VII międzynarodowa konferencja "Bezpieczeństwo Dzieci i Młodzieży w Internecie" 18-19 września 2013 Aplikacje mobilne a ochrona prywatności dzieci dr Agata Jaroszek Centrum Badań Problemów Prawnych i Ekonomicznych Komunikacji Elektronicznej Wydział Prawa, Administracji i Ekonomii Uniwersytet Wrocławski
Przykłady danych osobowych, które mogą mieć znaczący wpływ na życie prywatne użytkowników i innych jednostek lokalizacja kontakty unikalne identyfikatory urządzenia oraz użytkownika (np. IMEI13, IMSI14, UDID15 oraz numer telefonu mobilnego) tożsamość osoby, której dane dotyczą tożsamość telefonu (tj. nazwa telefonu) karta kredytowa oraz dane dotyczące płatności logi połączeń telefonicznych, SMS-ów oraz natychmiastowych wiadomości historia przeglądania e-mail informacje pozwalające na uwierzytelnienie w usługach społeczności (szczególnie usługi z cechami społecznymi) zdjęcia oraz filmy biometria (np. rozpoznawanie twarzy oraz odciski palców)
W jaki sposób aplikacja może być niebezpieczna i potencjalnym zagrożeniem dla prywatności użytkownika (konsumenta)? Aplikacje (czyli oprogramowania) są w stanie przesyłać na zdalny serwer następujące informacje: dane z książki adresowej (w tym numery telefonów), informacje na temat sieci, informacje na temat urządzenia i lokalizację telefonu Aplikacje mogą uzyskać dostęp do wielu funkcjonalności urządzenia, dostęp ten może polegać między innymi na: wysyłaniu ukrytych SMSów, uzyskiwaniu dostępu do zdjęć oraz całych książek adresowych na częściowym zautomatyzowaniem uaktualnień bez wiedzy użytkownika
Badania Federalnej Komisji Handlu (FTC) USA dotyczących praktyk stosowanych przez projektantów aplikacji dla dzieci i młodzieży Większość aplikacji nie informowała o rodzaju informacji, celu gromadzenia danych oraz podmiotach, które miałyby mieć do nich dostęp
Badania Federalnej Komisji Handlu (FTC) USA dotyczących praktyk stosowanych przez projektantów aplikacji dla dzieci i młodzieży Większość aplikacji udostępniało dane osobom trzecim (np. reklamodawcom, analitykom danych) takie jak: numer identyfikacyjny urządzenia, geolokalizację numer telefonu bez ujawnienia /podania do wiadomości tego faktu rodzicom
Wnioski płynące z analizy Federalnej Komisji Handlu Niewielka grupa podmiotów uzyskuje dostęp do danych gromadzonych z ogromnej liczby aplikacji. Potencjalnym zagrożeniem dla prywatności jest fakt, że te podmioty (najczęściej chodzi tutaj o podmioty tworzące tzw. ekosystem aplikacji tj. producenci urządzeń oraz systemów operacyjnych (OS), właściciele aplikacji, sklepy z aplikacjami, a także osoby trzecie (do tej grupy podmiotów zaliczona usługodawców z zakresu analizy danych czy reklamodawców) mogą tworzyć szczegółowe profile dzieci opierając się na danych zbieranych z różnych aplikacji z których korzystają dzieci
Prawo unijne Wiele rodzajów danych dostępnych w inteligentnych urządzeniach mobilnych to dane osobowe. Podstawy prawne: Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (dyrektywa o ochronie danych osobowych) Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (z określonym wymogiem zgody zawartym w artykule 5 ust. 3 ) Przepisy te mają zastosowanie do każdej aplikacji, której grupą docelową są użytkownicy aplikacji w UE, bez względu na miejsce zwykłego pobytu czy siedziby twórcy aplikacji czy też sklepu z aplikacjami
Prawo unijne Danymi osobowymi zawsze są dane, które odnoszą się do osoby fizycznej, która w sposób bezpośredni (np. poprzez nazwisko) lub pośredni jest możliwa do zidentyfikowania przez administratora lub podmiot trzeci. Mogą odnosić się do właściciela urządzenia lub jakiejkolwiek innej osoby, np. dane kontaktowe przyjaciół w książce adresowej
Prawo unijne projekt przepisów dotyczących dzieci Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (COM(2012) 11 (final) Na szczególną ochronę danych osobowych zasługują dzieci, które mogą być w mniejszym stopniu świadome zagrożeń, konsekwencji, gwarancji i swoich praw związanych z przetwarzaniem danych osobowych (pkt 29 preambuły)
Prawo unijne projekt przepisów dotyczących dzieci Artykuł 8 Przetwarzanie danych osobowych dziecka 1. Do celów niniejszego rozporządzenia, w odniesieniu do oferowania usług społeczeństwa informacyjnego bezpośrednio dziecku, przetwarzanie danych osobowych dziecka w wieku poniżej 13 lat jest zgodne z prawem, o ile zgodę na nie wydał lub pozwolił na nie rodzic lub opiekun dziecka. Administrator podejmuje racjonalne starania w celu uzyskania możliwej do zweryfikowania zgody, uwzględniając dostępną technologię. Wniosek dotyczący rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (COM(2012) 11 (final)
Opinia 2/2013 Grupy Roboczej Art. 29 ds. Ochrony Danych Osobowych w sprawie aplikacji mobilnych Adresaci Opinii: podmioty tworzące ekosystem mobilny, w szczególności: twórcy aplikacji, producenci systemów operacyjnych oraz urządzeń, sklepy z aplikacjami, osoby trzecie np. reklamodawcy, usługodawcy oferujący usługi analityczne, Obowiązki i zalecenia dotyczą: wymogów związanych z wyrażeniem zgody, zasady ograniczonego celu i ograniczenia ilości zbieranych danych, konieczności zapewnienia odpowiednich środków bezpieczeństwa, obowiązków informacyjnych wobec użytkowników końcowych na temat ich praw czy rozsądnych okresach przechowywania danych rzetelnego przetwarzania danych gromadzonych od dzieci
Definiowane zagrożenia dla użytkowników aplikacji w UE brak przejrzystości i brak świadomości wśród użytkowników aplikacji o nieuprawnionym dostępie i sposobie przetwarzaniu danych za pomocą aplikacji brak dobrowolnej i świadomej zgody - gdy tylko aplikacja zostaje pobrana, zgoda jest często zredukowana do okienek wskazujących, że użytkownik końcowy zgadza się na warunki umowy słabe środki bezpieczeństwa, mechanizmy uzyskiwania zgody oparte na błędnych przesłankach, tendencja do zbierania jak największej ilości danych (bez wyraźnego celu bez związku z funkcją dla której aplikacja została zaprogramowana) oraz elastyczności celów, dla których dane są zbierane, takich jak badania rynkowe
Najważniejsze wnioski Źródła zagrożeń: fragmentaryczny charakter ekosystemu aplikacji, szeroki zakres technicznych możliwości dostępu do danych przechowywanych w urządzeniach mobilnych lub przez nie wygenerowanych brak świadomości prawnej wśród twórców, wiedzy na temat obowiązujących przepisów w zakresie ochrony danych osobowych wiele aplikacji nie ma polityki prywatności lub nie informuje potencjalnych użytkowników w sposób wyraźny o danych osobowych, które aplikacja może przetwarzać oraz celach przetwarzania
Zalecenia Grupy Roboczej w odniesieniu do aplikacji skierowanych do dzieci: twórcy aplikacji powinni zwracać uwagę na limit wiekowy dzieci i młodzieży przewidziany w ustawodawstwie krajowym, wybrać najbardziej rygorystyczne podejście do przetwarzania danych przy pełnym uwzględnieniu zasad minimalizacji zakresu danych oraz ograniczenia celu przetwarzania powstrzymać się od przetwarzania danych dzieci do celów reklamy behawioralnej, czy to bezpośrednio czy pośrednio, powstrzymać się od gromadzenia od dzieci danych na temat ich rodziny i/lub przyjaciół.
Prawo polskie Podstawy prawne implementujące w/w akty prawa unijnego: Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 1997 nr 133 poz. 883) Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (m in. implementujące wymóg zgody zawarty w art 5 ust. 3 dyrektywy 2002/58/WE) (Dz.U. 2004 nr 171 poz. 1800)
Badania GIODO: Postrzeganie zagadnień związanych z ochroną danych i prywatności przez dzieci i młodzież Bezpośrednią przesłanką do realizacji badań był zidentyfikowany przez organy ochrony danych osobowych brak kompleksowej wiedzy i danych na temat postrzegania zagadnień związanych z ochroną danych osobowych i prywatności przez dzieci i młodzież
Wskazówki i rekomendacje dla dzieci i młodzieży Zalecenia GIODO Pamiętaj o stosowaniu zabezpieczeń przeciwdziałających szkodliwemu oprogramowaniu w telefonie komórkowym (oprogramowanie antywirusowe stworzone specjalnie na platformy mobilne). Pamiętaj o zabezpieczeniu dostępu do aparatu telefonicznego oraz jego zasobów przed nieupoważnionymi osobami za pośrednictwem np. blokady telefonu, szyfrowania zasobów telefonu. Aktualizuj oprogramowanie Twojego aparatu telefonicznego. Stosuj także programy antywirusowe odpowiednie dla modelu Twojego aparatu telefonicznego. Pamiętaj o wyłączeniu zbędnych środków komunikacji, jeśli w danym momencie nie są one wykorzystywane. Blokuj dostęp do Internetu za pośrednictwem operatora telefonii komórkowej WiFi, Bluetooth itp. Przed zainstalowaniem nowych aplikacji na telefon komórkowy zwróć uwagę na przydatność tej aplikacji, jakie dane wybrana aplikacja wymienia z usługodawcami, rekomendacje innych użytkowników czy jej cenę. Sprawdź także, czy źródło pobierania aplikacji jest bezpieczne.
Wskazówki i rekomendacje dla dzieci i młodzieży Kontroluj koszty generowane w rezultacie użytkowania swojego telefonu pozwoli ci to na zidentyfikowanie nieuprawnionych wydatków, których nie powinieneś ponieść w toku świadomego korzystania z telefonu komórkowego. Staraj się unikać podawania danych osobowych oraz innych poufnych danych (np. danych do kont bankowych, haseł dostępu, PIN-ów) w trakcie rozmów prowadzonych przez telefon komórkowy, w drodze wysyłania sms-ów, mms-ów, e-maili czy obsługując inne aplikacje w swoim telefonie. Przy sprzedaży aparatu telefonicznego zawsze pamiętaj o usunięciu wszystkich swoich danych i informacji, jakie zapisałeś w telefonie np. przez zresetowanie telefonu do ustawień fabrycznych Nie zapisuj danych osobowych czy innych informacji poufnych w żadnej z aplikacji dostępnych w telefonach komórkowych (np. w notatnikach, kontaktach, sms-ach itp.),zwłaszcza jeśli aparat telefoniczny posiada funkcję łączenia się z Internetem. Nie korzystaj z nieznanych stron internetowych w telefonie komórkowym. Ze względu na rozmiar wyświetlacza trudniej Ci będzie zweryfikować, czy dana strona internetowa jest faktycznie prawdziwa. Nie oddzwaniaj na nieznane Ci numery, które mogą służyć wyłudzeniu zarówno pieniędzy, jak i Twoich danych
Wskazówki i rekomendacje dla rodziców oraz osób i podmiotów zainteresowanych tematyką ochrony danych osobowych i prywatności w Internecie Należy uświadamiać dzieci i młodzież o potencjalnych zagrożeniach wynikających z korzystania z Internetu w telefonii komórkowej, np. możliwość zlokalizowania danej osoby; możliwość przechwycenia lub wyłudzenia danych osobowych; możliwość podszycia się przez inną osobę pod legalnego abonenta i wyłudzanie na jego koszt usług dostarczanych przez system. Należy pamiętać, że rozwojowi nowych technologii komunikacyjnych i informacyjnych towarzyszą także negatywne zjawiska, w tym działania złośliwe lub przestępcze skierowane przeciwko użytkownikom telefonii komórkowej. W związku z tym zawsze należy mieć na uwadze konieczność zabezpieczenia aparatu telefonicznego przed różnego typu nadużyciami, oszustwem, działaniami hackerskimi, atakami wirusów, działaniami podejmowanymi w celu wyłudzenia danych osobowych itp.
Wskazówki i rekomendacje dla rodziców oraz osób i podmiotów zainteresowanych tematyką ochrony danych osobowych i prywatności w Internecie Rodzice powinni odgrywać szczególną rolę w procesie edukacji na temat bezpiecznego korzystania z telefonów komórkowych oraz powinni zabezpieczyć aparaty telefoniczne swoich dzieci przed takimi szkodliwymi działaniami. Można też całkowicie zablokować dostęp do Internetu poprzez instalacje odpowiedniej aplikacji do blokowania Internetu w telefonie komórkowym. Należy być szczególnie ostrożnym przy instalowaniu darmowych aplikacji (tzw. in-app purchases ) na telefonie komórkowym. Może to oznaczać, że ściągnięte darmowe aplikacje (np. gra) pobierają opłaty za dodatkowe funkcje lub pakiety. Z tego powodu w miarę możliwości rodzice powinni wprowadzać odpowiednie zabezpieczenia, jeśli ich dzieci korzystają z takich aplikacji, oraz ustawić ograniczenia dla dokonywanych transakcji.
Raport Symantec z 2012 30 procent Polaków w ogóle nie korzysta z haseł dostępu do aplikacji, które zawierają poufne dane. 69 procent Europejczyków przyznaje, że przechowuje i ma dostęp do poufnych informacji za pośrednictwem swojego urządzenia mobilnego, w Polsce taki stan rzeczy deklaruje niemal 8 na 10 posiadaczy smartfonów i tabletów. Mimo to ponad jedna trzecia (35% Europejczyków oraz 32% Polaków) przyznaje się do niestosowania haseł w celu ochrony tych danych.
Wnioski końcowe Kluczowa kwestia: kształtowanie wiedzy w zakresie dopełniania obowiązku informacyjnego wśród twórców aplikacji, dystrybutorów oraz operatorów telekomunikacyjnych. Użytkownicy muszą zostać poinformowani przynajmniej o: tym, kim są (tożsamość oraz dane kontaktowe) konkretnych kategoriach danych osobowych, które twórcy aplikacji będą zbierać oraz przetwarzać tym, po co je przetwarzają (dla jakich dokładnie celów) czy dane będą ujawnione osobom trzecim trzecim tym, jak użytkownicy mogą wykorzystać swoje prawa odnośnie wycofania zgody oraz usunięcia danych
Wnioski końcowe Spełnienie obowiązku informacyjnego, krótka i zrozumiała informacja, dostosowana do wieku dziecka Obowiązek uzyskiwania zgody rodzicielskiej Wyraźne wskazanie celu oraz zakresu przetwarzania danych pochodzących od dzieci i na temat dzieci
Dziękuję za uwagę! dr Agata Jaroszek Centrum Badań Problemów Prawnych i Ekonomicznych Komunikacji Elektronicznej (CBKE) Wydział Prawa, Administracji i Ekonomii Uniwersytet Wrocławski