Despre aplicațiile mobile care nu respectă regimul juridic al colectării de date cu caracter personal

Dezvoltarea, vanzarea si utilizarea de aplicatii mobile pentru dispozitive inteligente (e.g. telefoane, tablete, etc.) implica de multe ori o serie de riscuri in ceea ce priveste confidentialitatea datelor cu caracter personal ale utilizatorilor.

O serie de date statistice prezentate de catre organizatia Europeana a autoritatilor care asigura protectia datelor cu caracter personal (cunoscuta sub numele de Grupul de Lucru Instituit in Temeiul Art. 29) in cadrul Avizului nr. 02/2013 privind aplicatiile instalate pe dispozitive inteligente („Avizul”), arata ca:
– 1600 de noi aplicatii mobile sunt adaugate zilnic in magazinele de aplicatii;
– un utilizator mediu de telefoane inteligente descarca aproximativ 37 de aplicatii gratuite sau care au un pret initial foarte redus;
– doar 61,3% din cele mai importante 150 de aplicatii au o politica de confidentialitate;
– 89% dintre utilizatori considera ca este important sa stie cand datele lor cu caracter personal sunt facute cunoscute de o aplicatie si sa dispuna de posibilitatea de a inchide aplicatia respectiva.

Ce date cu caracter personal prelucreaza aplicatiile mobile?

Echipamentul terminal al utilizatorului de retele de comunicatii electronice si orice informatie stocata in acesta, fac parte din sfera privata a utilizatorului protejata conform Conventiei Europene pentru Protectia Drepturilor Omului si a Libertatilor Fundamentale.

Sunt date cu caracter personal informatiile stocate in echipamentul utilizatorului, ori de cate ori acestea se refera la o persoana fizica identificabila in mod direct (de exemplu, prin intermediul numelui) sau indirect de catre un operator sau un tert. Intra in aceasta categorie de date:
– pozitia exacta;
– contacte;
– identificatori unici ai dispozitivului si ai utilizatorului [cum ar fi, IMEI (identitatea internationala a echipamentului mobil), IMSI (identitatea internationala de abonat mobil), IUD (identificatorul unic al dispozitivului) si numarul de telefon mobil];
– jurnalul de apeluri telefonice, SMS-uri si mesagerie;
– istoricul navigarilor pe internet;
– e-mail;
– user si parola pentru acces platforme online;
– fotografii si inregistrari video;
– date biometrice, etc.

Partile responsabile pentru prelucrarea de date

Avizul identifica urmatoarele parti ca fiind in principal responsabile pentru respectarea de catre aplicatiile mobile puse la dispozitia utilizatorilor a legislatiei privind datele cu caracter personal:
– dezvoltatorul aplicatiei mobile;
– producatorul echipamentului si al sistemului de operare instalat pe echipament;
– magazinele de aplicatii; si
– alti terti (e.g. cei ce isi fac reclama in cadrul aplicatiilor mobile).

Dezvoltatorul aplicatiei mobile proiecteaza si/sau creaza software-ul care va fi instalat pe telefoanele inteligente, stabilind astfel masura in care aplicatia respectiva va accesa si prelucra date cu caracter personal din dispozitive. In masura in care stabileste scopurile si mijloacele de prelucrare a datelor, acesta are calitatea de operator de date in sensul legii si devine responsabil din punct de vedere juridic pentru prelucrare.

Responsabilitatile dezvoltatorului de aplicatii vor fi insa limitate in mod semnificativ in cazul in care nu se prelucreaza si/sau nu se fac publice date cu caracter personal in afara dispozitivului sau daca dezvoltatorul a adoptat masurile tehnice si organizationale corespunzatoare pentru a se asigura ca datele sunt anonimizate in mod ireversibil si agregate pe dispozitiv inainte ca acestea sa paraseasca dispozitivul in cauza.

Producatorii sistemului de operare si ai dispozitivelor sunt, de asemenea, operatori de date in ceea ce priveste orice prelucrare efectuata in scopuri proprii, cum ar fi buna functionare a dispozitivului, securitatea, etc.

Magazinele de aplicatii sunt operatori de date in situatiile in care inregistreaza datele de identificare ale conectarilor, precum si istoricul aplicatiilor achizitionate. De asemenea, au calitatea de operatori de date in cazul in care solicita utilizatorului sa furnizeze spre exemplu numarul cardului bancar sau alte date ce urmeaza a fi stocate impreuna cu contul de utilizator.

Acordul prealabil al utilizatorului

Conform Avizului, in cazul aplicatiilor, obtinerea consimtamantului utilizatorului cu privire la accesul la datele cu caracter personal este esential. Necesitatea consimtamantului este determinata de faptul ca in momentul instalarii unei aplicatii, in dispozitivul utilizatorului final sunt introduse informatii. Numeroase aplicatii acceseaza, de asemenea, datele stocate in dispozitiv, contactele, fotografiile, filmele, si ale documente personale. In toate aceste cazuri devine aplicabil art. 5 alin. 3 din Directiva 2002/58/CE privind prelucrarea datelor personale si protejarea confidentialitatii in sectorul comunicatiilor publice („Directiva”).

Prevederile acestui articol din Directiva au fost preluate in legislatia nationala de art. 4 alin. 5 din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice, conform caruia pentru a obtine acces la informatiile care sunt stocate in dispozitivul utilizatorului, trebuie indeplinite urmatoarele conditii:
– s-a obtinut acordul utilizatorului;
– utilizatorului in cauza i s-au furnizat, anterior exprimarii acordului, informatii clare si complete care: (i) au fost expuse intr-un limbaj usor de inteles si au fost usor accesibile utililizatorului si (ii) includ mentiuni cu privire la scopul prelucrarii informatiilor stocate de utilizator ori a informatiilor la care dezvoltatorul are acces.

Nerespectarea acestor obligatii constituie contraventie si se sanctioneaza cu amenda de la 5.000 lei la 100.000 lei, iar pentru societatile comerciale cu o cifra de afaceri de peste 5.000.000 lei, cu amenda in cuantum de pana la 2% din cifra de afaceri.

Conform Avizului, informarea utililizatorilor cu privire la caracteristicile de baza ale unei aplicatii inainte de instalare si solicitarea unui raspuns pozitiv din partea utlizatorului inainte de descarcarea si instalarea aplicatiei (si anume, prin click pe butonul “instalare”), este putin probabil sa furnizeze suficiente informatii utilzatorului, astfel incat sa constituie un consimtamant valabil pentru prelucrarea datelor cu caracter personal. Un utilizator ar trebui sa aiba posibilitatea de a accepta sau refuza prelucrarea datelor sale si nu ar trebui sa se gaseasca in fata unui ecran pe care se afiseaza doar optiunea “Da, accept”, pentru finalizarea instalarii. Ar trebui sa existe si optiunea “Anulare” sau orice alta optiune de oprire a instalarii.

Nu in ultimul rand, utilizatorul ar trebui sa dispuna de posibilitatea de a-si retrage consimtamantul intr-o maniera simpla si eficace.

Pe langa aspectele legate de obtinerea consimtamantului utilizatorului, mai trebuie avute in vedere si o serie de alte obligatii care tin de limitarea scopului si minimizarea datelor, securitatea datelor, perioada de pastrare a datelor, protectia minorilor, etc.

Adriana NĂSTASE, Oana APOPEI
SCHOENHERR & ASOCIAȚII

Citeşte mai mult: Adriana NĂSTASE, amenda, aplicatii mobile, Oana APOPEI, prelucrare date cu caracter personal

Vă invităm să publicaţi şi dumneavoastră pe JURIDICE.ro, detalii aici!

JURIDICE.ro foloseşte şi recomandă SmartBill şi My Justice.

Newsletter JURIDICE.ro

Am citit, am înţeles şi sunt de acord cu Politica privind protecţia datelor şi condiţiile procesatorului de newsletter Privacy Policy

Da, vreau să primesc newsletter

Abonare

Login | Nu aveti cont? Click aici pentru abonare!