2013 k aplikacím v inteligentních zařízeních

PRACOVNÍ SKUPINA PRO OCHRANU ÚDAJŮ ZŘÍZENÁ PODLE ČLÁNKU 29

00461/13/CS WP 202

Stanovisko č. 2/2013 k aplikacím v inteligentních zařízeních

Přijaté dne 27. února 2013

Tato pracovní skupina byla zřízena podle článku 29 směrnice 95/46/ES. Jedná se o nezávislý evropský poradní orgán ve věci ochrany údajů a soukromí. Její úkoly jsou popsány v článku 30 směrnice 95/46/ES a článku 15 směrnice 2002/58/ES. Její sekretariát je na Ředitelství C (Základní práva a občanství Unie) Evropské komise, Generální ředitelství pro spravedlnost, B-1049 Brusel, Belgie, kancelář MO-59 02/013. Internetové stránky: http://ec.europa.eu/justice/data-protection/index_en.htm

Shrnutí Pro všechny oblíbené typy inteligentních zařízení existují stovky tisíc různých aplikací, které jsou k dispozici v celé škále obchodů s aplikacemi. Uvádí se, že každý den je do obchodů s aplikacemi přidáno více než 1 600 nových aplikací. Podle dostupných údajů si průměrný uživatel chytrého telefonu stáhne 37 aplikací. Aplikace mohou být nabízeny s nízkými počátečními náklady pro konečného uživatele, či zcela zdarma a mohou mít uživatelskou základnu tvořenou několika málo jednotlivci či mnoha miliony osob. Aplikace jsou schopny shromažďovat velké množství údajů ze zařízení (např. údaje uložené v zařízení uživatelem a údaje z různých senzorů, včetně lokalizace) a tyto údaje zpracovávat za účelem poskytování nových a inovativních služeb konečnému uživateli. Stejné zdroje údajů však mohou být dále zpracovávány, obvykle za účelem zajištění zdroje příjmů, a to způsobem, o němž konečný uživatel nemusí vědět nebo který si nepřeje. Vývojáři aplikací, kteří si nejsou vědomi požadavků na ochranu údajů, mohou vytvářet značná rizika pro soukromý život a pověst uživatelů inteligentních zařízení. K hlavním rizikům pro konečné uživatele, která souvisejí s ochranou údajů, patří nedostatečná transparentnost a povědomí o typech zpracování, které může aplikace provádět, ve spojení s neexistencí smysluplného souhlasu poskytnutého konečnými uživateli před provedením tohoto zpracování. K rizikům v oblasti ochrany údajů v současném aplikačním prostředí dále přispívají nedostatečná bezpečnostní opatření, zjevná tendence směrem k maximalizaci údajů a pružnost účelů, pro nějž jsou osobní údaje shromažďovány. Vysoké riziko pro ochranu údajů vyplývá rovněž z míry roztříštěnosti mezi mnoho aktérů v prostředí vývoje aplikací. K těmto aktérům patří vývojáři aplikací; vlastníci aplikací; obchody s aplikacemi; výrobci operačního systému a zařízení (dále jen „výrobci OS a zařízení“) a jiné třetí strany, které se mohou podílet na shromažďování a zpracovávání osobních údajů z inteligentních zařízení, jako jsou poskytovatelé analytických a reklamních služeb. Většina závěrů a doporučení uvedených v tomto stanovisku je zaměřena na vývojáře aplikací (jelikož mají největší kontrolu nad přesným způsobem, jakým se zpracování provádí, nebo informacemi obsaženými v aplikaci), ti však často musí v zájmu dosažení nejvyšších norem týkajících se soukromí a ochrany údajů spolupracovat s ostatními stranami v ekosystému aplikací. To je obzvláště důležité s ohledem na bezpečnost, kde je řetězec mnoha aktérů silný pouze tak, jak silný je jeho nejslabší článek. Mnoho druhů údajů, které jsou k dispozici v inteligentních mobilních zařízeních, patří k osobním údajům. Příslušným právním rámcem je směrnice o ochraně údajů spolu s ochranou mobilních zařízení jako součástí soukromí uživatelů podle směrnice o soukromí a elektronických komunikacích. Tato pravidla se vztahují na všechny aplikace určené uživatelům aplikací v EU bez ohledu na místo usazení vývojáře aplikací nebo obchodu s aplikacemi. V tomto stanovisku pracovní skupina objasňuje právní rámec vztahující se na zpracovávání osobních údajů při vývoji, distribuci a užívání aplikací v inteligentních zařízeních se zaměřením se na požadavek na souhlas, zásady týkající se omezení účelu a minimalizace údajů, nutnost přijmout odpovídající bezpečnostní opatření, povinnost náležitě informovat konečné uživatele, práva uživatelů, přiměřené doby uchovávání údajů, a zejména korektní zpracování údajů získaných od dětí a týkajících se dětí.

2

Obsah 1. Úvod ....................................................................................................................................................................... 4 2. Rizika v oblasti ochrany údajů ............................................................................................................................... 5 3 Zásady ochrany údajů.............................................................................................................................................. 7 3.1 Použitelné právo ..........................................................................................................................................7 3.2 Osobní údaje zpracovávané aplikacemi ......................................................................................................8 3.3 Strany podílející se na zpracovávání údajů .................................................................................................9 3.3.1 Vývojáři aplikací .......................................................................................................................... 10 3.3.2 Výrobci OS a zařízení .................................................................................................................. 11 3.3.3 Obchody s aplikacemi .................................................................................................................. 12 3.3.4 Třetí strany ................................................................................................................................... 13 3.4 Právní důvod .............................................................................................................................................14 3.4.1 Souhlas před instalací a zpracováváním osobních údajů.............................................................. 14 3.4.2 Právní důvody pro zpracovávání údajů během používání aplikace.............................................. 17 3.5 Omezení účelu a minimalizace údajů ........................................................................................................17 3.6 Bezpečnost ................................................................................................................................................19 3.7 Informování ...............................................................................................................................................23 3.7.1 Povinnost týkající se informování a požadovaný obsah ............................................................... 23 3.7.2 Forma informací ........................................................................................................................... 24 3.8 Práva subjektu údajů .................................................................................................................................25 3.9 Doby uchovávání údajů .............................................................................................................................26 3.10 Děti ..........................................................................................................................................................27 4 Závěry a doporučení .............................................................................................................................................. 28

3

1. Úvod Aplikacemi jsou softwarové aplikace, které jsou často navrhovány pro konkrétní úkol a které jsou určeny pro určitý soubor inteligentních zařízení, jako jsou chytré telefony, tablety a televize s připojením na internet. Tyto aplikace uspořádávají informace způsobem, který je vhodný pro zvláštní charakteristiky daného zařízení, a často úzce spolupracují s funkcemi hardwaru a operačního systému v daném zařízení. Pro všechny oblíbené typy inteligentních zařízení existují stovky tisíc různých aplikací, které jsou k dispozici v celé škále obchodů s aplikacemi. Aplikace slouží široké škále účelů, včetně prohlížení internetu, komunikace (e-mail, telefonování a posílání zpráv po síti), zábavy (hry, filmy/video a hudba), sociálních sítí, bankovnictví a lokalizačních služeb. Uvádí se, že každý den je do obchodů s aplikacemi přidáno více než 1 600 nových aplikací1. Průměrný uživatel chytrého telefonu si stáhne 37 aplikací2. Aplikace mohou být nabízeny s nízkými počátečními náklady pro konečného uživatele, či zcela zdarma a mohou mít uživatelskou základnu tvořenou několika málo jednotlivci či mnoha miliony osob. Související operační systém bude obsahovat software nebo datové struktury, které jsou důležité pro hlavní služby inteligentního zařízení, například adresář chytrého telefonu. Operační systém má tyto prvky zpřístupnit aplikacím prostřednictvím rozhraní pro programování aplikací (API – Application Programming Interface). Tato API umožňují přístup k mnoha senzorům, jež se mohou vyskytovat v inteligentních zařízeních. K těmto senzorům patří gyroskop, digitální kompas a akcelerometr k poskytování informací o rychlosti a směru pohybu; přední a zadní kamera k pořizování obrazových záznamů a fotografií a mikrofon k pořizování zvukových záznamů. Inteligentní zařízení mohou obsahovat rovněž senzory přiblížení3. Inteligentní zařízení mohou být rovněž připojena prostřednictvím řady síťových rozhraní, jako je Wi-Fi, Bluetooth, NFC nebo Ethernet. Pomocí geolokačních služeb lze také zjistit přesnou polohu (jak je popsáno ve stanovisku pracovní skupiny podle článku 29 č. 13/2011 ke geolokačním službám v inteligentních mobilních zařízeních4). Druh, přesnost a četnost těchto údajů senzorů se liší v závislosti na zařízení a operačním systému. Prostřednictvím API jsou vývojáři aplikací schopni nepřetržitě shromažďovat tyto údaje, mít přístup ke kontaktním údajům a zapisovat tyto údaje, posílat e-maily, SMS nebo zprávy na sociálních sítích, číst/měnit/mazat obsah SD karet, pořizovat zvukové záznamy, používat kameru a mít přístup k uloženým obrázkům, zjistit stav a identitu telefonu, měnit globální 1

2

3

4

Zpráva v ConceivablyTech ze dne 19. srpna 2012, k dispozici na adrese: www.conceivablytech.com/10283/business/apple-app-store-to-reach-1mapps-this-year-sort-of. Citováno v dokumentu vyhotoveném pí Kamalou D. Harris, generální prokurátorkou kalifornského ministerstva spravedlnosti s názvem Privacy on the go, Recommendations for the mobile ecosystem, leden 2013, http://oag.ca.gov/sites/all/files/pdfs/privacy/privacy_on_the_go.pdf . Jedná se o celosvětový odhad pro rok 2012 vypracovaný ABI Research, http://www.abiresearch.com/press/smartphone-users-worldwide-will-download-37-apps-o Senzor, který může zjistit přítomnost fyzického objektu bez fyzického kontaktu. Viz: http://www.w3.org/TR/2012/WD-proximity-20121206/. Viz stanovisko pracovní skupiny podle článku 29 č. 13/2011 ke geolokačním službám v inteligentních mobilních zařízeních (květen 2011), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2011/wp185_en.pdf .

4

nastavení systému a zabránit uspání telefonu. API mohou poskytovat rovněž informace týkající se samotného zařízení, a to prostřednictvím jednoho či více jedinečných identifikátorů a informací o jiných nainstalovaných aplikacích. Tyto zdroje údajů mohou být dále zpracovávány, obvykle za účelem zajištění zdroje příjmů, a to způsobem, o němž konečný uživatel nemusí vědět nebo který si nepřeje. Cílem tohoto stanoviska je objasnit právní rámec vztahující se na zpracovávání osobních údajů při distribuci a používání aplikací v inteligentních zařízeních a uvážit další zpracovávání, k němuž může dojít mimo aplikaci, jako je použití získaných údajů k vytváření profilů a cílových uživatelů. Ve stanovisku jsou analyzována hlavní rizika v oblasti ochrany údajů, je v něm uveden popis různých dotčených stran a zdůrazněny různé právní povinnosti. To zahrnuje vývojáře aplikací; vlastníky aplikací; obchody s aplikacemi; výrobce operačního systému a zařízení (dále jen „výrobci OS a zařízení“) a jiné třetí strany, které se mohou podílet na shromažďování a zpracovávání osobních údajů z inteligentních zařízení, jako jsou poskytovatelé analytických a reklamních služeb. Stanovisko se zaměřuje na požadavek na souhlas, zásady týkající se omezení účelu a minimalizace údajů, nutnost přijmout odpovídající bezpečnostní opatření, povinnost náležitě informovat konečné uživatele, práva uživatelů, přiměřené doby uchovávání údajů, a zejména korektní zpracování údajů získaných od dětí a týkajících se dětí. Oblast působnosti se vztahuje na mnoho různých typů inteligentních zařízení, zaměřuje se však zejména na aplikace, které jsou k dispozici pro inteligentní mobilní zařízení.

2. Rizika v oblasti ochrany údajů Úzká interakce s operačním systémem umožňuje aplikacím přístup k podstatně více údajům než tradiční internetový prohlížeč5. Aplikace jsou schopny shromažďovat velké množství údajů ze zařízení (lokalizační údaje, údaje uložené v zařízení uživatelem a údaje z různých senzorů) a tyto údaje zpracovávat za účelem poskytování nových a inovativních služeb konečnému uživateli. Vysoké riziko pro ochranu údajů vyplývá rovněž z míry roztříštěnosti mezi mnoho aktérů v prostředí vývoje aplikací. Údaj může být v reálném čase přenesen ze zařízení za účelem zpracování na celé zeměkouli nebo být zkopírován mezi řetězci třetích stran. Některé nejznámější aplikace jsou vyvinuty velkými technologickými společnostmi, mnohé jiné jsou však navrženy malými, nově založenými podniky. Jediný programátor s určitým nápadem a malými či žádnými předchozími programovacími dovednostmi se může v krátkém čase dostat k uživatelům na celém světě. Vývojáři aplikací, kteří si nejsou vědomi požadavků na ochranu údajů, mohou vytvářet značná rizika pro soukromý život a pověst uživatelů inteligentních zařízení. Současně se rychle rozvíjejí služby třetích stran, například reklama, které mohou v případě, že je vývojář aplikací integruje bez náležitého uvážení, zveřejňovat značné množství osobních údajů. K hlavním rizikům pro konečné uživatele, která souvisejí s ochranou údajů, patří nedostatečná transparentnost a povědomí o typech zpracování, které může aplikace provádět, ve spojení s neexistencí smysluplného souhlasu poskytnutého konečnými uživateli před provedením 5

Ačkoli internetové prohlížeče ve stolních počítačích získávají stále větší přístup k údajům ze senzorů v zařízeních konečných uživatelů, a to díky vývojářům internetových her.

5

tohoto zpracování. K rizikům v oblasti ochrany údajů v současném aplikačním prostředí dále přispívají nedostatečná bezpečnostní opatření, zjevná tendence směrem k maximalizaci údajů a pružnost účelů, pro nějž jsou osobní údaje shromažďovány. Mnoho těchto rizik již zkoumaly a řešily jiné mezinárodní regulační orgány, například Federální komise USA pro obchod (FTC – Federal Trade Commission), kanadský Úřad komisaře pro ochranu soukromí a generální prokurátorka kalifornského ministerstva spravedlnosti6.  Hlavní riziko v oblasti ochrany údajů představuje nedostatečná transparentnost. Vývojáři aplikací jsou omezeni funkcemi, které výrobci operačního systému a obchody s aplikacemi zpřístupní za účelem poskytování úplných informací v příslušném čase konečnému uživateli. Ne všichni vývojáři aplikací však tyto funkce využívají, jelikož mnoho aplikací nemá politiku ochrany soukromí nebo neinformuje potenciální uživatele smysluplně o druhu osobních údajů, které může aplikace zpracovávat a za jakým účelem. Nedostatečná transparentnost není omezena na bezplatné aplikace nebo aplikace vlastněné nezkušenými vývojáři, jelikož nedávná studie ukázala, že pouze 61,3 % předních 150 aplikací poskytuje prohlášení o ochraně osobních údajů7.  Nedostatečná transparentnost úzce souvisí s neexistencí svobodného a vědomého souhlasu. Jakmile je aplikace stažena, souhlas je často omezen na zaškrtnutí políčka uvádějícího, že konečný uživatel souhlasí s podmínkami, aniž by byla nabídnuta možnost „Ne, děkuji“. Podle studie GSMA ze září 2011 si 92 % uživatelů aplikací přeje strukturovanější výběr8.  Nedostatečná bezpečnostní opatření mohou vést k neoprávněnému zpracovávání (citlivých) osobních údajů, například v případě, že vývojář aplikace naruší bezpečnost osobních údajů nebo pokud osobní údaje zpřístupňuje samotná aplikace.  Další riziko v oblasti ochrany osobních údajů souvisí s nezohledněním (kvůli neznalosti či záměrně) zásady týkající se omezení účelu, která vyžaduje, aby byly osobní údaje shromažďovány a zpracovávány pouze pro konkrétní a legitimní účely. 6

7

8

Viz mimo jiné zpráva zaměstnanců FTC nazvaná Mobile Privacy Disclosures, Building Trust Through Transparency, únor 2013, http://www.ftc.gov/os/2013/02/130201mobileprivacyreport.pdf, zpráva zaměstnanců FTC nazvaná Mobile Apps for Kids: Current Privacy Disclosures are Disappointing, únor 2012, http://www.ftc.gov/os/2012/02/120216mobile_apps_kids.pdf a následná zpráva s názvem Mobile Apps for Kids: Disclosures Still Not Making the Grade, prosinec 2012, http://www.ftc.gov/os/2012/12/121210mobilekidsappreport.pdf, dokument kanadského Úřadu komisaře pro ochranu soukromí s názvem Seizing Opportunity: Good Privacy Practices for Developing Mobile Apps, říjen 2012, http://www.priv.gc.ca/information/pub/gd_app_201210_e.pdf, dokument vyhotovený pí Kamalou D. Harris, generální prokurátorkou kalifornského ministerstva spravedlnosti s názvem Privacy on the go, Recommendations for the mobile ecosystem, leden 2013, http://oag.ca.gov/sites/all/files/pdfs/privacy/privacy_on_the_go.pdf . FPF, červen 2012, studie týkající se mobilních aplikací, http://www.futureofprivacy.org/wpcontent/uploads/Mobile-Apps-Study-June-2012.pdf. „89 % [uživatelů] považuje za důležité vědět, zda aplikace sdílí jejich osobní údaje, a mít možnost tuto aplikaci vypnout nebo zapnout.“ Zdroj: User perspectives on mobile privacy, září 2011, http://www.gsma.com/publicpolicy/wpcontent/uploads/2012/03/futuresightuserperspectivesonuserprivacy.pdf .

6

Osobní údaje shromažďované aplikacemi mohou být široce distribuovány řadě třetích stran pro nestanovené či pružné účely, jako je „výzkum trhu“. Stejné znepokojivé nezohlednění platí i pro zásadu minimalizace údajů. Nedávný výzkum ukázal, že mnoho aplikací shromažďuje množství údajů z chytrých telefonů, aniž by existoval smysluplný vztah se zjevnou funkcí aplikace9.

3 Zásady ochrany údajů 3.1 Použitelné právo Příslušným právním rámcem EU je směrnice o ochraně údajů (95/46/ES). Tato směrnice platí v každém případě, kdy používání aplikace v inteligentních zařízeních zahrnuje zpracovávání osobních údajů fyzických osob. K určení použitelného práva je nezbytné za prvé určit úlohu různých zúčastněných stran: ve vztahu k použitelnému právu je obzvláště důležitá identifikace správce nebo správců zpracování prováděného prostřednictvím mobilních aplikací. Rozhodujícím prvkem pro použití právních předpisů EU v oblasti ochrany údajů je provozovna správce, ačkoli se nejedná o jediné kritérium. Podle čl. 4 odst. 1 písm. a) směrnice o ochraně údajů je vnitrostátní právo určitého členského státu použitelné na veškerá zpracování osobních údajů prováděná v „rámci činností provozovny“ správce na území tohoto členského státu. Podle čl. 4 odst. 1 písm. c) směrnice o ochraně údajů je vnitrostátní právo určitého členského státu použitelné rovněž v případech, kdy správce není usazen na území Společenství a používá prostředky umístěné na území zmíněného členského státu. Jelikož zařízení napomáhá při zpracovávání osobních údajů od uživatele a týkajících se uživatele, je toto kritérium obvykle splněno10. To je však relevantní pouze v případě, není-li správce usazen v EU. Pokud se určitá strana podílející se na vývoji, distribuci a fungování aplikací pokládá za správce, je proto tato strana odpovědná (sama nebo společně s jinými stranami) za zajištění dodržení všech požadavků stanovených ve směrnici o ochraně údajů. Určení úlohy stran podílejících se na mobilních aplikacích bude blíže analyzováno v bodě 3.3. Kromě směrnice o ochraně údajů stanoví směrnice o soukromí a elektronických komunikacích (2002/58/ES, revidována směrnicí 2009/136/ES) zvláštní normu pro všechny strany z celého světa, které chtějí uchovávat informace uložené v zařízeních uživatelů v Evropském hospodářském prostoru (EHP) nebo získat přístup k těmto informacím. V čl. 5 odst. 3 směrnice o soukromí a elektronických komunikacích je stanoveno, že uchovávání informací nebo získávání přístupu k již uchovávaným informacím je v koncovém zařízení účastníka nebo uživatele povoleno pouze pod podmínkou, že dotčený účastník či uživatel poskytl svůj souhlas poté, co mu byly poskytnuty jasné a úplné informace v souladu se směrnicí 95/46/ES, mimo jiné o účelu zpracování. (…) Zatímco se mnoho ustanovení směrnice o soukromí a elektronických komunikacích vztahuje pouze na poskytovatele veřejně dostupných služeb elektronických komunikací 9

10

Wall Street Journal, Your Apps Are Watching You, http://online.wsj.com/article/SB10001424052748704694004576020083703574602.html . Pokud aplikace vytváří provoz se správci údajů zahrnující osobní údaje. Toto kritérium nemusí být splněno, jsou-li údaje zpracovávány pouze v místě, v samotném zařízení.

7

a poskytovatele veřejných komunikačních sítí ve Společenství, čl. 5 odst. 3 se vztahuje na každý subjekt, který ukládá informace v inteligentních zařízeních nebo čte informace z těchto zařízení. Použije se bez ohledu na povahu subjektu (tj. veřejný nebo soukromý subjekt, jednotlivý programátor či velká korporace, nebo bez ohledu na to, zda se jedná o správce údajů, zpracovatele údajů nebo třetí stranu). Požadavek na souhlas uvedený v čl. 5 odst. 3 se vztahuje na veškeré informace, bez ohledu na povahu uchovávaných nebo zpřístupněných údajů. Oblast působnosti není omezena na osobní údaje; informacemi může být jakýkoli druh údajů uchovávaných v zařízení. Požadavek na souhlas uvedený v čl. 5 odst. 3 směrnice o soukromí a elektronických komunikacích se vztahuje na služby poskytované „ve Společenství“, tj. na všechny fyzické osoby, které žijí v Evropském hospodářském prostoru, bez ohledu na místo usazení poskytovatele služeb. Pro vývojáře aplikací je důležité vědět, že obě směrnice představují kogentní právní normy v tom, že práva fyzických osob jsou nepřevoditelná a nepodléhají vzdání se těchto práv na základě smluvního ujednání. To znamená, že použitelnost evropských právních předpisů o ochraně soukromí nemůže být vyloučena jednostranným prohlášením nebo smluvním ujednáním11.

3.2 Osobní údaje zpracovávané aplikacemi Mnoho druhů údajů uchovávaných v inteligentním zařízení nebo vytvářených takovýmto zařízením patří k osobním údajům. Podle 24. bodu odůvodnění směrnice o soukromí a elektronických komunikacích: „Koncové zařízení uživatelů sítí elektronických komunikací a jakékoli informace uchovávané na takovém zařízení tvoří součást soukromí uživatelů, které vyžaduje ochranu v souladu s Evropskou úmluvou o ochraně lidských práv a základních svobod.“ Tyto údaje jsou osobními údaji, pokud se týkají fyzické osoby, která je pro správce nebo třetí stranu přímo (například pomocí jména) nebo nepřímo identifikovatelná. Tyto údaje se mohou týkat vlastníka zařízení či jiné fyzické osoby, jako jsou kontaktní údaje přátel v adresáři12. Údaje lze shromažďovat a zpracovávat v zařízení nebo po jejich přenesení i jinde, na infrastruktuře vývojářů aplikací nebo třetích stran, prostřednictvím připojení k externímu API, a to v reálném čase bez vědomí konečného uživatele. K příkladům osobních údajů, které mohou mít významný dopad na soukromý život uživatelů a jiných fyzických osob, patří: - poloha - kontakty

11 12

Například prohlášení, že platí pouze právo jurisdikce mimo EHP. Údaje mohou být i) vytvářeny zařízením automaticky na základě funkcí stanovených předem výrobcem OS a/nebo zařízení nebo příslušným mobilním operátorem (např. geolokační údaje, nastavení sítě, IP adresa); ii) vytvořeny uživatelem prostřednictvím aplikací (seznamy kontaktů; poznámky, fotografie); iii) vytvořeny aplikacemi (např. historie prohlížení).

8

-

jedinečné identifikátory zařízení a zákazníka (např. IMEI13, IMSI14, UDID15 a číslo mobilního telefonu) totožnost subjektu údajů identita telefonu (tj. název telefonu16) údaje o kreditní kartě a platbě historie volání, SMS nebo instant messaging historie prohlížení e-mail identifikační údaje pro služby informační společnosti (zejména služby se sociálními rysy) obrázky a videa biometrické údaje (např. šablony pro rozpoznávání obličeje a vzory otisky prstů).

3.3 Strany podílející se na zpracovávání údajů Na vývoji, distribuci a fungování aplikací se podílí mnoho různých stran a každá z nich má jiné povinnosti v oblasti ochrany údajů. Určit lze čtyři hlavní strany. Těmito stranami jsou: i) vývojáři aplikací (včetně vlastníků aplikací)17; ii) výrobci OS a zařízení18; iii) obchody s aplikacemi (distributor aplikací) a iv) ostatní strany podílející se na zpracovávání osobních údajů. V některých případech jsou povinnosti v oblasti ochrany údajů společné, zejména v případě, pokud se tentýž subjekt podílí na více fázích, například výrobce OS kontroluje rovněž obchod s aplikacemi. Také koneční uživatelé musí převzít náležitou odpovědnost v rozsahu, v jakém mohou prostřednictvím svých mobilních zařízení vytvářet a uchovávat osobní údaje. Pokud takovéto zpracování slouží výhradně pro osobní či domácí účely, směrnice o ochraně osobních údajů se nepoužije (čl. 3 odst. 2) a uživatel je osvobozen od formálních povinností v oblasti ochrany údajů. Jestliže se však uživatelé rozhodnou sdílet údaje prostřednictvím aplikace, například zpřístupněním informací neomezenému počtu osob19 prostřednictvím aplikace sociální sítě, zpracovávají informace mimo rámec výjimky pro domácí použití20.

13 14 15 16 17

18

19

20

Mezinárodní identifikace mobilního zařízení (International Mobile Equipment Identity). Mezinárodní identifikace mobilního účastníka (International Mobile Subscriber Identity). Jedinečný identifikátor zařízení (Unique Device Identifier). Uživatelé mají sklon pojmenovávat své telefony svými skutečnými jmény: např. „iPhone Jana Nováka“. Pracovní skupina používá obecný pojem vývojáři aplikací, zdůrazňuje však, že tento výraz není omezen na programátory nebo technické vývojáře aplikací, nýbrž zahrnuje i vlastníky aplikací, tj. společnosti a organizace, které zadávají vývoj aplikací a určují jejich účel. V některých případech se výrobce OS překrývá s výrobcem zařízení, zatímco v jiných případech je výrobcem zařízení jiná společnost než dodavatel OS. Viz rozsudky Evropského soudního dvora ve věci C-101/01 trestní řízení proti Bodil Lindqvist, rozsudek ze dne 6. listopadu 2003, a ve věci C-73/07 Tietosuojavaltuutettu v. Satakunnan Markkinapörssi Oy a Satamedia Oy, rozsudek ze dne 16. prosince 2008. Viz stanovisko pracovní skupiny podle článku 29 č. 5/2009 k internetovým sociálním sítím (červen 2009), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp163_cs.pdf

9

3.3.1 Vývojáři aplikací

Vývojáři aplikací vytvářejí aplikace a/nebo je zpřístupňují konečným uživatelům. Tato kategorie zahrnuje organizace soukromého a veřejného sektoru, které zadávají vývoj aplikací externě, a společnosti a jednotlivce vytvářející a zavádějící aplikace. Vývojáři aplikací navrhují a/nebo vytvářejí software pro chytré telefony, a tudíž rozhodují o rozsahu, v jakém bude mít aplikace přístup k různým kategoriím osobních údajů v zařízení a/nebo prostřednictvím vzdálených výpočetních zařízení (výpočetních jednotek vývojářů aplikací nebo třetích stran) a tyto údaje zpracovávat. Pokud vývojář aplikací určuje účel a prostředky zpracování osobních údajů v inteligentních zařízeních, je správcem údajů, jak je vymezen v čl. 2 písm. d) směrnice o ochraně údajů. V tomto případě musí dodržovat ustanovení celé směrnice o ochraně údajů. Hlavní ustanovení jsou objasněna v bodech 3.4 až 3.10 tohoto stanoviska. I když se na uživatele vztahuje výjimka pro domácí použití, vývojář aplikací je odpovědný jakožto správce údajů, pokud zpracovává údaje pro vlastní účely. To platí například tehdy, vyžaduje-li aplikace přístup k celému adresáři za účelem poskytování služby (instant messaging, telefonní hovory, videotelefonování). Povinnosti vývojáře aplikací budou značně omezené, pokud nejsou mimo zařízení zpracovávány a/nebo zpřístupňovány žádné osobní údaje nebo pokud vývojář aplikací přijal vhodná technická a organizační opatření s cílem zajistit, aby byly v zařízení údaje nevratně anonymizovány a agregovány před tím, než zařízení opustí. Získá-li vývojář aplikací přístup k informacím, které jsou uloženy v zařízení, použije se každopádně rovněž směrnice o soukromí a elektronických komunikacích a vývojář aplikací musí dodržet požadavek na souhlas stanovený v čl. 5 odst. 3 směrnice o soukromí a elektronických komunikacích. Pokud vývojář aplikací zadal část zpracování údajů či veškeré zpracování externě třetí straně a tato třetí strana přejímá úlohu zpracovatele údajů, pak musí vývojář aplikací dodržet všechny povinnosti spojené s využíváním zpracovatele údajů. To se vztahuje i na využívání poskytovatele služby cloud computingu (např. pro externí uložení údajů)21. Jestliže vývojář aplikací umožní přístup třetích stran k údajům uživatele (např. reklamní síť s přístupem ke geolokačním údajům zařízení za účelem poskytování reklamy zaměřené na chování), musí použít příslušné mechanismy ke splnění platných požadavků podle právního rámce EU. Má-li třetí strana přístup k údajům uloženým v zařízení, platí povinnost týkající se získání vědomého souhlasu podle čl. 5 odst. 3 směrnice o soukromí a elektronických komunikacích. Pokud třetí strana zpracovává osobní údaje pro vlastní účely, může být spolu s vývojářem aplikací společným správcem údajů, a musí proto zajistit dodržení zásady omezení účelu a splnění povinnosti týkající se bezpečnosti22 u té části zpracování, u níž určuje

21

22

Viz stanovisko pracovní skupiny podle článku 29 č. 5/2012 ke cloud computingu (červenec 2012), http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2012/wp196_en.pdf Viz stanovisko pracovní skupiny podle článku 29 č. 2/2010 k internetové reklamě zaměřené na chování (červen 2010), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_cs.pdf a stanovisko

10

účely a prostředky. Jelikož mezi vývojáři aplikací a třetími stranami mohou existovat různé druhy úmluv (obchodních i technických), příslušnou odpovědnost jednotlivých stran bude nutné stanovit v každém jednotlivém případě s přihlédnutím ke konkrétním okolnostem dotyčného zpracování. Vývojář aplikací může využívat knihovny třetích stran se softwarem, který poskytuje obecné funkce, jako je například knihovna pro sociální herní platformu. Vývojář aplikací musí zajistit, aby byli uživatelé informováni o případném zpracování údajů prováděném těmito knihovnami, a je-li tomu tak, aby bylo toto zpracování údajů v souladu s právním rámcem EU, případně včetně získání souhlasu uživatele. V tomto smyslu musí vývojáři aplikací zamezit používání funkcí, které jsou pro uživatele skryté. 3.3.2 Výrobci OS a zařízení

Výrobci OS a zařízení by se měli rovněž považovat za správce údajů (a případně za společné správce) u osobních údajů, které jsou zpracovávány pro jejich vlastní účely, jako je bezproblémové fungování zařízení, bezpečnost atd. To bude zahrnovat údaje vytvořené uživatelem (např. údaje uživatele zadané při registraci), údaje vytvářené automaticky zařízením (např. má-li zařízení funkci „volání domů“ pro zasílání údajů o jeho poloze) nebo osobní údaje vyplývající z instalace nebo používání aplikací, které jsou zpracovávány výrobcem OS nebo zařízení. Pokud výrobce OS nebo zařízení poskytuje dodatečné funkce, jako je zálohování nebo dálková lokalizace, je správcem údajů rovněž u osobních údajů zpracovávaných za tímto účelem. Aplikace, které vyžadují přístup ke geolokaci, musí využívat lokalizační služby OS. Pokud aplikace používá geolokaci, může OS shromažďovat osobní údaje k poskytování geolokačních údajů aplikacím a může zvažovat použití údajů rovněž k zlepšení vlastních lokalizačních služeb. Za tímto posledně uvedeným účelem je OS správcem údajů. Výrobci OS a zařízení odpovídají rovněž za rozhraní pro programování aplikací (API), které umožňuje zpracovávání osobních údajů aplikacemi v inteligentním zařízení. Vývojář aplikací bude mít přístup k těm vlastnostem a funkcím, které výrobci OS a zařízení zpřístupní prostřednictvím API. Jelikož výrobci OS a zařízení určují prostředky (a rozsah) přístupu k osobním údajům, musí zajistit, aby vývojář aplikací měl dostatečně strukturovanou kontrolu, takže přístup je umožněn pouze k těm údajům, které jsou nezbytné pro fungování aplikace. Výrobci OS a zařízení by měli rovněž zajistit, aby tento přístup mohl být jednoduše a účinně zrušen. Pojem „ochrana soukromí již od návrhu“ je důležitá zásada, na niž se nepřímo odkazuje již ve směrnici o ochraně údajů23 a která se společně s pojmem „standardní nastavení ochrany soukromí“ objevuje jednoznačněji ve směrnici o soukromí a elektronických komunikacích24. Tato zásada vyžaduje, aby výrobci zařízení nebo aplikace zabudovali ochranu údajů již do svého návrhu. Ochrana soukromí již od návrhu se výslovně vyžaduje u návrhu telekomunikačních zařízení, jak je stanoveno ve směrnici o rádiových zařízeních

23 24

č. 1/2010 k pojmům „správce“ a „zpracovatel“ http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_cs.pdf . Viz 46. bod odůvodnění a článek 17. Viz čl. 14 odst. 3.

(únor 2010),

11

a telekomunikačních koncových zařízeních25. Výrobci OS nebo zařízení proto mají společně s obchody s aplikacemi důležitou odpovědnost za zajištění bezpečnostních zařízení k ochraně osobních údajů a soukromí uživatelů aplikací. To zahrnuje zajištění dostupnosti vhodných mechanismů pro informování a vzdělávání konečného uživatele ohledně toho, co mohou aplikace dělat a k jakým údajům mohou mít přístup, a rovněž poskytnutí vhodného nastavení uživatelům aplikací za účelem změny parametrů zpracování26. 3.3.3 Obchody s aplikacemi

Každý z nejčastěji používaných typů inteligentních zařízení má vlastní obchod s aplikacemi a často je tomu tak, že s konkrétním obchodem s aplikacemi je pevně spojen určitý OS. Obchody s aplikacemi často zpracovávají předem poskytnuté platby za aplikace a mohou podporovat rovněž dodatečné nákupy v aplikaci, a vyžadují proto registraci uživatele s uvedením jeho jména, adresy a finančních údajů. Tyto (přímo) identifikovatelné údaje mohou být spojeny s údaji o nákupu a chování při používání a s údaji snímanými ze zařízení nebo vytvořenými zařízením (např. jedinečné identifikátory). Při zpracování těchto osobních údajů budou obchody s aplikacemi pravděpodobně správcem údajů, včetně případu, kdy tyto informace poskytují zpět vývojářům aplikací. Pokud obchod s aplikacemi zpracovává historii stahování nebo používání aplikace u konečného uživatele či podobné údaje k obnovení dříve stažených aplikací, bude správcem údajů rovněž u osobních údajů zpracovávaných za tímto účelem. Obchod s aplikacemi zaznamenává přihlašovací údaje a historii dříve zakoupených aplikací. Rovněž požaduje, aby uživatel poskytl číslo kreditní karty, které bude uloženo s účtem uživatele. U těchto úkonů je obchod s aplikacemi správcem údajů. Naopak v případě internetových stránek umožňujících stažení aplikace, která má být nainstalována v zařízení, bez ověření, lze mít za to, že nezpracovávají žádné osobní údaje. Obchody s aplikacemi mají důležité postavení, pokud jde o to, umožnit vývojářům aplikací poskytování náležitých informací o aplikaci, včetně o druzích údajů, které může aplikace zpracovávat a za jakým účelem. Obchody s aplikacemi proto mohou tato pravidla prosazovat prostřednictvím své politiky pro přijímání aplikací (na základě kontrol ex ante nebo ex post). Ve spolupráci s výrobcem OS může obchod s aplikacemi vypracovat rámec, který vývojářům aplikací umožní poskytovat konzistentní a smysluplná informační sdělení (např. symboly znázorňující určité druhy přístupu k údajům senzorů), a zobrazovat tato sdělení na viditelném místě v katalogu obchodu s aplikacemi. 25

26

Směrnice 1999/5/ES ze dne 9. března 1999 o rádiových zařízeních a telekomunikačních koncových zařízeních a vzájemném uznávání jejich shody, Úřední věstník Evropských společenství L 91, 7.4.1999, s. 10. V čl. 3 odst. 3 písm. c) je stanoveno, že Evropská komise může rozhodnout, aby přístroje konečných uživatelů byly vybaveny bezpečnostním zařízením zajišťujícím ochranu osobních údajů a soukromí uživatele a účastníka. Pracovní skupina vítá doporučení FTC v tomto ohledu, která jsou uvedena ve zprávě zaměstnanců nazvané Mobile Privacy Disclosures, na niž se odkazuje v poznámce pod čarou č. 6, například na s. 15: „(…) platformy mají jedinečnou možnost poskytovat konzistentní informace v rámci aplikací a vybízejí se, aby tak činily. V souladu s připomínkami workshopu by měly uvážit rovněž zpřístupnění těchto informací vícekrát (…).“

12

3.3.4 Třetí strany

Na zpracovávání údajů prostřednictvím aplikací se může podílet mnoho různých třetích stran. Mnoho bezplatných aplikací je například placeno reklamou, která může (avšak nemusí být) omezena na kontextovou nebo osobní reklamu, jež je umožněna nástroji pro sledování, jako jsou cookies či jiné identifikátory zařízení. Reklama může mít podobu banneru v aplikaci, reklam mimo aplikaci, které jsou poskytovány změnou nastavení prohlížeče nebo umístěním ikon na mobilním počítači či prostřednictvím individualizovaného uspořádání obsahu aplikace (např. sponzorované výsledky vyhledávání). Reklama pro aplikace je obvykle poskytována reklamními sítěmi a podobnými zprostředkovateli, kteří mohou být spojeni s výrobcem OS či obchodem s aplikacemi, nebo se může jednat o stejný subjekt jako výrobce OS či obchod s aplikacemi. Jak je uvedeno ve stanovisku pracovní skupiny podle článku 29 č. 2/201027, internetová reklama často znamená zpracovávání osobních údajů, jak je definováno v článku 2 směrnice o ochraně údajů a vyloženo pracovní skupinou podle článku 2928. K dalším příkladům třetích stran patří poskytovatelé analytických a komunikačních služeb. Poskytovatelé analytických služeb umožňují vývojářům aplikací získat představu o používání, oblibě a využitelnosti jejich aplikací. Poskytovatelé komunikačních služeb29 mohou hrát důležitou úlohu při určování výchozího nastavení a bezpečnostních aktualizací mnoha zařízení a mohou zpracovávat údaje o používání aplikací. Jejich adaptace („branding“) může mít důsledky pro případná technická a funkční opatření, která může uživatel použít k ochraně svých osobních údajů. V porovnání s vývojáři aplikací mohou třetí strany hrát dvě role: první z nich je provádění činností pro vlastníka aplikace, například poskytování analytiky v rámci aplikace. V tomto případě, kdy jednají výhradně jménem vývojáře aplikací a nezpracovávají údaje pro vlastní účely a/nebo nesdílejí údaje s vývojáři, budou pravděpodobně působit jako zpracovatelé údajů. Druhou úlohou je shromažďování informací v rámci aplikací za účelem poskytování dodatečných služeb: poskytování analytických údajů ve větším měřítku (oblíbenost aplikace, individualizované doporučení) nebo zamezení zobrazení stejné reklamy témuž uživateli. Jestliže třetí strany zpracovávají osobní údaje pro vlastní účely, jednají jako správci údajů, a musí proto dodržovat všechna použitelná ustanovení směrnice o ochraně údajů30. V případě reklamy zaměřené na chování musí správce údajů získat platný souhlas uživatele se shromažďováním a zpracováváním osobních údajů spočívajícím například v analýze a spojování osobních údajů a vytváření a/nebo používání profilů. Jak pracovní skupina podle 27

28

29

30

Stanovisko pracovní skupiny podle článku 29 č. 2/2010 k internetové reklamě zaměřené na chování (červen 2010), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_cs.pdf. Viz rovněž výklad pojmu osobní údaje ve stanovisku pracovní skupiny podle článku 29 č. 4/2007 k pojmu osobní údaje (červen 2007), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_cs.pdf. Na poskytovatele komunikačních služeb se vztahují rovněž zvláštní odvětvové povinnosti týkající se ochrany údajů, které nespadají do oblasti působnosti tohoto stanoviska. Stanovisko pracovní skupiny podle článku 29 č. 2/2010 k internetové reklamě zaměřené na chování, s. 10– 11.

13

článku 29 objasnila dříve ve svém stanovisku č. 2/2012 k internetové reklamě zaměřené na chování, tento souhlas lze získat nejlépe použitím mechanismu pro získání předběžného souhlasu. Společnost poskytuje vlastníkům aplikací a inzerentům metody měření, a to používáním nástrojů ke sledování zabudovaných do aplikací vývojářem aplikací. Nástroje společnosti ke sledování proto mohou být nainstalovány v mnoha aplikacích a zařízeních. Jednou z jejich služeb je informovat vývojáře aplikací, jaké jiné aplikace uživatel používá, a to prostřednictvím jedinečného identifikátoru. Společnost stanoví prostředky (tj. nástroje ke sledování) a účely svých nástrojů před tím, než je nabídne vývojářům aplikací, inzerentům a jiným osobám, a jedná tudíž jako správce údajů. Mají-li třetí strany přístup k informacím v inteligentním zařízení nebo uchovávají-li takovéto informace, musí dodržet požadavek na souhlas stanovený v čl. 5 odst. 3 směrnice o soukromí a elektronických komunikacích. V této souvislosti je důležité uvést, že u inteligentních zařízení mají uživatelé obvykle omezené možnosti, pokud jde o instalování softwaru, který bude kontrolovat zpracovávání osobních údajů, jak je to běžné v internetovém prostředí stolních počítačů. Jako alternativu používání HTTP cookies mají třetí strany často přístup k jedinečným identifikátorům za účelem výběru uživatelů (jejich skupin) a používají je k cíleným službám, včetně reklamy. Jelikož mnoho těchto identifikátorů nemohou uživatelé vymazat nebo změnit (např. IMEI, IMSI, MSISDN31 a zvláštní jedinečné identifikátory zařízení přidané operačním systémem), mohou tyto třetí strany zpracovávat značné množství osobních údajů, aniž by nad ním měl konečný uživatel kontrolu.

3.4 Právní základ Pro zpracování osobních údajů je zapotřebí právní základ, jak je uvedeno v článku 7 směrnice o ochraně údajů. Článek 7 rozlišuje šest zákonných důvodů pro zpracování údajů: subjekt údajů nezpochybnitelně udělil souhlas; zpracování je nezbytné pro splnění smlouvy, kde je subjekt údajů jednou ze stran; je nezbytné pro zachování životně důležitých zájmů subjektu údajů; je nezbytné pro splnění právní povinnosti; (v případě orgánů veřejné moci) je nezbytné pro vykonání úkolu ve veřejném zájmu a je nezbytné pro uskutečnění oprávněných (obchodních) zájmů. Co se týká uchovávání informací nebo získání přístupu k informacím, které již jsou uloženy v inteligentním zařízení, čl. 5 odst. 3 směrnice o soukromí a elektronických komunikacích (tj. požadavek na souhlas s ukládáním informací v zařízení a získáváním informací ze zařízení) vede k podrobnějšímu omezení právních důvodů, jež lze vzít v úvahu. 3.4.1 Souhlas před instalací a zpracováváním osobních údajů

V případě aplikací je hlavním použitelným právním důvodem souhlas. Při instalaci aplikace jsou ukládány informace v zařízení konečného uživatele. Mnoho aplikací má přístup k údajům uloženým v zařízení, kontaktům v adresáři, obrázkům, videu a jiným osobním dokumentům. Ve všech těchto případech čl. 5 odst. 3 směrnice o soukromí a elektronických komunikacích 31

Mobile Station Integrated Services Digital Network.

14

vyžaduje souhlas uživatele poté, co mu byly poskytnuty jasné a úplné informace, a to před ukládáním informací v zařízení a jejich získáváním ze zařízení. Je důležité uvědomit si rozdíl mezi souhlasem potřebným k ukládání informací v zařízení a čtení informací ze zařízení a souhlasem nutným k získání právního důvodu pro zpracování různých druhů osobních údajů. Ačkoli jsou oba požadavky týkající se souhlasu použitelné současně, přičemž každý z nich má jiný právní základ, oba podléhají podmínkám týkajícím se svobodného, výslovného a vědomého souhlasu (jak je definován v čl. 2 písm. h) směrnice o ochraně údajů). V praxi proto mohou být oba druhy souhlasu spojeny, buď během instalace, nebo před tím, než začne aplikace shromažďovat osobní údaje ze zařízení, za předpokladu, že uživatel byl jasně informován o tom, s čím souhlasí. Mnoho obchodů s aplikacemi umožňuje vývojářům aplikací informovat konečné uživatele o základních charakteristikách aplikace před její instalací a vyžádat si pozitivní reakci uživatele před stažením a instalací aplikace (tj. kliknutí na tlačítko „Instalovat“). Zatímco tento úkon může za určitých okolností splňovat požadavek na souhlas stanovený v čl. 5 odst. 3, není pravděpodobné, že poskytuje dostatek informací, aby se mohl považovat za platný souhlas se zpracováním osobních údajů. Tuto záležitost projednala pracovní skupina podle článku 29 již ve svém stanovisku č. 15/2011 k definici souhlasu32. V případě inteligentních zařízení se „svobodným“ rozumí, že uživatel musí mít možnost souhlasit se zpracováním svých osobních údajů, nebo je odmítnout. Pokud musí aplikace zpracovávat osobní údaje, musí mít uživatel možnost s tím souhlasit, či zpracování odmítnout. Za účelem dokončení instalace by se uživatel neměl setkat s obrazovkou obsahující pouze možnost „Ano, souhlasím“. Musí být k dispozici možnost „Zrušit“ či jinak zastavit instalaci. „Vědomým“ se rozumí, že subjekt údajů musí mít k dispozici potřebné údaje, aby si mohl utvořit přesný úsudek33. Aby se zamezilo případné nejasnosti, musí být tyto informace poskytnuty před zpracováním osobních údajů. To zahrnuje zpracování údajů, k němuž mohlo dojít během instalace, například za účelem odladění nebo sledování. Obsah a forma těchto informací jsou blíže rozvedeny v bodě 3.7 tohoto stanoviska. „Výslovným“ se rozumí, že projev vůle musí souviset se zpracováním konkrétních údajů nebo omezené kategorie údajů. Z tohoto důvodu nelze pouhé kliknutí na tlačítko „Instalovat“ považovat za platný souhlas se zpracováním osobních údajů kvůli skutečnosti, že souhlas nemůže představovat obecně formulované povolení. V některých případech mohou uživatelé udělit strukturovaný souhlas, jestliže se souhlas vyžaduje pro každý druh údajů, k nimž má mít aplikace přístup34. Tato metoda splňuje dva důležité právní požadavky, za prvé náležité informování uživatele o důležitých prvcích služby a za druhé vyžádání si souhlasu pro každý tento prvek35. Alternativní metoda spočívající v tom, že vývojář aplikací uživatele požádá, aby 32

33 34

35

Stanovisko pracovní skupiny podle článku 29 č. 15/2011 k definici souhlasu (červenec 2011), http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2011/wp187_cs.pdf . Tamtéž, s. 19. Strukturovaným souhlasem se rozumí, že jednotlivci mohou přesně (konkrétně) kontrolovat, které funkce zpracovávání osobních údajů, jež aplikace nabízí, chtějí aktivovat. Potřeba takovéhoto strukturovaného souhlasu je výslovně schválena rovněž zaměstnanci FTC v jejich nejnovější zprávě (viz poznámka pod čarou č. 6), s. 15–16: „(…) platformy by měly uvážit poskytování

15

souhlasili s dlouhým souborem podmínek a/nebo politikou ochrany soukromí, nepředstavuje výslovný souhlas36. Pojem „výslovný“ se vztahuje rovněž na praxi sledování chování uživatele ze strany inzerentů či jakékoli jiné třetí strany. Výchozí nastavení poskytnuté OS a aplikacemi musí být takové, aby zamezovalo sledování, s cílem umožnit uživatelům udělit výslovný souhlas s tímto druhem zpracování údajů. Toto výchozí nastavení nemohou třetí strany obejít, jak tomu často je v případě mechanismů „Nesledovat“ zavedených v prohlížečích. Příklady výslovného souhlasu Aplikace poskytuje informace o restauracích v okolí. Za účelem její instalace si vývojář aplikace musí vyžádat souhlas. Pro přístup ke geolokačním údajům si musí vývojář aplikace vyžádat zvláštní souhlas, například během instalace nebo před přístupem ke geolokaci. Výslovným se rozumí, že souhlas musí být omezen na konkrétní účel spočívající v informování uživatele o blízkých restauracích. Lokalizační údaje ze zařízení proto mohou být zpřístupněny pouze tehdy, pokud uživatel aplikaci používá k tomuto účelu. Souhlas uživatele se zpracováním geolokačních údajů neumožňuje, aby aplikace trvale získávala lokalizační údaje ze zařízení. Toto další zpracovávání by vyžadovalo dodatečné informování a zvláštní souhlas. Obdobně za účelem přístupu komunikační aplikace k seznamu kontaktů musí mít uživatel možnost vybrat kontakty, s nimiž chce komunikovat, místo nutnosti umožnit přístup k celému adresáři (včetně kontaktních údajů osob, které nejsou uživateli této služby a které nemohou udělit souhlas se zpracováváním údajů, které se jich týkají). Je však důležité uvést, že i když souhlas splňuje výše popsané tři prvky, nepředstavuje oprávnění k nekorektnímu a neoprávněnému zpracování. Přesahuje-li účel zpracování údajů míru a/nebo je-li nepřiměřený, pak i v případě, že uživatel udělil souhlas, nemá vývojář aplikace platný právní důvod a pravděpodobně by porušil směrnici o ochraně údajů. Příklady nepřiměřeného a neoprávněného zpracování údajů Aplikace budíku nabízí volitelnou funkci, kdy uživatel může vydat ústní pokyn k vypnutí nebo „uspání“ budíku. V tomto příkladě bude souhlas s nahráváním tohoto pokynu omezen na dobu, kdy budík zvoní. Jakékoli monitorování nebo pořizování zvukového záznamu v době, kdy budík nezvoní, by se pravděpodobně považovalo za přesahující míru a neoprávněné. V případě aplikací standardně nainstalovaných v zařízení (před tím, než konečný uživatel převezme vlastnictví) nebo jiného zpracovávání prováděného OS, které vychází ze souhlasu jakožto právního základu, musí správci údajů pečlivě uvážit, zda je tento souhlas skutečně platný, či nikoli. V mnoha případech by se měl uvážit mechanismus k získání zvláštního souhlasu, například při prvním spuštění aplikace, aby mohl správce údajů konečného

36

informací v požadované době a získání výslovného souhlasu se shromažďováním ostatního obsahu, který mnoho spotřebitelů považuje v mnoha kontextech za citlivý, jako jsou fotografie, kontakty, záznamy v kalendáři nebo pořizování zvukových a obrazových záznamů.“ Tamtéž, s. 34–35: „Obecný souhlas bez přesného uvedení účelu zpracování, s nímž subjekt údajů souhlasí, tento požadavek nesplňuje. To znamená, že informace o cíli zpracování nesmí být obsaženy v obecných ustanoveních, nýbrž ve zvláštní doložce o souhlasu.“

16

uživatele plně informovat. Patří-li údaje do zvláštních kategorií údajů, jak jsou vymezeny v článku 8 směrnice o ochraně údajů, musí být souhlas výslovný. V neposlední řadě musí mít uživatelé možnost souhlas odvolat, a to jednoduchým a účinným způsobem. Toto bude rozvedeno v bodě 3.8 tohoto stanoviska. 3.4.2 Právní důvody pro zpracovávání údajů během používání aplikace Jak bylo objasněno výše, souhlas je nezbytným právním důvodem, aby mohl vývojář aplikací oprávněně číst a/nebo zapisovat informace a poté zpracovávat osobní údaje. V následné fázi, během používání aplikace, se vývojář aplikací může u jiných typů zpracování údajů dovolávat ostatních právních důvodů, pokud se nejedná o zpracovávání citlivých osobních údajů. Těmito právními důvody může být nezbytnost pro splnění smlouvy se subjektem údajů nebo nezbytnost pro uskutečnění oprávněných (obchodních) zájmů, jak je stanoveno v čl. 7 písm. b) a f) směrnice o ochraně údajů. Tyto právní důvody jsou omezeny na zpracování osobních údajů konkrétního uživatele, které nejsou citlivé, a lze se jich dovolávat pouze tehdy, je-li zpracování určitých údajů naprosto nezbytné k poskytování požadované služby, nebo v případě čl. 7 písm. f) tehdy, pokud tyto zájmy nepřevyšují zájem nebo základní práva a svobody subjektu údajů. Příklady právního důvodu na základě smluvního ujednání Uživatel souhlasí s instalací aplikace pro mobilní bankovnictví. K splnění žádosti o provedení platby si banka nemusí vyžádat zvláštní souhlas uživatele s poskytnutím jeho jména a čísla bankovního účtu příjemci platby. Poskytnutí těchto údajů je naprosto nezbytné pro splnění smlouvy s tímto konkrétním uživatelem, a banka proto má právní důvod stanovený v čl. 7 písm. b) směrnice o ochraně údajů. Stejné odůvodnění platí pro komunikační aplikace; pokud tyto aplikace poskytují základní informace, jako je název účtu, e-mailová adresa nebo telefonní číslo, jiné fyzické osobě, s níž chce uživatel komunikovat, je zveřejnění těchto údajů jednoznačně nezbytné ke splnění smlouvy.

3.5 Omezení účelu a minimalizace údajů Základními zásadami, na nichž je založena směrnice o ochraně údajů, je omezení účelu a minimalizace údajů. Omezení účelu umožňuje uživatelům záměrný výběr za účelem svěření jejich osobních údajů určité straně, jelikož uživatelé mohou zjistit, jak jsou jejich údaje používány, a budou se moci spolehnout na popis omezující účel, aby pochopili, k jakému účelu budou jejich údaje použity. Účely zpracování údajů musí být proto náležitě stanovené a srozumitelné i pro průměrného uživatele bez odborných právních nebo technických znalostí. Omezení účelu současně vyžaduje, aby vývojáři aplikací měli náležitý přehled o obchodních důvodech, než začnou od uživatelů shromažďovat osobní údaje. Osobní údaje mohou být zpracovávány pouze ke korektním a zákonným účelům (čl. 6 odst. 1 písm. a) směrnice o ochraně údajů) a tyto účely musí být stanoveny před zpracováním údajů. Zásada týkající se omezení účelu vylučuje náhlé změny hlavních podmínek zpracování. Bylo-li původním účelem aplikace například umožnit uživatelům zasílat si e-maily, vývojář se však rozhodne změnit svůj obchodní model a spojí e-mailové adresy uživatelů s telefonními čísly uživatelů jiné aplikace. Příslušní správci údajů se pak budou muset jednotlivě obrátit na všechny uživatele a vyžádat si jejich předchozí jednoznačný souhlas 17 s tímto novým účelem zpracování jejich osobních údajů.

Omezení účelu je spojeno se zásadou týkající se minimalizace údajů. Aby se zamezilo zbytečnému a potenciálně neoprávněnému zpracovávání údajů, musí vývojáři aplikací pečlivě uvážit, které údaje jsou naprosto nezbytné k provádění požadované funkce. Aplikace mohou získat přístup k mnoha funkcím v zařízení, a mohou proto dělat mnoho věcí, například zasílat tajné SMS, získat přístup k obrázkům a celému adresáři. Mnoho obchodů s aplikacemi podporuje (polo-) automatické aktualizace, kdy vývojář aplikací může zabudovat nové funkce a zpřístupnit je bez jakékoli součinnosti ze strany konečného uživatele, nebo jen s malou součinností uživatele. Pracovní skupina v tomto bodě zdůrazňuje, že třetí strany, které získají přístup k údajům uživatelů prostřednictvím aplikací, musí dodržovat zásady týkající se omezení účelu a minimalizace údajů. Jedinečné, často nezaměnitelné identifikátory zařízení by se neměly používat za účelem reklamy a/nebo analytiky založené na zájmech, a to kvůli nemožnosti uživatelů odvolat svůj souhlas. Vývojáři aplikací by měli zajistit, aby se zamezilo rozšiřování o neplánované funkce tím, že se při přechodu z jedné verze aplikace na druhou nezmění zpracování, aniž by byla konečným uživatelům poskytnuta příslušná informační sdělení a možnost odstoupit buď od zpracování, nebo od celé služby. Uživatelům by měly být poskytnuty rovněž technické prostředky k ověření prohlášení o udávaných účelech, a to tím, že jim je umožněn přístup k informacím o objemu odchozího provozu podle jednotlivých aplikací ve vztahu k provozu iniciovanému uživatelem. Informování a kontroly uživatelů jsou hlavní prvky, které zajišťují dodržování zásad týkajících se minimalizace údajů a omezení účelu. Přístup k souvisejícím údajům v zařízení prostřednictvím API poskytuje výrobcům OS a zařízení a obchodům s aplikacemi příležitost k prosazování zvláštních pravidel a poskytování příslušných informací konečným uživatelům. Výrobci OS a zařízení by měli například nabízet API s přesnými kontrolami k rozlišování jednotlivých druhů těchto údajů a zajištění, že si vývojáři aplikací mohou vyžádat přístup pouze k těm údajům, které jsou nezbytné pro (zákonné) fungování jejich aplikace. Druhy údajů požadovaných vývojářem aplikací pak mohou být zobrazeny v obchodě s aplikacemi za účelem informování uživatele před instalací. V tomto ohledu závisí kontrola přístupu k údajům uloženým v zařízení na různých mechanismech: a. Výrobci OS a zařízení a obchody s aplikacemi stanoví pravidla, která se vztahují na přijímání aplikací do obchodu s aplikacemi: vývojáři aplikací musí tato pravidla dodržovat, jinak hrozí nebezpečí, že jejich aplikace nebudou v těchto obchodech dostupné37. b. API operačních systémů stanoví běžné metody přístupu k údajům uloženým v telefonu, k nimž mají aplikace přístup. Mají rovněž dopad na sběr údajů na straně serveru. c. Kontroly ex-ante – kontroly prováděné před instalací aplikace38. d. Kontroly ex post – kontroly prováděné po instalací aplikace. 37

38

Odblokované přístroje umožňují instalaci aplikací mimo oficiální obchody; přístroje s operačním systémem Android umožňují rovněž instalaci aplikací z jiných zdrojů. Se zvláštním případem předem nainstalovaných aplikací.

18

3.6 Bezpečnost Podle článku 17 směrnice o ochraně údajů musí správci a zpracovatelé údajů přijmout vhodná technická a organizační opatření na ochranu osobních údajů, které zpracovávají. V důsledku toho musí opatření přijmout všichni aktéři uvedení v bodě 3.3, a to závislosti na své úloze a odpovědnosti. Cíl spočívající v dodržování povinnosti týkající se bezpečnosti je dvojí. Uživatelům umožní přísněji kontrolovat své údaje a zvýší úroveň důvěry v subjekty, které skutečně nakládají s údaji uživatelů. K splnění příslušných povinností týkajících se bezpečnosti, které jsou uloženy správcům údajů, musí vývojáři aplikací, obchody s aplikacemi, výrobci OS a zařízení a třetí strany vzít v úvahu zásady týkající se ochrany soukromí již od návrhu a standardního nastavení ochrany soukromí. To vyžaduje průběžné posuzování stávajících i budoucích rizik v oblasti ochrany údajů a zavádění a hodnocení účinných opatření k zmírnění těchto rizik, včetně minimalizace údajů. Vývojáři aplikací Existuje mnoho veřejně dostupných pokynů ohledně bezpečnosti mobilních aplikací, které zveřejnili výrobci OS a zařízení a nezávislé třetí strany, například ENISA39. Přezkoumání všech osvědčených bezpečnostních postupů při vývoji aplikací nespadá do oblasti působnosti tohoto stanoviska; pracovní skupina však využívá tuto příležitost k přezkumu osvědčených postupů, které mají potenciálně vážný dopad na základní práva uživatelů aplikací. Důležitým rozhodnutím před navržením aplikace je rozhodnutí o tom, kde budou údaje uloženy. V některých případech jsou údaje uživatele uloženy v zařízení, vývojáři aplikací však mohou používat rovněž architekturu klient-server. To znamená, že osobní údaje jsou přenášeny nebo zkopírovány do systémů poskytovatele služeb. Uchovávání a zpracovávání údajů v zařízení poskytuje konečným uživatelům největší kontrolu nad těmito údaji, umožňuje jim například údaje vymazat, pokud odvolají souhlas s jejich zpracováním. Bezpečné uložení údajů na vzdáleném místě však může pomoci při zpětném získání údajů po ztrátě nebo krádeži zařízení. Možné je rovněž využívání mezipaměti. Vývojáři aplikací musí určit jasné zásady způsobu vývoje a distribuce softwaru. Výrobci OS a zařízení však rovněž hrají úlohu při prosazování bezpečného zpracovávání údajů aplikacemi, jak bude rozvedeno níže. Vývojáři aplikací a obchody s aplikacemi musí za druhé navrhnout a zavést prostředí respektující bezpečnost, s nástroji, které zamezují rozšiřování škodlivých aplikací a umožňují snadnou instalaci/odinstalování všech aplikací. K osvědčeným postupům, které lze uplatnit při navrhování aplikace, patří zásady týkající se minimalizace vazeb a složitosti kódu a provádění kontrol s cílem vyloučit možnost nezáměrného přenosu údajů či narušení jejich bezpečnosti. Všechny vstupy by měly být

39

ENISA „Smartphone Secure Development Guideline“: http://www.enisa.europa.eu/activities/Resilience-andCIIP/critical-applications/smartphone-security-1/smartphone-secure-development-guidelines.

19

mimoto validovány, aby se zamezilo zahlcení vyrovnávací paměti (buffer overflow) nebo injektáži (injection attack). K dalším bezpečnostním mechanismům, které je třeba zmínit, patří náležité strategie správy bezpečnostních záplat a provádění pravidelných nezávislých bezpečnostních auditů systému. Kritéria navrhování aplikací by měla mimoto zahrnovat uplatňování zásady standardního nastavení minimálních práv, podle níž je aplikacím umožněn přístup pouze k údajům, které skutečně potřebují k zajištění dostupnosti funkce pro uživatele. Vývojáři aplikací a obchody s aplikacemi by měli rovněž uživatele pomocí varování vybízet, aby tyto osvědčené postupy při navrhování doplnili účinnými uživatelskými postupy, jako je aktualizace aplikací na nejnovější dostupné verze a připomínky, které mají zamezit opakovanému používání hesel v řadě různých služeb. Ve fázi navrhování aplikace musí vývojáři aplikací přijmout rovněž opatření, která zamezují neoprávněnému přístupu k osobním údajům tím, že zajišťují, aby byly údaje chráněny při přenosu a případně při uchovávání. Mobilní aplikace by měly běžet na určitých místech v paměti zařízení (sandboxy40), aby se omezily důsledky malware / škodlivých aplikací. V úzké spolupráci s výrobcem OS a/nebo obchodem s aplikacemi musí vývojáři aplikací používat dostupné mechanismy, které uživatelům umožňují vidět, které údaje jsou zpracovávány kterými aplikacemi, a selektivně udělovat a rušit povolení. Nemělo by být povoleno používání skrytých funkcí. Vývojáři aplikací musí pečlivě uvážit metody identifikace a ověření uživatele. Neměli by používat trvalé identifikátory (specifické pro dané zařízení), nýbrž identifikátory specifické pro aplikaci nebo dočasné identifikátory zařízení s nízkou entropií s cílem zamezit sledování uživatelů v čase. Je třeba uvážit mechanismy ověřování respektující soukromí. Při ověřování uživatelů musí vývojáři aplikací věnovat zvláštní pozornost správě identifikačních čísel a hesel uživatelů. Ty musí být uchovávány bezpečným způsobem v zakódované podobě, jako je hash hodnota s šifrovacím klíčem. Užitečnou metodou je rovněž zpřístupnění testu odolnosti zvolených hesel pro uživatele podporující lepší hesla (ověření entropie). Je-li to vhodné (přístup k citlivým údajům, avšak rovněž přístup k placeným zdrojům), lze předpokládat opakované ověření, rovněž prostřednictvím více faktorů a různých kanálů (např. přístupový kód zaslaný prostřednictvím SMS) a/nebo použití ověřovacích údajů spojených s konečným uživatelem (místo se zařízením). Rovněž při výběru identifikátorů relace by se měly použít nepředvídatelné řetězce, případně ve spojení s kontextovými informacemi, jako je datum a čas, avšak také IP adresa nebo geolokační údaje. Vývojáři aplikací by měli mít na paměti rovněž požadavky stanovené ve směrnici o soukromí a elektronických komunikacích, co se týká narušení bezpečnosti osobních údajů a nutnosti aktivně o něm informovat uživatele. Ačkoli tyto požadavky v současnosti platí pouze pro poskytovatele veřejně dostupných komunikačních služeb, očekává se, že se tato povinnost rozšíří na všechny správce údajů (a zpracovatele údajů), a to v budoucím nařízení o ochraně údajů podle návrhů Komise (COM 2012/0011/COD). To dále posiluje nutnost mít k dispozici a průběžně hodnotit důkladný „bezpečnostní plán“ vztahující se na sběr, uchovávání a zpracovávání veškerých osobních údajů s cílem zamezit takovémuto narušení bezpečnosti údajů a zabránit uložení vysokých peněžitých sankcí, jak se předpokládá v těchto případech. Bezpečnostní plán musí zajišťovat mimo jiné rovněž řízení odstraňování slabin-slabých míst??? a včasné a bezpečné uvolnění spolehlivých oprav chyb (bug fixes). 40

Sandbox je bezpečnostní mechanismus pro oddělování běžících programů.

20

Odpovědnost vývojářů aplikací za bezpečnost jejich produktů nekončí dodáním fungující verze na trh. Aplikace mohou stejně jako jakýkoli jiný softwarový produkt vykazovat nedostatky v bezpečnosti a zranitelnost a vývojáři aplikací musí pro tyto nedostatky vyvíjet opravy chyb nebo bezpečnostní záplaty a poskytovat je těm aktérům, kteří je mohou zpřístupnit uživatelům, nebo tak musí učinit sami. Obchody s aplikacemi Obchody s aplikacemi jsou důležitým prostředníkem mezi konečnými uživateli a vývojáři aplikací a měly by zahrnovat řadu důkladných a účinných kontrol aplikací před jejich přijetím na trh. Měly by poskytovat informace o kontrolách, které skutečně vykonávají, a uvádět informace o tom, jaký druh kontrol týkajících se dodržování požadavků na ochranu údajů provádějí. Ačkoli toto opatření není 100% účinné, pokud jde o vyloučení šíření škodlivých aplikací, statistiky prokazují, že tato praxe do značné míry snižuje výskyt škodlivých funkcí v „oficiálních“ obchodech s aplikacemi41. K zvládnutí vysokého počtu aplikací, které jsou každý den přijímány, může mít tento proces prospěch z dostupnosti nástrojů automatické analýzy a rovněž ze zavedení kanálů pro výměnu informací mezi odborníky na bezpečnost a profesionály v oblasti softwaru a účinných postupů a politik k řešení nahlášených problémů. Kromě přezkumu aplikací před jejich přijetím do obchodu s aplikacemi by měly být aplikace podrobeny rovněž mechanismu pro hodnocení veřejné pověsti. Aplikace by neměly být uživateli hodnoceny pouze z hlediska toho, nakolik jsou „cool“, nýbrž rovněž na základě svých funkcí se zvláštním odkazem na mechanismy pro ochranu soukromí a bezpečnost. Mechanismy pro hodnocení pověsti by měly být vytvořeny tak, aby zabránily podvodným hodnocením. Mechanismy pro hodnocení funkčnosti a pověsti aplikací se mohou ukázat jako účinné rovněž při budování vzájemné důvěry mezi různými subjekty, zejména v případě výměny údajů prostřednictvím dlouhého řetězce třetích stran. Obchody s aplikacemi často zavádějí metodu k odinstalování škodlivých nebo nebezpečných aplikací na dálku. Tento mechanismus by mohl v případě, že není řádně navržen, představovat překážku možnosti uživatelů vykonávat přísnější kontrolu nad svými údaji. Prostředky k odinstalování aplikací na dálku respektující soukromí, které jsou určeny pro obchod s aplikacemi, by proto měly být založeny na informování a souhlasu uživatele. Z praktického hlediska by měly být uživatelům poskytnuty kanály pro zpětnou vazbu k oznámení bezpečnostních problémů u jejich aplikací a účinnosti případného postupu odstranění aplikace na dálku. Stejně jako vývojáři aplikací by si i obchody s aplikacemi měly být vědomy budoucích povinností týkajících se oznamování narušení bezpečnosti osobních údajů a úzce spolupracovat s vývojáři aplikací s cílem zamezit tomuto narušení.

41

„Hey, You, Get Off of My Market: Detecting Malicious Apps in Official and Alternative Android Markets“, Y. Zhou et al., Network and Distributed System Security Symposium (NDSS) 2012.

21

Výrobci OS a zařízení Výrobci OS a zařízení jsou rovněž důležitým účastníkem při stanovování minimálních norem a osvědčených postupů u vývojářů aplikací, a to nejen s ohledem na bezpečnost souvisejícího softwaru a API, nýbrž rovněž na nástroje, pokyny a referenční materiály, které zpřístupní. Výrobci OS a zařízení by měli poskytnout spolehlivé a známé šifrovací algoritmy a podporovat vhodné délky klíčů. Měli by vývojářům aplikací zpřístupnit rovněž spolehlivé a bezpečné mechanismy ověřování (např. používání certifikátů podepsaných důvěryhodnými certifikačními orgány za účelem ověření oprávnění vzdáleného zařízení). To také zamezí nutnosti, aby vývojáři aplikací vyvíjeli vlastní mechanismy pro ověřování. V praxi toto není často dostatečně zavedeno a může to vést k vážné zranitelnosti42. Přístup aplikací k osobním údajům a zpracovávání těchto údajů aplikacemi by měly být řízeny prostřednictvím tříd a metod zabudovaných v API, které zajišťují náležité kontroly a ochranná opatření. Výrobci OS a zařízení by měli zajistit, aby metody a funkce umožňující přístup k osobním údajům zahrnovaly prvky, které mají zavést požadavky na strukturovaný souhlas. Obdobně by měla být přijata opatření k vyloučení nebo omezení přístupu k osobním údajům používáním nízkoúrovňových funkcí či jiných prostředků, které by mohly obcházet kontroly a ochranná opatření zabudovaná v API. Výrobci OS a zařízení musí v zařízeních vyvinout rovněž jednoznačné auditní stopy, aby uživatelé jasně viděli, které aplikace mají přístup k údajům v jejich zařízeních. Všechny strany musí rychle reagovat na bezpečnostní zranitelnost, aby koneční uživatelé nebyli zbytečně vystaveni nedostatkům v bezpečnosti. Někteří výrobci OS a zařízení (a telekomunikační operátoři při distribuci značkových přístrojů) bohužel neposkytují verzím OS dlouhodobou podporu, takže uživatelé nejsou chráněni před známou bezpečnostní zranitelností. Výrobci OS a zařízení musí společně s vývojáři aplikací poskytnout konečným uživatelům prvotní informace o časových intervalech, v nichž mohou očekávat pravidelné bezpečnostní aktualizace. Měli by uživatele rovněž co nejdříve informovat o bezpečnostním problému vyžadujícím aktualizaci za účelem jeho odstranění. Třetí strany Výše uvedené bezpečnostní prvky a aspekty musí uplatňovat rovněž třetí strany při shromažďování a zpracovávání osobních údajů pro vlastní účely, především inzerenti a poskytovatelé analytických služeb. To zahrnuje bezpečné předávání a uchovávání jedinečných identifikátorů zařízení a uživatelů aplikací a jiných osobních údajů v zakódované podobě.

42

Nedávno bylo poukázáno na skutečnost, že neexistence vizuálních bezpečnostních signálů při používání SSL/TLS a nepřiměřené používání SSL/TLS může být využito k útokům typu Man-in-the-Middle (MITM). Podle nejnovějšího výzkumu zahrnuje kumulativní základna nainstalovaných aplikací s potvrzenou zranitelností vůči útokům typu MITM několik milionů uživatelů. „Why Eve and Mallory Love Android: An Analysis of Android SSL (In)Security“, Bernd Freisleben a Matthew Smith, 19. ACM Conference on Computer and Communications Security (ACM CCS 2012).

22

3.7 Informování 3.7.1 Povinnost týkající se informování a požadovaný obsah

Podle článku 10 směrnice o ochraně údajů má každý subjekt údajů právo znát totožnost správce údajů, který zpracovává jeho osobní údaje. V rámci aplikací má mimoto konečný uživatel právo vědět, jaký druh osobních údajů se zpracovává a za jakým účelem mají být údaje použity. Jsou-li osobní údaje uživatelů shromažďovány od jiných subjektů v ekosystému aplikací (jak je popsáno v bodě 3.3 tohoto stanoviska), má konečný uživatel podle článku 11 směrnice o ochraně údajů právo být informován o tomto zpracování údajů stejným způsobem, jak bylo popsáno výše. V případě zpracovávání osobních údajů musí proto příslušný správce údajů informovat potenciální uživatele minimálně o  své osobě (totožnost a kontaktní údaje),  přesných kategoriích osobních údajů, které bude vývojář aplikací shromažďovat a zpracovávat,  tom, proč (za jakými konkrétními účely),  tom, zda budou údaje poskytnuty třetím stranám,  tom, jak mohou uživatelé vykonávat svá práva, pokud jde o odvolání souhlasu a výmaz údajů. Dostupnost těchto informací o zpracování osobních údajů je kritická pro získání souhlasu uživatele za účelem zpracovávání údajů. Souhlas může být platný pouze tehdy, byla-li dotyčná osoba předem informována o hlavních prvcích zpracování údajů. Poskytnutí těchto informací až poté, co aplikace začala zpracovávat osobní údaje (což často začíná během instalace), se nepovažuje za dostatečné a je z právního hlediska neplatné. Pracovní skupina souhlasí se zprávou útvarů Federální komise pro obchod (dále též „FTC“) a zdůrazňuje, že je nutné poskytnout informace v okamžiku, kdy je to důležité pro zákazníky, těsně před sběrem těchto údajů ze strany aplikací. Informování o tom, jaké údaje jsou zpracovávány, je obzvláště důležité vzhledem k širokému přístupu aplikací k senzorům a datovým strukturám v zařízení, kdy tento přístup není v mnoha případech intuitivně zřejmý. Náležité informování má zásadní význam rovněž v případě, že aplikace zpracovává zvláštní kategorie osobních údajů, například o zdravotním stavu, politickém přesvědčení, sexuální orientaci atd. Vývojář aplikace by měl rovněž jednoznačně rozlišovat mezi povinnými a nepovinnými informacemi a systém by měl uživateli umožnit odmítnutí přístupu k nepovinným informacím pomocí předem nastavených voleb respektujících soukromí. Co se týká totožnosti správce údajů, uživatelé musí vědět, kdo je z právního hlediska odpovědný za zpracování jejich osobních údajů a jak lze správce kontaktovat. V opačném případě nemohou vykonávat svá práva, jako je právo na přístup (na dálku) k údajům, které jsou o nich uchovávány. Kvůli roztříštěnosti prostředí aplikací je zásadní, aby měla každá aplikace jednotné kontaktní místo, které přebírá odpovědnost za veškeré zpracovávání údajů, k němuž dochází prostřednictvím aplikace. Nelze ponechat na konečném uživateli, aby zkoumal vztahy mezi vývojáři aplikací a ostatními stranami zpracovávajícími osobní údaje prostřednictvím aplikace. Co se týká účelu, koneční uživatelé musí být náležitě informováni o tom, které údaje jsou o nich shromažďovány a proč. Uživatelé by měli být rovněž jasně a srozumitelně informováni o tom, zda mohou údaje znovu využít ostatní strany, a pokud ano, za jakým účelem. Pružné účely jako „inovace výrobků“ nejsou přiměřené, co se týká informování uživatelů. Je třeba 23

jasně uvést, že uživatelé jsou žádáni o souhlas se sdílením údajů se třetími stranami za účelem reklamy a/nebo analytiky. Existuje rovněž důležitá odpovědnost obchodů s aplikacemi za zajištění toho, aby byly pro každou aplikaci tyto informace k dispozici a byly snadno dostupné. Obchody s aplikacemi mají důležitou odpovědnost za zajištění náležitého informování. Důrazně se doporučuje používání vizuálních signálů nebo ikon týkajících se použití údajů k informování uživatelů o typech zpracovávání údajů. Kromě výše uvedeného minimálního rozsahu informací, které jsou nezbytné k vyžádání si souhlasu od uživatele aplikace, pracovní skupina s ohledem na korektní zpracovávání osobních údajů důrazně doporučuje, aby správci údajů poskytli uživatelům rovněž informace o  aspektech přiměřenosti u druhů údajů, které jsou shromažďovány v zařízení nebo k nimž je v zařízení umožněn přístup,  době uchovávání údajů,  bezpečnostních opatřeních uplatňovaných správcem údajů. Pracovní skupina rovněž doporučuje, aby vývojáři aplikací zahrnuli do své politiky ochrany soukromí informace určené evropským uživatelům, které se týkají toho, jak aplikace dodržuje evropské právní předpisy v oblasti ochrany údajů, včetně možného předávání osobních údajů z Evropy například do USA, a toho, zda a jak aplikace v tomto případě dodržuje rámec tzv. „bezpečného přístavu“. 3.7.2 Forma informací

Základní rozsah informací o zpracování údajů musí mít uživatelé k dispozici před instalací aplikace prostřednictvím obchodu s aplikacemi. Příslušné informace o zpracování údajů musí být za druhé v aplikaci přístupné rovněž po instalaci. Obchody s aplikacemi musí jakožto společný správce s vývojáři aplikace s ohledem na informování zajistit, aby každá aplikace poskytovala základní údaje o zpracovávání osobních údajů. Měly by zkontrolovat hypertextové odkazy na stránky s informacemi o ochraně soukromí a odstranit aplikace s nefunkčními odkazy či jinak nedostupnými údaji o zpracování údajů. Pracovní skupina doporučuje, aby byly informace o zpracovávání osobních údajů rovněž dostupné a snadno lokalizovatelné například v obchodě s aplikacemi a pokud možno na internetových stránkách vývojáře aplikací, který je za danou aplikaci odpovědný. Není přijatelné, aby uživatelé museli prohledávat internet, aby získali informace o zásadách zpracování údajů ze strany aplikací, místo toho, aby byli přímo informováni vývojářem aplikací či jiným správcem údajů. Každá aplikace by měla přinejmenším mít čitelnou, srozumitelnou a snadno přístupnou politiku ochrany soukromí, v níž jsou obsaženy všechny výše uvedené informace. Mnoho aplikací tento minimální požadavek na transparentnost nesplňuje. Podle studie FPF z června 2012 nemá politiku ochrany soukromí 56 % placených aplikací a téměř 30 % bezplatných aplikací. Aplikace, které nezpracovávají nebo nemají zpracovávat osobní údaje, by měly toto jasně uvádět v politice ochrany soukromí. 24

Existují samozřejmě omezení, pokud jde o množství informací, které lze uvést na malé obrazovce, to však není výmluva pro nepatřičné informování konečných uživatelů. K zajištění informovanosti uživatelů o hlavních prvcích služby lze použít řadu strategií. Pracovní skupina spatřuje výhody v používání víceúrovňových sdělení, jak podrobně objasnila ve svém stanovisku č. 10/200443, kdy prvotní sdělení pro uživatele obsahuje minimální informace vyžadované právním rámcem EU, přičemž další informace jsou k dispozici prostřednictvím odkazů na celou politiku ochrany soukromí. Informace by měly být zobrazeny přímo na obrazovce, měly by být snadno přístupné a dobře viditelné. Kromě ucelených informací vhodných pro malé obrazovky mobilních zařízení musí mít uživatelé přístup k odkazům na podrobnější vysvětlení (například v politice ochrany soukromí) ohledně toho, jak aplikace používá osobní údaje, kdo je správcem údajů a kde může uživatel uplatnit svá práva. Tuto metodu lze spojit s používáním ikon, obrázků, obrazových a zvukových záznamů a využíváním kontextových oznámení v reálném čase v případě přístupu aplikace k adresáři nebo fotografiím44. Tyto ikony musí dávat smysl, tj. musí být jasné, názorné a jednoznačné. Výrobce OS má nepochybně důležitou společnou odpovědnost za snadné používání těchto ikon. Vývojáři aplikací vynikají v programování a navrhování složitých rozhraní pro malé obrazovky a pracovní skupina odvětví vyzývá, aby tento tvůrčí talent využilo k poskytnutí inovativnějších řešení pro účinné informování uživatelů o mobilních zařízeních. V zájmu zajištění toho, aby byly informace skutečně srozumitelné i pro uživatele bez technických nebo právních znalostí, pracovní skupina (v souladu se zprávou útvarů FTC) důrazně doporučuje testování zvolených informačních strategií u spotřebitelů45.

3.8 Práva subjektu údajů Podle článků 12 a 14 směrnice o ochraně údajů musí vývojáři aplikací a ostatní správci údajů v ekosystému mobilních aplikací umožnit uživatelům aplikací výkon jejich práv na přístup, opravu, výmaz a práva uživatelů na vznesení námitky proti zpracování údajů. Pokud uživatel uplatní právo na přístup, musí správce údajů poskytnout uživateli informace o zpracovávaných údajích a o zdroji těchto údajů. Jestliže správce přijímá automatická rozhodnutí na základě souhrnných údajů, musí uživatele informovat rovněž o logice, na níž jsou tato rozhodnutí založena. Tak tomu může být v případě, kdy je hodnocena výkonnost nebo chování uživatelů, například na základě finančních nebo zdravotních údajů či jiných profilových údajů. Na žádost uživatele musí správce údajů umožnit rovněž opravu, výmaz nebo zablokování osobních údajů, pokud jsou neúplné, nepřesné nebo pokud jsou zpracovávány neoprávněně. Aby mohli uživatelé vykonávat kontrolu nad zpracováváním svých osobních údajů, musí aplikace uživatele jasně a viditelně informovat o existenci těchto mechanismů pro přístup a opravu. Pracovní skupina podle článku 29 doporučuje navržení a zavedení jednoduchých, ale bezpečných nástrojů pro on-line přístup. Nástroje pro přístup by měly být pokud možno 43

44 45

Stanovisko pracovní skupiny podle článku 29 č. 10/2004 k harmonizovanějším ustanovením pro poskytování informací (červenec 2004), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2004/wp100_cs.pdf . Například výstražná ikona pro zpracovávání za účelem geolokace používaná v iPhonech. Zpráva útvarů FTC, poznámka pod čarou č. 6, s. 16.

25

dostupné v rámci každé aplikace, nebo prostřednictvím odkazu na internetové stránky, kde mohou uživatele získat okamžitý přístup ke všem údajům, které jsou o nich zpracovávány, a k nezbytnému vysvětlení. Podobné iniciativy využívají poskytovatelé on-line služeb, například různé ovládací panely a jiné mechanismy pro přístup. Potřeba snadného on-line přístupu je obzvláště vysoká v případě aplikací, které zpracovávají bohaté uživatelské profily, jako jsou aplikace sociálních sítí, sociální aplikace a aplikace pro zasílání zpráv, nebo aplikace, které zpracovávají citlivé nebo finanční údaje. Přístup by měl být samozřejmě umožněn pouze tehdy, byla-li zjištěna totožnost subjektu údajů, aby se zamezilo úniku údajů třetím stranám. Tato povinnost týkající se ověření správné totožnosti by však neměla vést k dodatečnému nadměrnému shromažďování osobních údajů o subjektu údajů. V mnoha případech by mohlo postačovat ověření místo (úplné) identifikace. Uživatelé by mimoto měli mít vždy možnost souhlas jednoduchým a nezatěžujícím způsobem odvolat. Subjekt údajů může odvolat svůj souhlas se zpracováním údajů řadou různých způsobů a z řady různých důvodů. Možnost odvolat souhlas by měla být pokud možno dostupná prostřednictvím výše zmíněných snadno přístupných mechanismů. Musí být možné odinstalovat aplikace a tím odstranit veškeré osobní údaje rovněž ze serverů správce nebo správců údajů. Aby mohli uživatelé nechat vymazat své údaje vývojářem aplikací, hraje důležitou úlohu výrobce OS, pokud jde o poskytnutí signálu vývojáři aplikace, jakmile uživatel aplikaci odinstaluje. Tento signál by bylo možno poskytnout prostřednictvím API. Vývojář aplikací nemá poté, co uživatel aplikaci odinstaloval, v zásadě právní důvod pro další zpracovávání osobních údajů týkajících se tohoto uživatele, a musí proto veškeré údaje vymazat. Vývojář aplikací, který chce určité údaje zachovat, například s cílem usnadnit opětovnou instalaci aplikace, si musí v rámci procesu odinstalování vyžádat zvláštní souhlas a uživatele požádat, aby souhlasil se stanovenou dodatečnou dobou uchovávání. Jedinou výjimkou z tohoto pravidla je případná existence právních povinností týkajících se uchovávání určitých údajů pro zvláštní účely, jako jsou například daňové povinnosti v souvislosti s finančními transakcemi46.

3.9 Doby uchovávání údajů Vývojáři aplikací musí uvážit uchovávání údajů shromažďovaných pomocí aplikace a související rizika v oblasti ochrany údajů. Konkrétní lhůty budou záviset na účelu aplikace a na významu údajů pro konečného uživatele. Například aplikace kalendáře, diáře nebo sdílení fotografií umožňuje konečnému uživateli kontrolovat dobu uchovávání, přičemž u navigační aplikace může postačovat uložení pouze deseti naposledy navštívených míst. Vývojáři aplikací by měli věnovat pozornost rovněž údajům těch uživatelů, kteří aplikaci delší dobu nepoužívají. Tito uživatelé mohli své mobilní zařízení ztratit nebo přejít na jiné zařízení, 46

Pracovní skupina všem službám informační společnosti, jako jsou aplikace, připomíná, že se na ně nevztahuje povinnost týkající se uchovávání údajů stanovená v evropských právních předpisech (směrnice 2006/24/ES), a proto se jí nelze dovolávat jako právního důvodu pro další zpracovávání údajů o uživatelích aplikací poté, co aplikaci vymazali. Pracovní skupina využívá tuto příležitost k tomu, aby zdůraznila obzvláště rizikovou povahu provozních údajů, které si samy o sobě zasluhují zvláštní preventivní a ochranná opatření, jak je vyzdviženo ve zprávě pracovní skupiny podle článku 29 o prosazování směrnice o uchovávání údajů (WP 172), v níž byly všechny příslušné zúčastněné strany vyzvány k zavedení vhodných bezpečnostních opatření.

26

aniž by aktivně odinstalovali všechny aplikace v původním zařízení. Vývojáři aplikací by proto měli předem stanovit dobu nečinnosti, po jejímž uplynutí se bude mít za to, že platnost účtu skončila, a zajistit, aby byl uživatel o této lhůtě informován. Po uplynutí této lhůty by měl správce údajů uživatele upozornit a dát mu možnost získat zpět své osobní údaje. Pokud uživatel na upozornění nereaguje, měly by být osobní údaje týkající se uživatele a používání aplikace nevratně anonymizovány, nebo vymazány. Lhůta pro upozornění závisí na účelu aplikace a na místě, kde jsou údaje uloženy. Jestliže se jedná o údaje uložené v samotném zařízení, například počet bodů při hře, mohou být údaje uchovávány tak dlouho, dokud je aplikace nainstalována. Pokud se jedná o údaje, které jsou používány pouze jednou ročně, například informace o lyžařském středisku, mohla by lhůta pro upozornění činit 15 měsíců.

3.10 Děti Děti jsou horlivými uživateli aplikací, a to jak ve svých vlastních zařízeních, tak i společných zařízeních (např. zařízeních rodičů či sourozenců nebo zařízeních používaných ve škole), a jednoznačně existuje velký a rozmanitý trh aplikací zaměřených na děti. Děti mají současně jen malé či žádné povědomí a znalosti o rozsahu a citlivosti údajů, k nimž mohou aplikace získat přístup, nebo o rozsahu údajů sdílených se třetími stranami pro reklamní účely. Pracovní skupina podrobně projednala otázku zpracovávání údajů dětí ve stanovisku č. 2/2009 k ochraně osobních údajů dětí a v tomto odstavci se zabývá pouze řadou rizik a doporučení souvisejících s aplikacemi47. Vývojáři aplikací a ostatní správci údajů by měli věnovat pozornost věkové hranici ve vnitrostátních právních předpisech vymezující děti nebo nezletilé osoby, kdy je souhlas rodičů se zpracováním údajů podmínkou pro oprávněné zpracovávání údajů aplikacemi48. Pokud lze legálně získat souhlas od nezletilé osoby a aplikace má být používána dítětem nebo nezletilou osobou, měl by správce údajů dávat pozor na případné omezené chápání informací o zpracování údajů ze strany nezletilé osoby a pozornost věnovanou těmto informacím. Vzhledem k jejich obecné zranitelnosti a s přihlédnutím ke skutečnosti, že osobní údaje musí být zpracovávány korektně a zákonně, by správci údajů zaměřující se na děti měli ještě přísněji dodržovat zásady týkající se minimalizace údajů a omezení účelu. Správci údajů by zejména neměli údaje dětí zpracovávat pro účely reklamy zaměřené na chování, a to přímo ani nepřímo, jelikož to je mimo chápání dítěte, a překračuje to tudíž meze oprávněného zpracování údajů. Pracovní skupina sdílí obavy, které vyjádřila Federální komise pro obchod ve své zprávě o mobilních aplikacích pro děti49. 47

48 49

WP 160, stanovisko č. 2/2009 k ochraně osobních údajů dětí (Obecné pokyny a zvláštní případ škol) (ze dne 11. února 2009), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp160_cs.pdf . V členských státech EU je věková hranice od 12 do 18 let. Zpráva útvarů FTC nazvaná Mobile Apps for Kids: Current Privacy Disclosures are Disappointing (únor 2012), http://www.ftc.gov/os/2012/02/120216mobile_apps_kids.pdf. „Ačkoli se zaměstnanci setkali s rozmanitou skupinou aplikací pro děti, které byly vytvořeny stovkami různých vývojářů, na trzích s aplikacemi našli jen málo informací (pokud vůbec) o postupech těchto aplikací pro shromažďování údajů a jejich sdílení.“

27

Vývojáři aplikací by měli ve spolupráci s obchody s aplikacemi a výrobci OS a zařízení předkládat příslušné informace jednoduchým způsobem v jazyce, který je přiměřený věku dítěte. Správci údajů by se měli zejména zdržet jakéhokoli shromažďování údajů týkajících se rodičů či rodinných příslušníků dětského uživatele, jako jsou finanční údaje nebo zvláštní kategorie informací, například zdravotní údaje.

4 Závěry a doporučení Mnoho druhů údajů, které jsou k dispozici v inteligentních mobilních zařízeních, patří k osobním údajům. Příslušným právním rámcem je směrnice o ochraně údajů spolu se zvláštním požadavkem na souhlas, který je obsažen v čl. 5 odst. 3 směrnice o soukromí a elektronických komunikacích. Tato pravidla se vztahují na všechny aplikace určené uživatelům aplikací v EU bez ohledu na místo usazení vývojáře aplikací nebo obchodu s aplikacemi. Roztříštěnost ekosystému aplikací, široká škála technických možností přístupu k údajům uloženým v mobilních zařízeních nebo vytvářených těmito zařízeními a nedostatečné právní povědomí vývojářů vytvářejí pro uživatele aplikací řadu vážných rizik v oblasti ochrany údajů. Tato rizika sahají od nedostatečné transparentnosti a nedostatečné informovanosti uživatelů aplikací po nedostatečná bezpečnostní opatření, neplatné mechanismy pro získání souhlasu, tendenci směrem k maximalizaci údajů a pružnost účelů zpracovávání údajů. Mezi jednotlivými stranami podílejícími se na vývoji, distribuci a technických funkcích aplikací existuje překrývání povinností týkajících se ochrany údajů. Většina závěrů a doporučení je zaměřena na vývojáře aplikací (jelikož mají největší kontrolu nad přesným způsobem, jakým se zpracování provádí, nebo informacemi obsaženými v aplikaci), ti však často musí v zájmu dosažení nejvyšších norem týkajících se soukromí a ochrany údajů spolupracovat s ostatními stranami v ekosystému aplikací, jako jsou výrobci OS a zařízení, obchody s aplikacemi a třetí strany, například poskytovatelé analytických služeb a reklamní sítě. Vývojáři aplikací musí  být si vědomi svých povinností jakožto správci údajů a dodržovat tyto povinnosti při zpracovávání údajů od uživatelů a o uživatelích;  být si vědomi svých povinností jakožto správci údajů a dodržovat tyto povinnosti při uzavírání smluv se zpracovateli údajů, pokud například zadávají externě sběr a zpracovávání osobních údajů vývojářům, programátorům a poskytovatelům služby cloud storage;  vyžádat si souhlas před tím, než aplikace začne vyhledávat nebo ukládat informace v zařízení, tj. před instalací aplikace. Tento souhlas musí být svobodný, výslovný a vědomý;  vyžádat si strukturovaný souhlas pro každý druh údajů, k nimž bude mít aplikace přístup; přinejmenším pro kategorie lokalizace, kontakty, jedinečný identifikátor zařízení, totožnost subjektu údajů, identita telefonu, údaje o kreditní kartě a platbě, telefonie a SMS, historie prohlížení, e-mail, identifikační údaje pro sociální sítě a biometrické údaje;  být si vědomi toho, že souhlas neopravňuje ke zpracovávání údajů, které přesahuje míru nebo je nepřiměřené; 28

     

  

před instalací aplikace stanovit náležitě vymezené a srozumitelné účely zpracování údajů a neměnit tyto účely bez opětovného souhlasu; poskytnout úplné informace, pokud budou údaje používány pro účely třetích stran, jako je reklama nebo analytika; umožnit uživatelům, aby odvolali svůj souhlas a odinstalovali aplikaci a případně vymazali údaje; dodržovat zásadu týkající se minimalizace údajů a shromažďovat pouze ty údaje, které jsou naprosto nezbytné k provádění požadované funkce; přijmout nezbytná organizační a technická opatření na ochranu osobních údajů, které zpracovávají, a to ve všech fázích navrhování a zavádění aplikace (ochrana soukromí již od návrhu), jak je stanoveno v bodě 3.6 tohoto stanoviska; poskytnout uživatelům aplikace jednotné kontaktní místo; poskytnout čitelnou, srozumitelnou a snadno dostupnou politiku ochrany soukromí, která informuje uživatele minimálně o  jejich osobě (totožnost a kontaktní údaje),  přesných kategoriích osobních údajů, které chce aplikace shromažďovat a zpracovávat,  tom, proč je zpracování údajů nezbytné (za jakými konkrétními účely),  tom, zda budou údaje poskytnuty třetím stranám (nikoli pouze obecné informace, nýbrž konkrétní popis, komu budou údaje poskytnuty),  tom, jaká práva uživatelé mají, pokud jde o odvolání souhlasu a výmaz údajů; umožnit uživatelům aplikací vykonávat právo na přístup, opravu, výmaz a právo vznést námitku proti zpracování údajů a informovat je o existenci těchto mechanismů; stanovit přiměřenou dobu uchovávání údajů shromažďovaných pomocí aplikace a předem určit dobu nečinnosti, po jejímž uplynutí se bude mít za to, že platnost účtu skončila; co se týká aplikací zaměřených na děti: věnovat pozornost věkové hranici ve vnitrostátních právních předpisech vymezující děti nebo nezletilé osoby, zvolit co nejúžeji vymezenou metodu zpracovávání údajů při plném respektování zásad týkajících se minimalizace údajů a omezení účelu, zdržet se zpracovávání údajů dětí pro účely reklamy zaměřené na chování, a to přímo či nepřímo, a zdržet se toho, aby byly prostřednictvím dětí shromažďovány údaje o jejich příbuzných a/nebo přátelích.

Pracovní skupina doporučuje, aby vývojáři aplikací  prostudovali příslušné pokyny, co se týká konkrétních bezpečnostních rizik a opatření;  aktivně uživatele informovali o narušení bezpečnosti osobních údajů v souladu s požadavky směrnice o soukromí a elektronických komunikacích;  informovali uživatele o aspektech přiměřenosti u všech druhů údajů shromažďovaných v zařízení nebo k nimž je v zařízení umožněn přístup, o dobách uchovávání údajů a o uplatňovaných bezpečnostních opatřeních;  vyvinuli nástroje, které uživatelům umožní přizpůsobit doby uchovávání osobních údajů podle jejich konkrétních preferencí a kontextů, místo předem stanovených lhůt pro uchovávání údajů;  ve své politice ochrany soukromí uvedli informace určené evropským uživatelům;  vyvinuli a zavedli jednoduché, ale bezpečné nástroje pro uživatele k on-line přístupu, bez shromažďování dodatečných nadměrných osobních údajů;  spolu s výrobci OS a zařízení a obchody s aplikacemi využili svůj tvůrčí talent k vypracování inovativních řešení k náležitému informování uživatelů o mobilních zařízeních, například prostřednictvím systému víceúrovňových informačních sdělení spolu se smysluplnými ikonami.

29

Obchody s aplikacemi musí  být si vědomy svých povinností jakožto správci údajů a dodržovat tyto povinnosti při zpracovávání údajů od uživatelů a o uživatelích;  vymáhat dodržování informační povinnosti vývojáře aplikací, včetně druhů údajů, k nimž může mít aplikace přístup a za jakým účelem, jakož i toho, zda jsou údaje sdíleny se třetími stranami;  věnovat zvláštní pozornost aplikacím zaměřeným na děti s cílem chránit děti před neoprávněným zpracováním jejich údajů, a zejména vymáhat dodržování povinnosti týkající se předkládání příslušných informací jednoduchým způsobem v jazyce přiměřeném věku dítěte;  poskytnout podrobné informace o kontrolách pro přijetí aplikací, které skutečně provádějí, včetně kontrol zaměřených na posouzení záležitostí týkajících se soukromí a ochrany údajů. Pracovní skupina doporučuje, aby obchody s aplikacemi  ve spolupráci s výrobcem OS vyvinuly kontrolní nástroje pro uživatele, jako jsou symboly znázorňující přístup k údajům v mobilním zařízení a vytvářeným mobilním zařízením;  podrobily všechny aplikace mechanismu pro hodnocení veřejné pověsti;  zavedly mechanismus pro dálkové odinstalování, který respektuje soukromí;  poskytly uživatelům kanály pro zpětnou vazbu k oznámení problémů souvisejících se soukromím a/nebo bezpečností;  spolupracovaly s vývojáři aplikací s cílem aktivně informovat uživatele o narušení bezpečnosti jejich osobních údajů;  před nabízením aplikace v Evropě upozornily vývojáře aplikací na zvláštnosti evropských právních předpisů, například požadavek na souhlas a požadavky v případě přenosu osobních údajů do zemí mimo EU. Výrobci OS a zařízení musí  aktualizovat svá API, pravidla uchovávání a uživatelská rozhraní s cílem poskytnout uživatelům dostatečnou kontrolu nad udělením platného souhlasu s ohledem na údaje zpracovávané aplikacemi;  zavést v OS mechanismy pro získání souhlasu při prvním spuštění aplikace nebo při prvním pokusu aplikace o přístup k jedné z kategorií údajů, které mají významný dopad na soukromí;  uplatňovat zásady týkající se ochrany soukromí již od návrhu s cílem zamezit tajnému sledování uživatele;  zajistit bezpečnost zpracování;  zajistit, aby byly předem nainstalované aplikace (výchozí nastavení) v souladu s evropskými právními předpisy v oblasti ochrany údajů;  umožňovat strukturovaný přístup k údajům, senzorům a službám v zájmu zajištění toho, aby vývojáři aplikací měli přístup jen k těm údajům, které jsou nezbytné pro jejich aplikaci;  poskytnout uživatelsky přívětivé a účinné prostředky zamezující sledování ze strany inzerentů a jakýchkoli jiných třetích stran. Výchozí nastavení musí zamezit jakémukoli sledování;  zajistit dostupnost vhodných mechanismů pro informování a vzdělávání konečného uživatele ohledně toho, co mohou aplikace dělat a k jakým údajům mohou mít přístup;  zajistit, aby byl přístup ke každé kategorii údajů zohledněn v informacích poskytnutých uživateli před instalací aplikace: uvedené kategorie musí být jasné a srozumitelné; 30



zavést prostředí respektující bezpečnost, s nástroji, které zamezují šíření škodlivých aplikací a umožňují snadnou instalaci/odinstalování každé funkce.

Pracovní skupina doporučuje, aby výrobci OS a zařízení  umožnili uživatelům odinstalovat aplikace a poskytli vývojáři aplikací signál (např. prostřednictvím API), aby tento mohl vymazat údaje příslušného uživatele;  systematicky nabízeli a usnadňovali pravidelné bezpečnostní aktualizace;  zajistili, aby metody a funkce umožňující přístup k osobním údajům zahrnovaly prvky, které mají zavést požadavky na strukturovaný souhlas;  aktivně pomáhali vyvíjet a usnadňovat ikony upozorňující uživatele na různé používání údajů ze strany aplikací;  vyvíjeli v zařízeních jednoznačné auditní stopy, aby mohli koneční uživatelé snadno vidět, které aplikace mají přístup k údajům v jejich zařízeních, a objem odchozího provozu u jednotlivých aplikací ve vztahu k provozu iniciovanému uživatelem. Třetí strany  musí si být vědomy svých povinností jakožto správci údajů a dodržovat tyto povinnosti při zpracovávání osobních údajů o uživatelích;  při čtení údajů v mobilních zařízeních nebo zapisování údajů do těchto zařízení musí dodržovat požadavek na souhlas stanovený v čl. 5 odst. 3 směrnice o soukromí a elektronických komunikacích, a to ve spolupráci s vývojáři aplikací s/nebo obchody s aplikacemi, které v zásadě uživatele informují o účelech zpracování údajů;  nesmí obcházet mechanismus, který má zamezit sledování, jak se v současnosti často děje prostřednictvím mechanismů „Nesledovat“ zavedených v prohlížečích;  poskytovatelé komunikačních služeb musí při distribuci značkových zařízení zajistit platný souhlas uživatelů s předem nainstalovanými aplikacemi a převzít příslušné povinnosti, pokud přispívají ke stanovení určitých funkcí zařízení a OS, jako je omezení přístupu uživatele k určitým konfiguračním parametrům nebo filtrování uvolněných oprav chyb (bezpečnostních a funkčních) poskytnutých výrobci zařízení a OS;  inzerenti musí zejména zamezit poskytování reklam mimo kontext aplikace. Příkladem je poskytování reklam změnou nastavení prohlížeče nebo umístěním ikon v mobilním počítači. Musí se zdržet používání jedinečných identifikátorů zařízení nebo účastníka za účelem sledování;  nesmí zpracovávat údaje dětí pro účely reklamy zaměřené na chování, a to přímo ani nepřímo. Musí uplatňovat vhodná bezpečnostní opatření. To zahrnuje bezpečný přenos a uložení jedinečných identifikátorů zařízení a uživatele aplikace a jiných osobních údajů v zakódované podobě. Pracovní skupina doporučuje, aby třetí strany  vyvinuly a zavedly jednoduché, ale účinné nástroje pro uživatele k on-line přístupu, bez shromažďování nadbytečného množství doplňkových osobních údajů;  shromažďovaly a zpracovávaly pouze údaje, které jsou v souladu s kontextem, v němž uživatel údaje poskytl.

31