Aplikacje mobilne, a ochrona danych osobowych

aplikacje_mobilne_0Większość z nas posiada ten lub inny model smartphon’a. Coraz powszechniejsze stają się również tablety. Każdy zaś smartphon czy tablet jest wyposażony w aplikacje mobilne. Są to najczęściej gry, aplikacje służące do przetwarzania zdjęć, robienia zakupów czy zaplanowania treningów. Rynek aplikacji mobilnych rozwija się bardzo dynamicznie. Obecnie w samej tylko Unii Europejskiej ten segment rynku generuje 17,5 mld euro rocznie i jest w nim zatrudnionych już 1 mln programistów i 800 tys. osób zajmujących się marketingiem i funkcjami pomocniczymi. Unijne badania wskazują na to, że w 2018 r. gospodarce Unii może przybyć 5 mln miejsc pracy, a przychód jaki ma generować branża osiągnie 63 mld euro.

Warto pamiętać, że większość aplikacji mobilnych jest darmowa. Obecnie zaledwie 9 proc. ściągnięć dotyczy płatnych aplikacji mobilnych. W jaki więc sposób są generowane te wszystkie pieniądze? Przede wszystkim aplikacje mobilne są wykorzystywane do zbierania informacji na nasz temat. Proces wygląda mniej więcej następująco. Instalujemy na naszym smart fonie/tablecie jakąś darmową grę. Podczas instalacji akceptujemy regulamin (oczywiście nie czytając go) i w ten sposób zgadzamy się na pozyskiwanie informacji z naszego telefonu. Obecnie, instalując aplikacje mobilne za pomocą np. Sklepu Google Play widzimy do jakich informacji będzie miała dostęp określona aplikacja. W tym miejscu pojawia się pytanie dlaczego „gra X” ma mieć dostęp do naszych zdjęć, informacji o połączeniu wi-fi, zakupów dokonywanych w innych aplikacjach, lokalizacji itp. Jest to prawdziwa cena instalowanej gry. Aplikacje mobilne zwierają ukryte logarytmy śledzące nasze zachowania i tworzące profil naszej osoby. W skład profilu wchodzą takie dane jak preferencje zakupowe, jakie strony internetowe są przez nas odwiedzane i wiele innych informacji na nasz temat. Następnie tego typu informacje są sprzedawane firmom marketingowym, które mogą wysyłać już sprofilowane reklamy.

Pierwszym pytaniem na jakie powinniśmy odpowiedzieć, to czy wskazany wyżej zakres informacji stanowi dane osobowe. Zgodnie z ustawą o ochronie danych osobowych, dane osobowe to  wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. W mojej ocenie, informacje przetwarzane przez aplikacje mobilne mogą stanowić dane osobowe w rozumieniu ustawy o ochronie danych osobowych.

Czy więc opisane działania są zgodne z polskimi przepisami (co prawda z 1997 roku)? Analizując wybrane aplikacje mobilne muszę stwierdzić, że niestety ale nie. Naruszeniu ulega wiele przepisów ustawy o ochronie danych osobowych.

Przede wszystkim nie wiemy – jako użytkownicy do jakich dokładnie danych będzie miała dostęp aplikacja i w jaki sposób zostanę te dane wykorzystane. Czyli nie jest spełniony obowiązek informacyjny w rozumieniu artykułu 24 ustawy o ochronie danych osobowych. Kolejnym uchybieniem jest udostępnianie danych na nasz temat innym podmiotom. I w tym miejscu pojawia się nowe pytanie – kto ma właściwie dostęp do danych osobowych pozyskiwanych z aplikacji mobilnych? Istnieją cztery główne podmioty, które mogą być wyróżnione. Są to: twórcy aplikacji (włączając właścicieli aplikacji), producenci urządzeń oraz systemów operacyjnych („producenci OS oraz urządzeń), sklepy z aplikacjami (dystrybutorzy aplikacji) oraz inne strony zaangażowane w przetwarzanie danych osobowych.[1] Warto pamiętać, iż zgodnie ze stanowiskiem GIODO i wyrokami sąd udostępnienie danych osobowych w celach marketingowych innym podmiotom może się odbyć wyłącznie za naszą zgodą. Z własnego doświadczenia mogę powiedzieć, że żadna aplikacja nie poprosiła mnie o wyrażenie takiej zgody. Kolejnym naruszeniem jakie może mieć miejsce to transfer danych do kraju trzeciego. Dane pochodzące z aplikacji mobilnych mogą być przechowywane na serwerach w krajach tzw. trzecich jak np. Indie, Chiny czy USA.  Zgodnie z polskimi przepisami jeżeli taki transfer ma miejsce to powinny zostać spełnione określone wymagania np. zgodę na transfer powinien wyrazić GIODO. Problematyczne jest również przestrzeganie zasady adekwatności.

Problem ochrony danych osobowych został zauważony przez  rzeczników ochrony danych i prywatności biorących udział w 35 Międzynarodowej Konferencji Rzeczników Ochrony Danych i Prywatności. Twórcy oprogramowania mają się zastanawiać, czy ich produkty nie naruszą prywatności użytkowników. Zobaczymy na ile branża wytwarzająca aplikacje mobilne weźmie sobie do serca uwagi i postulaty rzeczników …

[1] Opinia 2/2013 w sprawie aplikacji mobilnych Grupy Roboczej art. 29 ds. Ochrony Danych

Newsletter a ochrona danych osobowych

imagesW Internecie newsletter jest obecny praktycznie na każdym portalu czy stronie internetowej. Gdziekolwiek się poruszamy w wirtualnym świecie administratorzy stron czy portali wymagają od nas abyśmy pozostawili adres e-mail a oni będą nam przesyłać newsletter zawierający informacje o swoich produktach, usługach czy innego rodzaju działalności.

Temat należy rozpatrzeć w kilku aspektach. Pierwszym z nich jest temat danych osobowych jakie są zbierane przy zapisywaniu się na newsletter. Podstawową informacją  jaka jest potrzebna do wysyłki newslettera jest adres e-mail. Czy takowy adres e-mail stanowi dane osobowe? Jest w doktrynie rozbieżność czy każdy adres e-mail stanowi dane osobowe, choć ja uważam, że niestety dla wszystkich osób, które taki newsletter chcą wysyłać należy stwierdzić że stanowi. Niezależnie od tego jak jest on skonstruowany, tj. czy zawiera imię i nazwisko oraz miejsce pracy, czy ma charakter fantazyjny to posiadając taki adres e-mail mamy potencjalną możliwość identyfikacji osoby do której należy, a taka potencjalna możliwość identyfikacji jest elementem definicji danych osobowych zawartej w art. 6 ustawy o ochronie danych osobowych. Pewnym wyjątkiem będzie adres firmowy ogólny np. biuro@firma.pl. W takiej sytuacji tego adresu nie możemy przypisać do konkretnej osoby fizycznej, a zetem nie możemy mówić o danych osobowych. Jeżeli chodzi o zbieranie innych informacji w związku z wysyłką newslettera to jesteśmy ograniczeni zasadą adekwatności wymienioną w art. 26 ustawy o ochronie danych osobowych, czyli zakres zbieranych powinien być niezbędny do osiągnięcia celu przetwarzania. Zatem jeżeli newsletter ma charakter ogólny i nie kierowany do określonej kategorii osób to zakresem niezbędnym jest tylko adres e-mail, bez żadnych więcej informacji.

Przechodząc natomiast do podstaw przetwarzania to wysyłka newslettera może się obywać w oparciu o art. 23 ust. 1 pkt. 1 (zgoda) lub art. 23 ust. 1 pkt. 3 (umowa) ustawy o ochronie danych osobowych. Samo wpisanie adresu e-mail do okienka nie może być zgodą, bowiem zgoda na przetwarzanie danych osobowych nie może być domniemana ani dorozumiana z oświadczenia woli o innej treści. Zapewne pojawia się pytanie dlaczego umowa może być podstawą przetwarzania danych osobowych w wymienionej sytuacji. Newsletter w rozumieniu ustawy o świadczeniu usług drogą elektroniczną jest właśnie usługą świadczoną w ten sposób, a ww. ustawa wymaga aby każda usługa świadczona drogą elektroniczną posiadała regulamin (art. 8 ustawy o świadczeniu usług drogą elektroniczną). Poprzez oświadczenie o akceptacji regulaminu subskrybent zawiera z wysyłającym newsletter umowę i dlatego też umowa jest w tym przypadku podstawą do przetwarzania danych osobowych. Przy tej okazji warto wspomnieć, że jeżeli w treści newslettera zawierają się informacje handlowe, to wysyłający newsletter powinien od osób fizycznych zebrać zgodę na wysyłanie informacji handlowych drogą elektroniczną, która powinna być odrębnym oświadczeniem i nie może być łączona ze zgodą na przetwarzanie danych osobowych lub z oświadczenie o akceptacji regulaminu.

Kolejnym obowiązkiem jest obowiązek wyodrębnienia zbioru danych subskrybentów newslettera w dokumentacji ochrony danych osobowych (Polityce Bezpieczeństwa Ochrony Danych Osobowych) i jego rejestracji w biurze Generalnego Inspektora Ochrony Danych Osobowych. Niestety nie skorzystamy z żadnego zwolnienia z art. 43 ustawy o ochronie danych osobowych. Należy również wobec osób, których dane osobowe są zbierane dopełnić obowiązku informacyjnego z art. 24 ustawy o ochronie danych osobowych.

Należy pamiętać, że adres e-mail stanowi co do zasady dane osobowe i że w związku z tym podlegamy obowiązkom nałożonym przez ustawę o ochronie danych osobowych.

Sklep internetowy, a ochrona danych osobowych

sklep_internetowyW epoce internetu „jak grzyby po deszczu wyrosły” i dalej „wyrastają” sklepy internetowe. Sprzedaż towarów w ten właśnie sposób jest dość prosta i o wiele tańsza niż za pomocą „konwencjonalnych” sklepów. Właściwie każdy z nas może założyć taki sklep i zacząć sprzedawać jakieś towary. Powstaje jednak pytanie jak stworzyć sklep internetowy, tak aby był on zgodny z ustawą o ochronie danych osobowych?
Myślę, że wiele osób spędziło trochę czasu szukając odpowiedzi na powyższe pytanie. W związku z powyższym postanowiliśmy zebrać niezbędne informacje dotyczące sklepów internetowych w kontekście ustawy o ochronie danych osobowych i aktów wykonawczych wydanych na podstawie tej ustawy.

Zacznijmy od tego, że w odniesieniu do danych osobowych przetwarzanych w związku z prowadzeniem sklepu internetowego należy stosować ustawę o ochronie danych osobowych. W związku z funkcjonowaniem sklepu przetwarzamy dane klientów, kontrahentów itp. Pojawia się więc kwestia kto jest administratorem danych osobowych.
Jeżeli prowadzimy nasz sklep w formie jednoosobowej działalności gospodarczej lub w formie spółki cywilnej, to status administratora danych jest z nami związany bezpośrednio (my jesteśmy administratorem danych). W sytuacji kiedy sklep internetowy jest prowadzony w formie spółki prawa handlowego, to administratorem danych jest właśnie spółka (reprezentowana przez nas).
Odmiennie sytuacja statusu administratora danych wygląda kiedy nasz sklep wykonuje zlecone czynności np. jesteśmy również autoryzowanym serwisem. W takim przypadku podmiot w imieniu, którego dokonujemy napraw posiada status administratora danych, a my jesteśmy wyłącznie procesorem (czyli podmiotem, któremu powierzono przetwarzanie danych osobowych).

Wiemy więc kto jest administratorem danych w sklepie internetowym, teraz należy wskazać obowiązki wynikające z ustawy o ochronie danych osobowych.

Pierwszym z nich jest odpowiednie zabezpieczenie przetwarzanych danych osobowych oraz przygotowanie i wdrożenie niezbędnej dokumentacji tj. Polityki bezpieczeństwa przetwarzania danych osobowych oraz Instrukcji zarządzania systemami informatycznymi. Wymogi jakie powinny spełniać powyższe dokumenty zostały określone w rozporządzeniu ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Drugim obowiązkiem jest rejestracja zbiorów danych w GIODO.

Ostatnim elementem jest zapewnienie, aby dane osobowe były przetwarzane legalnie, z zachowaniem zasad wskazanych w ustawie o ochronie danych osobowych.

W kolejnych artykułach szczegółowo omówimy poszczególne obowiązki nałożone ustawą o ochronie danych osobowych w kontekście sklepów internetowych.