Aplikacje mobilne, a ochrona danych osobowych

aplikacje_mobilne_0Większość z nas posiada ten lub inny model smartphon’a. Coraz powszechniejsze stają się również tablety. Każdy zaś smartphon czy tablet jest wyposażony w aplikacje mobilne. Są to najczęściej gry, aplikacje służące do przetwarzania zdjęć, robienia zakupów czy zaplanowania treningów. Rynek aplikacji mobilnych rozwija się bardzo dynamicznie. Obecnie w samej tylko Unii Europejskiej ten segment rynku generuje 17,5 mld euro rocznie i jest w nim zatrudnionych już 1 mln programistów i 800 tys. osób zajmujących się marketingiem i funkcjami pomocniczymi. Unijne badania wskazują na to, że w 2018 r. gospodarce Unii może przybyć 5 mln miejsc pracy, a przychód jaki ma generować branża osiągnie 63 mld euro.

Warto pamiętać, że większość aplikacji mobilnych jest darmowa. Obecnie zaledwie 9 proc. ściągnięć dotyczy płatnych aplikacji mobilnych. W jaki więc sposób są generowane te wszystkie pieniądze? Przede wszystkim aplikacje mobilne są wykorzystywane do zbierania informacji na nasz temat. Proces wygląda mniej więcej następująco. Instalujemy na naszym smart fonie/tablecie jakąś darmową grę. Podczas instalacji akceptujemy regulamin (oczywiście nie czytając go) i w ten sposób zgadzamy się na pozyskiwanie informacji z naszego telefonu. Obecnie, instalując aplikacje mobilne za pomocą np. Sklepu Google Play widzimy do jakich informacji będzie miała dostęp określona aplikacja. W tym miejscu pojawia się pytanie dlaczego „gra X” ma mieć dostęp do naszych zdjęć, informacji o połączeniu wi-fi, zakupów dokonywanych w innych aplikacjach, lokalizacji itp. Jest to prawdziwa cena instalowanej gry. Aplikacje mobilne zwierają ukryte logarytmy śledzące nasze zachowania i tworzące profil naszej osoby. W skład profilu wchodzą takie dane jak preferencje zakupowe, jakie strony internetowe są przez nas odwiedzane i wiele innych informacji na nasz temat. Następnie tego typu informacje są sprzedawane firmom marketingowym, które mogą wysyłać już sprofilowane reklamy.

Pierwszym pytaniem na jakie powinniśmy odpowiedzieć, to czy wskazany wyżej zakres informacji stanowi dane osobowe. Zgodnie z ustawą o ochronie danych osobowych, dane osobowe to  wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. W mojej ocenie, informacje przetwarzane przez aplikacje mobilne mogą stanowić dane osobowe w rozumieniu ustawy o ochronie danych osobowych.

Czy więc opisane działania są zgodne z polskimi przepisami (co prawda z 1997 roku)? Analizując wybrane aplikacje mobilne muszę stwierdzić, że niestety ale nie. Naruszeniu ulega wiele przepisów ustawy o ochronie danych osobowych.

Przede wszystkim nie wiemy – jako użytkownicy do jakich dokładnie danych będzie miała dostęp aplikacja i w jaki sposób zostanę te dane wykorzystane. Czyli nie jest spełniony obowiązek informacyjny w rozumieniu artykułu 24 ustawy o ochronie danych osobowych. Kolejnym uchybieniem jest udostępnianie danych na nasz temat innym podmiotom. I w tym miejscu pojawia się nowe pytanie – kto ma właściwie dostęp do danych osobowych pozyskiwanych z aplikacji mobilnych? Istnieją cztery główne podmioty, które mogą być wyróżnione. Są to: twórcy aplikacji (włączając właścicieli aplikacji), producenci urządzeń oraz systemów operacyjnych („producenci OS oraz urządzeń), sklepy z aplikacjami (dystrybutorzy aplikacji) oraz inne strony zaangażowane w przetwarzanie danych osobowych.[1] Warto pamiętać, iż zgodnie ze stanowiskiem GIODO i wyrokami sąd udostępnienie danych osobowych w celach marketingowych innym podmiotom może się odbyć wyłącznie za naszą zgodą. Z własnego doświadczenia mogę powiedzieć, że żadna aplikacja nie poprosiła mnie o wyrażenie takiej zgody. Kolejnym naruszeniem jakie może mieć miejsce to transfer danych do kraju trzeciego. Dane pochodzące z aplikacji mobilnych mogą być przechowywane na serwerach w krajach tzw. trzecich jak np. Indie, Chiny czy USA.  Zgodnie z polskimi przepisami jeżeli taki transfer ma miejsce to powinny zostać spełnione określone wymagania np. zgodę na transfer powinien wyrazić GIODO. Problematyczne jest również przestrzeganie zasady adekwatności.

Problem ochrony danych osobowych został zauważony przez  rzeczników ochrony danych i prywatności biorących udział w 35 Międzynarodowej Konferencji Rzeczników Ochrony Danych i Prywatności. Twórcy oprogramowania mają się zastanawiać, czy ich produkty nie naruszą prywatności użytkowników. Zobaczymy na ile branża wytwarzająca aplikacje mobilne weźmie sobie do serca uwagi i postulaty rzeczników …

[1] Opinia 2/2013 w sprawie aplikacji mobilnych Grupy Roboczej art. 29 ds. Ochrony Danych

Marketing a ochrona danych osobowych – zakup bazy danych

Ostatnim elementem jaki pozostał do omówienia z „działki” marketingu jest proces związany z zakupem bazy danych na potrzeby marketingowe. Na rynku możemy znaleźć całą masę ofert przeróżnych baz danych. Powstaje jednak pytanie do czego możemy wykorzystać zakupione dane osobowe i jak je wykorzystać legalnie. Na początku omówimy w skrócie wykorzystanie zakupionej bazy danych pod kątem wymogów z ustawy o ochronie danych osobowych. W drugiej części artykułu odwrócimy rolę i omówimy jak przygotować bazę danych do sprzedaży.

Na początku należy wskazać, iż sprzedaż bazy danych wiąże się z udostępnieniem danych. Administrator danych udostępnia dane osobowe drugiemu podmiotowi, który również staje się administratorem danych. W przypadku zakupu bazy danych, w odniesieniu do nabytych danych, powinniśmy spełnić obowiązki jakie są nałożone ustawą o ochronie danych osobowych.

Pierwszym elementem jest zapewnienie podstawy prawnej. W odniesieniu do danych osobowych wykorzystywanych na potrzeby marketingu będziemy mieli do czynienia, w zdecydowanej większości przypadków z danymi zwykłymi. Powinniśmy posiadać, więc przesłankę z art. 23 ustawy o ochronie danych osobowych. Na potrzeby przetwarzania danych w celach marketingowych możemy wykorzystać zgodę osoby, której dane dotyczą lub usprawiedliwiony interes administratora danych. Rozważania na temat zastosowania tych dwóch przesłanek zostały poczynione we wcześniejszym artykule .

Oprócz posiadania odpowiedniej podstawy prawnej, z punktu widzenia podmiotu nabywającego bazę danych powinniśmy również zabezpieczyć swoje interesy w umowie. Postanowienia umowne mówiące o tym, iż dane zostały pozyskane legalnie i podmiot sprzedający ma podstawę ich dalszego udostępniania są w mojej ocenie jak najbardziej mile widziane.

Po pozyskaniu danych osobowych powinniśmy spełnić obowiązek informacyjny. Biorąc pod uwagę okoliczność, iż dane zostały pozyskane od podmiotu trzeciego, należy spełnić obowiązek informacyjny z art. 25 ust. 1 ustawy o ochronie danych osobowych. Klauzula obowiązku informacyjnego może być wysłana maile, pocztą lub smsem. Zgodnie z orzecznictwem sądów na początku powinniśmy (przed wysłaniem ofert marketingowej) wysłać wyłącznie klauzule obowiązku informacyjnego i „dać” czas na wniesienie sprzeciwu osobom , których dane dotyczą.

Ostatnim elementem jest odpowiednie zabezpieczenie przetwarzanych danych osobowych i rejestracja zbioru danych (o ile taki zbiór nie został zarejestrowany wcześniej).

 

Marketing a ochrona danych osobowych – źródła powszechnie dostępne

We wcześniejszych artykułach na temat marketingu omówiliśmy kwestie związane z klauzulą zgody oraz wykorzystaniem prawnie usprawiedliwionego interesu. W poniższym artykule postaram się omówić zagadnienia związane z pozyskiwaniem danych ze źródeł powszechnie dostępnych – oczywiście wszystko w celach marketingowych.

W obecnych czasach wiele danych osobowych jest zamieszczanych w internecie. Mamy portale społecznościowe, spisy i ewidencje (Centralna Ewidencja Działalności Gospodarczej oraz Krajowy Rejestr Sądowy) itp.. Wydaje się, że dane osobowe są podane na tacy, wystarczy je tylko wziąć i zacząć przetwarzać we własnych celach np. marketingowych.
Jednakże jeżeli ktoś np. osoba fizyczna prowadząca działalność gospodarczą zamieściła swoje dane w internecie (ponieważ miała taki obowiązek) czy jest to równoznaczne z zezwoleniem na przetwarzanie jej danych osobowych w każdym możliwym celu?
Zacznijmy więc analizę od początku. Jeżeli ze źródeł powszechnie dostępnych ściągniemy informacje na temat osoby fizycznej powinniśmy założyć, iż mamy do czynienia z danymi osobowymi. Mając dane osobowe i przetwarzając je na potrzeby naszej działalności gospodarczej powinniśmy stosować ustawę o ochronie danych osobowych.

Po pierwsze powinniśmy określić podstawę przetwarzania tych danych. Podstawy przetwarzania (zgoda i usprawiedliwiony interes) zostały omówione w poprzednich artykułach. W ramach przypomnienia wskaże tylko najważniejsze różnice pomiędzy tymi przesłankami. Zgoda jako podstawa przetwarzania danych jest bez wątpienia bezpieczniejsza, jednakże jeżeli poprosimy o jej wyrażenie możemy się spotkać z odmową. Oparcie przetwarzania danych na podstawie wyłącznie usprawiedliwionego interesu jest skuteczniejsze niż zbieranie zgód ale niesie z sobą ryzyko prawne, że naruszymy czyjeś prawa i wolności. Kwestia wyważenia skuteczności biznesowej i ryzyka prawnego należy w ostateczności do decyzji administratora danych. Nie należy również zapomnieć o zebraniu zgody na przesyłanie informacji handlowej drogą elektroniczną.

Drugim elementem jest konieczność spełnienia obowiązku informacyjnego. Biorąc pod uwagę okoliczność, iż dane nie zostały zebrane od osoby, której dane dotyczą, należy spełnić obowiązek informacyjny z art. 25 ust. 1 ustawy o ochronie danych osobowych. Klauzula obowiązku informacyjnego może być wysłana maile, pocztą lub smsem. Zakładam przy tym, iż posiadamy dane kontaktowe (numer telefonu lub adres e-mail).

Kolejnym elementem jest rejestracja zbioru danych w biurze Generalnego Inspektora Ochrony Danych Osobowych. Zgłoszenie powinno obejmować wyłącznie dane zwykłe i związku z tym ich przetwarzanie jest już możliwe w momencie złożenia zgłoszenia (nie trzeba czekać na rejestracje).

Ostatnim elementem jest odpowiednie zabezpieczenie przetwarzanych danych osobowych. W ramach odpowiedniego zabezpieczenia należy spełnić wymagania określone w rozdziale 5 ustawy o ochronie danych osobowych, a w szczególności zrealizować wymogi określone w przepisach Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024 z 2004 r.).