Dnes, noyb podala vo Francúzsku tri sťažnosti na spoločnosť Fnac (najväčší obchod s elektronikou vo Francúzsku), realitnú aplikáciu SeLoger a fitnes aplikáciu MyFitnessPal. Aplikácie týchto spoločností neoprávnene pristupujú k osobným údajom používateľov a zdieľajú ich s tretími stranami na účely sofistikovanej analýzy hneď po otvorení aplikácií. Používatelia dokonca nemajú možnosť súhlasiť so zdieľaním svojich údajov alebo mu zabrániť. Tento prístup je nezákonný.
- Príklad sťažnosti na spoločnosť Fnac (FR)
- Automatický preklad príkladu sťažnosti do angličtiny
- Metodika a technické špecifikácie pre zachytávanie a analýzu sieťovej prevádzky
Prenos v predvolenom nastavení. Sťažovateľ si do svojho smartfónu so systémom Android nainštaloval populárne aplikácie MyFitnessPal, Fnac a SeLoger. Po otvorení začali aplikácie okamžite zhromažďovať a zdieľať osobné údaje vrátane jedinečného reklamného identifikátora Google (AdID), modelu a značky jeho zariadenia a miestnej IP adresy s tretími stranami. Takýto rozsiahly zber údajov umožňuje profilovanie používateľov s cieľom zobrazovať im personalizované reklamy a marketingové kampane na zvýšenie príjmov uvedených spoločností.
Žiadny súhlas. Podľa smernice o súkromí a elektronických komunikáciách je samotný prístup k údajom alebo ich uchovávanie v koncovom zariadení používateľa povolené len vtedy, ak používatelia poskytnú svoj slobodný, informovaný, konkrétny a jednoznačný súhlas. V dvoch z troch mobilných aplikácií sa pri spustení aplikácie nezobrazoval banner so súhlasom. Tretia aplikácia zobrazovala banner, ktorý teoreticky umožňoval sťažovateľovi vybrať si, či súhlas udelí alebo nie. V skutočnosti sa prenos ich osobných údajov začal bez akejkoľvek interakcie z ich strany - a ešte predtým, ako mali možnosť premýšľať o súhlase.
Ala Krinickytė, právnička v oblasti ochrany údajov v spoločnosti noyb:"Každá aplikácia potrebuje súhlas na to, aby vás mohla sledovať. Namiesto toho používajú "štandardné zhromažďovanie a sledovanie údajov". Na rozdiel od sledovania na webových stránkach sa v mobilných aplikáciách doteraz takmer vôbec nevykonávalo."
Podrobné sledovanie. Informácie, ako napríklad AdID, sú jedinečné a spojené so zariadením konkrétnej osoby. To umožňuje inzerentom a iným tretím stranám vyčleniť používateľov a umožňuje im to v budúcnosti zacieliť na používateľov. Niektorí poskytovatelia aplikácií dokonca sledujú správanie používateľov aj mimo svojich aplikácií. To im umožňuje obohatiť zhromaždené údaje o ešte viac informácií o živote používateľa.
Prvý výsledok širšieho vyšetrovania. Spôsob, akým tieto aplikácie narábajú s údajmi svojich používateľov, je príznačný pre širší problém v prostredí mobilných aplikácií. Hoci tieto aplikácie majú často milióny používateľov, neobťažujú sa dodržiavaním zákonov EÚ o ochrane osobných údajov - ale zdieľajú súkromné údaje s tretími stranami (vrátane sprostredkovateľov reklamy) s cieľom speňažiť údaje svojich používateľov. Podľa výskumu Konrada Kollniga a ďalších iba 3,5 % všetkých aplikácií poskytlo používateľom skutočnú možnosť odmietnuť súhlas.
Ala Krinickytė, právnička v oblasti ochrany údajov v spoločnosti noyb: "Nezákonné zhromažďovanie a zdieľanie osobných údajov používateľov je v prostredí mobilných aplikácií rozšíreným problémom. Je kľúčové, aby dozorné orgány teraz prijali príslušné opatrenia na ukončenie tejto praxe."
Analýza porušovania ochrany osobných údajov v mobilných aplikáciách. Na získanie dôkazov o uvedených porušeniach bolo potrebné vykonať technickú analýzu sieťovej prevádzky aplikácií pre smartfóny. Zachytávanie a analýza sieťovej prevádzky sa uskutočnili pomocou balíka nástrojov PiRogue Tool Suite, ktorý vyvinula agentúra Defensive Lab. Podrobnú metodiku nájdete tu.
Vymazanie údajov a prípadná pokuta. noyb žiada CNIL, aby nariadil spoločnostiam MyFitnessPal, Fnac a SeLoger vymazať všetky údaje, ktoré boli nezákonne spracované. Okrem toho musia byť všetci príjemcovia údajov sťažovateľa informovaní, že sťažovateľ požiadal o vymazanie všetkých odkazov, kópií alebo replikácií svojich osobných údajov. Vzhľadom na závažnosť obvinení a potenciálne veľký počet dotknutých osôb noyb tiež navrhuje, aby príslušný orgán uložil pokutu. Tieto sťažnosti sú len začiatkom: noyb plánuje v budúcnosti podať ďalšie sťažnosti na spoločnosti vyrábajúce mobilné aplikácie s cieľom zastaviť nezákonné zdieľanie údajov používateľov.
Poďakovanie
- Zachytávanie a analýza sieťovej prevádzky boli vykonané pomocou balíka nástrojov PiRogue, ktorý vyvinula agentúra Defensive Lab
- Dr. Konrad Kollnig poskytol svoje rozsiahle vedomosti a odborné znalosti na tému sledovania v mobilných aplikáciách
- Tracking Weasel prispel cennými poznatkami na tému knižníc sledovacích zariadení a sledovania v mobilných aplikáciách.
