CAR DATA – opinia w sprawie usług geolokalizacyjnych dalej aktualna

W sieci pojawił się kolejny artykuł o zastosowaniu geolokalizacji tj. BMW CarData, czyli „permanentna inwigilacja”. Dla dobra klienta! Producent samochodów planuje zbierać dane dotyczące sposobu jazdy kierowców co może rodzić ryzyka utraty prywatności.

Ogólne rozporządzenie o ochronie danych osobowych wskazuje iż istnieje ryzyko naruszenia praw lub wolności osób, które może wynikać z przetwarzania danych do uszczerbku fizycznego lub szkód majątkowych lub nie majątkowych W śród zagrożeń wymieniane są między innymi  ocenianie czynników osobowych, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań,wiarygodności lub zachowania, lokalizacji lub przemieszczania się– w celu tworzenia lub wykorzystywania profili osobistych lub jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.

Artykuł 4 Definicje

dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Dynamiczny rozwój technologiczny już wiele lat temu spowodował konieczność przeanalizowania jego wpływu na ochronę danych osobowych i prywatność osób.  W obszarze tego zainteresowania znalazło się również przetwarzanie danych geolokalizacyjnych. Już 16 maja 2011 r. Grupa Art. 29 wydała  opinię 13/2011 w sprawie usług geolokalizacyjnych w inteligentnych urządzeniach przenośnych (WP185).

W Opinii zwrócono uwagę na istotę przetwarzania danych geolokalizacyjnych, biorąc pod uwagę obecnie stosowane technologie, takie jak telefonia komórkowa, systemy nawigacji satelitarnej czy też bezprzewodowy dostęp do Internetu (WI-FI). Zasygnalizowano również szerokie możliwości łączenia informacji z wielu źródeł, jakimi są z jednej strony informacje o sygnałach otaczających nas stacji telefonii komórkowych i sygnałach systemów nawigacji satelitarnej, z drugiej zaś strony informacje dostępne na stronach internetowych serwisów geolokalizacyjnych systematycznie zbierane przez operatorów tych serwisów.
W Opinii wskazano na fakt, że użytkownicy smartphonów i tabletów noszą je przy sobie cały czas i urządzenia te pozwalają śledzić, w jakich miejscach przebywają, w związku z czym kwestia ochrony prywatności jest tu bardzo istotna.
W dokumencie określono i oszacowano także zagrożenia ochrony prywatności wiążące się z korzystaniem z usług geolokalizacyjnych.
Ponadto w Opinii przeanalizowano podstawy prawne z punktu widzenia Dyrektywy 95/46/WE o ochronie danych oraz ogólnych zasad ochrony prywatności.

We wnioskach przedstawiono zalecenia dla poszczególnych stron biorących udział w przedmiotowym procesie, zarówno dla operatorów systemów geolokalizacyjncyh, podmiotów świadczących usługi geolokalizacyjne, jak i producentów urządzeń i oprogramowania wykorzystywanego do świadczenia usług geolokalizacyjnych.
W zaleceniach tych wskazano m.in. na obowiązek informacyjny, prawa osób, których dane dotyczą, oraz okresy zatrzymywania danych:
W odniesieniu do obowiązku informacyjnego szczególnie zwrócono uwagę na fakt, że:
•    Informacje muszą być jasne, obszerne, zrozumiałe dla szerszej grupy odbiorców nie posiadających wiedzy technicznej oraz stale i łatwo dostępne. Ważność zgody jest nierozerwalnie związana z jakością informacji na temat usługi.
•    Strony trzecie, takie jak operatorzy wyszukiwarek i portali społecznościowych, mają kluczową rolę do wypełnienia, jeżeli chodzi o widoczność i jakość informacji dotyczących przetwarzania danych geolokalizacyjnych.
Jeżeli chodzi o prawa osób, których dane dotyczą, wskazano że:
•    Różni administratorzy informacji geolokalizaycjnych z urządzeń przenośnych powinni umożliwić swoim klientom uzyskanie dostępu do ich danych o lokalizacji w formie zrozumiałej dla człowieka oraz pozwolić na ich poprawianie i usuwanie bez gromadzenia nadmiernych danych osobowych.
•    Osoby, której dane dotyczą mają również prawo dostępu do, poprawienia i usunięcia ewentualnych profili opartych na tych danych o lokalizacji.
•    Grupa Robocza zaleca utworzenie (bezpiecznego) dostępu online.
Natomiast zalecenia dotyczące okresów zatrzymywania sformułowano następująco:
•    Dostawcy programów lub usług geolokalizacyjnych powinni wdrożyć polityki dotyczące zatrzymywania, aby zapewnić, że dane geolokalizacyjne lub profile powstałe w oparciu o te dane były usuwane po upłynięciu uzasadnionego okresu.
•    Jeżeli producent systemu operacyjnego i/lub administrator infrastruktury geolokalizacyjnej przetwarza unikalny numer taki jak adres MAC lub identyfikator UDID w odniesieniu do danych o lokalizacji, unikalny numer identyfikacyjny może być przechowywany tylko przez maksymalnie 24 godziny, do celów operacyjnych.”

 

W zakresie zabezpieczeń pomocny może okazać się kodeks dobrych praktyk dla branży motoryzacyjnej. Polski Związek Przemysłu Motoryzacyjnego we współpracy z GIODO opracował „Kodeks dobrych praktyk w zakresie ochrony danych osobowych klientów i potencjalnych klientów”. Czytaj więcej…

 

Tomasz Soczyński