Grupa Robocza Artykuu 29 ds.

Ochrony Danych

00461/13/PL WP 202

Opinia 2/2013 w sprawie aplikacji mobilnych

Przyjta w dniu 27 lutego 2013 r.

Niniejsza Grupa Robocza zostaa powoana na mocy artykuu 29 Dyrektywy 95/46/WE. Jest to niezaleny europejski organ doradczy w sprawach ochrony danych i prywatnoci. Jego zadania opisane zostay w artykule 30 Dyrektywy 95/46/WE i artykule 15 Dyrektywy 2002/58/WE. Obsug Sekretariatu zapewnia Dyrekcja C (Prawa Podstawowe i Obywatelstwo Unii Europejskiej) Dyrekcji Generalnej ds. Sprawiedliwoci Komisji Europejskiej, B-1049 Bruksela, Belgia, Biuro nr MO-59 02/013. Strona internetowa: http://ec.europa.eu/justice_home/fsj/privacy/index_en.htm

Streszczenie Istniej setki tysicy rnych dostpnych aplikacji, pochodzcych z wielu sklepw z aplikacjami na kady typ inteligentnego urzdzenia. Kadego dnia do sklepw z aplikacjami jest dodawane ponad 1600 aplikacji. Statystyczny uytkownik smartphonea pobiera 37 aplikacji. Aplikacje mog by oferowane uytkownikowi kocowemu za niewielk lub adn opat oraz mie jedynie kilku lub wiele milionw uytkownikw. Aplikacje s w stanie zbiera wielkie iloci danych z urzdzenia (np.: dane przechowywane na urzdzeniu przez uytkownika, a take dane z innych czujnikw, wczajc lokalizacj) oraz przetwarza je w celu zapewnienia nowych oraz innowacyjnych usug uytkownikowi kocowemu. Jednake dane z tych samych rde mog by dalej przetwarzane, zwykle po to, aby zapewni dochody w sposb nieznany lub niepodany przez uytkownika kocowego. Twrcy aplikacji niewiadomi wymogw ochrony danych mog tworzy znaczne ryzyko dla ycia prywatnego oraz reputacji uytkownikw inteligentnych urzdze. Kluczowe zagroenia dla uytkownika kocowego odnonie ochrony danych osobowych stanowi poczenie braku przejrzystoci oraz wiadomoci odnonie rodzajw przetwarzania, ktre aplikacja moe podejmowa, poczone z brakiem wyranej zgody uytkownikw, zanim przetwarzanie bdzie miao miejsce. Sabe rodki bezpieczestwa, widoczny trend w kierunku pobierania maksymalnej iloci danych oraz elastycznoci celw, dla ktrych dane s dalej przetwarzane take przyczyniaj si do powstawania ryzyka dla ochrony prywatnoci w rodowisku aplikacji. Wysoki poziom ryzyka dla ochrony danych wywodzi si take ze stopnia fragmentaryzacji uczestnikw rynku aplikacji. Obejmuj oni: twrcw aplikacji, wacicieli aplikacji, sklepy z aplikacjami, systemy operacyjne oraz producentw urzdze (producentw systemw operacyjnych [OS] oraz urzdze), oraz inne strony trzecie, ktre mog by zaangaowane w zbieranie oraz przetwarzanie danych osobowych pochodzcych z inteligentnych urzdze, takie jak dostarczyciele aplikacji typu analytics oraz dostarczyciele reklam. Wikszo konkluzji oraz zalece niniejszej opinii skierowana jest do twrcw aplikacji (poniewa maj oni najwiksz kontrol nad dokadnym sposobem, w jaki przetwarzanie jest podejmowane a informacje prezentowane w aplikacji), jednake czsto w celu osignicia najwyszego standardu ochrony danych osobowych oraz ochrony prywatnoci musz oni wsppracowa z innymi stronami tworzcymi ekosystem aplikacji. Jest to szczeglnie istotne w odniesieniu do bezpieczestwa, gdzie acuch wielu podmiotw jest tak silny, jak jego najsabsze ogniwo. Wiele rodzajw danych dostpnych na inteligentnych urzdzeniach przenonych to dane osobowe. Odpowiednimi ramami prawnymi stosowanymi do aplikacji mobilnych jest dyrektywa o ochronie danych, w poczeniu z ochron urzdze mobilnych jako czci sfery prywatnej uytkownikw, okrelonej w dyrektywie o prywatnoci i cznoci elektronicznej. Zasady te maj zastosowanie do wszystkich aplikacji skierowanych do uytkownikw na terenie Unii Europejskiej, bez wzgldu na lokalizacj twrcy aplikacji czy sklepu z aplikacjami. W niniejszej opinii Grupa Robocza wyjania podstawy prawne, ktre maj zastosowanie do przetwarzania danych w rozwoju, dystrybucji oraz uywaniu aplikacji na inteligentnych urzdzeniach, skupiajc si na wymogach zgody, zasadach ograniczenia celu oraz minimalizacji przesyanych danych, potrzebie odpowiednich rodkw ochronnych, obowizku prawidowego poinformowania uytkownikw kocowych, ich prawach,

rozsdnych okresach przechowywania danych, a w szczeglnoci uczciwego przetwarzania danych uzyskiwanych od dzieci i na temat dzieci.

Spis treci 1. Wstp...................................................................................................................................... 5 2. Zagroenia dla ochrony danych ............................................................................................. 6 3. Zasady ochrony danych .......................................................................................................... 8 3.1. Prawo waciwe ................................................................................................................... 8 3.2. Dane osobowe przetwarzane przez aplikacje ...................................................................... 9 3.3 Podmioty zaangaowane w przetwarzanie danych ............................................................ 10 3.3.1 Twrcy aplikacji .............................................................................................................. 11 3.3.2 Producenci urzdze oraz OS ......................................................................................... 12 3.3.3. Sklepy z aplikacjami ...................................................................................................... 13 3.3.4. Podmioty trzecie ............................................................................................................. 14 3.4. Podstawy prawne............................................................................................................... 15 3.4.1. Zgoda uprzednia wzgldem instalacji oraz przetwarzania danych osobowych ............. 16 3.2.4. Podstawy prawne dla przetwarzania danych podczas wykorzystywania aplikacji ........ 18 3.5 Ograniczenie celu oraz minimalizacja zakresu danych ...................................................... 19 3.6. Bezpieczestwo ................................................................................................................. 20 3.7 Informacja .......................................................................................................................... 25 3.7.1. Obowizek poinformowania oraz wymagana tre ....................................................... 25 3.7.2. Forma informacji ............................................................................................................ 26 3.8. Prawa osb, ktrych dane dotycz .................................................................................... 28 3.9 Okresy przechowywania .................................................................................................... 29 3.10. Dzieci .............................................................................................................................. 29 4 Wnioski i zalecenia ............................................................................................................... 30

1. Wstp Aplikacje s programami komputerowymi czsto projektowanymi do konkretnych zada oraz skierowanymi na wybrany typ inteligentnych urzdze takich jak smartphoney, tablety oraz telewizje internetowe. Organizuj one informacje w sposb odpowiedni dla konkretnej charakterystyki urzdzenia i czsto cile wspdziaaj ze sprztem oraz systemem operacyjnym obecnym na urzdzeniu. Istniej setki tysicy rnych dostpnych aplikacji, pochodzcych z wielu sklepw z aplikacjami na kady typ inteligentnego urzdzenia. Aplikacje su wielu celom, wczajc w to wyszukiwanie w Internecie, komunikacj (e-mail, telefonia oraz przesyanie informacji przez Internet), rozrywk (gry, filmy oraz muzyka), portale spoecznociowe, usugi bankowe oraz usugi oparte na lokalizacji. Kadego dnia ponad 1600 aplikacji jest dodawanych do sklepw z aplikacjami.1 Statystyczny uytkownik smartphonea pobiera 37 aplikacji.2 Aplikacje mog by oferowane uytkownikowi kocowemu za niewielk lub adn opat oraz mie jedynie kilku lub wiele milionw uytkownikw. Stanowicy podstaw system operacyjny bdzie rwnie zawiera oprogramowanie lub struktury danych, ktre s istotne dla kluczowych usug urzdzenia mobilnego, np. ksika adresowa smartphonea. System operacyjny jest zaprojektowany w ten sposb, aby udostpni te komponenty aplikacjom poprzez ich interfejsy programowania aplikacji (API). API oferuj dostp do wielu czujnikw, ktre mog by dostpne na urzdzeniu. Czujniki te obejmuj: yroskop, kompas cyfrowy oraz miernik przyspieszenia zapewniajcy informacje o szybkoci oraz kierunku ruchu, przedni oraz tyln kamer nagrywajce obraz oraz zdjcia; a take mikrofon nagrywajcy dwik. Inteligentne urzdzenia mog zawiera take czujnik bliskoci.3 Inteligentne urzdzenia mog take czy si przez wiele interfejsw sieciowych, obejmujcych Wi-Fi, Bluetooth, NFC czy Ethernet. Wreszcie, dokadna lokalizacja moe by okrelona przez usugi geolokalizacyjne (jak opisano to w opinii Grupy Roboczej Artykuu 29 13/2011 w sprawie usug geolokalizacyjnych w inteligentnych urzdzeniach przenonych4). Rodzaj, dokadno oraz czstotliwo tych czujnikw danych rni si w zalenoci od urzdzenia oraz systemu operacyjnego. Poprzez API, twrcy aplikacji s w stanie zbiera takie dane w sposb cigy, uzyskiwa dostp oraz zapisywa dane kontaktowe, wysya emaile, SMSy lub informacje w portalach spoecznociowych, odczytywa/modyfikowa/kasowa zawarto kart SD, nagrywa dwik, wykorzystywa kamer oraz uzyskiwa dostp do zdj, odczytywa informacje n a temat stanu oraz tosamoci telefonu, zmienia oglne ustawienia systemu oraz zapobiega przejciu telefonu w stan upienia. API moe rwnie dostarcza informacji dotyczcych
1

Raport Conceivably Tech z dnia 19 sierpnia 2012 r., dostpny na stronie www.conceivablytech com/10283/business/apple-app-store-to-reach-1mapps-this-year-sort-of. Zacytowany przez Kamala D. Harris, Prokuratora generalnego Departamentu Sprawiedliwoci Kalifornii, Prywatno w cigej aktywnoci, Rekomendacje dla komrkowego ekosystemu, stycze 2013, http://oag.ca.gov/sites/all/files/pdfs/privacy/privacy_on_the_go.pdf 2 wiatowe oszacowanie z 2012 r. przygotowane przez ABI Research, http://www.abiresearch.com/press/smartphone-users-worldwide-will-download-37-apps-o 3 Czujnik, ktry wykrywa obecno przedmiotw bez fizycznego kontaktu. Patrz: http://www.w3.org/TR/2012/WD-proximity-20121206/ 4 Patrz: Opinia Grupy Roboczej 13/2011 w sprawie usug geolokacyjnych w inteligentnych urzdzeniach przenonych (maj 2011), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2011/wp185_en.pdf

samego urzdzenia poprzez jeden lub wicej unikalnych identyfikatorw oraz informacji na temat innych zainstalowanych aplikacji. Dane z tych rde mog by dalej przetwarzane, zwykle po to, aby zapewni dochody w sposb nieznany lub niepodany przez uytkownika kocowego. Celem niniejszej opinii jest wyjanienie ram prawnych majcych zastosowanie do przetwarzania danych osobowych w dystrybucji oraz wykorzystaniu aplikacji na inteligentnych urzdzeniach oraz rozwaenie dalszego przetwarzania, ktre moe mie miejsce poza aplikacj, takie jak wykorzystywanie zbieranych danych do tworzenia profili oraz wybierania uytkownikw docelowych. Opinia analizuje kluczowe ryzyka dla ochrony danych osobowych, zapewnia opis rnych zaangaowanych stron oraz podkrela rne obowizki prawne. Obejmuje to: twrcw aplikacji, sklepy z aplikacjami, producentw urzdze oraz Systemw Operacyjnych (producenci urzdze oraz OS), a take inne strony trzecie, ktre mog by zaangaowane w zbieranie oraz przetwarzanie danych osobowych, pochodzcych z inteligentnych urzdze, takich jak dostarczyciele progr amw typu analitycs oraz dostawcy reklam. Opinia skupia si na wymogach zgody, zasadach ograniczenia celu oraz minimalizacji iloci przesyanych danych, potrzebie odpowiednich rodkw ochronnych, obowizku prawidowego poinformowania uytkownikw kocowych, ich prawach, rozsdnych okresach przechowywania oraz, w szczeglnoci na uczciwym przetwarzaniu danych od i na temat dzieci. Zakres obejmuje wiele rnych typw inteligentnych urzdze, lecz w szczeglnoci skupia si na aplikacjach dostpnych na inteligentne urzdzenia mobilne. 2. Zagroenia dla ochrony danych Bliska interakcja z systemami operacyjnymi pozwala aplikacjom uzyskiwa dostp do znaczco wikszej iloci danych ni tradycyjne wyszukiwarki internetowe. 5 Aplikacje s zdolne zbiera due iloci danych z urzdzenia (dane o lokalizacji, dane przechowywane na urzdzeniu przez uytkownika oraz dane z innych czujnikw) oraz przetwarza te dane w celu zapewnienia nowych oraz innowacyjnych usug uytkownikowi kocowemu. Wysoki poziom ryzyka dla ochrony danych wywodzi si take ze stopnia fragmentaryzacji uczestnikw krajobrazu rozwoju aplikacji. Pojedyncza dana moe, w czasie rzeczywistym, by przekazana z urzdzenia w celu jej przetwarzania na cay wiat lub by przekopiowana przez acuch stron trzecich. Niektre z najbardziej znanych aplikacji s przetwarzane przez gwne przedsibiorstwa jednak wiele innych jest tworzone przez mae przedsibiorstwa. Pojedynczy programista z pomysem oraz niewielkimi lub zgoa adnymi zdolnociami w zakresie programowania moe dotrze do wiatowej publicznoci w krtkim okresie. Twrcy aplikacji niewiadomi wymogw ochrony danych mog tworzy znaczce ryzyko dla ycia prywatnego oraz reputacji uytkownikw inteligentnych urzdze. Rwnoczenie, usugi stron trzecich, takie jak reklamy, rozwijaj si w gwatownym tempie, i jeli s poczone w odpowiednim sposb z twrcami aplikacji, mog ujawnia znaczc ilo danych osobowych.
5

Wyszukiwarki internetowe maj take szerszy dostp do danych wraliwych uytkownikw kocowych urzdze, napdzane przez twrcom internetowych gier.

Kluczowe zagroenia dla uytkownika kocowego odnonie ochrony danych stanowi poczenie braku przejrzystoci oraz wiadomoci odnonie rodzajw przetwarzania, ktre aplikacja moe podejmowa, poczone z brakiem wyranej zgody uytkownikw, zanim przetwarzanie bdzie miao miejsce. Sabe rodki bezpieczestwa, widoczny trend w kierunku maksymalizacji zakresu danych oraz elastycznoci celw, dla ktrych dane s dalej przetwarzane take przyczynia si do powstawania ryzyk dla ochrony prywatnoci w rodowisku aplikacji. Wiele z tych ryzyk zostao ju zbadanych przez Federaln Komisj Handlu USA, Kanadyjski Urzd Komisarza ds. Prywatnoci oraz Prokuratora Generalnego Departamentu Sprawiedliwoci Stanu Kalifornia, ktre take odniosy si do tych kwestii. 6 Kluczowym ryzykiem z punktu widzenia ochrony danych jest brak przejrzystoci. Twrcy aplikacji s ograniczeni przez cechy udostpnione przez producentw systemw operacyjnych oraz sklepy z aplikacjami, jeli chodzi o zapewnienie penej informacji w odpowiednim czasie uytkownikowi kocowemu. Jednake nie wszyscy twrcy aplikacji korzystaj z tych cech, a wiele aplikacji nie ma polityki prywatnoci lub nie informuje potencjalnych uytkownikw w wyrany sposb odnonie rodzajw danych osobowych, ktre aplikacja moe przetwarza oraz celw przetwarzania. Brak przejrzystoci nie ogranicza si jedynie do bezpatnych aplikacji, lub tych pisanych przez niedowiadczonych twrcw. Zgodnie z ostatnimi badaniami jedynie 61,3% ze 150 najwaniejszych aplikacji posiada polityk prywatnoci.7 Brak przejrzystoci jest cile powizany z brakiem dobrowolnej i wiadomej zgody. Gdy tylko aplikacja zostaje pobrana, zgoda jest czsto zredukowana do okienek wskazujcych, e uytkownik kocowy zgadza si na warunki umowy, nawet bez zaoferowania opcji nie, dzikuj. Zgodnie ze studiami GSMA z wrzenia 2011 r., 92% uytkownikw aplikacji chce mie moliwo bardziej stopniowego wyboru. 8 Sabe rodki bezpieczestwa mog prowadzi do nieuprawnionego przetwarzania (wraliwych) danych osobowych, np. jeli twrca aplikacji staje si ofiar naruszenia ochrony danych lub jeli z samych aplikacji wyciekaj dane osobowe. Kolejnym zagroeniem dla prywatnoci jest lekcewaenie (przypadkowe lub intencjonalne) zasady ograniczenia celu, ktra wymaga, aby dane byy zbierane oraz przetwarzane jedynie dla okrelonych oraz legalnych celw. Dane osobowe zbierane przez aplikacje mog by szeroko dystrybuowane do duej liczby stron trzecich dla niezdefiniowanych lub elastycznych celw, takich jak badania rynkowe. To samo alarmujce lekcewaenie jest okazywane zasadzie minimalizacji iloci przetwarzanych

Zob. midzy innymi: raport FTC Naruszenia prywatnoci w urzdzeniach mobilnych, budowanie zaufania poprzez przejrzysto, luty 2013, http://www.ftc.gov/os/2013/02/130201mobileprivacyreport.pff, raport FTC Aplikacje mobilne dla dzieci: aktualne naruszenia prywatnoci s rozczarowujce, luty 2012 http://www.ftc.gov/os/2012/02/120216 mobile_apps_kids.pdf i jego kontynuacja w raporcie: Aplikacje mobilne dla dzieci: Naruszenia cigle nie podlegaj ocenie, grudzie 2012, http://www.ftc.gov/os/2012/12/121210mobilekidsappreport.pdf, Kanadyjskie biuro komisarza ds. prywatnoci, Moliwo zajcia: Dobre praktyki ochrony prywatnoci dla tworzenia aplikacji mobilnych, padziernik 2012, http://www.priv.gc.ca/information/pub/gd_app_201210_e.pdf, Kamala D. Harris, Prokurator Generalny Departamentu Sprawiedliwoci Kalifornii, Prywatno w cigej aktywnoci, Rekomendacje dla komrkowego ekosystemu, stycze 2013, http://oag.ca.gov/sites/all/files/pdfs/privacy/privacy_on_the_go.pdf 7 FPF, czerwiec 2012, Studium o aplikacjach mobilnych, http://www.futureofprivacy.org/wpcontent/uploads/Mobile-Apps-Study-June-2012.pdf 8 89% (uzytkownikw) uwaa za istotne, aby wiedzie kiedy ich dane osobowe s udostpnianie przez aplikacje oraz aby mie moliwo wyczenia lub wczenia tej funkcji. rdo: Perspektywa uytkownika dot. prywatnoci mobilnej http://www.gsma.com/publicpolicy/wpcontent/uploads/2012/03/futuresightuserperspectivesonuserprivacy.pdf

danych. Ostatnie badanie pokazao, e wiele aplikacji wyranie gromadzi dane ze smartphonew bez adnego znaczcego zwizku z widoczn funkcjonalnoci aplikacji.9 3. Zasady ochrony danych 3.1. Prawo waciwe Odpowiednie ramy prawne EU tworzy dyrektywa o ochronie danych (95/46/WE). Ma ona zastosowanie do kadego przypadku, gdzie wykorzystanie aplikacji na inteligentnych urzdzeniach obejmuje przetwarzanie danych osobowych osb fizycznych. W celu identyfikacji prawa waciwego kluczowa jest w pierwszej kolejnoci identyfikacja roli rnych zainteresowanych stron: identyfikacja administratora(-rw) przetwarzania przeprowadzanego przez aplikacje mobilne jest szczeglnie istotna w odniesieniu do prawa waciwego. Siedziba administratora jest decydujcym elementem powodujcym stosowanie prawa ochrony danych, chocia nie jest jedynym kryterium. Zgodnie z art. 1.1.a) dyrektywy o ochronie danych, prawo krajowe pastwa czonkowskiego jest waciwe odnonie wszystkich operacji przetwarzania w kontekcie prowadzenia przez administratora danych dziaalnoci gospodarczej na terytorium pastwa czonkowskiego. Zgodnie z art. 4.1. c) dyrektywy o ochronie danych, prawo krajowe pastwa czonkowskiego znajduje rwnie zastosowanie, jeli administrator nie prowadzi dziaalnoci gospodarczej na terytorium Wsplnoty, a do celw przetwarzania danych osobowych wykorzystuje rodki znajdujce si na terytorium wymienionego pastwa czonkowskiego. Jako e urzdzenie jest instrumentem w przetwarzaniu danych osobowych od i na temat uytkownika, kryterium to jest zwykle spenione.10 Jednake ma to zastosowanie jedynie wtedy, jeli administrator nie ma siedziby na terytorium UE. W rezultacie, kiedykolwiek strona zaangaowana w rozwj, dystrybucj lub dziaanie aplikacji jest uznana za administratora, strona taka jest odpowiedzialna, samodzielnie lub wsplnie z innymi, za zapewnienie zgodnoci z wszystkimi wymogami przedstawionymi w dyrektywie o ochronie danych. Okrelenie rl stron zaangaowanych w aplikacje mob ilne bdzie dalej przeanalizowane poniej w czci 3.3. Dodatkowo obok dyrektywy o ochronie danych, dyrektywa o prywatnoci i cznoci elektronicznej(220/58/WE, w brzmieniu nadanym jej przez dyrektyw 2002/58/WE) ustanawia szczegowe standardy dla wszystkich stron na wiecie, ktre chciayby gromadzi oraz mie dostp do zgromadzonych informacji na urzdzeniach uytkownikw w Europejskim Obszarze Gospodarczym (EOG). Zgodnie z art. 5 ust. 3 dyrektywy o prywatnoci i cznoci elektronicznej przechowywanie informacji lub uzyskanie dostpu do informacji ju przechowywanych w urzdzeniu kocowym abonenta lub uytkownika byo dozwolone wycznie pod warunkiem e dany abonent lub uytkownik wyrazi zgod zgodnie z dyrektyw 95/46/WE po otrzymaniu jasnych i wyczerpujcych informacji, midzy innymi o celach przetwarzania().

Wall Street Journal, Twoje aplikacje ci podgldaj, http://online.wsj.com/article/SB10001424052748704694004576020083703574602.html 10 W tym celu aplikacje generuj przesy danych osobowych do administratorw. To kryterium nie musi by spenione, jeli dane przetwarzane s tylko lokalnie, wycznie na urzdzeniu.

Podczas gdy wiele postanowie dyrektywy o prywatnoci i cznoci elektronicznej ma zastosowanie jedynie do dostawcw publicznie dostpnych usug komunikacji elektronicznej oraz dostawcw publicznych sieci komunikacyjnych we Wsplnocie Europejskiej, art. 5(3) znajduje zastosowanie do kadego podmiotu, ktry umieszcza oraz odczytuje informacje z inteligentnych urzdze. Znajduje on zastosowanie bez wzgldu na form podmiotu (t.j. niezalenie czy jest to podmiot publiczny czy prywatny, indywidualny programista czy wielka korporacja lub czy jest administratorem danych, przetwarzajcym czy stron trzeci). Wymogi zgody okrelone w art. 5 ust. 3 znajduj zastosowanie do kadej informacji, niezalenie od charakteru przechowywanych danych lub dostpu do nich. Zakres nie jest ograniczony do danych osobowych, informacj moe by kady rodzaj danych przechowywany na urzdzeniu. Wymogi zgody z art. 5 ust. 3 dyrektywy o prywatnoci i cznoci elektronicznej znajduj zastosowanie do usug oferowanych we Wsplnocie, to znaczy, do wszystkich osb fizycznych mieszkajcych na obszarze Europejskiego Obszaru Gospodarczego, niezalenie od lokalizacji dostawcy usug. Dla twrcw aplikacji istotne jest, aby wiedzie, e obie dyrektywy s prawami nakazujcymi, w tym, e prawa jednostek nie podlegaj przekazaniu oraz nie mona od nich odstpi poprzez umow. Oznacza to, e zastosowanie europejskiego prawa prywatnoci nie moe by wyczone przez jednostronn deklaracj lub rozwizania umowne.11 3.2. Dane osobowe przetwarzane przez aplikacje Wiele rodzajw danych przechowywanych lub generowanych przez inteligentne urzdzenia s danymi osobowymi. Zgodnie z motywem 24 dyrektywy o prywatnoci i cznoci elektronicznej: Wyposaenie terminali uytkownikw sieci cznoci elektronicznej oraz informacje przechowywane na tych urzdzeniach stanowi cz prywatnej sfery uytkownikw podlegajcej ochronie na mocy Europejskiej Konwencji o Ochronie Praw Czowieka i Podstawowych Wolnoci. Danymi osobowymi zawsze s dane, ktre odnosz si do osoby fizycznej, ktra w sposb bezporedni (np. poprzez nazwisko) lub poredni jest moliwa do zidentyfikowania przez administratora lub stron trzeci. Mog odnosi si do waciciela urzdzenia lub jakiejkolwiek innej osoby, np. dane kontaktowe przyjaci w ksice adresowej.12 Dane mog by zbierane oraz przetwarzane na urzdzeniu lub, po przekazaniu, wszdzie w infrastrukturze twrcw aplikacji lub stron trzecich, przez poczenie do zewntrznego API, w czasie rzeczywistym bez wiedzy uytkownika kocowego. Przykadami takich danych osobowych, ktre mog mie znaczcy wpyw na ycie prywatne uytkownikw i innych jednostek s: - lokalizacja
11 12

Np. owiadczenia, e tylko prawo jurysdykcji spoza EOG ma zastosowanie. Dane mog by (i) automatycznie generowane przez urzdzenie, na podstawie cech okrelonych wczeniej przez twrc OS i/oraz urzdzenia lub odpowiedniego dostawc telefonii komrkowej (np. dane geolokalizacyjne, ustawienia sieci, adres IP), (ii) wygenerowane przez uytkownika poprzez aplikacje (lista kontaktw, notatki, zdjcia); (iii) wygenerowane przez aplikacje (np. historia wyszukiwania)

- kontakty - unikalne identyfikatory urzdzenia oraz uytkownika (takie jak IMEI13, IMSI14, UDID15, oraz numer telefonu mobilnego) - tosamo osoby, ktrej dane dotycz - tosamo telefonu (tj. nazwa telefonu16) - karta kredytowa oraz dane dotyczce patnoci - logi pocze telefonicznych, SMS-w oraz natychmiastowych wiadomoci - historia przegldania - e-mail - informacje pozwalajce na uwierzytelnienie w usugach spoecznoci (szczeglnie usugi z cechami spoecznymi) - zdjcia oraz filmy - biometria (np. rozpoznawanie twarzy oraz odciski palcw) 3.3 Podmioty zaangaowane w przetwarzanie danych Wiele rnych podmiotw jest zaangaowanych w rozwj, dystrybucj oraz dziaanie aplikacji i na kadym z nich ci inne obowizki w zakresie ochrony danych. Istniej cztery gwne podmioty, ktre mog by wyrnione. S to: (i) twrcy aplikacji (wczajc wacicieli aplikacji)17, (ii) producenci urzdze oraz systemw operacyjnych (producenci OS oraz urzdze)18, (iii) sklepy z aplikacjami (dystrybutorzy aplikacji) oraz (iv) inne strony zaangaowane w przetwarzanie danych osobowych. W niektrych przypadkach obowizki zwizane z ochron danych s dzielone, w szczeglnoci wtedy jeli te same podmioty s zaangaowane w wielu etapach, np. jeli producenci OS kontroluj take sklep z aplikacjami. Jest take rola dla uytkownikw kocowych, ktrzy musz wzi odpowiedni odpowiedzialno za to, jak tworz oraz przechowuj dane osobowe na swoich urzdzeniach mobilnych. Jeli takie przetwarzanie suy wycznie celom osobistym lub domowym, dyrektywa o ochronie danych nie ma zastosowania (art. 3 ust. 2) i uytkownik jest wyczony od formalnych obowizkw w zakresie ochrony danych. Jednake jeli uytkownicy decyduj si dzieli danymi poprzez aplikacje, np. poprzez ich upublicznienia nieokrelonej licz bie osb19 wykorzystujcych aplikacje portali spoecznociowych, przetwarzaj informacje poza warunkami koniecznymi dla uznania ich za przetwarzane do celw domowych.20

13 14

International Mobile Equipment Identity International Mobile Subscriber Identity 15 Unique Device Identifier 16 Uytkownicy maj tendencj do nazwyania swoich telefonw prawdziwym imieniem: iPhone Jana Kowalskiego 17 Grupa robocza uywa wsplnej terminologii dla twrcw aplikacji, ale podkrelenia wymaga, e pojcia nie s ograniczone do programistw czy osb odpowiadajcych za techniczne tworzenie aplikacji, ale obejmuj take wacicieli aplikacji czyli spki i organizacje, ktre posiadaj aplikacje i definiuj ich cele. 18 W niektrych przypadkach, pojecie producent OS moe pokrywa si z pojciem twrca urzdzenia, a w innych przypadkach twrca urzdzenia jest innym podmiotem ni dostawca OS 19 Zobacz sprawy przed Europejskim Trybunaem Sprawiedliwoci, Sprawa C -101/01 Postpowanie karne przeciwko Bodil Lindqvist, wyrok z dnia 6 listopada 2003 r. oraz Sprawa C-73/07 Tietosuojavaltuutettu v Satakunnan Markkinaprssi Oy and Satamedia Oy, wyrok z dnia 16 grudnia 2008 r. 20 Zobacz opini Grupy Roboczej art. 29 5/2009 o sieciach spoecznociowych on -line http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp163_en.pdf

10

3.3.1 Twrcy aplikacji Twrcy aplikacji tworz aplikacje oraz/lub udostpniaj je uytkownikom kocowym. Kategoria ta obejmuje prywatne oraz publiczne organizacje, ktre zlecaj rozwj aplikacji a take te przedsibiorstwa oraz osoby fizyczne budujce oraz rozprowadzajce aplikacje. Projektowanie oraz/lub tworzenie przez powysze podmioty oprogramowania, ktre bdzie dziaa na smartphoneach decyduje o zakresie, w jakim aplikacje bd miay dostp oraz bd przetwarzay rne kategorie danych osobowych na urzdzeniach oraz/lub poprzez zdalne zasoby obliczeniowe (jednostki obliczeniowe twrcw aplikacji lub stron trzecich). W zakresie w jakim twrca aplikacji decyduje o celach i rodkach przetwarzania danych osobowych na inteligentnych urzdzeniach, jest administratorem danych zgodnie z definicj z art. 2(d) dyrektywy o ochronie danych. W tym przypadku, musi dziaa w zgodnoci z przepisami caej dyrektywy o ochronie danych. Kluczowe przepisy s wyjanione w ustpach 3.4. do 3.10. niniejszej opinii. Nawet jeli wyczenie do celw domowych znajduje zastosowanie do uytkownika, twrca aplikacji cigle bdzie odpowiedzialny jako administrator danych, jeli przetwarza dane dla swoich wasnych celw. Powysze ma zastosowanie np.: gdy aplikacja wymaga dostpu do caej ksiki adresowej w celu dostarczenia usugi (natychmiastowe wiadomoci, poczenia telefoniczne, poczenia wideotelefoniczne). Obowizki twrcy aplikacji bd znaczco ograniczone, jeli dane osobowe nie s przetwarzane, lub/i udostpniane poza urzdzenie, lub gdy twrca aplikacji przyj odpowiednie rodki organizacyjne i techniczne w celu zapewnienia, e dane s nieodwracalnie zanonimizowane oraz zagregowane na samym urzdzeniu, uprzednio do przekazania danych poza urzdzenie. W kadym przypadku, jeli twrca aplikacji uzyskuje dostp do informacji, ktra jest przechowywana na urzdzeniu, dyrektywa o prywatnoci i cznoci elektronicznej ma rwnie zastosowanie i twrca aplikacji musi zapewni zgodno z wymogami zgody okrelonymi w art. 5 ust. 3 dyrektywy o prywatnoci i cznoci elektronicznej. W zakresie, w jakim twrca aplikacji powierzy niektre lub wszystkie z faktycznie przetwarzanych danych stronie trzeciej i strona trzecia przyja rol administratora danych, twrca aplikacji musi zapewni zgodno z wszystkimi obowizkami odnoszcymi si do wykorzystania danych jako przetwarzajcy dane. Objoby to rwnie wykorzystanie dostawcw usugi przetwarzania w chmurze (np. dla zewntrznego przechowywania danych).21 W zakresie, w jakim twrca aplikacji pozwala na dostp do danych uytkownika przez strony trzecie (takie jak reklamy uzyskujce dostp przez sie do danych geolokalizacyjnych urzdzenia w celu dostarczenia reklamy) musi wdroy odpowiedni mechanizm w celu zapewnienia zgodnoci z wymogami ram prawnych UE. Jeli strona trzecia uzyskuje dostp do danych przechowywanych na urzdzeniu, obowizek uzyskania wiadomej zgody z art. 5(3) dyrektywy o prywatnoci i cznoci elektronicznej ma zastosowanie. Ponadto jeli strona trzecia przetwarza dane osobowe dla wasnych celw, moe by rwnie wspadministratorem danych razem z twrc aplikacji i musi z tego wzgldu zapewni
21

Zobacz opini Grupy roboczej 05/2012 o przetwarzaniu http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2012/wp196_en.pdf.

chmurze

(lipiec

2012),

11

poszanowanie zasady ograniczenia celu oraz obowizkw w zakresie zabezpiecze22 dla tej czci przetwarzania, co do ktrej decyduje o celach i rodkach. Jako e mog istnie rne rodzaje umw zarwno biznesowych, jak i technicznych pomidzy twrcami aplikacji a stronami trzecimi, odpowiednie obowizki kadej strony musz by okrelone dla poszczeglnych przypadkw, majc na wzgldzie konkretne okolicznoci danego przetwarzania. Twrca aplikacji musi uy bibliotek z oprogramowaniem oferujcym wsplne funkcjonalnoci, nalecych do strony trzeciej, takich jak np. biblioteka do platform gier sieciowych. Twrca aplikacji musi zapewni, e uytkownicy s wiadomi kadej operacji przetwarzania podejmowanej przez takie biblioteki i jeli taka sytuacja ma miejsce, e takie przetwarzanie danych jest zgodne z ramami prawnymi UE i gdy ma to zastosowanie, obejmuje otrzymanie zgody od uytkownika. W tym sensie, twrcy aplikacji musz zapobiega wykorzystywaniu funkcjonalnoci, ktre s ukryte przed uytkownikiem. 3.3.2 Producenci urzdze oraz OS Producenci urzdze oraz OS powinni rwnie by uwaani za administratorw danych (oraz gdy to odpowiednie za wsp-administratorw) dla kadych danych osobowych, ktre s przetwarzane dla ich wasnych celw, takich jak pynne dziaanie urzdzenia, bezpieczestwo itd. Obejmuje to dane generowane przez uytkownika (np. dane uytkownika przy rejestracji), dane automatycznie generowane przez urzdzenia (np. jeli urzdzenie posiada funkcjonalno phone home dla swojego otoczenia) oraz dane osobowe przetwarzane przez producentw urzdze lub OS na skutek instalacji lub wykorzystania aplikacji. Tam gdzie producenci OS urzdze oraz OS zapewniaj dodatkowe funkcjonalnoci, takie jak wsparcie lub zdaln lokalizacj, rwnie powinni by administratorami danych dla danych osobowych przetwarzanych w tym celu. Aplikacje, ktre wymagaj dostpu do geolokalizacji musz wykorzysta usugi lokalizacji OS. Kiedy aplikacja uywa geolokalizacji, OS moe zbiera dane osobowe, aby zapewni informacj geolokalizacyjn aplikacji oraz moe rozway uycie tych danych do poprawienia wasnej usugi lokalizacji. Dla tego ostatniego celu OS jest administratorem danych. Producenci urzdze oraz OS s rwnie odpowiedzialni za interfejs programowania aplikacji (API), ktry pozwala na przetwarzanie danych osobowych przez aplikacje na inteligentnych urzdzeniach. Twrca aplikacji bdzie w stanie uzyska dostp do tych cech oraz funkcji, ktre producenci urzdze oraz OS udostpni poprzez API. Jako e producenci urzdze oraz OS okrelaj rodki (oraz zakres) dostpu do danych osobowych, musz zapewni, e twrca aplikacji ma wystarczajco szczegow kontrol, tak aby dostp by udzielany jedynie do tych danych, ktre s niezbdne dla funkcjonowania aplikacji. Producenci urzdze oraz OS powinni take zapewni, aby dostp mg by odwoany w prosty oraz skuteczny sposb.

22

Zobacz opini grupy 2/2010 dotyczac reklamy behawioralnej on -line (czerwiec 2010), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_en.pdf oraz opini grupy 1/2010 dotyczc pojcia administratora i przetwarzajcego (luty 2010), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_en.pdf

12

Pojcie prywatnoci w fazie projektowania jest istotn zasad, do ktrej porednio odwoano si ju w dyrektywie o ochronie danych 23 oraz ktra, razem z prywatnoci domyln wyania si janiej w dyrektywie o prywatnoci i cznoci elektronicznej.24 Wymaga ona od producentw urzdze lub aplikacji uwzgldnienia ochrony danych od samego pocztku projektu. Prywatno w fazie projektowania jest wprost wymagana dla projektowania urzdze telekomunikacyjnych, jak okrelono to w dyrektywie w sprawie urzdze radiowych i kocowych urzdze telekomunikacyjnych.25 Z tego wzgldu producenci urzdze oraz OS, razem ze sklepami z aplikacjami, s odpowiedzialni za zapewnienie rodkw ochronnych oraz ochrony danych osobowych oraz ochrony prywatnoci uytkownikw aplikacji. Obejmuje to zapewnienie dostpnoci odpowiedniego mechanizmu w celu poinformowania oraz wyksztacenia uytkownika kocowego w zakresie tego, co aplikacje mog robi oraz do jakich danych mog uzyska dostp, jak rwnie zapewnienia odpowiednich ustawie dla uytkownikw aplikacji w celu zmiany parametrw przetwarzania.26 3.3.3. Sklepy z aplikacjami Kade z najpowszechniej uywanych inteligentnych urzdze posiada wasny sklep z aplikacjami i czsto ma miejsce sytuacja, e dany OS jest gboko zintegrowany z danym sklepem z aplikacjami. Sklepy z aplikacjami czsto pobieraj opaty wstpne za aplikacj i mog take wspiera zakupy app-in, co wymaga rejestracji uytkownikw i podania danych obejmujcych nazwisko, adres oraz dane finansowe. Te (bezporednio) moliwe do zidentyfikowania dane mog by poczone z danymi na temat zakupu oraz zachowaniem zwizanym z wykorzystaniem aplikacji oraz z danymi odczytywanymi lub generowanymi przez urzdzenie (takimi jak unikalny identyfikator). Dla przetwarzania takich danych osobowych sklepy z aplikacjami s prawdopodobnie administratorami danych, wczajc w to sytuacje, w ktrych przekazuj te informacje z powrotem do twrcw aplikacji. Jeli sklep z aplikacjami przetwarza pobranie aplikacji lub histori wykorzystania aplikacji przez uytkownika kocowego lub podobn funkcjonalno w celu przywrcenia uprzednio pobranych aplikacji, take jest administratorem danych przetwarzanych dla tego celu. Sklep z aplikacjami przechowuje rekordy danych potrzebnych do uwierzytelniania, jak rwnie histori poprzednich zakupw. Prosi take uytkownika o podanie numeru karty kredytowej, ktry bdzie przechowywany na koncie uytkownika. Sklep z aplikacjami jest administratorem danych dla tych operacji. Z drugiej strony, strony internetowe, ktre pozwalaj na pobieranie aplikacji w celu zainstalowania na urzdzeniu bez adnego uwierzytelnienia, mog uzna, e nie przetwarzaj
23 24

Zobacz motyw 46 i art. 17 Zobacz art. 14 (3) 25 Dyrektywa 1999/5/EC z dnia 9 marca 1999 w sprawie urzdze radiowych i kocowych urzdze telekomunikacyjnych oraz wzajemnego uznawania ich zgodnoci (OJ EC L 91/10, 7.4.1999). Art. 3.3 (c) stanowi Komisja moe zdecydowa, e aparatura naleca do niektrych klas sprztu lub aparatura okrelonego typu ma by tak skonstruowana, aby miaa wbudowane systemy zabezpieczajce w celu zapewnienia ochrony danych osobowych i prywatnoci uytkownika lub subskrybenta. 26 Grupa Robocza z radoci przyjmuje zalecenia FTC w tym zakresie, w raporcie Naruszenia prywatnoci w urzdzeniach mobilnych, do ktrego odniesiono si w przypisie 6, np. na stronie 15 () platformy znajduj si w unikalnej pozycji do zapewnienia cigego udostpniania pomidzy aplikacjami oraz zachca si je do tego. Spjnie z komentarzami z warsztatw, mogyby take rozway kwesti tego, czy te udostpnienia nie mogyby si odbywa w wielu momentach.

13

adnych danych osobowych. Sklepy z aplikacjami maj siln pozycj, aby umoliwi twrcom aplikacji dostarczanie odpowiednich informacji o aplikacji, wczajc w to rodzaj danych, ktry aplikacja moe przetwarza oraz cele dla jakich moe je przetwarza. Sklepy z aplikacjami mog wymusi te reguy poprzez ich polityk przyjmowania (opart o kontrol ex ante lub ex post). We wsppracy z producentami OS, sklepy z aplikacjami mog rozwin ramy/zasady w celu umoliwienia twrcom aplikacji dostarczenia spjnych oraz majcych znaczenie informacji (takich jak symbole reprezentujce pewne typy dostpu do okrelonych danych) oraz wywietla je w wyrany sposb w katalogu sklepu z aplikacjami. 3.3.4. Podmioty trzecie Istnieje wiele rnych podmiotw trzecich zaangaowanych w przetwarzanie danych poprzez wykorzystanie aplikacji. Na przykad wiele darmowych aplikacji jest opacanych przez reklamodawcw, ktrzy mog by (ale nie ograniczaj si do tego) reklamodawcami zajmujcymi si reklam kontekstualn lub spersonalizowan, umoliwion poprzez urzdzenia do ledzenia takie jak pliki Cookies czy inne identyfikatory urzdzenia. Reklama moe opiera si na banerze wewntrz aplikacji, reklamach zewntrznych, ktre s dostarczane przez zmodyfikowanie ustawie wyszukiwarki lub umieszczenie ikon na wywietlaczu urzdzenia mobilnego lub dostarczone przez spersonalizowan organizacj zawartoci aplikacji (np. sponsorowane rezultaty wyszukiwania). Reklamy dla aplikacji s generalnie dostarczane przez sieci reklamowe oraz podobnych porednikw, ktrzy mog by powizani, by tym samym podmiotem co producent OS lub sklep z aplikacjami. Jak wskazano w opinii GR29 2/201027, reklama on-line czsto obejmuje przetwarzanie danych osobowych, tak jak je zdefiniowano w art. 2 dyrektywy o ochronie danych, zinterpretowanym przez Grup Robocz Art. 29.28 Innymi przykadami stron trzecich s dostawcy programw typu analytics oraz dostawcy usug komunikacyjnych. Dostawcy programw typu analytics pozwalaj twrcom aplikacji uzyska wgld w informacje o wykorzystaniu, popularnoci oraz uytecznoci aplikacji. Dostawcy usug komunikacyjnych29 mog take odegra istotn rol w okrelaniu ustawie domylnych oraz aktualizacjach zabezpiecze wielu urzdze oraz mog przetwarza dane o wykorzystaniu aplikacji. Ich ustawienia (branding) mog mie konsekwencje dla moliwych technicznych oraz funkcjonalnych rodkw, ktre uytkownik moe zastosowa do ochrony jego danych osobowych. W porwnaniu do twrcw aplikacji, podmioty trzecie odgrywaj dwa typy rl: pierwsza to wykonywanie operacji dla wacicieli aplikacji, np. zapewnianie oprogramowania typu analytics w ramach aplikacji. W tym przypadku, jeeli dziaaj wycznie na rzecz twrcy
27

Opinia 2/2010 Grupy Roboczej Art. 29 w sprawie internetowej reklamy behawioralnej (czerwiec 2010) http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_pl.pdf 28 Zobacz take interpretacj pojcia danych osobowych w Opinii Grupy Roboczej Art. 29 4/2007 w sprawie pojcia danych osobowych, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_pl.pdf 29 Dostarczyciele usug komunikacyjnych podlegaj take sektorowym obowizkom w zakresie ochrony danych, ktre znajduj si poza zakresem tej opinii.

14

aplikacji i nie przetwarzaj danych dla swoich wasnych celw i/lub dziel dane pomidzy twrcami, prawdopodobnie dziaaj jako przetwarzajcy dane. Ich druga rola to zbieranie informacji pomidzy aplikacjami w celu dostarczenia dodatkowych usug: zapewnienia danych z programw typu analytics na wiksz skal (popularno aplikacji, spersonalizowane zalecenia) lub unikanie wywietlania tej samej reklamy temu samemu uytkownikowi. Jeeli strony trzecie przetwarzaj dane dla swoich wasnych celw, dziaaj jako administratorzy danych i z tego wzgldu musz dziaa zgodnie ze wszystkimi majcymi zastosowanie przepisami dyrektywy o ochronie danych.30 W przypadku reklamy behawioralnej administrator danych musi uzyska wan zgod uytkownika na zbieranie oraz przetwarzanie danych osobowych, skadajc si np. z analizy oraz zestawiania danych osobowych oraz tworzenia i/lub stosowania profili. Jak ju wyjaniono w Opinii Grupy Roboczej Art. 29 2/2012 na temat behawioralnej reklamy internetowej taka zgoda moe by w najlepszy sposb osignita poprzez zastosowanie uprzedniego mechanizmu zgody opt-in. Przedsibiorstwo zapewnia metryki wacicielom aplikacji oraz reklamodawcom poprzez wykorzystanie urzdze do ledzenia wbudowanych, przez twrc aplikacji, w aplikacj. Urzdzenia do ledzenia przedsibiorstwa mog by w ten sposb zainstalowane w wielu aplikacjach oraz na wielu urzdzeniach. Jedn z ich usug jest informowanie twrcw aplikacji, jakie inne aplikacje s uywane przez uytkownika, poprzez zbieranie unikalnego identyfikatora. Przedsibiorstwo okrela rodki (tj. urzdzenia do ledzenia) oraz cele ich urzdze przed zaoferowaniem ich twrcom aplikacji, reklamodawcom oraz innym, i w ten sposb dziaa jako administrator danych. W zakresie, w ktrym podmioty trzecie uzyskuj dostp lub przechowuj informacj na inteligentnych urzdzeniach, musz zapewni zgodno z wymogami zgody zawartymi w art. 5(3) dyrektywy o prywatnoci i cznoci elektronicznej. W tym kontekcie istotne jest, aby zauway, e na inteligentnych urzdzeniach uytkownicy maj generalnie ograniczone moliwoci zainstalowania oprogramowania, ktre kontrolowaoby przetwarzanie danych osobowych, jak jest to powszechne w rodowisku sieciowym pulpitu. Jako alternat yw dla wykorzystania Cookies http, strony trzecie czsto uzyskuj dostp do unikalnych identyfikatorw w celu wyrnienia (grup) uytkownikw oraz dostarczenia im ukierunkowanych usug, wczajc w to reklamy. Jako e wiele z tych identyfikatorw nie moe by skasowanych lub zmienionych przez uytkownikw (takich jak IMEL, IMSI, MSISDN31 oraz konkretne unikalne identyfikatory urzdzenia dodane przez system operacyjny) te podmioty trzecie maj potencja to przetwarzania znaczcych iloci danych osobowych bez kontroli sprawowanej przez uytkownika kocowego. 3.4. Podstawy prawne W celu przetwarzania danych osobowych wymagana jest podstawa prawna, jak wskazano w art. 7 dyrektywy o ochronie danych. Art. 7 wyrnia 6 podstaw prawnych dla przetwarzania danych: jednoznaczna zgoda osoby, ktrej dane dotycz; przetwarzanie jest konieczne dla realizacji umowy, ktrej stron jest osoba, ktrej dane dotycz; przetwarzanie jest konieczne
30 31

Opinia 2/2010 Grupy Roboczej Art. 29 w sprawie internetowej reklamy behawioralnej s. 14 Numer abonenta sieci komrkowej.

15

dla ochrony ywotnych interesw osb, ktrych dane dotycz; konieczno wykonania zobowizania prawnego; (dla instytucji publicznych) przetwarzanie danych jest konieczne dla realizacji zadania wykonywanego w interesie publicznym oraz konieczno uzasadnionego (biznesowego) interesu. W odniesieniu do przechowywania informacji lub uzyskiwania dostpu do informacji ju przechowywanej na inteligentnym urzdzeniu, art. 5 ust. 3 dyrektywy o e-prywatnoci (tj. wymg zgody na umieszczenie oraz uzyskanie informacji z urzdzenia) tworzy bardziej precyzyjne ograniczenia/restrykcje podstaw prawnych, ktre mog by wzite pod uwag. 3.4.1. Zgoda uprzednia wzgldem instalacji oraz przetwarzania danych osobowych Zgoda jest podstaw prawn dla aplikacji mobilnych. Kiedy aplikacja jest instalowana, informacja jest umieszczona na urzdzeniu uytkownika kocowego. Wiele aplikacji moe take uzyska dostp do danych przechowywanych na urzdzeniu, kontaktw w ksice adresowej, zdj, filmw oraz innych dokumentw osobistych. We wszystkich tych przypadkach art. 5 ust. 3 dyrektywy o prywatnoci i cznoci elektronicznej wymaga zgody od uytkownika, ktremu zostaa dostarczona jasna oraz wyczerpujca informacja, przed umieszczeniem oraz uzyskiwaniem informacji z urzdzenia. Istotne jest odnotowanie rnicy pomidzy zgod wymagan do umieszczenia jakiejko lwiek informacji i odczytaniem informacji z urzdzenia, oraz zgod potrzebn do posiadania podstawy prawnej przetwarzania rnych rodzajw danych osobowych. Chocia wymogi obu zgd maj zastosowanie w tym samym czasie, kada bazuje na innej podstawie prawn ej, obie podlegaj warunkom stanowicym, e maj by dobrowolne, okrelone oraz wiadome (tak jak to zdefiniowano w art. 2 (h) dyrektywy o ochronie danych). Z tego wzgldu dwa typy zgody mog by w praktyce poczone, w trakcie instalacji lub zanim aplikacja zacznie zbiera dane osobowe z urzdzenia, zakadajc, e uytkownik jest jednoznacznie wiadomy tego, na co si zgadza. Wiele sklepw z aplikacjami zapewnia twrcom aplikacji moliwo poinformowania uytkownikw kocowych na temat podstawowych cech aplikacji przed instalacj oraz wymaga pozytywnego dziaania uytkownika przed tym jak aplikacja zostanie pobrana oraz zainstalowana (tj. klikniciem przycisku zainstaluj). Chocia taka operacja moe, w niektrych warunkach, wypeni wymogi zgody z art. 5 ust. 3, nieprawdopodobne jest zapewnienie wystarczajcej informacji, tak aby mc uzna, e zgoda na przetwarzanie danych osobowych jest wana. Temat ten zosta ju poruszony w opinii GR29 15/2011 na temat definicji zgody.32 W kontekcie inteligentnych urzdze dobrowolna oznacza, e uytkownik musi mie wybr, czy akceptuje czy odrzuca przetwarzanie swoich danych osobowych. Z tego wzgldu, jeli aplikacja potrzebuje przetwarza dane osobowe, uytkownik musi mie swobod w wyraeniu zgody lub odmowy. Uytkownik nie powinien by stawiany w sytuacji, w ktrej na ekranie wywietla si jedynie opcja tak, zgadzam si w celu ukoczenia instalacji. Opcja anulowania lub inna wstrzymujca instalacj musi by dostpna.

32

Opinia Grupy Robczej Art. 29 w sprawie definicji zgody (lipiec 2011), http://ec.europa.eu/justice/dataprotection/article-29/documentation/opinion-recommendation/files/2011/wp187_pl.pdf

16

wiadoma oznacza, e osoba, ktrej dane dotycz musi mie wystarczajce informacje do swojej dyspozycji w celu podjcia odpowiedniej decyzji.33 W celu uniknicia jakiejkolwiek dwuznacznoci, taka informacja musi by udzielona przed przetwarzaniem jakikolwiek danych. Obejmuje to przetwarzanie danych, ktre moe mie miejsce podczas instalacji np. dla celw debugowania lub ledzenia. Tre oraz forma takich informacji jest rozwinita w paragrafie 3.7 niniejszej opinii. Konkretna oznacza, e wyraenie woli musi odnosi si do przetwarzania konkretnych danych lub ograniczonej kategorii danych. Wanie z tego powodu proste kliknicie przycisku instaluj nie moe by uznane za wan zgod na przetwarzanie danych osobowych, poniewa zgoda nie moe by sformuowan generalnie autoryzacj. W niektr ych przypadkach uytkownicy mog wyrazi stopniow zgod, gdy zgoda jest wymagana dla kadego rodzaju danych, do ktrego aplikacja chce uzyska dostp.34 Takie podejcie pozwala osign dwa istotne wymogi prawne, pierwszy odpowiedniego poinformowania uytkownika o wanych elementach usugi oraz drugi poproszenia o zgod na kady z nich. 35 Alternatywne podejcie twrcw aplikacji proszcych swoich uytkownikw o zaakceptowanie dugiego zestawu warunkw oraz/i polityki prywatnoci nie konstytuuje konkretnej zgody.36 Konkretno odnosi si take do praktyki ledzenia zachowania uytkownikw przez reklamodawcw oraz inne strony trzecie. Ustawienia domylne zapewnione przez OS oraz aplikacje musz by takie, aby unika jakiegokolwiek ledzenia, tak aby pozwoli uytkownikom wyrazi konkretn zgod na ten typ przetwarzania danych. Te ustawienia domylne nie mog by obchodzone przez strony trzecie, tak jak to obecnie czsto ma miejsce w przypadku mechanizmu nie led wdroonego w wyszukiwarkach. Przykady konkretnej zgody Aplikacja zapewnia informacje o pobliskich restauracjach. Aby bya zainstalowana, twrca aplikacji musi uzyska zgod. W celu uzyskania dostpu do danych geolokalizacyjnych, twrca aplikacji musi oddzielnie prosi o zgod, np. podczas instalacji lub przed uzyskaniem dostpu do geolokalizacji. Konkretno oznacza, e zgoda musi by ograniczona do okrelonego celu doradzenia uytkownikowi odnonie pobliskiej restauracji. Dane lokalizacyjne z urzdzenia mog z tego wzgldu by dostpne jedynie, kiedy uytkownik wykorzystuje aplikacje do tego celu. Zgoda uytkownika na przetwarzanie danych geolokalizayjnych nie pozwala aplikacji w sposb cigy zbiera danych z urzdzenia. To dalsze przetwarzanie wymagaoby dodatkowych informacji oraz odrbnej zgody. Podobnie, aby aplikacje komunikacyjne mogy uzyska dostp do listy kontaktw, uytkownik musi by w stanie wybra kontakty, z ktrymi uytkownik chce si komunikowa, zamiast udziela dostpu do caej ksiki adresowej (wczajc dane
33 34

Idem 20 Stopniowa zgoda oznacza, e jednostki mog konkretnie kontrolowa, ktre funkcje zwizane z przetwarzaniem dnaych osobowych przez aplikacj chc aktywowa. 35 Potrzeba takiej stopinowej zgody zostaa wprost poparta przez raport FTC (przypis 6) na stronach 15 -16 () platformy powinny rozway zapewnienie ujawnie w odpowiednim czasie oraz uzyskanie afirmatywnie wyraonej zgody na zbieranie innej treci, ktr konsumenci mog uzna za wraliw w wielu kontekstach, takie jak fotografie, kontakty, wpisy do kalendarza lub nagrania wideo i audio:. 36 Idem, s. 34-35 Oglna zgoda bez precyzyjnego wskazania celu przetwarzania na ktre osoba, ktrej dane dotycz si zgadza, nie jest zgodna z tym wymogiem. Oznacza to, e informacja na temat celu przetwarzania nie moe by zawarta w oglnych przepisach, a w odrbnej klauzuli zgody.

17

kontaktowe nie-uytkownikw tej usugi, ktrzy nie mogli zgodzi si na przetwarzanie danych ich dotyczcych). Wane jest jednake odnotowania, e nawet w przypadku gdy zgoda spenia trzy elementy opisane powyej, nie stanowi to licencji na nieuczciwe oraz niezgodne z prawem przetwarzanie. Jeeli cel przetwarzania danych jest nadmierny i/lub nieproporcjonalny, nawet jeeli uytkownik si zgodzi, twrca aplikacji nie bdzie mia wanej podstawy prawnej i prawdopodobnie bdzie narusza dyrektyw o ochronie danych. Przykad nadmiernego oraz niezgodnego z prawem przetwarzania danych Aplikacja dziaajca jako budzik oferuje opcjonaln funkcjonalno, w ktrej uytkownik moe wyda polecenie gosowe, aby budzik ucich, lub przeszed w stan drzemki. W tym przypadku zgoda na nagranie byaby ograniczona do momentu, w ktrym dzwoni budzik. Jakiekolwiek monitorowanie lub nagrywanie gosu, kiedy alarm nie dzwoni, byoby prawdopodobnie uznane za nadmierne i niezgodne z prawem. W przypadku zainstalowanych aplikacji na urzdzeniu w ramach ustawie domylnych (przed tym gdy urzdzenie stao si wasnoci uytkownika), lub innego przetwarzania podejmowanego przez OS, ktre opiera si na zgodzie jako podstawie prawnej, administrator danych musi uwanie rozway, czy zgoda ta jest naprawd wana. W wielu przypadkach oddzielny mechanizm zgody powinien by rozwaony, by moe kiedy aplikacja uruchamia si po raz pierwszy, w celu umoliwienia administratorowi danych penego poinformowania uytkownika kocowego. W przypadku szczeglnych kategorii danych, tak jak zostao to zdefiniowane w art. 8 dyrektywy o ochronie danych, zgoda musi by wyrana. Ostatni, ale nie najmniej wan kwesti jest to, e uytkownik musi mie moliwo odwoania swojej zgody w prosty i skuteczny sposb. Zostanie to rozwinite w czci 3.8 niniejszej opinii. 3.2.4. Podstawy prawne dla przetwarzania danych podczas wykorzystywania aplikacji Jak wyjaniono powyej, zgoda jest konieczn podstaw prawn, aby pozwoli twrcy aplikacji odczytywa oraz zapisywa informacje zgodnie z prawem i w konsekwencji przetwarza dane osobowe. W nastpujcej fazie, w trakcie uywania aplikacji, twrca aplikacji moe przywoa inne podstawy prawne dla innych typw przetwarzania danych, tak dugo jak nie obejmuje to przetwarzania danych wraliwych. Takimi podstawami prawnymi moe by konieczno wykonania umowy z osob, ktrej dane dotycz lub konieczno spenienia uzasadnionego interesu, art. 7 (b) oraz (f) dyrektywy o ochronie danych. Te podstawy prawne s ograniczone do przetwarzania niewraliwych danych osobowych okrelonego uytkownika, oraz mog by przywoane jedynie w zakresie, w ktrym niektre dane s cile konieczne do wykonania oczekiwanej usugi, lub w przypadku art. 7(f), tylko kiedy interesy takie podporzdkowane s interesom zwizanym z podstawowymi prawami i wolnociami osoby, ktrej dane dotycz.

18

Przykad umowy jako podstawy prawnej Uytkownik zgadza si na zainstalowanie aplikacji bankowoci mobilnej. W celu spenienia proby wykonania patnoci, bank nie musi prosi o oddzielne zgody uytkownika na ujawnienie jego nazwiska oraz numeru konta odbiorcy patnoci. To ujawnienie jest cile konieczne w celu wykonania umowy z konkretnym uytkownikiem, i z tego wzgldu bank posiada podstaw prawn w postaci art. 7 (b) dyrektywy o ochronie danych. To samo uzasadnienie ma zastosowanie do aplikacji komunikacyjnych; kiedy zapewniaj one kluczowe informacje takie jak nazwa konta, adres e-mail oraz numer telefonu do innej osoby fizycznej, z ktr uytkownik chce si skomunikowa, ujawnienie jest w oczywisty sposb konieczne do wypenienia usugi. 3.5 Ograniczenie celu oraz minimalizacja zakresu danych Kluczowymi zasadami stanowicymi podstaw dyrektywy o ochronie danych s ograniczenie celu oraz minimalizacja iloci pobieranych danych. Ograniczenie celu umoliwia uytkownikom dokonanie rozmylnego wyboru co do powierzenia stronie ich danych osobowych jako e bd wiedzieli, jak ich dane bd wykorzystywane, oraz bd w stanie polega na ograniczonym opisie celu, tak aby zrozumie dla jakich celw ich dane bd wykorzystane. Z tego wzgldu cele przetwarzania musz by dobrze zdefiniowane oraz zrozumiae dla przecitnego uytkownika bez zaawansowanej wiedzy w zakresie prawa lub techniki. Rwnoczenie ograniczenie celu wymaga, aby twrcy aplikacji mieli dobry ogld swojego przypadku biznesowego zanim rozpoczn zbieranie danych osobowych od uytkownikw. Dane osobowe mog by przetwarzane jedynie w uczciwy oraz zgodny z prawem sposb (art. 6(1)a dyrektywy o ochronie danych) oraz cele te musz by zdefiniowane przed rozpoczciem przetwarzania. Zasada ograniczenia celu wyklucza nage zmiany w kluczowych warunkach przetwarzania. Na przykad, jeeli aplikacja miaa za cel pierwotny umoliwianie uytkownikom wysyania maili do siebie nawzajem, ale twrca postanawia zmieni swj model biznesowy oraz poczy adresy email swoich uytkownikw z numerami telefonw uytkownikw innych aplikacji. Odpowiedni administratorzy danych musieliby wtedy poprosi indywidualnie kadego uytkownika o jednoznaczn zgod na ten nowy cel przetwarzania ich danych osobowych. Ograniczenie celu idzie rka w rk z zasad minimalizacji iloci pobieranych danych. W celu zapobiegnicia niepotrzebnemu i potencjalnie niezgodnemu z prawem przetwarzaniu danych, twrcy aplikacji musz ostronie rozway, jakie dane s cile konieczne do wykonania oczekiwanej funkcjonalnoci. Aplikacje mog uzyska dostp do wielu funkcjonalnoci urzdzenia i s w zwizku z tym zdolne do robienia wielu rzeczy, takich jak wysyanie ukrytych SMSw, uzyskiwania dostpu do zdj oraz caych ksiek adresowych. Wiele sklepw z aplikacjami wspiera (w p) zautomatyzowane uaktualnienia, w ktrych twrca aplikacji moe zintegrowa nowe cechy oraz uczyni je dostpnymi z niewielkim lub zgoa adnym uczestnictwem uczestnika kocowego.

19

Grupa Robocza podkrela w tym miejscu, e podmioty trzecie uzyskujce dostp do danych uytkownika poprzez aplikacje musz szanowa zasady ograniczenia celu oraz minimalizacji iloci pobieranych danych. Unikalne, czsto niezmienialne, identyfikatory urzdzenia nie powinny by uywane dla celu interesu opartego na reklamie i/lub dostarczaniu oprogramowania typu analytics, z uwagi na niemono odwoania zgody przez uytkownika. Twrcy aplikacji powinni zapobiega powolnemu rozprzestrzenianiu si funkcji poprzez niezmienianie przetwarzania z jednej wersji aplikacji na inn bez dania uytkownikowi aplikacji odpowiedniej informacji oraz moliwoci wycofania z przetwarzania lub z caej usugi. Uytkownikom powinno si take zaoferowa rodki techniczne w celu weryfikacji owiadcze na temat deklarowanych celw, poprzez umoliwienie im dostpu do informacji na temat ilo danych pobieranych przez aplikacj w porwnaniu do przepywu zapocztkowanego przez uytkownika. Informacja oraz kontrola uytkownika s kluczowymi cechami w celu zapewnienia poszanowania zasad minimalizacji zakresu danych oraz ograniczenia celu. Dostp do podstawowych danych na urzdzeniu poprzez API daje producentom urzdze oraz OS, a take sklepom z aplikacjami szans wymuszenia konkretnych regu oraz zaoferowania odpowiedniej informacji dla uytkownikw kocowych. Na przykad, producenci OS oraz urzdze powinni zaoferowa API z precyzyjnymi urzdzeniami kontrolnymi w celu rozrnienia kadego typu tych danych oraz zapewnienia, e twrcy aplikacji mog da dostpu jedynie do tych danych, ktre s cile koniczne dla (zgodnej z prawem) funkcjonalnoci ich aplikacji. Rodzaje danych danych przez twrcw aplikacji mog w ten sposb by w jasny sposb wywietlone w sklepie z aplikacjami, tak aby poinformowa uytkownikw przed instalacj. W tym zakresie, kontrola nad dostpem do danych przechowywanych na urzdzeniu opiera si na rnych mechanizmach: a) Producenci OS oraz urzdze oraz sklepy z aplikacjami definiuj zasady, ktre maj zastosowanie to dostarczania aplikacji do ich sklepw z aplikacjami: twrcy aplikacji musz szanowa te zasady lub ryzykowa brak obecnoci w tych sklepach.37 b) API systemw operacyjnych definiuj standardowe metody uzyskiwania dostpu do danych przechowywanych w telefonach, do ktrych aplikacje maj dostp. Maj rwnie wpyw na zbieranie danych po stronie serwera. c) Kontrola ex-ante kontrola majca miejsce przed zainstalowaniem aplikacji.38 d) Kontrola ex-post kontrola wdroona po zainstalowaniu aplikacji. 3.6. Bezpieczestwo Zgodnie z art. 17 dyrektywy o ochronie danych administratorzy danych oraz przetwarzajcy musz podj niezbdne rodki organizacyjne i techniczne w celu zapewnienia ochrony danych osobowych, ktre przetwarzaj. W rezultacie, rodki musz zosta podjte przez wszystkie podmioty zidentyfikowane w czci 3.3., kady zgodnie ze swoj rol oraz obowizkami.

37

Urzdzenia z usunitymi ograniczeniami pozwalaj na instalacje aplikacji spoza oficjalnych sklepw; urzdzenia z systemem Android rwnie pozwalaj na instalacj aplikacji z innych rde. 38 W szczeglnym przypadku pre-instalowania aplikacji.

20

Cel zgodnoci z wymogami bezpieczestwa jest dwojaki. Umoliwi uytkownikom kontrolowanie swoich danych w bardziej rygorystyczny sposb oraz wzmocni poziom zaufania do podmiotw, ktre przetwarzaj ich dane. Twrcy aplikacji, sklepy z aplikacjami oraz producenci OS oraz urzdze, a take podmioty trzecie w celu zapewnienia zgodnoci z odpowiednimi wymogami bezpieczestwa jako administratorzy danych, musz wzi pod uwag zasady prywatnoci w fazie projektowania oraz prywatnoci w fazie ustawie domylnych. Wymaga to nieustannej oceny zarwno istniejcych, jak i przyszych ryzyk dla prywatnoci, wdroenia oraz ewaluacji skutecznych rodkw zapobiegawczych, wczajc w to minimalizacj iloci pobieranych danych. Twrcy aplikacji Istnieje wiele publicznie dostpnych wytycznych dotyczcych bezpieczestwa aplikacji mobilnych opublikowanych przez producentw OS oraz urzdze i niezalenych podmiotw trzecich, jak np. ENISA.39 Poza zakresem niniejszej opinii ley przegld najlepszych praktyk w zakresie bezpieczestwa w rozwoju aplikacji; jednake GR wykorzystuje t szans na przegld tych, ktre mog mie potencjalnie zy wpyw na prawa podstawowe uytkownikw aplikacji. Istotn decyzj przed zaprojektowaniem aplikacji jest okrelenie, gdzie dane bd przechowywane. W niektrych przypadkach dane uytkownikw s przechowywane na urzdzeniach, jednake twrcy aplikacji mog take wykorzysta architektur serwera klienta. Oznacza to, e dane osobowe s przekazywane lub kopiowane do systemw dostawcy usugi. Przechowywanie oraz przetwarzanie danych na urzdzeniu daje uytkownikom kocowym wiksz kontrol nad tymi danymi, np. poprzez pozwolenie im na usunicie danych, jeli wycofuj zgod na ich przetwarzanie. Jednake bezpieczne przechowywanie danych w odlegej lokalizacji moe pomaga w odzyskaniu danych w wyniku zgubienia lub kradziey urzdzenia. Porednie metody s take moliwe. Twrcy aplikacji musz zdefiniowa jasne polityki dotyczce tego, jak oprogramowanie jest rozwijane oraz dystrybuowane. Jest tu take rola dla producentw OS oraz urzdze w promowaniu bezpiecznego przetwarzania danych przez aplikacje, ktre bdzie rozwinite poniej. Po drugie, twrcy aplikacji oraz sklepy z aplikacjami musz zaprojektowa oraz wdroy rodowisko przyjazne, z narzdziami zapobiegajcymi rozszerzaniu si zoliwych aplikacji oraz pozwalajcymi wszystkim aplikacjom atwo si instalowa oraz odinstalowywa. Dobre praktyki, ktre mog by wdroone podczas projektowania aplikacji obejmuj minimalizacj wierszy oraz skomplikowania kodu, oraz wdraania punktw kontrolnych, tak aby wykluczy moliwo, e dane bd naraone lub przekazane w niezamierzony sposb. Ponadto wszelkie dane wejciowe powinny by uwierzytelniane, tak aby zapobiec przepenieniu bufora lub atakom. Inne mechanizmy bezpieczestwa warte wspomnienia to odpowiednia strategia zarzdzania uaktualnieniami zabezpiecze, oraz wykonywanie regularnego, niezalenego audytu systemw zabezpiecze. Dodatkowo kryteria tworzenia aplikacji powinny obejmowa wprowadzenie zasady najmniejszego uprzywilejowania w fazie
39

ENISA Wytyczne dotyczce rozwoju zabezpiecze smartphonew: http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-applications/smartphone-security1/smartphone-secure-development-guidelines

21

ustawie domylnych, gdzie aplikacjom umoliwia si dostp jedynie do tych danych, ktrych naprawd potrzebuj do wykonania funkcjonalnoci dostpnej dla uytkownika. Twrcy aplikacji oraz sklepy z aplikacjami powinny take zachca uytkownikw, z odpowiednimi ostrzeeniami, do uzupeniania tych dobrych praktyk projektowania poprzez zgodne z prawem dziaanie uytkownikw, takie jak aktualizowanie ich aplikacji do najnowszej dostpnej wersji, oraz przypomnienia o unikaniu ponownego wykorzystania hasa w rnych serwisach. Podczas fazy projektowania aplikacji, twrcy aplikacji musz take podj rodki w celu zapobieenia nieuprawnionemu dostpowi do danych osobowych poprzez zapewnienie, e dane s chronione zarwno podczas przepywu, jak i wtedy gdy s przechowywane, jeli ma to zastosowanie. Aplikacje mobilne powinny by uruchamiane w konkretnych lokalizacjach pamici urzdzenia (sanboxes40), w celu zredukowania konsekwencji zoliwych aplikacji/zoliwego oprogramowania. W bliskiej wsppracy z producentami OS oraz/i sklepami z aplikacjami, twrcy aplikacji musz wykorzystywa dostpne mechanizmy, ktre pozwalaj uytkownikom na ogld tego, jakie dane s przetwarzane przez ktre aplikacje, oraz wybirczo udziela im pozwolenia oraz je wycofa. Wykorzystywanie ukrytych funkcjonalnoci nie powinno by dozwolone. Twrcy aplikacji musz ostronie rozway swoje metody identyfikacji uytkownikw oraz uwierzytelniania. Nie powinni uywa staych (konkretnych dla urzdzenia) identyfikatorw, ale zamiast tego uywa identyfikatorw o niskim poziomie entropii lub tymczasowych identyfikatorw urzdzenia, aby unikn ledzenia uytkownikw w czasie. Przyjazne prywatnoci mechanizmy uwierzytelniania powinny by rozwaone. Podczas uwierzytelniania uytkownikw twrcy aplikacji musz powici uwag zarzdzaniu identyfikatorami oraz hasami uytkownikw. Te ostatnie musz by przechowywane w zaszyfrowanej formie oraz w sposb bezpieczny, taki jak chronione kluczem kryptograficznym funkcje skrtu. Udostpnienie uytkownikom testu pozwalajcego na okrelenie odpornoci wybranych hase jest rwnie uyteczn technik promujc uywanie lepszych hase (test entropii). Kiedy to odpowiednie (dostp do danych wraliwych, ale take do zasobw, za ktre trzeba paci) kolejne uwierzytelnienie mogoby zosta przewidziane, take przy uyciu wielu czynnikw oraz rnych kanaw (np. kod dostpu wysany przez SMS) i/lub wykorzystanie danych uwierzytelniajcych poczonych raczej z uytkownikiem ni z urzdzeniem kocowym. Take podczas wybierania identyfikatorw sesji, powinno si stosowa nieprzewidywalny tekstowy typ danych, moliwie w poczeniu z informacj kontekstualn, tak jak data i czas, ale rwnie adresem IP lub danymi geolokalizacyjnymi. Twrcy aplikacji powinni by wiadomi wymogw przedstawionych w dyrektywie o prywatnoci i cznoci elektronicznej w odniesieniu do narusze ochrony danych osobowych oraz potrzeby proaktywnego informowania uytkownikw. Cho obecnie wymogi te znajduj zastosowanie jedynie do dostawcw publicznie dostpnych usug komunikacyjnych oczekuje si, e obowizek ten zostanie rozcignity na wszystkich administratorw danych (oraz przetwarzajcych dane) poprzez przysze rozporzdzenie o ochronie danych w brzmieniu propozycji Komisji (COM 2012/0011/COD). Wzmacnia to dalej potrzeb posiadania caociowego planu zabezpiecze oraz jego nieustannej ewaluacji, pokrywajcego zbieranie, przechowywanie oraz przetwarzanie jakichkolwiek
40

Piaskownica mechanizm bezpieczestwa oddzielajcy uruchomione programy.

22

danych osobowych, tak aby zapobiec takim naruszeniem ochrony danych oraz unikn cikich kar pieninych przewidzianych w takich przypadkach. Plan zabezpiecze, midzy innymi, musi take zajmowa si zarzdzaniem podatnoci oraz terminowym oraz bezpiecznym udostpnianiem godnych zaufania aktualizacji zwalczajcych bdy. Odpowiedzialno twrcw aplikacji za bezpieczestwo ich produktw nie koczy si z dostarczeniem dziaajcej wersji na rynek. Aplikacje mog, jak kade oprogramowanie, cierpie na skutek bdw w zabezpieczeniach oraz podatnoci, twrcy aplikacji musz rozwin uaktualnienia dla nich oraz dostarczy je tym podmiotom, ktre mog udostpni je uytkownikom lub im samym. Sklepy z aplikacjami Sklepy z aplikacjami s wanymi porednikami pomidzy uytkownikami kocowymi a twrcami aplikacji i powinny zapewni du liczb mocnych oraz skutecznych punktw kontrolnych dla aplikacji, przed wpuszczeniem ich na rynek. Powinny one zapewni informacj na temat tych punktw, ktre rzeczywicie ustanawiaj oraz zaczy informacj, jaki typ punktw kontrolnych dotyczcych zgodnoci z ochron danych stosuj. Chocia rodek ten nie jest w 100% skuteczny w eliminowaniu rozprzestrzeniania zoliwych aplikacji, statystyki wskazuj, e praktyka ta w wyrany sposb redukuje wystpowanie zoliwych funkcjonalnoci w oficjalnych sklepach z aplikacjami.41 W celu radzenia sobie z du liczb aplikacji, ktre codziennie s przekazywane, proces ten moe skorzysta na zastosowaniu automatycznych narzdzi do analizy, jak rwnie na wdroeniu kanaw wymiany informacji pomidzy ekspertami ds. bezpieczestwa oraz specjalistami ds. programowania, a take skutecznych procedur oraz polityk w celu radzenia sobie ze zgoszonymi problemami. Dodatkowo do przegldu aplikacji przed dopuszczeniem ich do sklepu z aplikacjami, aplikacje powinny by poddane mechanizmowi publicznej reputacji. Aplikacje nie powinny by oceniane tylko przez uytkownikw na podstawie tego, jak s fajne, lecz take na podstawie ich funkcjonalnoci, ze specjalnym odniesieniem do prywatnoci oraz mechanizmw bezpieczestwa. Rwnie mechanizm reputacji powinien by zaprojektowany w taki sposb, aby zapobiega faszywym ocenom. Mechanizmy kwalifikacji oraz reputacji dla aplikacji mog take okaza si skuteczne w budowaniu wzajemnego zaufania pomidzy rnymi podmiotami, szczeglnie jeli dane s wymieniane przez dugi acuch stron trzecich. Sklepy z aplikacjami czsto maj wdroon metod zdalnego odinstalowywania zoliwych lub niezabezpieczonych aplikacji. Mechanizm ten, jeli nie jest poprawnie zaprojektowany, moe stanowi przeszkod w uprawnieniu uytkownikw do utrzymania cilejszej kontroli nad ich danymi. rodki przyjazne prywatnoci oznaczaj dla sklepu z aplikacjami, e zdalne odinstalowanie aplikacji powinno by oparte o poinformowanie oraz zgod uytkownika. Co wicej, z bardziej praktycznego punktu widzenia, kanay sprzenia zwrotnego powinny by udostpnione uytkownikom w celu raportowania problemw z bezpieczestwem ich aplikacji oraz skutecznoci jakiejkolwiek zdalnej procedury usuwania.

41

Hej Ty, Spadaj z mojego rynku: Wykrywanie zoliwyc h aplikacji na oficjalnym oraz alternatywnym rynku Androida, Y. Zhou et. Al., Sympozjum na temat sieci oraz dystrybuowanych systemw zabezpiecze (NDSS), 2012

23

Tak jak twrcy aplikacji, sklepy z aplikacjami powinny by wiadome przyszego obowizku powiadamiania o naruszeniu ochrony danych osobowych oraz cile wsppracowa z twrcami aplikacji w celu zapobieenia tym naruszeniom. Producenci urzdze oraz OS Producenci urzdze oraz OS s rwnie wanymi graczami w zdefiniowaniu minimalnych standardw oraz najlepszych praktyk pomidzy twrcami aplikacji, nie tylko w zakresie bezpieczestwa podstawowego oprogramowania oraz API, ale rwnie odnonie narzdzi, wytycznych oraz materiaw, ktre stanowi punkt odniesienia, udostpnianych przez nich. Producenci urzdze oraz OS powinni udostpni silny oraz dobrze znany algorytm szyfrowania oraz wspiera odpowiedni dugo kluczy. Powinni rwnie ustanowi silny i bezpieczny mechanizm uwierzytelniania dostpny dla twrcw aplikacji (np. wykorzystanie certyfikatw podpisanych przez zaufane instytucje certyfikujce w celu weryfikacji uwierzytelniania zdalnych zasobw). Pozwolioby to take unikn potrzeby dla twrcw aplikacji rozwijania wasnych mechanizmw uwierzytelniania. W praktyce jest to czsto sabo implementowane i moe stanowi powan podatno.42 Dostp do danych osobowych oraz ich przetwarzanie przez aplikacje powinny by zarzdzane poprzez wbudowane w API klasy oraz metody zapewniajce odpowiednie punkty kontrolne oraz rodki ochronne. Producenci urzdze oraz OS powinni zapewni, e metody oraz funkcje pozwalajce na dostp do danych osobowych zawieraj cechy nakierowane na wdroenie proby o stopniow zgod. Podobnie, powinno si podj dziaania w celu wykluczenia lub ograniczenia dostpu do danych osobowych poprzez wykorzystanie funkcji niskiego poziomu lub innych rodkw, ktre mogyby obej punkty kontroli oraz rodki ochronne wdroone do API. Producenci urzdze oraz OS musz take rozwin jasne cieki audytu w urzdzeniach, takie, aby uytkownicy kocowi mogli jasno zobaczy, ktre aplikacje miay dostp do ich danych na ich urzdzeniach. Wszystkie strony musz odpowiada szybko na podatnoci w obszarze bezpieczestwa w odpowiednim czasie, tak aby uytkownicy kocowi nie byli w niepotrzebny sposb naraeni na braki w dziedzinie bezpieczestwa. Niestety niektrzy producenci urzdze oraz OS (a take operatorzy telekomunikacyjni, kiedy dystrybuuj urzdzenia markowe) nie zapewniaj dugoterminowego wsparcia dla OS, pozostawiajc uytkownikw niezabezpieczonymi przed dobrze znanymi podatnociami w dziedzinie bezpieczestwa. Producenci urzdze oraz OS, wsplnie z twrcami aplikacja, musz od razu zapewni uytkownikom informacj na temat okresu, w ktrym mog oni liczy na regularne uaktualnienia dotyczce bezpieczestwa. Powinni take poinformowa uytkownikw najszybciej jak to moliwe o tym, e kwestia zwizana z bezpieczestwem wymaga uaktualnienia.

42

Wskazano ostatnio, e brak wizualnych indykatorw bezpieczestwa dla wykorzystania SSL/TLS ora z nieodpowiednie wykorzystanie SSL/TLS moe by wykorzystane do wywoania atakw Man -in-theMiddle (MITM). czna zainstalowana baza aplikacji z potwierdzonymi podatnociami na ataki MITM obejmuje kilka milionw uytkownikw, zgodnie z ostatnimi studiami. Dlaczego Ewa oraz Mallory kochaj Androida. Analiza systemu zabezpiecze SSL Androida, Bernd Freisleben and Matthew Smith, 19 konferencja ACM na temat komputerw oraz bezpieczestwa komunikacyjnego (ACM CCS 2012).

24

Strony trzecie Powysze cechy bezpieczestwa oraz rozwaania musz by take zastosowane przez strony trzecie, kiedy zbieraj one dane osobowe i przetwarzaj je dla wasnych celw, przede wszystkim przez reklamodawcw oraz dostarczycieli oprogramowania typu analytics. Obejmuje to bezpieczn transmisj oraz zaszyfrowane przechowywanie unikalnego identyfikatora urzdzenia oraz uytkownika aplikacji oraz innych danych osobowych. 3.7 Informacja 3.7.1. Obowizek poinformowania oraz wymagana tre Zgodnie z art. 10 dyrektywy o ochronie danych, kada osoba, ktre dane dotycz ma prawo zna tosamo administratora danych, ktry przetwarza jej dane osobowe. Dodatkowo, w kontekcie aplikacji, uytkownik kocowy ma prawo wiedzie, jakie rodzaje danych osobowych s przetwarzane oraz dla jakich celw dane maj by uyte. Jeeli dane osobowe uytkownika s zbierane od innych aktorw w ekosystemie aplikacji (opisanych w czci 3.3. niniejszej opinii), uytkownik kocowy, zgodnie z art. 11 dyrektywy o ochronie danych, take ma prawo do bycia poinformowanym o takim przetwarzaniu, w taki sam sposb jak to opisano. Z tego wzgldu odpowiedni administrator danych w przypadku przetwarzania danych osobowych musi poinformowa potencjalnych uytkownikw przynajmniej o: - tym, kim s (tosamo oraz dane kontaktowe) - konkretnych kategoriach danych osobowych, ktre twrcy aplikacji bd zbiera oraz przetwarza - tym, po co je przetwarzaj (dla jakich dokadnie celw) - czy dane bd ujawnione stronom trzecim - tym, jak uytkownicy mog wykorzysta swoje prawa odnonie wycofania zgody oraz usunicia danych. Dostpno tych informacji o przetwarzaniu danych osobowych jest kluczowa w celu uzyskania zgody od uytkownika na przetwarzanie danych. Zgoda moe by wana jedynie wtedy, gdy osoba zostaa poinformowana o kluczowych elementach przetwarzania danych. Zapewnianie tych informacji po tym jak aplikacja zacza przetwarza dane osobowe (co czsto zaczyna si w trakcie instalowania) nie moe by uznane za wystarczajce i jest prawnie niewane. W zgodzie z raportem FTC, Grupa Robocza podkrela potrzeb zapewnienia informacji w momencie, ktry ma znaczenie dla konsumenta, tu przed zbieraniem takich informacji przez aplikacje. Powiedzenie, jakie dane s przetwarzane, jest szczeglnie wane, biorc pod uwag szeroki dostp, jaki generalnie maj aplikacje do czujnikw oraz struktur danych na urzdzeniu, gdzie w wielu przypadkach dostp taki nie jest intuicyjnie wyczuwalny. Odpowiednie informacje maj take kluczowe znaczenie, kiedy aplikacje przetwarzaj specjalne kategorie danych osobowych, np. o stanie zdrowia, przekonaniach politycznych, orientacji seksualnej itp. Wreszcie twrcy aplikacji powinni jasno odrni obligatoryjne oraz opcjonalne informacje i system powinien pozwala uytkownikowi na odmwienie dostpu do opcjonalnych informacji, przy uyciu przyjaznych prywatnoci ustawie domylnych. W odniesieniu do tosamoci administratora danych, uytkownicy potrzebuj wiedzy na temat tego, kto jest prawnie odpowiedzialny za przetwarzanie ich danych osobowych oraz jak uzyska kontakt z administratorem. W innym przypadku nie mog oni wykonywa swoich

25

praw, takich jak prawo dostpu do danych (zdalnie) przechowywanych na ich temat. Z uwagi na sfragmentaryzowany charakter krajobrazu aplikacji, kluczowe jest to, aby kada aplikacja miaa pojedynczy punkt kontaktowy, biorcy odpowiedzialno za cae przetwarzanie danych, ktre odbywa si za porednictwem aplikacji. Nie mona pozostawi uytkownikowi kocowemu wyszukiwania powiza pomidzy twrc aplikacji a innymi stronami przetwarzajcymi dane osobowe przez aplikacje. W odniesieniu do celu (-w), uytkownicy kocowi musz by w odpowiedni sposb poinformowani, ktre dane na ich temat s gromadzone oraz dlaczego. Uytkownicy powinni by take poinformowani w jasny sposb oraz przy uyciu prostego jzyka, czy ich dane mog by ponownie wykorzystane przez inne strony, a jeli tak, dla jakich celw. Elastyczne cele, takie jak innowacja produktw, s nieodpowiednie, jeli chodzi o poinformowanie uytkownikw. Powinno by to jasno powiedziane, jeeli uytkownicy maj si zgodzi na dzielenie danych ze stronami trzecimi dla celw reklamowych oraz/i celw zwizanych z dziaaniem oprogramowania typu analytics. Na sklepach z aplikacjami ciy istotny obowizek zapewnienia, e informacje istniej i s atwo dostpne dla kadej aplikacji. Na sklepach z aplikacjami ciy istotny obowizek zapewnienia odpowiedniej informacji. Wykorzystanie znakw wizualnych lub ikon dotyczcych wykorzystania danych jest silnie rekomendowane w celu uwiadomienia uytkownikw odnonie rodzajw przetwarzania danych. Dodatkowo do wymienionego powyej minimalnego zakresu informacji, koniecznego w celu uzyskania zgody od uytkownika aplikacji, Grupa Robocza majc na uwadze uczciwe przetwarzanie danych osobowych, mocno doradza administratorom danych podanie uytkownikom take informacji na temat: - aspektw proporcjonalnoci rodzajw zbieranych danych, lub danych do ktrych uzyskuj dostp na urzdzeniu - okresw przechowywania danych - rodkw bezpieczestwa stosowanych przez administratora danych Grupa Robocza zaleca take twrcom aplikacji wczenie informacji na temat ich polityki prywatnoci dedykowanej uytkownikom europejskim, dotyczcej tego w jaki sposb aplikacja spenia wymogi europejskiego prawa ochrony danych, obejmujc moliwe przekazywanie danych osobowych z Europy do np. USA, oraz tego, czy i jak aplikacje speniaj w takim przypadku wymogi programu Bezpiecznej Przystani. 3.7.2. Forma informacji Zasadniczy zakres informacji na temat przetwarzania danych osobowych musi by dostpny dla uytkownikw przed instalacj aplikacji poprzez sklep z aplikacjami. Po drugie, odpowiednia informacja na temat przetwarzania danych musi by take dostpna w aplikacji, po instalacji. Jako wsp-administrator wsplnie z twrcami aplikacji w odniesieniu do informacji, sklepy z aplikacjami musz zapewni, e kada aplikacja zapewnia kluczowe informacje na temat przetwarzania danych osobowych. Powinny one sprawdzi hyperlinki do zaczon ych stron z informacj na temat prywatnoci oraz usun aplikacje z niedziaajcymi linkami lub z innego powodu niedostpnymi informacjami na temat przetwarzania danych.

26

Grupa Robocza zaleca, aby informacja na temat przetwarzania danych osobowych bya take dostpna oraz atwa do zlokalizowania, np. wewntrz sklepu z aplikacjami oraz, co jest preferowane, na staych stronach twrcw aplikacji odpowiedzialnych za aplikacje. Nieakceptowane jest, aby stawia uytkownikw w pozycji, w ktrej musieliby wyszukiwa w sieci informacje na temat polityk przetwarzania danych przez aplikacje zamiast by poinformowanymi bezporednio przez twrcw aplikacji lub administratora danych. Jak najbardziej podstawowy obowizek, kada aplikacja powinna mie czyteln, zrozumia oraz atwo dostpn polityk prywatnoci, gdzie wszystkie powysze informacje s zawarte. Wiele aplikacji nie spenia tego minimalnego wymogu odnonie przejrzystoci. Zgodnie z przeprowadzonym w czerwcu 2012 badaniem FPF, 56% patnych aplikacji nie ma polityki prywatnoci, podobnie jak prawie 30% bezpatnych aplikacji. Aplikacje ktre nie przetwarzaj danych osobowych lub nie zamierzaj ich przetwarza, powinny jasno stwierdzi to w polityce prywatnoci. Oczywicie, s ograniczenia dotyczce iloci informacji, ktre mog by umieszczone na maym wywietlaczu, jednake nie stanowi to wyczenia wymogu odpowiedniego poinformowania uytkownikw. Mona przyj kilka strategii w celu zapewniania wiadomoci uytkownikw co do kluczowych elementw usugi. Grupa Robocza widzi korzyci w zastosowaniu warstwowego systemu powiadamiania szczegowo opisanego w Opinii GR29 10/200443, gdzie pocztkowa informacja dla uytkownikw zawiera minimalne informacje wymagane przez ramy prawne UE, a dalsze informacje s dostpne przez linki odwoujce si do caej polityki prywatnoci. Informacja powinna by zaprezentowana bezporednio na ekranie, by atwo dostpna oraz wyranie widoczna. Poza zrozumia informacj dopasowan do maego ekranu urzdze mobilnych, uytkownicy musz by w stanie dotrze do bardziej szczegowych wyjanie, np. w polityce prywatnoci, na temat tego, jak aplikacje wykorzystuj dane osobowe, kto jest administratorem danych oraz gdzie uytkownik moe wykorzysta swoje prawa. Podejcie to moe by poczone z wykorzystaniem ikon, zdj, filmw oraz dwikw, oraz wykorzysta kontekstualn notyfikacj w czasie rzeczywistym, kiedy aplikacja uzyskuje dostp do ksiek adresowych lub zdj.44 Ikony te musz by znaczce, t.j. jasne, niezalene oraz jednoznaczne. Oczywicie producenci OS ponosz w duym stopniu wspodpowiedzialno za uatwienie wykorzystania takich ikon. Twrcy aplikacji przecigaj si w programowaniu oraz projektowaniu caociowych interfejsw dopasowanych do maych ekranw i GR29 wzywa przemys do wykorzystania tej kreatywnoci do dostarczenia bardziej innowacyjnych rozwiza w celu efektywnego informowania uytkownikw odnonie przetwarzania danych osobowych na urzdzeniach mobilnych. W celu zapewnienia, e informacja jest naprawd zrozumiaa dla uytkownikw bez wiedzy technicznej lub prawniczej, Grupa Robocza (zgodnie z raportem FTC) mocno zaleca testy konsumenckie wybranych strategii.45

43

Opinia Grupy Roboczej Art. 29 nr 10/2004 w sprawie dalszej harmonizacji zasad informowania: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2004/wp100_pl.pdf 44 Np. ikony ostrzegawcze dla przetwarzania geo-lokalizacyjnego wykorzystywanego przez iPhoney. 45 Raport FTC, przypis 6, s. 16

27

3.8. Prawa osb, ktrych dane dotycz Zgodnie z art. 12 oraz 14 dyrektywy o ochronie danych, twrcy aplikacji oraz inni administratorzy danych w ekosystemie aplikacji mobilnych musz umoliwi uytkownikom aplikacji wykonywanie ich praw dostpu, poprawienia, usunicia oraz wyraanie sprzeciwu odnonie przetwarzanych danych. Jeeli uytkownik wykorzystuje prawo dostpu, administrator danych musi zapewni uytkownikowi informacj na temat przetwarzanych danych oraz rda tych danych. Jeeli administrator podejmuje zautomatyzowan decyzj opart na zebranych danych, administrator musi take poinformowa uytkownika o logice stojcej za tymi decyzjami. Moe mie to miejsce kiedy zachowanie uytkownikw jest oceniane, np. na podstawie danych finansowych lub zdrowotnych lub innych danych profilowych. Na prob uytkownika, administrator danych w aplikacji musi umoliwi poprawienie, usunicie lub zablokowanie danych osobowych, jeeli s niekompletne, niedokadne lub przetwarzane niezgodnie z prawem. Aby uytkownicy byli w stanie wykonywa kontrol nad przetwarzaniem ich danych osobowych, aplikacje musz jasno oraz w widoczny sposb informowa uytkownikw o istnieniu tych mechanizmw dostpu oraz poprawiania. Grupa Robocza Art. 29 zaleca zaprojektowanie oraz wdroenie prostych, ale bezpiecznych narzdzi dostpu do sieci. Narzdzia dostpu powinny by dostpne w kadej aplikacji lub poprzez zaoferowanie linku do funkcjonalnoci on-line, gdzie uytkownicy mog uzyska natychmiastowy dostp do wszystkich danych przetwarzanych na ich temat oraz niezbdnych wyjanie w tym zakresie. Podobne inicjatywy musz by wdroone przez dostarczycieli usug internetowych, takie jak rne deski rozdzielcze oraz inne mechanizmy dostpu. Potrzeba atwego dostpu on-line jest szczeglnie wysoka w przypadku, gdy aplikacje przetwarzaj bogate profile uytkownia, takie jak w aplikacjach networkingowych, spoecznociowych lub zwizanych z wysyaniem wiadomoci lub aplikacjach, ktre przetwarzaj dane wraliwe lub finansowe. Oczywicie dostp powinien by przyznany tylko jeli tosamo osoby, ktrej dane dotycz, zostaa potwierdzona, w celu zapobieenia wypyniciu danych do stron trzecich. Jednake ten obowizek weryfikacji tosamoci nie powinien prowadzi do dodatkowego, nadmiernego zbierania danych osobowych, na temat osoby, ktrej dane dotycz. W wielu przypadkach uwierzytelnienie moe wystarczy, zamiast (penej) identyfikacji. Dodatkowo uytkownikom powinno zawsze si zapewni moliwo wycofania zgody w sposb prosty oraz nieobarczony barierami. Osoba, ktrej dane dotycz, moe wycofa zgod na przetwarzanie danych na wiele rnych sposobw oraz z wielu rnych powodw. Preferowan opcj wycofania zgody powinno by jej udostpnienie przez wspomniany powyej atwo dostpny mechanizm. Musi by moliwe odinstalowanie aplikacji i usunicie w ten sposb wszystkich danych, take z serwerw administratorw danych. W umoliwieniu uytkownikom, by ich dane mogy by usunite przez twrcw aplikacji, istotn rol do odegrania maj producenci OS, ktrzy sygnalizuj twrcom aplikacji to, e uytkownik j odinstalowa. Taki sygna mgby by przekazany za porednictwem API. Zasadniczo, po odinstalowaniu aplikacji, twrca aplikacji nie ma podstawy prawnej do dalszego przetwarzania danych osobowych dotyczcych uytkownika i dlatego musi skasowa wszystkie dane. Twrca aplikacji, ktry chce zachowa pewne dane, np w celu uatwienia reinstalcji aplikacji, musi odrbnie poprosi o zgod w czasie odinstalowywania, proszc uytkownika o zgod na dodatkowy, zdefiniowany okres przechowywania. Jedynym wyjtkiem od tej zasady jest moliwe istnienie obowizkw prawnych przetrzymywania

28

niektrych danych dla okrelonych celw, np. dla obowizkw fiskalnych zwizanych z operacjami finansowymi.46 3.9 Okresy przechowywania Twrcy aplikacji musz rozway okresy przechowywania danych zbieranych przez ap likacje oraz ryzyka dla ochrony danych, jakie to stwarza. Konkretny okres bdzie zalea od celw aplikacji oraz znaczenia danych dla uytkownika kocowego. Np. aplikacje dzielce kalendarze, pamitniki lub zdjcia zostawiayby okrelenie czasu uytkownikowi kocowemu, podczas gdy w przypadku aplikacji nawigacyjnych mogoby wystarczy jedynie 10 ostatnio odwiedzonych lokalizacji. Twrcy aplikacji powinni take zastanowi si nad danymi tych uytkownikw, ktrzy nie wykorzystywali aplikacji przez duszy okr es. Uytkownicy ci mogli utraci urzdzenie, lub zamieni je na inne bez aktywnego odinstalowania wszystkich aplikacji z pocztkowego urzdzenia. Z tego wzgldu twrcy aplikacji powinni na wstpie okreli okres braku aktywnoci, po ktrym konto bdzie traktowane jako wygase oraz zapewni, aby uytkownik by poinformowany o takim okresie. Po upyniciu tego okresu, administrator danych powinien poinformowa uytkownika oraz da mu szans na odzyskanie tych danych. Jeeli uytkownik nie odpowie, dane odnoszce si do uytkownika oraz wykorzystania aplikacji powinny by nieodwracalnie zanonimizowane lub skasowane. Okres przypominania zaley od celu aplikacji oraz lokalizacji, gdzie dane s przechowywane. Jeli chodzi o dane przechowywane na samym urzdzeniu, np. rekord w grach, dane mog by przechowywane tak dugo jak aplikacja jest zainstalowana. Jeli chodzi o dane, ktre s uywane jedynie raz na rok, takie jak informacje na temat orodku narciarskiego, okres przypomnienia moe wynosi 15 miesicy. 3.10. Dzieci Dzieci s gorliwymi uytkownikami aplikacji, na ich wasnych urzdzeniach, lub dzielonych z innymi (np. ich rodzicw, rodzestwa lub w szkole) i widoczne jest istnienie duego oraz zrnicowanego rynku aplikacji nakierowanych na dzieci. Jednak jednoczenie dzieci posiadaj niewielkie lub adne zrozumienie i wiedz na temat wraliwoci danych, do ktrych aplikacje mog zdoby dostp, czy zakresu danych dzielonych ze stronami trzecimi dla celw reklamowych Grupa Robocza zajmowaa si w wyczerpujcy sposb kwesti przetwarzania danych dzieci w Opinii 2/2009 o ochronie danych osobowych dzieci i zaja si jedynie czci ryzyk oraz zalece waciwych dla aplikacji obecnych w tym ustpie.47

46

Grupa Robocza przypomina wszystkim usugom spoeczestwa informacyjnego, takim jak aplikacje, e europejskie obowizki w zakresie przechowywania danych (dyrektywa 2006/24/WE), nie maj do nich zastosowania i z tego wzgldu nie mog by przywoane jako podstawa prawna do dalszego przetwarzania danych uytkownikw, po tym jak skasowali aplikacje. Grupa Robocza wykorzystuje t okazj do podkrelenia szczeglnie ryzykownej natury danych o ruchu, ktre wymagaj specjalnej ostronoci oraz rodkw ochronnych samych w sobie jak to podkrelono w Raporcie GR29 na temat wdroenia dyrektywy retencyjnej (WP172) gdzie wszyscy interesariusze zostali wezwani do wdroenia odpowiednich rodkw bezpieczestwa. 47 Opinia Grupy Roboczej art. 29 nm 2/2009 w sprawie ochrony danych osobowych dzieci (Oglne wytyczne i szczeglny przypadek szk) (11 lutego 2009) http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp160_pl.pdf

29

Twrcy aplikacji oraz inni administratorzy danych powinni zwrci uwag na limit wieku dzieci oraz niepenoletnich, tak jak zdefiniowano to w prawie krajowym, gdzie zgoda rodzicw jest warunkiem wstpnym zgodnego z prawem przetwarzania danych przez aplikacje.48 Kiedy zgoda moe legalnie by uzyskana od nieletniego, a aplikacja jest przeznaczona do uytku przez dzieci lub osoby niepenoletnie, administrator danych powinien zwrci uwag na moliwie niewielkie zrozumienie oraz uwag przywizywan przez niepenoletnich do informacji na temat przetwarzania danych. Z powodu ich oglnej podatnoci, a take biorc pod uwag, e dane musz by przetwarzane uczciwie oraz zgodnie z prawem, administratorzy danych skierowani na dzieci powinni nawet bardziej restrykcyjnie respektowa zasady minimalizacji zakresu danych oraz ograniczenia celu. Szczeglnie administratorzy danych nie powinni przetwarza danych dzieci dla celw reklamy behawioralnej, ani w sposb bezporedni ani poredni, jako e znajduje si to poza zrozumieniem dzieci i z tego wzgldu przekracza granice legalnego przetwarzania. Grupa Robocza podziela obawy wyraone przez Federaln Komisj Handlu w jej raporcie na temat aplikacji mobilnych dla dzieci.49 Twrcy aplikacji, we wsppracy ze sklepami z aplikacjami oraz producentami urzdze oraz OS, powinni dostarczy odpowiedni informacj w prosty sposb, w jzyku dostosowanym do wieku. Administratorzy danych powinni powstrzyma si od jakiegokolwiek zbierania danych zwizanych z rodzicami lub czonkami rodziny od uytkownika bdcego dzieckiem, takich jak informacje finansowe lub informacje na temat specjalnych kategorii informacji, takich jak dane medyczne. 4 Wnioski i zalecenia Wiele rodzajw danych dostpnych w inteligentnych urzdzeniach mobilnych to dane osobowe. Waciw podstaw prawn stanowi dyrektywa o ochronie danych, w poczeniu z okrelonym wymogiem zgody zawartym w artykule 5 ust. 3 dyrektywy o prywatnoci i cznoci elektronicznej. Przepisy te maj zastosowanie do kadej aplikacji, ktrej grup docelow s uytkownicy aplikacji w UE, bez wzgldu na lokalizacj twrcy aplikacji czy te sklepu z aplikacjami. Fragmentaryczny charakter ekosystemu aplikacji, szeroki zakres technicznych moliwoci dostpu do danych przechowywanych w urzdzeniach mobilnych lub przez nie wygenerowanych oraz brak wiadomoci prawnej wrd twrcw stwarzaj szereg powanych zagroe w zakresie ochrony danych dla uytkownikw aplikacji, poczwszy od braku przejrzystoci i braku wiadomoci wrd uytkownikw aplikacji, a po sabe rodki bezpieczestwa, mechanizmy zgody oparte na bdnych przesankach, tendencj do maksymalizacji zakresu danych oraz elastyczno celw przetwarzania danych.

48 49

W pastwach czonkowski UE limit wieku wacha si od 12 do 18 lat. Raport FTC Aplikacje mobilne dla dzieci: Obecne ujawnienia prywatnoci s rozczarowujce (Fr b. 2012): http://www.ftc.gov/os/2012/02/120216mobile_apps_kids.pdf Podczas gdy badacze napotkali zrnicowane aplikacje dla dzieci stworzone przez setki rnych twrcw, znaleziono niewiele, jeli w ogle, informacji w miejscach sprzeday aplikacji na temat zbierania danych oraz dzielenia praktyk tych aplikacji.

30

Ma miejsce nakadanie si zobowiza w zakresie ochrony danych midzy rnymi stronami zaangaowanymi w rozwj, rozpowszechnianie oraz moliwoci techniczne aplikacji. Wikszo wnioskw i zalece kierowana jest to twrcw aplikacji (tak aby mieli jak najwiksz kontrol nad dokadnym sposb przetwarzania czy te przedstawiania informacji w ramach aplikacji), ale czsto, aby osign najwysze standardy ochrony danych i prywatnoci, musz oni wsppracowa z innymi stronami w ekosystemie aplikacji, takimi jak producenci OS i urzdze, sklepy z aplikacjami i strony trzecie, np. dostawcy analityczni oraz sieci reklamowe. Twrcy aplikacji musz By wiadomi i przestrzega swoich zobowiza jako administratorzy danych, gdy przetwarzaj dane od lub na temat uytkownikw; By wiadomi i przestrzega swoich zobowiza jako administratorzy danych, gdy zwieraj umowy z przetwarzajcymi dane, np. gdy powierzaj gromadzenie i przetwarzanie danych osobowych twrcom, programistom i na przykad dostawcw usug przechowywania w chmurze; Prosi o zgod zanim aplikacja rozpocznie wyszukiwanie lub umieszczanie informacji na urzdzeniu, np. przed instalacj aplikacji. Zgoda musi by wyraona dobrowolnie, by konkretna i wiadoma; Prosi o stopniow zgod dla kadego rodzaju danych, do ktrych aplikacja bdzie miaa dostp; co najmniej dla kategorii Lokalizacja, Kontakty, Unikalny identyfikator urzdzenia, Tosamo osoby, ktrej dane dotycz, Tosamo telefonu, Dane dotyczce karty kredytowej i patnoci, Telefonia i SMS, Historia wyszukiwania, Email, Dane pozwalajce na uwierzytelnienie w portalach spoecznociowych oraz Dane biometryczne; By wiadomi faktu, e zgoda nie uprawnia do nadmiernego lub nieproporcjonalnego przetwarzania danych; Zapewni dobrze okrelone i zrozumiae cele przetwarzania danych przed instalacj aplikacji oraz nie mog zmienia tych celw bez ponownej zgody; zapewni szczegowe informacje na temat tego, czy dane bd wykorzystywanie do celw strony trzeciej, takich jak reklama czy cele analityczne; Zapewni uytkownikom moliwo odwoania zgody oraz odinstalowania aplikacji oraz usun dane, gdy to waciwe; Przestrzega zasady minimalizacji zakresu danych i zbiera jedynie te dane, ktre s absolutnie niezbdne do realizacji wymaganej funkcjonalnoci; Podj niezbdne rodki techniczne i organizacyjne w celu zapewnienia ochrony danych osobowych, ktre przetwarzaj, na wszystkich etapach projektowania i wdraania aplikacji (ochrona prywatnoci w fazie projektowania, tzw. privacy by design), jak okrelono w artykule 3 ust. 6 niniejszej Opinii; Zapewni pojedynczy punkt kontaktowy dla uytkownikw aplikacji; Zapewni odczytywaln, zrozumia i atwo dostpna polityk prywatnoci, ktra informuje uytkownikw co najmniej na temat tego:

- kim s (tosamo i dane kontaktowe), - jakie konkretne kategorie danych osobowych aplikacja chce zbiera i przetwarza,

31

- dlaczego przetwarzanie danych jest konieczne (do jakich celw), - czy dane bd ujawniane stronom trzecim (nie tylko oglny, ale szczegowy opis tego, komu dane bd udostpnione), - jakie prawa posiadaj uytkownicy, jeeli chodzi o wycofanie zgody oraz usunicie danych; Umoliwi uytkownikom aplikacje realizacj ich praw dostpu do danych, ich poprawienia, usunicia, oraz ich prawa do wyraenia sprzeciwu wobec przetwarzania danych oraz poinformowa ich o istnieniu takich mechanizmw; Okreli racjonalny okres przechowywania danych zebranych przy pomocy aplikacji oraz okreli wczeniej okres nieaktywnoci, po ktrym konto bdzie traktowane jako wygase; W odniesieniu do aplikacji skierowanych do dzieci: zwraca uwag na limit wiekowy dla dzieci i niepenoletnich przewidziany w ustawodawstwie krajowym, wybra najbardziej rygorystyczne podejcie do przetwarzania danych przy penym uwzgldnieniu zasad minimalizacji zakresu danych oraz ograniczenia celu, powstrzyma si od przetwarzania danych dzieci do celw reklamy behawioralnej, czy to bezporednio czy porednio, oraz powstrzyma si od gromadzenia od dzieci danych na temat ich rodziny i/lub przyjaci. Przeanalizowali waciwe wytyczne dotyczce okrelonych zagroe bezpieczestwa i rodkw; Proaktywnie informowali uytkownikw o naruszeniach ochrony danych osobowych zgodnie z wymogami dyrektywy o prywatnoci i cznoci elektronicznej; Informowali uytkownikw o swoich rozwaaniach dotyczcych proporcjonalnoci dla rodzajw danych, ktre s zbierane lub do ktrych jest umoliwiany dostp na urzdzeniu, o okresach przechowywania danych oraz stosowanych rodkach bezpieczestwa; Opracowali narzdzia umoliwiajce uytkownikom dostosowanie okresw przechowywania ich danych osobowych w oparciu o ich konkretne preferencje i kontekst, zamiast oferowa wczeniej okrelone warunki przechowywania; Zawarli informacje w swojej polityce prywatnoci przeznaczonej dla uytkownikw europejskich; Opracowali i wdroyli proste, ale bezpieczne narzdzia dostpu online dla uytkownikw, bez zbierania dodatkowych nadmiernych danych osobowych; Wraz z producentami OS i urzdze oraz sklepami z aplikacjami wykorzystywa ich kreatywny talent do opracowywania innowacyjnych rozwiza w celu odpowiedniego informowania uytkownikw w urzdzeniach mobilnych, na przykad za pomoc systemu warstwowego powiadamiania poczonego ze znaczcymi ikonami. By wiadome i przestrzega swoich zobowiza jako administratorzy danych, gdy przetwarzaj dane od lub na temat uytkownikw;

Grupa Robocza zaleca, aby twrcy aplikacji

Sklepy z aplikacjami musz

32

Egzekwowa obowizek informacyjny twrcy aplikacji, w tym rodzaje danych, do ktrych aplikacja moe mie dostp i dla jakich celw, oraz czy nastpuje wymiana danych ze stronami trzecimi; Zwraca szczegln uwag na aplikacje skierowane do dzieci w celu ochrony przed nielegalnym przetwarzaniem ich danych oraz w szczeglnoci wdroy obowizek przedstawienia istotnych informacji w prosty sposb, w jzyku dostosowanym do wieku uytkownika; Zapewni szczegowe informacje na temat operacji sprawdzenia dostarczenia aplikacji do sklepu, ktrych rzeczywicie dokonuj, w tym tych majcych na celu oszacowanie kwestii ochrony danych i prywatnoci. We wsppracy z producentem OS, rozwiny narzdzia kontroli dla uytkownikw, takie jak symbole przedstawiajce dostp do danych w urzdzeniu mobilnym lub przez nie generowanych; Poddaway wszystkie aplikacji mechanizmom reputacji publicznej; Wdroyy zdalny mechanizm prywatnoci; odinstalowania przyjazny dla ochrony

Grupa Robocza zaleca, aby sklepy z aplikacjami

Zapewniy uytkownikom moliwoci zgaszania problemw dotyczcych ochrony prywatnoci i/lub bezpieczestwa; Wsppracoway z twrcami aplikacji w celu proaktywnego informowania uytkownikw o naruszenia ochrony danych osobowych; Ostrzegay i informoway twrcw aplikacji o specyficznych cechach prawa europejskiego przed wprowadzeniem aplikacji na rynek europejski, na przykad informoway o wymogu zgody oraz w przypadku przekazywania danych osobowych krajw spoza UE. Aktualizowa swoje API, zasady przechowywania i interfejsy uytkownika, aby zapewni uytkownikom wystarczajce rodki do kontroli realizacji zgodnej z prawem zgody na przetwarzanie danych przez aplikacje; Wdroy mechanizmy uzyskiwania zgody w ich systemach operacyjnych (OS) przy pierwszym wprowadzeniu aplikacji lub gdy aplikacja pierwszy raz prbuje uzyska dostp do kategorii danych majcych istotny wpyw na ochron prywatnoci; Zastosowa zasady ochrony prywatnoci w fazie projektowania (privacy by design), aby zapobiec potajemnemu monitorowaniu uytkownika; Zapewni bezpieczestwo przetwarzania; Zapewni (ustawienia domylne), e wczeniej zainstalowane aplikacje bd zgodne z europejskim prawem w zakresie ochrony danych; Oferowa stopniowy dostp do danych, czujnikw i usug, w celu zapewnienia, e twrca aplikacji bdzie mg mie dostp tylko do tych danych, ktre s niezbdne dla jego aplikacji;

Producenci OS oraz urzdze musz

33

Zapewni przyjazne dla uytkownika i skuteczne rodki pozwalajce unikn bycia ledzonym przez reklamodawcw i inne strony trzecie. Ustawienia domylne musz umoliwia unikanie ledzenia; Zapewni dostpno odpowiednich mechanizmw do informowania i edukowania uytkownika kocowego na temat tego, co aplikacje mog robi i do jakich danych mog mie dostp; Zapewni, e kadorazowy dostp do kategorii danych jest odzwierciedlony w informacji dla uytkownika przed instalacj aplikacji: przedstawione kategorie musz by jasne i zrozumiae; Wdroy bezpieczne rodowisko, wraz z narzdziami zapobiegajcymi rozprzestrzenianiu si szkodliwych aplikacji i pozwalajcymi na atwe zainstalowanie/odinstalowanie kadej funkcjonalnoci. Zapewnili uytkownikom moliwo odinstalowania aplikacji oraz dali zna (np. poprzez API) twrcy aplikacji, aby umoliwi usunicie okrelonych danych uytkownika; Systematycznie oferowali i usprawniali regularne aktualizacji bezpieczestwa; Zapewnili metody i funkcje pozwalajce na dostp do danych osobowych , w tym cechy majce na celu wdroenie prb o stopniow zgod; Aktywnie pomagali w rozwijaniu i usprawnianiu ikon informujcych uytkownikw o rnym wykorzystaniu danych przez aplikacje; Tworzyli jasne cieki audytu urzdze, tak aby uytkownicy kocowi mogli wyranie zobaczy, jakie aplikacje maj/miay dostp do danych na ich urzdzeniach oraz pozna wielkoci ruchu wychodzcego dla danej aplikacji, w odniesieniu do ruchu zainicjowanego przez uytkownika. By wiadome i przestrzega swoich zobowiza jako administratorzy danych, gdy przetwarzaj dane na temat uytkownikw; Przestrzega wymogu zgody okrelonego w artykule 5 ust. 3 dyrektywy o prywatnoci i cznoci elektronicznej, gdy odczytuj lub zapisuj dane na urzdzeniach mobilnych, we wsppracy z twrcami aplikacji i/lub sklepami z aplikacjami, ktre koniecznie zapewniaj uytkownikowi informacje na temat celw przetwarzania danych; Nie mog pomin adnego mechanizmu sucego unikaniu ledzenia, co obecnie czsto ma miejsce w przypadku mechanizmw Do Not Track zastosowanych w przegldarkach; Dostawcy usug komunikacyjnych, gdy wprowadzaj markowe urzdzenia, musz zapewni wan zgod uytkownikw dla wczeniej zainstalowanych aplikacji oraz podj si waciwych zobowiza w sytuacji, gdy przyczyniaj si do okrelenia konkretnych cech urzdzenia oraz OS, np. gdy ograniczaj dostp uytkownika do okrelonych parametrw konfiguracji lub filtruj stae udostpnienia (funkcjonalne lub zwizane z bezpieczestwem) zapewniane przez producentw urzdzenia lub OS;

Grupa Robocza zaleca, aby producenci OS i urzdze

Strony trzecie musz

34

Podmioty reklamujce musz w szczeglnoci unika dostarczania reklam wykraczajcych poza kontekst aplikacji. Przykadem moe by dostarczanie reklam poprzez modyfikacj ustawie przegldarki lub umieszczanie ikon na pulpicie urzdzenia mobilnego. Musz powstrzyma si od uywania unikalnego urzdzenia lub identyfikatorw abonenta do celu ledzenia; Powstrzyma si od przetwarzania danych dzieci do celw reklamy behawioralnej, czy to porednio czy bezporednio. Stosowa odpowiednie rodki bezpieczestwa. Obejmuje to bezpieczne przekazywanie i szyfrowane przechowywanie unikalnego urzdzenia i identyfikatorw uytkownika aplikacji oraz innych danych osobowych. Opracoway i wdroyy proste, ale bezpieczne narzdzia dostpu online dla uytkownikw, bez gromadzenia dodatkowych nadmiernych danych osobowych; Gromadziy i przetwarzay tylko dane, ktre s zgodne z kontekstem podawania danych przez uytkownika. Sporzdzono w Brukseli, w dniu 27 lutego 2013 r. W imieniu Grupy Roboczej Przewodniczcy

Grupa Robocza zaleca, aby strony trzecie

Jacob KOHNSTAM

35