Uzyskał dokładne informacje od swojego operatora. Opublikowane dane wskazywały m.in., gdzie bywał, kiedy i jak podróżował, w jakich porach lubił rozmawiać przez telefon, a nawet kiedy spał. Wszystkie dane były zapisane w systemach jego dostawcy usług telekomunikacyjnych - Deutsche Telekom, a przekazane przez jego telefon.

Zakres ochrony informacji

Tematem danych zbieranych przez inteligentne urządzenia mobilne zajęła się - w niedawnej opinii dotyczącej usług geolokalizacji - Grupa Robocza Artykułu 29 ds. danych osobowych. To organ unijny, w którego skład wchodzi m.in. polski Generalny Inspektor Ochrony Danych Osobowych. Usługi wykorzystujące geolokalizację, mimo że często ułatwiają i uprzyjemniają nam życie, wskazując np. najbliższy bankomat, prognozę pogody dla miejsca, w którym jesteśmy, czy drogę do hotelu w obcym mieście - pobierają jednocześnie prywatne dane użytkowników.

Użytkownicy smartfonów i tabletów - podobnie jak Malte Spitz - niechętnie rozstają się ze swoimi gadżetami. Stąd ustalenie lokalizacji smartfonu oznacza w praktyce uzyskanie informacji, gdzie znajduje się jego właściciel. Zbieranie i zestawienie ze sobą takich informacji pozwala zaś na określenie wielu cech dotyczących użytkownika, np. miejsce jego zamieszkania, drogę do pracy, a nawet sposób spędzania wolnego czasu czy jego zwyczajów, w tym informacji, czy wyłącza smartfon na noc. W skrajnych przypadkach w skład uzyskanych danych mogą wchodzić dane wrażliwe, takie jak informacje o stanie zdrowia (na podstawie ustalenia, że osoba bywa np. w klinice kardiologicznej) czy przekonaniach politycznych (np. ustalenie, że ktoś odwiedza siedzibę określonej partii politycznej). Na to właśnie chce zwrócić uwagę Grupa Robocza Artykułu 29. Wskazuje ona ponadto, że dostęp do danych o naszej lokalizacji mogą mieć nie tylko operatorzy, ale też inne podmioty, w tym operatorzy systemów geolokalizacyjnych, podmioty świadczące usługi geolokalizacyjne, a także producenci urządzeń i oprogramowania wykorzystywanego do świadczenia tego typu usług.

Dane geolokacyjne danymi osobowymi

Kwestią danych lokalizacyjnych zajmuje się częściowo dyrektywa 2002/58/WE dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej. Przepisy tej dyrektywy wdrożone są w Polsce przez Prawo telekomunikacyjne. Zgodnie z nimi, w celu wykorzystania danych o lokalizacji dostawca publicznie dostępnych usług telekomunikacyjnych jest obowiązany uzyskać zgodę abonenta lub użytkownika końcowego na przetwarzanie danych o lokalizacji albo dokonać anonimizacji tych danych. Ponadto dostawca ma obowiązek poinformować abonenta lub użytkownika końcowego o rodzaju danych o lokalizacji, które będą przetwarzane, o celach i okresie ich przetwarzania oraz o tym, czy dane zostaną przekazane innemu podmiotowi dla celów świadczenia usługi tworzącej wartość wzbogaconą.

Zgodnie z prawem unijnym, dane o lokalizacji mogą być przetwarzane wyłącznie dla celów niezbędnych do świadczenia usług o wartości wzbogaconej. Jednakże Prawo telekomunikacyjne - co do zasady - nie mówi o obowiązkach innych podmiotów, nie związanych z firmami telekomunikacyjnymi. Jednakże, na co zwraca uwagę Grupa Robocza Artykułu 29, dane geolokalizacyjne powinny być traktowane jako dane osobowe. Są więc objęte ochroną przewidzianą przepisami o ochronie danych osobowych. Zatem w tym zakresie, jak podpowiada opinia Grupy, podstawową przesłanką dla innych podmiotów, w tym w szczególności dostawców usług elektronicznych, do przetwarzania danych lokalizacyjnych, jest uprzednia zgoda użytkownika.

Jak ostrzegać przez zbieraniem danych

Grupa wskazuje, że wielu użytkowników smartfonów nie jest świadomych, jakiego typu informacje przekazują usługodawcom, dlatego zgoda ta powinna być uzyskana w staranny sposób. Użytkownicy smartfonów muszą zostać powiadomieni o przetwarzaniu ich danych w sposób zrozumiały dla osoby nie posiadającej wiedzy technicznej. Muszą uzyskać informacje o nazwie administratora danych, celu przetwarzania, typach zbieranych danych oraz prawie do dostępu oraz poprawiania danych (w tym danych dotyczących profilu użytkownika).

Do dobrych praktyk zalecanych przez Grupę należy okresowe ponawianie pytania o zgodę, nawet jeśli okoliczności przetwarzania się nie zmieniły. Użytkownicy powinni mieć możliwość łatwego wycofania zgody. Co więcej, Grupa zaleca wyświetlanie się ikonki wskazującej, że geolokalizacja jest włączona. Zdaniem Grupy, dostawcy programów lub usług geolokalizacyjnych powinni wdrożyć odpowiednie procedury, aby dane geolokalizacyjne lub profile powstałe na bazie tych danych były usuwane po upłynięciu uzasadnionego czasu.

Grupa zwraca uwagę, że istnienie technicznej możliwości transmitowania danych lokacyjnych do osób nie będących użytkownikami urządzenia nie oznacza, że taka transmisja jest zawsze zgodna z prawem. Jako przykład podaje monitorowanie wykonywania obowiązków pracowniczych przez pracodawcę za pomocą systemu wbudowanego w samochód służbowy. Grupa zwraca uwagę, że monitorowanie musi szanować prawo pracowników do prywatności i służyć sprawdzeniu, gdzie znajduje się pojazd, a nie śledzeniu, czy pracownik przekracza dozwoloną prędkość. Pracownik musi o nim wiedzieć i mieć możliwość wyłączenia monitorowania po godzinach pracy.

W Polsce tego typu usługi dopiero stają się popularne, ale należy się spodziewać, że wraz z dynamicznym rozwojem rynku smartfonów i serwisów społecznościowych niedługo powinniśmy się zacząć bacznie przyglądać tego typu wyzwaniom. Warto podkreślić, że mimo iż opinia Grupy Roboczej Artykułu 29 nie ma charakteru wiążącego, Generalny Inspektor Ochrony Danych Osobowych - interpretując przepisy ustawy o ochronie danych osobowych - posiłkuje się jej wytycznymi.

$Magdalena Kogut-Czarkowska jest radcą prawnym w kancelarii Baker&McKenzie.