Nedostatečné dodržování zásad při nakládání s osobními daty získanými z mobilních aplikací dělá starost Pracovní skupině pro ochranu dat. Ta byla ustavena podle článku 29 evropské směrnice pro ochranu osobních údajů z roku 1995 a koncem letošního února vydala další ze svých pravidelných stanovisek.
Článek 29Pracovní skupina pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů 1. Zřizuje se pracovní skupina pro ochranu fyzických osob v souvislosti se zpracováním osobních údajů (dále jen "pracovní skupina"). Pracovní skupina má poradní funkci a je nezávislá. 2. Pracovní skupinu tvoří zástupce orgánu dozoru nebo orgánů dozoru určených jednotlivými členskými státy, zástupce orgánu nebo orgánů vytvořených pro orgány a instituce Společenství a zástupce Komise. Každý člen pracovní skupiny je jmenován institucí, orgánem nebo orgány, které zastupuje. Pokud členský stát určil několik orgánů dozoru, jmenují tyto orgány společného zástupce. Obdobně je tomu v případě orgánů vytvořených pro orgány a instituce Společenství. 3. Pracovní skupina přijímá rozhodnutí prostou většinou zástupců orgánů dozoru. 4. Pracovní skupina zvolí svého předsedu. Funkční období předsedy je dva roky. Může být zvolen opakovaně. 5. Sekretariát pracovní skupiny zajišťuje Komise. 6. Pracovní skupina přijme svůj jednací řád. 7. Pracovní skupina projednává otázky zařazené na pořad jednání jejím předsedou buď z jeho podnětu, nebo na žádost zástupce orgánů dozoru nebo Komise. |
K informacím o pohybu mobilních uživatelů měli dříve přístup pouze operátoři, ale dnes jsou tato data přístupná prostřednictvím mobilních aplikací i jejich vývojářům. Aplikace mají přístup například k telefonnímu seznamu, identifikátorům telefonu (IMEI, IMSI, UDID), informacím o hovorech, platebních úkonech, k textovým zprávám, k historii internetového prohlížeče, e-mailové komunikaci i biometrickým údajům z rozpoznávání obličejů či otisků prstů.
Pracovní skupina poukazuje především na nepřehlednost vývoje mobilních aplikací. Na vývoji i na následné distribuci se podílí další strany, které jsou vzájemně propojeny. K osobním datům uživatelů tak mají přístup například i aplikační obchody, výrobci mobilních zařízení, vývojáři operačních systémů či subjekty, které mohou být zapojeny do sběru a zpracování získaných dat. Sám uživatel tak nemá šanci ohlídat, kdo všechno nakládá s jeho osobními daty.
Jeden souhlas často nestačí
Zcela tedy chybí transparentnost. Data jsou sice primárně využívána jako podklad k dalšímu vývoji dané aplikace, avšak v neposlední řadě také k výdělku jejich autorů, a to díky možnosti cílené reklamy na telefonu konkrétního uživatele.
Zcela nedostatečným je v tuto chvíli jediný uživatelův souhlas k nakládání s jeho osobními údaji, který je vyžadován před samotnou instalací aplikace.
Například vývojář aplikace, která uživateli poskytuje informace o podnicích v jeho okolí, by správně neměl bez dalšího jeho souhlasu využívat jiné údaje, než geolokační, které jsou potřeba k funkčnosti aplikace. Pokud má tedy taková aplikace přístup také například k telefonnímu seznamu, což pro její správné fungování není důležité, měl by podle Pracovní skupiny mít autor takové aplikace další souhlas uživatele.
Ani aplikace, které cíleně využívají telefonního seznamu, by podle Pracovní skupiny neměly mít bez jeho souhlasu přístup ke kontaktům, které sám nepovolí. I osoby, jejichž osobní údaje aplikace dosud používají bez jejich vědomí, by měly mít právo s takovým nakládáním nejprve souhlasit. Otázkou je však samotná proveditelnost tohoto kroku.
Zákon platí pro všechny
Podle nezávislého evropského poradního orgánu přibývá do aplikačních obchodů více než 1 600 nových aplikací denně. Průměrný uživatel pak každý den stáhne 37 aplikací. Ty sice mohou zapadnout v zapomnění, ale mohou mít také miliony uživatelů. Všechny strany, které se na vývoji takové aplikace podílely, pak mají přístup k obrovskému množství osobních údajů.
Evropskému poradnímu orgánu dělají starosti především drobní vývojáři, kteří často zákon o ochraně osobních údajů nedodržují. Navíc doporučuje, aby v aplikačních obchodech nebyly aplikace jejich uživateli hodnoceny jen podle toho, jak moc jsou "cool", ale také podle funkcí. U každé aplikace by navíc měly být uvedeny veškeré nutné informace o ochraně osobních údajů.
Sám uživatel by měl mít mimo jiné také právo určit, jaké jeho osobní údaje a po jaké období bude moci druhá strana shromažďovat. Společnosti vyvíjející operační systémy by pak měly uživatelům umožnit při odinstalování dané aplikace také odstranění všech jejich osobních údajů, které za dobu jejího užívání se souhlasem poskytli.