Pracovní skupina článku 29, která je poradním orgánem Evropské komise, proto vydala stanovisko, v němž popisuje povinnosti, které musejí dodržovat vývojáři a poskytovatelé aplikací, aby byla dostatečná bezpečnost našich údajů zajištěna.
Stovky tisíc různých aplikací si dnes uživatelé chytrých telefonů mohou stáhnout během pouhého okamžiku přes virtuální obchody jejich operačních systémů. Udává se, že na každém virtuálním obchodě se denně objeví více než 1600 nových aplikací a že průměrný uživatel chytrého telefonu má na svém zařízení více než 37 stažených aplikací. Takové aplikace pak bývají nabízeny za nízké či žádné poplatky a jejich uživatelská základna může čítat několik osamělých jedinců ale taky mnoho milionů uživatelů.
Výhodou z pohledu běžného uživatele, avšak problémem z hlediska ochrany osobních údajů je fakt, že tyto aplikace jsou schopny z chytrého telefonu pomocí nejrůznějších senzorů (jde zejména o senzory jako gyroskop, digitální kompas, akcelometr, přední a zadní fotoaparát, senzor osvětlení, mikrofon, atd.) získávat velké množství osobních údajů. Další osobní údaje mohou být získávány díky připojení chytrých telefonů k různým sítím (přes Wi-Fi, Bluetooth, NFC). Právě blízká vazba mezi operačním systémem chytrého telefonu umožňuje aplikacím získat mnohem více údajů než tradiční internetový prohlížeč.
Rizika spojená s používáním aplikací
Největším rizikem je skutečnost, že jakýkoliv získaný údaj z chytrého telefonu může být během vteřiny zkopírován a přenesen kamkoliv na světě. Většina aplikací je vyvíjena mezinárodními společnostmi, které náležitě dbají ochrany údajů, avšak aplikaci, která se okamžitě začne stahovat po celém světě, může připravit i začínající firma, o níž nikdo nic neví. A právě subjekty, které si neuvědomují, jaký potenciál získané osobní údaje mají, představují největší riziko. Nejenže nezajišťují dostatečná bezpečností opatření na ochranu údajů, navíc je pro uživatele aplikací prakticky nemožné tyto subjekty jakkoliv určit. Pokud, a je to docela pravděpodobné, budou ti, kdo mají citlivá data k dispozici, sami využívat cloudových služeb, mohou se jimi získané osobní údaje rázem ocitnout opravdu kdekoliv na světě a dostat se do rukou prakticky kohokoliv.
Na druhé straně představují riziko při používání aplikací uživatelé sami, jelikož sami řádně nedbají svých práv a před instalací jakékoliv aplikace jen odškrtnou souhlas s podmínkami, aniž by si je kdykoliv přečetli. Je dostatečnou omluvou, že to tak dělají všichni? Pak byste se ale například neměli divit, až vaše přítelkyně zjistí, že ačkoli jste jí tvrdili, že jste byli v daném čase na určitém místě, podle mobilní aplikace jste se nacházeli někde úplně jinde.
Souhlas nutný!
Za zpracování osobních údajů v mobilních telefonech odpovídá více různých subjektů, kteří jsou zahrnuti do vývoje, distribuce i nastavení technických možností aplikací. Jde zejména o vývojáře aplikací, provozovatele virtuálních obchodů, výrobce operačních systémů pro chytré telefony či různé třetí osoby, které mají přístup k osobním údajům, ať už jde o poskytovatele analýz či reklamní agentury. Tyto osoby si musí uvědomovat, že vystupují jako správci či zpracovatelé osobních údajů a musí postupovat v souladu s příslušnými předpisy na ochranu osobních údajů.
Proto musí být před zahájením zpracování osobních údajů uživatele aplikace získán jeho souhlas, přičemž při udělení souhlasu musí být uživatel příslušným způsobem o zpracování svých osobních údajů informován. Zároveň musí být uživatelům aplikace umožněno odvolání souhlasu a odinstalování aplikace. Vedle toho mu musí být poskytnuty všechny relevantní informace týkající se zpracování jeho osobních údajů (zejména o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny) a musí být i informován o jeho právech dle zákona na ochranu osobních údajů.
Vývojáři aplikací a další osoby si musí být vědomi, že mohou osobní údaje používat pouze pro stanovené účely, které musí předem jasně a srozumitelně definovat. Musí rovněž respektovat zásadu minimalizace a shromažďovat pouze takové osobní údaje, které potřebují. Vedle toho jsou povinni zajistit dostatečná bezpečnostní opatření, aby nedošlo ke zneužití osobních údajů. Uživatelé aplikací musí mít zajištěné právo přístupu k osobním údajům, právo požadovat opravu a likvidaci osobních údajů. Pokud by mělo docházet k předávání osobních údajů do zahraničí (zejména mimo EU) je potřeba splnit další podmínky.
Bez ohledu na uvedené povinnosti stanovené českým, resp. evropským právem je smutnou skutečností, že tyto standardy nejsou efektivně vymahatelné vůči subjektům ze třetích zemí (tj. mimo EU). Uživatelé by si proto měli pečlivě předem rozmyslet, zda chtějí své osobní údaje těmto subjektům poskytovat. Pokud ano, měli by si poctivě přečíst, s čím souhlasí, a to před nainstalováním aplikace. Vyhnout se tak překvapení, až budou jejich osobní údaje někde zveřejněny. Rozhodně nedoporučuji stahovat takové aplikace, které po vás dopředu nechtějí souhlas se zpracováním osobních údajů, případně o zpracování údajů v podrobnostech mlčí, ačkoliv je zpracovávají. Pokud už si takovou aplikaci do mobilního telefonu nainstalujete, to nejlepší, co uděláte, je její rychlé smazání.