Opinia 2/2013 w sprawie aplikacji mobilnych

Transkrypt

1 Grupa Robocza Artykułu 29 ds. Ochrony Danych 00461/13/PL WP 202 Opinia 2/2013 w sprawie aplikacji mobilnych Przyjęta w dniu 27 lutego 2013 r. Niniejsza Grupa Robocza została powołana na mocy artykułu 29 Dyrektywy 95/46/WE. Jest to niezależny europejski organ doradczy w sprawach ochrony danych i prywatności. Jego zadania opisane zostały w artykule 30 Dyrektywy 95/46/WE i artykule 15 Dyrektywy 2002/58/WE. Obsługę Sekretariatu zapewnia Dyrekcja C (Prawa Podstawowe i Obywatelstwo Unii Europejskiej) Dyrekcji Generalnej ds. Sprawiedliwości Komisji Europejskiej, B-1049 Bruksela, Belgia, Biuro nr MO-59 02/013. Strona internetowa:

2 Streszczenie Istnieją setki tysięcy różnych dostępnych aplikacji, pochodzących z wielu sklepów z aplikacjami na każdy typ inteligentnego urządzenia. Każdego dnia do sklepów z aplikacjami jest dodawane ponad 1600 aplikacji. Statystyczny użytkownik smartphone a pobiera 37 aplikacji. Aplikacje mogą być oferowane użytkownikowi końcowemu za niewielką lub żadną opłatą oraz mieć jedynie kilku lub wiele milionów użytkowników. Aplikacje są w stanie zbierać wielkie ilości danych z urządzenia (np.: dane przechowywane na urządzeniu przez użytkownika, a także dane z innych czujników, włączając lokalizację) oraz przetwarzać je w celu zapewnienia nowych oraz innowacyjnych usług użytkownikowi końcowemu. Jednakże dane z tych samych źródeł mogą być dalej przetwarzane, zwykle po to, aby zapewnić dochody w sposób nieznany lub niepożądany przez użytkownika końcowego. Twórcy aplikacji nieświadomi wymogów ochrony danych mogą tworzyć znaczne ryzyko dla życia prywatnego oraz reputacji użytkowników inteligentnych urządzeń. Kluczowe zagrożenia dla użytkownika końcowego odnośnie ochrony danych osobowych stanowi połączenie braku przejrzystości oraz świadomości odnośnie rodzajów przetwarzania, które aplikacja może podejmować, połączone z brakiem wyraźnej zgody użytkowników, zanim przetwarzanie będzie miało miejsce. Słabe środki bezpieczeństwa, widoczny trend w kierunku pobierania maksymalnej ilości danych oraz elastyczności celów, dla których dane są dalej przetwarzane także przyczyniają się do powstawania ryzyka dla ochrony prywatności w środowisku aplikacji. Wysoki poziom ryzyka dla ochrony danych wywodzi się także ze stopnia fragmentaryzacji uczestników rynku aplikacji. Obejmują oni: twórców aplikacji, właścicieli aplikacji, sklepy z aplikacjami, systemy operacyjne oraz producentów urządzeń (producentów systemów operacyjnych [OS] oraz urządzeń), oraz inne strony trzecie, które mogą być zaangażowane w zbieranie oraz przetwarzanie danych osobowych pochodzących z inteligentnych urządzeń, takie jak dostarczyciele aplikacji typu analytics oraz dostarczyciele reklam. Większość konkluzji oraz zaleceń niniejszej opinii skierowana jest do twórców aplikacji (ponieważ mają oni największą kontrolę nad dokładnym sposobem, w jaki przetwarzanie jest podejmowane a informacje prezentowane w aplikacji), jednakże często w celu osiągnięcia najwyższego standardu ochrony danych osobowych oraz ochrony prywatności muszą oni współpracować z innymi stronami tworzącymi ekosystem aplikacji. Jest to szczególnie istotne w odniesieniu do bezpieczeństwa, gdzie łańcuch wielu podmiotów jest tak silny, jak jego najsłabsze ogniwo. Wiele rodzajów danych dostępnych na inteligentnych urządzeniach przenośnych to dane osobowe. Odpowiednimi ramami prawnymi stosowanymi do aplikacji mobilnych jest dyrektywa o ochronie danych, w połączeniu z ochroną urządzeń mobilnych jako częścią sfery prywatnej użytkowników, określonej w dyrektywie o prywatności i łączności elektronicznej. Zasady te mają zastosowanie do wszystkich aplikacji skierowanych do użytkowników na terenie Unii Europejskiej, bez względu na lokalizację twórcy aplikacji czy sklepu z aplikacjami. W niniejszej opinii Grupa Robocza wyjaśnia podstawy prawne, które mają zastosowanie do przetwarzania danych w rozwoju, dystrybucji oraz używaniu aplikacji na inteligentnych urządzeniach, skupiając się na wymogach zgody, zasadach ograniczenia celu oraz minimalizacji przesyłanych danych, potrzebie odpowiednich środków ochronnych, obowiązku prawidłowego poinformowania użytkowników końcowych, ich prawach, 2

3 rozsądnych okresach przechowywania danych, a w szczególności uczciwego przetwarzania danych uzyskiwanych od dzieci i na temat dzieci. 3

4 Spis treści 1. Wstęp Zagrożenia dla ochrony danych Zasady ochrony danych Prawo właściwe Dane osobowe przetwarzane przez aplikacje Podmioty zaangażowane w przetwarzanie danych Twórcy aplikacji Producenci urządzeń oraz OS Sklepy z aplikacjami Podmioty trzecie Podstawy prawne Zgoda uprzednia względem instalacji oraz przetwarzania danych osobowych Podstawy prawne dla przetwarzania danych podczas wykorzystywania aplikacji Ograniczenie celu oraz minimalizacja zakresu danych Bezpieczeństwo Informacja Obowiązek poinformowania oraz wymagana treść Forma informacji Prawa osób, których dane dotyczą Okresy przechowywania Dzieci Wnioski i zalecenia

5 1. Wstęp Aplikacje są programami komputerowymi często projektowanymi do konkretnych zadań oraz skierowanymi na wybrany typ inteligentnych urządzeń takich jak smartphone y, tablety oraz telewizje internetowe. Organizują one informacje w sposób odpowiedni dla konkretnej charakterystyki urządzenia i często ściśle współdziałają ze sprzętem oraz systemem operacyjnym obecnym na urządzeniu. Istnieją setki tysięcy różnych dostępnych aplikacji, pochodzących z wielu sklepów z aplikacjami na każdy typ inteligentnego urządzenia. Aplikacje służą wielu celom, włączając w to wyszukiwanie w Internecie, komunikację ( , telefonia oraz przesyłanie informacji przez Internet), rozrywkę (gry, filmy oraz muzyka), portale społecznościowe, usługi bankowe oraz usługi oparte na lokalizacji. Każdego dnia ponad 1600 aplikacji jest dodawanych do sklepów z aplikacjami. 1 Statystyczny użytkownik smartphone a pobiera 37 aplikacji. 2 Aplikacje mogą być oferowane użytkownikowi końcowemu za niewielką lub żadną opłatą oraz mieć jedynie kilku lub wiele milionów użytkowników. Stanowiący podstawę system operacyjny będzie również zawierał oprogramowanie lub struktury danych, które są istotne dla kluczowych usług urządzenia mobilnego, np. książka adresowa smartphone a. System operacyjny jest zaprojektowany w ten sposób, aby udostępnić te komponenty aplikacjom poprzez ich interfejsy programowania aplikacji (API). API oferują dostęp do wielu czujników, które mogą być dostępne na urządzeniu. Czujniki te obejmują: żyroskop, kompas cyfrowy oraz miernik przyspieszenia zapewniający informacje o szybkości oraz kierunku ruchu, przednią oraz tylną kamerę nagrywające obraz oraz zdjęcia; a także mikrofon nagrywający dźwięk. Inteligentne urządzenia mogą zawierać także czujnik bliskości. 3 Inteligentne urządzenia mogą także łączyć się przez wiele interfejsów sieciowych, obejmujących Wi-Fi, Bluetooth, NFC czy Ethernet. Wreszcie, dokładna lokalizacja może być określona przez usługi geolokalizacyjne (jak opisano to w opinii Grupy Roboczej Artykułu 29 13/2011 w sprawie usług geolokalizacyjnych w inteligentnych urządzeniach przenośnych 4 ). Rodzaj, dokładność oraz częstotliwość tych czujników danych różni się w zależności od urządzenia oraz systemu operacyjnego. Poprzez API, twórcy aplikacji są w stanie zbierać takie dane w sposób ciągły, uzyskiwać dostęp oraz zapisywać dane kontaktowe, wysyłać e, SMSy lub informacje w portalach społecznościowych, odczytywać/modyfikować/kasować zawartość kart SD, nagrywać dźwięk, wykorzystywać kamerę oraz uzyskiwać dostęp do zdjęć, odczytywać informacje na temat stanu oraz tożsamości telefonu, zmieniać ogólne ustawienia systemu oraz zapobiegać przejściu telefonu w stan uśpienia. API może również dostarczać informacji dotyczących 1 Raport Conceivably Tech z dnia 19 sierpnia 2012 r., dostępny na stronie com/10283/business/apple-app-store-to-reach-1mapps-this-year-sort-of. Zacytowany przez Kamala D. Harris, Prokuratora generalnego Departamentu Sprawiedliwości Kalifornii, Prywatność w ciągłej aktywności, Rekomendacje dla komórkowego ekosystemu, styczeń 2013, 2 Światowe oszacowanie z 2012 r. przygotowane przez ABI Research, 3 Czujnik, który wykrywa obecność przedmiotów bez fizycznego kontaktu. Patrz: 4 Patrz: Opinia Grupy Roboczej 13/2011 w sprawie usług geolokacyjnych w inteligentnych urządzeniach przenośnych (maj 2011), 5

6 samego urządzenia poprzez jeden lub więcej unikalnych identyfikatorów oraz informacji na temat innych zainstalowanych aplikacji. Dane z tych źródeł mogą być dalej przetwarzane, zwykle po to, aby zapewnić dochody w sposób nieznany lub niepożądany przez użytkownika końcowego. Celem niniejszej opinii jest wyjaśnienie ram prawnych mających zastosowanie do przetwarzania danych osobowych w dystrybucji oraz wykorzystaniu aplikacji na inteligentnych urządzeniach oraz rozważenie dalszego przetwarzania, które może mieć miejsce poza aplikacją, takie jak wykorzystywanie zbieranych danych do tworzenia profili oraz wybierania użytkowników docelowych. Opinia analizuje kluczowe ryzyka dla ochrony danych osobowych, zapewnia opis różnych zaangażowanych stron oraz podkreśla różne obowiązki prawne. Obejmuje to: twórców aplikacji, sklepy z aplikacjami, producentów urządzeń oraz Systemów Operacyjnych (producenci urządzeń oraz OS), a także inne strony trzecie, które mogą być zaangażowane w zbieranie oraz przetwarzanie danych osobowych, pochodzących z inteligentnych urządzeń, takich jak dostarczyciele programów typu analitycs oraz dostawcy reklam. Opinia skupia się na wymogach zgody, zasadach ograniczenia celu oraz minimalizacji ilości przesyłanych danych, potrzebie odpowiednich środków ochronnych, obowiązku prawidłowego poinformowania użytkowników końcowych, ich prawach, rozsądnych okresach przechowywania oraz, w szczególności na uczciwym przetwarzaniu danych od i na temat dzieci. Zakres obejmuje wiele różnych typów inteligentnych urządzeń, lecz w szczególności skupia się na aplikacjach dostępnych na inteligentne urządzenia mobilne. 2. Zagrożenia dla ochrony danych Bliska interakcja z systemami operacyjnymi pozwala aplikacjom uzyskiwać dostęp do znacząco większej ilości danych niż tradycyjne wyszukiwarki internetowe. 5 Aplikacje są zdolne zbierać duże ilości danych z urządzenia (dane o lokalizacji, dane przechowywane na urządzeniu przez użytkownika oraz dane z innych czujników) oraz przetwarzać te dane w celu zapewnienia nowych oraz innowacyjnych usług użytkownikowi końcowemu. Wysoki poziom ryzyka dla ochrony danych wywodzi się także ze stopnia fragmentaryzacji uczestników krajobrazu rozwoju aplikacji. Pojedyncza dana może, w czasie rzeczywistym, być przekazana z urządzenia w celu jej przetwarzania na cały świat lub być przekopiowana przez łańcuch stron trzecich. Niektóre z najbardziej znanych aplikacji są przetwarzane przez główne przedsiębiorstwa jednak wiele innych jest tworzone przez małe przedsiębiorstwa. Pojedynczy programista z pomysłem oraz niewielkimi lub zgoła żadnymi zdolnościami w zakresie programowania może dotrzeć do światowej publiczności w krótkim okresie. Twórcy aplikacji nieświadomi wymogów ochrony danych mogą tworzyć znaczące ryzyko dla życia prywatnego oraz reputacji użytkowników inteligentnych urządzeń. Równocześnie, usługi stron trzecich, takie jak reklamy, rozwijają się w gwałtownym tempie, i jeśli są połączone w odpowiednim sposób z twórcami aplikacji, mogą ujawniać znaczącą ilość danych osobowych. 5 Wyszukiwarki internetowe mają także szerszy dostęp do danych wrażliwych użytkowników końcowych urządzeń, napędzane przez twórcom internetowych gier. 6

7 Kluczowe zagrożenia dla użytkownika końcowego odnośnie ochrony danych stanowi połączenie braku przejrzystości oraz świadomości odnośnie rodzajów przetwarzania, które aplikacja może podejmować, połączone z brakiem wyraźnej zgody użytkowników, zanim przetwarzanie będzie miało miejsce. Słabe środki bezpieczeństwa, widoczny trend w kierunku maksymalizacji zakresu danych oraz elastyczności celów, dla których dane są dalej przetwarzane także przyczynia się do powstawania ryzyk dla ochrony prywatności w środowisku aplikacji. Wiele z tych ryzyk zostało już zbadanych przez Federalną Komisję Handlu USA, Kanadyjski Urząd Komisarza ds. Prywatności oraz Prokuratora Generalnego Departamentu Sprawiedliwości Stanu Kalifornia, które także odniosły się do tych kwestii. 6 Kluczowym ryzykiem z punktu widzenia ochrony danych jest brak przejrzystości. Twórcy aplikacji są ograniczeni przez cechy udostępnione przez producentów systemów operacyjnych oraz sklepy z aplikacjami, jeśli chodzi o zapewnienie pełnej informacji w odpowiednim czasie użytkownikowi końcowemu. Jednakże nie wszyscy twórcy aplikacji korzystają z tych cech, a wiele aplikacji nie ma polityki prywatności lub nie informuje potencjalnych użytkowników w wyraźny sposób odnośnie rodzajów danych osobowych, które aplikacja może przetwarzać oraz celów przetwarzania. Brak przejrzystości nie ogranicza się jedynie do bezpłatnych aplikacji, lub tych pisanych przez niedoświadczonych twórców. Zgodnie z ostatnimi badaniami jedynie 61,3% ze 150 najważniejszych aplikacji posiada politykę prywatności. 7 Brak przejrzystości jest ściśle powiązany z brakiem dobrowolnej i świadomej zgody. Gdy tylko aplikacja zostaje pobrana, zgoda jest często zredukowana do okienek wskazujących, że użytkownik końcowy zgadza się na warunki umowy, nawet bez zaoferowania opcji nie, dziękuję. Zgodnie ze studiami GSMA z września 2011 r., 92% użytkowników aplikacji chce mieć możliwość bardziej stopniowego wyboru. 8 Słabe środki bezpieczeństwa mogą prowadzić do nieuprawnionego przetwarzania (wrażliwych) danych osobowych, np. jeśli twórca aplikacji staje się ofiarą naruszenia ochrony danych lub jeśli z samych aplikacji wyciekają dane osobowe. Kolejnym zagrożeniem dla prywatności jest lekceważenie (przypadkowe lub intencjonalne) zasady ograniczenia celu, która wymaga, aby dane były zbierane oraz przetwarzane jedynie dla określonych oraz legalnych celów. Dane osobowe zbierane przez aplikacje mogą być szeroko dystrybuowane do dużej liczby stron trzecich dla niezdefiniowanych lub elastycznych celów, takich jak badania rynkowe. To samo alarmujące lekceważenie jest okazywane zasadzie minimalizacji ilości przetwarzanych 6 Zob. między innymi: raport FTC Naruszenia prywatności w urządzeniach mobilnych, budowanie zaufania poprzez przejrzystość, luty 2013, raport FTC Aplikacje mobilne dla dzieci: aktualne naruszenia prywatności są rozczarowujące, luty mobile_apps_kids.pdf i jego kontynuacja w raporcie: Aplikacje mobilne dla dzieci: Naruszenia ciągle nie podlegają ocenie, grudzień 2012, Kanadyjskie biuro komisarza ds. prywatności, Możliwość zajęcia: Dobre praktyki ochrony prywatności dla tworzenia aplikacji mobilnych, październik 2012, Kamala D. Harris, Prokurator Generalny Departamentu Sprawiedliwości Kalifornii, Prywatność w ciągłej aktywności, Rekomendacje dla komórkowego ekosystemu, styczeń 2013, 7 FPF, czerwiec 2012, Studium o aplikacjach mobilnych, % (uzytkowników) uważa za istotne, aby wiedzieć kiedy ich dane osobowe są udostępnianie przez aplikacje oraz aby mieć możliwość wyłączenia lub włączenia tej funkcji. Żródło: Perspektywa użytkownika dot. prywatności mobilnej 7

8 danych. Ostatnie badanie pokazało, że wiele aplikacji wyraźnie gromadzi dane ze smartphone ów bez żadnego znaczącego związku z widoczną funkcjonalnością aplikacji Zasady ochrony danych 3.1. Prawo właściwe Odpowiednie ramy prawne EU tworzy dyrektywa o ochronie danych (95/46/WE). Ma ona zastosowanie do każdego przypadku, gdzie wykorzystanie aplikacji na inteligentnych urządzeniach obejmuje przetwarzanie danych osobowych osób fizycznych. W celu identyfikacji prawa właściwego kluczowa jest w pierwszej kolejności identyfikacja roli różnych zainteresowanych stron: identyfikacja administratora(-rów) przetwarzania przeprowadzanego przez aplikacje mobilne jest szczególnie istotna w odniesieniu do prawa właściwego. Siedziba administratora jest decydującym elementem powodującym stosowanie prawa ochrony danych, chociaż nie jest jedynym kryterium. Zgodnie z art. 1.1.a) dyrektywy o ochronie danych, prawo krajowe państwa członkowskiego jest właściwe odnośnie wszystkich operacji przetwarzania w kontekście prowadzenia przez administratora danych działalności gospodarczej na terytorium państwa członkowskiego. Zgodnie z art c) dyrektywy o ochronie danych, prawo krajowe państwa członkowskiego znajduje również zastosowanie, jeśli administrator nie prowadzi działalności gospodarczej na terytorium Wspólnoty, a do celów przetwarzania danych osobowych wykorzystuje środki znajdujące się na terytorium wymienionego państwa członkowskiego. Jako że urządzenie jest instrumentem w przetwarzaniu danych osobowych od i na temat użytkownika, kryterium to jest zwykle spełnione. 10 Jednakże ma to zastosowanie jedynie wtedy, jeśli administrator nie ma siedziby na terytorium UE. W rezultacie, kiedykolwiek strona zaangażowana w rozwój, dystrybucję lub działanie aplikacji jest uznana za administratora, strona taka jest odpowiedzialna, samodzielnie lub wspólnie z innymi, za zapewnienie zgodności z wszystkimi wymogami przedstawionymi w dyrektywie o ochronie danych. Określenie ról stron zaangażowanych w aplikacje mobilne będzie dalej przeanalizowane poniżej w części 3.3. Dodatkowo obok dyrektywy o ochronie danych, dyrektywa o prywatności i łączności elektronicznej(220/58/we, w brzmieniu nadanym jej przez dyrektywę 2002/58/WE) ustanawia szczegółowe standardy dla wszystkich stron na świecie, które chciałyby gromadzić oraz mieć dostęp do zgromadzonych informacji na urządzeniach użytkowników w Europejskim Obszarze Gospodarczym (EOG). Zgodnie z art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej przechowywanie informacji lub uzyskanie dostępu do informacji już przechowywanych w urządzeniu końcowym abonenta lub użytkownika było dozwolone wyłącznie pod warunkiem że dany abonent lub użytkownik wyraził zgodę zgodnie z dyrektywą 95/46/WE po otrzymaniu jasnych i wyczerpujących informacji, między innymi o celach przetwarzania ( ). 9 Wall Street Journal, Twoje aplikacje cię podglądają, 10 W tym celu aplikacje generują przesył danych osobowych do administratorów. To kryterium nie musi być spełnione, jeśli dane przetwarzane są tylko lokalnie, wyłącznie na urządzeniu. 8

9 Podczas gdy wiele postanowień dyrektywy o prywatności i łączności elektronicznej ma zastosowanie jedynie do dostawców publicznie dostępnych usług komunikacji elektronicznej oraz dostawców publicznych sieci komunikacyjnych we Wspólnocie Europejskiej, art. 5(3) znajduje zastosowanie do każdego podmiotu, który umieszcza oraz odczytuje informacje z inteligentnych urządzeń. Znajduje on zastosowanie bez względu na formę podmiotu (t.j. niezależnie czy jest to podmiot publiczny czy prywatny, indywidualny programista czy wielka korporacja lub czy jest administratorem danych, przetwarzającym czy stroną trzecią). Wymogi zgody określone w art. 5 ust. 3 znajdują zastosowanie do każdej informacji, niezależnie od charakteru przechowywanych danych lub dostępu do nich. Zakres nie jest ograniczony do danych osobowych, informacją może być każdy rodzaj danych przechowywany na urządzeniu. Wymogi zgody z art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej znajdują zastosowanie do usług oferowanych we Wspólnocie, to znaczy, do wszystkich osób fizycznych mieszkających na obszarze Europejskiego Obszaru Gospodarczego, niezależnie od lokalizacji dostawcy usług. Dla twórców aplikacji istotne jest, aby wiedzieć, że obie dyrektywy są prawami nakazującymi, w tym, że prawa jednostek nie podlegają przekazaniu oraz nie można od nich odstąpić poprzez umowę. Oznacza to, że zastosowanie europejskiego prawa prywatności nie może być wyłączone przez jednostronną deklarację lub rozwiązania umowne Dane osobowe przetwarzane przez aplikacje Wiele rodzajów danych przechowywanych lub generowanych przez inteligentne urządzenia są danymi osobowymi. Zgodnie z motywem 24 dyrektywy o prywatności i łączności elektronicznej: Wyposażenie terminali użytkowników sieci łączności elektronicznej oraz informacje przechowywane na tych urządzeniach stanowią część prywatnej sfery użytkowników podlegającej ochronie na mocy Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności. Danymi osobowymi zawsze są dane, które odnoszą się do osoby fizycznej, która w sposób bezpośredni (np. poprzez nazwisko) lub pośredni jest możliwa do zidentyfikowania przez administratora lub stronę trzecią. Mogą odnosić się do właściciela urządzenia lub jakiejkolwiek innej osoby, np. dane kontaktowe przyjaciół w książce adresowej. 12 Dane mogą być zbierane oraz przetwarzane na urządzeniu lub, po przekazaniu, wszędzie w infrastrukturze twórców aplikacji lub stron trzecich, przez połączenie do zewnętrznego API, w czasie rzeczywistym bez wiedzy użytkownika końcowego. Przykładami takich danych osobowych, które mogą mieć znaczący wpływ na życie prywatne użytkowników i innych jednostek są: - lokalizacja 11 Np. oświadczenia, że tylko prawo jurysdykcji spoza EOG ma zastosowanie. 12 Dane mogą być (i) automatycznie generowane przez urządzenie, na podstawie cech określonych wcześniej przez twórcę OS i/oraz urządzenia lub odpowiedniego dostawcę telefonii komórkowej (np. dane geolokalizacyjne, ustawienia sieci, adres IP), (ii) wygenerowane przez użytkownika poprzez aplikacje (lista kontaktów, notatki, zdjęcia); (iii) wygenerowane przez aplikacje (np. historia wyszukiwania) 9

10 - kontakty - unikalne identyfikatory urządzenia oraz użytkownika (takie jak IMEI 13, IMSI 14, UDID 15, oraz numer telefonu mobilnego) - tożsamość osoby, której dane dotyczą - tożsamość telefonu (tj. nazwa telefonu 16 ) - karta kredytowa oraz dane dotyczące płatności - logi połączeń telefonicznych, SMS-ów oraz natychmiastowych wiadomości - historia przeglądania - - informacje pozwalające na uwierzytelnienie w usługach społeczności (szczególnie usługi z cechami społecznymi) - zdjęcia oraz filmy - biometria (np. rozpoznawanie twarzy oraz odciski palców) 3.3 Podmioty zaangażowane w przetwarzanie danych Wiele różnych podmiotów jest zaangażowanych w rozwój, dystrybucję oraz działanie aplikacji i na każdym z nich ciążą inne obowiązki w zakresie ochrony danych. Istnieją cztery główne podmioty, które mogą być wyróżnione. Są to: (i) twórcy aplikacji (włączając właścicieli aplikacji) 17, (ii) producenci urządzeń oraz systemów operacyjnych ( producenci OS oraz urządzeń) 18, (iii) sklepy z aplikacjami (dystrybutorzy aplikacji) oraz (iv) inne strony zaangażowane w przetwarzanie danych osobowych. W niektórych przypadkach obowiązki związane z ochroną danych są dzielone, w szczególności wtedy jeśli te same podmioty są zaangażowane w wielu etapach, np. jeśli producenci OS kontrolują także sklep z aplikacjami. Jest także rola dla użytkowników końcowych, którzy muszą wziąć odpowiednią odpowiedzialność za to, jak tworzą oraz przechowują dane osobowe na swoich urządzeniach mobilnych. Jeśli takie przetwarzanie służy wyłącznie celom osobistym lub domowym, dyrektywa o ochronie danych nie ma zastosowania (art. 3 ust. 2) i użytkownik jest wyłączony od formalnych obowiązków w zakresie ochrony danych. Jednakże jeśli użytkownicy decydują się dzielić danymi poprzez aplikacje, np. poprzez ich upublicznienia nieokreślonej liczbie osób 19 wykorzystujących aplikacje portali społecznościowych, przetwarzają informacje poza warunkami koniecznymi dla uznania ich za przetwarzane do celów domowych International Mobile Equipment Identity 14 International Mobile Subscriber Identity 15 Unique Device Identifier 16 Użytkownicy mają tendencję do nazwyania swoich telefonów prawdziwym imieniem: iphone Jana Kowalskiego 17 Grupa robocza używa wspólnej terminologii dla twórców aplikacji, ale podkreślenia wymaga, że pojęcia nie są ograniczone do programistów czy osób odpowiadających za techniczne tworzenie aplikacji, ale obejmują także właścicieli aplikacji czyli spółki i organizacje, które posiadają aplikacje i definiują ich cele. 18 W niektórych przypadkach, pojecie producent OS może pokrywać się z pojęciem twórca urządzenia, a w innych przypadkach twórca urządzenia jest innym podmiotem niż dostawca OS 19 Zobacz sprawy przed Europejskim Trybunałem Sprawiedliwości, Sprawa C-101/01 Postępowanie karne przeciwko Bodil Lindqvist, wyrok z dnia 6 listopada 2003 r. oraz Sprawa C-73/07 Tietosuojavaltuutettu v Satakunnan Markkinapörssi Oy and Satamedia Oy, wyrok z dnia 16 grudnia 2008 r. 20 Zobacz opinię Grupy Roboczej art. 29 5/2009 o sieciach społecznościowych on-line 10

11 3.3.1 Twórcy aplikacji Twórcy aplikacji tworzą aplikacje oraz/lub udostępniają je użytkownikom końcowym. Kategoria ta obejmuje prywatne oraz publiczne organizacje, które zlecają rozwój aplikacji a także te przedsiębiorstwa oraz osoby fizyczne budujące oraz rozprowadzające aplikacje. Projektowanie oraz/lub tworzenie przez powyższe podmioty oprogramowania, które będzie działać na smartphone ach decyduje o zakresie, w jakim aplikacje będą miały dostęp oraz będą przetwarzały różne kategorie danych osobowych na urządzeniach oraz/lub poprzez zdalne zasoby obliczeniowe (jednostki obliczeniowe twórców aplikacji lub stron trzecich). W zakresie w jakim twórca aplikacji decyduje o celach i środkach przetwarzania danych osobowych na inteligentnych urządzeniach, jest administratorem danych zgodnie z definicją z art. 2(d) dyrektywy o ochronie danych. W tym przypadku, musi działać w zgodności z przepisami całej dyrektywy o ochronie danych. Kluczowe przepisy są wyjaśnione w ustępach 3.4. do niniejszej opinii. Nawet jeśli wyłączenie do celów domowych znajduje zastosowanie do użytkownika, twórca aplikacji ciągle będzie odpowiedzialny jako administrator danych, jeśli przetwarza dane dla swoich własnych celów. Powyższe ma zastosowanie np.: gdy aplikacja wymaga dostępu do całej książki adresowej w celu dostarczenia usługi (natychmiastowe wiadomości, połączenia telefoniczne, połączenia wideotelefoniczne). Obowiązki twórcy aplikacji będą znacząco ograniczone, jeśli dane osobowe nie są przetwarzane, lub/i udostępniane poza urządzenie, lub gdy twórca aplikacji przyjął odpowiednie środki organizacyjne i techniczne w celu zapewnienia, że dane są nieodwracalnie zanonimizowane oraz zagregowane na samym urządzeniu, uprzednio do przekazania danych poza urządzenie. W każdym przypadku, jeśli twórca aplikacji uzyskuje dostęp do informacji, która jest przechowywana na urządzeniu, dyrektywa o prywatności i łączności elektronicznej ma również zastosowanie i twórca aplikacji musi zapewnić zgodność z wymogami zgody określonymi w art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej. W zakresie, w jakim twórca aplikacji powierzył niektóre lub wszystkie z faktycznie przetwarzanych danych stronie trzeciej i strona trzecia przyjęła rolę administratora danych, twórca aplikacji musi zapewnić zgodność z wszystkimi obowiązkami odnoszącymi się do wykorzystania danych jako przetwarzający dane. Objęłoby to również wykorzystanie dostawców usługi przetwarzania w chmurze (np. dla zewnętrznego przechowywania danych). 21 W zakresie, w jakim twórca aplikacji pozwala na dostęp do danych użytkownika przez strony trzecie (takie jak reklamy uzyskujące dostęp przez sieć do danych geolokalizacyjnych urządzenia w celu dostarczenia reklamy) musi wdrożyć odpowiedni mechanizm w celu zapewnienia zgodności z wymogami ram prawnych UE. Jeśli strona trzecia uzyskuje dostęp do danych przechowywanych na urządzeniu, obowiązek uzyskania świadomej zgody z art. 5(3) dyrektywy o prywatności i łączności elektronicznej ma zastosowanie. Ponadto jeśli strona trzecia przetwarza dane osobowe dla własnych celów, może być również współadministratorem danych razem z twórcą aplikacji i musi z tego względu zapewnić 21 Zobacz opinię Grupy roboczej 05/2012 o przetwarzaniu w chmurze (lipiec 2012), 11

12 poszanowanie zasady ograniczenia celu oraz obowiązków w zakresie zabezpieczeń 22 dla tej części przetwarzania, co do której decyduje o celach i środkach. Jako że mogą istnieć różne rodzaje umów zarówno biznesowych, jak i technicznych pomiędzy twórcami aplikacji a stronami trzecimi, odpowiednie obowiązki każdej strony muszą być określone dla poszczególnych przypadków, mając na względzie konkretne okoliczności danego przetwarzania. Twórca aplikacji musi użyć bibliotek z oprogramowaniem oferującym wspólne funkcjonalności, należących do strony trzeciej, takich jak np. biblioteka do platform gier sieciowych. Twórca aplikacji musi zapewnić, że użytkownicy są świadomi każdej operacji przetwarzania podejmowanej przez takie biblioteki i jeśli taka sytuacja ma miejsce, że takie przetwarzanie danych jest zgodne z ramami prawnymi UE i gdy ma to zastosowanie, obejmuje otrzymanie zgody od użytkownika. W tym sensie, twórcy aplikacji muszą zapobiegać wykorzystywaniu funkcjonalności, które są ukryte przed użytkownikiem Producenci urządzeń oraz OS Producenci urządzeń oraz OS powinni również być uważani za administratorów danych (oraz gdy to odpowiednie za współ-administratorów) dla każdych danych osobowych, które są przetwarzane dla ich własnych celów, takich jak płynne działanie urządzenia, bezpieczeństwo itd. Obejmuje to dane generowane przez użytkownika (np. dane użytkownika przy rejestracji), dane automatycznie generowane przez urządzenia (np. jeśli urządzenie posiada funkcjonalność phone home dla swojego otoczenia) oraz dane osobowe przetwarzane przez producentów urządzeń lub OS na skutek instalacji lub wykorzystania aplikacji. Tam gdzie producenci OS urządzeń oraz OS zapewniają dodatkowe funkcjonalności, takie jak wsparcie lub zdalną lokalizację, również powinni być administratorami danych dla danych osobowych przetwarzanych w tym celu. Aplikacje, które wymagają dostępu do geolokalizacji muszą wykorzystać usługi lokalizacji OS. Kiedy aplikacja używa geolokalizacji, OS może zbierać dane osobowe, aby zapewnić informację geolokalizacyjną aplikacji oraz może rozważyć użycie tych danych do poprawienia własnej usługi lokalizacji. Dla tego ostatniego celu OS jest administratorem danych. Producenci urządzeń oraz OS są również odpowiedzialni za interfejs programowania aplikacji (API), który pozwala na przetwarzanie danych osobowych przez aplikacje na inteligentnych urządzeniach. Twórca aplikacji będzie w stanie uzyskać dostęp do tych cech oraz funkcji, które producenci urządzeń oraz OS udostępnią poprzez API. Jako że producenci urządzeń oraz OS określają środki (oraz zakres) dostępu do danych osobowych, muszą zapewnić, że twórca aplikacji ma wystarczająco szczegółową kontrolę, tak aby dostęp był udzielany jedynie do tych danych, które są niezbędne dla funkcjonowania aplikacji. Producenci urządzeń oraz OS powinni także zapewnić, aby dostęp mógł być odwołany w prosty oraz skuteczny sposób. 22 Zobacz opinię grupy 2/2010 dotyczacą reklamy behawioralnej on-line (czerwiec 2010), oraz opinię grupy 1/2010 dotyczącą pojęcia administratora i przetwarzającego (luty 2010), 12

13 Pojęcie prywatności w fazie projektowania jest istotną zasadą, do której pośrednio odwołano się już w dyrektywie o ochronie danych 23 oraz która, razem z prywatnością domyślną wyłania się jaśniej w dyrektywie o prywatności i łączności elektronicznej. 24 Wymaga ona od producentów urządzeń lub aplikacji uwzględnienia ochrony danych od samego początku projektu. Prywatność w fazie projektowania jest wprost wymagana dla projektowania urządzeń telekomunikacyjnych, jak określono to w dyrektywie w sprawie urządzeń radiowych i końcowych urządzeń telekomunikacyjnych. 25 Z tego względu producenci urządzeń oraz OS, razem ze sklepami z aplikacjami, są odpowiedzialni za zapewnienie środków ochronnych oraz ochrony danych osobowych oraz ochrony prywatności użytkowników aplikacji. Obejmuje to zapewnienie dostępności odpowiedniego mechanizmu w celu poinformowania oraz wykształcenia użytkownika końcowego w zakresie tego, co aplikacje mogą robić oraz do jakich danych mogą uzyskać dostęp, jak również zapewnienia odpowiednich ustawień dla użytkowników aplikacji w celu zmiany parametrów przetwarzania Sklepy z aplikacjami Każde z najpowszechniej używanych inteligentnych urządzeń posiada własny sklep z aplikacjami i często ma miejsce sytuacja, że dany OS jest głęboko zintegrowany z danym sklepem z aplikacjami. Sklepy z aplikacjami często pobierają opłaty wstępne za aplikację i mogą także wspierać zakupy app-in, co wymaga rejestracji użytkowników i podania danych obejmujących nazwisko, adres oraz dane finansowe. Te (bezpośrednio) możliwe do zidentyfikowania dane mogą być połączone z danymi na temat zakupu oraz zachowaniem związanym z wykorzystaniem aplikacji oraz z danymi odczytywanymi lub generowanymi przez urządzenie (takimi jak unikalny identyfikator). Dla przetwarzania takich danych osobowych sklepy z aplikacjami są prawdopodobnie administratorami danych, włączając w to sytuacje, w których przekazują te informacje z powrotem do twórców aplikacji. Jeśli sklep z aplikacjami przetwarza pobranie aplikacji lub historię wykorzystania aplikacji przez użytkownika końcowego lub podobną funkcjonalność w celu przywrócenia uprzednio pobranych aplikacji, także jest administratorem danych przetwarzanych dla tego celu. Sklep z aplikacjami przechowuje rekordy danych potrzebnych do uwierzytelniania, jak również historię poprzednich zakupów. Prosi także użytkownika o podanie numeru karty kredytowej, który będzie przechowywany na koncie użytkownika. Sklep z aplikacjami jest administratorem danych dla tych operacji. Z drugiej strony, strony internetowe, które pozwalają na pobieranie aplikacji w celu zainstalowania na urządzeniu bez żadnego uwierzytelnienia, mogą uznać, że nie przetwarzają 23 Zobacz motyw 46 i art Zobacz art. 14 (3) 25 Dyrektywa 1999/5/EC z dnia 9 marca 1999 w sprawie urządzeń radiowych i końcowych urządzeń telekomunikacyjnych oraz wzajemnego uznawania ich zgodności (OJ EC L 91/10, ). Art. 3.3 (c) stanowi Komisja może zdecydować, że aparatura należąca do niektórych klas sprzętu lub aparatura określonego typu ma być tak skonstruowana, aby miała wbudowane systemy zabezpieczające w celu zapewnienia ochrony danych osobowych i prywatności użytkownika lub subskrybenta. 26 Grupa Robocza z radością przyjmuje zalecenia FTC w tym zakresie, w raporcie Naruszenia prywatności w urządzeniach mobilnych, do którego odniesiono się w przypisie 6, np. na stronie 15 ( ) platformy znajdują się w unikalnej pozycji do zapewnienia ciągłego udostępniania pomiędzy aplikacjami oraz zachęca się je do tego. Spójnie z komentarzami z warsztatów, mogłyby także rozważyć kwestię tego, czy te udostępnienia nie mogłyby się odbywać w wielu momentach. 13

14 żadnych danych osobowych. Sklepy z aplikacjami mają silną pozycję, aby umożliwić twórcom aplikacji dostarczanie odpowiednich informacji o aplikacji, włączając w to rodzaj danych, który aplikacja może przetwarzać oraz cele dla jakich może je przetwarzać. Sklepy z aplikacjami mogą wymusić te reguły poprzez ich politykę przyjmowania (opartą o kontrolę ex ante lub ex post). We współpracy z producentami OS, sklepy z aplikacjami mogą rozwinąć ramy/zasady w celu umożliwienia twórcom aplikacji dostarczenia spójnych oraz mających znaczenie informacji (takich jak symbole reprezentujące pewne typy dostępu do określonych danych) oraz wyświetlać je w wyraźny sposób w katalogu sklepu z aplikacjami Podmioty trzecie Istnieje wiele różnych podmiotów trzecich zaangażowanych w przetwarzanie danych poprzez wykorzystanie aplikacji. Na przykład wiele darmowych aplikacji jest opłacanych przez reklamodawców, którzy mogą być (ale nie ograniczają się do tego) reklamodawcami zajmującymi się reklamą kontekstualną lub spersonalizowaną, umożliwioną poprzez urządzenia do śledzenia takie jak pliki Cookies czy inne identyfikatory urządzenia. Reklama może opierać się na banerze wewnątrz aplikacji, reklamach zewnętrznych, które są dostarczane przez zmodyfikowanie ustawień wyszukiwarki lub umieszczenie ikon na wyświetlaczu urządzenia mobilnego lub dostarczone przez spersonalizowaną organizację zawartości aplikacji (np. sponsorowane rezultaty wyszukiwania). Reklamy dla aplikacji są generalnie dostarczane przez sieci reklamowe oraz podobnych pośredników, którzy mogą być powiązani, być tym samym podmiotem co producent OS lub sklep z aplikacjami. Jak wskazano w opinii GR29 2/ , reklama on-line często obejmuje przetwarzanie danych osobowych, tak jak je zdefiniowano w art. 2 dyrektywy o ochronie danych, zinterpretowanym przez Grupę Roboczą Art Innymi przykładami stron trzecich są dostawcy programów typu analytics oraz dostawcy usług komunikacyjnych. Dostawcy programów typu analytics pozwalają twórcom aplikacji uzyskać wgląd w informacje o wykorzystaniu, popularności oraz użyteczności aplikacji. Dostawcy usług komunikacyjnych 29 mogą także odegrać istotną rolę w określaniu ustawień domyślnych oraz aktualizacjach zabezpieczeń wielu urządzeń oraz mogą przetwarzać dane o wykorzystaniu aplikacji. Ich ustawienia (branding) mogą mieć konsekwencje dla możliwych technicznych oraz funkcjonalnych środków, które użytkownik może zastosować do ochrony jego danych osobowych. W porównaniu do twórców aplikacji, podmioty trzecie odgrywają dwa typy ról: pierwsza to wykonywanie operacji dla właścicieli aplikacji, np. zapewnianie oprogramowania typu analytics w ramach aplikacji. W tym przypadku, jeżeli działają wyłącznie na rzecz twórcy 27 Opinia 2/2010 Grupy Roboczej Art. 29 w sprawie internetowej reklamy behawioralnej (czerwiec 2010) 28 Zobacz także interpretację pojęcia danych osobowych w Opinii Grupy Roboczej Art. 29 4/2007 w sprawie pojęcia danych osobowych, 29 Dostarczyciele usług komunikacyjnych podlegają także sektorowym obowiązkom w zakresie ochrony danych, które znajdują się poza zakresem tej opinii. 14

15 aplikacji i nie przetwarzają danych dla swoich własnych celów i/lub dzielą dane pomiędzy twórcami, prawdopodobnie działają jako przetwarzający dane. Ich druga rola to zbieranie informacji pomiędzy aplikacjami w celu dostarczenia dodatkowych usług: zapewnienia danych z programów typu analytics na większą skalę (popularność aplikacji, spersonalizowane zalecenia) lub unikanie wyświetlania tej samej reklamy temu samemu użytkownikowi. Jeżeli strony trzecie przetwarzają dane dla swoich własnych celów, działają jako administratorzy danych i z tego względu muszą działać zgodnie ze wszystkimi mającymi zastosowanie przepisami dyrektywy o ochronie danych. 30 W przypadku reklamy behawioralnej administrator danych musi uzyskać ważną zgodę użytkownika na zbieranie oraz przetwarzanie danych osobowych, składającą się np. z analizy oraz zestawiania danych osobowych oraz tworzenia i/lub stosowania profili. Jak już wyjaśniono w Opinii Grupy Roboczej Art. 29 2/2012 na temat behawioralnej reklamy internetowej taka zgoda może być w najlepszy sposób osiągnięta poprzez zastosowanie uprzedniego mechanizmu zgody opt-in. Przedsiębiorstwo zapewnia metryki właścicielom aplikacji oraz reklamodawcom poprzez wykorzystanie urządzeń do śledzenia wbudowanych, przez twórcę aplikacji, w aplikację. Urządzenia do śledzenia przedsiębiorstwa mogą być w ten sposób zainstalowane w wielu aplikacjach oraz na wielu urządzeniach. Jedną z ich usług jest informowanie twórców aplikacji, jakie inne aplikacje są używane przez użytkownika, poprzez zbieranie unikalnego identyfikatora. Przedsiębiorstwo określa środki (tj. urządzenia do śledzenia) oraz cele ich urządzeń przed zaoferowaniem ich twórcom aplikacji, reklamodawcom oraz innym, i w ten sposób działa jako administrator danych. W zakresie, w którym podmioty trzecie uzyskują dostęp lub przechowują informację na inteligentnych urządzeniach, muszą zapewnić zgodność z wymogami zgody zawartymi w art. 5(3) dyrektywy o prywatności i łączności elektronicznej. W tym kontekście istotne jest, aby zauważyć, że na inteligentnych urządzeniach użytkownicy mają generalnie ograniczone możliwości zainstalowania oprogramowania, które kontrolowałoby przetwarzanie danych osobowych, jak jest to powszechne w środowisku sieciowym pulpitu. Jako alternatywę dla wykorzystania Cookies http, strony trzecie często uzyskują dostęp do unikalnych identyfikatorów w celu wyróżnienia (grup) użytkowników oraz dostarczenia im ukierunkowanych usług, włączając w to reklamy. Jako że wiele z tych identyfikatorów nie może być skasowanych lub zmienionych przez użytkowników (takich jak IMEL, IMSI, MSISDN 31 oraz konkretne unikalne identyfikatory urządzenia dodane przez system operacyjny) te podmioty trzecie mają potencjał to przetwarzania znaczących ilości danych osobowych bez kontroli sprawowanej przez użytkownika końcowego Podstawy prawne W celu przetwarzania danych osobowych wymagana jest podstawa prawna, jak wskazano w art. 7 dyrektywy o ochronie danych. Art. 7 wyróżnia 6 podstaw prawnych dla przetwarzania danych: jednoznaczna zgoda osoby, której dane dotyczą; przetwarzanie jest konieczne dla realizacji umowy, której stroną jest osoba, której dane dotyczą; przetwarzanie jest konieczne 30 Opinia 2/2010 Grupy Roboczej Art. 29 w sprawie internetowej reklamy behawioralnej s Numer abonenta sieci komórkowej. 15

16 dla ochrony żywotnych interesów osób, których dane dotyczą; konieczność wykonania zobowiązania prawnego; (dla instytucji publicznych) przetwarzanie danych jest konieczne dla realizacji zadania wykonywanego w interesie publicznym oraz konieczność uzasadnionego (biznesowego) interesu. W odniesieniu do przechowywania informacji lub uzyskiwania dostępu do informacji już przechowywanej na inteligentnym urządzeniu, art. 5 ust. 3 dyrektywy o e-prywatności (tj. wymóg zgody na umieszczenie oraz uzyskanie informacji z urządzenia) tworzy bardziej precyzyjne ograniczenia/restrykcje podstaw prawnych, które mogą być wzięte pod uwagę Zgoda uprzednia względem instalacji oraz przetwarzania danych osobowych Zgoda jest podstawą prawną dla aplikacji mobilnych. Kiedy aplikacja jest instalowana, informacja jest umieszczona na urządzeniu użytkownika końcowego. Wiele aplikacji może także uzyskać dostęp do danych przechowywanych na urządzeniu, kontaktów w książce adresowej, zdjęć, filmów oraz innych dokumentów osobistych. We wszystkich tych przypadkach art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej wymaga zgody od użytkownika, któremu została dostarczona jasna oraz wyczerpująca informacja, przed umieszczeniem oraz uzyskiwaniem informacji z urządzenia. Istotne jest odnotowanie różnicy pomiędzy zgodą wymaganą do umieszczenia jakiejkolwiek informacji i odczytaniem informacji z urządzenia, oraz zgodą potrzebną do posiadania podstawy prawnej przetwarzania różnych rodzajów danych osobowych. Chociaż wymogi obu zgód mają zastosowanie w tym samym czasie, każda bazuje na innej podstawie prawnej, obie podlegają warunkom stanowiącym, że mają być dobrowolne, określone oraz świadome (tak jak to zdefiniowano w art. 2 (h) dyrektywy o ochronie danych). Z tego względu dwa typy zgody mogą być w praktyce połączone, w trakcie instalacji lub zanim aplikacja zacznie zbierać dane osobowe z urządzenia, zakładając, że użytkownik jest jednoznacznie świadomy tego, na co się zgadza. Wiele sklepów z aplikacjami zapewnia twórcom aplikacji możliwość poinformowania użytkowników końcowych na temat podstawowych cech aplikacji przed instalacją oraz wymaga pozytywnego działania użytkownika przed tym jak aplikacja zostanie pobrana oraz zainstalowana (tj. kliknięciem przycisku zainstaluj ). Chociaż taka operacja może, w niektórych warunkach, wypełnić wymogi zgody z art. 5 ust. 3, nieprawdopodobne jest zapewnienie wystarczającej informacji, tak aby móc uznać, że zgoda na przetwarzanie danych osobowych jest ważna. Temat ten został już poruszony w opinii GR29 15/2011 na temat definicji zgody. 32 W kontekście inteligentnych urządzeń dobrowolna oznacza, że użytkownik musi mieć wybór, czy akceptuje czy odrzuca przetwarzanie swoich danych osobowych. Z tego względu, jeśli aplikacja potrzebuje przetwarzać dane osobowe, użytkownik musi mieć swobodę w wyrażeniu zgody lub odmowy. Użytkownik nie powinien być stawiany w sytuacji, w której na ekranie wyświetla się jedynie opcja tak, zgadzam się w celu ukończenia instalacji. Opcja anulowania lub inna wstrzymująca instalację musi być dostępna. 32 Opinia Grupy Robczej Art. 29 w sprawie definicji zgody (lipiec 2011), 16

17 Świadoma oznacza, że osoba, której dane dotyczą musi mieć wystarczające informacje do swojej dyspozycji w celu podjęcia odpowiedniej decyzji. 33 W celu uniknięcia jakiejkolwiek dwuznaczności, taka informacja musi być udzielona przed przetwarzaniem jakikolwiek danych. Obejmuje to przetwarzanie danych, które może mieć miejsce podczas instalacji np. dla celów debugowania lub śledzenia. Treść oraz forma takich informacji jest rozwinięta w paragrafie 3.7 niniejszej opinii. Konkretna oznacza, że wyrażenie woli musi odnosić się do przetwarzania konkretnych danych lub ograniczonej kategorii danych. Właśnie z tego powodu proste kliknięcie przycisku instaluj nie może być uznane za ważną zgodę na przetwarzanie danych osobowych, ponieważ zgoda nie może być sformułowaną generalnie autoryzacją. W niektórych przypadkach użytkownicy mogą wyrazić stopniową zgodę, gdy zgoda jest wymagana dla każdego rodzaju danych, do którego aplikacja chce uzyskać dostęp. 34 Takie podejście pozwala osiągnąć dwa istotne wymogi prawne, pierwszy odpowiedniego poinformowania użytkownika o ważnych elementach usługi oraz drugi poproszenia o zgodę na każdy z nich. 35 Alternatywne podejście twórców aplikacji proszących swoich użytkowników o zaakceptowanie długiego zestawu warunków oraz/i polityki prywatności nie konstytuuje konkretnej zgody. 36 Konkretność odnosi się także do praktyki śledzenia zachowania użytkowników przez reklamodawców oraz inne strony trzecie. Ustawienia domyślne zapewnione przez OS oraz aplikacje muszą być takie, aby unikać jakiegokolwiek śledzenia, tak aby pozwolić użytkownikom wyrazić konkretną zgodę na ten typ przetwarzania danych. Te ustawienia domyślne nie mogą być obchodzone przez strony trzecie, tak jak to obecnie często ma miejsce w przypadku mechanizmu nie śledź wdrożonego w wyszukiwarkach. Przykłady konkretnej zgody Aplikacja zapewnia informacje o pobliskich restauracjach. Aby była zainstalowana, twórca aplikacji musi uzyskać zgodę. W celu uzyskania dostępu do danych geolokalizacyjnych, twórca aplikacji musi oddzielnie prosić o zgodę, np. podczas instalacji lub przed uzyskaniem dostępu do geolokalizacji. Konkretność oznacza, że zgoda musi być ograniczona do określonego celu doradzenia użytkownikowi odnośnie pobliskiej restauracji. Dane lokalizacyjne z urządzenia mogą z tego względu być dostępne jedynie, kiedy użytkownik wykorzystuje aplikacje do tego celu. Zgoda użytkownika na przetwarzanie danych geolokalizayjnych nie pozwala aplikacji w sposób ciągły zbierać danych z urządzenia. To dalsze przetwarzanie wymagałoby dodatkowych informacji oraz odrębnej zgody. Podobnie, aby aplikacje komunikacyjne mogły uzyskać dostęp do listy kontaktów, użytkownik musi być w stanie wybrać kontakty, z którymi użytkownik chce się komunikować, zamiast udzielać dostępu do całej książki adresowej (włączając dane 33 Idem Stopniowa zgoda oznacza, że jednostki mogą konkretnie kontrolować, które funkcje związane z przetwarzaniem dnaych osobowych przez aplikację chcą aktywować. 35 Potrzeba takiej stopinowej zgody została wprost poparta przez raport FTC (przypis 6) na stronach ( ) platformy powinny rozważyć zapewnienie ujawnień w odpowiednim czasie oraz uzyskanie afirmatywnie wyrażonej zgody na zbieranie innej treści, którą konsumenci mogą uznać za wrażliwą w wielu kontekstach, takie jak fotografie, kontakty, wpisy do kalendarza lub nagrania wideo i audio:. 36 Idem, s Ogólna zgoda bez precyzyjnego wskazania celu przetwarzania na które osoba, której dane dotyczą się zgadza, nie jest zgodna z tym wymogiem. Oznacza to, że informacja na temat celu przetwarzania nie może być zawarta w ogólnych przepisach, a w odrębnej klauzuli zgody. 17

18 kontaktowe nie-użytkowników tej usługi, którzy nie mogli zgodzić się na przetwarzanie danych ich dotyczących). Ważne jest jednakże odnotowania, że nawet w przypadku gdy zgoda spełnia trzy elementy opisane powyżej, nie stanowi to licencji na nieuczciwe oraz niezgodne z prawem przetwarzanie. Jeżeli cel przetwarzania danych jest nadmierny i/lub nieproporcjonalny, nawet jeżeli użytkownik się zgodził, twórca aplikacji nie będzie miał ważnej podstawy prawnej i prawdopodobnie będzie naruszał dyrektywę o ochronie danych. Przykład nadmiernego oraz niezgodnego z prawem przetwarzania danych Aplikacja działająca jako budzik oferuje opcjonalną funkcjonalność, w której użytkownik może wydać polecenie głosowe, aby budzik ucichł, lub przeszedł w stan drzemki. W tym przypadku zgoda na nagranie byłaby ograniczona do momentu, w którym dzwoni budzik. Jakiekolwiek monitorowanie lub nagrywanie głosu, kiedy alarm nie dzwoni, byłoby prawdopodobnie uznane za nadmierne i niezgodne z prawem. W przypadku zainstalowanych aplikacji na urządzeniu w ramach ustawień domyślnych (przed tym gdy urządzenie stało się własnością użytkownika), lub innego przetwarzania podejmowanego przez OS, które opiera się na zgodzie jako podstawie prawnej, administrator danych musi uważnie rozważyć, czy zgoda ta jest naprawdę ważna. W wielu przypadkach oddzielny mechanizm zgody powinien być rozważony, być może kiedy aplikacja uruchamia się po raz pierwszy, w celu umożliwienia administratorowi danych pełnego poinformowania użytkownika końcowego. W przypadku szczególnych kategorii danych, tak jak zostało to zdefiniowane w art. 8 dyrektywy o ochronie danych, zgoda musi być wyraźna. Ostatnią, ale nie najmniej ważną kwestią jest to, że użytkownik musi mieć możliwość odwołania swojej zgody w prosty i skuteczny sposób. Zostanie to rozwinięte w części 3.8 niniejszej opinii Podstawy prawne dla przetwarzania danych podczas wykorzystywania aplikacji Jak wyjaśniono powyżej, zgoda jest konieczną podstawą prawną, aby pozwolić twórcy aplikacji odczytywać oraz zapisywać informacje zgodnie z prawem i w konsekwencji przetwarzać dane osobowe. W następującej fazie, w trakcie używania aplikacji, twórca aplikacji może przywołać inne podstawy prawne dla innych typów przetwarzania danych, tak długo jak nie obejmuje to przetwarzania danych wrażliwych. Takimi podstawami prawnymi może być konieczność wykonania umowy z osobą, której dane dotyczą lub konieczność spełnienia uzasadnionego interesu, art. 7 (b) oraz (f) dyrektywy o ochronie danych. Te podstawy prawne są ograniczone do przetwarzania niewrażliwych danych osobowych określonego użytkownika, oraz mogą być przywołane jedynie w zakresie, w którym niektóre dane są ściśle konieczne do wykonania oczekiwanej usługi, lub w przypadku art. 7(f), tylko kiedy interesy takie podporządkowane są interesom związanym z podstawowymi prawami i wolnościami osoby, której dane dotyczą. 18

19 Przykład umowy jako podstawy prawnej Użytkownik zgadza się na zainstalowanie aplikacji bankowości mobilnej. W celu spełnienia prośby wykonania płatności, bank nie musi prosić o oddzielne zgody użytkownika na ujawnienie jego nazwiska oraz numeru konta odbiorcy płatności. To ujawnienie jest ściśle konieczne w celu wykonania umowy z konkretnym użytkownikiem, i z tego względu bank posiada podstawę prawną w postaci art. 7 (b) dyrektywy o ochronie danych. To samo uzasadnienie ma zastosowanie do aplikacji komunikacyjnych; kiedy zapewniają one kluczowe informacje takie jak nazwa konta, adres oraz numer telefonu do innej osoby fizycznej, z którą użytkownik chce się skomunikować, ujawnienie jest w oczywisty sposób konieczne do wypełnienia usługi. 3.5 Ograniczenie celu oraz minimalizacja zakresu danych Kluczowymi zasadami stanowiącymi podstawę dyrektywy o ochronie danych są ograniczenie celu oraz minimalizacja ilości pobieranych danych. Ograniczenie celu umożliwia użytkownikom dokonanie rozmyślnego wyboru co do powierzenia stronie ich danych osobowych jako że będą wiedzieli, jak ich dane będą wykorzystywane, oraz będą w stanie polegać na ograniczonym opisie celu, tak aby zrozumieć dla jakich celów ich dane będą wykorzystane. Z tego względu cele przetwarzania muszą być dobrze zdefiniowane oraz zrozumiałe dla przeciętnego użytkownika bez zaawansowanej wiedzy w zakresie prawa lub techniki. Równocześnie ograniczenie celu wymaga, aby twórcy aplikacji mieli dobry ogląd swojego przypadku biznesowego zanim rozpoczną zbieranie danych osobowych od użytkowników. Dane osobowe mogą być przetwarzane jedynie w uczciwy oraz zgodny z prawem sposób (art. 6(1)a dyrektywy o ochronie danych) oraz cele te muszą być zdefiniowane przed rozpoczęciem przetwarzania. Zasada ograniczenia celu wyklucza nagłe zmiany w kluczowych warunkach przetwarzania. Na przykład, jeżeli aplikacja miała za cel pierwotny umożliwianie użytkownikom wysyłania maili do siebie nawzajem, ale twórca postanawia zmienić swój model biznesowy oraz połączyć adresy swoich użytkowników z numerami telefonów użytkowników innych aplikacji. Odpowiedni administratorzy danych musieliby wtedy poprosić indywidualnie każdego użytkownika o jednoznaczną zgodę na ten nowy cel przetwarzania ich danych osobowych. Ograniczenie celu idzie ręka w rękę z zasadą minimalizacji ilości pobieranych danych. W celu zapobiegnięcia niepotrzebnemu i potencjalnie niezgodnemu z prawem przetwarzaniu danych, twórcy aplikacji muszą ostrożnie rozważyć, jakie dane są ściśle konieczne do wykonania oczekiwanej funkcjonalności. Aplikacje mogą uzyskać dostęp do wielu funkcjonalności urządzenia i są w związku z tym zdolne do robienia wielu rzeczy, takich jak wysyłanie ukrytych SMSów, uzyskiwania dostępu do zdjęć oraz całych książek adresowych. Wiele sklepów z aplikacjami wspiera (w pół) zautomatyzowane uaktualnienia, w których twórca aplikacji może zintegrować nowe cechy oraz uczynić je dostępnymi z niewielkim lub zgoła żadnym uczestnictwem uczestnika końcowego. 19

20 Grupa Robocza podkreśla w tym miejscu, że podmioty trzecie uzyskujące dostęp do danych użytkownika poprzez aplikacje muszą szanować zasady ograniczenia celu oraz minimalizacji ilości pobieranych danych. Unikalne, często niezmienialne, identyfikatory urządzenia nie powinny być używane dla celu interesu opartego na reklamie i/lub dostarczaniu oprogramowania typu analytics, z uwagi na niemożność odwołania zgody przez użytkownika. Twórcy aplikacji powinni zapobiegać powolnemu rozprzestrzenianiu się funkcji poprzez niezmienianie przetwarzania z jednej wersji aplikacji na inną bez dania użytkownikowi aplikacji odpowiedniej informacji oraz możliwości wycofania z przetwarzania lub z całej usługi. Użytkownikom powinno się także zaoferować środki techniczne w celu weryfikacji oświadczeń na temat deklarowanych celów, poprzez umożliwienie im dostępu do informacji na temat ilość danych pobieranych przez aplikację w porównaniu do przepływu zapoczątkowanego przez użytkownika. Informacja oraz kontrola użytkownika są kluczowymi cechami w celu zapewnienia poszanowania zasad minimalizacji zakresu danych oraz ograniczenia celu. Dostęp do podstawowych danych na urządzeniu poprzez API daje producentom urządzeń oraz OS, a także sklepom z aplikacjami szansę wymuszenia konkretnych reguł oraz zaoferowania odpowiedniej informacji dla użytkowników końcowych. Na przykład, producenci OS oraz urządzeń powinni zaoferować API z precyzyjnymi urządzeniami kontrolnymi w celu rozróżnienia każdego typu tych danych oraz zapewnienia, że twórcy aplikacji mogą żądać dostępu jedynie do tych danych, które są ściśle koniczne dla (zgodnej z prawem) funkcjonalności ich aplikacji. Rodzaje danych żądanych przez twórców aplikacji mogą w ten sposób być w jasny sposób wyświetlone w sklepie z aplikacjami, tak aby poinformować użytkowników przed instalacją. W tym zakresie, kontrola nad dostępem do danych przechowywanych na urządzeniu opiera się na różnych mechanizmach: a) Producenci OS oraz urządzeń oraz sklepy z aplikacjami definiują zasady, które mają zastosowanie to dostarczania aplikacji do ich sklepów z aplikacjami: twórcy aplikacji muszą szanować te zasady lub ryzykować brak obecności w tych sklepach. 37 b) API systemów operacyjnych definiują standardowe metody uzyskiwania dostępu do danych przechowywanych w telefonach, do których aplikacje mają dostęp. Mają również wpływ na zbieranie danych po stronie serwera. c) Kontrola ex-ante kontrola mająca miejsce przed zainstalowaniem aplikacji. 38 d) Kontrola ex-post kontrola wdrożona po zainstalowaniu aplikacji Bezpieczeństwo Zgodnie z art. 17 dyrektywy o ochronie danych administratorzy danych oraz przetwarzający muszą podjąć niezbędne środki organizacyjne i techniczne w celu zapewnienia ochrony danych osobowych, które przetwarzają. W rezultacie, środki muszą zostać podjęte przez wszystkie podmioty zidentyfikowane w części 3.3., każdy zgodnie ze swoją rolą oraz obowiązkami. 37 Urządzenia z usuniętymi ograniczeniami pozwalają na instalacje aplikacji spoza oficjalnych sklepów; urządzenia z systemem Android również pozwalają na instalację aplikacji z innych źródeł. 38 W szczególnym przypadku pre-instalowania aplikacji. 20