Nieograniczony postęp technologiczny i pełna informatyzacja jest znakiem naszych czasów, czymś, czego zatrzymać zwyczajnie się już nie da. Ostatnie miesiące dostarczyły nam tylko kolejnego dowodu na tempo tego rozwoju. Od niedawna w Europie oraz Polsce dostępna jest bowiem gra na urządzenia mobilne (zarówno na iOS, jak i Androidzie), pozwalająca łapać pokemonowe stworki zlokalizowane w rzeczywistych miejscach. Aplikacja przeniosła więc znaną historię pokemonów do świata rozszerzonej rzeczywistości.
Dziennik Gazeta Prawna
O jej wpływie na ochronę prywatności już pisano, również na łamach DGP. Prawdą jest, że aplikacja pobiera potężne ilości informacji o swoich użytkownikach. Za jej pośrednictwem dostawcy zdobywają ogromne ilości danych osobowych, chociażby o lokalizacji użytkowników i ich codziennych nawykach. Uwzględniając, że aplikacja adresowana jest głównie do najmłodszych, którzy podczas rejestracji często posługują się własnymi imionami i nazwiskami, to właśnie z nimi zestawiane są najczęściej wskazane informacje. Nie bez znaczenia pozostają również dane o wieku czy narodowości użytkowników, a nawet treści przesyłanych pomiędzy nimi komunikatów. W tym tekście chciałem zwrócić jednak uwagę na nieco inne aspekty.
Reakcja regulatorów
Pierwszym są podjęte już przez państwowe organy ochrony prywatności działania zmierzające do faktycznej oceny wpływu aplikacji na prywatność jej użytkowników. Aplikacja bije po kolei wszystkie możliwe rekordy: największa liczba nowych użytkowników w ciągu tygodnia, największa ogólna liczba pobrań aplikacji itp. Rekordy biją jednak nie tylko dostawcy nowej gry. Mało było też bowiem przypadków, by jeden instrument technologiczny w tak krótkim czasie zaktywizował tak dużą liczbę organów różnych państw. Przykładowo 14 lipca 2016 r. australijski komisarz ds. ochrony prywatności Timothy Pilgrim poinformował o skierowaniu do dostawcy aplikacji Pokemon GO pytania o zasady przetwarzania pozyskiwanych danych. Zachęcił jednocześnie użytkowników do zapoznawania się z polityką prywatności tej gry. Jak wskazał komisarz, daje to przynajmniej gwarancję świadomego użytkowania aplikacji i ceny, jaką użytkownik musi zapłacić za korzystanie z niej. Wydaje się, że oświadczenie pomija jednak jedną znaczącą kwestię, a mianowicie, że polityka prywatności aplikacji nie wskazuje wszystkich możliwych do gromadzenia przez nią danych osobowych (jak m.in. dane o zwyczajach użytkowników uzyskiwane poprzez analizę ich dziennej aktywności).
Podobne oświadczenie wydane zostało również 7 sierpnia 2016 r. przez francuską Komisję Ochrony Informacji i Wolności (CNIL). Oprócz porad, w jaki sposób zwiększyć bezpieczeństwo swoich danych gromadzonych przez aplikację Pokemon GO, komisja wskazała wprost, że gra zbiera bardzo szeroki zakres informacji gromadzonych na smartfonach użytkowników. Jako środki ochrony danych organ wskazał wykorzystanie do aplikacji haseł innych niż wykorzystane gdziekolwiek indziej oraz unikanie fotografowania jakichkolwiek osób. Nawet takie działanie nie uchroni nas jednak przed przekazywaniem dostawcy informacji, które trafiają do niego wskutek normalnego użytkowania aplikacji. Zmienność haseł stanowi bowiem wyłącznie gwarancję ochrony gromadzonych przez nią treści po stronie użytkownika. Dostawca usługi ma do nich dostęp niezależnie od zabezpieczeń konta.
Oceny polityki prywatności aplikacji szybko dokonał również niemiecki organ ochrony danych osobowych w Szlezwiku-Holsztynie, wyrażając względem niej poważne obawy. Zasadniczymi – w ocenie organu – są, po pierwsze, uzyskiwanie przez aplikację dostępu do danych zgromadzonych na koncie Google, a po drugie transferowanie za jej pośrednictwem danych do USA na podstawie nieistniejącego już certyfikatu Safe Harbour. Problem został również dostrzeżony przez polski organ nadzorczy, tj. generalnego inspektora ochrony danych osobowych. GIODO udostępnił na swojej stronie internetowej komunikat pouczający użytkowników o konieczności dochowania szczególnej ostrożności podczas korzystania z aplikacji pod kątem gromadzenia przez nią danych.
Dobre chęci
Żaden z organów nie wydał jednak dotąd wiążącego instrumentu prawnego, wzywającego dostawcę usługi do zmian w treści aplikacji. Konieczne jest więc podjęcie próby odpowiedzi na pytanie, do czego mogą doprowadzić tak liczne miękkie interwencje organów nadzoru. Nie chodzi tutaj o zabawę w przewidywanie przyszłości, ale o ocenę faktycznej efektywności działań podejmowanych przez administracje państwowe. Dotychczas podążały one bowiem za rozwojem technologii, starając się go raczej doścignąć niż prześcignąć. Problem, przed którym stanęły teraz, nie jest pierwszym tego typu. Rozwiązaniem opartym na technologii niemal identycznej do aplikacji Pokemon GO – przynajmniej z punktu widzenia ochrony danych osobowych – były tzw. Google Glass: wyprodukowane przez firmę Google okulary z wbudowaną kamerą, mikrofonem i GPS oraz dostępem do internetu. Organy ochrony danych osobowych prawie wszystkich państw europejskich, w tym Polski, zaniepokojone wpływem, jaki na ochronę prywatności może mieć korzystanie z wyprodukowanych przez firmę Google okularów, w pierwszej kolejności skierowały do władz firmy list, w którym wezwały do zaangażowania się w dialog dotyczący funkcjonowania tego urządzenia. Okulary z wbudowanym modułem do transmisji danych rodziły jednak tak wiele pytań i wątpliwości z punktu widzenia ochrony prywatności, że finalnie spółka Google zrezygnowała z wprowadzenia ich na rynek. Co ważne, stało się to bez wydania przez organy jakichkolwiek wiążących prawnie instrumentów. Jak można przypuszczać, koszty spełnienia wytycznych stawianych przez organy ochrony danych przewyższały bowiem opłacalne zyski. Porównując to do sytuacji, z jaką mamy do czynienia obecnie, wskazać należy jednak jedną zasadniczą różnicę. Google Glass były wyłącznie niewdrożonym projektem, który nie generował po stronie producenta żadnych przychodów, a ich wyprodukowanie nie wiązało się z aż tak dużymi kosztami. Wydanie wiążących instrumentów prawnych przez organy nadzorcze nie było również możliwe, gdyż sam niewdrożony projekt nie może naruszać zasad ochrony danych osobowych.
Mimo że zarówno przypadek Google Glass, jak i obecna reakcja organów nadzorczych na działanie Pokemon Go rodzą uzasadnione przekonanie o coraz skuteczniejszej egzekwowalności zasad ochrony danych, tym razem scenariusz może wyglądać inaczej. Z pewnością dostawca usługi nie zrezygnuje zupełnie z jej dalszego wdrażania. Można też przypuszczać, że konieczne będzie zastosowanie przez organy przewidzianych prawem krajowych środków. Środki takie wymuszą na the Pokémon Company – będącej oddziałem Nintendo i spółką formalnie odpowiedzialną za marketing i licencjonowanie serii Pokemon – zmiany jej działania. Istnieje więc olbrzymia szansa, że produkt przeznaczony na rynek europejski ulegnie modyfikacji.
Na potrzeby niniejszego tekstu próbowałem uzyskać od dostawcy gry odpowiedź co do przewidywanych zmian, wpływających na zwiększenie ochrony prywatności jej użytkowników. Uzyskałem wyłącznie deklarację, że gra już teraz stara się spełnić najwyższe standardy ochrony. „Starać się” a „spełnić” to jednak duża różnica, zwłaszcza jeżeli chodzi o ochronę jednego z praw podstawowych, jakim jest właśnie prywatność.