Prywatność w aplikacjach mobilnych - opinia rzeczników ochrony danych osobowych

W dzisiejszych czasach aplikacje mobilne są wszechobecne. Mamy je na naszych smartfonach i tabletach, w samochodach, w domu i w jego okolicach: coraz większa liczba urządzeń posiada interfejsy użytkownika podłączone do Internetu. Obecnie zarówno w sektorze publicznym, jak i prywatnym, dostępnych jest ponad 6 milionów aplikacji. Liczba ta wzrasta codziennie o ponad 30 000. W przypadku wielu aspektów naszego codziennego życia aplikacje powodują, że staje się ono łatwiejsze i przyjemniejsze. Jednocześnie aplikacje gromadzą ogromne ilości danych osobowych. Pozwala to na nieustanne cyfrowe monitorowanie, przy czym często użytkownicy nie są świadomi faktu, że ma to miejsce i w jakim celu są wykorzystywane ich dane.

Twórcy aplikacji często nie zdają sobie sprawy z wpływu ich pracy na ochronę prywatności i nie są im znane koncepcje takie, jak uwzględnianie ochrony prywatności w fazie projektowania (privacy by design) oraz ochrona prywatności w ustawieniach domyślnych (privacy by default). Główne systemy operacyjne i platformy aplikacji oferują pewne ustawienia prywatności, ale nie pozwalają użytkownikom na pełną kontrolę w celu ochrony ich danych osobowych oraz weryfikowania, jakie informacje są gromadzone w jakim celu.

Podczas 35 Międzynarodowej Konferencji w dniach 23-­‐24 września 2013 r. w Warszawie rzecznicy ochrony danych i prywatności omówili kwestię upowszechniania się aplikacji w społeczeństwie (tzw. „appification” of society), wyzwania związane z rosnącym wykorzystywaniem aplikacji mobilnych, jak również możliwe sposoby sprostania tym wyzwaniom.

Polecamy serwis: Prawa konsumenta

Różne raporty na temat aplikacji mobilnych publikowane przez środowisko ochrony danych w ubiegłych latach, w tym, Opinia w sprawie aplikacji w urządzeniach mobilnych Grupy Roboczej Artykułu 29 ds. Ochrony Danych Unii Europejskiej, Wytyczne dla twórców aplikacji Rzecznika Ochrony Prywatności Kanady, raport pracowników Federalnej Komisji Handlu Ujawnianie prywatności w urządzeniach mobilnych: budowanie zaufania poprzez przejrzystość oraz Memorandum Sopockie Międzynarodowej Grupy Roboczej ds. Ochrony Danych w Telekomunikacji, przedstawiają cenne wytyczne dotyczące tego, jak podejść do relacji między aplikacjami a ochroną prywatności.

Rzecznicy wyraźnie zobowiązali się do zadbania o to, aby użytkownikom zapewnić lepsze doświadczenia w zakresie ochrony prywatności, oraz zamierzają zwrócić się do wszystkich interesariuszy zarówno w sektorze publicznym, jak i prywatnym, w związku z ich rolą i zobowiązaniami.

Konieczne jest, aby użytkownicy mieli nadal, również w przyszłości, kontrolę nad swoimi danymi. Powinni mieć możliwość decydowania o tym, jakie informacje chcą ujawniać, komu i w jakich celach. Do tego celu powinny być dostępne wyraźne i zrozumiałe informacje – w tym w ramach aplikacji – na temat operacji gromadzenia danych mających miejsce przed rzeczywistym rozpoczęciem gromadzenia. Użytkownikom należy zapewnić możliwość zezwalania na dostęp do określonych informacji, takich jak dane o lokalizacji czy też wpisy w książce adresowej dla poszczególnych przypadków. Co najważniejsze, aplikacje należy tworzyć w oparciu o zasadę minimalizacji zaskoczenia: brak ukrytych właściwości oraz niemożliwego do weryfikacji powodów gromadzenia danych. Twórcy aplikacji to osoby napędzające wzrost gospodarki cyfrowej, które ułatwiają nasze codzienne życie. Jednocześnie muszą zapewniać zgodność z obowiązującymi zasadami ochrony danych i prywatności na całym świecie. Aby osiągnąć ten cel i jednocześnie utrzymać pozytywne doświadczenie użytkownika, ochronę prywatności należy wziąć pod uwagę na samym początku tworzenia aplikacji. W ten sposób prywatność może również zapewnić konkurencyjną korzyść poprzez zwiększenie zaufania użytkowników.

Twórcy muszą podjąć wyraźną decyzję odnośnie tego, jakie informacje są niezbędne do działania aplikacji oraz zapewnić, że nie będą gromadzone dodatkowe dane bez świadomej zgody użytkownika. Dotyczy to również sytuacji, gdy twórcy aplikacji wykorzystują kod lub wtyczki strony trzeciej, na przykład sieci reklamowych. Twórcy zawsze muszą wiedzieć, co oferują i czego oczekują od swoich użytkowników.

Odpowiedzialność za ochronę prywatności nie leży jedynie w gestii twórców aplikacji. Dostawcy systemów operacyjnych powinni ponosić odpowiedzialność za swoje platformy. Niewątpliwie coraz częściej zwiększają oni swoją odpowiedzialność, oferując ogólne ustawienia prywatności w urządzeniach mobilnych. Jednakże nie są one wystarczająco szczegółowe, tak aby oferować pełną kontrolę użytkownika w przypadku wszystkich znaczących aspektów gromadzenia danych osoby. Jako że dostawcy platform tworzą i utrzymują ramy, w których są wykorzystywane aplikacje, są w najlepszej sytuacji, aby zagwarantować ochronę danych i ponosić szczególną odpowiedzialność wobec użytkowników. W tym względzie należy zachęcać do zobowiązywania się branży do certyfikatów ochrony prywatności czy też innych wykonalnych programów certyfikacji.

Mimo że podstawowa odpowiedzialność za ochronę prywatności użytkownika leży w gestii branży specjalizującej się w aplikacjach, rzecznicy ochrony danych i prywatności mogą i muszą zwiększać świadomość tych kwestii wśród interesariuszy branży aplikacji, jak również użytkowników aplikacji i ogółu społeczeństwa. W szczególności należy starać się o zaangażowanie dostawców systemów operacyjnych, w ramach dążenia do zapewnienia, że podstawy ochrony danych będą zapewnione w ich platformach. Naszym zadaniem nie jest zepsucie przyjemności, jaką aplikacje mogą zapewnić swoim użytkownikom, ale należy zapobiegać niewłaściwemu wykorzystywaniu danych osobowych. Jeżeli zachęcanie do lepszej praktyki ochrony prywatności nie będzie wystarczająco skuteczne, rzecznicy będą gotowi egzekwować ustawodawstwo w ramach globalnego wysiłku na rzecz przywrócenia kontroli użytkownikowi.

Rzecznicy ochrony danych i prywatności na całym świecie zamierzają wykorzystać nadchodzący rok w celu podjęcia poważnych kroków na rzecz poprawienia ochrony danych i prywatności w tym obszarze oraz powrócą to tej kwestii podczas 36 Konferencji na Mauritiusie.

Źródło: Deklaracja Warszawska w sprawie upowszechniania się aplikacji w społeczeństwie, Warszawa, Polska, 24 września 2013 r.

Zobacz również: Google Glass a ochrona naszej prywatności