Szpiegostwo telekomunikacyjne

Polityk niemieckiej partii Zielonych Malte Spitz udostępnił w Zeit Online dokładny zapis tego, co robił przez pół roku. Dokładne informacje uzyskał od swojego operatora . Chciał w ten sposób zwrócić uwagę, jak wiele danych o nas mogą przekazywać telefony komórkowe. Opublikowane dane wskazywały m.in. gdzie bywał, kiedy i jak podróżował, w jakich porach lubić rozmawiać przez telefon, a nawet kiedy spał. Wszystkie te dane były zapisane w systemach jego dostawcy usług telekomunikacyjnych - Deutsche Telekom, a przekazane przez jego telefon.

Tematem danych zbieranych przez inteligentne urządzenia mobilne zajęła się - w niedawnej opinii dotyczącej usług geolokalizacji - Grupa Robocza Artykułu 29 ds. danych osobowych. Jest to organ unijny, w którego skład wchodzi m.in. polski Generalny Inspektor Ochrony Danych Osobowych. Usługi wykorzystujące geolokalizację, mimo że często ułatwiają i uprzyjemniają nam życie - wskazując np. najbliższy bankomat, prognozę pogody dla miejsca w którym jesteśmy, czy drogę do hotelu w obcym mieście - pobierają jednocześnie prywatne dane użytkowników.

Użytkownicy smartfonów i tabletów - podobnie jak Malte Spitz - niechętnie rozstają się ze swoimi gadżetami. Stąd ustalenie lokalizacji smartfonu oznacza w praktyce uzyskanie informacji, gdzie znajduje się jego właściciel. Zbieranie i zestawienie ze sobą takich informacji, pozwala zaś na określenie wielu cech dotyczących użytkownika, np. miejsce jego zamieszkania, drogę do pracy, a nawet sposób spędzania wolnego czasu, czy jego zwyczajów, w tym informacji czy wyłącza smartfon na noc. W skrajnych przypadkach, w skład uzyskanych danych mogą wchodzić dane wrażliwe, takie jak informacje o stanie zdrowia (na podstawie ustalenia, że osoba bywa np. w klinice kardiologicznej) czy przekonaniach politycznych (np. ustalenie, że osoba odwiedza siedzibę określonej partii politycznej).

Na to właśnie chce zwrócić uwagę Grupa Robocza Artykułu 29. Wskazuje ona ponadto, że dostęp do danych o naszej lokalizacji mogą mieć nie tylko operatorzy, ale też inne podmioty, w tym operatorzy systemów geolokalizacyjnych, podmioty świadczące usługi geolokalizacyjne, a także producenci urządzeń i oprogramowania wykorzystywanego do świadczenia tego typu usług. Grupa wskazuje, że wielu użytkowników smartfonów nie jest świadomych jakiego typu informacje przekazują usługodawcom, dlatego zgoda ta powinna być uzyskana w szczególnie staranny sposób.

Użytkownicy smartfonów muszą zostać powiadomieni o przetwarzaniu ich danych w sposób zrozumiały dla osoby nie posiadającej wiedzy technicznej. Muszą uzyskać informacje o nazwie administratora danych, celu przetwarzania, typach zbieranych danych oraz prawie do dostępu oraz poprawiania danych (w tym danych dotyczących profilu użytkownika). Do dobrych praktyk zalecanych przez Grupę należy okresowe ponawianie pytania o zgodę, nawet jeśli okoliczności przetwarzania się nie zmieniły. Użytkownicy powinni mieć możliwość łatwego wycofania zgody.

Co więcej, Grupa zaleca wyświetlanie się ikonki wskazującej, że geolokalizacja jest włączona. Ponadto, zdaniem Grupy dostawcy programów lub usług geolokalizacyjnych powinni wdrożyć odpowiednie procedury, aby dane geolokalizacyjne lub profile powstałe w oparciu o te dane będą usuwane po upłynięciu uzasadnionego czasu. Grupa zwraca uwagę, że istnienie technicznej możliwości transmitowania przez danych lokacyjnych do osób, nie będących użytkownikami urządzenia, nie oznacza, że taka transmisja jest zawsze zgodna z prawem. Jako przykład podaje monitorowanie wykonywania obowiązków pracowniczych przez pracodawcę za pomocą systemu wbudowanego w samochód służbowy.

Grupa zwraca uwagę, że takie monitorowanie, musi szanować prawo pracowników do prywatności i służyć sprawdzeniu gdzie znajduje się pojazd, a nie np. śledzeniu czy pracownik przekracza dozwoloną prędkość. Pracownik musi o nim wiedzieć i mieć możliwość wyłączenia monitorowania po godzinach pracy. W Polsce tego typu usługi dopiero stają się popularne, ale należy się spodziewać że wraz z dynamicznym rozwojem rynku smartfonów i serwisów społecznościowych, niedługo powinniśmy się zacząć bacznie przyglądać tego typu wyzwaniom. Warto podkreślić, że mimo iż opinia Grupy Roboczej Artykułu 29 nie ma charakteru wiążącego, Generalny Inspektor Ochrony Danych Osobowych - interpretując przepisy ustawy o ochronie danych osobowych - posiłkuje się jej wytycznymi.

 

red. mediologia.pl

Drukuj E-mail