Analizy i badania

Obowiązki dostawców sklepów z aplikacjami w związku z ochroną prywatności użytkowników

<p><strong>Regulatorzy ochrony prywatności dają wskazówki na temat zasad obowiązujących dostawców <em>appmarketplaces</em>.</strong></p>

>

Jednym z najpoważniejszych wyzwań zwi?zanych z funkcjonowaniem internetu jest skuteczna ochrona prywatności jego użytkowników. Zasady dotycz?ce ochrony danych osobowych, zapewniane przez krajowe i unijne przepisy prawne, s? w istocie instrumentami dość ogólnymi i nieskomplikowanymi. W sytuacjach złożonych musz? być one wspierane interpretacj? na podstawie celu danej regulacji oraz środkami tzw. „miękkiego prawa” (soft law), rozumianego jako niewi?ż?ce wskazówki organów publicznych dla uczestników rynku.

Ochrona danych osobowych w środowisku aplikacji

W ostatnich latach jedn? z wielu kwestii prawnych zwi?zanych z ochron? prywatności w świecie cyfrowym okazał się problem właściwego stosowania prawa ochrony danych osobowych w środowisku aplikacji na smartfony, tablety i inne urz?dzenia, dystrybuowane przez internetowe sklepy z aplikacjami (appmarketplaces). Jedn? z odsłon tego problemu jest zagadnienie obowi?zków poszczególnych interesariuszy rynku internetowych sklepów z aplikacjami. Oprócz twórców aplikacji i użytkowników występuj? na nim bowiem także dostawcy systemów operacyjnych (OS), wspomniani dostawcy internetowych sklepów z aplikacjami oraz inne podmioty.

W teorii właściwa ochrona danych osobowych użytkowników aplikacji pobranych ze sklepów internetowych w zwi?zku z używaniem tych aplikacji, rozumiana m.in. jako gwarantowanie właściwego przetwarzania danych oraz odpowiednie informowanie użytkownika o zakresie przetwarzania, zapewniana jest przez ogólne przepisy prawa ochrony danych osobowych. Zgodnie z przyjętym standardem obowi?zki regulacyjne nałożone s? na podmioty przetwarzaj?ce dane osobowe (tj. wykonuj?ce jakiekolwiek operacje na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie), a w szczególności na administratorów danych osobowych (tj. podmioty decyduj?ce o celach i środkach przetwarzania danych osobowych). Przetwarzanie danych osobowych jest dopuszczalne w określonych sytuacjach, m.in. gdy osoba, której dane dotycz?, wyrazi na to zgodę lub gdy jest to konieczne do realizacji umowy, której stron? jest osoba, której dane dotycz?.

W praktyce zapewnienie użytkownikom aplikacji właściwego poziomu ochrony danych osobowych jest utrudnione. Wynika to z wielu czynników, a jednym z nich jest problematyczna kwestia informowania użytkowników o zasadach przetwarzania ich danych osobowych oraz o stosowanej polityce prywatności. Nałożenie obowi?zków informacyjnych na podmioty przetwarzaj?ce dane osobowe w zwi?zku z używaniem aplikacji (najczęściej twórców aplikacji) okazuje sięw praktyce niewystarczaj?ce. Ogromn? rolę w dystrybucji aplikacji oraz informowaniu o ich funkcjonalnościach, zasadach działania itp. odgrywaj? bowiem inne podmioty, a w szczególności dostawcy internetowych sklepów z aplikacjami. Użytkownik czerpie wszak informacje o aplikacji, w szczególności na etapie poprzedzaj?cym jej ści?gnięcie, najczęściej z internetowego sklepu z aplikacjami.

Opinia regulatorów

Stosowanie przepisów o ochronie danych osobowych do dostawców internetowych sklepów z aplikacjami,w sytuacji gdy oni sami nie przetwarzaj? danych osobowych pozyskiwanych za pośrednictwem aplikacji, jest jednak utrudnione. Taki stan rzeczy nie uchodzi uwadze krajowych organów ochrony danych osobowych (odpowiedników GIODO) na całym świecie, którzy 9 grudnia 2014 r. opublikowali list otwarty do dostawców internetowych sklepów z aplikacjami (Joint Open Letter to AppMarketplaces). List został bezpośrednio wysłany do firm Apple, Google, Samsung, Microsoft, Nokia, Blackberry oraz Amazon.com, ale adresowany jest do wszystkich przedsiębiorców działaj?cych w tym obszarze.

Już sama forma komunikacji wybrana przez publiczne organy ochrony danych osobowych (list podpisało 23 z nich) wskazuje na jej niewi?ż?cy, „miękki” charakter. Autorzy listu zwrócili uwagę dostawcom internetowych sklepów z aplikacjami na wyżej wspomnian? kwestię oraz podkreślili ich rolę w zapewnianiu właściwego poziomu ochrony prywatności użytkowników aplikacji. Punktem wyjścia dla organów ochrony danych osobowych stały się badania przeprowadzone przez organizację Global PrivacyEnforcement Network (GPEN), zrzeszaj?c? czterdziestu krajowych regulatorów ochrony prywatności z całego świata. Grupa ta zbadała 1200 najpopularniejszych aplikacji na świecie pod k?tem właściwego poinformowania korzystaj?cych z nich konsumentów o tym, jak działanie aplikacji wi?że się z ochron? prywatności.

Wyniki badania okazały się możliwe do przewidzenia – liczne aplikacje korzystaj? z danych wchodz?cychw zakres prywatności użytkowników, nie informuj?c ich o tym za pośrednictwem polityk prywatności. Sygnatariusze listu do internetowych sklepów z aplikacjami zwrócili uwagę na rolę, jak? w informowaniu użytkowników o stosowanych przez twórców aplikacji politykach prywatności odgrywaj? internetowe sklepyz aplikacjami. Zauważono w szczególności, że o ile niektóre sklepy pozwalaj? twórcom opublikować na podstronie danej aplikacji link do polityki prywatności, nie jest to zazwyczaj obowi?zkowa praktyka. Regulatorzy podkreślili, że publikacja takiego dokumentu powinna być obowi?zkowa w przypadku aplikacji, za której pośrednictwem następuje przetwarzanie danych osobowych użytkowników.

Kwestia ochrony prywatności użytkowników aplikacji pojawiała się już we wcześniejszych wypowiedziach regulatorów. Temu zagadnieniu poświęcona została m.in. „Deklaracja Warszawska w sprawie upowszechniania się aplikacji w społeczeństwie”, przyjęta na 35. Międzynarodowej Konferencji Rzeczników Ochrony Danych i prywatności we wrześniu 2013 r., chociaż nie poruszono tam zagadnienia odpowiedzialności internetowych sklepów z aplikacjami.

Jak dot?d najobszerniejsze wskazówki na temat tej odpowiedzialności zostały podane w opinii Grupy Roboczej Art. 29, skupiaj?cej unijnych rzeczników prywatności i ochrony danych (00461/12/EN). Zawartow niej m.in. następuj?ce wymogi oraz zalecenia dla sklepów internetowych:

  • obowi?zek wypełnienia wymagań zwi?zanychz przetwarzaniem danych osobowych użytkowników (gdy sklep przetwarza te dane);
  • obowi?zek wymagania od twórcy aplikacji podania określonych informacji, w tym z jakiego typu danych korzysta aplikacja oraz czy i w jakim celu s? one dzielone z osobami trzecimi;
  • zalecenie wypracowania narzędzi kontroli dla użytkowników, które umożliwi? im sprawne zapoznanie się z kwesti? dostępu aplikacji do ich danych osobowych;
  • zalecenie zapewnienia przyjaznej dla użytkownika deinstalacji aplikacji;
  • zalecenie ostrzegania twórców aplikacji o specyfice prawa Unii Europejskiej przed dopuszczeniem aplikacji do dystrybucji w państwach członkowskich.

Powyższe wymogi i zalecenia maj? tym większe znaczenie, że interpretacje dokonywane przez Grupę Robocz? Art. 29 odgrywaj? doniosł? rolę w praktyce stosowania prawa, także w Polsce.

Potrzeba monitorowania działań regulatorów

Warto zwrócić uwagę, że list otwarty do dostawców internetowych sklepów z aplikacjami nie został podpisany przez wszystkich rzeczników zrzeszonych

w GPEN. Może to oznaczać, że nie wszyscy rzecznicy aprobuj? obejmowanie regulacjami podmiotów niewymienionych wyraźnie w przepisach. Z drugiej strony takie podejście z pewności? jest bardziej niż gdziekolwiek indziej rozpowszechnione w Unii Europejskiej, gdzie często zagadnieniom ochrony prywatności przyznaje się priorytet nad innymi wartościami, w tym gospodarczymi. Maj?c to na uwadze, zarówno twórcy aplikacji, jak i inne podmioty uczestnicz?ce w tym rynku, w tym operatorzy internetowych sklepów z aplikacjami (zarówno giganci, jak i mniejsze podmioty) powinni monitorować działania regulatorów. „Miękkie prawo” może bowiem w krótkim czasie przyj?ć formę obowi?zuj?cej interpretacji przepisów.

Jacek Czarnecki,praktyka prawa nowych technologii kancelarii Wardyński i Wspólnicy

Artykuł ukazał się w Biuletynie Praktyki Prawa Nowych Technologii kancelarii Wardyński i Wspólnicy, marzec 2015

Share this page Share on FacebookShare on TwitterShare on Linkedin