Dnes, noyb podala ve Francii tři stížnosti na společnost Fnac (největší obchod s elektronikou ve Francii), realitní aplikaci SeLoger a fitness aplikaci MyFitnessPal. Aplikace těchto společností neoprávněně přistupují k osobním údajům uživatelů a sdílejí je s třetími stranami za účelem sofistikované analýzy, jakmile jsou aplikace otevřeny. Uživatelé nemají ani možnost souhlasit se sdílením svých údajů nebo mu zabránit. Tento přístup je nezákonný.
- Příklad stížnosti na společnost Fnac (FR)
- Automatický překlad příkladu stížnosti do češtiny
- Metodika a technické specifikace pro zachycení a analýzu síťového provozu
Přenos ve výchozím nastavení. Stěžovatel si do svého chytrého telefonu se systémem Android nainstaloval populární aplikace MyFitnessPal, Fnac a SeLoger. Po otevření začaly aplikace okamžitě shromažďovat a sdílet osobní údaje včetně jedinečného reklamního ID (AdID) společnosti Google, modelu a značky jeho zařízení a místní IP adresy s třetími stranami. Takto rozsáhlý sběr dat umožňuje profilování uživatelů za účelem zobrazování personalizovaných reklam a marketingových kampaní, které mají zvýšit příjmy zmíněných společností.
Žádný souhlas. Podle směrnice o soukromí a elektronických komunikacích je samotný přístup k údajům nebo jejich ukládání v koncovém zařízení uživatele povoleno pouze tehdy, pokud uživatelé udělí svůj svobodný, informovaný, konkrétní a jednoznačný souhlas. Dvě ze tří mobilních aplikací nezobrazovaly při spuštění aplikace banner se souhlasem. Třetí aplikace zobrazovala banner, který teoreticky dával stěžovateli na výběr, zda souhlas udělí, nebo ne. Ve skutečnosti byl přenos jejich osobních údajů zahájen bez jakékoli interakce z jejich strany - a ještě předtím, než měli možnost o souhlasu přemýšlet.
Ala Krinickytė, právnička v oblasti ochrany osobních údajů ve společnosti noyb: "Každá aplikace potřebuje ke svému sledování souhlas. Místo toho používají "standardní shromažďování a sledování údajů". Na rozdíl od sledování na webových stránkách se mobilní aplikace dosud nedočkaly téměř žádného vymáhání."
Podrobné sledování. Informace, jako je AdID, jsou jedinečné a jsou spojeny se zařízením konkrétní osoby. To umožňuje inzerentům a dalším třetím stranám vyčlenit uživatele a umožňuje jim to v budoucnu cílit na uživatele. Někteří poskytovatelé aplikací dokonce sledují chování uživatelů i mimo své aplikace. To jim umožňuje obohatit shromážděné údaje o ještě více informací o životě uživatele.
První výsledek širšího šetření. Způsob, jakým tyto aplikace nakládají s údaji svých uživatelů, je příznačný pro širší problém v prostředí mobilních aplikací. Přestože tyto aplikace mají často miliony uživatelů, neobtěžují se dodržovat zákony EU o ochraně osobních údajů - ale sdílejí soukromé údaje s třetími stranami (včetně zprostředkovatelů reklamy), aby mohly zpeněžit údaje svých uživatelů. Podle výzkumu Konrada Kollniga a dalších autorů pouze 3,5 % všech aplikací dává uživatelům skutečnou možnost odmítnout souhlas.
Ala Krinickytė, právnička v oblasti ochrany osobních údajů ve společnosti noyb: "Nezákonné shromažďování a sdílení osobních údajů uživatelů je v prostředí mobilních aplikací rozšířeným problémem. Je klíčové, aby dozorové orgány nyní přijaly příslušná opatření, která tuto praxi ukončí."
Analýza porušování ochrany osobních údajů v mobilních aplikacích. Pro získání důkazů o výše uvedených porušeních bylo nutné provést technickou analýzu síťového provozu aplikací pro chytré telefony. Zachycení a analýza síťového provozu byly provedeny pomocí sady nástrojů PiRogue vyvinuté agenturou Defensive Lab. Podrobnou metodiku naleznete zde.
Vymazání údajů a případná pokuta. noyb žádá CNIL, aby nařídil společnostem MyFitnessPal, Fnac a SeLoger vymazat všechny údaje, které byly nezákonně zpracovány. Kromě toho musí být všichni příjemci údajů stěžovatele informováni o tom, že stěžovatel požádal o vymazání všech odkazů, kopií nebo replikací svých osobních údajů. Vzhledem k závažnosti obvinění a potenciálně velkému počtu dotčených osob noyb rovněž navrhuje, aby příslušný orgán uložil pokutu. Tyto stížnosti jsou teprve začátkem: noyb plánuje v budoucnu podat další stížnosti na společnosti provozující mobilní aplikace s cílem zastavit nezákonné sdílení uživatelských údajů.
Poděkování
- Zachycení a analýza síťového provozu byly provedeny pomocí sady nástrojů PiRogue vyvinuté agenturou Defensive Lab
- Dr. Konrad Kollnig poskytl své rozsáhlé znalosti a zkušenosti na téma sledování v mobilních aplikacích
- Tracking Weasel přispěl cennými poznatky k tématu knihoven sledovacích zařízení a sledování v mobilních aplikacích.
