Aplikacje mobilne, a ochrona danych osobowych

aplikacje_mobilne_0Większość z nas posiada ten lub inny model smartphon’a. Coraz powszechniejsze stają się również tablety. Każdy zaś smartphon czy tablet jest wyposażony w aplikacje mobilne. Są to najczęściej gry, aplikacje służące do przetwarzania zdjęć, robienia zakupów czy zaplanowania treningów. Rynek aplikacji mobilnych rozwija się bardzo dynamicznie. Obecnie w samej tylko Unii Europejskiej ten segment rynku generuje 17,5 mld euro rocznie i jest w nim zatrudnionych już 1 mln programistów i 800 tys. osób zajmujących się marketingiem i funkcjami pomocniczymi. Unijne badania wskazują na to, że w 2018 r. gospodarce Unii może przybyć 5 mln miejsc pracy, a przychód jaki ma generować branża osiągnie 63 mld euro.

Warto pamiętać, że większość aplikacji mobilnych jest darmowa. Obecnie zaledwie 9 proc. ściągnięć dotyczy płatnych aplikacji mobilnych. W jaki więc sposób są generowane te wszystkie pieniądze? Przede wszystkim aplikacje mobilne są wykorzystywane do zbierania informacji na nasz temat. Proces wygląda mniej więcej następująco. Instalujemy na naszym smart fonie/tablecie jakąś darmową grę. Podczas instalacji akceptujemy regulamin (oczywiście nie czytając go) i w ten sposób zgadzamy się na pozyskiwanie informacji z naszego telefonu. Obecnie, instalując aplikacje mobilne za pomocą np. Sklepu Google Play widzimy do jakich informacji będzie miała dostęp określona aplikacja. W tym miejscu pojawia się pytanie dlaczego „gra X” ma mieć dostęp do naszych zdjęć, informacji o połączeniu wi-fi, zakupów dokonywanych w innych aplikacjach, lokalizacji itp. Jest to prawdziwa cena instalowanej gry. Aplikacje mobilne zwierają ukryte logarytmy śledzące nasze zachowania i tworzące profil naszej osoby. W skład profilu wchodzą takie dane jak preferencje zakupowe, jakie strony internetowe są przez nas odwiedzane i wiele innych informacji na nasz temat. Następnie tego typu informacje są sprzedawane firmom marketingowym, które mogą wysyłać już sprofilowane reklamy.

Pierwszym pytaniem na jakie powinniśmy odpowiedzieć, to czy wskazany wyżej zakres informacji stanowi dane osobowe. Zgodnie z ustawą o ochronie danych osobowych, dane osobowe to  wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. W mojej ocenie, informacje przetwarzane przez aplikacje mobilne mogą stanowić dane osobowe w rozumieniu ustawy o ochronie danych osobowych.

Czy więc opisane działania są zgodne z polskimi przepisami (co prawda z 1997 roku)? Analizując wybrane aplikacje mobilne muszę stwierdzić, że niestety ale nie. Naruszeniu ulega wiele przepisów ustawy o ochronie danych osobowych.

Przede wszystkim nie wiemy – jako użytkownicy do jakich dokładnie danych będzie miała dostęp aplikacja i w jaki sposób zostanę te dane wykorzystane. Czyli nie jest spełniony obowiązek informacyjny w rozumieniu artykułu 24 ustawy o ochronie danych osobowych. Kolejnym uchybieniem jest udostępnianie danych na nasz temat innym podmiotom. I w tym miejscu pojawia się nowe pytanie – kto ma właściwie dostęp do danych osobowych pozyskiwanych z aplikacji mobilnych? Istnieją cztery główne podmioty, które mogą być wyróżnione. Są to: twórcy aplikacji (włączając właścicieli aplikacji), producenci urządzeń oraz systemów operacyjnych („producenci OS oraz urządzeń), sklepy z aplikacjami (dystrybutorzy aplikacji) oraz inne strony zaangażowane w przetwarzanie danych osobowych.[1] Warto pamiętać, iż zgodnie ze stanowiskiem GIODO i wyrokami sąd udostępnienie danych osobowych w celach marketingowych innym podmiotom może się odbyć wyłącznie za naszą zgodą. Z własnego doświadczenia mogę powiedzieć, że żadna aplikacja nie poprosiła mnie o wyrażenie takiej zgody. Kolejnym naruszeniem jakie może mieć miejsce to transfer danych do kraju trzeciego. Dane pochodzące z aplikacji mobilnych mogą być przechowywane na serwerach w krajach tzw. trzecich jak np. Indie, Chiny czy USA.  Zgodnie z polskimi przepisami jeżeli taki transfer ma miejsce to powinny zostać spełnione określone wymagania np. zgodę na transfer powinien wyrazić GIODO. Problematyczne jest również przestrzeganie zasady adekwatności.

Problem ochrony danych osobowych został zauważony przez  rzeczników ochrony danych i prywatności biorących udział w 35 Międzynarodowej Konferencji Rzeczników Ochrony Danych i Prywatności. Twórcy oprogramowania mają się zastanawiać, czy ich produkty nie naruszą prywatności użytkowników. Zobaczymy na ile branża wytwarzająca aplikacje mobilne weźmie sobie do serca uwagi i postulaty rzeczników …

[1] Opinia 2/2013 w sprawie aplikacji mobilnych Grupy Roboczej art. 29 ds. Ochrony Danych

Czy numer telefonu to dana osobowa?

Na prośbę jednego z naszych Czytelników zmierzymy się dziś z problemem, czy numer telefonu to dana osobowa.

telefon

Wyobraźmy sobie, że jako ABI doradzamy naszemu mocodawcy, w jaki sposób należy dostosować smsowy konkurs do wymogów ustawy o ochronie danych osobowych. Konkurs polegać ma na tym, że w jednym z branżowych pism pojawi się ulotka reklamowa konkursu, zachęcająca czytelników do wysłania na podany numer telefonu wiadomości z wymyślonym przez czytelnika nowym hasłem reklamowych organizatora konkursu. Czy numer telefonu to dana osobowa? To podstawowe i najważniejsze pytanie w tym momencie (pozostałe kwestie związane z ochroną danych osobowych przy prowadzeniu konkursów zostaną omówione w innych artykułach). Odpowiedź na nie przesądza w omawianym przypadku o tym, czy do oceny konkursu stosować należy ustawę o ochronie danych osobowych.

Numer telefonu to ciąg cyfr identyfikujących abonenta telefonicznego, których wybranie za pomocą urządzeń telekomunikacyjnych (telefon, telefaks, modem) powoduje zestawienie połączenia, przy wykorzystaniu publicznej sieci telefonicznej, z żądanym abonentem (któremu ten numer został przypisany przez operatora telekomunikacyjnego). Format i schemat wybierania numerów telefonicznych w Polsce są określone przez ministra właściwego ds. łączności (obecnie Minister Administracji i Cyfryzacji) w Planie Numeracji Krajowej dla publicznych sieci telefonicznych. Z kolei numery telefoniczne przydziela operatorom Prezes Urzędu Komunikacji Elektronicznej (UKE). Skoro już wiemy co to jest numer telefonu od strony technicznej możemy przejść do sedna sprawy.

Definicję pojęcia danych osobowych zawiera art. 6 ustawy o ochronie danych osobowych. Poniżej zamieszczam jego treść:

Art. 6. 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Z samej definicji możemy błyskawicznie wyciągnąć trzy wnioski. Chodzi o:

  1. wszelkie informacje,
  2. dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby,
  3. przyporządkowane osobie fizycznej.

Czy numer telefonu spełnia te wymogi? Tutaj, a więc w miejscu gdzie przechodzimy z poziomu przepisów na praktykę, zaczynają się schody… Nie mam wątpliwości, że warunki wymienione w pkt 1 i 3 powyżej mogą być spełnione. Co jednak z wymogiem, by informacja dotyczyła zidentyfikowanej lub możliwej do zidentyfikowania osoby? Czy jeśli mamy numer telefonu pozwoli to nam na identyfikację lub choćby potencjalną identyfikację? Czy jeśli mamy bazę 100 numerów telefonów, to ile z nich powinno pozwalać na identyfikację (również potencjalną identyfikację) osoby? Czy odpowiedź na ostatnie pytanie w ogóle ma znaczenie w kontekście omawianego problemu? Co w takim razie z art. 6 ust. 3 ustawy, a więc ograniczeniem definicji danych osobowych w przypadku, gdy ustalenie tożsamości wymagałoby nadmiernych kosztów czasu, lub działań? Co na to GIODO? W tym miejscu pozwolę sobie na dygresję. Nie wiem jak Ty Czytelniku, ale ja mam wrażenie, że im bardziej staram się znaleźć odpowiedź, tym więcej pojawia się pytań i niewiadomych. Tak to jest w branży ochrony danych osobowych… Pora na chwilę oddechu i zaraz wracam w następnej linii…

Moim osobistym zdaniem, numer telefonu pozwala zazwyczaj na identyfikację a jeszcze częściej na potencjalną identyfikację. Gdybyśmy stworzyli standardowy wzorzec człowieka, który korzystając ze standardowo dostępnych narzędzi miałby przyporządkować numer telefonu do jego właściciela, to jestem zdania, że w standardowej sytuacji operacja zakończyłaby się sukcesem i nastąpiłaby identyfikacja. W dobie książek telefonicznych, internetu, poczty elektronicznej nie wydaje się to trudne. Powyższe przesądza moim zdaniem również o tym, że ograniczenie definicji danych osobowych zawarte w art. 6 ust. 3 ustawy nie będzie miało w przypadku numeru telefonu zastosowania. Nie ma znaczenia czy mamy jeden numer telefonu czy więcej – ten wątek związany jest z tematem zbioru danych, ale o tym innym razem.

Oczywiście takie ujęcie tematu, że numer telefonu będzie zawsze daną osobową byłoby błędne. Na potrzeby niniejszego opracowania byłbym bardziej skłonny powiedzieć, że co do zasady, w standardowej sytuacji tak będzie. Oczywiście jeśli mamy bazę numerów, zdecydowanie bezpieczniej z punktu widzenia administratora danych jest przyjąć, że posiadając numery telefonów – administrator przetwarza dane osobowe. Jeden z moich znajomych zajmujących się bezpieczeństwem w IT odpowiedział na moje pytanie o identyfikację właściciela numeru telefonu w ten sposób:

Chcesz poznać imię i nazwisko właściciela numeru telefonu? Wykręć numer i zapytaj z kim masz przyjemność.

Fakty są takie, że odbierając połączenie od nieznanego mi numeru faktycznie się przedstawiam imieniem i nazwiskiem… Jeśli moje argumenty nie są w tej materii przekonujące, proszę o ciętą ripostę w komentarzach.

Bardzo trudno znaleźć jakiekolwiek przesądzające rozstrzygnięcie GIODO w tej materii. Na różnych spotkaniach w których biorą udział inspektorzy GIODO można usłyszeć sprzeczne informacje. Raz numer telefonu jest daną osobową, innym razem nie jest. Podobnie „lawirują” zazwyczaj wszelkiego rodzaju podmioty zajmujące się doradztwem w zakresie ochrony danych osobowych, a nawet kancelarie prawne. Udało mi się dotrzeć jednak do jednej z sygnalizacji GIODO. Sprawa dotyczyła ujawnienia prywatnych numerów telefonów policjantów. W tejże właśnie sygnalizacji (DOLiS-440-211/07) GIODO stwierdził, że:

W świetle przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej również ustawą, nie budzi wątpliwości, iż numer telefonu jest daną osobową w rozumieniu art. 6 ust. 1 ustawybowiem dotyczy możliwej do zidentyfikowania osoby fizycznej. Ponadto wskazać należy, iż na podstawie art. 159 ust. 1 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800 ze zm.) ww. dana objęta jest tajemnicą telekomunikacyjną.

Proszę jednak aż tak bardzo nie sugerować się przywołanym stanowiskiem GIODO. To tylko sygnalizacja…

Co na to Świat? Poniżej kilka cytatów.

Data Protection Technical Guidance – Determining what is personal data (opracowanie odpowiednika naszego GIODO w UK)

For example, if searching a public register or reverse directory would enable the individual to be identified from an address or telephone number, and this resource is likely to be used for this purpose, the address or telephone number data should be considered to be capable of identifying an individual.

 Judgment of the European Court of Justice C-101/2001 of 06.11.2003 (Lindqvist), § 27

The European Court of Justice has spoken in that sense when considering that „referring, on an internet page, to various persons and identifying them by name or by other means, for instance by giving their telephone number or information regarding their working conditions and hobbies, constitutes the processing of personal data […] within the meaning of […] Directive 95/46/CE.

Dla odmiany, odpowiednik GIODO w Australii twierdzi, że:

Finally, the ALRC suggested that information that simply allows an individual to be contacted—such as a stand alone telephone number, street address or IP address—would not, and should not, fall within the proposed definition of ‘personal information’.

Był to pierwszy artykuł, który pojawił się na prośbę jednego z Czytelników. Mam nadzieję, że udało się rzucić trochę światła na temat numeru telefonu w kontekście definicji danych osobowych. Jeżeli ktoś ma pomysł na następny wpis to bardzo proszę o kontakt. Z przyjemnością zmierzymy się z praktycznymi problemami związanymi ze stosowaniem przepisów o ochronie danych osobowych.