Aplikacje mobile – nowy problem w dziedzinie ochrony danych osobowych!
Dodano: 12-03-2014 w kategorii: Przesłanki przetwarzania, Prawa osób, których dane dotyczą, Zasady przetwarzania danych osobowych. Dodane przez: Katarzyna Witkowska.
Często słyszymy o problemach, związanych z ochroną danych osobowych w procesach firmowych, na portalach społecznościowych, w sklepach internetowych czy przy okazji organizacji loterii i konkursów. Wciąż jednak zbyt rzadko usłyszeć możemy o całym sektorze urządzeń i aplikacji mobilnych, które stanowią niejednokrotnie poważne zagrożenie dla prywatności ich użytkowników i których obecności w dzisiejszych czasach nie sposób nie dostrzegać. Jak wskazują statystyki, dzisiejsza mobilna rzeczywistość to ponad 6 milionów aplikacji i znacznie więcej danych osobowych przez te aplikacje przetwarzanych.
Urządzenia mobilne – urządzenia bardzo osobiste
Wszelkiego rodzaju urządzenia przenośne, w tym smarfony, tablety czy netbooki, są urządzeniami z natury ściśle powiązanymi z osobą, zawierającymi niejednokrotnie informacje, które użytkownicy woleliby pozostawić tylko dla siebie. Wśród informacji tych wymienić można choćby listę kontaktów, historię połączeń i wyszukiwarek internetowych, wiadomości sms, maile, zdjęcia, filmy czy notatki. Ścisły związek urządzeń mobilnych z osobą powoduje, że są one coraz częściej wykorzystywane do gromadzenia szczegółowych informacji o niej, tym bardziej, że niejednokrotnie umożliwiają tworzenie precyzyjnego profilu użytkownika.
Korzystający z urządzeń, bardzo często nieświadomi zagrożeń, związanych z korzystaniem z aplikacji mobilnych, chętnie i łatwo udostępniają kolejne informacje na swój temat. Problem nieświadomości dotyka jednak nie tylko samych użytkowników, ale i twórców aplikacji, którzy nie uwzględniają całego problemu ochrony prywatności, projektując i wdrażając w życie nowe rozwiązania.
Aplikacje mobilne w ocenie Grupy Roboczej Artykułu 29 ds. Ochrony Danych Osobowych
Problemem aplikacji mobilnych oraz ich wpływu na ochronę prywatności zajęła się Grupa Robocza Artykułu 29 ds. Ochrony Danych. W opinii z dnia 27 lutego 2013 roku nr 2/2013 Grupa Robocza wskazała najważniejsze, jej zdaniem, zagrożenia dla użytkownika związane z korzystaniem z urządzeń i aplikacji mobilnych, wyjaśniając jednocześnie, które z gromadzonych przez aplikacje danych traktowane być mogą jako dane osobowe.
W przypadku aplikacji mobilnych, informacji, umożliwiających w sposób bezpośredni lub pośredni identyfikację osoby, której te informacje dotyczą, jest bardzo dużo. Jak słusznie zwraca uwagę Grupa Robocza, tego typu dane mogą odnosić się nie tylko do właściciela urządzenia czy jego użytkownika, ale również do osób trzecich, których dane gromadzone są choćby w książce kontaktów.
Wśród przykładów danych osobowych, przetwarzanych w ramach aplikacji mobilnych, wymienia się m.in. unikalne identyfikatory użytkowników, w tym numery IMEI, IMSI, dane kontaktowe, logi połączeń telefonicznych czy wiadomości tekstowych, dane lokalizacyjne, historię przeglądania czy historię płatności, dokonywanych z wykorzystaniem systemów płatności mobilnych bądź internetowych, dane przetwarzane w ramach poczty elektronicznej, hasła dostępu oraz loginy do kont w sklepach internetowych oraz portalach społecznościowych, filmy czy zdjęcia.
Gdzie leży problem? - Największe zagrożenia dla ochrony danych osobowych w przypadku aplikacji mobilnych
Podstawowym zarzutem, stawianym aplikacjom mobilnym w opinii Grupy Roboczej jest brak przejrzystości, który powiązany jest z kolei z brakiem możliwości wyrażenia przez użytkownika świadomej i dobrowolnej zgody. Grupa Robocza wskazuje również na wprowadzanie zbyt słabych, niewystarczających środków bezpieczeństwa, a także brak poszanowania zasady ograniczenia celu przetwarzania wyłącznie do celu jasno określonego i zgodnego z prawem, jako na kluczowe źródła zagrożeń dla prywatności użytkowników.
Brak przejrzystości wynika w istocie z nienależytego spełniania obowiązku informacyjnego przez twórców aplikacji. Problem, dotyczący braku możliwości wyrażenia świadomej i dobrowolnej zgody, związany jest z kolei z nadmiernym upraszczaniem procedury rejestracji czy pobierania danej aplikacji. Najczęściej spotkać można zgodę zaznaczoną odgórnie za użytkownika lub też lakoniczną informację, że użytkownik zgadza się na warunki, na jakich świadczona jest usługa.
Aplikacjom zarzuca się również brak poszanowania zasady ograniczenia celu i minimalizacji zakresu zbieranych danych. Pamiętać należy, że precyzyjne i konkretne określenie celu umożliwia użytkownikowi podjęcie decyzji, czy zgadza się, by jego dane były w tym celu przetwarzane. Zbyt szerokie ujęcie celu przetwarzania otwiera natomiast drogę do nadużyć ze strony administratora danych.
Nie tylko ograniczenie celem powinno stanowić jeden z kluczowych elementów procesu przetwarzania danych osobowych w aplikacjach mobilnych. Równie istotną, a często pomijaną, jest minimalizacja zakresu zbieranych danych. Twórca aplikacji powinien dokładnie sprecyzować, jakie konkretnie dane muszą być zebrane, by umożliwić prawidłowe i zgodne z założeniami funkcjonowanie aplikacji. Nie powinien natomiast dopuszczać do zbierania zbyt szerokiego katalogu danych, wykraczających poza niezbędne minimum, konieczne do zapewnienia funkcjonowania danej usługi.
Do czego należy dążyć?
W świetle wyżej zarysowanych zagrożeń bardzo ważne jest, by zagwarantować użytkownikom należytą kontrolę nad ich danymi osobowymi. Wspomniane zagrożenia dla prywatności, których źródła leżą w nienależytym spełnianiu obowiązku informacyjnego czy też w uniemożliwianiu lub utrudnianiu użytkownikowi wyrażenia dobrowolnej zgody na gromadzenie określonych danych w oczywisty sposób przekładają się na utratę przez niego kontroli nad obiegiem informacji o nim samym. W związku z tym, pamiętać należy, że użytkownikowi zapewnić trzeba prawo do określenia, które dane o nim mogą podlegać przetwarzaniu.
O kolejnych problemach i wyzwaniach dla sektora aplikacji mobilnych pisać będziemy w kolejnych postach.
Katarzyna Witkowska
e-mail:
Alerty prawno-podatkowe