Aplikacje mobilne, a ochrona danych osobowych

aplikacje_mobilne_0Większość z nas posiada ten lub inny model smartphon’a. Coraz powszechniejsze stają się również tablety. Każdy zaś smartphon czy tablet jest wyposażony w aplikacje mobilne. Są to najczęściej gry, aplikacje służące do przetwarzania zdjęć, robienia zakupów czy zaplanowania treningów. Rynek aplikacji mobilnych rozwija się bardzo dynamicznie. Obecnie w samej tylko Unii Europejskiej ten segment rynku generuje 17,5 mld euro rocznie i jest w nim zatrudnionych już 1 mln programistów i 800 tys. osób zajmujących się marketingiem i funkcjami pomocniczymi. Unijne badania wskazują na to, że w 2018 r. gospodarce Unii może przybyć 5 mln miejsc pracy, a przychód jaki ma generować branża osiągnie 63 mld euro.

Warto pamiętać, że większość aplikacji mobilnych jest darmowa. Obecnie zaledwie 9 proc. ściągnięć dotyczy płatnych aplikacji mobilnych. W jaki więc sposób są generowane te wszystkie pieniądze? Przede wszystkim aplikacje mobilne są wykorzystywane do zbierania informacji na nasz temat. Proces wygląda mniej więcej następująco. Instalujemy na naszym smart fonie/tablecie jakąś darmową grę. Podczas instalacji akceptujemy regulamin (oczywiście nie czytając go) i w ten sposób zgadzamy się na pozyskiwanie informacji z naszego telefonu. Obecnie, instalując aplikacje mobilne za pomocą np. Sklepu Google Play widzimy do jakich informacji będzie miała dostęp określona aplikacja. W tym miejscu pojawia się pytanie dlaczego „gra X” ma mieć dostęp do naszych zdjęć, informacji o połączeniu wi-fi, zakupów dokonywanych w innych aplikacjach, lokalizacji itp. Jest to prawdziwa cena instalowanej gry. Aplikacje mobilne zwierają ukryte logarytmy śledzące nasze zachowania i tworzące profil naszej osoby. W skład profilu wchodzą takie dane jak preferencje zakupowe, jakie strony internetowe są przez nas odwiedzane i wiele innych informacji na nasz temat. Następnie tego typu informacje są sprzedawane firmom marketingowym, które mogą wysyłać już sprofilowane reklamy.

Pierwszym pytaniem na jakie powinniśmy odpowiedzieć, to czy wskazany wyżej zakres informacji stanowi dane osobowe. Zgodnie z ustawą o ochronie danych osobowych, dane osobowe to  wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. W mojej ocenie, informacje przetwarzane przez aplikacje mobilne mogą stanowić dane osobowe w rozumieniu ustawy o ochronie danych osobowych.

Czy więc opisane działania są zgodne z polskimi przepisami (co prawda z 1997 roku)? Analizując wybrane aplikacje mobilne muszę stwierdzić, że niestety ale nie. Naruszeniu ulega wiele przepisów ustawy o ochronie danych osobowych.

Przede wszystkim nie wiemy – jako użytkownicy do jakich dokładnie danych będzie miała dostęp aplikacja i w jaki sposób zostanę te dane wykorzystane. Czyli nie jest spełniony obowiązek informacyjny w rozumieniu artykułu 24 ustawy o ochronie danych osobowych. Kolejnym uchybieniem jest udostępnianie danych na nasz temat innym podmiotom. I w tym miejscu pojawia się nowe pytanie – kto ma właściwie dostęp do danych osobowych pozyskiwanych z aplikacji mobilnych? Istnieją cztery główne podmioty, które mogą być wyróżnione. Są to: twórcy aplikacji (włączając właścicieli aplikacji), producenci urządzeń oraz systemów operacyjnych („producenci OS oraz urządzeń), sklepy z aplikacjami (dystrybutorzy aplikacji) oraz inne strony zaangażowane w przetwarzanie danych osobowych.[1] Warto pamiętać, iż zgodnie ze stanowiskiem GIODO i wyrokami sąd udostępnienie danych osobowych w celach marketingowych innym podmiotom może się odbyć wyłącznie za naszą zgodą. Z własnego doświadczenia mogę powiedzieć, że żadna aplikacja nie poprosiła mnie o wyrażenie takiej zgody. Kolejnym naruszeniem jakie może mieć miejsce to transfer danych do kraju trzeciego. Dane pochodzące z aplikacji mobilnych mogą być przechowywane na serwerach w krajach tzw. trzecich jak np. Indie, Chiny czy USA.  Zgodnie z polskimi przepisami jeżeli taki transfer ma miejsce to powinny zostać spełnione określone wymagania np. zgodę na transfer powinien wyrazić GIODO. Problematyczne jest również przestrzeganie zasady adekwatności.

Problem ochrony danych osobowych został zauważony przez  rzeczników ochrony danych i prywatności biorących udział w 35 Międzynarodowej Konferencji Rzeczników Ochrony Danych i Prywatności. Twórcy oprogramowania mają się zastanawiać, czy ich produkty nie naruszą prywatności użytkowników. Zobaczymy na ile branża wytwarzająca aplikacje mobilne weźmie sobie do serca uwagi i postulaty rzeczników …

[1] Opinia 2/2013 w sprawie aplikacji mobilnych Grupy Roboczej art. 29 ds. Ochrony Danych

KeePass, czyli w jaki sposób zapamiętać hasła

Zgodnie z wymogami określonymi w ustawie o ochronie danych osobowych i rozporządzeniu dot. kwestii technicznych związanych z zabezpieczeniem danych osobowych, w przypadku, gdy administrator danych przetwarza dane osobowe na komputerach podłączonych do sieci internet, jesteśmy obowiązani stosować szczególne wymogi dot. zasad tworzenia i zmiany haseł. Hasła w systemach informatycznych służących do przetwarzania danych osobowych powinny zawierać min. 8 znaków i składać się z małych lub wielkich liter oraz cyfr lub znaków specjalnych. W każdym z systemów hasła powinny być zmieniane co 30 dni. W jaki sposób sprawić, by użytkownicy nie zapominali swoich haseł? Polecam wdrożenie w organizacji programy KeePass.

keepass

Aktualnie dostępna jest na platformę windows wersja 2.22. Co istotne, program posiada swoje wersje na inne systemy operacyjne, tj. Windows 98 / 98SE / ME / 2000 / XP / 2003 / Vista / 7 / 8, each 32-bit and 64-bit, iOS, Android, Windows Phone, Mono (Linux, Mac OS X, BSD, …). Program można pobrać za darmo ze strony: http://keepass.info/download.html.

Lista funkcji programu jest bardzo długa:

  • zastosowany mechanizm zapewnia bardzo mocne szyfrowanie używane przez organizację NASA.
  • możliwość używania programu przez więcej niż 1 użytkownika
  • możliwość uruchomienia programu np. z pamięci pendrive (bez konieczności przeprowadzenia instalacji)
  • eksport haseł do popularnych formatów plików (m.in pliki xls i doc)
  • import haseł z plików zapisywanych w popularnych formatach (np. txt i cvs)
  • przenoszalność haseł (dzięki zastosowaniu 1 pliku, w którym przechowywana jest baza danych programu)
  • określenie czasu ważności hasła, daty jego utworzenia itp.
  • automatyczne uzupełnianie haseł w odpowiednich formularzach
  • wygodne kopiowanie haseł do schowka
  • polska wersja językowa
  • bardzo mocny generator haseł
  • możliwość instalowania pluginów
  • otwarty kod!

Lista funkcjonalności jest naprawdę bogata. Z punktu widzenia ochrony danych osobowych istotne jest to, że 1 bardzo silne hasło może nam służyć do uzyskania dostępu do innych haseł, które przechowujemy w programie KeePass. Przy tworzeniu hasła możemy skorzystać z generatora programu, co zwalnia nas z potrzeby zastanawiania się nad tym, jakie hasło będzie dostatecznie silne. Ponadto, możemy określić okres ważności hasła. Program po upłynięciu wskazanego terminu (a więc np. 30 dni z rozporządzenia do ustawy o ochronie danych osobowych) zaproponuje nam byśmy utworzyli nowe hasło.