W rocznym planie kontroli sektorowych UODO ujął podmioty, które przetwarzają dane osobowe przy użyciu aplikacji mobilnych. Warto więc przygotować się na kontrolę i przyjrzeć się temu, jak to wyglądało do tej pory.

W Polsce co do zasady nie było kar, które odnosiłyby się bezpośrednio do dostawcy aplikacji mobilnej. Niemniej warto mieć na uwadze, że część decyzji z obszarów technicznych, nawet jak ta ostatnia dot. Politechniki Warszawskiej, mogą być pomocne.

Z uwagi na to, że artykułów i spotkań online dot. decyzji Prezesa UODO jest sporo, to skupię się na innych aspektach.

Na początku przypomnijmy sobie, że to nie pierwszy moment kiedy UODO podejmuje temat aplikacji mobilnych. Nie wiem, czy ktoś jeszcze pamięta, ale kilka lat temu modna była aplikacja FaceeApp. Było o niej głośno głównie dlatego, że była rosyjska. Wtedy na stronie organu pojawiła się taka informacja: „Prezes Urzędu Ochrony Danych Osobowych zapowiada, że jeżeli zagrożenia dla ochrony danych osobowych ze strony aplikacji FaceApp okażą się poważne, to zostanie wszczęte postępowanie z urzędu.”  Ciekawe czy organ nie zauważył zagrożenia, czy zauważył, ale nic nie zrobił, czy może zrobił, ale okazało się, że wszystko jest ok? Nie wiemy, gdyż nie było potem już więcej informacji na ten temat. Warto jednak przypomnieć sobie pismo organu z tamtego okresu.

Aplikacja mobilna może być zarówno przedmiotem głównej działalności, procesu biznesowego (np. aplikacje do przewozu osób), czasami występuje jednocześnie i równoważnie ze stroną (np. portale społecznościowe) ale czasami jest jedynie dodatkowym narzędziem w całej działalności (np. bankowość mobilna). Przykładem aplikacji mobilnej jako aktywa równoważnego może być Vinted:  „Operatorem (platformy oraz powiązanej z nią aplikacji) jest Vinted UAB z siedzibą na Litwie.” Jak wskazał UODO:

Aplikacja mobilna podmiotów publicznych

Aplikacje mobilne co do zasady kojarzą nam się z grami, bankowością mobilną, mediami społecznościowymi itp. Warto jednak pamiętać, że korzystają z nich także szkoły (uczelnie) i podmioty publiczne. Przekonał się o tym urząd oświaty w Oslo. Aplikacja była wykorzystywana do komunikacji pomiędzy pracownikami szkoły, rodzicami a dziećmi. Kara została nałożona z uwagi na niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających odpowiedni do ryzyka poziom bezpieczeństwa. Słabe zabezpieczenia umożliwiły osobom nieuprawnionym dostęp do danych osobowych ponad 63 000 uczniów. Dodatkowo, niepoprawnie uregulowana była możliwość zgłaszania nieobecności uczniów. Rodzice mogli umieszczać w aplikacji szczególne kategorie danych, jak np. dot. zdrowia. Kara wyniosła ostatecznie równowartość 120 tys. euro. 

Także u nas jest sporo aplikacji mobilnych wykorzystywanych przez podmioty publiczne. Jest to obszar regulowany nie tylko przez RODO, ale także ustawę o dostępności cyfrowej stron internetowych i aplikacji mobilnych podmiotów publicznych. To tam znajdziemy chyba jedyną w Polsce legalną definicję aplikacji mobilnej.

Monitorowanie, a IOD

Dostawcy aplikacji mobilnych powinni także mieć na uwadze przepisy zobowiązujące do powołania Inspektora Ochrony Danych. Łatwo jest bowiem wejść w dużą skalę przetwarzania danych osobowych, a aplikacje niejednokrotnie służą do przetwarzania szczególnych kategorii danych lub monitorowania. Przekonała się o tym firma Glovo.

Hiszpański organ nadzoru stwierdził, że Glovo nie powołało IOD. Firma broniła się, że nie ma takiego obowiązku, ale zrobiła to w trakcie kontroli. Z opublikowanych informacji ciężko jednoznacznie wywnioskować, który aspekt działalności Glovo organ uznał za przesądzający o konieczności powołania IOD, ale prawdopodobnie monitorowanie, gdyż to właśnie na tą przesłankę powołał się przy nałożeniu kary w wysokości 25 tys. euro.

Warto podkreślić, że wiele aplikacji mobilnych wykorzystuje funkcję geolokalizacji. W tym kontekście ciekawe są wytyczne (wtedy jeszcze) GIODO, ale odwołujące się do RODO (Ktoś je jeszcze pamięta? Czy w ogóle ktoś pamięta kiedy organ ostatnio wydał podobny materiał? ? oraz regulacje sektorowe (np. dot. przewozu osób i funkcjonalności obliczenia opłaty w oparciu o wyliczenia długości trasy przy użyciu systemu nawigacji satelitarnej).

Nie tylko geolokalizowanie ale i inne funkcje telefonu

Aplikacje mobilne mają możliwość wykorzystywania różnych funkcji urządzeń, na których są zainstalowane. Może to mocno wpływać na podmiot danych. Przekonała się o tym La Liga (taka hiszpańska ekstraklasa, gdzie faktycznie gra się w piłkę nożną ?). La Liga dostała karę od Hiszpańskiego organu w wysokości 250 tys. euro, po tym jak oficjalna aplikacja do śledzenia rozgrywek była wykorzystywana do wykrywania barów, które nielegalnie pokazywały mecze. Aplikacja pozwalała lidze na zdalne aktywowanie mikrofonu w telefonie komórkowym w celu ustalenia, czy właściciel urządzenia był w barze, który nie zapłacił za prawa do transmisji meczu. Według AEPD (Hiszpańskiej Agencji Ochrony Danych), takie wykorzystanie funkcji telefonu przez aplikację, którą pobrało ponad 4 miliony osób, stanowiło naruszenie zasad przejrzystości.

O tym, że różne systemy mogą wykorzystywać urządzenia mobilne przekonali się podobno niektórzy z polityków w Polsce, ale i zwykli Cypryjczycy. Niewiele jest informacji o karach z Cypru, ale to jest przypadek wart uwagi. W okolicach lotniska jeździł samochód typu VAN. Okazało się, że to nie jest taki zwykły VAN i z pewnością nie była to taksówka. Jak się bowiem okazało była to „szpiegowska ciężarówka”, która zbierała MAC Address (Media Access Control Address) oraz IMSI (International Mobile Subscriber Identity) urządzeń z okolicy. Adres MAC to unikalny identyfikator urządzenia w sieci, a IMSI to 15-cyfrowy numer, który operatorzy komórkowi przypisują do terminali w sieci komórkowej. Oba mogą służyć do identyfikacji i śledzenia osób. Zbieranie tych danych było częścią „testów i prezentacji technologii”. Firma WiSpear została zarejestrowana w Limassol na Cyprze. Kierowana przez byłego oficera zawodowego w Izraelskich Siłach Obronnych (IDF). Firma dostała karę w wysokości 925 tys. euro za naruszenie zasady zgodnego z prawem, uczciwego i przejrzystego przetwarzania.

2 w 1

Czas na mix powyższego, czyli aplikacja podmiotu publicznego, która wykorzystywała zbyt wiele funkcji urządzeń. Nie było to jednak jedyne naruszenie tego administratora, ale na  tym uchybieniu się skupię. Ze względu na trudności gospodarcze, spowodowane przez Covid-19, rząd Islandii postanowił wzmocnić sektor turystyczny i małe firmy, wydając cyfrowy bon upominkowy o wartości 5000 IKR (około 34 euro) dla wszystkich Islandczyków powyżej 18 roku życia. Rząd Islandii zlecił firmie, żeby stworzyła aplikację do obsługi cyfrowych kart podarunkowych opartą na już istniejącej aplikacji, opracowanej przez tę samą firmę. W swojej decyzji islandzki organ zauważył, że ze względu na sytuację gospodarczą duży nacisk położono na szybkość zarówno programowania, jak i publikacji aplikacji, co skutkowało nieodpowiednim dostosowaniem ustawień. Doprowadziło to do niezgodnego z prawem i niepotrzebnego gromadzenia danych osobowych (jak płeć) oraz dostępu do niepotrzebnych funkcji urządzeń mobilnych użytkownika np. do kontaktów i aparatu. Ministerstwo Przemysłu i Innowacji zostało ukarane grzywną w wysokości 7,5 mln ISK (ok. 50 800 euro), a firma YAY ehf. (firma tworząca i obsługująca aplikację) została ukarana grzywną w wysokości 4 mln ISK (ok. 27 100 euro).

Reklama behawioralna

Ostatnia decyzja, którą poruszę to ta dotycząca aplikacji Grindr. Dostawca aplikacji randkowej skierowanej do społeczności LGBTQ, został ukarany grzywną w wysokości 6,5 mln EUR za sprzedaż danych użytkowników reklamodawcom. Norweski Urząd Ochrony Danych stwierdził, że udostępnianie takich danych bez uzyskania wyraźnej zgody, złamało przepisy RODO. Dane, które aplikacja udostępniła stronom trzecim, obejmowały lokalizację GPS, adres IP, identyfikator reklamowy, wiek, płeć oraz fakt, że użytkownik był na Grindr. Norweski organ uznał, że:

Podsumowanie

Aplikacje mobilne to bardzo szerokie zagadnienie, w którym występuje dużo zmiennych, takich jak: zakres danych (który zależy od procesu), kontekst (czy przetwarzane są szczególne kategorie danych?), wykorzystywanie funkcji urządzenia (np. monitorowanie poprzez geolokalizowanie) itp. Koniecznie trzeba też pamiętać o kwestiach technicznych. Nie poruszonym w powyższym artykule, ale ciekawym aspektem jest możliwość logowania do aplikacji za pomocą innych dostawców, np. Facebooka. Sam ten obszar jest istotny zarówno pod względem technicznym, jak i prawnym. Jeśli są Państwo zainteresowani tematem i żądni większej dawki bardzo praktycznej wiedzy, to zapraszam do obejrzenia nagrania z webinarium.