Obowiązki dostawców sklepów z aplikacjami w związku z ochroną prywatności użytkowników
Regulatorzy ochrony prywatności dają wskazówki na temat zasad obowiązujących dostawców app marketplaces.
Jednym z najpoważniejszych wyzwań związanych z funkcjonowaniem internetu jest skuteczna ochrona prywatności jego użytkowników. Zasady dotyczące ochrony danych osobowych, zapewniane przez krajowe i unijne przepisy prawne, są w istocie instrumentami dość ogólnymi i nieskomplikowanymi. W sytuacjach złożonych muszą być one wspierane interpretacją na podstawie celu danej regulacji oraz środkami tzw. „miękkiego prawa” (soft law), rozumianego jako niewiążące wskazówki organów publicznych dla uczestników rynku.
Ochrona danych osobowych w środowisku aplikacji
W ostatnich latach jedną z wielu kwestii prawnych związanych z ochroną prywatności w świecie cyfrowym okazał się problem właściwego stosowania prawa ochrony danych osobowych w środowisku aplikacji na smartfony, tablety i inne urządzenia, dystrybuowane przez internetowe sklepy z aplikacjami (app marketplaces). Jedną z odsłon tego problemu jest zagadnienie obowiązków poszczególnych interesariuszy rynku internetowych sklepów z aplikacjami. Oprócz twórców aplikacji i użytkowników występują na nim bowiem także dostawcy systemów operacyjnych (OS), wspomniani dostawcy internetowych sklepów z aplikacjami oraz inne podmioty.
W teorii właściwa ochrona danych osobowych użytkowników aplikacji pobranych ze sklepów internetowych w związku z używaniem tych aplikacji, rozumiana m.in. jako gwarantowanie właściwego przetwarzania danych oraz odpowiednie informowanie użytkownika o zakresie przetwarzania, zapewniana jest przez ogólne przepisy prawa ochrony danych osobowych. Zgodnie z przyjętym standardem obowiązki regulacyjne nałożone są na podmioty przetwarzające dane osobowe (tj. wykonujące jakiekolwiek operacje na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie), a w szczególności na administratorów danych osobowych (tj. podmioty decydujące o celach i środkach przetwarzania danych osobowych). Przetwarzanie danych osobowych jest dopuszczalne w określonych sytuacjach, m.in. gdy osoba, której dane dotyczą, wyrazi na to zgodę lub gdy jest to konieczne do realizacji umowy, której stroną jest osoba, której dane dotyczą.
W praktyce zapewnienie użytkownikom aplikacji właściwego poziomu ochrony danych osobowych jest utrudnione. Wynika to z wielu czynników, a jednym z nich jest problematyczna kwestia informowania użytkowników o zasadach przetwarzania ich danych osobowych oraz o stosowanej polityce prywatności. Nałożenie obowiązków informacyjnych na podmioty przetwarzające dane osobowe w związku z używaniem aplikacji (najczęściej twórców aplikacji) okazuje się w praktyce niewystarczające. Ogromną rolę w dystrybucji aplikacji oraz informowaniu o ich funkcjonalnościach, zasadach działania itp. odgrywają bowiem inne podmioty, a w szczególności dostawcy internetowych sklepów z aplikacjami. Użytkownik czerpie wszak informacje o aplikacji, w szczególności na etapie poprzedzającym jej ściągnięcie, najczęściej z internetowego sklepu z aplikacjami.
Opinia regulatorów
Stosowanie przepisów o ochronie danych osobowych do dostawców internetowych sklepów z aplikacjami, w sytuacji gdy oni sami nie przetwarzają danych osobowych pozyskiwanych za pośrednictwem aplikacji, jest jednak utrudnione. Taki stan rzeczy nie uchodzi uwadze krajowych organów ochrony danych osobowych (odpowiedników GIODO) na całym świecie, którzy 9 grudnia 2014 r. opublikowali list otwarty do dostawców internetowych sklepów z aplikacjami (Joint Open Letter to App Marketplaces). List został bezpośrednio wysłany do firm Apple, Google, Samsung, Microsoft, Nokia, Blackberry oraz Amazon.com, ale adresowany jest do wszystkich przedsiębiorców działających w tym obszarze.
Już sama forma komunikacji wybrana przez publiczne organy ochrony danych osobowych (list podpisało 23 z nich) wskazuje na jej niewiążący, „miękki” charakter. Autorzy listu zwrócili uwagę dostawcom internetowych sklepów z aplikacjami na wyżej wspomnianą kwestię oraz podkreślili ich rolę w zapewnianiu właściwego poziomu ochrony prywatności użytkowników aplikacji. Punktem wyjścia dla organów ochrony danych osobowych stały się badania przeprowadzone przez organizację Global Privacy Enforcement Network (GPEN), zrzeszającą czterdziestu krajowych regulatorów ochrony prywatności z całego świata. Grupa ta zbadała 1200 najpopularniejszych aplikacji na świecie pod kątem właściwego poinformowania korzystających z nich konsumentów o tym, jak działanie aplikacji wiąże się z ochroną prywatności.
Wyniki badania okazały się możliwe do przewidzenia – liczne aplikacje korzystają z danych wchodzących w zakres prywatności użytkowników, nie informując ich o tym za pośrednictwem polityk prywatności. Sygnatariusze listu do internetowych sklepów z aplikacjami zwrócili uwagę na rolę, jaką w informowaniu użytkowników o stosowanych przez twórców aplikacji politykach prywatności odgrywają internetowe sklepy z aplikacjami. Zauważono w szczególności, że o ile niektóre sklepy pozwalają twórcom opublikować na podstronie danej aplikacji link do polityki prywatności, nie jest to zazwyczaj obowiązkowa praktyka. Regulatorzy podkreślili, że publikacja takiego dokumentu powinna być obowiązkowa w przypadku aplikacji, za której pośrednictwem następuje przetwarzanie danych osobowych użytkowników.
Kwestia ochrony prywatności użytkowników aplikacji pojawiała się już we wcześniejszych wypowiedziach regulatorów. Temu zagadnieniu poświęcona została m.in. „Deklaracja Warszawska w sprawie upowszechniania się aplikacji w społeczeństwie”, przyjęta na 35. Międzynarodowej Konferencji Rzeczników Ochrony Danych i prywatności we wrześniu 2013 r., chociaż nie poruszono tam zagadnienia odpowiedzialności internetowych sklepów z aplikacjami.
Jak dotąd najobszerniejsze wskazówki na temat tej odpowiedzialności zostały podane w opinii Grupy Roboczej Art. 29, skupiającej unijnych rzeczników prywatności i ochrony danych (00461/12/EN). Zawarto w niej m.in. następujące wymogi oraz zalecenia dla sklepów internetowych:
- obowiązek wypełnienia wymagań związanych z przetwarzaniem danych osobowych użytkowników (gdy sklep przetwarza te dane);
- obowiązek wymagania od twórcy aplikacji podania określonych informacji, w tym z jakiego typu danych korzysta aplikacja oraz czy i w jakim celu są one dzielone z osobami trzecimi;
- zalecenie wypracowania narzędzi kontroli dla użytkowników, które umożliwią im sprawne zapoznanie się z kwestią dostępu aplikacji do ich danych osobowych;
- zalecenie zapewnienia przyjaznej dla użytkownika deinstalacji aplikacji;
- zalecenie ostrzegania twórców aplikacji o specyfice prawa Unii Europejskiej przed dopuszczeniem aplikacji do dystrybucji w państwach członkowskich.
Powyższe wymogi i zalecenia mają tym większe znaczenie, że interpretacje dokonywane przez Grupę Roboczą Art. 29 odgrywają doniosłą rolę w praktyce stosowania prawa, także w Polsce.
Potrzeba monitorowania działań regulatorów
Warto zwrócić uwagę, że list otwarty do dostawców internetowych sklepów z aplikacjami nie został podpisany przez wszystkich rzeczników zrzeszonych
w GPEN. Może to oznaczać, że nie wszyscy rzecznicy aprobują obejmowanie regulacjami podmiotów niewymienionych wyraźnie w przepisach. Z drugiej strony takie podejście z pewnością jest bardziej niż gdziekolwiek indziej rozpowszechnione w Unii Europejskiej, gdzie często zagadnieniom ochrony prywatności przyznaje się priorytet nad innymi wartościami, w tym gospodarczymi. Mając to na uwadze, zarówno twórcy aplikacji, jak i inne podmioty uczestniczące w tym rynku, w tym operatorzy internetowych sklepów z aplikacjami (zarówno giganci, jak i mniejsze podmioty) powinni monitorować działania regulatorów. „Miękkie prawo” może bowiem w krótkim czasie przyjąć formę obowiązującej interpretacji przepisów.
Jacek Czarnecki, praktyka prawa nowych technologii kancelarii Wardyński i Wspólnicy
Artykuł ukazał się w Biuletynie Praktyki Prawa Nowych Technologii kancelarii Wardyński i Wspólnicy, marzec 2015