Krótki przegląd decyzji w sprawie aplikacji mobilnych (RODO)

Jan Komosa

10.06.2022

kontrola UODO, UODO

W rocznym planie kontroli sektorowych UODO ujął podmioty, które przetwarzają dane osobowe przy użyciu aplikacji mobilnych. Warto więc przygotować się na kontrolę i przyjrzeć się temu, jak to wyglądało do tej pory.

W Polsce co do zasady nie było kar, które odnosiłyby się bezpośrednio do dostawcy aplikacji mobilnej. Niemniej warto mieć na uwadze, że część decyzji z obszarów technicznych, nawet jak ta ostatnia dot. Politechniki Warszawskiej, mogą być pomocne.

Z uwagi na to, że artykułów i spotkań online dot. decyzji Prezesa UODO jest sporo, to skupię się na innych aspektach.

Na początku przypomnijmy sobie, że to nie pierwszy moment kiedy UODO podejmuje temat aplikacji mobilnych. Nie wiem, czy ktoś jeszcze pamięta, ale kilka lat temu modna była aplikacja FaceeApp. Było o niej głośno głównie dlatego, że była rosyjska. Wtedy na stronie organu pojawiła się taka informacja„Prezes Urzędu Ochrony Danych Osobowych zapowiada, że jeżeli zagrożenia dla ochrony danych osobowych ze strony aplikacji FaceApp okażą się poważne, to zostanie wszczęte postępowanie z urzędu.”  Ciekawe czy organ nie zauważył zagrożenia, czy zauważył, ale nic nie zrobił, czy może zrobił, ale okazało się, że wszystko jest ok? Nie wiemy, gdyż nie było potem już więcej informacji na ten temat. Warto jednak przypomnieć sobie pismo organu z tamtego okresu.

Aplikacja mobilna może być zarówno przedmiotem głównej działalności, procesu biznesowego (np. aplikacje do przewozu osób), czasami występuje jednocześnie i równoważnie ze stroną (np. portale społecznościowe) ale czasami jest jedynie dodatkowym narzędziem w całej działalności (np. bankowość mobilna). Przykładem aplikacji mobilnej jako aktywa równoważnego może być Vinted:  Operatorem (platformy oraz powiązanej z nią aplikacji) jest Vinted UAB z siedzibą na Litwie.” Jak wskazał UODO:

W związku z otrzymaniem znacznej liczby skarg dotyczących serwisu sprzedażowego ubrań on-line vinted.com, prowadzonego przez litewską spółkę Vinted UAB, organy nadzorcze z Francji, Litwy i Polski podjęły współpracę w celu zbadania zgodności tej strony z przepisami RODO.”

Aplikacja mobilna podmiotów publicznych

Aplikacje mobilne co do zasady kojarzą nam się z grami, bankowością mobilną, mediami społecznościowymi itp. Warto jednak pamiętać, że korzystają z nich także szkoły (uczelnie) i podmioty publiczne. Przekonał się o tym urząd oświaty w Oslo. Aplikacja była wykorzystywana do komunikacji pomiędzy pracownikami szkoły, rodzicami a dziećmi. Kara została nałożona z uwagi na nie wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających odpowiedni do ryzyka poziom bezpieczeństwa. Słabe zabezpieczenia umożliwiły osobom nieuprawnionym dostęp do danych osobowych ponad 63 000 uczniów. Dodatkowo niepoprawnie była uregulowana możliwość zgłaszania nieobecności uczniów. Rodzice mogli umieszczać dane szczególnej kategorii jak np. dot. zdrowia. Kara wyniosła ostatecznie 120 tys euro. 

Także u nas jest sporo aplikacji mobilnych wykorzystywanych przez podmioty publiczne. Jest to obszar regulowany nie tylko przez RODO, ale także ustawę o dostępności cyfrowej stron internetowych i aplikacji mobilnych podmiotów publicznych. To tam znajdziemy chyba jedyną w Polsce legalną definicję aplikacji mobilnej.

Monitorowanie, a IOD

Dostawcy aplikacji mobilnych powinni także mieć na uwadze przepisy zobowiązujące do powołania Inspektora Ochrony Danych. Łatwo jest bowiem wejść w dużą skalę przetwarzania danych osobowych, a aplikacje niejednokrotnie służą do przetwarzania danych szczególnej kategorii lub monitorowania. Przekonała się o tym firma Glovo.

Hiszpański organ nadzoru stwierdził, że Glovo nie powołało IOD. Firma broniła się, że nie ma takiego obowiązku, ale zrobiła to w trakcie kontroli. Z opublikowanych informacji ciężko jednoznacznie wywnioskować, który aspekt działalności Glovo organ uznał za przesądzający o konieczności powołania IOD, ale prawdopodobnie monitorowanie, gdyż to właśnie na tą przesłankę powołał się przy nałożeniu kary w wysokości 25 tys. euro.

Warto podkreślić, że wiele aplikacji wykorzystuje funkcję do geolokalizacji. W tym kontekście ciekawe są wytyczne (wtedy jeszcze) GIODO, ale odwołujące się do RODO (Ktoś je jeszcze pamięta? Czy w ogóle ktoś pamięta kiedy organ ostatnio wydał podobny materiał? 😉 oraz regulacje sektorowe (np. dot. przewozu osób i funkcjonalności obliczenia opłaty w oparciu o wyliczenia długości trasy przy użyciu nawigacji systemu nawigacji satelitarnej).

Nie tylko geolokalizowanie ale i inne funkcje telefonu

Aplikacje mobilne mają możliwość wykorzystywania różnych funkcji urządzeń, na których są zainstalowane. Może to mocno wpływać na podmiot danych. Przekonała się o tym La Liga (taka hiszpańska ekstraklasa gdzie faktycznie gra się w piłkę nożną 😊). La Liga dostała karę od Hiszpańskiego organu w wysokości 250 tys. euro po tym jak oficjalna aplikacja do śledzenia rozgrywek była wykorzystywana do wykrywania barów, które nielegalnie pokazywały mecze. Aplikacja pozwalała lidze na zdalne aktywowanie mikrofonu w telefonie komórkowym w celu ustalenia, czy właściciel urządzenia był w barze, który nie zapłacił za prawa do transmisji meczu. Według AEPD (Hiszpańskiej Agencji Ochrony Danych), takie wykorzystanie funkcji telefonu przez aplikację, którą pobrało ponad 4 miliony osób, stanowiło naruszenie zasad przejrzystości.

O tym, że różne systemy mogą wykorzystywać urządzenia mobilne przekonali się podobno niektórzy z polityków w Polsce, ale i zwykli Cypryjczycy. Niewiele jest informacji o karach z Cypru, ale to jest przypadek wart uwagi. W okolicach lotniska jeździł samochód typu VAN. Okazało się, że to nie jest taki zwykły VAN i z pewnością nie była to taksówka. Jak się bowiem okazało była to „szpiegowska ciężarówka”, która zbierała MAC Address (Media Access Control Address) oraz IMSI (International Mobile Subscriber Identity) urządzeń z okolicy. Adres MAC to unikalny identyfikator urządzenia w sieci, a IMSI to 15-cyfrowy numer, który operatorzy komórkowi przypisują do terminali w sieci komórkowej. Oba mogą służyć do identyfikacji i śledzenia osób. Zbieranie tych danych było częścią „testów i prezentacji technologii”. Firma WiSpear została zarejestrowana w Limassol na Cyprze. Kierowana przez byłego oficera zawodowego w Izraelskich Siłach Obronnych (IDF). Firma dostała karę w wysokości 925 tys. euro za naruszenie zasady zgodnego z prawem, uczciwego i przejrzystego przetwarzania

2 w 1

Czas na mix powyższego, czyli aplikacja podmiotu publicznego, która wykorzystywała zbyt wiele funkcji urządzeń. Nie było to jednak jedyne naruszenie tego administratora, ale na  tym uchybieniu się skupię. Ze względu na trudności gospodarcze spowodowane przez Covid-19, rząd Islandii postanowił wzmocnić sektor turystyczny i małe firmy, wydając cyfrowy bon upominkowy o wartości 5000 IKR (około 34 euro) dla wszystkich Islandczyków powyżej 18 roku życia. Rząd Islandii zlecił firmie, żeby stworzyła aplikację do obsługi cyfrowych kart podarunkowych opartą na już istniejącej aplikacji opracowanej przez tę samą firmę.W swojej decyzji islandzki organ zauważył, że ze względu na sytuację gospodarczą duży nacisk położono na szybkość zarówno programowania, jak i publikacji aplikacji, co skutkowało nieodpowiednim dostosowaniem ustawień. Doprowadziło to do niezgodnego z prawem i niepotrzebnego gromadzenia danych osobowych (jak płeć) oraz dostępu do niepotrzebnych funkcji urządzeń mobilnych użytkownika np. do kontaktów i aparatu. Ministerstwo Przemysłu i Innowacji zostało ukarane grzywną w wysokości 7,5 mln ISK (ok. 50 800 euro), a firma YAY ehf. (firma tworząca i obsługująca aplikację) została ukarana grzywną w wysokości 4 mln ISK (ok. 27 100 euro).

Reklama behawioralna

Ostatnia decyzja, którą poruszę to ta dotycząca aplikacji Grindr. Dostawca aplikacji randkowej skierowanej do społeczności LGBTQ, został ukarany grzywną w wysokości 6,5 mln EUR za sprzedaż danych użytkowników reklamodawcom. Norweski Urząd Ochrony Danych stwierdził, że udostępnianie takich danych bez uzyskania wyraźnej zgody, złamało przepisy RODO. Dane, które aplikacja udostępniła stronom trzecim, obejmowały lokalizację GPS, adres IP, identyfikator reklamowy, wiek, płeć oraz fakt, że użytkownik był na Grindr. Norweski organ uznał, że:

„Bycie użytkownikiem Grindr wyraźnie wskazuje i wydaje się w większości przypadków dokładnie odzwierciedlać, że osoba, której dane dotyczą, należy do mniejszości seksualnej. (…) „Sformułowanie art. 9 nie wymaga ujawnienia konkretnej orientacji seksualnej. (…) Z tych powodów uważamy, że informacja, że osoba, której dane dotyczą, jest użytkownikiem Grindr, jest danymi 'dotyczącymi’ 'orientacji seksualnej’ osoby, której dane dotyczą.”

Podsumowanie

Aplikacje mobilne to bardzo szeroki temat, gdzie występuje dużo zmiennych, takich jak: zakres danych (który zależy od procesu), kontekst (czy przetwarzane są dane dot. szczególnej kategorii?), wykorzystywanie funkcji urządzenia (szeroki temat jak monitorowanie poprzez geolokalizowanie) itp. Koniecznie trzeba też pamiętać o kwestiach technicznych. Nie poruszonym w powyższym artykule ale ciekawym aspektem jest także możliwość logowania do aplikacji za pomocą innych dostawców np. Facebooka. Sam ten obszar jest istotny zarówno pod względem technicznym jak i prawnym. Jeśli są Państwo zainteresowani tematem i rządni większej dawki bardzo praktycznej wiedzy, to zapraszam do obejrzenia nagrania z webinarium.

Usługi prawne oraz IT

AML

Analiza ryzyka, outsourcing, monitorowanie transakcji, wdrożenia, audyty, KYC, ocena instytucji obowiązanej, szkolenia.

Szczegóły

RODO

Wsparcie Insektora Ochrony Danych, wdrożenia, audyty roczne oraz doraźne, analiza ryzyka.

Szczegóły

Sygnaliści

Audyty funkcjonującego systemu dokonywania zgłoszeń, opracowanie dokumentacji, wzorów procedur, umów i innych dokumentów. Wdrożenia, ustalanie kanałów zgłoszeń, opracowanie regulaminów, szkolenia.

Szczegóły

Wsparcie IT

Audyty IT, administracja, analizy i wdrożenia, obsługa, inne

Szczegóły