NIEUPRAWNIONE UDOSTĘPNIANIE DANYCH OSOBOWYCH W ŚWIECIE SMARTFONÓW I INNYCH URZĄDZEŃ MOBILNYCH

Transkrypt

1 NIEUPRAWNIONE UDOSTĘPNIANIE DANYCH OSOBOWYCH W ŚWIECIE SMARTFONÓW I INNYCH URZĄDZEŃ MOBILNYCH II edycja konferencji naukowej Ataki sieciowe Studenckie Koło Naukowe Prawa Nowych Technologii, WPiA UMK w Toruniu DR WOJCIECH WIEWIÓROWSKI Wydział Prawa i Administracji Uniwersytetu Gdańskiego Generalny Inspektor Ochrony Danych Osobowych Generalny Inspektor Ochrony Danych Osobowych ul. Stawki 2, Warszawa kancelaria@giodo.gov.pl

2 M. Narojek for GIODO 2011

3 TEMATYKA WYKŁADU

4 KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ Art. 47. Każdy ma prawo do ochrony życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym. Art. 49. Zapewnia się wolność i ochronę tajemnicy komunikowania się. Ich ograniczenie może nastąpić jedynie w przypadkach określonych w ustawie i w sposób w niej określony.

5 KONSTYTUCJA RZECZYPOSPOLITEJ POLSKIEJ (art. 51) 1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. 2. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. 3. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. 4. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. 5. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa.

6 TRAKTATOWA PODSTAWA DO OCHRONY DANYCH OSOBOWYCH Artykuł 16 Traktatu o funkcjonowaniu UE (po zm. z Lizbony) 1. Każda osoba ma prawo do ochrony danych osobowych jej dotyczących. 2. Parlament Europejski i Rada, stanowiąc zgodnie ze zwykłą procedurą ustawodawczą, określają zasady dotyczące ochrony osób fizycznych w zakresie przetwarzania danych osobowych przez instytucje, organy i jednostki organizacyjne Unii oraprzez Państwa Członkowskie w wykonywaniu działań wchodzących w zakres zastosowania prawa Unii, a także zasady dotyczące swobodnego przepływu takich danych. Przestrzeganie tych zasad podlega kontroli niezależnych organów. Zasady przyjęte na podstawie niniejszego artykułu pozostają bez uszczerbku dla zasad szczególnych przewidzianych w artykule 39 Traktatu o Unii Europejskiej.

7 PODSTAWOWE POJĘCIA Art W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. 3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

8 DANE OSOBOWE Przykładowe dane osobowe, które są zbierane : Lokalizacja Kontakty Unikalne identyfikatory osób i urządzeń (IMEI, IMSI, UDID i numer telefonu mobilnego) Tożsamość podmiotu danych Tożsamość telefonu (np. imię telefonu) Dane dot. Karty kredytowej i płatności Logi połączeń, SMS i komunikatory Historia wyszukiwania Szczegóły logowania do sieci społecznościowych Zdjęcia i filmy Biometryki (np. wzorce do rozpoznawania twarzy, odcisków palców, lub schematów przepływu krwi)

9 DANE OSOBOWE Niebezpiecznik.pl

10 NIE TYLKO ATAKI Wszystkie przykłady z serwisu Niebezpiecznik.pl

11 NIE TYLKO ATAKI Niebezpiecznik.pl Telefony Nokii przekierowują połączenia HTTP i HTTPS na serwery Nokii. To pozwala na podsłuch użytkowników, ale Nokia twierdzi, że tego nie robi. Jeśli korzystasz z telefonu Nokia Lumia lub Ash i przeglądarki Xpress Browser, to mamy dla Ciebie niepokojącą wiadomość. Indyjski bloger zauważył, że przeglądarka Nokii nie przesyła ruchu HTTP/HTTPS bezpośrednio do stron, które chce obejrzeć użytkownik, ale przekierowuje go przez swój serwer proxy browser.ovi.com. Dlaczego Nokia (i Opera i Amazon) tunelują ruch ze swoich przeglądarek mobilnych? W ten sam sposób co Xpress Browser Nokii zachowuje się Opera Mini, czy też przeglądarka Amazonu Silk (ta ostatnia przechwytuje tylko HTTP, nie HTTPS). Cel wszystkich przeglądarek mobilnych jest jeden przyśpieszyć przez rekompresję oglądanie stron na telefonie i oszczędzić klientowi wykupiony u operatora pakiet danych.

12 NIE TYLKO ATAKI Niebezpiecznik.pl W skrócie; Telefon odpytuje po DNS domenę, ale zamiast oryginalnego IP dostaje IP serwera z chmury Nokii. Serwer ten w imieniu użytkownika odwiedza żądaną stronę (na szybkim łączu), następnie kompresuje ją, dzięki czemu może szybciej przesłać treści na telefon. Telefon jest więc niejako terminalem dostępowym do serwera, który w jego imieniu pobiera i wyświetla strony internetowe. HTTPS Atak Man in the Middle Oczywiście, żeby uniknąć wyświetlania ostrzeżenia przed błędnym certyfikatem przy połączeniach HTTPS (które przecież nie terminują się na oryginalnym serwerze, a na serwerze proxy Nokii), Nokia wstrzykuje własny certyfikat SSL do telefonu i oznacza go jako zaufane CA. W praktyce Nokia wykonuje więc atak Man in the Middle dane szyfrowane przez przeglądarkę na telefonie, przeznaczone dla docelowego serwera, są rozszyfrowywane przez serwery Nokii, a wiec Nokia może poznać poufne treści (np. hasła do stron banków online).

13 NIE TYLKO ATAKI J.Mannino, M.Zusman, Z.Lanier: OWASP Top 10 mobile risks, OWASP, 2011

14 PRYWATNOŚĆ A OCHRONA DANYCH OSOBOWYCH Znaczenia, jakie normy nadają tym pojęciom odpowiadają raczej przedmiotowym uprawnieniom osób bądź procesów w sensie technicznym niż prawnemu czy organizacyjnemu aspektowi ochrony informacji. Definicja anonimowości jest zawarta w normie PN-I-02000:2002, w punkcie : Anonimowość - Zasada, z której wynika, że podmiot może wykorzystywać zasób lub usługę bez ujawniania swojej tożsamości. W tejże normie, w punkcie zdefiniowana jest pseudoanonimowość (pseudoanonimity): Pseudoanonimowość - Zasada zgodnie, z którą podmiot może wykorzystywać zasób lub usługę bez ujawniania swojej tożsamości, lecz może nadal być rozliczany za to korzystanie. Źródło: M. Szmit: Kilka uwag, nie tylko o dokumentach elektronicznych, [w:] Ochrona informacji niejawnych, biznesowych i danych osobowych. Materiały VII Kongresu, KSOIN, Katowice 2011, s , ISBN

15 PRYWATNOŚĆ A OCHRONA DANYCH OSOBOWYCH Prywatność posiada w terminologii znormalizowanej aż trzy definicje: Prawo do kontrolowania lub wpływania na to, aby informacja ich dotycząca mogła być zbierana i przechowywana oraz na to, kto może to wykonywać i komu można udostępnić tę informację. (PN-T-20000:1994-P), przy czym definicja ta jest opatrzona komentarzem Uwaga Ponieważ termin jest związany z prawem osób nie może on być precyzyjny. Należy unikać używania tego terminu chyba, że kontekst odnosi się do wymagań zabezpieczania informacji. ; Nieingerowanie w życie prywatne osoby lub jej sprawy, jeśli ta ingerencja byłaby związana z niewłaściwym lub nielegalnym zbieraniem i wykorzystywaniem danych o tej osobie (PN- ISO/IEC : , PN-I-02000: ); Prawo do nadzoru lub wpływu na to, jakie dane osobowe mogą być zbierane i przechowywane oraz komu mogą być ujawnione. (PN-I-02000: , PN-T :1994 P), przy czym definicja ta jest opatrzona komentarzem Uwaga - Należy unikać używania tego terminu chyba, że kontekst odnosi się do wymagań zabezpieczania informacji. Źródło: M. Szmit: Kilka uwag, nie tylko o dokumentach elektronicznych, [w:] Ochrona informacji niejawnych, biznesowych i danych osobowych. Materiały VII Kongresu, KSOIN, Katowice 2011, s , ISBN

16 PRYWATNOŚĆ A OCHRONA DANYCH OSOBOWYCH Pseudonimizacja (z gr. pseudōnymos - fałszywie nazwany) to użycie w miejsce rzeczywistej nazwy procesu bądź osoby, nazwy przybranej czyli pseudonimu (Zob. np. [Pfitzmann Hansen 2005]). Pseudonimizacja utrudnia identyfikację (ustalenie danych) działającego podmiotu, natomiast umożliwia przypisanie różnych czynności tej samej osobie (bez znajomości jej danych osobowych). [...] Anonimizacja jest to proces, w którym z danych umożliwiających identyfikację podmiotów otrzymuje się dane nie umożliwiające takiej identyfikacji. Anonimizację stosuje się na przykład w badaniach statystycznych, w których istotne są prawidłowości dotyczące całej badanej grupy, a nie informacje o poszczególnych jednostkach. Anonimizacją w informatyce nazywa się również wykorzystanie odpowiednich rozwiązań informatycznych, np. anonimowego Proxy, sieci TOR [...] do ukrycia tożsamości osoby korzystającej z serwisów internetowych, zarówno przed tymi serwisami jak i przed ewentualnym podsłuchem. Źródło: M. Szmit: Kilka uwag, nie tylko o dokumentach elektronicznych, [w:] Ochrona informacji niejawnych, biznesowych i danych osobowych. Materiały VII Kongresu, KSOIN, Katowice 2011, s , ISBN

17 PRYWATNOŚĆ UŻYTKOWNIKÓW SMARTFONÓW Wedle przeprowadzonych przez Pew Research Centre badań ponad połowa użytkowników aplikacji mobilnych (54%) miała choć jeden przypadek, gdy zrezygnowała z zainstalowania aplikacji w obawie o swoje dane. 88% Amerykanów używa telefonów mobilnych. W 2012 r. 43% z nich instalowało aplikacje na swych urządzeniach (31% w 2011). of app users have decided to not install a cell phone app once they discovered how much personal information they would need to share in order to use it 30% użytkowników aplikacji zdeinstalowało co najmniej jedną z nich już wcześniej znajdującą się na ich telefonie gdyż zorientowało się, że zbiera ona dane, którymi użytkownik nie chciał się dzielić. J.L.Boyles, A.Smith, M.Madden: Privacy and Data Management on Mobile Devices. More than half of app users have uninstalled or avoided an app due to concerns about personal information, Pew Research Center s Internet & American Life Project, Waszyngton 2012, s. 6.

18 PRYWATNOŚĆ UŻYTKOWNIKÓW SMARTFONÓW

19 PODSTAWOWE POJĘCIA 1) zbiór danych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, 2) przetwarzanie danych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych, 2a) system informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych, 2b) zabezpieczenie danych w systemie informatycznym - wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem, 4) administratorze danych - organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych,

20 PODSTAWOWE POJĘCIA 5) zgoda osoby, której dane dotyczą - oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie, 6) odbiorca danych - każdego, komu udostępnia się dane osobowe, z wyłączeniem: a) osoby, której dane dotyczą, b) osoby upoważnionej do przetwarzania danych, c) przedstawiciela, o którym mowa w art. 31a, d) podmiotu, o którym mowa w art. 31, e) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem, 7) państwo trzecie - państwo nienależące do Europejskiego Obszaru Gospodarczego.

21 OPINIA RZECZNIKÓW OCHRONY PRYWATNOŚCI NA TEMAT APLIKACJI MOBILNYCH Opinia jest wspólną opinią 27 europejskich organów ochrony danych oraz Europejskiego Inspektora Ochrony Danych (EIOD). Opinia bierze sobie za cel wyjaśnienie przepisów prawa, które mają zastosowanie do przetwarzania danych osobowych w ramach dystrybucji oraz wykorzystania aplikacji. Opinia będzie służyć jako wytyczne dla oceny przeprowadzanej indywidualnie przez DPA. Opinia szczegółowo przedstawia obowiązki oraz zalecenia dla wszystkich stron zaangażowanych w rozwój oraz dystrybucję aplikacji (tzw. ekosystem aplikacji), podlegających europejskiemu prawu ochrony danych. Ekosystem obejmuje twórców, sklepy z aplikacjami, wytwórców systemów operacyjnych oraz urządzeń a także inne strony trzecie takie jak dostarczyciele reklam lub programów typu analytics. Aplikacje są rozwijane bardzo szybko i często tworzą nowe oraz innowacyjne usługi dla użytkowników końcowych. Popularność oraz sukces aplikacji obrazuje fakt, że statystyczny użytkownik smartphone a pobiera średnio 37 aplikacji. Jednakże, przetwarzanie dużej ilości danych osobowych może stanowić istotne ryzyko dla życia prywatnego oraz reputacji użytkowników inteligentnych urządzeń, jeśli twórcy aplikacji nie będą przestrzegać europejskiego prawa ochrony danych (twórcy aplikacji powinni je projektować w taki sposób aby były zgodne z prawem dotyczącym prywatności).

22 OPINIA RZECZNIKÓW OCHRONY PRYWATNOŚCI NA TEMAT APLIKACJI MOBILNYCH Aplikacje są w stanie przetwarzać wiele różnych typów oraz dużych ilości intymnych danych osobowych od oraz na temat swoich użytkowników, takich jak dane kontaktowe, lokalizacja lub informacja behawioralna, szczegóły bankowe, zdjęcia oraz filmy. Wiele aplikacji nie informuje użytkowników w odpowiedni sposób ani o celu przetwarzania danych, ani o wielości stron trzecich, które mogą otrzymać kopię danych oraz przetwarzać dane osobowe bez uzyskanie dobrowolnej oraz świadomej zgody użytkowników, która jest niezbędna. Praktyka taka jest naruszeniem europejskiego prawa ochrony danych. Użytkownicy aplikacji muszą być świadomi, że aplikacje mogą przetwarzać duże ilości ich danych osobowych oraz, że te dane mogą być dzielone z wieloma stronami trzecimi. Tworzy to ryzyko dla ochrony danych, np. jeśli chodzi o bezpieczeństwo. Osoby muszą być w stanie kontrolować własne dane osobowe, a badania wskazują, że większość obywateli chce takiej kontroli w istocie.

23 OPINIA RZECZNIKÓW OCHRONY PRYWATNOŚCI NA TEMAT APLIKACJI MOBILNYCH Obywatele muszą przynajmniej być poinformowani oraz należy dać im skuteczne narzędzia, tak aby mogli wyrazić dobrowolną oraz konkretną zgodę odnośnie każdego rodzaju danych, który aplikacje będą zbierać oraz dalej przetwarzać. Twórcy aplikacji mogą promować dobre praktyki oraz odgrywać kluczową rolę w zachęcaniu do oceny własnych aplikacji na podstawie mechanizmów prywatności oraz bezpieczeństwa, które zapewniają. W ten sposób użytkownicy aplikacji będą stawali się coraz bardziej świadomi swoich praw oraz wybierali aplikacje, nie tylko na podstawie swojego gustu oraz zainteresowań, ale także na podstawie tego jak przyjazna prywatności jest aplikacja. Zgodnie z informacjami GSMA, organizacji zrzeszającej operatorów mobilnych na świecie. Badanie przeprowadzono we wrześniu 2011 r. 92% użytkowników stwierdziło, że chce bardziej wielostopniowego wyboru.

24 OPINIA RZECZNIKÓW OCHRONY PRYWATNOŚCI NA TEMAT APLIKACJI MOBILNYCH Jakie są kluczowe obowiązki twórców aplikacji? Twórcy aplikacji muszą: - poprosić o ważną zgodę na przetwarzanie danych osobowych, zanim aplikacje zaczną pobierać lub umieszczać informacje na urządzeniu; - poprosić o stopniową zgodę na każdy rodzaj danych, do których aplikacja będzie miała dostęp; - zapewnić dobrze zdefiniowane oraz zrozumiałe cele przetwarzania danych, przed instalacją aplikacji oraz nie zmieniać tych celów bez odnowionej zgody; - pozwolić użytkownikom na odwołanie ich zgody oraz odinstalowanie aplikacji oraz usunięcie danych, tam gdzie to stosowne; - szanować zasadę minimalizacji danych i zbierać tylko te dane, które są ściśle konieczne do wykonania pożądanej funkcjonalności; - podjęć konieczne środki organizacyjne oraz techniczne, tak aby zapewnić ochronę danych osobowych; - zapewnić czytelną, zrozumiałą oraz łatwo dostępną politykę prywatności oraz wdrożyć ją w skuteczny oraz przyjazny użytkownikowi sposób (to jest użytkownicy aplikacji muszą mieć możliwość łatwego wykonania swoich praw; restrykcyjne przetwarzanie danych dotyczących dzieci.)

25 OPINIA RZECZNIKÓW OCHRONY PRYWATNOŚCI NA TEMAT APLIKACJI MOBILNYCH Jakie są najważniejsze obowiązki sklepów z aplikacjami? Sklepy z aplikacjami muszą: - być świadome oraz działać w zgodności z ich obowiązkami wynikającymi z tego, że są oni administratorami danych jeśli przetwarzają dane od i na temat użytkowników; - wymusić na twórcy aplikacji spełnienie obowiązku informacyjnego, obejmującego rodzaj danych do którego aplikacja może mieć dostęp; dla jakich celów czy są one dzielone ze stronami trzecimi - przywiązać szczególną uwagę do aplikacji skierowanych do dzieci, tak aby chronić je przed niezgodnym z prawem przetwarzaniem ich danych, oraz w szczególności wymusić obowiązek do przedstawienia odpowiednich informacji w prosty sposób, językiem dostosowanym do wieku.

26 OPINIA RZECZNIKÓW OCHRONY PRYWATNOŚCI NA TEMAT APLIKACJI MOBILNYCH Jakie są najważniejsze obowiązki dla systemów operacyjnych oraz wytwórców urządzeń? Systemy operacyjne oraz wytwórcy urządzeń muszą: - zaktualizować ich interfejs programowania aplikacji (API), zasady przechowywania oraz interfejs użytkownika, tak aby zaoferować użytkownikom wystarczającą kontrolę do wyrażenia ważnej zgody na przetwarzanie danych przez aplikacje; - wdrożyć zasady prywatności w fazie projektowania, aby zapobiec sekretnemu monitorowaniu użytkowników; - zapewnić bezpieczeństwo przetwarzania; - zapewnić, że ustawienia domyślne pre-instalowanych aplikacji są zgodne z europejskim prawem ochrony danych; - zaoferować stopniowy dostęp do danych, sensorów oraz usług, w celu zapewnienia, że twórcy aplikacji mogą uzyskać dostęp jedynie do tych danych, które są niezbędne dla ich aplikacji; - zapewnić, że informacja dla użytkownika przed instalacją aplikacji odzwierciedla każdy dostęp do kategorii danych: kategorie danych są przedstawiane w jasny oraz zrozumiały sposób; - wdrożyć środowisko przyjazne dla użytkownika, z narzędziami zapobiegającymi rozprzestrzenianiu się złośliwych aplikacji oraz zapewnić, że każda funkcjonalność może być łatwo zainstalowana/odinstalowana.

27 OPINIA RZECZNIKÓW OCHRONY PRYWATNOŚCI NA TEMAT APLIKACJI MOBILNYCH Jakie są najważniejsze obowiązki stron trzecich? Strony trzecie muszą: - być świadome oraz działać zgodnie z ich obowiązkami wynikającymi z tego, że są oni administratorami danych jeśli przetwarzają dane na temat użytkowników; - działać zgodnie z wymogami zgody, o której mowa w art. 5(3) Dyrektywy o eprywatności, jeśli odczytują one lub zapisują dane na urządzeniach mobilnych, we współpracy z twórcami aplikacji oraz/lub sklepami z aplikacjami, które generalnie dostarczają użytkownikowi informacji na temat celów przetwarzania danych; - jeśli są one dostarczycielami usług telekomunikacyjnych, jeśli wydają własne urządzenia: muszą zapewnić uzyskanie ważnej zgody od użytkowników na preinstalowane aplikacji oraz przyjąć odpowiednie zobowiązania w przypadku gdy przyczyniają się do określenia pewnych cech urządzenia oraz OS, np. kiedy ograniczają dostęp użytkownika do niektórych parametrów ustawień lub do filtrują wydawane poprawki (funkcjonalne lub dotyczące bezpieczeństwa), zapewnione przez wytwórców urządzeń lub OS;

28 OPINIA RZECZNIKÓW OCHRONY PRYWATNOŚCI NA TEMAT APLIKACJI MOBILNYCH Jakie są najważniejsze obowiązki stron trzecich? Strony trzecie muszą: - jeśli są stronami świadczącymi reklamy: nie dostarczać reklam poza kontekstem aplikacji, chyba, że dysponują uprzednią, jednoznaczną zgodą użytkownika. Przykładem są dostarczanie reklam poprzez modyfikację ustawień przeglądarki lub umieszczanie ikon na pulpicie urządzeń mobilnych. Powstrzymać się od wykorzystywania unikalnych identyfikatorów użytkownika lub urządzenia w celu śledzenia; - powstrzymać się od przetwarzania danych dzieci dla celów reklamy behawioralnej, zarówno bezpośrednio jak i pośrednio. Zastosować odpowiednie środki bezpieczeństwa. Obejmuje to bezpieczną transmisje oraz zaszyfrowane przechowywanie unikalnych identyfikatorów użytkowników aplikacji oraz urządzeń a także innych danych osobowych.

29 OPINIA RZECZNIKÓW OCHRONY PRYWATNOŚCI NA TEMAT APLIKACJI MOBILNYCH Jakie są konkretne kwestie w przypadku reklam skierowanych do dzieci? Poświęcono specjalną uwagę reklamom skierowanym do dzieci. Opinia stanowi w szczególności, że twórcy aplikacji: - powinni przywiązywać szczególną uwagę do granicy wieku dzieci oraz niepełnoletnich tak jak ją zdefiniowano w prawodawstwie krajowym, gdzie zgoda rodzicielska na przetwarzanie danych jest warunkiem wstępnym zgodnego z prawem przetwarzania danych przez aplikacje; - powinni być świadomi ograniczonego zrozumienia oraz wiedzy na temat zakresu oraz wrażliwości danych dzielonych ze stronami trzecimi dla celów reklamy; - powinni nawet bardziej restrykcyjnie przestrzegać zasad minimalizacji danych oraz ograniczenia celu; - nie mogą wykorzystywać danych osobowych dzieci dla celów reklamy behawioralnej; - powinni powstrzymać się od zbierania danych osobowych związanych z rodzicami lub członkami rodziny od użytkownika będącego dzieckiem (w szczególności informacji finansowych oraz danych medycznych); - powinni oferować informacje w języku, który jest dostosowany do wieku dziecka.

30 OPINIA RZECZNIKÓW OCHRONY PRYWATNOŚCI NA TEMAT APLIKACJI MOBILNYCH Czy opinia ta ma także zastosowanie do aplikacji rozwijanych w USA? Tak, opinia ta jest oparta na europejskim prawie ochrony danych. Europejska dyrektywa o ochronie danych ma zastosowanie nie tylko do administratorów mających siedzibę na terytorium państwa członkowskiego oraz wykorzystujących urządzenia umieszczone na terytorium tego państwa członkowskiego. Jako że, urządzenie jest instrumentem w przetwarzaniu danych osobowych od i na temat użytkownika, kryterium to jest zwykle spełnione, przynajmniej w zakresie w jakim aplikacje powodują przekazywanie danych osobowych przez sieć do administratorów danych.

31 OPINIA RZECZNIKÓW OCHRONY PRYWATNOŚCI NA TEMAT APLIKACJI MOBILNYCH Czy nie jest niemożliwe wyczerpująco poinformować użytkowników na małym ekranie? Istnieją ograniczenia co do ilości informacji, które mogą być przedstawione na małym ekranie, jednak nie stanowi to wymówki do nieodpowiedniego informowania użytkowników końcowych. Wytwórcy aplikacji prześcigają się w ujmowaniu problemu całościowo oraz wykorzystywaniu ich programowania oraz wiedzy inżynierskiej do tworzenia prostych oraz intuicyjnych interfejsów, specjalnie dopasowanych do małych ekranów. GR29 wzywa przemysł do wykorzystania tej kreatywności do dostarczenia bardziej innowacyjnych rozwiązań w celu efektywnego informowania użytkowników odnośnie przetwarzania danych osobowych na urządzeniach mobilnych. Przynajmniej, każda aplikacja powinna mieć czytelną, zrozumiałą oraz łatwo dostępną politykę prywatności, która powinna zawierać przynajmniej: - kim jest twórca aplikacji (tożsamość oraz dane kontaktowe); - precyzyjne kategorie danych osobowych, które twórca aplikacji będzie zbierał i przetwarzał; - dlaczego przetwarzanie danych jest konieczne (dla jakich konkretnie celów); - czy dane będą ujawnione stronom trzecim; - jak użytkownicy mogą wykonywać woje prawa, w sensie wycofania zgody oraz usunięcia danych.

32 PROJEKT OGÓLNEGO ROZPORZADZENIA O OCHRONIE DANYCH - ZGODA Artykuł 7 Warunki udzielenia zgody 1. Ciężar udowodnienia zgody podmiotu danych na przetwarzanie jego danych osobowych w określonych celach spoczywa na administratorze. 2. Jeśli zgoda podmiotu danych ma być udzielona w kontekście pisemnego oświadczenia, które dotyczy także innej kwestii, wymóg udzielenia zgody musi zostać przedstawiony w sposób pozwalający wyraźnie odróżnić go od tej innej kwestii. 3. Podmiot danych ma prawo odwołać swoją zgodę w dowolnym momencie. Odwołanie zgody nie ma wpływu na zgodność z prawem przetwarzania opartego na zgodzie przed jej odwołaniem. 4. Zgoda nie stanowi podstawy prawnej przetwarzania w sytuacji poważnej nierówności między podmiotem danych a administratorem.

33 OPINIA RZECZNIKÓW OCHRONY PRYWATNOŚCI NA TEMAT APLIKACJI MOBILNYCH Examples of specific consent An app provides information about nearby restaurants. To be installed the app developer must seek consent. To access the geolocation data, the app developer must separately ask for consent, e.g. during installation or prior to accessing the geolocation. Specific means that the consent must be limited to the specific purpose of advising the user about nearby restaurants. The location data from the device may therefore only be accessed when the user is using the app for that purpose. The user s consent to process geolocation data does not allow the app to continuously collect location data from the device. This further processing would require additional information and separate consent. Similarly, for a communication app to access the contact list, the user must be able to select contacts that the user wishes to communicate with, instead of having to grant access to the entire address book (including contact details of non-users of that service that cannot have consented to the processing of data relating to them).

34 PROJEKT OGÓLNEGO ROZPORZADZENIA O OCHRONIE DANYCH - ZGODA Artykuł 7 Warunki udzielenia zgody 1. Ciężar udowodnienia zgody podmiotu danych na przetwarzanie jego danych osobowych w określonych celach spoczywa na administratorze. 2. Jeśli zgoda podmiotu danych ma być udzielona w kontekście pisemnego oświadczenia, które dotyczy także innej kwestii, wymóg udzielenia zgody musi zostać przedstawiony w sposób pozwalający wyraźnie odróżnić go od tej innej kwestii. 3. Podmiot danych ma prawo odwołać swoją zgodę w dowolnym momencie. Odwołanie zgody nie ma wpływu na zgodność z prawem przetwarzania opartego na zgodzie przed jej odwołaniem. 4. Zgoda nie stanowi podstawy prawnej przetwarzania w sytuacji poważnej nierówności między podmiotem danych a administratorem.

35 I NIECO PRAWA KARNEGO Art Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3. Art Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega karze ograniczenia wolności albo pozbawienia wolności do lat Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

36 I NIECO PRAWA KARNEGO Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 54. Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 54a. Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

37 TEST WPŁYWU NA PRYWATNOSC a) Zbieraj dane jedynie wówczas, gdy jest to koniecznie potrzebne dla osiągnięcia danego prawnie usprawiedliwionego celu i unikaj zbierania danych od nieokreślonej liczby osób na zapas. b) Nie zbieraj danych od osób, które mają ograniczoną zdolność rozpoznania znaczenia swych działań (np. osoby o ograniczonej zdolności do czynności prawnych, chorzy, młodociani). c) Informuj o planowanych sposobach użycia danych biometrycznych oraz o podmiotach uczestniczących w ich przetwarzaniu (rozszerzone zachowania informacyjne). d) Unikaj łącznia systemów przetwarzających dane biometryczne pracowników z jakimikolwiek innymi systemami teleinformatycznymi. e) Stosuj rozszerzone zasady bezpieczeństwa danych. f) Szkól przetwarzających z wiedzy o ochronie danych osobowych. g) Unikaj niepotrzebnej retencji danych. h) Pracownik musi mieć możliwość dokonania niezależnej analizy jakości danych Na podst.: Por: R. B. Woo; Challenges posed by biometric technology on Data Privacy Protection and the way forward ; s.4-5

38 Dziękuję bardzo za uwagę DR WOJCIECH WIEWIÓROWSKI Wydział Prawa i Administracji Uniwersytetu Gdańskiego Generalny Inspektor Ochrony Danych Osobowych desiwm@giodo.gov.pl