BEZPIECZEŃSTWO DANYCH OSOBOWYCH W ŚWIECIE APLIKACJI MOBILNYCH

Transkrypt

1 BEZPIECZEŃSTWO DANYCH OSOBOWYCH W ŚWIECIE APLIKACJI MOBILNYCH XVII Konferencji "Secure 2013" Centrum Nauki Kopernik w Warszawie 9-10 października 2013 r. DR WOJCIECH WIEWIÓROWSKI Wydział Prawa i Administracji Uniwersytetu Gdańskiego Generalny Inspektor Ochrony Danych Osobowych 2013 r. Generalny Inspektor Ochrony Danych Osobowych ul. Stawki 2, Warszawa kancelaria@giodo.gov.pl

2 M. Narojek for GIODO 2011

3 TEMATYKA WYKŁADU r.

4 KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ Art. 47. Każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. Art. 49. Zapewnia się wolność i ochronę tajemnicy komunikowania się. Ich ograniczenie może nastąpić jedynie w przypadkach określonych w ustawie i w sposób w niej określony.

5 KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ (art. 51) 1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. 2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. 3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. 4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. 5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.

6 TRAKTATOWA PODSTAWA DO OCHRONY DANYCH OSOBOWYCH Artykuł 16 Traktatu o funkcjonowaniu UE (po zm. z Lizbony) 1. Każda osoba ma prawo do ochrony danych osobowych jej dotyczących. 2. Parlament Europejski i Rada, stanowiąc zgodnie ze zwykłą procedurą ustawodawczą, określają zasady dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii oraprzez Państwa Członkowskie w wykonywaniu działań wchodzących w zakres zastosowania prawa Unii, a także zasady dotyczące swobodnego przepływu takich danych. Przestrzeganie tych zasad podlega kontroli niezależnych organów. Zasady przyjęte na podstawie niniejszego artykułu pozostają bez uszczerbku dla zasad szczególnych przewidzianych w artykule 39 Traktatu o Unii Europejskiej.

7 PODSTAWOWE POJĘCIA Art W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. 3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

8 DANE OSOBOWE Przykładowe dane osobowe, które są zbierane : Lokalizacja Kontakty Unikalne identyfikatory osób i urządzeń (IMEI, IMSI, UDID i numer telefonu mobilnego) Tożsamość podmiotu danych Tożsamość telefonu (np. imię telefonu) Dane dot. Karty kredytowej i płatności Logi połączeń, SMS i komunikatory Historia wyszukiwania Szczegóły logowania do sieci społecznościowych Zdjęcia i filmy Biometryki (np. wzorce do rozpoznawania twarzy, odcisków palców, lub schematów przepływu krwi)

9 DANE OSOBOWE Niebezpiecznik.pl

10 NIE TYLKO ATAKI Wszystkie przykłady z serwisu Niebezpiecznik.pl 2013 r.

11 NIE TYLKO ATAKI Niebezpiecznik.pl Telefony Nokii przekierowują połączenia HTTP i HTTPS na serwery Nokii. To pozwala na podsłuch użytkowników, ale Nokia twierdzi, że tego nie robi. Jeśli korzystasz z telefonu Nokia Lumia lub Ash i przeglądarki Xpress Browser, to mamy dla Ciebie niepokojącą wiadomość. Indyjski bloger zauważył, że przeglądarka Nokii nie przesyła ruchu HTTP/HTTPS bezpośrednio do stron, które chce obejrzeć użytkownik, ale przekierowuje go przez swój serwer proxy browser.ovi.com. Dlaczego Nokia (i Opera i Amazon) tunelują ruch ze swoich przeglądarek mobilnych? W ten sam sposób co Xpress Browser Nokii zachowuje się Opera Mini, czy też przeglądarka Amazonu Silk (ta ostatnia przechwytuje tylko HTTP, nie HTTPS). Cel wszystkich przeglądarek mobilnych jest jeden przyśpieszyć przez rekompresję oglądanie stron na telefonie i oszczędzić klientowi wykupiony u operatora pakiet danych r.

12 NIE TYLKO ATAKI Niebezpiecznik.pl W skrócie; Telefon odpytuje po DNS domenę, ale zamiast oryginalnego IP dostaje IP serwera z chmury Nokii. Serwer ten w imieniu użytkownika odwiedza żądaną stronę (na szybkim łączu), następnie kompresuje ją, dzięki czemu może szybciej przesłać treści na telefon. Telefon jest więc niejako terminalem dostępowym do serwera, który w jego imieniu pobiera i wyświetla strony internetowe. HTTPS Atak Man in the Middle Oczywiście, żeby uniknąć wyświetlania ostrzeżenia przed błędnym certyfikatem przy połączeniach HTTPS (które przecież nie terminują się na oryginalnym serwerze, a na serwerze proxy Nokii), Nokia wstrzykuje własny certyfikat SSL do telefonu i oznacza go jako zaufane CA. W praktyce Nokia wykonuje więc atak Man in the Middle dane szyfrowane przez przeglądarkę na telefonie, przeznaczone dla docelowego serwera, są rozszyfrowywane przez serwery Nokii, a wiec Nokia może poznać poufne treści (np. hasła do stron banków online) r.

13 NIE TYLKO ATAKI J.Mannino, M.Zusman, Z.Lanier: OWASP Top 10 mobile risks, OWASP, r.

14 PRYWATNOŚĆ A OCHRONA DANYCH OSOBOWYCH Znaczenia, jakie normy nadają tym pojęciom odpowiadają raczej przedmiotowym uprawnieniom osób bądź procesów w sensie technicznym niż prawnemu czy organizacyjnemu aspektowi ochrony informacji. Definicja anonimowości jest zawarta w normie PN-I-02000:2002, w punkcie : Anonimowość - Zasada, z której wynika, że podmiot może wykorzystywać zasób lub usługę bez ujawniania swojej tożsamości. W tejże normie, w punkcie zdefiniowana jest pseudoanonimowość (pseudoanonimity): Pseudoanonimowość - Zasada zgodnie, z którą podmiot może wykorzystywać zasób lub usługę bez ujawniania swojej tożsamości, lecz może nadal być rozliczany za to korzystanie. Źródło: M. Szmit: Kilka uwag, nie tylko o dokumentach elektronicznych, [w:] Ochrona informacji niejawnych, biznesowych i danych osobowych. Materiały VII Kongresu, KSOIN, Katowice 2011, s , ISBN

15 PRYWATNOŚĆ A OCHRONA DANYCH OSOBOWYCH Prywatność posiada w terminologii znormalizowanej aż trzy definicje: Prawo do kontrolowania lub wpływania na to, aby informacja ich dotycząca mogła być zbierana i przechowywana oraz na to, kto może to wykonywać i komu można udostępnić tę informację. (PN-T-20000:1994-P), przy czym definicja ta jest opatrzona komentarzem Uwaga Ponieważ termin jest związany z prawem osób nie może on być precyzyjny. Należy unikać używania tego terminu chyba, że kontekst odnosi się do wymagań zabezpieczania informacji. ; Nieingerowanie w życie prywatne osoby lub jej sprawy, jeśli ta ingerencja byłaby związana z niewłaściwym lub nielegalnym zbieraniem i wykorzystywaniem danych o tej osobie (PN- ISO/IEC : , PN-I-02000: ); Prawo do nadzoru lub wpływu na to, jakie dane osobowe mogą być zbierane i przechowywane oraz komu mogą być ujawnione. (PN-I-02000: , PN-T :1994 P), przy czym definicja ta jest opatrzona komentarzem Uwaga - Należy unikać używania tego terminu chyba, że kontekst odnosi się do wymagań zabezpieczania informacji. Źródło: M. Szmit: Kilka uwag, nie tylko o dokumentach elektronicznych, [w:] Ochrona informacji niejawnych, biznesowych i danych osobowych. Materiały VII Kongresu, KSOIN, Katowice 2011, s , ISBN

16 PRYWATNOŚĆ A OCHRONA DANYCH OSOBOWYCH Pseudonimizacja (z gr. pseudōnymos - fałszywie nazwany) to użycie w miejsce rzeczywistej nazwy procesu bądź osoby, nazwy przybranej czyli pseudonimu (Zob. np. [Pfitzmann Hansen 2005]). Pseudonimizacja utrudnia identyfikację (ustalenie danych) działającego podmiotu, natomiast umożliwia przypisanie różnych czynności tej samej osobie (bez znajomości jej danych osobowych). [...] Anonimizacja jest to proces, w którym z danych umożliwiających identyfikację podmiotów otrzymuje się dane nie umożliwiające takiej identyfikacji. Anonimizację stosuje się na przykład w badaniach statystycznych, w których istotne są prawidłowości dotyczące całej badanej grupy, a nie informacje o poszczególnych jednostkach. Anonimizacją w informatyce nazywa się również wykorzystanie odpowiednich rozwiązań informatycznych, np. anonimowego Proxy, sieci TOR [...] do ukrycia tożsamości osoby korzystającej z serwisów internetowych, zarówno przed tymi serwisami jak i przed ewentualnym podsłuchem. Źródło: M. Szmit: Kilka uwag, nie tylko o dokumentach elektronicznych, [w:] Ochrona informacji niejawnych, biznesowych i danych osobowych. Materiały VII Kongresu, KSOIN, Katowice 2011, s , ISBN

17 PRYWATNOŚĆ UŻYTKOWNIKÓW SMARTFONÓW Wedle przeprowadzonych przez Pew Research Centre badań ponad połowa użytkowników aplikacji mobilnych (54%) miała choć jeden przypadek, gdy zrezygnowała z zainstalowania aplikacji w obawie o swoje dane. 88% Amerykanów używa telefonów mobilnych. W 2012 r. 43% z nich instalowało aplikacje na swych urządzeniach (31% w 2011). of app users have decided to not install a cell phone app once they discovered how much personal information they would need to share in order to use it 30% użytkowników aplikacji zdeinstalowało co najmniej jedną z nich już wcześniej znajdującą się na ich telefonie gdyż zorientowało się, że zbiera ona dane, którymi użytkownik nie chciał się dzielić. J.L.Boyles, A.Smith, M.Madden: Privacy and Data Management on Mobile Devices. More than half of app users have uninstalled or avoided an app due to concerns about personal information, Pew Research Center s Internet & American Life Project, Waszyngton 2012, s. 6.

18 PRYWATNOŚĆ UŻYTKOWNIKÓW SMARTFONÓW

19 PODSTAWOWE POJĘCIA 1) zbiór danych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, 2) przetwarzanie danych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych, 2a) system informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych, 2b) zabezpieczenie danych w systemie informatycznym - wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem, 4) administratorze danych - organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych,

20 PODSTAWOWE POJĘCIA 5) zgoda osoby, której dane dotyczą - oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie, 6) odbiorca danych - każdego, komu udostępnia się dane osobowe, z wyłączeniem: a) osoby, której dane dotyczą, b) osoby upoważnionej do przetwarzania danych, c) przedstawiciela, o którym mowa w art. 31a, d) podmiotu, o którym mowa w art. 31, e) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem, 7) państwo trzecie - państwo nienależące do Europejskiego Obszaru Gospodarczego.

21 PROJEKT OGÓLNEGO ROZPORZADZENIA O OCHRONIE DANYCH - ZGODA (23) Zasady ochrony należy stosować do wszelkich informacji dotyczących zidentyfikowanych lub możliwych do zidentyfikowania osób. Aby ustalić, czy można zidentyfikować daną osobę fizyczną, należy wziąć pod uwagę wszystkie sposoby, jakimi mogą posłużyć się administrator lub inna osoba w celu zidentyfikowania tej osoby. Zasady ochrony nie powinny być stosowane do danych zanonimizowanych w taki sposób, że podmiot danych nie może być już zidentyfikowany. (24) Osoby fizyczne korzystające z usług internetowych można identyfikować na podstawie identyfikatorów internetowych, które znajdują się w urządzeniach, aplikacjach, narzędziach i protokołach, takich jak adresy IP lub identyfikatory plików cookie. Mogą one zostawiać ślady, które, w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskanymi przez serwery, mogą być wykorzystywane do tworzenia profili poszczególnych osób i ich identyfikacji. W wyniku tego numery identyfikacyjne, dane dotyczące lokalizacji, identyfikatory internetowe lub inne szczególne czynniki jako takie niekonieczne muszą być uważane za dane osobowe w każdych okolicznościach.

22 PROJEKT OGÓLNEGO ROZPORZADZENIA O OCHRONIE DANYCH - ZGODA (25) Zgoda powinna być wyraźnie wyrażona w dowolny właściwy sposób umożliwiający swobodne i świadome wyrażenie woli przez podmiot danych bądź w formie oświadczenia, bądź w drodze wyraźnego działania potwierdzającego podmiotu danych, przy jednoczesnym zagwarantowaniu, że osoby fizyczne są świadome, iż wyrażają zgodę na przetwarzanie danych osobowych, w tym poprzez zaznaczenie okna wyboru podczas przeglądania strony internetowej lub też inne oświadczenie bądź zachowanie, które w tym kontekście wyraźnie oznacza akceptację przez podmiot danych proponowanego przetwarzania jego danych osobowych. Milczenie lub bezczynność nie powinny zatem stanowić zgody. Zgoda powinna obejmować całość przetwarzania dokonanego w tym samym celu lub w tych samych celach. Jeśli zgoda podmiotu danych ma być wyrażona w następstwie elektronicznego wniosku, wniosek taki musi być jasny, zwięzły i nie powodować niepotrzebnego przerwania świadczenia usługi, której dotyczy.

23 PROJEKT OGÓLNEGO ROZPORZADZENIA O OCHRONIE DANYCH - ZGODA (32) Jeśli przetwarzanie odbywa się na podstawie zgody podmiotu danych, ciężar udowodnienia, że podmiot danych wyraził zgodę na operację przetwarzania, spoczywa na administratorze. W szczególności w przypadku pisemnego oświadczenia złożonego w innej sprawie odpowiednie gwarancje powinny zapewniać, iż podmiot danych jest świadomy wyrażenia zgody oraz jej zakresu. (33) W celu zapewnienia dobrowolnej zgody należy wyjaśnić, że zgoda nie stanowi ważnej podstawy prawnej, jeśli dana osoba nie może dokonać rzeczywistego i wolnego wyboru, a następnie nie może odmówić ani odwołać zgody bez poniesienia szkody.

24 OPINIA RZECZNIKÓW OCHRONY PRYWATNOŚCI NA TEMAT APLIKACJI MOBILNYCH Opinia jest wspólną opinią 27 europejskich organów ochrony danych oraz Europejskiego Inspektora Ochrony Danych (EIOD). Opinia bierze sobie za cel wyjaśnienie przepisów prawa, które mają zastosowanie do przetwarzania danych osobowych w ramach dystrybucji oraz wykorzystania aplikacji. Opinia będzie służyć jako wytyczne dla oceny przeprowadzanej indywidualnie przez DPA. Opinia szczegółowo przedstawia obowiązki oraz zalecenia dla wszystkich stron zaangażowanych w rozwój oraz dystrybucję aplikacji (tzw. ekosystem aplikacji), podlegających europejskiemu prawu ochrony danych. Ekosystem obejmuje twórców, sklepy z aplikacjami, wytwórców systemów operacyjnych oraz urządzeń a także inne strony trzecie takie jak dostarczyciele reklam lub programów typu analytics. Aplikacje są rozwijane bardzo szybko i często tworzą nowe oraz innowacyjne usługi dla użytkowników końcowych. Popularność oraz sukces aplikacji obrazuje fakt, że statystyczny użytkownik smartphone a pobiera średnio 37 aplikacji. Jednakże, przetwarzanie dużej ilości danych osobowych może stanowić istotne ryzyko dla życia prywatnego oraz reputacji użytkowników inteligentnych urządzeń, jeśli twórcy aplikacji nie będą przestrzegać europejskiego prawa ochrony danych (twórcy aplikacji powinni je projektować w taki sposób aby były zgodne z prawem dotyczącym prywatności).

25 OPINIA RZECZNIKÓW OCHRONY PRYWATNOŚCI NA TEMAT APLIKACJI MOBILNYCH Aplikacje są w stanie przetwarzać wiele różnych typów oraz dużych ilości intymnych danych osobowych od oraz na temat swoich użytkowników, takich jak dane kontaktowe, lokalizacja lub informacja behawioralna, szczegóły bankowe, zdjęcia oraz filmy. Wiele aplikacji nie informuje użytkowników w odpowiedni sposób ani o celu przetwarzania danych, ani o wielości stron trzecich, które mogą otrzymać kopię danych oraz przetwarzać dane osobowe bez uzyskanie dobrowolnej oraz świadomej zgody użytkowników, która jest niezbędna. Praktyka taka jest naruszeniem europejskiego prawa ochrony danych. Użytkownicy aplikacji muszą być świadomi, że aplikacje mogą przetwarzać duże ilości ich danych osobowych oraz, że te dane mogą być dzielone z wieloma stronami trzecimi. Tworzy to ryzyko dla ochrony danych, np. jeśli chodzi o bezpieczeństwo. Osoby muszą być w stanie kontrolować własne dane osobowe, a badania wskazują, że większość obywateli chce takiej kontroli w istocie.

26 OPINIA RZECZNIKÓW OCHRONY PRYWATNOŚCI NA TEMAT APLIKACJI MOBILNYCH Obywatele muszą przynajmniej być poinformowani oraz należy dać im skuteczne narzędzia, tak aby mogli wyrazić dobrowolną oraz konkretną zgodę odnośnie każdego rodzaju danych, który aplikacje będą zbierać oraz dalej przetwarzać. Twórcy aplikacje mogą promować dobre praktyki oraz odgrywać kluczową rolę w zachęcaniu do oceny własnych aplikacji na podstawie mechanizmów prywatności oraz bezpieczeństwa, które zapewniają. W ten sposób użytkownicy aplikacji będą stawali się coraz bardziej świadomi swoich praw oraz wybierali aplikacje, nie tylko na podstawie swojego gustu oraz zainteresowań, ale także na podstawie tego jak przyjazna prywatności jest aplikacja. Zgodnie z informacjami GSMA, organizacji zrzeszającej operatorów mobilnych na świecie. Badanie przeprowadzono we wrześniu 2011 r. 92% użytkowników stwierdziło, że chce bardziej wielostopniowego wyboru.

27 OPINIA RZECZNIKÓW OCHRONY PRYWATNOŚCI NA TEMAT APLIKACJI MOBILNYCH Jakie są kluczowe obowiązki twórców aplikacji? Twórcy aplikacji muszą: - poprosić o zgodę na przetwarzanie danych osobowych, zanim aplikacje zaczną pobierać lub umieszczać informacje na urządzeniu; - poprosić o stopniową zgodę na każdy rodzaj danych, do których aplikacja będzie miała dostęp; - zapewnić dobrze zdefiniowane oraz zrozumiałe cele przetwarzania danych, przed instalacją aplikacji oraz nie zmieniać tych celów bez odnowionej zgody; - pozwolić użytkownikom na odwołanie ich zgody oraz odinstalowanie aplikacji oraz usunięcie danych, tam gdzie to stosowne; - szanować zasadę minimalizacji danych i zbierać tylko te dane, które są ściśle konieczne do wykonania pożądanej funkcjonalności; - podjęć konieczne środki organizacyjne oraz techniczne, tak aby zapewnić ochronę danych osobowych; - zapewnić czytelną, zrozumiałą oraz łatwo dostępną politykę prywatności oraz wdrożyć ją w skuteczny oraz przyjazny użytkownikowi sposób (to jest użytkownicy aplikacji muszą mieć możliwość łatwego wykonania swoich praw; restrykcyjne przetwarzanie danych dotyczących dzieci.)

28 OPINIA RZECZNIKÓW OCHRONY PRYWATNOŚCI NA TEMAT APLIKACJI MOBILNYCH Jakie są najważniejsze obowiązki sklepów z aplikacjami? Sklepy z aplikacjami muszą: - być świadome oraz działać w zgodności z ich obowiązkami wynikającymi z tego, że są oni administratorami danych jeśli przetwarzają dane od i na temat użytkowników; - wymusić na twórcy aplikacji spełnienie obowiązku informacyjnego, obejmującego rodzaj danych do którego aplikacja może mieć dostęp, dla jakich celów i czy są one dzielone ze stronami trzecimi - przywiązać szczególną uwagę do aplikacji skierowanych do dzieci, tak aby chronić je przed niezgodnym z prawem przetwarzaniem ich danych, oraz w szczególności wymusić obowiązek do przedstawienia odpowiednich informacji w prosty sposób, językiem dostosowanym do wieku.

29 OPINIA RZECZNIKÓW OCHRONY PRYWATNOŚCI NA TEMAT APLIKACJI MOBILNYCH Jakie są najważniejsze obowiązki dla systemów operacyjnych oraz wytwórców urządzeń? Systemy operacyjne oraz wytwórcy urządzeń muszą: - zaktualizować ich interfejs programowania aplikacji (API), zasady przechowywania oraz interfejs użytkownika, tak aby zaoferować użytkownikom wystarczającą kontrolę do wyrażenia ważnej zgody na przetwarzanie danych przez aplikacje; - wdrożyć zasady prywatności w fazie projektowania, aby zapobiec sekretnemu monitorowaniu użytkowników; - zapewnić bezpieczeństwo przetwarzania; - zapewnić, że ustawienia domyślne pre-instalowanych aplikacji są zgodne z europejskim prawem ochrony danych; - zaoferować stopniowy dostęp do danych, sensorów oraz usług, w celu zapewnienia, że twórcy aplikacji mogą uzyskać dostęp jedynie do tych danych, które są niezbędne dla ich aplikacji; - zapewnić, że informacja dla użytkownika przed instalacją aplikacji odzwierciedla każdy dostęp do kategorii danych: kategorie danych są przedstawiane w jasny oraz zrozumiały sposób; - wdrożyć środowisko przyjazne dla użytkownika, z narzędziami zapobiegającymi rozprzestrzenianiu się złośliwych aplikacji oraz zapewnić, że każda funkcjonalność może być łatwo zainstalowana/odinstalowana.

30 OPINIA RZECZNIKÓW OCHRONY PRYWATNOŚCI NA TEMAT APLIKACJI MOBILNYCH Jakie są najważniejsze obowiązki stron trzecich? Strony trzecie muszą: - być świadome oraz działać zgodnie z ich obowiązkami wynikającymi z tego, że są oni administratorami danych jeśli przetwarzają dane na temat użytkowników; - działać zgodnie z wymogami zgody, o której mowa w art. 5(3) Dyrektywy o eprywatności, jeśli odczytują one lub zapisują dane na urządzeniach mobilnych, we współpracy z twórcami aplikacji oraz/lub sklepami z aplikacjami, które generalnie dostarczają użytkownikowi informacji na temat celów przetwarzania danych; - jeśli są one dostarczycielami usług telekomunikacyjnych, jeśli wydają własne urządzenia: muszą zapewnić uzyskanie ważnej zgody od użytkowników na preinstalowane aplikacji oraz przyjąć odpowiednie zobowiązania w przypadku gdy przyczyniają się do określenia pewnych cech urządzenia oraz OS, np. kiedy ograniczają dostęp użytkownika do niektórych parametrów ustawień lub do filtrują wydawane poprawki (funkcjonalne lub dotyczące bezpieczeństwa), zapewnione przez wytwórców urządzeń lub OS;

31 OPINIA RZECZNIKÓW OCHRONY PRYWATNOŚCI NA TEMAT APLIKACJI MOBILNYCH Jakie są najważniejsze obowiązki stron trzecich? Strony trzecie muszą: - jeśli są stronami świadczącymi reklamy: nie dostarczać reklam poza kontekstem aplikacji, chyba, że dysponują uprzednią, jednoznaczną zgodą użytkownika. Przykładem są dostarczanie reklam poprzez modyfikację ustawień przeglądarki lub umieszczanie ikon na pulpicie urządzeń mobilnych. Powstrzymać się od wykorzystywania unikalnych identyfikatorów użytkownika lub urządzenia w celu śledzenia; - powstrzymać się od przetwarzania danych dzieci dla celów reklamy behawioralnej, zarówno bezpośrednio jak i pośrednio. Zastosować odpowiednie środki bezpieczeństwa. Obejmuje to bezpieczną transmisje oraz zaszyfrowane przechowywanie unikalnych identyfikatorów użytkowników aplikacji oraz urządzeń a także innych danych osobowych.

32 OPINIA RZECZNIKÓW OCHRONY PRYWATNOŚCI NA TEMAT APLIKACJI MOBILNYCH Jakie są konkretne kwestie w przypadku reklam skierowanych do dzieci? Poświęcono specjalną uwagę reklamom skierowanym do dzieci. Opinia stanowi w szczególności, że twórcy aplikacji: - powinni przywiązywać szczególną uwagę do granicy wieku dzieci oraz niepełnoletnich tak jak ją zdefiniowano w prawodawstwie krajowym, gdzie zgoda rodzicielska na przetwarzanie danych jest warunkiem wstępnym zgodnego z prawem przetwarzania danych przez aplikacje; - powinni być świadomi ograniczonego zrozumienia oraz wiedzy na temat zakresu oraz wrażliwości danych dzielonych ze stronami trzecimi dla celów reklamy; - powinni nawet bardziej restrykcyjnie przestrzegać zasad minimalizacji danych oraz ograniczenia celu; - nie mogą wykorzystywać danych osobowych dzieci dla celów reklamy behawioralnej; - powinni powstrzymać się od zbierania danych osobowych związanych z rodzicami lub członkami rodziny od użytkownika będącego dzieckiem (w szczególności informacji finansowych oraz danych medycznych); - powinni oferować informacje w języku, który jest dostosowany do wieku dziecka.

33 OPINIA RZECZNIKÓW OCHRONY PRYWATNOŚCI NA TEMAT APLIKACJI MOBILNYCH Czy opinia ta ma także zastosowanie do aplikacji rozwijanych w USA? Tak, opinia ta jest oparta na europejskim prawie ochrony danych. Europejska dyrektywa o ochronie danych ma zastosowanie nie tylko do administratorów mających siedzibę na terytorium państwa członkowskiego oraz wykorzystujących urządzenia umieszczone na terytorium tego państwa członkowskiego. Jako że, urządzenie jest instrumentem w przetwarzaniu danych osobowych od i na temat użytkownika, kryterium to jest zwykle spełnione, przynajmniej w zakresie w jakim aplikacje powodują przekazywanie danych osobowych przez sieć do administratorów danych.

34 OPINIA RZECZNIKÓW OCHRONY PRYWATNOŚCI NA TEMAT APLIKACJI MOBILNYCH Czy nie jest niemożliwe wyczerpująco poinformować użytkowników na małym ekranie? Istnieją ograniczenia co do ilości informacji, które mogą być przedstawione na małym ekranie, jednak nie stanowi to wymówki do nieodpowiedniego informowania użytkowników końcowych. Wytwórcy aplikacji prześcigają się w ujmowaniu problemu całościowo oraz wykorzystywaniu ich programowania oraz wiedzy inżynierskiej do tworzenia prostych oraz intuicyjnych interfejsów, specjalnie dopasowanych do małych ekranów. GR29 wzywa przemysł do wykorzystania tej kreatywności do dostarczenia bardziej innowacyjnych rozwiązań w celu efektywnego informowania użytkowników odnośnie przetwarzania danych osobowych na urządzeniach mobilnych. Przynajmniej, każda aplikacja powinna mieć czytelną, zrozumiałą oraz łatwo dostępną politykę prywatności, która powinna zawierać przynajmniej: - kim jest twórca aplikacji (tożsamość oraz dane kontaktowe); - precyzyjne kategorie danych osobowych, które twórca aplikacji będzie zbierał i przetwarzał; - dlaczego przetwarzanie danych jest konieczne (dla jakich konkretnie celów); - czy dane będą ujawnione stronom trzecim; - jak użytkownicy mogą wykonywać woje prawa, w sensie wycofania zgody oraz usunięcia danych.

35 PROJEKT OGÓLNEGO ROZPORZADZENIA O OCHRONIE DANYCH - ZGODA Artykuł 7 Warunki udzielenia zgody 1. Ciężar udowodnienia zgody podmiotu danych na przetwarzanie jego danych osobowych w określonych celach spoczywa na administratorze. 2. Jeśli zgoda podmiotu danych ma być udzielona w kontekście pisemnego oświadczenia, które dotyczy także innej kwestii, wymóg udzielenia zgody musi zostać przedstawiony w sposób pozwalający wyraźnie odróżnić go od tej innej kwestii. 3. Podmiot danych ma prawo odwołać swoją zgodę w dowolnym momencie. Odwołanie zgody nie ma wpływu na zgodność z prawem przetwarzania opartego na zgodzie przed jej odwołaniem. 4. Zgoda nie stanowi podstawy prawnej przetwarzania w sytuacji poważnej nierówności między podmiotem danych a administratorem.

36 OPINIA RZECZNIKÓW OCHRONY PRYWATNOŚCI NA TEMAT APLIKACJI MOBILNYCH Warsaw declaration on the appification of society Warsaw, Poland September 2013 Nowadays, mobile applications (apps) are ubiquitous. On our smart phones and tablets, in cars, in and around the house: a growing number of items have user interfaces connected to the internet. Currently, over 6 million apps are available in both the public and private sector This number is growing by over a day. Apps are making many parts of our day-- to-- day lives more easy and more fun. At the same time, apps also collect large amounts of personal data. This allows for continuous digital monitoring, often without the users being aware that this happens and what their data are used for. App developers are often unaware of the privacy implications of their work and unfamiliar with concepts like privacy by design and default. The main operating systems and app platforms do offer some privacy settings, but do not allow for full control by the users to protect their personal data and verify what information is collected for which purpose

37 OPINIA RZECZNIKÓW OCHRONY PRYWATNOŚCI NA TEMAT APLIKACJI MOBILNYCH The responsibility for privacy does not rest with app developers alone. Providers of operating systems should bear responsibility for their platforms. Admittedly, these actors are increasingly taking up their responsibility by offering general privacy settings on mobile devices. However, these are insufficiently granular to offer full user control for all meaningful aspects of individual data collection. As platform providers create and maintain the framework in which apps are used, they are best positioned to guarantee data protection and bear special responsibility towards the users. In this respect, commitment of the industry to privacy seals or other enforceable certification schemes is to be encouraged. Although the primary responsibility for user privacy lies with the app industry, privacy and data protection commissioners can and should raise awareness of these issues amongst the actors of the app industry as well as with app users, the general public. In particular, engagement with providers of operating systems should be sought in an endeavour to ensure the essentials of data protection are put in place in their platforms. It is not our task to spoil the fun apps can offer to their users, but misuse of personal data has to be prevented. If encouraging a better privacy practice does not resort to sufqicient effect, the commissioners will be ready to enforce the legislation in a global effort to reclaim user control.

38 PROJEKT OGÓLNEGO ROZPORZADZENIA O OCHRONIE DANYCH - ZGODA Artykuł 7 Warunki udzielenia zgody 1. Ciężar udowodnienia zgody podmiotu danych na przetwarzanie jego danych osobowych w określonych celach spoczywa na administratorze. 2. Jeśli zgoda podmiotu danych ma być udzielona w kontekście pisemnego oświadczenia, które dotyczy także innej kwestii, wymóg udzielenia zgody musi zostać przedstawiony w sposób pozwalający wyraźnie odróżnić go od tej innej kwestii. 3. Podmiot danych ma prawo odwołać swoją zgodę w dowolnym momencie. Odwołanie zgody nie ma wpływu na zgodność z prawem przetwarzania opartego na zgodzie przed jej odwołaniem. 4. Zgoda nie stanowi podstawy prawnej przetwarzania w sytuacji poważnej nierówności między podmiotem danych a administratorem.