GIODO przedstawił informację o przetwarzaniu i dostępie do danych geolokalizacyjnych

Dodano: 10 lipca 2017
GIODO przedstawił informację o przetwarzaniu i dostępie do danych geolokalizacyjnych

5 lipca 2017 r. Generalny Inspektor Ochrony Danych Osobowych przedstawił na forum sejmowej Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii informacje w zakresie przetwarzania i udostępniania danych geolokalizacyjnych. Podczas wystąpienia GIODO wskazał trzy główne zagrożenia związane z wykorzystaniem danych lokalizacyjnych.

1. Bardzo duża ilość danych osobowych w jednym miejscu

Rozwiązania technologiczne umożliwiające ustalenie położenia geograficznego są nierozerwalnie związane z urządzeniami mobilnymi. Te z kolei towarzyszą człowiekowi praktycznie bez przerwy i są ściśle związane z konkretną osobą. Większość ludzi na szczęście zdaje sobie sprawę, że urządzenia te zawierają wiele bardzo prywatnych informacji. Niestety wiedzą też o tym dostawcy usług i głównie poprzez aplikacje mobilne starają się uzyskać niezbędne informacje od użytkownika do celów marketingowych.

Pozyskują więc dane dotyczące nawyków i schematów postępowania właściciela takiego urządzenia i tworzą obszerne, ale i bogate w informację profile. Przykładowo, schemat braku aktywności w nocy może jednoznacznie informować o miejscu, w którym dana osoba śpi, a regularny schemat podróżowania w ciągu dnia może sugerować lokalizację pracodawcy.

Często zarówno twórcy aplikacji, jak i ich użytkownicy nie są świadomi wymogów i obowiązujących zasad w zakresie ochrony danych osobowych, przez co ich aplikacje mogą wnosić istotne zagrożenie dla ochrony życia prywatnego oraz reputacji osób, które z nich będą korzystać, ale także obowiązków informacyjnych leżących po stronie administratora czy praw podmiotów do kontroli procesu przetwarzania danych.

Kluczowe zagrożenia w zakresie ochrony danych osobowych dla użytkownika końcowego stanowi połączenie braku przejrzystości w zakresie kategorii i sposobu przetwarzania danych oraz świadomości w zakresie zagrożeń związanych z ich udostępnienia innym osobom lub podmiotom.

CZYM JEST GEOLOKALIZACJA

Geolokalizacja polega na ustaleniu informacji o położeniu geograficznym, w którym znajduje się dane urządzenie. Wykorzystuje się w tym celu różne infrastruktury techniczne i informacje zawarte w bazach danych różnych podmiotów prywatnych i publicznych. W dyrektywie 2002/58/WE o prywatności i łączności elektronicznej „dane lokalizacyjne” zdefiniowano jako wszelkie dane przetwarzane w sieci łączności elektronicznej wskazujące położenie geograficzne urządzenia końcowego wykorzystywanego przez użytkownika publicznie dostępnych usług łączności elektronicznej (smartfon, tablet, laptop itp.).

2. Udostępnianie informacji w aplikacjach mobilnych

Wiele aplikacji w trakcie instalacji wymaga od użytkownika zgody na udostępnienie wielu informacji, w tym danych lokalizacyjnych. Należy pamiętać, że zgadzając się na kilka uprawnień jednocześnie, udostępniamy danej aplikacji cały pakiet danych osobowych. Zdarza się, że są to dane wrażliwe związane chociażby ze stanem zdrowia. W tym kontekście problemem jest stałe rozszerzanie przez producentów możliwości takich aplikacji, ich uatrakcyjnianie, które wiąże się wszakże z ryzykiem poszerzania katalogu o dane nieadekwatne do realizowanego celu.

Należy mieć również na uwadze zakres odbiorców, którym dane udostępniane są na portalach społecznościowych. Zalecanym rozwiązaniem jest zgodnie z zasadą domyślnej prywatności, zastosowanie ustawień początkowych, które wstępnie nie pozwalają na udostępnienie żadnych danych, ale jednocześnie dostarczenie funkcji, które pozwalają użytkownikowi wskazać dane i odbiorców, którym chce je udostępnić. Użytkownik powinien móc wskazać, którzy z jego znajomych mogą widzieć informacje dotyczące jego aktualnej lokalizacji.

Dodatkowy wpływ na identyfikację osoby ma stałe połączenie urządzenia z różnego rodzaju usługami (bankowymi, pocztą elektroniczną, czy portalami społecznościowymi). Włączone na urządzeniu usługi zbierają informacje o naszej aktywności, dzięki czemu administrator tych danych może uzyskać informacje o naszych nawykach czy przekonaniach religijnych. Wykorzystując odpowiednie algorytmy wnioskujące związane z technologią Big Data, możliwe jest na podstawie zgromadzonych danych określenie profili poszczególnych osób, które mogą zostać wykorzystane we wszystkich dziedzinach i branżach. Przykładowo, mogą to być tzw. systemy scoringowe stosowane przez banki posiadające przegląd całej aktywności finansowej klienta, w tym w zakresie miejsca dokonywanych transakcji, np. związanych z wykonywanym przez niego zawodem, czy prywatnymi zainteresowaniami.

Nawet jeżeli osoby fizyczne celowo udostępniają swoje dane geolokalizacyjne w Internecie za pomocą usług dotyczących miejsca pobytu i geotagowania, nieograniczony i pełny dostęp stwarza nowe zagrożenia, które mogą obejmować kradzież danych i włamania, a nawet fizyczną napaść i nękanie.

3. Brak odpowiednich zabezpieczeń

W przeciwieństwie do technologii GPS stosowanej przez jednostki wojskowe, obecny stopień zabezpieczeń technologii cywilnego GPS może budzić obawy i rodzi ryzyko, że liczba aktów spoofingu (podmiana sygnału) może szybko rosnąć. GPS jest pozbawiony mechanizmów uwierzytelniających, przez co wzrasta prawdopodobieństwo zakłócenia lokalizacji innymi sygnałami. Ma to duże znaczenie w odniesieniu np. do takich obiektów jak bezzałogowe statki powietrzne, czyli drony, których zakłócenie lokalizacji może stać się poważnym zagrożeniem dla bezpieczeństwa ruchu lotniczego i osób poruszających się na ziemi. Należy więc oczekiwać, że tworzone rozwiązania prawne na szczeblu unijnym i krajowym zapobiegną takim ryzykom i zapewnią spójną politykę w tym zakresie.

GIODO przypomina o obowiązkach administratorów danych

W procesie przetwarzania danych – także geolokalizacyjnych – zawsze obowiązują podstawowe zasady, które w ustawie o ochronie danych osobowych wyznacza art. 26 ust. 1, a w ogólnym rozporządzeniu o ochronie danych art. 5:

  • zasada legalności – przetwarzanie danych zgodnie z prawem,
  • zasada celowości – gromadzenie danych dla oznaczonych, zgodnych z prawem celów i nie poddawanie ich dalszemu przetwarzaniu niezgodnemu z tymi celami,
  • zasada merytorycznej poprawności danych,
  • zasada adekwatności – adekwatność danych w stosunku do celów, w jakich są przetwarzane,
  • zasada ograniczenia czasowego – należy przechowywać dane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

Obowiązek informacyjny

Na administratorze danych spoczywa obowiązek informacyjny, o którym mowa w art. 24 uodo i art. 13 rodo (gdy dane zbierane są bezpośrednio od osoby, której one dotyczą) i art. 25 uodo i art. 14 rodo (w przypadkach gromadzenia danych geolokalizacyjnych ze źródeł pośrednich, np. nie od osoby, której one dotyczą). Chodzi o to, aby na podstawie uzyskanych informacji, zainteresowany miał możliwość właściwego ocenienia sytuacji i podjęcia decyzji co do udostępnienia danych o swojej lokalizacji, a także, aby mógł korzystać z swoich praw.

Uwaga

Nowe przepisy o ochronie danych osobowych, które wrowadzi ogólne rozporządzenie o ochronie danych, nie znoszą zasad i obowiązków administratora danych. Pozycja osoby, której dane osobowe są przetwarzane, będzie wzmocniona m.in. poprzez:

  • poszerzony obowiązek informacyjny – informacja o profilowaniu, inspektorze ochrony danych, czasie przechowywania, prawie wniesienia skargi do organu nadzorczego,
  • prawo do przenoszenia danych,
  • obowiązek uwzględniania przez administratora danych zasad domyślnej prywatności (privacy by default) i prywatności w fazie projektowania (privacy by design),
  • obowiązek przeprowadzenia oceny skutków dla ochrony danych – w szczególnych sytuacjach.

GIODO przypomina takrze o obowiązku zgłoszenia do rejestracji zbiorów danych osobowych zawierających dane geolokalizacyjne.

Źródło:
  • Informacja Generalnego Inspektora Ochrony Danych Osobowych o przetwarzaniu i dostępie do danych geolokalizacyjnych

Opracowała: Wioleta Szczygielska

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x