Lokalizowanie w aplikacjach mobilnych. Jak działać zgodnie z przepisami?

W ostatnim czasie wśród unijnych instytucji możemy zaobserwować wzmożoną aktywność prawodawczą, której celem jest wzmocnienie prawa do prywatności obywateli. Na pierwszy plan wysuwają się w tym zakresie dwa nowe unijne rozporządzenia: o ochronie danych osobowych (RODO) oraz o prywatności i łączności elektronicznej (ePrivacy), które mają wejść w życie w maju 2018 roku. Zastąpią one „wysłużone” dyrektywy uchwalone odpowiednio w 1995 oraz 2002 roku, a więc w czasach, gdy Internet i nowe technologie dopiero się rozwijały . Konieczność aktualizacji przepisów była zatem oczywista, gdyż dotychczasowe normy przestały odpowiadać najnowszym trendom technologicznym i rynkowym

Najnowsza opinia GIODO

W powyższy trend wpisuje się również ostatnie wystąpienie polskiego Generalnego Inspektora Danych Osobowych (GIODO) o przetwarzaniu i dostępie do danych geolokalizacyjnych, które podsumowuje dotychczas wypracowane zasady obowiązujące przy lokalizowaniu osób (w szczególności w związku ze świadczeniem na ich rzecz usług) jak również sygnalizuje zmiany, jakie w tym obszarze nastąpią po nowelizacji unijnych przepisów. Wystąpienie GIODO przypomina podstawowe zasady, m.in.:

• dane geolokalizacyjne mogą być przetwarzane wyłącznie w określonym celu (nie można zatem ich zbierać i używać „na zapas” czy bez wyraźnego powodu);
• dane geolokalizacyjne powinny być przetwarzane wyłącznie w takim zakresie i przez taki okres, jaki jest niezbędny do osiągnięcia celu (nie jest więc dozwolone stałe lokalizowanie użytkownika, jeżeli z okoliczności wynika, że życzył sobie on wyłącznie jednorazowego zlokalizowania np. na potrzeby jednokrotnego wyznaczenia trasy lub wskazania najbliższego użytecznego miejsca, tzw. POI);
• dane geolokalizacyjne powinny być zachowywane w poufności, a więc odpowiednio zabezpieczone technicznie i organizacyjnie oraz wykorzystywane wyłącznie przez te podmioty i w takim zakresie, w jakim niezbędne to jest do realizacji celu przetwarzania.

Kto za to wszystko odpowiada?

Za wdrożenie powyższych zasad odpowiedzialni są w głównej mierze administratorzy danych, którymi – w przypadku danych geolokalizacyjnych – mogą być różne podmioty, w zależności od celu i kontekstu przetwarzania. Funkcję taką pełnić może m.in przedsiębiorca telekomunikacyjny ustalający lokalizację użytkownika za pomocą stacji bazowych na potrzeby świadczenia usług telekomunikacyjnych oraz tzw. usług o wartości wzbogaconej (przedsiębiorców tych obowiązują podwyższone wymagania wynikające ze wspomnianej dyrektywy eprivacy z 2002 r., wdrożone w ustawie Prawo telekomunikacyjne z 2004 roku). Rolę administratora może pełnić także właściciel systemu operacyjnego urządzenia mobilnego, jeżeli system taki gromadzi dane geolokalizacyjne, np. w celu umożliwienia użytkownikowi odnalezienia urządzenia czy chociażby w celu aktualizacji strefy czasowej w jego systemowych ustawieniach. Wydaje się jednak, że – wraz z rozwojem technologicznym i postępującą cyfryzacją życia – niekwestionowanym liderem w wykorzystywaniu danych o lokalizacji osób stali się administratorzy aplikacji mobilnych oferujący za ich pośrednictwem różnego rodzaju usługi elektroniczne.

Lokalizowanie w aplikacjach – czy potrzebna nam zgoda?

Wśród publicznych instytucji zajmujących się tematyką ochrony danych osobowych dominuje pogląd. zgodnie z którym – ze względu na „wrażliwość” danych geolokalizacyjnych – zasadniczą podstawą do ich przetwarzania powinna być zgoda użytkownika spełniająca wymagania określone w przepisach. Wydaje się jednak, że w niektórych przypadkach nie jest ona bezwzględnie konieczna.

W pierwszym rzędzie należy zauważyć, że dane geolokalizacyjne to praktycznie zawsze dane osobowe – niezależnie od faktu, czy zbierane są w towarzystwie innych danych czy samodzielnie. Wynika to ze specyfiki technologii lokalizujących (stacje bazowe, GPS, Wi-Fi), których precyzja waha się z reguły od kilku do kilkudziesięciu metrów. Z wyłączeniem zatem sytuacji, gdy przetwarzanie odbywa się w silnie zatłoczonych miejscach, każda z powyższych technologii umożliwia bezproblemowe wskazanie lokalizowanej osoby.

Z drugiej strony, aby zastosowanie miały przepisy o ochronie danych osobowych i powstał wymóg pozyskania ewentualnej zgody na lokalizowanie, administrator aplikacji powinien posiadać kontrolę lub przynajmniej dostęp do tego typu danych. Jeżeli zatem aplikacja mobilna nie korzysta w żadnym stopniu w zasobów producenta aplikacji (np. nie przesyła ich na serwer ani w żaden inny sposób ich nie udostępnia), a lokalizowanie polega wyłącznie na przesyłaniu informacji pomiędzy urządzeniem mobilnym a systemem lokalizacyjnym (np. GPS), nad którym producent aplikacji nie posiada kontroli, to należy uznać, że nie uzyskuje on statusu administratora tych danych. Biorąc jednak pod uwagę, że praktyką rynkową jest tworzenie aplikacji z reguły rozbudowanych, o możliwie dużej liczbie funkcjonalności (zarówno z perspektywy użytkownika jak i administratora aplikacji), ten typ aplikacji nie będzie zbyt często spotykany.

W końcu, nie można wykluczyć, że przetwarzanie danych geolokalizacyjnych odbywać się będzie na innej podstawie niż zgoda użytkownika. Należy bowiem zauważyć, że zasadniczo klient, instalując lub uruchamiając aplikację, zawiera jednocześnie umowę na świadczenie za jej pośrednictwem usługi elektronicznej. Z kolei przepisy o ochronie danych osobowych wskazują, że podstawą prawną do przetwarzania jest nie tylko zgoda, lecz również m.in. fakt, że przetwarzanie danych jest niezbędne do realizacji umowy z osobą, której określone dane dotyczą. Podstawę taką mocno ogranicza jednak kryterium „niezbędności”, co prezentują poniższe, hipotetyczne przykłady:

Przykład 1. Aplikacja mobilna dla Festiwalu muzycznego „X”, w której obok możliwości poznania harmonogramu festiwalu, informacji o artystach czy skomentowania wydarzenia, istnieje również możliwość skorzystania z funkcjonalności, za pomocą której użytkownikowi zostanie wskazana najkrótsza droga do określonego miejsca na terenie festiwalu.

Przykład 2. Aplikacja mobilna „Wskaż mi drogę do domu”, z której nazwy, warunków korzystania oraz rzeczywistych funkcji jednoznacznie wynika, że lokalizowane jest podstawowym, niezbędnym narzędziem wymaganym do wykonania świadczonej poprzez aplikację usługi.

Z przykładu nr 1 wynika, że w momencie instalacji aplikacji mobilniej nie jest przesądzone, czy użytkownik pragnie skorzystać z jej funkcjonalności lokalizacyjnej. Zatem samo zainstalowanie aplikacji i akceptacja jej regulaminu, nie dają podstawy do przetwarzania danych geolokalizacyjnych, a w konsekwencji aktualny pozostaje wymóg pozyskania odpowiedniej zgody w odpowiednim momencie. Z kolei aplikacja z przykładu nr 2 wydaje się spełniać kryterium „niezbędności” i uprawniać do „umownej” podstawy przetwarzania. Biorąc jednak pod uwagę wspomniane „wrażliwe” podejście publicznych instytucji do tematu lokalizowania, za dobrą i pożądaną praktykę należy uznać poproszenie użytkownika o wyrażenie zgody również w tym przypadku – chociażby po to, aby zwiększyć świadomość użytkowników w zakresie zasad działania i konsekwencji wykorzystywania danej aplikacji.

Treść zgody na lokalizowanie – przepisy kontra rzeczywistość

Jak wygląda wyrażenie zgody na lokalizowanie przez aplikację mobilną zdaje sobie sprawę niemal każdy użytkownik smartfona. Jest to jedna z wielu niezwykle tajemniczych i lakonicznych zgód wyrażanych podczas instalacji aplikacji (wśród m.in. zgody na dostęp do kontaktów, wyświetlanie notyfikacji, czy na zmianę ustawień systemowych urządzenia). Niestety, format tej zgody jest wymuszany przez system operacyjny, a twórcy aplikacji mają na jej treść bardzo ograniczony wpływ (różniący się nieco w poszczególnych systemach oraz ich wersjach). Co więcej, takie zgody mogą niekiedy być udzielane przez użytkowników in blanco w ustawieniach systemu operacyjnego dla wszystkich bieżących i w przyszłości instalowanych aplikacji.

Wyżej opisane realia nie wytrzymują konfrontacji z prawnymi wymaganiami dotyczącymi zgody na przetwarzanie danych osobowych. Przepisy jednoznacznie wskazują, że zgoda nie może być domniemana lub dorozumiana (co podważa możliwość skutecznego wyrażenia zgody poprzez ustawienia w systemie operacyjnym w sposób „hurtowy” dla wszystkich aplikacji). Powinien jej również towarzyszyć szereg informacji, w szczególności:

• Komu jest udzielana zgoda na lokalizowanie? (dane administratora danych osobowych);
• Jaki jest cel przetwarzania danych o lokalizacji? (dla każdego celu, co do zasady, powinna być udzielona osobna zgoda – nie jest zatem dozwolone żądanie jednej zgody na lokalizowanie dla skorzystania z funkcjonalności aplikacji oraz np. dla celów statystycznych, marketingowych administratora lub w celu optymalizacji aplikacji);
• W jaki sposób użytkownik może zrealizować przysługujące mu prawo do dostępu do danych i ich poprawiania? (w tym również: wskazanie sposobu na cofnięcie zgody oraz usunięcie dotychczas zebranych danych).

Warto przy tym zauważyć, wchodzące w życie w 2018 roku unijne regulacje nieco złagodzą wymogi stawiane zgodzie na przetwarzanie – będzie ona możliwa do złożenia również w sposób konkludentny, np. poprzez odpowiednią konfigurację używanego urządzenia. Z drugiej strony, nowe przepisy poszerzą zakres koniecznych do udzielenia informacji, m.in. o wskazanie okresu przetwarzania, danych kontaktowych Inspektora Ochrony Danych czy o informację o prawie wniesienia skargi do GIODO).

Ponadto, należy pamiętać, że obecnie obowiązujące przepisy kreują także specyficzne wymagania konieczne do uwzględnienia przy lokalizowaniu użytkowników za pomocą aplikacji – np. zalecenie wyświetlania w czasie lokalizowania w aplikacji stosownej ikony czy szczegółowe wskazówki odnośnie tworzenia na podstawie danych geolokalizacyjnych profilu użytkownika. Nie można też wykluczyć, że – w związku z wejściem w życie RODO – publiczne instytucje wskażą kolejne tego typu wytyczne i obostrzenia w przyszłości. Administratorzy aplikacji mobilnych nie powinni zatem w żadnym wypadku poprzestać na obowiązkowych powiadomieniach wyświetlanych użytkownikowi przez system operacyjny, co jest obecnie dość częstą praktyką. Tego typu zaniechania mogą grozić poważnymi konsekwencjami – zwłaszcza od przyszłego roku, gdy nowe prawo umożliwi nakładanie bardzo dotkliwych kar finansowych za naruszanie przepisów prawa ochrony danych osobowych, sięgających nawet 20 milionów euro.