„Branża reklamowa systematycznie narusza prawo” – tak grzmią doniesienia Rady Konsumentów (Forbrukarrådet), tj. norweskiego organu administracji publicznej, zajmującego się ochroną praw konsumentów w Norwegii. Sprawa wydaje się być poważna. Liczne naruszenia dostrzeżone przez Radę, dotyczące ochrony prywatności i danych osobowych, mogą bowiem dotykać milionów użytkowników aplikacji mobilnych na całym świecie. Owocem pracy Rady jest obszerny raport podsumowujący jej ustalenia (link do raportu poniżej), jak również szereg skarg złożonych przez nią do norweskiego organu ds. ochrony danych osobowych.
Dane osobowe bez kontroli
Rada dokonała wnikliwej analizy funkcjonowania aplikacji mobilnych przeznaczonych na platformę Android, w tym między innymi aplikacji Tinder (popularnej aplikacji randkowej) oraz Grindr (aplikacji randkowej skierowanej do osób homoseksualnych). Z raportu Rady wynika, że aplikacje te wysyłały dane osobowe użytkowników – bez ich zgody oraz wiedzy – do co najmniej stu trzydziestu pięciu podmiotów zajmujących się reklamą i profilowaniem behawioralnym (!). Mowa tutaj o ogromnej ilości informacji dotyczących chociażby zainteresowań, zachowania, nawyków, lokalizacji czy też tzw. danych wrażliwych (danych osobowych szczególnych kategorii), jak np. orientacja seksualna użytkownika. Rada podkreśliła, że większość badanych aplikacji nie przedstawia swoim użytkownikom zgodnych z prawem mechanizmów udzielania zgody na przetwarzania danych osobowych.
W raporcie podkreślono, że przy każdorazowym korzystaniu z określonej aplikacji mobilnej, podmioty trzecie otrzymują dane osobowe użytkowników, w sposób przez tychże użytkowników niekontrolowany. Następnie dane te wykorzystywane są do ukierunkowania reklamy, co może prowadzić do manipulacji, wykorzystywania, czy nawet dyskryminacji. Rada zwróciła uwagę, że użytkownicy przedmiotowych aplikacji nie mają możliwości dokonywania świadomych wyborów dotyczących sposobu gromadzenia, udostępniania oraz wykorzystywania swoich danych osobowych. Takie rozwiązania są natomiast sprzeczne z europejskimi przepisami o ochronie danych osobowych, w tym przede wszystkim z RODO.
Niezbędne pilne działania
Rada podkreśliła w raporcie jak bardzo istotnego zagadnienia dotyczą stwierdzone nieprawidłowości. Dane osobowe użytkowników udostępniane podczas korzystania z sieci internetowej, aplikacji mobilnych, czy też mediów społecznościowych – połączone ze sobą – dają szczegółowy obraz poszczególnych osób, ujawniając szereg szczegółowych informacji dotyczących tego jak wygląda ich codzienne życie. Taka masowa inwigilacja może natomiast prowadzić z jednej strony do licznych naruszeń, z drugiej zaś do znacznego obniżenia zaufania użytkowników do usług cyfrowych.
Problem polega na tym, że użytkownicy poszczególnych aplikacji mobilnych nie mogą sami ograniczyć bądź uniemożliwić masowego śledzenia i udostępniania ich danych osobowych na rzecz podmiotów trzecich. W większości przypadków nie są nawet tego świadomi. Zdaniem Rady konieczne jest podjęcie pilnych i skutecznych kroków zmierzających do ochrony konsumentów przed niezgodnym z prawem wykorzystywaniem ich danych osobowych.
Wpłynęły skargi. Możliwe wysokie kary
W związku ze stwierdzonymi naruszeniami Rada złożyła do norweskiego organu ds. ochrony danych osobowych skargi na naruszenia przepisów o ochronie danych osobowych przez właściciela aplikacji moblinej Grindr, jak również przez – należącą do Twittera – platformę reklamową MoPub oraz AppNexus AT&T, OpenX, AdColony i Smaato (wszystkie to firmy reklamowe).
Rada zarzuciła dostawcy Grindra, że aplikacja ta przesyłała bez wiedzy użytkowników ich dane osobowe podmiotom trzecim. Dane objęły wiek, płeć i lokalizację GPS. W wyniku złożonej skargi przedstawiciele Twittera niezwłocznie ogłosili, że konto MoPub Grindra zostało wyłączone, zaś aktualnie trwa analiza wskazanych nieprawidłowości.
Bez wątpienia warto śledzić rozwój tych postępowań. Potencjalne naruszenia dostawców przedmiotowych aplikacji mobilnych oraz poszczególnych podmiotów z branży reklamowej mogły bowiem dotknąć milionów ludzi na całym świecie (przykładowo, wg raportu aplikacja Tinder została ściągnięta z Google Play ponad sto milionów razy).
W przypadku potwierdzenia się doniesień Rady w ramach postępowań prowadzonych przez norweski organ ds. ochrony danych osobowych, podmiotom zamieszanym w ten proceder mogą grozić surowe kary. Zgodnie z RODO, organ nadzorczy może bowiem nałożyć karę w wysokości do 20 000 000 euro – a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Raport Rady („Out of Control”) – dostępny w języku angielskim – można znaleźć TUTAJ:
https://fil.forbrukerradet.no/wp-content/uploads/2020/01/2020-01-14-out-of-control-final-version.pdf
Podsumowanie doniesień Rady – dostępne w języku angielskim – można znaleźć TUTAJ:
