządzeniach stanowią część prywatnej sfery użytkowników podlegającej ochronie na mocy Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności.” Danymi osobowymi zawsze są dane, które odnoszą się do osoby fizycznej, która w sposób bezpośredni (np. poprzez nazwisko) lub pośredni jest możliwa do zidentyfikowania przez administratora lub stronę trzecią. Mogą odnosić się do właściciela urządzenia lub jakiejkolwiek innej osoby, np. dane kontaktowe przyjaciół w książce adresowej.12 Dane mogą być zbierane oraz przetwarzane na urządzeniu lub, po przekazaniu, wszędzie w infrastrukturze twórców aplikacji lub stron trzecich, przez połączenie do zewnętrznego API, w czasie rzeczywistym bez wiedzy użytkownika końcowego. Przykładami takich danych osobowych, które mogą mieć znaczący wpływ na życie prywatne użytkowników i innych jednostek są: - lokalizacja 11 Np. oświadczenia, że tylko prawo jurysdykcji spoza EOG ma zastosowanie. Dane mogą być (i) automatycznie generowane przez urządzenie, na podstawie cech określonych wcześniej przez twórcę OS i/oraz urządzenia lub odpowiedniego dostawcę telefonii komórkowej (np. dane geolokalizacyjne, ustawienia sieci, adres IP), (ii) wygenerowane przez użytkownika poprzez aplikacje (lista kontaktów, notatki, zdjęcia); (iii) wygenerowane przez aplikacje (np. historia wyszukiwania) 12 9 - kontakty - unikalne identyfikatory urządzenia oraz użytkownika (takie jak IMEI13, IMSI14, UDID15, oraz numer telefonu mobilnego) - tożsamość osoby, której dane dotyczą - tożsamość telefonu (tj. nazwa telefonu16) - karta kredytowa oraz dane dotyczące płatności - logi połączeń telefonicznych, SMS-ów oraz natychmiastowych wiadomości - historia przeglądania - e-mail - informacje pozwalające na uwierzytelnienie w usługach społeczności (szczególnie usługi z cechami społecznymi) - zdjęcia oraz filmy - biometria (np. rozpoznawanie twarzy oraz odciski palców) 3.3 Podmioty zaangażowane w przetwarzanie danych Wiele różnych podmiotów jest zaangażowanych w rozwój, dystrybucję oraz działanie aplikacji i na każdym z nich ciążą inne obowiązki w zakresie ochrony danych. Istnieją cztery główne podmioty, które mogą być wyróżnione. Są to: (i) twórcy aplikacji (włączając właścicieli aplikacji)17, (ii) producenci urządzeń oraz systemów operacyjnych („producenci OS oraz urządzeń)18, (iii) sklepy z aplikacjami (dystrybutorzy aplikacji) oraz (iv) inne strony zaangażowane w przetwarzanie danych osobowych. W niektórych przypadkach obowiązki związane z ochroną danych są dzielone, w szczególności wtedy jeśli te same podmioty są zaangażowane w wielu etapach, np. jeśli producenci OS kontrolują także sklep z aplikacjami. Jest także rola dla użytkowników końcowych, którzy muszą wziąć odpowiednią odpowiedzialność za to, jak tworzą oraz przechowują dane osobowe na swoich urządzeniach mobilnych. Jeśli takie przetwarzanie służy wyłącznie celom osobistym lub domowym, dyrektywa o ochronie danych nie ma zastosowania (art. 3 ust. 2) i użytkownik jest wyłączony od formalnych obowiązków w zakresie ochrony danych. Jednakże jeśli użytkownicy decydują się dzielić danymi poprzez aplikacje, np. poprzez ich upublicznienia nieokreślonej liczbie osób19 wykorzystujących aplikacje portali społecznościowych, przetwarzają informacje poza warunkami koniecznymi dla uznania ich za przetwarzane do celów domowych.20 13 International Mobile Equipment Identity International Mobile Subscriber Identity 15 Unique Device Identifier 16 Użytkownicy mają tendencję do nazwyania swoich telefonów prawdziwym imieniem: „iPhone Jana Kowalskiego” 17 Grupa robocza używa wspólnej terminologii dla twórców aplikacji, ale podkreślenia wymaga, że pojęcia nie są ograniczone do programistów czy osób odpowiadających za techniczne tworzenie aplikacji, ale obejmują także właścicieli aplikacji czyli spółki i organizacje, które posiadają aplikacje i definiują ich cele. 18 W niektórych przypadkach, pojecie producent OS może pokrywać się z pojęciem twórca urządzenia, a w innych przypadkach twórca urządzenia jest innym podmiotem niż dostawca OS 19 Zobacz sprawy przed Europejskim Trybunałem Sprawiedliwości, Sprawa C-101/01 Postępowanie karne przeciwko Bodil Lindqvist, wyrok z dnia 6 listopada 2003 r. oraz Sprawa C-73/07 Tietosuojavaltuutettu v Satakunnan Markkinapörssi Oy and Satamedia Oy, wyrok z dnia 16 grudnia 2008 r. 20 Zobacz opinię Grupy Roboczej art. 29 5/2009 o sieciach społecznościowych on-line http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp163_en.pdf 14 10 3.3.1 Twórcy aplikacji Twórcy aplikacji tworzą aplikacje oraz/lub udostępniają je użytkownikom końcowym. Kategoria ta obejmuje prywatne oraz publiczne organizacje, które zlecają rozwój aplikacji a także te przedsiębiorstwa oraz osoby fizyczne budujące oraz rozprowadzające aplikacje. Projektowanie oraz/lub tworzenie przez powyższe podmioty oprogramowania, które będzie działać na smartphone’ach decyduje o zakresie, w jakim aplikacje będą miały dostęp oraz będą przetwarzały różne kategorie danych osobowych na urządzeniach oraz/lub poprzez zdalne zasoby obliczeniowe (jednostki obliczeniowe twórców aplikacji lub stron trzecich). W zakresie w jakim twórca aplikacji decyduje o celach i środkach przetwarzania danych osobowych na inteligentnych urządzeniach, jest administratorem danych zgodnie z definicją z art. 2(d) dyrektywy o ochronie danych. W tym przypadku, musi działać w zgodności z przepisami całej dyrektywy o ochronie danych. Kluczowe przepisy są wyjaśnione w ustępach 3.4. do 3.10. niniejszej opinii. Nawet jeśli wyłączenie do celów domowych znajduje zastosowanie do użytkownika, twórca aplikacji ciągle będzie odpowiedzialny jako administrator danych, jeśli przetwarza dane dla swoich własnych celów. Powyższe ma zastosowanie np.: gdy aplikacja wymaga dostępu do całej książki adresowej w celu dostarczenia usługi (natychmiastowe wiadomości, połączenia telefoniczne, połączenia wideotelefoniczne). Obowiązki twórcy aplikacji będą znacząco ograniczone, jeśli dane osobowe nie są przetwarzane, lub/i udostępniane poza urządzenie, lub gdy twórca aplikacji przyjął odpowiednie środki organizacyjne i techniczne w celu zapewnienia, że dane są nieodwracalnie zanonimizowane oraz zagregowane na samym urządzeniu, uprzednio do przekazania danych poza urządzenie. W każdym przypadku, jeśli twórca aplikacji uzyskuje dostęp do informacji, która jest przechowywana na urządzeniu, dyrektywa o prywatności i łączności elektronicznej ma również zastosowanie i twórca aplikacji musi zapewnić zgodność z wymogami zgody określonymi w art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej. W zakresie, w jakim twórca aplikacji powierzył niektóre lub wszystkie z faktycznie przetwarzanych danych stronie trzeciej i strona trzecia przyjęła rolę administratora danych, twórca aplikacji musi zapewnić zgodność z wszystkimi obowiązkami odnoszącymi się do wykorzystania danych jako przetwarzający dane. Objęłoby to również wykorzystanie dostawców usługi przetwarzania w chmurze (np. dla zewnętrznego przechowywania danych).21 W zakresie, w jakim twórca aplikacji pozwala na dostęp do danych użytkownika przez strony trzecie (takie jak reklamy uzyskujące dostęp przez sieć do danych geolokalizacyjnych urządzenia w celu dostarczenia reklamy) musi wdrożyć odpowiedni mechanizm w celu zapewnienia zgodności z wymogami ram prawnych UE. Jeśli strona trzecia uzyskuje dostęp do danych przechowywanych na urządzeniu, obowiązek uzyskania świadomej zgody z art. 5(3) dyrektywy o prywatności i łączności elektronicznej ma zastosowanie. Ponadto jeśli strona trzecia przetwarza dane osobowe dla własnych celów, może być również współadministratorem danych razem z twórcą aplikacji i musi z tego względu zapewnić 21 Zobacz opinię Grupy roboczej 05/2012 o przetwarzaniu http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2012/wp196_en.pdf. w chmurze (lipiec 2012), 11 poszanowanie zasady ograniczenia celu oraz obowiązków w zakresie zabezpieczeń22 dla tej części przetwarzania, co do której decyduje o celach i środkach. Jako że mogą istnieć różne rodzaje umów – zarówno biznesowych, jak i technicznych – pomiędzy twórcami aplikacji a stronami trzecimi, odpowiednie obowiązki każdej strony muszą być określone dla poszczególnych przypadków, mając na względzie konkretne okoliczności danego przetwarzania. Twórca aplikacji musi użyć bibliotek z oprogramowaniem oferującym wspólne funkcjonalności, należących do strony trzeciej, takich jak np. biblioteka do platform gier sieciowych. Twórca aplikacji musi zapewnić, że użytkownicy są świadomi każdej operacji przetwarzania podejmowanej przez takie biblioteki i jeśli taka sytuacja ma miejsce, że takie przetwarzanie danych jest zgodne z ramami prawnymi UE i gdy ma to zastosowanie, obejmuje otrzymanie zgody od użytkownika. W tym sensie, twórcy aplikacji muszą zapobiegać wykorzystywaniu funkcjonalności, które są ukryte przed użytkownikiem. 3.3.2 Producenci urządzeń oraz OS Producenci urządzeń oraz OS powinni również być uważani za administratorów danych (oraz gdy to odpowiednie za współ-administratorów) dla każdych danych osobowych, które są przetwarzane dla ich własnych celów, takich jak płynne działanie urządzenia, bezpieczeństwo itd. Obejmuje to dane generowane przez użytkownika (np. dane użytkownika przy rejestracji), dane automatycznie generowane przez urządzenia (np. jeśli urządzenie posiada funkcjonalność „phone home” dla swojego otoczenia) oraz dane osobowe przetwarzane przez producentów urządzeń lub OS na skutek instalacji lub wykorzystania aplikacji. Tam gdzie producenci OS urządzeń oraz OS zapewniają dodatkowe funkcjonalności, takie jak wsparcie lub zdalną lokalizację, również powinni być administratorami danych dla danych osobowych przetwarzanych w tym celu. Aplikacje, które wymagają dostępu do geolokalizacji muszą wykorzystać usługi lokalizacji OS. Kiedy aplikacja używa geolokalizacji, OS może zbierać dane osobowe, aby zapewnić informację geolokalizacyjną aplikacji oraz może rozważyć użycie tych danych do poprawienia własnej usługi lokalizacji. Dla tego ostatniego celu OS jest administratorem danych. Producenci urządzeń oraz OS są również odpowiedzialni za interfejs programowania aplikacji (API), który pozwala na przetwarzanie danych osobowych przez aplikacje na inteligentnych urządzeniach. Twórca aplikacji będzie w stanie uzyskać dostęp do tych cech oraz funkcji, które producenci urządzeń oraz OS udostępnią poprzez API. Jako że producenci urządzeń oraz OS określają środki (oraz zakres) dostępu do danych osobowych, muszą zapewnić, że twórca aplikacji ma wystarczająco szczegółową kontrolę, tak aby dostęp był udzielany jedynie do tych danych, które są niezbędne dla funkcjonowania aplikacji. Producenci urządzeń oraz OS powinni także zapewnić, aby dostęp mógł być odwołany w prosty oraz skuteczny sposób. 22 Zobacz opinię grupy 2/2010 dotyczacą reklamy behawioralnej on-line (czerwiec 2010), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_en.pdf oraz opinię grupy 1/2010 dotyczącą pojęcia „administratora” i „przetwarzającego” (luty 2010), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_en.pdf 12 Pojęcie „prywatności w fazie projektowania” jest istotną zasadą, do której pośrednio odwołano się już w dyrektywie o ochronie danych 23 oraz która, razem z „prywatnością domyślną” wyłania się jaśniej w dyrektywie o prywatności i łączności elektronicznej.24 Wymaga ona od producentów urządzeń lub aplikacji uwzględnienia ochrony danych od samego początku projektu. Prywatność w fazie projektowania jest wprost wymagana dla projektowania urządzeń telekomunikacyjnych, jak określono to w dyrektywie w sprawie urządzeń radiowych i końcowych urządzeń telekomunikacyjnych.25 Z tego względu producenci urządzeń oraz OS, razem ze sklepami z aplikacjami, są odpowiedzialni za zapewnienie środków ochronnych oraz ochrony danych osobowych oraz ochrony prywatności użytkowników aplikacji. Obejmuje to zapewnienie dostępności odpowiedniego mechanizmu w celu poinformowania oraz wykształcenia użytkownika końcowego w zakresie tego, co aplikacje mogą robić oraz do jakich danych mogą uzyskać dostęp, jak również zapewnienia odpowiednich ustawień dla użytkowników aplikacji w celu zmiany parametrów przetwarzania.26 3.3.3. Sklepy z aplikacjami Każde z najpowszechniej używanych inteligentnych urządzeń posiada własny sklep z aplikacjami i często ma miejsce sytuacja, że dany OS jest głęboko zintegrowany z danym sklepem z aplikacjami. Sklepy z aplikacjami często pobierają opłaty wstępne za aplikację i mogą także wspierać zakupy app-in, co wymaga rejestracji użytkowników i podania danych obejmujących nazwisko, adres oraz dane finansowe. Te (bezpośrednio) możliwe do zidentyfikowania dane mogą być połączone z danymi na temat zakupu oraz zachowaniem związanym z wykorzystaniem aplikacji oraz z danymi odczytywanymi lub generowanymi przez urządzenie (takimi jak unikalny identyfikator). Dla przetwarzania takich danych osobowych sklepy z aplikacjami są prawdopodobnie administratorami danych, włączając w to sytuacje, w których przekazują te informacje z powrotem do twórców aplikacji. Jeśli sklep z aplikacjami przetwarza pobranie aplikacji lub historię wykorzystania aplikacji przez użytkownika końcowego lub podobną funkcjonalność w celu przywrócenia uprzednio pobranych aplikacji, także jest administratorem danych przetwarzanych dla tego celu. Sklep z aplikacjami przechowuje rekordy danych potrzebnych do uwierzytelniania, jak również historię poprzednich zakupów. Prosi także użytkownika o podanie numeru karty kredytowej, który będzie przechowywany na koncie użytkownika. Sklep z aplikacjami jest administratorem danych dla tych operacji. Z drugiej strony, strony internetowe, które pozwalają na pobieranie aplikacji w celu zainstalowania na urządzeniu bez żadnego uwierzytelnienia, mogą uznać, że nie przetwarzają 23 Zobacz motyw 46 i art. 17 Zobacz art. 14 (3) 25 Dyrektywa 1999/5/EC z dnia 9 marca 1999 w sprawie urządzeń radiowych i końcowych urządzeń telekomunikacyjnych oraz wzajemnego uznawania ich zgodności (OJ EC L 91/10, 7.4.1999). Art. 3.3 (c) stanowi Komisja może zdecydować, że aparatura należąca do niektórych klas sprzętu lub aparatura określonego typu ma być tak skonstruowana, aby miała wbudowane systemy zabezpieczające w celu zapewnienia ochrony danych osobowych i prywatności użytkownika lub subskrybenta. 26 Grupa Robocza z radością przyjmuje zalecenia FTC w tym zakresie, w raporcie Naruszenia prywatności w urządzeniach mobilnych, do którego odniesiono się w przypisie 6, np. na stronie 15 „(…) platformy znajdują się w unikalnej pozycji do zapewnienia ciągłego udostępniania pomiędzy aplikacjami oraz zachęca się je do tego. Spójnie z komentarzami z warsztatów, mogłyby także rozważyć kwestię tego, czy te udostępnienia nie mogłyby się odbywać w wielu momentach”. 24 13 żadnych danych osobowych. Sklepy z aplikacjami mają silną pozycję, aby umożliwić twórcom aplikacji dostarczanie odpowiednich informacji o aplikacji, włączając w to rodzaj danych, który aplikacja może przetwarzać oraz cele dla jakich może je przetwarzać. Sklepy z aplikacjami mogą wymusić te reguły poprzez ich politykę przyjmowania (opartą o kontrolę ex ante lub ex post). We współpracy z producentami OS, sklepy z aplikacjami mogą rozwinąć ramy/zasady w celu umożliwienia twórcom aplikacji dostarczenia spójnych oraz mających znaczenie informacji (takich jak symbole reprezentujące pewne typy dostępu do określonych danych) oraz wyświetlać je w wyraźny sposób w katalogu sklepu z aplikacjami. 3.3.4. Podmioty trzecie Istnieje wiele różnych podmiotów trzecich zaangażowanych w przetwarzanie danych poprzez wykorzystanie aplikacji. Na przykład wiele darmowych aplikacji jest opłacanych przez reklamodawców, którzy mogą być (ale nie ograniczają się do tego) reklamodawcami zajmującymi się reklamą kontekstualną lub spersonalizowaną, umożliwioną poprzez urządzenia do śledzenia takie jak pliki Cookies czy inne identyfikatory urządzenia. Reklama może opierać się na banerze wewnątrz aplikacji, reklamach zewnętrznych, które są dostarczane przez zmodyfikowanie ustawień wyszukiwarki lub umieszczenie ikon na wyświetlaczu urządzenia mobilnego lub dostarczone przez spersonalizowaną organizację zawartości aplikacji (np. sponsorowane rezultaty wyszukiwania). Reklamy dla aplikacji są generalnie dostarczane przez sieci reklamowe oraz podobnych pośredników, którzy mogą być powiązani, być tym samym podmiotem co producent OS lub sklep z aplikacjami. Jak wskazano w opinii GR29 2/201027, reklama on-line często obejmuje przetwarzanie danych osobowych, tak jak je zdefiniowano w art. 2 dyrektywy o ochronie danych, zinterpretowanym przez Grupę Roboczą Art. 29.28 Innymi przykładami stron trzecich są dostawcy programów typu analytics oraz dostawcy usług komunikacyjnych. Dostawcy programów typu analytics pozwalają twórcom aplikacji uzyskać wgląd w informacje o wykorzystaniu, popularności oraz użyteczności aplikacji. Dostawcy usług komunikacyjnych29 mogą także odegrać istotną rolę w określaniu ustawień domyślnych oraz aktualizacjach zabezpieczeń wielu urządzeń oraz mogą przetwarzać dane o wykorzystaniu aplikacji. Ich ustawienia (branding) mogą mieć konsekwencje dla możliwych technicznych oraz funkcjonalnych środków, które użytkownik może zastosować do ochrony jego danych osobowych. W porównaniu do twórców aplikacji, podmioty trzecie odgrywają dwa typy ról: pierwsza to wykonywanie operacji dla właścicieli aplikacji, np. zapewnianie oprogramowania typu analytics w ramach aplikacji. W tym przypadku, jeżeli działają wyłącznie na rzecz twórcy 27 Opinia 2/2010 Grupy Roboczej Art. 29 w sprawie internetowej reklamy behawioralnej (czerwiec 2010) http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_pl.pdf 28 Zobacz także interpretację pojęcia danych osobowych w Opinii Grupy Roboczej Art. 29 4/2007 w sprawie pojęcia danych osobowych, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_pl.pdf 29 Dostarczyciele usług komunikacyjnych podlegają także sektorowym obowiązkom w zakresie ochrony danych, które znajdują się poza zakresem tej opinii. 14 aplikacji i nie przetwarzają danych dla swoich własnych celów i/lub dzielą dane pomiędzy twórcami, prawdopodobnie działają jako przetwarzający dane. Ich druga rola to zbieranie informacji pomiędzy aplikacjami w celu dostarczenia dodatkowych usług: zapewnienia danych z programów typu analytics na większą skalę (popularność aplikacji, spersonalizowane zalecenia) lub unikanie wyświetlania tej samej reklamy temu samemu użytkownikowi. Jeżeli strony trzecie przetwarzają dane dla swoich własnych celów, działają jako administratorzy danych i z tego względu muszą działać zgodnie ze wszystkimi mającymi zastosowanie przepisami dyrektywy o ochronie danych.30 W przypadku reklamy behawioralnej administrator danych musi uzyskać ważną zgodę użytkownika na zbieranie oraz przetwarzanie danych osobowych, składającą się np. z analizy oraz zestawiania danych osobowych oraz tworzenia i/lub stosowania profili. Jak już wyjaśniono w Opinii Grupy Roboczej Art. 29 2/2012 na temat behawioralnej reklamy internetowej taka zgoda może być w najlepszy sposób osiągnięta poprzez zastosowanie uprzedniego mechanizmu zgody opt-in. Przedsiębiorstwo zapewnia metryki właścicielom aplikacji oraz reklamodawcom poprzez wykorzystanie urządzeń do śledzenia wbudowanych, przez twórcę aplikacji, w aplikację. Urządzenia do śledzenia przedsiębiorstwa mogą być w ten sposób zainstalowane w wielu aplikacjach oraz na wielu urządzeniach. Jedną z ich usług jest informowanie twórców aplikacji, jakie inne aplikacje są używane przez użytkownika, poprzez zbieranie unikalnego identyfikatora. Przedsiębiorstwo określa środki (tj. urządzenia do śledzenia) oraz cele ich urządzeń przed zaoferowaniem ich twórcom aplikacji, reklamodawcom oraz innym, i w ten sposób działa jako administrator danych. W zakresie, w którym podmioty trzecie uzyskują dostęp lub przechowują informację na inteligentnych urządzeniach, muszą zapewnić zgodność z wymogami zgody zawartymi w art. 5(3) dyrektywy o prywatności i łączności elektronicznej. W tym kontekście istotne jest, aby zauważyć, że na inteligentnych urządzeniach użytkownicy mają generalnie ograniczone możliwości zainstalowania oprogramowania, które kontrolowałoby przetwarzanie danych osobowych, jak jest to powszechne w środowisku sieciowym pulpitu. Jako alternatywę dla wykorzystania Cookies http, strony trzecie często uzyskują dostęp do unikalnych identyfikatorów w celu wyróżnienia (grup) użytkowników oraz dostarczenia im ukierunkowanych usług, włączając w to reklamy. Jako że wiele z tych identyfikatorów nie może być skasowanych lub zmienionych przez użytkowników (takich jak IMEL, IMSI, MSISDN31 oraz konkretne unikalne identyfikatory urządzenia dodane przez system operacyjny) te podmioty trzecie mają potencjał to przetwarzania znaczących ilości danych osobowych bez kontroli sprawowanej przez użytkownika końcowego. 3.4. Podstawy prawne W celu przetwarzania danych osobowych wymagana jest podstawa prawna, jak wskazano w art. 7 dyrektywy o ochronie danych. Art. 7 wyróżnia 6 podstaw prawnych dla przetwarzania danych: jednoznaczna zgoda osoby, której dane dotyczą; przetwarzanie jest konieczne dla realizacji umowy, której stroną jest osoba, której dane dotyczą; przetwarzanie jest konieczne 30 31 Opinia 2/2010 Grupy Roboczej Art. 29 w sprawie internetowej reklamy behawioralnej s. 14 Numer abonenta sieci komórkowej. 15 dla ochrony żywotnych interesów osób, których dane dotyczą; konieczność wykonania zobowiązania prawnego; (dla instytucji publicznych) przetwarzanie danych jest konieczne dla realizacji zadania wykonywanego w interesie publicznym oraz konieczność uzasadnionego (biznesowego) interesu. W odniesieniu do przechowywania informacji lub uzyskiwania dostępu do informacji już przechowywanej na inteligentnym urządzeniu, art. 5 ust. 3 dyrektywy o e-prywatności (tj. wymóg zgody na umieszczenie oraz uzyskanie informacji z urządzenia) tworzy bardziej precyzyjne ograniczenia/restrykcje podstaw prawnych, które mogą być wzięte pod uwagę. 3.4.1. Zgoda uprzednia względem instalacji oraz przetwarzania danych osobowych Zgoda jest podstawą prawną dla aplikacji mobilnych. Kiedy aplikacja jest instalowana, informacja jest umieszczona na urządzeniu użytkownika końcowego. Wiele aplikacji może także uzyskać dostęp do danych przechowywanych na urządzeniu, kontaktów w książce adresowej, zdjęć, filmów oraz innych dokumentów osobistych. We wszystkich tych przypadkach art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej wymaga zgody od użytkownika, któremu została dostarczona jasna oraz wyczerpująca informacja, przed umieszczeniem oraz uzyskiwaniem informacji z urządzenia. Istotne jest odnotowanie różnicy pomiędzy zgodą wymaganą do umieszczenia jakiejkolwiek informacji i odczytaniem informacji z urządzenia, oraz zgodą potrzebną do posiadania podstawy prawnej przetwarzania różnych rodzajów danych osobowych. Chociaż wymogi obu zgód mają zastosowanie w tym samym czasie, każda bazuje na innej podstawie prawnej, obie podlegają warunkom stanowiącym, że mają być dobrowolne, określone oraz świadome (tak jak to zdefiniowano w art. 2 (h) dyrektywy o ochronie danych). Z tego względu dwa typy zgody mogą być w praktyce połączone, w trakcie instalacji lub zanim aplikacja zacznie zbierać dane osobowe z urządzenia, zakładając, że użytkownik jest jednoznacznie świadomy tego, na co się zgadza. Wiele sklepów z aplikacjami zapewnia twórcom aplikacji możliwość poinformowania użytkowników końcowych na temat podstawowych cech aplikacji przed instalacją oraz wymaga pozytywnego działania użytkownika przed tym jak aplikacja zostanie pobrana oraz zainstalowana (tj. kliknięciem przycisku „zainstaluj”). Chociaż taka operacja może, w niektórych warunkach, wypełnić wymogi zgody z art. 5 ust. 3, nieprawdopodobne jest zapewnienie wystarczającej informacji, tak aby móc uznać, że zgoda na przetwarzanie danych osobowych jest ważna. Temat ten został już poruszony w opinii GR29 15/2011 na temat definicji zgody.32 W kontekście inteligentnych urządzeń „dobrowolna” oznacza, że użytkownik musi mieć wybór, czy akceptuje czy odrzuca przetwarzanie swoich danych osobowych. Z tego względu, jeśli aplikacja potrzebuje przetwarzać dane osobowe, użytkownik musi mieć swobodę w wyrażeniu zgody lub odmowy. Użytkownik nie powinien być stawiany w sytuacji, w której na ekranie wyświetla się jedynie opcja „tak, zgadzam się” w celu ukończenia instalacji. Opcja „anulowania” lub inna wstrzymująca instalację musi być dostępna. 32 Opinia Grupy Robczej Art. 29 w sprawie definicji zgody (lipiec 2011), http://ec.europa.eu/justice/dataprotection/article-29/documentation/opinion-recommendation/files/2011/wp187_pl.pdf 16 „Świadoma” oznacza, że osoba, której dane dotyczą musi mieć wystarczające informacje do swojej dyspozycji w celu podjęcia odpowiedniej decyzji.33 W celu uniknięcia jakiejkolwiek dwuznaczności, taka informacja musi być udzielona przed przetwarzaniem jakikolwiek danych. Obejmuje to przetwarzanie danych, które może mieć miejsce podczas instalacji np. dla celów debugowania lub śledzenia. Treść oraz forma takich informacji jest rozwinięta w paragrafie 3.7 niniejszej opinii. „Konkretna” oznacza, że wyrażenie woli musi odnosić się do przetwarzania konkretnych danych lub ograniczonej kategorii danych. Właśnie z tego powodu proste kliknięcie przycisku instaluj nie może być uznane za ważną zgodę na przetwarzanie danych osobowych, ponieważ zgoda nie może być sformułowaną generalnie autoryzacją. W niektórych przypadkach użytkownicy mogą wyrazić stopniową zgodę, gdy zgoda jest wymagana dla każdego rodzaju danych, do którego aplikacja chce uzyskać dostęp.34 Takie podejście pozwala osiągnąć dwa istotne wymogi prawne, pierwszy odpowiedniego poinformowania użytkownika o ważnych elementach usługi oraz drugi poproszenia o zgodę na każdy z nich. 35 Alternatywne podejście twórców aplikacji proszących swoich użytkowników o zaakceptowanie długiego zestawu warunków oraz/i polityki prywatności nie konstytuuje konkretnej zgody.36 Konkretność odnosi się także do praktyki śledzenia zachowania użytkowników przez reklamodawców oraz inne strony trzecie. Ustawienia domyślne zapewnione przez OS oraz aplikacje muszą być takie, aby unikać jakiegokolwiek śledzenia, tak aby pozwolić użytkownikom wyrazić konkretną zgodę na ten typ przetwarzania danych. Te ustawienia domyślne nie mogą być obchodzone przez strony trzecie, tak jak to obecnie często ma miejsce w przypadku mechanizmu „nie śledź” wdrożonego w wyszukiwarkach. Przykłady konkretnej zgody Aplikacja zapewnia informacje o pobliskich restauracjach. Aby była zainstalowana, twórca aplikacji musi uzyskać zgodę. W celu uzyskania dostępu do danych geolokalizacyjnych, twórca aplikacji musi oddzielnie prosić o zgodę, np. podczas instalacji lub przed uzyskaniem dostępu do geolokalizacji. Konkretność oznacza, że zgoda musi być ograniczona do określonego celu doradzenia użytkownikowi odnośnie pobliskiej restauracji. Dane lokalizacyjne z urządzenia mogą z tego względu być dostępne jedynie, kiedy użytkownik wykorzystuje aplikacje do tego celu. Zgoda użytkownika na przetwarzanie danych geolokalizayjnych nie pozwala aplikacji w sposób ciągły zbierać danych z urządzenia. To dalsze przetwarzanie wymagałoby dodatkowych informacji oraz odrębnej zgody. Podobnie, aby aplikacje komunikacyjne mogły uzyskać dostęp do listy kontaktów, użytkownik musi być w stanie wybrać kontakty, z którymi użytkownik chce się komunikować, zamiast udzielać dostępu do całej książki adresowej (włączając dane 33 Idem 20 Stopniowa zgoda oznacza, że jednostki mogą konkretnie kontrolować, które funkcje związane z przetwarzaniem dnaych osobowych przez aplikację chcą aktywować. 35 Potrzeba takiej stopinowej zgody została wprost poparta przez raport FTC (przypis 6) na stronach 15-16 „(…) platformy powinny rozważyć zapewnienie ujawnień w odpowiednim czasie oraz uzyskanie afirmatywnie wyrażonej zgody na zbieranie innej treści, którą konsumenci mogą uznać za wrażliwą w wielu kontekstach, takie jak fotografie, kontakty, wpisy do kalendarza lub nagrania wideo i audio:. 36 Idem, s. 34-35 „Ogólna zgoda bez precyzyjnego wskazania celu przetwarzania na które osoba, której dane dotyczą się zgadza, nie jest zgodna z tym wymogiem. Oznacza to, że informacja na temat celu przetwarzania nie może być zawarta w ogólnych przepisach, a w odrębnej klauzuli zgody”. 34 17 kontaktowe nie-użytkowników tej usługi, którzy nie mogli zgodzić się na przetwarzanie danych ich dotyczących). Ważne jest jednakże odnotowania, że nawet w przypadku gdy zgoda spełnia trzy elementy opisane powyżej, nie stanowi to licencji na nieuczciwe oraz niezgodne z prawem przetwarzanie. Jeżeli cel przetwarzania danych jest nadmierny i/lub nieproporcjonalny, nawet jeżeli użytkownik się zgodził, twórca aplikacji nie będzie miał ważnej podstawy prawnej i prawdopodobnie będzie naruszał dyrektywę o ochronie danych. Przykład nadmiernego oraz niezgodnego z prawem przetwarzania danych Aplikacja działająca jako budzik oferuje opcjonalną funkcjonalność, w której użytkownik może wydać polecenie głosowe, aby budzik ucichł, lub przeszedł w stan „drzemki”. W tym przypadku zgoda na nagranie byłaby ograniczona do momentu, w którym dzwoni budzik. Jakiekolwiek monitorowanie lub nagrywanie głosu, kiedy alarm nie dzwoni, byłoby prawdopodobnie uznane za nadmierne i niezgodne z prawem. W przypadku zainstalowanych aplikacji na urządzeniu w ramach ustawień domyślnych (przed tym gdy urządzenie stało się własnością użytkownika), lub innego przetwarzania podejmowanego przez OS, które opiera się na zgodzie jako podstawie prawnej, administrator danych musi uważnie rozważyć, czy zgoda ta jest naprawdę ważna. W wielu przypadkach oddzielny mechanizm zgody powinien być rozważony, być może kiedy aplikacja uruchamia się po raz pierwszy, w celu umożliwienia administratorowi danych pełnego poinformowania użytkownika końcowego. W przypadku szczególnych kategorii danych, tak jak zostało to zdefiniowane w art. 8 dyrektywy o ochronie danych, zgoda musi być wyraźna. Ostatnią, ale nie najmniej ważną kwestią jest to, że użytkownik musi mieć możliwość odwołania swojej zgody w prosty i skuteczny sposób. Zostanie to rozwinięte w części 3.8 niniejszej opinii. 3.2.4. Podstawy prawne dla przetwarzania danych podczas wykorzystywania aplikacji Jak wyjaśniono powyżej, zgoda jest konieczną podstawą prawną, aby pozwolić twórcy aplikacji odczytywać oraz zapisywać informacje zgodnie z prawem i w konsekwencji przetwarzać dane osobowe. W następującej fazie, w trakcie używania aplikacji, twórca aplikacji może przywołać inne podstawy prawne dla innych typów przetwarzania danych, tak długo jak nie obejmuje to przetwarzania danych wrażliwych. Takimi podstawami prawnymi może być konieczność wykonania umowy z osobą, której dane dotyczą lub konieczność spełnienia uzasadnionego interesu, art. 7 (b) oraz (f) dyrektywy o ochronie danych. Te podstawy prawne są ograniczone do przetwarzania niewrażliwych danych osobowych określonego użytkownika, oraz mogą być przywołane jedynie w zakresie, w którym niektóre dane są ściśle konieczne do wykonania oczekiwanej usługi, lub w przypadku art. 7(f), tylko kiedy interesy takie podporządkowane są interesom związanym z podstawowymi prawami i wolnościami osoby, której dane dotyczą. 18 Przykład umowy jako podstawy prawnej Użytkownik zgadza się na zainstalowanie aplikacji bankowości mobilnej. W celu spełnienia prośby wykonania płatności, bank nie musi prosić o oddzielne zgody użytkownika na ujawnienie jego nazwiska oraz numeru konta odbiorcy płatności. To ujawnienie jest ściśle konieczne w celu wykonania umowy z konkretnym użytkownikiem, i z tego względu bank posiada podstawę prawną w postaci art. 7 (b) dyrektywy o ochronie danych. To samo uzasadnienie ma zastosowanie do aplikacji komunikacyjnych; kiedy zapewniają one kluczowe informacje takie jak nazwa konta, adres e-mail oraz numer telefonu do innej osoby fizycznej, z którą użytkownik chce się skomunikować, ujawnienie jest w oczywisty sposób konieczne do wypełnienia usługi. 3.5 Ograniczenie celu oraz minimalizacja zakresu danych Kluczowymi zasadami stanowiącymi podstawę dyrektywy o ochronie danych są ograniczenie celu oraz minimalizacja ilości pobieranych danych. Ograniczenie celu umożliwia użytkownikom dokonanie rozmyślnego wyboru co do powierzenia stronie ich danych osobowych jako że będą wiedzieli, jak ich dane będą wykorzystywane, oraz będą w stanie polegać na ograniczonym opisie celu, tak aby zrozumieć dla jakich celów ich dane będą wykorzystane. Z tego względu cele przetwarzania muszą być dobrze zdefiniowane oraz zrozumiałe dla przeciętnego użytkownika bez zaawansowanej wiedzy w zakresie prawa lub techniki. Równocześnie ograniczenie celu wymaga, aby twórcy aplikacji mieli dobry ogląd swojego przypadku biznesowego zanim rozpoczną zbieranie danych osobowych od użytkowników. Dane osobowe mogą być przetwarzane jedynie w uczciwy oraz zgodny z prawem sposób (art. 6(1)a dyrektywy o ochronie danych) oraz cele te muszą być zdefiniowane przed rozpoczęciem przetwarzania. Zasada ograniczenia celu wyklucza nagłe zmiany w kluczowych warunkach przetwarzania. Na przykład, jeżeli aplikacja miała za cel pierwotny umożliwianie użytkownikom wysyłania maili do siebie nawzajem, ale twórca postanawia zmienić swój model biznesowy oraz połączyć adresy email swoich użytkowników z numerami telefonów użytkowników innych aplikacji. Odpowiedni administratorzy danych musieliby wtedy poprosić indywidualnie każdego użytkownika o jednoznaczną zgodę na ten nowy cel przetwarzania ich danych osobowych. Ograniczenie celu idzie ręka w rękę z zasadą minimalizacji ilości pobieranych danych. W celu zapobiegnięcia niepotrzebnemu i potencjalnie niezgodnemu z prawem przetwarzaniu danych, twórcy aplikacji muszą ostrożnie rozważyć, jakie dane są ściśle konieczne do wykonania oczekiwanej funkcjonalności. Aplikacje mogą uzyskać dostęp do wielu funkcjonalności urządzenia i są w związku z tym zdolne do robienia wielu rzeczy, takich jak wysyłanie ukrytych SMSów, uzyskiwania dostępu do zdjęć oraz całych książek adresowych. Wiele sklepów z aplikacjami wspiera (w pół) zautomatyzowane uaktualnienia, w których twórca aplikacji może zintegrować nowe cechy oraz uczynić je dostępnymi z niewielkim lub zgoła żadnym uczestnictwem uczestnika końcowego. 19 Grupa Robocza podkreśla w tym miejscu, że podmioty trzecie uzyskujące dostęp do danych użytkownika poprzez aplikacje muszą szanować zasady ograniczenia celu oraz minimalizacji ilości pobieranych danych. Unikalne, często niezmienialne, identyfikatory urządzenia nie powinny być używane dla celu interesu opartego na reklamie i/lub dostarczaniu oprogramowania typu analytics, z uwagi na niemożność odwołania zgody przez użytkownika. Twórcy aplikacji powinni zapobiegać powolnemu rozprzestrzenianiu się funkcji poprzez niezmienianie przetwarzania z jednej wersji aplikacji na inną bez dania użytkownikowi aplikacji odpowiedniej informacji oraz możliwości wycofania z przetwarzania lub z całej usługi. Użytkownikom powinno się także zaoferować środki techniczne w celu weryfikacji oświadczeń na temat deklarowanych celów, poprzez umożliwienie im dostępu do informacji na temat ilość danych pobieranych przez aplikację w porównaniu do przepływu zapoczątkowanego przez użytkownika. Informacja oraz kontrola użytkownika są kluczowymi cechami w celu zapewnienia poszanowania zasad minimalizacji zakresu danych oraz ograniczenia celu. Dostęp do podstawowych danych na urządzeniu poprzez API daje producentom urządzeń oraz OS, a także sklepom z aplikacjami szansę wymuszenia konkretnych reguł oraz zaoferowania odpowiedniej informacji dla użytkowników końcowych. Na przykład, producenci OS oraz urządzeń powinni zaoferować API z precyzyjnymi urządzeniami kontrolnymi w celu rozróżnienia każdego typu tych danych oraz zapewnienia, że twórcy aplikacji mogą żądać dostępu jedynie do tych danych, które są ściśle koniczne dla (zgodnej z prawem) funkcjonalności ich aplikacji. Rodzaje danych żądanych przez twórców aplikacji mogą w ten sposób być w jasny sposób wyświetlone w sklepie z aplikacjami, tak aby poinformować użytkowników przed instalacją. W tym zakresie, kontrola nad dostępem do danych przechowywanych na urządzeniu opiera się na różnych mechanizmach: a) Producenci OS oraz urządzeń oraz sklepy z aplikacjami definiują zasady, które mają zastosowanie to dostarczania aplikacji do ich sklepów z aplikacjami: twórcy aplikacji muszą szanować te zasady lub ryzykować brak obecności w tych sklepach.37 b) API systemów operacyjnych definiują standardowe metody uzyskiwania dostępu do danych przechowywanych w telefonach, do których aplikacje mają dostęp. Mają również wpływ na zbieranie danych po stronie serwera. c) Kontrola ex-ante – kontrola mająca miejsce przed zainstalowaniem aplikacji.38 d) Kontrola ex-post – kontrola wdrożona po zainstalowaniu aplikacji. 3.6. Bezpieczeństwo Zgodnie z art. 17 dyrektywy o ochronie danych administratorzy danych oraz przetwarzający muszą podjąć niezbędne środki organizacyjne i techniczne w celu zapewnienia ochrony danych osobowych, które przetwarzają. W rezultacie, środki muszą zostać podjęte przez wszystkie podmioty zidentyfikowane w części 3.3., każdy zgodnie ze swoją rolą oraz obowiązkami. 37 Urządzenia z usuniętymi ograniczeniami pozwalają na instalacje aplikacji spoza oficjalnych sklepów; urządzenia z systemem Android również pozwalają na instalację aplikacji z innych źródeł. 38 W szczególnym przypadku pre-instalowania aplikacji. 20 Cel zgodności z wymogami bezpieczeństwa jest dwojaki. Umożliwi użytkownikom kontrolowanie swoich danych w bardziej rygorystyczny sposób oraz wzmocni poziom zaufania do podmiotów, które przetwarzają ich dane. Twórcy aplikacji, sklepy z aplikacjami oraz producenci OS oraz urządzeń, a także podmioty trzecie w celu zapewnienia zgodności z odpowiednimi wymogami bezpieczeństwa jako administratorzy danych, muszą wziąć pod uwagę zasady prywatności w fazie projektowania oraz prywatności w fazie ustawień domyślnych. Wymaga to nieustannej oceny zarówno istniejących, jak i przyszłych ryzyk dla prywatności, wdrożenia oraz ewaluacji skutecznych środków zapobiegawczych, włączając w to minimalizację ilości pobieranych danych. Twórcy aplikacji Istnieje wiele publicznie dostępnych wytycznych dotyczących bezpieczeństwa aplikacji mobilnych opublikowanych przez producentów OS oraz urządzeń i niezależnych podmiotów trzecich, jak np. ENISA.39 Poza zakresem niniejszej opinii leży przegląd najlepszych praktyk w zakresie bezpieczeństwa w rozwoju aplikacji; jednakże GR wykorzystuje tę szansę na przegląd tych, które mogą mieć potencjalnie zły wpływ na prawa podstawowe użytkowników aplikacji. Istotną decyzją przed zaprojektowaniem aplikacji jest określenie, gdzie dane będą przechowywane. W niektórych przypadkach dane użytkowników są przechowywane na urządzeniach, jednakże twórcy aplikacji mogą także wykorzystać architekturę serwera klienta. Oznacza to, że dane osobowe są przekazywane lub kopiowane do systemów dostawcy usługi. Przechowywanie oraz przetwarzanie danych na urządzeniu daje użytkownikom końcowym większą kontrolę nad tymi danymi, np. poprzez pozwolenie im na usunięcie danych, jeśli wycofują zgodę na ich przetwarzanie. Jednakże bezpieczne przechowywanie danych w odległej lokalizacji może pomagać w odzyskaniu danych w wyniku zgubienia lub kradzieży urządzenia. Pośrednie metody są także możliwe. Twórcy aplikacji muszą zdefiniować jasne polityki dotyczące tego, jak oprogramowanie jest rozwijane oraz dystrybuowane. Jest tu także rola dla producentów OS oraz urządzeń w promowaniu bezpiecznego przetwarzania danych przez aplikacje, które będzie rozwinięte poniżej. Po drugie, twórcy aplikacji oraz sklepy z aplikacjami muszą zaprojektować oraz wdrożyć środowisko przyjazne, z narzędziami zapobiegającymi rozszerzaniu się złośliwych aplikacji oraz pozwalającymi wszystkim aplikacjom łatwo się instalować oraz odinstalowywać. Dobre praktyki, które mogą być wdrożone podczas projektowania aplikacji obejmują minimalizację wierszy oraz skomplikowania kodu, oraz wdrażania punktów kontrolnych, tak aby wykluczyć możliwość, że dane będą narażone lub przekazane w niezamierzony sposób. Ponadto wszelkie dane wejściowe powinny być uwierzytelniane, tak aby zapobiec przepełnieniu bufora lub atakom. Inne mechanizmy bezpieczeństwa warte wspomnienia to odpowiednia strategia zarządzania uaktualnieniami zabezpieczeń, oraz wykonywanie regularnego, niezależnego audytu systemów zabezpieczeń. Dodatkowo kryteria tworzenia aplikacji powinny obejmować wprowadzenie zasady najmniejszego uprzywilejowania w fazie 39 ENISA „Wytyczne dotyczące rozwoju zabezpieczeń smartphone’ów: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-applications/smartphone-security1/smartphone-secure-development-guidelines 21 ustawień domyślnych, gdzie aplikacjom umożliwia się dostęp jedynie do tych danych, których naprawdę potrzebują do wykonania funkcjonalności dostępnej dla użytkownika. Twórcy aplikacji oraz sklepy z aplikacjami powinny także zachęcać użytkowników, z odpowiednimi ostrzeżeniami, do uzupełniania tych dobrych praktyk projektowania poprzez zgodne z prawem działanie użytkowników, takie jak aktualizowanie ich aplikacji do najnowszej dostępnej wersji, oraz przypomnienia o unikaniu ponownego wykorzystania hasła w różnych serwisach. Podczas fazy projektowania aplikacji, twórcy aplikacji muszą także podjąć środki w celu zapobieżenia nieuprawnionemu dostępowi do danych osobowych poprzez zapewnienie, że dane są chronione zarówno podczas przepływu, jak i wtedy gdy są przechowywane, jeśli ma to zastosowanie. Aplikacje mobilne powinny być uruchamiane w konkretnych lokalizacjach pamięci urządzenia (sanboxes40), w celu zredukowania konsekwencji złośliwych aplikacji/złośliwego oprogramowania. W bliskiej współpracy z producentami OS oraz/i sklepami z aplikacjami, twórcy aplikacji muszą wykorzystywać dostępne mechanizmy, które pozwalają użytkownikom na ogląd tego, jakie dane są przetwarzane przez które aplikacje, oraz wybiórczo udzielać im pozwolenia oraz je wycofać. Wykorzystywanie ukrytych funkcjonalności nie powinno być dozwolone. Twórcy aplikacji muszą ostrożnie rozważyć swoje metody identyfikacji użytkowników oraz uwierzytelniania. Nie powinni używać stałych (konkretnych dla urządzenia) identyfikatorów, ale zamiast tego używać identyfikatorów o niskim poziomie entropii lub tymczasowych identyfikatorów urządzenia, aby uniknąć śledzenia użytkowników w czasie. Przyjazne prywatności mechanizmy uwierzytelniania powinny być rozważone. Podczas uwierzytelniania użytkowników twórcy aplikacji muszą poświęcić uwagę zarządzaniu identyfikatorami oraz hasłami użytkowników. Te ostatnie muszą być przechowywane w zaszyfrowanej formie oraz w sposób bezpieczny, taki jak chronione kluczem kryptograficznym funkcje skrótu. Udostępnienie użytkownikom testu pozwalającego na określenie odporności wybranych haseł jest również użyteczną techniką promującą używanie lepszych haseł (test entropii). Kiedy to odpowiednie (dostęp do danych wrażliwych, ale także do zasobów, za które trzeba płacić) kolejne uwierzytelnienie mogłoby zostać przewidziane, także przy użyciu wielu czynników oraz różnych kanałów (np. kod dostępu wysłany przez SMS) i/lub wykorzystanie danych uwierzytelniających połączonych raczej z użytkownikiem niż z urządzeniem końcowym. Także podczas wybierania identyfikatorów sesji, powinno się stosować nieprzewidywalny tekstowy typ danych, możliwie w połączeniu z informacją kontekstualną, taką jak data i czas, ale również adresem IP lub danymi geolokalizacyjnymi. Twórcy aplikacji powinni być świadomi wymogów przedstawionych w dyrektywie o prywatności i łączności elektronicznej w odniesieniu do naruszeń ochrony danych osobowych oraz potrzeby proaktywnego informowania użytkowników. Choć obecnie wymogi te znajdują zastosowanie jedynie do dostawców publicznie dostępnych usług komunikacyjnych oczekuje się, że obowiązek ten zostanie rozciągnięty na wszystkich administratorów danych (oraz przetwarzających dane) poprzez przyszłe rozporządzenie o ochronie danych w brzmieniu propozycji Komisji (COM 2012/0011/COD). Wzmacnia to dalej potrzebę posiadania całościowego „planu zabezpieczeń” oraz jego nieustannej ewaluacji, pokrywającego zbieranie, przechowywanie oraz przetwarzanie jakichkolwiek 40 Piaskownica – mechanizm bezpieczeństwa oddzielający uruchomione programy. 22 danych osobowych, tak aby zapobiec takim naruszeniem ochrony danych oraz uniknąć ciężkich kar pieniężnych przewidzianych w takich przypadkach. Plan zabezpieczeń, między innymi, musi także zajmować się zarządzaniem podatnością oraz terminowym oraz bezpiecznym udostępnianiem godnych zaufania aktualizacji zwalczających błędy. Odpowiedzialność twórców aplikacji za bezpieczeństwo ich produktów nie kończy się z dostarczeniem działającej wersji na rynek. Aplikacje mogą, jak każde oprogramowanie, cierpieć na skutek błędów w zabezpieczeniach oraz podatności, twórcy aplikacji muszą rozwinąć uaktualnienia dla nich oraz dostarczyć je tym podmiotom, które mogą udostępnić je użytkownikom lub im samym. Sklepy z aplikacjami Sklepy z aplikacjami są ważnymi pośrednikami pomiędzy użytkownikami końcowymi a twórcami aplikacji i powinny zapewnić dużą liczbę mocnych oraz skutecznych punktów kontrolnych dla aplikacji, przed wpuszczeniem ich na rynek. Powinny one zapewnić informację na temat tych punktów, które rzeczywiście ustanawiają oraz załączyć informację, jaki typ punktów kontrolnych dotyczących zgodności z ochroną danych stosują. Chociaż środek ten nie jest w 100% skuteczny w eliminowaniu rozprzestrzeniania złośliwych aplikacji, statystyki wskazują, że praktyka ta w wyraźny sposób redukuje występowanie złośliwych funkcjonalności w „oficjalnych” sklepach z aplikacjami.41 W celu radzenia sobie z dużą liczbą aplikacji, które codziennie są przekazywane, proces ten może skorzystać na zastosowaniu automatycznych narzędzi do analizy, jak również na wdrożeniu kanałów wymiany informacji pomiędzy ekspertami ds. bezpieczeństwa oraz specjalistami ds. programowania, a także skutecznych procedur oraz polityk w celu radzenia sobie ze zgłoszonymi problemami. Dodatkowo do przeglądu aplikacji przed dopuszczeniem ich do sklepu z aplikacjami, aplikacje powinny być poddane mechanizmowi publicznej reputacji. Aplikacje nie powinny być oceniane tylko przez użytkowników na podstawie tego, jak są „fajne”, lecz także na podstawie ich funkcjonalności, ze specjalnym odniesieniem do prywatności oraz mechanizmów bezpieczeństwa. Również mechanizm reputacji powinien być zaprojektowany w taki sposób, aby zapobiegać fałszywym ocenom. Mechanizmy kwalifikacji oraz reputacji dla aplikacji mogą także okazać się skuteczne w budowaniu wzajemnego zaufania pomiędzy różnymi podmiotami, szczególnie jeśli dane są wymieniane przez długi łańcuch stron trzecich. Sklepy z aplikacjami często mają wdrożoną metodę zdalnego odinstalowywania złośliwych lub niezabezpieczonych aplikacji. Mechanizm ten, jeśli nie jest poprawnie zaprojektowany, może stanowić przeszkodę w uprawnieniu użytkowników do utrzymania ściślejszej kontroli nad ich danymi. Środki przyjazne prywatności oznaczają dla sklepu z aplikacjami, że zdalne odinstalowanie aplikacji powinno być oparte o poinformowanie oraz zgodę użytkownika. Co więcej, z bardziej praktycznego punktu widzenia, kanały sprzężenia zwrotnego powinny być udostępnione użytkownikom w celu raportowania problemów z bezpieczeństwem ich aplikacji oraz skuteczności jakiejkolwiek zdalnej procedury usuwania. 41 „Hej Ty, Spadaj z mojego rynku: Wykrywanie złośliwych aplikacji na oficjalnym oraz alternatywnym rynku Androida”, Y. Zhou et. Al., Sympozjum na temat sieci oraz dystrybuowanych systemów zabezpieczeń (NDSS), 2012 23 Tak jak twórcy aplikacji, sklepy z aplikacjami powinny być świadome przyszłego obowiązku powiadamiania o naruszeniu ochrony danych osobowych oraz ściśle współpracować z twórcami aplikacji w celu zapobieżenia tym naruszeniom. Producenci urządzeń oraz OS Producenci urządzeń oraz OS są również ważnymi graczami w zdefiniowaniu minimalnych standardów oraz najlepszych praktyk pomiędzy twórcami aplikacji, nie tylko w zakresie bezpieczeństwa podstawowego oprogramowania oraz API, ale również odnośnie narzędzi, wytycznych oraz materiałów, które stanowią punkt odniesienia, udostępnianych przez nich. Producenci urządzeń oraz OS powinni udostępnić silny oraz dobrze znany algorytm szyfrowania oraz wspierać odpowiednią długość kluczy. Powinni również ustanowić silny i bezpieczny mechanizm uwierzytelniania dostępny dla twórców aplikacji (np. wykorzystanie certyfikatów podpisanych przez zaufane instytucje certyfikujące w celu weryfikacji uwierzytelniania zdalnych zasobów). Pozwoliłoby to także uniknąć potrzeby dla twórców aplikacji rozwijania własnych mechanizmów uwierzytelniania. W praktyce jest to często słabo implementowane i może stanowić poważną podatność.42 Dostęp do danych osobowych oraz ich przetwarzanie przez aplikacje powinny być zarządzane poprzez wbudowane w API klasy oraz metody zapewniające odpowiednie punkty kontrolne oraz środki ochronne. Producenci urządzeń oraz OS powinni zapewnić, że metody oraz funkcje pozwalające na dostęp do danych osobowych zawierają cechy nakierowane na wdrożenie prośby o stopniową zgodę. Podobnie, powinno się podjąć działania w celu wykluczenia lub ograniczenia dostępu do danych osobowych poprzez wykorzystanie funkcji niskiego poziomu lub innych środków, które mogłyby obejść punkty kontroli oraz środki ochronne wdrożone do API. Producenci urządzeń oraz OS muszą także rozwinąć jasne ścieżki audytu w urządzeniach, takie, aby użytkownicy końcowi mogli jasno zobaczyć, które aplikacje miały dostęp do ich danych na ich urządzeniach. Wszystkie strony muszą odpowiadać szybko na podatności w obszarze bezpieczeństwa w odpowiednim czasie, tak aby użytkownicy końcowi nie byli w niepotrzebny sposób narażeni na braki w dziedzinie bezpieczeństwa. Niestety niektórzy producenci urządzeń oraz OS (a także operatorzy telekomunikacyjni, kiedy dystrybuują urządzenia markowe) nie zapewniają długoterminowego wsparcia dla OS, pozostawiając użytkowników niezabezpieczonymi przed dobrze znanymi podatnościami w dziedzinie bezpieczeństwa. Producenci urządzeń oraz OS, wspólnie z twórcami aplikacja, muszą od razu zapewnić użytkownikom informację na temat okresu, w którym mogą oni liczyć na regularne uaktualnienia dotyczące bezpieczeństwa. Powinni także poinformować użytkowników najszybciej jak to możliwe o tym, że kwestia związana z bezpieczeństwem wymaga uaktualnienia. 42 Wskazano ostatnio, że brak wizualnych indykatorów bezpieczeństwa dla wykorzystania SSL/TLS oraz nieodpowiednie wykorzystanie SSL/TLS może być wykorzystane do wywołania ataków Man-in-theMiddle (MITM). Łączna zainstalowana baza aplikacji z potwierdzonymi podatnościami na ataki MITM obejmuje kilka milionów użytkowników, zgodnie z ostatnimi studiami. „Dlaczego Ewa oraz Mallory kochają Androida. Analiza systemu zabezpieczeń SSL Androida, Bernd Freisleben and Matthew Smith, 19 konferencja ACM na temat komputerów oraz bezpieczeństwa komunikacyjnego (ACM CCS 2012). 24 Strony trzecie Powyższe cechy bezpieczeństwa oraz rozważania muszą być także zastosowane przez strony trzecie, kiedy zbierają one dane osobowe i przetwarzają je dla własnych celów, przede wszystkim przez reklamodawców oraz dostarczycieli oprogramowania typu analytics. Obejmuje to bezpieczną transmisję oraz zaszyfrowane przechowywanie unikalnego identyfikatora urządzenia oraz użytkownika aplikacji oraz innych danych osobowych. 3.7 Informacja 3.7.1. Obowiązek poinformowania oraz wymagana treść Zgodnie z art. 10 dyrektywy o ochronie danych, każda osoba, które dane dotyczą ma prawo znać tożsamość administratora danych, który przetwarza jej dane osobowe. Dodatkowo, w kontekście aplikacji, użytkownik końcowy ma prawo wiedzieć, jakie rodzaje danych osobowych są przetwarzane oraz dla jakich celów dane mają być użyte. Jeżeli dane osobowe użytkownika są zbierane od innych aktorów w ekosystemie aplikacji (opisanych w części 3.3. niniejszej opinii), użytkownik końcowy, zgodnie z art. 11 dyrektywy o ochronie danych, także ma prawo do bycia poinformowanym o takim przetwarzaniu, w taki sam sposób jak to opisano. Z tego względu odpowiedni administrator danych w przypadku przetwarzania danych osobowych musi poinformować potencjalnych użytkowników przynajmniej o: - tym, kim są (tożsamość oraz dane kontaktowe) - konkretnych kategoriach danych osobowych, które twórcy aplikacji będą zbierać oraz przetwarzać - tym, po co je przetwarzają (dla jakich dokładnie celów) - czy dane będą ujawnione stronom trzecim - tym, jak użytkownicy mogą wykorzystać swoje prawa odnośnie wycofania zgody oraz usunięcia danych. Dostępność tych informacji o przetwarzaniu danych osobowych jest kluczowa w celu uzyskania zgody od użytkownika na przetwarzanie danych. Zgoda może być ważna jedynie wtedy, gdy osoba została poinformowana o kluczowych elementach przetwarzania danych. Zapewnianie tych informacji po tym jak aplikacja zaczęła przetwarzać dane osobowe (co często zaczyna się w trakcie instalowania) nie może być uznane za wystarczające i jest prawnie nieważne. W zgodzie z raportem FTC, Grupa Robocza podkreśla potrzebę zapewnienia informacji w momencie, który ma znaczenie dla konsumenta, tuż przed zbieraniem takich informacji przez aplikacje. Powiedzenie, jakie dane są przetwarzane, jest szczególnie ważne, biorąc pod uwagę szeroki dostęp, jaki generalnie mają aplikacje do czujników oraz struktur danych na urządzeniu, gdzie w wielu przypadkach dostęp taki nie jest intuicyjnie wyczuwalny. Odpowiednie informacje mają także kluczowe znaczenie, kiedy aplikacje przetwarzają specjalne kategorie danych osobowych, np. o stanie zdrowia, przekonaniach politycznych, orientacji seksualnej itp. Wreszcie twórcy aplikacji powinni jasno odróżnić obligatoryjne oraz opcjonalne informacje i system powinien pozwalać użytkownikowi na odmówienie dostępu do opcjonalnych informacji, przy użyciu przyjaznych prywatności ustawień domyślnych. W odniesieniu do tożsamości administratora danych, użytkownicy potrzebują wiedzy na temat tego, kto jest prawnie odpowiedzialny za przetwarzanie ich danych osobowych oraz jak uzyskać kontakt z administratorem. W innym przypadku nie mogą oni wykonywać swoich 25 praw, takich jak prawo dostępu do danych (zdalnie) przechowywanych na ich temat. Z uwagi na sfragmentaryzowany charakter krajobrazu aplikacji, kluczowe jest to, aby każda aplikacja miała pojedynczy punkt kontaktowy, biorący odpowiedzialność za całe przetwarzanie danych, które odbywa się za pośrednictwem aplikacji. Nie można pozostawić użytkownikowi końcowemu wyszukiwania powiązań pomiędzy twórcą aplikacji a innymi stronami przetwarzającymi dane osobowe przez aplikacje. W odniesieniu do celu (-ów), użytkownicy końcowi muszą być w odpowiedni sposób poinformowani, które dane na ich temat są gromadzone oraz dlaczego. Użytkownicy powinni być także poinformowani w jasny sposób oraz przy użyciu prostego języka, czy ich dane mogą być ponownie wykorzystane przez inne strony, a jeśli tak, dla jakich celów. Elastyczne cele, takie jak „innowacja produktów”, są nieodpowiednie, jeśli chodzi o poinformowanie użytkowników. Powinno być to jasno powiedziane, jeżeli użytkownicy mają się zgodzić na dzielenie danych ze stronami trzecimi dla celów reklamowych oraz/i celów związanych z działaniem oprogramowania typu analytics. Na sklepach z aplikacjami ciąży istotny obowiązek zapewnienia, że informacje istnieją i są łatwo dostępne dla każdej aplikacji. Na sklepach z aplikacjami ciąży istotny obowiązek zapewnienia odpowiedniej informacji. Wykorzystanie znaków wizualnych lub ikon dotyczących wykorzystania danych jest silnie rekomendowane w celu uświadomienia użytkowników odnośnie rodzajów przetwarzania danych. Dodatkowo do wymienionego powyżej minimalnego zakresu informacji, koniecznego w celu uzyskania zgody od użytkownika aplikacji, Grupa Robocza mając na uwadze uczciwe przetwarzanie danych osobowych, mocno doradza administratorom danych podanie użytkownikom także informacji na temat: - aspektów proporcjonalności rodzajów zbieranych danych, lub danych do których uzyskują dostęp na urządzeniu - okresów przechowywania danych - środków bezpieczeństwa stosowanych przez administratora danych Grupa Robocza zaleca także twórcom aplikacji włączenie informacji na temat ich polityki prywatności dedykowanej użytkownikom europejskim, dotyczącej tego w jaki sposób aplikacja spełnia wymogi europejskiego prawa ochrony danych, obejmującą możliwe przekazywanie danych osobowych z Europy do np. USA, oraz tego, czy i jak aplikacje spełniają w takim przypadku wymogi programu Bezpiecznej Przystani. 3.7.2. Forma informacji Zasadniczy zakres informacji na temat przetwarzania danych osobowych musi być dostępny dla użytkowników przed instalacją aplikacji poprzez sklep z aplikacjami. Po drugie, odpowiednia informacja na temat przetwarzania danych musi być także dostępna w aplikacji, po instalacji. Jako współ-administrator wspólnie z twórcami aplikacji w odniesieniu do informacji, sklepy z aplikacjami muszą zapewnić, że każda aplikacja zapewnia kluczowe informacje na temat przetwarzania danych osobowych. Powinny one sprawdzić hyperlinki do załączonych stron z informacją na temat prywatności oraz usunąć aplikacje z niedziałającymi linkami lub z innego powodu niedostępnymi informacjami na temat przetwarzania danych. 26 Grupa Robocza zaleca, aby informacja na temat przetwarzania danych osobowych była także dostępna oraz łatwa do zlokalizowania, np. wewnątrz sklepu z aplikacjami oraz, co jest preferowane, na stałych stronach twórców aplikacji odpowiedzialnych za aplikacje. Nieakceptowane jest, aby stawiać użytkowników w pozycji, w której musieliby wyszukiwać w sieci informacje na temat polityk przetwarzania danych przez aplikacje zamiast być poinformowanymi bezpośrednio przez twórców aplikacji lub administratora danych. Jak najbardziej podstawowy obowiązek, każda aplikacja powinna mieć czytelną, zrozumiałą oraz łatwo dostępną politykę prywatności, gdzie wszystkie powyższe informacje są zawarte. Wiele aplikacji nie spełnia tego minimalnego wymogu odnośnie przejrzystości. Zgodnie z przeprowadzonym w czerwcu 2012 badaniem FPF, 56% płatnych aplikacji nie ma polityki prywatności, podobnie jak prawie 30% bezpłatnych aplikacji. Aplikacje które nie przetwarzają danych osobowych lub nie zamierzają ich przetwarzać, powinny jasno stwierdzić to w polityce prywatności. Oczywiście, są ograniczenia dotyczące ilości informacji, które mogą być umieszczone na małym wyświetlaczu, jednakże nie stanowi to wyłączenia wymogu odpowiedniego poinformowania użytkowników. Można przyjąć kilka strategii w celu zapewniania świadomości użytkowników co do kluczowych elementów usługi. Grupa Robocza widzi korzyści w zastosowaniu warstwowego systemu powiadamiania szczegółowo opisanego w Opinii GR29 10/200443, gdzie początkowa informacja dla użytkowników zawiera minimalne informacje wymagane przez ramy prawne UE, a dalsze informacje są dostępne przez linki odwołujące się do całej polityki prywatności. Informacja powinna być zaprezentowana bezpośrednio na ekranie, być łatwo dostępna oraz wyraźnie widoczna. Poza zrozumiałą informacją dopasowaną do małego ekranu urządzeń mobilnych, użytkownicy muszą być w stanie dotrzeć do bardziej szczegółowych wyjaśnień, np. w polityce prywatności, na temat tego, jak aplikacje wykorzystują dane osobowe, kto jest administratorem danych oraz gdzie użytkownik może wykorzystać swoje prawa. Podejście to może być połączone z wykorzystaniem ikon, zdjęć, filmów oraz dźwięków, oraz wykorzystać kontekstualną notyfikację w czasie rzeczywistym, kiedy aplikacja uzyskuje dostęp do książek adresowych lub zdjęć.44 Ikony te muszą być znaczące, t.j. jasne, niezależne oraz jednoznaczne. Oczywiście producenci OS ponoszą w dużym stopniu współodpowiedzialność za ułatwienie wykorzystania takich ikon. Twórcy aplikacji prześcigają się w programowaniu oraz projektowaniu całościowych interfejsów dopasowanych do małych ekranów i GR29 wzywa przemysł do wykorzystania tej kreatywności do dostarczenia bardziej innowacyjnych rozwiązań w celu efektywnego informowania użytkowników odnośnie przetwarzania danych osobowych na urządzeniach mobilnych. W celu zapewnienia, że informacja jest naprawdę zrozumiała dla użytkowników bez wiedzy technicznej lub prawniczej, Grupa Robocza (zgodnie z raportem FTC) mocno zaleca testy konsumenckie wybranych strategii.45 43 Opinia Grupy Roboczej Art. 29 nr 10/2004 w sprawie dalszej harmonizacji zasad informowania: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2004/wp100_pl.pdf 44 Np. ikony ostrzegawcze dla przetwarzania geo-lokalizacyjnego wykorzystywanego przez iPhone’y. 45 Raport FTC, przypis 6, s. 16 27 3.8. Prawa osób, których dane dotyczą Zgodnie z art. 12 oraz 14 dyrektywy o ochronie danych, twórcy aplikacji oraz inni administratorzy danych w ekosystemie aplikacji mobilnych muszą umożliwić użytkownikom aplikacji wykonywanie ich praw dostępu, poprawienia, usunięcia oraz wyrażanie sprzeciwu odnośnie przetwarzanych danych. Jeżeli użytkownik wykorzystuje prawo dostępu, administrator danych musi zapewnić użytkownikowi informację na temat przetwarzanych danych oraz źródła tych danych. Jeżeli administrator podejmuje zautomatyzowaną decyzję opartą na zebranych danych, administrator musi także poinformować użytkownika o logice stojącej za tymi decyzjami. Może mieć to miejsce kiedy zachowanie użytkowników jest oceniane, np. na podstawie danych finansowych lub zdrowotnych lub innych danych profilowych. Na prośbę użytkownika, administrator danych w aplikacji musi umożliwić poprawienie, usunięcie lub zablokowanie danych osobowych, jeżeli są niekompletne, niedokładne lub przetwarzane niezgodnie z prawem. Aby użytkownicy byli w stanie wykonywać kontrolę nad przetwarzaniem ich danych osobowych, aplikacje muszą jasno oraz w widoczny sposób informować użytkowników o istnieniu tych mechanizmów dostępu oraz poprawiania. Grupa Robocza Art. 29 zaleca zaprojektowanie oraz wdrożenie prostych, ale bezpiecznych narzędzi dostępu do sieci. Narzędzia dostępu powinny być dostępne w każdej aplikacji lub poprzez zaoferowanie linku do funkcjonalności on-line, gdzie użytkownicy mogą uzyskać natychmiastowy dostęp do wszystkich danych przetwarzanych na ich temat oraz niezbędnych wyjaśnień w tym zakresie. Podobne inicjatywy muszą być wdrożone przez dostarczycieli usług internetowych, takie jak różne deski rozdzielcze oraz inne mechanizmy dostępu. Potrzeba łatwego dostępu on-line jest szczególnie wysoka w przypadku, gdy aplikacje przetwarzają bogate profile użytkownia, takie jak w aplikacjach networkingowych, społecznościowych lub związanych z wysyłaniem wiadomości lub aplikacjach, które przetwarzają dane wrażliwe lub finansowe. Oczywiście dostęp powinien być przyznany tylko jeśli tożsamość osoby, której dane dotyczą, została potwierdzona, w celu zapobieżenia wypłynięciu danych do stron trzecich. Jednakże ten obowiązek weryfikacji tożsamości nie powinien prowadzić do dodatkowego, nadmiernego zbierania danych osobowych, na temat osoby, której dane dotyczą. W wielu przypadkach uwierzytelnienie może wystarczyć, zamiast (pełnej) identyfikacji. Dodatkowo użytkownikom powinno zawsze się zapewnić możliwość wycofania zgody w sposób prosty oraz nieobarczony barierami. Osoba, której dane dotyczą, może wycofać zgodę na przetwarzanie danych na wiele różnych sposobów oraz z wielu różnych powodów. Preferowaną opcją wycofania zgody powinno być jej udostępnienie przez wspomniany powyżej łatwo dostępny mechanizm. Musi być możliwe odinstalowanie aplikacji i usunięcie w ten sposób wszystkich danych, także z serwerów administratorów danych. W umożliwieniu użytkownikom, by ich dane mogły być usunięte przez twórców aplikacji, istotną rolę do odegrania mają producenci OS, którzy sygnalizują twórcom aplikacji to, że użytkownik ją odinstalował. Taki sygnał mógłby być przekazany za pośrednictwem API. Zasadniczo, po odinstalowaniu aplikacji, twórca aplikacji nie ma podstawy prawnej do dalszego przetwarzania danych osobowych dotyczących użytkownika i dlatego musi skasować wszystkie dane. Twórca aplikacji, który chce zachować pewne dane, np w celu ułatwienia reinstalcji aplikacji, musi odrębnie poprosić o zgodę w czasie odinstalowywania, prosząc użytkownika o zgodę na dodatkowy, zdefiniowany okres przechowywania. Jedynym wyjątkiem od tej zasady jest możliwe istnienie obowiązków prawnych przetrzymywania 28 niektórych danych dla określonych celów, np. dla obowiązków fiskalnych związanych z operacjami finansowymi.46 3.9 Okresy przechowywania Twórcy aplikacji muszą rozważyć okresy przechowywania danych zbieranych przez aplikacje oraz ryzyka dla ochrony danych, jakie to stwarza. Konkretny okres będzie zależał od celów aplikacji oraz znaczenia danych dla użytkownika końcowego. Np. aplikacje dzielące kalendarze, pamiętniki lub zdjęcia zostawiałyby określenie czasu użytkownikowi końcowemu, podczas gdy w przypadku aplikacji nawigacyjnych mogłoby wystarczyć jedynie 10 ostatnio odwiedzonych lokalizacji. Twórcy aplikacji powinni także zastanowić się nad danymi tych użytkowników, którzy nie wykorzystywali aplikacji przez dłuższy okres. Użytkownicy ci mogli utracić urządzenie, lub zamienić je na inne bez aktywnego odinstalowania wszystkich aplikacji z początkowego urządzenia. Z tego względu twórcy aplikacji powinni na wstępie określić okres braku aktywności, po którym konto będzie traktowane jako wygasłe oraz zapewnić, aby użytkownik był poinformowany o takim okresie. Po upłynięciu tego okresu, administrator danych powinien poinformować użytkownika oraz dać mu szansę na odzyskanie tych danych. Jeżeli użytkownik nie odpowie, dane odnoszące się do użytkownika oraz wykorzystania aplikacji powinny być nieodwracalnie zanonimizowane lub skasowane. Okres przypominania zależy od celu aplikacji oraz lokalizacji, gdzie dane są przechowywane. Jeśli chodzi o dane przechowywane na samym urządzeniu, np. rekord w grach, dane mogą być przechowywane tak długo jak aplikacja jest zainstalowana. Jeśli chodzi o dane, które są używane jedynie raz na rok, takie jak informacje na temat ośrodku narciarskiego, okres przypomnienia może wynosić 15 miesięcy. 3.10. Dzieci Dzieci są gorliwymi użytkownikami aplikacji, na ich własnych urządzeniach, lub dzielonych z innymi (np. ich rodziców, rodzeństwa lub w szkole) i widoczne jest istnienie dużego oraz zróżnicowanego rynku aplikacji nakierowanych na dzieci. Jednak jednocześnie dzieci posiadają niewielkie lub żadne zrozumienie i wiedzę na temat wrażliwości danych, do których aplikacje mogą zdobyć dostęp, czy zakresu danych dzielonych ze stronami trzecimi dla celów reklamowych Grupa Robocza zajmowała się w wyczerpujący sposób kwestią przetwarzania danych dzieci w Opinii 2/2009 o ochronie danych osobowych dzieci i zajęła się jedynie częścią ryzyk oraz zaleceń właściwych dla aplikacji obecnych w tym ustępie.47 46 Grupa Robocza przypomina wszystkim usługom społeczeństwa informacyjnego, takim jak aplikacje, że europejskie obowiązki w zakresie przechowywania danych (dyrektywa 2006/24/WE), nie mają do nich zastosowania i z tego względu nie mogą być przywołane jako podstawa prawna do dalszego przetwarzania danych użytkowników, po tym jak skasowali aplikacje. Grupa Robocza wykorzystuje tą okazję do podkreślenia szczególnie ryzykownej natury danych o ruchu, które wymagają specjalnej ostrożności oraz środków ochronnych samych w sobie – jak to podkreślono w Raporcie GR29 na temat wdrożenia dyrektywy retencyjnej (WP172) – gdzie wszyscy interesariusze zostali wezwani do wdrożenia odpowiednich środków bezpieczeństwa. 47 Opinia Grupy Roboczej art. 29 nm 2/2009 w sprawie ochrony danych osobowych dzieci (Ogólne wytyczne i szczególny przypadek szkół) (11 lutego 2009) http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp160_pl.pdf 29 Twórcy aplikacji oraz inni administratorzy danych powinni zwrócić uwagę na limit wieku dzieci oraz niepełnoletnich, tak jak zdefiniowano to w prawie krajowym, gdzie zgoda rodziców jest warunkiem wstępnym zgodnego z prawem przetwarzania danych przez aplikacje.48 Kiedy zgoda może legalnie być uzyskana od nieletniego, a aplikacja jest przeznaczona do użytku przez dzieci lub osoby niepełnoletnie, administrator danych powinien zwrócić uwagę na możliwie niewielkie zrozumienie oraz uwagę przywiązywaną przez niepełnoletnich do informacji na temat przetwarzania danych. Z powodu ich ogólnej podatności, a także biorąc pod uwagę, że dane muszą być przetwarzane uczciwie oraz zgodnie z prawem, administratorzy danych skierowani na dzieci powinni nawet bardziej restrykcyjnie respektować zasady minimalizacji zakresu danych oraz ograniczenia celu. Szczególnie administratorzy danych nie powinni przetwarzać danych dzieci dla celów reklamy behawioralnej, ani w sposób bezpośredni ani pośredni, jako że znajduje się to poza zrozumieniem dzieci i z tego względu przekracza granice legalnego przetwarzania. Grupa Robocza podziela obawy wyrażone przez Federalną Komisję Handlu w jej raporcie na temat aplikacji mobilnych dla dzieci.49 Twórcy aplikacji, we współpracy ze sklepami z aplikacjami oraz producentami urządzeń oraz OS, powinni dostarczyć odpowiednią informację w prosty sposób, w języku dostosowanym do wieku. Administratorzy danych powinni powstrzymać się od jakiegokolwiek zbierania danych związanych z rodzicami lub członkami rodziny od użytkownika będącego dzieckiem, takich jak informacje finansowe lub informacje na temat specjalnych kategorii informacji, takich jak dane medyczne. 4 Wnioski i zalecenia Wiele rodzajów danych dostępnych w inteligentnych urządzeniach mobilnych to dane osobowe. Właściwą podstawę prawną stanowi dyrektywa o ochronie danych, w połączeniu z określonym wymogiem zgody zawartym w artykule 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej. Przepisy te mają zastosowanie do każdej aplikacji, której grupą docelową są użytkownicy aplikacji w UE, bez względu na lokalizację twórcy aplikacji czy też sklepu z aplikacjami. Fragmentaryczny charakter ekosystemu aplikacji, szeroki zakres technicznych możliwości dostępu do danych przechowywanych w urządzeniach mobilnych lub przez nie wygenerowanych oraz brak świadomości prawnej wśród twórców stwarzają szereg poważnych zagrożeń w zakresie ochrony danych dla użytkowników aplikacji, począwszy od braku przejrzystości i braku świadomości wśród użytkowników aplikacji, aż po słabe środki bezpieczeństwa, mechanizmy zgody oparte na błędnych przesłankach, tendencję do maksymalizacji zakresu danych oraz elastyczność celów przetwarzania danych. 48 W państwach członkowski UE limit wieku wacha się od 12 do 18 lat. Raport FTC Aplikacje mobilne dla dzieci: Obecne ujawnienia prywatności są rozczarowujące (Frb. 2012): http://www.ftc.gov/os/2012/02/120216mobile_apps_kids.pdf „Podczas gdy badacze napotkali zróżnicowane aplikacje dla dzieci stworzone przez setki różnych twórców, znaleziono niewiele, jeśli w ogóle, informacji w miejscach sprzedaży aplikacji na temat zbierania danych oraz dzielenia praktyk tych aplikacji.” 49 30 Ma miejsce nakładanie się zobowiązań w zakresie ochrony danych między różnymi stronami zaangażowanymi w rozwój, rozpowszechnianie oraz możliwości techniczne aplikacji. Większość wniosków i zaleceń kierowana jest to twórców aplikacji (tak aby mieli jak największą kontrolę nad dokładnym sposób przetwarzania czy też przedstawiania informacji w ramach aplikacji), ale często, aby osiągnąć najwyższe standardy ochrony danych i prywatności, muszą oni współpracować z innymi stronami w ekosystemie aplikacji, takimi jak producenci OS i urządzeń, sklepy z aplikacjami i strony trzecie, np. dostawcy analityczni oraz sieci reklamowe. Twórcy aplikacji muszą Być świadomi i przestrzegać swoich zobowiązań jako administratorzy danych, gdy przetwarzają dane od lub na temat użytkowników; Być świadomi i przestrzegać swoich zobowiązań jako administratorzy danych, gdy zwierają umowy z przetwarzającymi dane, np. gdy powierzają gromadzenie i przetwarzanie danych osobowych twórcom, programistom i na przykład dostawców usług przechowywania w chmurze; Prosić o zgodę zanim aplikacja rozpocznie wyszukiwanie lub umieszczanie informacji na urządzeniu, np. przed instalacją aplikacji. Zgoda musi być wyrażona dobrowolnie, być konkretna i świadoma; Prosić o stopniową zgodę dla każdego rodzaju danych, do których aplikacja będzie miała dostęp; co najmniej dla kategorii Lokalizacja, Kontakty, Unikalny identyfikator urządzenia, Tożsamość osoby, której dane dotyczą, Tożsamość telefonu, Dane dotyczące karty kredytowej i płatności, Telefonia i SMS, Historia wyszukiwania, Email, Dane pozwalające na uwierzytelnienie w portalach społecznościowych oraz Dane biometryczne; Być świadomi faktu, że zgoda nie uprawnia do nadmiernego lub nieproporcjonalnego przetwarzania danych; Zapewnić dobrze określone i zrozumiałe cele przetwarzania danych przed instalacją aplikacji oraz nie mogą zmieniać tych celów bez ponownej zgody; zapewnić szczegółowe informacje na temat tego, czy dane będą wykorzystywanie do celów strony trzeciej, takich jak reklama czy cele analityczne; Zapewnić użytkownikom możliwość odwołania zgody oraz odinstalowania aplikacji oraz usunąć dane, gdy to właściwe; Przestrzegać zasady minimalizacji zakresu danych i zbierać jedynie te dane, które są absolutnie niezbędne do realizacji wymaganej funkcjonalności; Podjąć niezbędne środki techniczne i organizacyjne w celu zapewnienia ochrony danych osobowych, które przetwarzają, na wszystkich etapach projektowania i wdrażania aplikacji (ochrona prywatności w fazie projektowania, tzw. privacy by design), jak określono w artykule 3 ust. 6 niniejszej Opinii; Zapewnić pojedynczy punkt kontaktowy dla użytkowników aplikacji; Zapewnić odczytywalną, zrozumiałą i łatwo dostępna politykę prywatności, która informuje użytkowników co najmniej na temat tego: - kim są (tożsamość i dane kontaktowe), - jakie konkretne kategorie danych osobowych aplikacja chce zbierać i przetwarzać, 31 - dlaczego przetwarzanie danych jest konieczne (do jakich celów), - czy dane będą ujawniane stronom trzecim (nie tylko ogólny, ale szczegółowy opis tego, komu dane będą udostępnione), - jakie prawa posiadają użytkownicy, jeżeli chodzi o wycofanie zgody oraz usunięcie danych; Umożliwić użytkownikom aplikacje realizację ich praw dostępu do danych, ich poprawienia, usunięcia, oraz ich prawa do wyrażenia sprzeciwu wobec przetwarzania danych oraz poinformować ich o istnieniu takich mechanizmów; Określić racjonalny okres przechowywania danych zebranych przy pomocy aplikacji oraz określić wcześniej okres nieaktywności, po którym konto będzie traktowane jako wygasłe; W odniesieniu do aplikacji skierowanych do dzieci: zwracać uwagę na limit wiekowy dla dzieci i niepełnoletnich przewidziany w ustawodawstwie krajowym, wybrać najbardziej rygorystyczne podejście do przetwarzania danych przy pełnym uwzględnieniu zasad minimalizacji zakresu danych oraz ograniczenia celu, powstrzymać się od przetwarzania danych dzieci do celów reklamy behawioralnej, czy to bezpośrednio czy pośrednio, oraz powstrzymać się od gromadzenia od dzieci danych na temat ich rodziny i/lub przyjaciół. Grupa Robocza zaleca, aby twórcy aplikacji Przeanalizowali właściwe wytyczne dotyczące określonych zagrożeń bezpieczeństwa i środków; Proaktywnie informowali użytkowników o naruszeniach ochrony danych osobowych zgodnie z wymogami dyrektywy o prywatności i łączności elektronicznej; Informowali użytkowników o swoich rozważaniach dotyczących proporcjonalności dla rodzajów danych, które są zbierane lub do których jest umożliwiany dostęp na urządzeniu, o okresach przechowywania danych oraz stosowanych środkach bezpieczeństwa; Opracowali narzędzia umożliwiające użytkownikom dostosowanie okresów przechowywania ich danych osobowych w oparciu o ich konkretne preferencje i kontekst, zamiast oferować wcześniej określone warunki przechowywania; Zawarli informacje w swojej polityce prywatności przeznaczonej dla użytkowników europejskich; Opracowali i wdrożyli proste, ale bezpieczne narzędzia dostępu online dla użytkowników, bez zbierania dodatkowych nadmiernych danych osobowych; Wraz z producentami OS i urządzeń oraz sklepami z aplikacjami wykorzystywać ich kreatywny talent do opracowywania innowacyjnych rozwiązań w celu odpowiedniego informowania użytkowników w urządzeniach mobilnych, na przykład za pomocą systemu warstwowego powiadamiania połączonego ze znaczącymi ikonami. Sklepy z aplikacjami muszą Być świadome i przestrzegać swoich zobowiązań jako administratorzy danych, gdy przetwarzają dane od lub na temat użytkowników; 32 Egzekwować obowiązek informacyjny twórcy aplikacji, w tym rodzaje danych, do których aplikacja może mieć dostęp i dla jakich celów, oraz czy następuje wymiana danych ze stronami trzecimi; Zwracać szczególną uwagę na aplikacje skierowane do dzieci w celu ochrony przed nielegalnym przetwarzaniem ich danych oraz w szczególności wdrożyć obowiązek przedstawienia istotnych informacji w prosty sposób, w języku dostosowanym do wieku użytkownika; Zapewnić szczegółowe informacje na temat operacji sprawdzenia dostarczenia aplikacji do sklepu, których rzeczywiście dokonują, w tym tych mających na celu oszacowanie kwestii ochrony danych i prywatności. Grupa Robocza zaleca, aby sklepy z aplikacjami We współpracy z producentem OS, rozwinęły narzędzia kontroli dla użytkowników, takie jak symbole przedstawiające dostęp do danych w urządzeniu mobilnym lub przez nie generowanych; Poddawały wszystkie aplikacji mechanizmom reputacji publicznej; Wdrożyły zdalny mechanizm prywatności; Zapewniły użytkownikom możliwości zgłaszania problemów dotyczących ochrony prywatności i/lub bezpieczeństwa; Współpracowały z twórcami aplikacji w celu proaktywnego informowania użytkowników o naruszenia ochrony danych osobowych; Ostrzegały i informowały twórców aplikacji o specyficznych cechach prawa europejskiego przed wprowadzeniem aplikacji na rynek europejski, na przykład informowały o wymogu zgody oraz w przypadku przekazywania danych osobowych krajów spoza UE. odinstalowania przyjazny dla ochrony Producenci OS oraz urządzeń muszą Aktualizować swoje API, zasady przechowywania i interfejsy użytkownika, aby zapewnić użytkownikom wystarczające środki do kontroli realizacji zgodnej z prawem zgody na przetwarzanie danych przez aplikacje; Wdrożyć mechanizmy uzyskiwania zgody w ich systemach operacyjnych (OS) przy pierwszym wprowadzeniu aplikacji lub gdy aplikacja pierwszy raz próbuje uzyskać dostęp do kategorii danych mających istotny wpływ na ochronę prywatności; Zastosować zasady ochrony prywatności w fazie projektowania (privacy by design), aby zapobiec potajemnemu monitorowaniu użytkownika; Zapewnić bezpieczeństwo przetwarzania; Zapewnić (ustawienia domyślne), że wcześniej zainstalowane aplikacje będą zgodne z europejskim prawem w zakresie ochrony danych; Oferować stopniowy dostęp do danych, czujników i usług, w celu zapewnienia, że twórca aplikacji będzie mógł mieć dostęp tylko do tych danych, które są niezbędne dla jego aplikacji; 33 Zapewnić przyjazne dla użytkownika i skuteczne środki pozwalające uniknąć bycia śledzonym przez reklamodawców i inne strony trzecie. Ustawienia domyślne muszą umożliwiać unikanie śledzenia; Zapewnić dostępność odpowiednich mechanizmów do informowania i edukowania użytkownika końcowego na temat tego, co aplikacje mogą robić i do jakich danych mogą mieć dostęp; Zapewnić, że każdorazowy dostęp do kategorii danych jest odzwierciedlony w informacji dla użytkownika przed instalacją aplikacji: przedstawione kategorie muszą być jasne i zrozumiałe; Wdrożyć bezpieczne środowisko, wraz z narzędziami zapobiegającymi rozprzestrzenianiu się szkodliwych aplikacji i pozwalającymi na łatwe zainstalowanie/odinstalowanie każdej funkcjonalności. Grupa Robocza zaleca, aby producenci OS i urządzeń Zapewnili użytkownikom możliwość odinstalowania aplikacji oraz dali znać (np. poprzez API) twórcy aplikacji, aby umożliwić usunięcie określonych danych użytkownika; Systematycznie oferowali i usprawniali regularne aktualizacji bezpieczeństwa; Zapewnili metody i funkcje pozwalające na dostęp do danych osobowych , w tym cechy mające na celu wdrożenie próśb o stopniową zgodę; Aktywnie pomagali w rozwijaniu i usprawnianiu ikon informujących użytkowników o różnym wykorzystaniu danych przez aplikacje; Tworzyli jasne ścieżki audytu urządzeń, tak aby użytkownicy końcowi mogli wyraźnie zobaczyć, jakie aplikacje mają/miały dostęp do danych na ich urządzeniach oraz poznać wielkości ruchu wychodzącego dla danej aplikacji, w odniesieniu do ruchu zainicjowanego przez użytkownika. Strony trzecie muszą Być świadome i przestrzegać swoich zobowiązań jako administratorzy danych, gdy przetwarzają dane na temat użytkowników; Przestrzegać wymogu zgody określonego w artykule 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej, gdy odczytują lub zapisują dane na urządzeniach mobilnych, we współpracy z twórcami aplikacji i/lub sklepami z aplikacjami, które koniecznie zapewniają użytkownikowi informacje na temat celów przetwarzania danych; Nie mogą pominąć żadnego mechanizmu służącego unikaniu śledzenia, co obecnie często ma miejsce w przypadku mechanizmów „Do Not Track” zastosowanych w przeglądarkach; Dostawcy usług komunikacyjnych, gdy wprowadzają markowe urządzenia, muszą zapewnić ważną zgodę użytkowników dla wcześniej zainstalowanych aplikacji oraz podjąć się właściwych zobowiązań w sytuacji, gdy przyczyniają się do określenia konkretnych cech urządzenia oraz OS, np. gdy ograniczają dostęp użytkownika do określonych parametrów konfiguracji lub filtrują stałe udostępnienia (funkcjonalne lub związane z bezpieczeństwem) zapewniane przez producentów urządzenia lub OS; 34 Podmioty reklamujące muszą w szczególności unikać dostarczania reklam wykraczających poza kontekst aplikacji. Przykładem może być dostarczanie reklam poprzez modyfikację ustawień przeglądarki lub umieszczanie ikon na pulpicie urządzenia mobilnego. Muszą powstrzymać się od używania unikalnego urządzenia lub identyfikatorów abonenta do celu śledzenia; Powstrzymać się od przetwarzania danych dzieci do celów reklamy behawioralnej, czy to pośrednio czy bezpośrednio. Stosować odpowiednie środki bezpieczeństwa. Obejmuje to bezpieczne przekazywanie i szyfrowane przechowywanie unikalnego urządzenia i identyfikatorów użytkownika aplikacji oraz innych danych osobowych. Grupa Robocza zaleca, aby strony trzecie Opracowały i wdrożyły proste, ale bezpieczne narzędzia dostępu online dla użytkowników, bez gromadzenia dodatkowych nadmiernych danych osobowych; Gromadziły i przetwarzały tylko dane, które są zgodne z kontekstem podawania danych przez użytkownika. Sporządzono w Brukseli, w dniu 27 lutego 2013 r. W imieniu Grupy Roboczej Przewodniczący Jacob KOHNSTAM 35