ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE 00461/13/DA WP 202 Udtalelse nr. 02/2013 om apps i intelligente enheder Vedtaget den 27. februar 2013 Artikel 29-Gruppen er nedsat i henhold til artikel 29 i direktiv 95/46/EF. Gruppen er et uafhængigt EU-rådgivningsorgan vedrørende databeskyttelse og beskyttelse af privatlivets fred. Dens opgaver er beskrevet i artikel 30 i direktiv 95/46/EF og artikel 15 i direktiv 2002/58/EF. Sekretariatet varetages af Direktorat C (Grundlæggende rettigheder og unionsborgerskab) i Europa-Kommissionens Generaldirektorat for Retlige Anliggender, B-1049 Bruxelles, Belgien, kontor MO-59 02/013. Websted: http://ec.europa.eu/justice/data-protection/index_en.htm
Resumé Der findes hundredtusindvis af forskellige apps fra en række forskellige app-butikker for de enkelte populære typer intelligente enheder. Det er blevet rapporteret, at app-butikkerne får flere end 1 600 nye apps hver dag. Det siges, at den gennemsnitlige smartphone-bruger downloader 37 apps. Apps er enten gratis eller koster meget lidt at anskaffe for slutbrugeren og kan have meget få eller mange millioner brugere. Apps kan indsamle store mængder oplysninger fra enheden (f.eks. de oplysninger, som brugeren lagrer på enheden, og oplysninger fra forskellige sensorer, herunder lokalisering) og behandle dem med henblik på at tilbyde nye og innovative tjenester til slutbrugeren. Disse datakilder kan imidlertid viderebehandles, normalt for at generere indtægter, på en måde, som slutbrugeren er uvidende om eller ikke ønsker. App-udviklere, som ikke er bekendt med databeskyttelseskravene, kan skabe store risici for beskyttelsen af privatlivets fred og omdømmet for de intelligente enheders brugere. De største databeskyttelsesrisici for slutbrugerne er den manglende gennemsigtighed og det manglende kendskab til de typer behandling, en app kan foretage, samt undladelse af at indhente slutbrugernes samtykke, før behandlingen foretages. Dårlige sikkerhedsforanstaltninger, en klar tendens i retning af datamaksimering og de løse rammer for formålene med indsamlingen af personoplysninger bidrager til at øge databeskyttelsesrisiciene inden for det aktuelle app-miljø. Databeskyttelsen er også udsat for risiko som følge af den store fragmentering mellem de mange aktører, der er involveret i app-udviklingen, bl.a.: app-udviklere, app-ejere, app-butikker, producenter af operativsystemer og enheder (OS- og enhedsproducenter) samt andre tredjeparter, der kan være involveret i indsamlingen og behandlingen af personoplysninger fra intelligente enheder som f.eks. analyse- og reklamebureauer. De fleste af konklusionerne og anbefalingerne i denne udtalelse er rettet mod app-udviklerne (idet de har størst kontrol over, hvordan behandlingen præcist foretages, eller hvordan oplysningerne præsenteres i appen), men de er ofte nødt til at samarbejde med andre parter i appens økosystem for at kunne opfylde de højeste standarder for beskyttelse af privatlivets fred og databeskyttelse. Dette er især vigtigt i forbindelse med sikkerhed, hvor en kæde med flere aktører kun er så stærk som det svageste led. Mange af de typer oplysninger, der er tilgængelige på en intelligent mobil enhed, er personoplysninger. Retsgrundlaget er databeskyttelsesdirektivet samt den beskyttelse af mobile enheder som led i brugernes privatliv, der gives i e-data-direktivet. Reglerne finder anvendelse på enhver app, der er rettet mod app-brugere i EU, uanset hvor app-udvikleren eller -butikken befinder sig. I denne udtalelse uddyber Gruppen retsgrundlaget for behandlingen af personoplysninger i forbindelse med udvikling, distribution og brug af apps på intelligente enheder, med fokus på samtykkekravet, principperne om formålsbegrænsning og dataminimering, behovet for at træffe passende sikkerhedsforanstaltninger, forpligtelsen til at informere slutbrugerne korrekt, deres rettigheder, rimelige lagringsperioder og specifikt rimelig behandling af oplysninger, som indsamles fra og om børn. 2
Indholdsfortegnelse 1. Indledning... 4 2. Databeskyttelsesrisici... 5 3 Databeskyttelsesprincipper... 6 3.1 Gældende ret... 6 3.2 Personoplysninger, der behandles i apps... 8 3.3 Parter, der er involveret i databehandlingen... 8 3.3.1 App-udviklere...9 3.3.2 OS- og enhedsproducenter...10 3.3.3 App-butikker...11 3.3.4 Tredjeparter...12 3.4 Retligt grundlag... 13 3.4.1 Samtykke før installation og behandling af personoplysninger...13 3.4.2 Retlige grundlag for databehandling under brug af appen...15 3.5 Formålsbegrænsning og dataminimering... 16 3.6 Sikkerhed... 17 3.7 Information... 21 3.7.1 Oplysningspligt og påkrævet indhold...21 3.7.2 Informationens form...22 3.8 Den registreredes rettigheder... 23 3.9 Lagringsperioder... 24 3.10 Børn... 25 4 Konklusioner og anbefalinger... 25 3
1. Indledning Apps er softwareprogrammer, der ofte er udviklet til en bestemt opgave og målrettet mod bestemte intelligente enheder som f.eks. smartphones, tablets og tv-apparater med internetforbindelse. De arrangerer information på en måde, der passer til enhedens særlige karakteristika, og indgår ofte i et tæt samspil med enhedernes hardware og operativsystem. Der findes hundredtusindvis af forskellige apps fra en række forskellige app-butikker for de enkelte populære typer intelligente enheder. Apps tjener en lang række forskellige formål, bl.a. browsing på internettet, kommunikation (e-mail, telefoni og messaging), underholdning (spil, film/video og musik), sociale netværk samt bank- og lokalitetsbaserede tjenester. Det er blevet rapporteret, at app-butikkerne får flere end 1 600 nye apps hver dag. 1 Den gennemsnitlige smartphone-bruger downloader 37 apps. 2 Apps er enten gratis eller koster meget lidt at anskaffe for slutbrugeren og kan have meget få eller mange millioner brugere. Det underliggende operativsystem indeholder også software eller datastrukturer, som er vigtige for den intelligente enheds primære tjenester, som f.eks. en smartphones adressebog. Operativsystemet er bygget til at gøre disse komponenter tilgængelige for apps ved hjælp af programmeringsgrænseflader for applikationer (API). Disse API'er giver adgang til en lang række sensorer, som kan være indbygget i intelligente enheder, bl.a.: et gyroskop, et digitalt kompas og accelerometer, som angiver hastighed og retning, kamera på for- og bagsiden til at optage video og billeder samt en mikrofon til at optage lyd. Intelligente enheder kan også indeholde afstandsfølere. 3 Desuden kan intelligente enheder skabe forbindelse gennem en lang række forskellige netværksgrænseflader som f.eks. Wi-Fi, Bluetooth, NFC eller Ethernet. Endelig kan den nøjagtige position beregnes ved hjælp af geolokaliseringstjenester (som beskrevet i Artikel 29-Gruppens udtalelse nr. 12/2011 om geolokaliseringstjenester i intelligente mobile enheder 4 ). Typen, nøjagtigheden og frekvensen af disse sensordata varierer fra enhed til enhed og afhængigt af operativsystemet. Ved hjælp af API kan app-udviklerne indsamle sådanne oplysninger løbende, få adgang til og skrive kontaktoplysninger, sende e-mail, SMS eller sociale netværksbeskeder, læse/ændre/slette indholdet på SD-kort, optage lyd, bruge kameraet og få adgang til de gemte billeder, læse telefonens tilstand og identitet, ændre de globale systemindstillinger og forhindre, at telefonen går i dvale. API'er kan også tilvejebringe oplysninger om selve enheden gennem en eller flere unikke identifikatorer samt oplysninger om andre installerede apps. Disse datakilder kan viderebehandles, normalt for at generere indtægter, på en måde, som slutbrugeren er uvidende om eller ikke ønsker. 1 2 3 4 Rapport i ConceivablyTech af 19. august 2012, tilgængelig på www.conceivablytech.com/10283/business/apple-app-store-to-reach-1mapps-this-year-sort-of. Citeret af Kamala D. Harris, generalstatsanklager i Californiens justitsministerium, i "Privacy on the go, Recommendations for the mobile ecosystem", januar 2013, http://oag.ca.gov/sites/all/files/pdfs/privacy/privacy_on_the_go.pdf Dette er et globalt overslag for 2012 foretaget af ABI Research, http://www.abiresearch.com/press/smartphone-users-worldwide-will-download-37-apps-o En sensor, som kan mærke tilstedeværelsen af et fysisk objekt uden fysisk kontakt. Se: http://www.w3.org/tr/2012/wd-proximity-20121206/ Se Artikel 29-Gruppens udtalelse nr. 13/2011 om geolokaliseringstjenester i intelligente mobile enheder (maj 2011), http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2011/wp185_da.pdf 4
Formålet med denne udtalelse er at beskrive retsgrundlaget for behandlingen af personoplysninger i forbindelse med distribution og brug af apps på intelligente enheder samt at tage stilling til den viderebehandling, der kan finde sted uden for appen, som f.eks. brug af de indsamlede oplysninger til at udarbejde profiler og skabe kontakt til brugerne. Udtalelsen analyserer de vigtigste risici for databeskyttelsen, beskriver de forskellige aktører og fremhæver de forskellige retlige forpligtelser. Den kommer bl.a. ind på: app-udviklere, app-ejere, app-butikker, producenter af operativsystemer og enheder (OS- og enhedsproducenter) samt andre tredjeparter, der kan være involveret i indsamlingen og behandlingen af personoplysninger fra intelligente enheder som f.eks. analyse- og reklamebureauer. Udtalelsen fokuserer på samtykkekravet, principperne om formålsbegrænsning og dataminimering, behovet for at træffe passende sikkerhedsforanstaltninger, forpligtelsen til at informere slutbrugerne korrekt, deres rettigheder, rimelige lagringsperioder og specifikt rimelig behandling af oplysninger, som indsamles fra og om børn. Udtalelsen dækker mange forskellige typer intelligente enheder, men fokuserer især på apps til intelligente mobile enheder. 2. Databeskyttelsesrisici På grund af det tætte samspil med operativsystemet kan apps få adgang til væsentligt flere oplysninger end de traditionelle internetbrowsere. 5 Apps kan indsamle store mængder oplysninger fra enheden (positionsoplysninger, oplysninger, som brugeren lagrer på enheden, og oplysninger fra forskellige sensorer) og behandle dem med henblik på at tilbyde nye og innovative tjenester til slutbrugeren. Databeskyttelsen er også udsat for risiko som følge af den store fragmentering mellem de mange aktører, der er involveret i app-udviklingen. Et enkelt dataelement kan overføres i realtid fra enheden til behandling et andet sted i verden eller kan kopieres mellem kæder af tredjeparter. Nogle af de bedst kendte apps er udviklet af store teknologivirksomheder, men mange andre kommer fra små nystartede virksomheder. Én programmør med en god idé og beskeden eller slet ingen programmeringserfaring kan meget hurtigt nå ud til et globalt publikum. App-udviklere, som ikke er bekendt med databeskyttelseskravene, kan skabe store risici for beskyttelsen af privatlivets fred og omdømmet for de intelligente enheders brugere. Samtidig udvikler tredjepartstjenester såsom annoncering sig hurtigt, og disse kan, hvis en app-udvikler uden videre integrerer dem, videregive store mængder personoplysninger. De største databeskyttelsesrisici for slutbrugerne er den manglende gennemsigtighed og det manglende kendskab til de typer behandling, en app kan foretage, samt undladelse af at indhente slutbrugernes samtykke, før behandlingen foretages. Dårlige sikkerhedsforanstaltninger, en klar tendens i retning af datamaksimering og de løse rammer for formålene med indsamlingen af personoplysninger bidrager til at øge databeskyttelsesrisiciene inden for det aktuelle app-miljø. Mange af disse risici er allerede blevet undersøgt og behandlet af andre internationale tilsynsmyndigheder, herunder USA's Federal Trade Commission, Canadas Office of the Privacy Commissioner og generalstatsanklageren i Californiens justitsministerium. 6 5 6 Selv om internetbrowsere til desktopcomputere i større og større grad kan få adgang til sensordata på slutbrugernes enheder takket være udviklere af webspil. Se bl.a. FTC's rapport "Mobile Privacy Disclosures, Building Trust Through Transparency", februar 2013, http://www.ftc.gov/os/2013/02/130201mobileprivacyreport.pdf, FTC's rapport "Mobile Apps for Kids: Current Privacy Disclosures are Disappointing", februar 2012, http://www.ftc.gov/os/2012/02/120216mobile_apps_kids.pdf, og opfølgningsrapporten "Mobile Apps for 5
En stor risiko for databeskyttelsen er manglende gennemsigtighed. App-udviklerne er begrænset af de funktioner, som OS-producenterne og app-butikkerne udvikler for at sikre, at store mængder oplysninger kan være tilgængelige på det relevante tidspunkt for slutbrugeren. Det er imidlertid ikke alle app-udviklere, som udnytter disse funktioner, idet mange apps ikke har en fortrolighedspolitik eller undlader at informere de potentielle brugere på en meningsfuld måde om den type personoplysninger, som appen kan behandle, og til hvilke formål. Den manglende gennemsigtighed er ikke kun et problem for gratis apps eller apps ejet af uerfarne udviklere, hvilket for nyligt blev beskrevet i en undersøgelse, som viste, at blot 61,3 % af de 150 mest populære apps havde en fortrolighedspolitik. 7 Den manglende gennemsigtighed er tæt forbundet med manglen på frivilligt og informeret samtykke. Når først appen er blevet downloadet, skal slutbrugeren ofte blot give sit samtykke ved at afkrydse et felt, hvor denne accepterer vilkår og betingelser, og hvor der end ikke er mulighed for at sige "Nej tak". Ifølge en GSMA-undersøgelse fra september 2011 ønsker 92 % af app-brugerne flere valgmuligheder. 8 Dårlige sikkerhedsforanstaltninger kan føre til uautoriseret behandling af (følsomme) personoplysninger, f.eks. hvis der sker et sikkerhedsbrud hos en app-udvikler, eller hvis appen selv lækker personoplysninger. En anden risiko for databeskyttelsen handler om tilsidesættelse (på grund af uvidenhed eller bevidst) af princippet om formålsbegrænsning, ifølge hvilket personoplysninger kun må indsamles og behandles med specifikke og legitime formål for øje. Personoplysninger, som indsamles af apps, kan videregives til en lang række tredjeparter til uafgrænsede eller upræcise formål såsom "markedsanalyse". Det samme alarmerende fænomen ses for princippet om dataminimering. En nylig undersøgelse har vist, at mange apps indsamler store mængder oplysninger fra smartphones, uden at det har nogen meningsfuld relation til appens umiddelbare funktionalitet. 9 3 Databeskyttelsesprincipper 3.1 Gældende ret Den relevante retlige ramme i EU er databeskyttelsesdirektivet (95/46/EF). Det finder anvendelse i alle situationer, hvor personoplysninger behandles som følge af brugen af apps i intelligente enheder. Kids: Disclosures Still Not Making the Grade", december 2012, http://www.ftc.gov/os/2012/12/121210mobilekidsappreport.pdf, Office of the Privacy Commissioner of Canadas "Seizing Opportunity: Good Privacy Practices for Developing Mobile Apps", oktober 2012, http://www.priv.gc.ca/information/pub/gd_app_201210_e.pdf, Kamala D. Harris, generalstatsanklager i Californiens justitsministerium, "Privacy on the go, Recommendations for the mobile ecosystem", januar 2013, http://oag.ca.gov/sites/all/files/pdfs/privacy/privacy_on_the_go.pdf 7 FPF, juni 2012, "Mobile Apps Study", http://www.futureofprivacy.org/wp-content/uploads/mobile-apps- Study-June-2012.pdf 8 "89 % [af brugerne] finder det vigtigt at vide, hvornår deres personoplysninger deles af en applikation, samt at kunne vælge dette til eller fra." Kilde: "User perspectives on mobile privacy", september 2011, http://www.gsma.com/publicpolicy/wpcontent/uploads/2012/03/futuresightuserperspectivesonuserprivacy.pdf 9 Wall Street Journal, "Your Apps Are Watching You", http://online.wsj.com/article/sb10001424052748704694004576020083703574602.html. 6
For at bestemme den gældende ret er det vigtigt først at afdække de forskellige aktørers rolle, og her er det særligt vigtigt at identificere, hvem den eller de registeransvarlige er i forbindelse med behandlingen af personoplysninger i mobile apps. Bestemmelse af, hvem den registeransvarlige er, er afgørende for, hvorvidt EU's databeskyttelseslovgivning skal anvendes, men er dog ikke det eneste kriterium. I henhold til databeskyttelsesdirektivets artikel 4, stk. 1, litra a), finder medlemsstaternes nationale bestemmelser anvendelse på al behandling af personoplysninger, "der foretages som led i en virksomheds [ ] aktiviteter", inden for den medlemsstats område, hvor den registeransvarlige er etableret. Ifølge artikel 4, stk. 1, litra c), finder medlemsstatens nationale lovgivning også anvendelse på situationer, hvor den registeransvarlige ikke er etableret på Fællesskabets område og anvender midler, som befinder sig på den pågældende medlemsstats område. Eftersom enheden er medvirkende til behandlingen af personoplysninger fra og om brugeren, er dette kriterium normalt opfyldt. 10 Dette er imidlertid kun relevant, hvis den registeransvarlige ikke er etableret i EU. Derfor gælder det, at når en part, som er involveret i udvikling, distribution og drift af apps, vurderes at være registeransvarlig, er en sådan part alene eller sammen med andre ansvarlig for at sikre opfyldelse af alle kravene i databeskyttelsesdirektivet. Identifikation af rollerne for de forskellige parter, der er involveret i de mobile apps, bliver analyseret nærmere i afsnit 3.3 nedenfor. Ud over databeskyttelsesdirektivet udstikker e-data-direktivet (2002/58/EF, som ændret ved 2009/136/EF) en specifik standard for alle, der ønsker at lagre eller få adgang til oplysninger, der er lagret på enheder tilhørende brugere i Det Europæiske Økonomiske Samarbejdsområde (EØS). E-data-direktivets artikel 5, stk. 3, fastlægger, at "lagring af oplysninger eller opnåelse af adgang til oplysninger, der allerede er lagret i en abonnents eller brugers terminaludstyr, kun er tilladt på betingelse af, at abonnenten eller brugeren har givet sit samtykke hertil efter i overensstemmelse med direktiv 95/46/EF at have modtaget klare og fyldestgørende oplysninger, bl.a. om formålet med behandlingen". ( ) Mange af bestemmelserne i e-data-direktivet finder kun anvendelse på udbydere af offentligt tilgængelige elektroniske kommunikationstjenester og udbydere af offentlige kommunikationsnet i Fællesskabet, men artikel 5, stk. 3, finder anvendelse på enhver enhed, som placerer oplysninger på eller læser oplysninger fra intelligente enheder. Det finder anvendelse uanset enhedens beskaffenhed (dvs. offentlig eller privat, en individuel programmør eller en stor virksomhed, eller om den er registeransvarlig, registerfører eller tredjepart). Samtykkekravet i artikel 5, stk. 3, finder anvendelse på alle oplysninger uden hensyn til arten af de oplysninger, der lagres eller skaffes adgang til. Det er ikke begrænset til personoplysninger, men kan være en hvilken som helst type oplysninger, der er lagret på enheden. Samtykkekravet i e-data-direktivets artikel 5, stk. 3, finder anvendelse på alle tjenester, der tilbydes "i Fællesskabet", dvs. på alle enkeltpersoner, der bor i Det Europæiske Økonomiske Samarbejdsområde, uanset tjenesteudbyderens position. Det er vigtigt for app-udviklere at vide, at begge direktiver er ufravigelige retsakter, idet en persons rettigheder ikke kan overdrages og ikke kan fraviges ved kontrakt. Det betyder, at anvendelse af den europæiske lovgivning om beskyttelse af privatlivets fred ikke kan fraviges ved en ensidig erklæring eller en aftale. 11 10 11 I det omfang appen genererer trafik med personoplysninger til registeransvarlige. Det er ikke sikkert, at dette kriterium er opfyldt, hvis oplysninger kun behandles lokalt på selve enheden. F.eks. erklæringer om, at det udelukkende er lovgivningen i et retsområde uden for EØS, der finder anvendelse. 7
3.2 Personoplysninger, der behandles i apps Mange af de typer oplysninger, der lagres på eller genereres af intelligente enheder, er personoplysninger. Betragtning 24 i e-data-direktivet: "Terminaludstyr for brugere af elektroniske kommunikationsnet og alle oplysninger, der er lagret på sådant udstyr, er en del af brugernes privatsfære, der kræver beskyttelse i henhold til den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder." De er personoplysninger, hvis de er relateret til en person, som direkte (f.eks. ved navn) eller indirekte kan identificeres af den registeransvarlige eller en tredjepart. De kan omhandle ejeren af enheden eller en anden person, f.eks. en vens kontaktoplysninger i adressebogen. 12 Oplysninger kan indsamles og behandles på enheden eller, når de er overført, et andet sted, på app-udvikleres eller tredjeparters infrastruktur, via forbindelse til en ekstern API, i realtid uden slutbrugerens vidende. Eksempler på sådanne personoplysninger, som kan have en væsentlig indvirkning på brugernes og andre personers privatliv, omfatter: - position - kontakter - unik enheds- og kundeidentifikatorer (f.eks. IMEI 13, IMSI 14, UDID 15 og mobiltelefonnummer) - den registreredes identitet - telefonens identitet (dvs. telefonens navn 16 ) - kreditkort- og betalingsdata - opkaldsregistrering, SMS eller instant messaging - browsinghistorik - e-mail - informationssamfundstjenesters autentificeringsoplysninger (herunder især tjenester med sociale funktioner) - billeder og video - biometri (f.eks. ansigtsgenkendelse og fingeraftryksskabeloner). 3.3 Parter, der er involveret i databehandlingen Mange forskellige parter er involveret i udvikling, distribution og drift af apps, og de kan alle have forskellige databeskyttelsesforpligtelser. Der er fire primære parter, nemlig: i) app-udviklerne (herunder app-ejere) 17, ii) producenterne af operativsystemet og enheden ("OS- og enhedsproducenter") 18, iii), app-butikkerne (appens distributør) 12 13 14 15 16 17 Oplysninger kan i) genereres automatisk af enheden på grundlag af funktioner, som OS- og/eller enhedsproducenten eller den relevante mobiltelefoniudbyder har indbygget (f.eks. geolokaliseringsdata, netværksindstillinger, IP-adresse), ii) genereres af brugeren gennem apps (kontaktlister, noter, billeder), iii) genereres af apps (f.eks. browsinghistorik). International identitet for mobiludstyr (International Mobile Equipment Identity). International identitet for mobilabonnement (International Mobile Subscriber Identity). Unik udstyrsidentifikator (Unique Device Identifier). Brugere giver ofte telefonen deres rigtige navn: "Hans Hansens iphone". Gruppen bruger app-udviklernes almindelige terminologi, men understreger, at begrebet ikke kun omfatter programmører eller tekniske udviklere af apps, men også app-ejerne, dvs. de virksomheder og organisationer, der bestiller apps og bestemmer, hvad de skal bruges til. 8
og endelig iv) andre parter, som deltager i behandlingen af personoplysninger. I nogle tilfælde deles databeskyttelsesforpligtelserne, især når den samme enhed deltager på flere trin, f.eks. hvis OSproducenten også kontrollerer app-butikken. Slutbrugerne bør også tage et ansvar, i det omfang de opretter og lagrer personoplysninger gennem deres mobile enheder. Hvis en sådan behandling kun tjener et formål i forbindelse med udøvelse af rent personlige eller familiemæssige aktiviteter, finder databeskyttelsesdirektivet ikke anvendelse (artikel 3, stk. 2), og brugeren er fritaget fra de formelle databeskyttelsesforpligtelser. Hvis brugere imidlertid beslutter sig for at dele oplysninger via appen, f.eks. ved at offentliggøre oplysninger til et ubegrænset antal personer 19, som er brugere af en social netværks-app, behandler de oplysninger på en måde, som ikke er omfattet af fritagelsen vedrørende familiemæssige aktiviteter. 20 3.3.1 App-udviklere App-udviklere udvikler apps og/eller stiller dem til rådighed for slutbrugere. Denne kategori omfatter organisationer i den private og offentlige sektor, som overgiver udviklingen af apps til en underleverandør, og de virksomheder og personer, der opbygger og anvender apps. De designer og/eller skaber den software, der skal køre på smartphones, og bestemmer dermed, i hvilket omfang appen skal have adgang til og behandle de forskellige kategorier af personoplysninger på enheden og/eller gennem fjernressourcer (app-udvikleres eller tredjeparters computerenheder). I det omfang app-udvikleren fastlægger formålet med og metoderne til behandling af personoplysninger på intelligente enheder, er han registeransvarlig, jf. databeskyttelsesdirektivets artikel 2, litra d). Det betyder, at han skal opfylde alle databeskyttelsesdirektivets bestemmelser. De vigtigste bestemmelser er beskrevet nærmere i denne udtalelses afsnit 3.4 til 3.10. Selv når fritagelsen vedrørende familiemæssige aktiviteter finder anvendelse på en bruger, vil appudvikleren stadig være registeransvarlig, hvis han behandler oplysningerne til egne formål. Dette er f.eks. relevant, når appen kræver adgang til hele adressebogen for at kunne levere tjenesten (instant messaging, telefonopkald, videoopkald). App-udviklerens ansvar bliver væsentligt mindre, hvis der ikke behandles nogen personoplysninger, og/eller hvis de ikke bliver tilgængelige uden for enheden, eller hvis app-udvikleren har truffet passende tekniske og organisatoriske foranstaltninger til at sikre, at oplysningerne anonymiseres fuldstændigt og samles på selve enheden, før de forlader enheden. I alle tilfælde gælder det, at hvis app-udvikleren har adgang til oplysninger, der er lagret på enheden, finder e-data-direktivet også anvendelse, og app-udvikleren skal opfylde samtykkekravet i direktivets artikel 5, stk. 3. I det omfang app-udvikleren har overdraget hele eller dele af den egentlige behandling til en tredjepart, og denne tredjepart bliver registerfører, skal app-udvikleren opfylde alle forpligtelserne 18 19 20 I nogle tilfælde er OS-producenten og enhedsproducenten overlappende, mens enhedsproducenten i andre tilfælde ikke er den samme som OS-producenten. Se Domstolens dom i sag C-101/01, Straffesag mod Bodil Lindqvist, dom af 6. november 2003, og sag C- 73/07, Tietosuojavaltuutettu mod Satakunnan Markkinapörssi Oy og SatamediaOy, dom af 16. december 2008. Se Artikel 29-Gruppens udtalelse nr. 5/2009 om internetbaserede sociale netværksaktiviteter (juni 2009), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp163_da.pdf 9
vedrørende brug af en registerfører. Dette omfatter også brug af en udbyder af cloud computingtjenester (f.eks. til ekstern datalagring). 21 I det omfang app-udvikleren giver mulighed for, at tredjeparter får adgang til brugerdata (f.eks. et reklamenet, der får adgang til geolokaliseringsdata i enheden for at levere adfærdsbaseret annoncering), skal denne anvende passende mekanismer til at sikre overholdelse af de gældende krav i EU-lovgivningen. Hvis tredjeparten får adgang til oplysninger lagret på enheden, finder forpligtelsen til at indhente informeret samtykke i e-data-direktivets artikel 5, stk. 3, anvendelse. Hvis tredjeparten behandler personoplysninger til eget formål, kan denne også være fælles registeransvarlig med appudvikleren og skal derfor sikre overholdelse af princippet om formålsbegrænsning og sikkerhedsforpligtelserne 22 for den del af behandlingen, for hvilken tredjeparten bestemmer formål og metoder. Der kan være aftalt forskellige typer ordninger både kommercielle og tekniske mellem app-udviklere og tredjeparter, hvorfor de enkelte parters respektive ansvar skal fastsættes fra sag til sag under hensyntagen til de særlige omstændigheder ved den pågældende behandling. En app-udvikler kan bruge tredjepartsbiblioteker med software, der indeholder fælles funktionaliteter, f.eks. et bibliotek til en social spilplatform. App-udvikleren skal sikre, at brugerne er bekendt med den databehandling, der finder sted i sådanne biblioteker, og at sådan databehandling foretages i overensstemmelse med EU-lovgivningen, herunder ved at indhente brugerens samtykke, hvor det er relevant. App-udviklerne skal i den forstand undgå at bruge funktionaliteter, som er skjult for brugeren. 3.3.2 OS- og enhedsproducenter OS- og enhedsproducenterne bør også betragtes som registeransvarlige (og fælles registeransvarlige, hvor det er relevant) for personoplysninger, der behandles til eget formål, f.eks. med henblik på, at enheden fungerer korrekt, sikkerhed osv. Dette omfatter brugergenererede oplysninger (f.eks. brugeroplysninger ved registrering), oplysninger, som automatisk genereres af enheden (f.eks. hvis enheden har en "ring hjem"-funktion, der angiver hvor den er), eller personoplysninger, der behandles af OS- eller enhedsproducenten i forbindelse med installation eller brug af apps. Hvis OS- eller enhedsproducenten leverer yderligere funktionalitet såsom sikkerhedskopiering eller fjernlokalisering, vil denne også være registeransvarlig for de personoplysninger, der behandles til dette formål. Apps, som kræver adgang til geolokalisering, skal bruge OS-producentens lokaliseringstjenester. Hvis en app bruger geolokalisering, kan OS-producenten indsamle personoplysninger med henblik på at levere geolokaliseringsoplysningerne til appen og vil måske også overveje at bruge oplysningerne til at forbedre sine egne lokaliseringstjenester. OS-producenten er registeransvarlig for dette sidstnævnte formål. OS- og enhedsproducenten er også ansvarlig for programmeringsgrænsefladen for applikationer (API), som giver mulighed for behandling af personoplysninger i apps på den intelligente enhed. Appudvikleren vil kunne få adgang til de funktioner, som OS- og enhedsproducenterne stiller til rådighed gennem API. Eftersom OS- og enhedsproducenterne beslutter, med hvilke metoder (og i hvilket omfang) der kan opnås adgang til personoplysninger, skal de sikre, at app-udvikleren har tilstrækkeligt 21 22 Se Artikel 29-Gruppens udtalelse nr. 5/2012 om cloud computing (juli 2012), http://ec.europa.eu/justice/dataprotection/article-29/documentation/opinion-recommendation/files/2012/wp196_da.pdf Se Artikel 29-Gruppens udtalelse nr. 2/2010 om adfærdsbaseret annoncering på internettet (juni 2010), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_da.pdf, og udtalelse nr. 1/2010 om begreberne "registeransvarlig" og "registerfører" (februar 2010), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_da.pdf 10
defineret kontrol, så der kun gives adgang til de oplysninger, som er nødvendige for, at appen kan fungere. OS- og enhedsproducenterne bør også sikre, at denne adgang nemt og effektivt kan ophæves. Begrebet "indbygget privatlivsbeskyttelse" ("privacy by design") er et vigtigt princip, som allerede indirekte blev nævnt i databeskyttelsesdirektivet 23, og som sammen med "privatlivsbeskyttelse som standard" ("privacy by default") kommer mere klart frem i e-data-direktivet. 24 Det kræver, at producenterne af en enhed eller en applikation indbygger databeskyttelsen allerede i den allerførste designfase. Indbygget privatlivsbeskyttelse er et udtrykkeligt krav i forbindelse med telekommunikationsudstyr, som det fremgår af direktivet om radio- og teleterminaludstyr. 25 Derfor har OS- og enhedsproducenterne sammen med app-butikkerne et vigtigt ansvar for at sikre beskyttelsen af personoplysninger og privatlivets fred for app-brugerne. Dette omfatter at sikre, at der findes passende mekanismer til at informere og uddanne slutbrugeren i forhold til, hvad apps kan, og hvilke oplysninger de kan få adgang til, samt indføre passende indstillinger, som app-brugerne kan bruge til at ændre parametrene for behandlingen. 26 3.3.3 App-butikker De mest populære typer intelligente enheder har deres egen app-butik, og det er ofte sådan, at et bestemt operativsystem er fast integreret med en bestemt app-butik. App-butikkerne behandler ofte forudbetalinger for apps og kan også understøtte køb i apps, hvorfor de kræver brugerregistrering med navn, adresse og betalingsoplysninger. Disse (direkte) identificerbare oplysninger kan kombineres med oplysninger om købs- og brugsadfærd og med oplysninger, der aflæses fra eller genereres af enheden (som f.eks. unikke identifikatorer). I forbindelse med behandlingen af sådanne personoplysninger er app-butikkerne sandsynligvis registeransvarlige, hvilket også gælder, hvis de rapporterer sådanne oplysninger tilbage til app-udviklerne. Hvis app-butikken behandler en slutbrugers app-download- eller brugshistorik eller tilbyder en lignende funktion, som kan gendanne tidligere downloadede apps, vil denne også være registeransvarlig for de personoplysninger, der behandles til dette formål. En app-butik registrer loginoplysninger samt historikken over tidligere app-køb. Den beder også brugeren om at oplyse kreditkortnummer, som vil blive gemt sammen med brugerens konto. Appbutikken er registeransvarlig for disse registreringer. Derimod vil websteder, som giver mulighed for at downloade en app, der kan installeres på enheden, uden autentificering, muligvis ikke behandle nogen personoplysninger. App-butikkerne har indflydelsen til at få app-udviklerne til at give tilstrækkelige oplysninger om appen, herunder den type oplysninger, som appen kan behandle, og til hvilke formål. App-butikkerne kan håndhæve disse regler gennem deres leverandørpolitik (baseret på enten forudgående eller 23 24 25 26 Se betragtning 46 og artikel 17. Se artikel 14, stk. 3. Direktiv 1999/5/EF af 9. marts 1999 om radio- og teleterminaludstyr samt gensidig anerkendelse af udstyrets overensstemmelse (EFT L 91 af 7.4.1999, s. 10). I artikel 3, stk. 3, litra c), fastlægges det, at Kommissionen kan træffe afgørelse om, at slutbrugerenheder konstrueres på en sådan måde, at de er i stand til at sikre, at personoplysninger om brugeren og abonnenten og disses privatliv beskyttes. Gruppen glæder sig over FTC's anbefalinger i denne henseende i rapporten om meddelelser om beskyttelse af privatlivets fred på mobile enheder (se fodnote 6), f.eks. på side 15: "( ) platforme er i en unik position til at vise konsekvente meddelelser på tværs af apps og opfordres til at gøre dette. I overensstemmelse med svarene fra workshoppen kunne de også overveje at vise disse meddelelser på forskellige tidspunkter ( )." 11
efterfølgende kontrol). App-butikken kan i samarbejde med OS-producenten udstikke en ramme for app-udviklernes udarbejdelse af konsekvente og meningsfulde meddelelser (f.eks. symboler, der repræsenterer visse typer adgang til følsomme oplysninger) og tydelig visning af disse i app-butikkens katalog. 3.3.4 Tredjeparter Der er mange forskellige tredjeparter involveret i databehandling i forbindelse med brugen af apps. Mange gratis apps betales f.eks. af reklame, hvilket bl.a. kan omfatte kontekstuel eller personligt tilpasset annoncering, der understøttes af sporingsteknologier som cookies eller andre enhedsidentifikatorer. Annonceringen kan bestå af bannerreklamer inde i appen, annoncer uden for appen, som vises ved at ændre browserens indstillinger eller placere ikoner på mobilens skrivebord eller gennem personligt tilpasset arrangering af app-indholdet (f.eks. sponsorerede søgeresultater). Annoncering til apps leveres almindeligvis af reklamenet eller lignende mellemled, som kan have tilknytning til eller være samme enhed som OS-producenten eller app-butikken. Som beskrevet i Artikel 29-Gruppens udtalelse nr. 2/2010 27 medfører annoncering på internettet ofte behandling af personoplysninger som defineret i artikel 2 i databeskyttelsesdirektivet og fortolket af Artikel 29- Gruppen. 28 Andre eksempler på tredjeparter omfatter udbydere af analyser og kommunikationstjenester. Udbydere af analyser giver app-udviklerne et indblik i brugen, populariteten og brugervenligheden af deres apps. Udbydere af kommunikationstjenester 29 kan også spille en vigtig rolle med hensyn til at fastlægge standardindstillinger og sikkerhedsopdateringer for mange enheder og kan behandle oplysninger om brugen af apps. Deres brugertilpasning ("branding") kan have konsekvenser for omfanget af tekniske og funktionelle foranstaltninger, som brugeren kan anvende til at beskytte sine personoplysninger. Sammenlignet med app-udviklere kan tredjeparter have to typer roller: Den ene går ud på at udføre opgaver for app-ejeren, f.eks. at levere analyser i appen. I det tilfælde, når de udelukkende handler på vegne af app-udvikleren og ikke behandler oplysninger til eget formål og/eller deler oplysninger med andre udviklere, vil de sandsynligvis være registerførere. Den anden rolle er at indsamle oplysninger på tværs af apps for at levere andre tjenester: levere analysetal i større omfang (appens popularitet, personligt tilpasset anbefaling) eller undgå, at den samme annonce vises til den samme bruger. Når tredjeparter behandler personoplysninger til eget formål, optræder de som registeransvarlige og skal derfor overholde alle de gældende bestemmelser i databeskyttelsesdirektivet. 30 I forbindelse med adfærdsbaseret annoncering skal den registeransvarlige indhente gyldigt brugersamtykke til indsamling og behandling af personoplysninger, f.eks. i form af analyse og samling af personoplysninger samt oprettelse og/eller anvendelse af profiler. Som tidligere forklaret af Artikel 29-Gruppen i udtalelse nr. 2/2012 om adfærdsbaseret annoncering på internettet, er det mest hensigtsmæssigt at indhente et sådant samtykke gennem mekanismer til forudgående samtykke. 27 Se Artikel 29-Gruppens udtalelse nr. 2/2010 om adfærdsbaseret annoncering på internettet (juni 2010), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_da.pdf 28 Se også fortolkningen af begrebet personoplysninger i Artikel 29-Gruppens udtalelse nr. 4/2007 om begrebet personoplysninger (juni 2007), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_da.pdf 29 Udbydere af kommunikationstjenester er også underlagt sektorspecifikke databeskyttelsesforpligtelser, som ligger uden for denne udtalelses rammer. 30 Artikel 29-Gruppens udtalelse nr. 2/2010 om adfærdsbaseret annoncering på internettet, s. 10-11. 12
En virksomhed leverer metrik til app-ejere og annoncører ved hjælp af sporingsenheder, som er indbygget af app-udvikleren, i apps. Virksomhedens sporingsenheder kan derfor installeres på mange apps og enheder. En af ydelserne er underretning af app-udviklerne om, hvilke andre apps en bruger anvender, ved at indsamle en unik identifikator. Virksomheden definerer metoden for (dvs. sporingsenheder) og formålene med sine værktøjer, før den tilbyder dem til app-udviklere, annoncører og andre, og er derfor registeransvarlig. I det omfang tredjeparter får adgang til eller lagrer oplysninger på den intelligente enhed, skal de opfylde samtykkekravet i e-data-direktivets artikel 5, stk. 3. I denne forbindelse er det vigtigt at bemærke, at brugerne på intelligente enheder har begrænsede muligheder for at installere software, som kan kontrollere behandlingen af personoplysninger, hvilket er almindeligt i computeres webmiljø. Som et alternativ til brugen af HTTP-cookies får tredjeparter ofte adgang til unikke identifikatorer for at udvælge (grupper af) brugere og tilbyde dem målrettede ydelser, herunder annoncer. Eftersom mange af disse identifikatorer ikke kan slettes eller ændres af brugerne (som f.eks. IMEI, IMSI, MSISDN 31 og specifikke unikke enhedsidentifikatorer, der tilføjes af operativsystemet), har disse tredjeparter mulighed for at behandle store mængder personoplysninger, uden at slutbrugeren kan kontrollere det. 3.4 Retligt grundlag For at behandle personoplysninger kræves der et grundlag, som beskrevet i databeskyttelsesdirektivets artikel 7, der beskriver seks grundlag for behandlingen: Hvis der ikke hersker tvivl om, at den registrerede har givet sit samtykke, hvis behandlingen er nødvendig af hensyn til opfyldelsen af en kontrakt med den registrerede, hvis behandlingen er nødvendig for at beskytte den registreredes vitale interesser, hvis behandlingen er nødvendig for at overholde en retlig forpligtelse, (for offentlige myndigheder), hvis behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse eller for at forfølge en legitim (forretningsmæssig) interesse. Med hensyn til lagring af oplysninger eller opnåelse af adgang til oplysninger, der allerede er lagret i den intelligente enhed, skaber e-data-direktivets artikel 5, stk. 3, (dvs. kravet om samtykke til placering og hentning af oplysninger fra en enhed) en mere detaljeret begrænsning af de retlige grundlag, der kan anvendes. 3.4.1 Samtykke før installation og behandling af personoplysninger I forbindelse med apps er det vigtigste retlige grundlag samtykke. Når en app installeres, placeres der oplysninger på slutbrugerens enhed. Mange apps har også adgang til oplysninger, der er lagret på enheden, kontakter i adressebogen, billeder, videoer og andre personlige dokumenter. I alle disse tilfælde kræver e-data-direktivets artikel 5, stk. 3, samtykke fra brugeren, som har modtaget klare og fyldestgørende oplysninger, før der placeres oplysninger på enheden eller hentes oplysninger på den. Det er vigtigt at bemærke sondringen mellem det samtykke, der kræves for at placere oplysninger på og aflæse oplysninger fra enheden, og det samtykke, der er nødvendigt for at have et retligt grundlag for behandling af forskellige typer personoplysninger. Begge samtykkekrav finder anvendelse sideløbende, baseret på hver deres retsgrundlag, men de er begge underlagt betingelser om, at de skal 31 Mobilabonnentens telefonnummer (Mobile Subscriber Integrated Services Digital Network). 13
være frivillige, specifikke og informerede (som defineret i databeskyttelsesdirektivets artikel 2, litra h)). Derfor kan de to typer samtykke i princippet kombineres, enten under installationen eller før appen begynder at indsamle personoplysninger fra enheden, forudsat at brugeren bliver utvetydigt oplyst om, hvad han giver samtykke til. Mange app-butikker giver app-udviklerne mulighed for at informere slutbrugerne om de basale funktioner i en app før installation og kræver en positiv handling fra brugeren, før appen downloades og installeres (dvs. klik på en "Installér"-knap). En sådan handling kan i nogle tilfælde opfylde samtykkekravet i artikel 5, stk. 3, men den vil sandsynligvis ikke omfatte tilstrækkelig information til, at den kan fungere som gyldigt samtykke til behandling af personoplysninger. Dette emne er tidligere blevet drøftet af Artikel 29-Gruppen i udtalelse nr. 15/2011 om definitionen af samtykke. 32 I forbindelse med intelligente enheder betyder "frivilligt samtykke", at en bruger har valget mellem at acceptere eller nægte behandling af sine personoplysninger. Hvis en app skal behandle personoplysninger, skal brugeren derfor frivilligt kunne acceptere eller nægte dette. Brugeren bør ikke blive mødt med et skærmbillede kun med valgmuligheden "Ja, jeg accepterer" for at kunne afslutte installationen. Muligheden for at annullere eller på anden måde stoppe installationen skal være til stede. "Informeret" betyder, at den registrerede skal have den nødvendige information til rådighed til at kunne træffe et passende valg. 33 For at undgå tvivl skal denne information altid være tilgængelig, før der sker nogen form for behandling af personoplysninger. Dette omfatter behandling, som kunne finde sted under installationen, f.eks. med henblik på fejlfinding eller sporing. Denne informations indhold og form er nærmere beskrevet i denne udtalelses afsnit 3.7. "Specifikt" betyder, at viljetilkendegivelsen skal vedrøre behandlingen af en bestemt oplysning eller en begrænset kategori af databehandling. Derfor kan et klik på en "Installér"-knap ikke betragtes som gyldigt samtykke til behandling af personoplysninger, fordi et samtykke ikke må være en generelt formuleret godkendelse. I nogle tilfælde kan brugerne give specifikt samtykke, hvis der skal indhentes samtykke til hver enkelt type oplysninger, som appen skal have adgang til. 34 Denne metode opfylder to vigtige retlige krav, nemlig tilstrækkelige oplysning af brugeren om vigtige elementer i tjenesten og indhentning af specifikt samtykke til hver af disse. 35 Den alternative metode, hvor app-udvikleren beder sine brugere om at acceptere et langt dokument med vilkår og betingelser og/eller en fortrolighedspolitik, udgør ikke specifikt samtykke. 36 Specifikt knytter sig også til annoncørernes og andre tredjeparters sporing af brugeradfærd. Standardindstillingerne i operativsystemer og apps skal forhindre sporing, så brugerne får mulighed for at afgive specifikt samtykke til denne type databehandling. Disse standardindstillinger kan ikke 32 33 34 35 36 Artikel 29-Gruppens udtalelse nr. 15/2011 om definitionen af samtykke (juli 2011), http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2011/wp187_da.pdf Ibid., s. 19. Specifikt samtykke betyder, at man kan føre detaljeret (specifik) kontrol med, hvilke funktioner til behandling af personoplysninger, som appen indeholder, der skal aktiveres. Behovet for et sådant specifikt samtykke bekræftes også udtrykkeligt af FTC i den seneste rapport (se fodnote 6), s. 15-16: "( ) platforme bør overveje at levere rettidige meddelelser og indhente udtrykkeligt samtykke til indsamling af andet indhold, som mange forbrugere vil betragte som følsomt i mange sammenhænge, såsom billeder, kontakter, kalenderaftaler eller optagelse af lyd- eller videoindhold". Ibid., s. 34-35: "Generelt samtykke uden nogen præcis angivelse af formålet med den behandling, som den registrerede indvilliger i, opfylder ikke dette krav. Det betyder, at information om formålet med behandlingen ikke må indgå i de generelle bestemmelser, men i en separat samtykkebestemmelse." 14
omgås af tredjeparter, hvilket ellers ofte er tilfældet med de "Do Not Track"-mekanismer, der er indbygget i browsere. Eksempler på specifikt samtykke En app giver oplysninger om restauranter i nærheden. For at den kan installeres, skal app-udvikleren indhente samtykke. For at få adgang til geolokaliseringsdata skal app-udvikleren anmode om samtykke separat, f.eks. under installationen, eller før geolokaliseringen åbnes. Specifikt betyder, at samtykke skal være begrænset til det specifikke formål at rådgive brugeren om restauranter i nærheden. Der kan derfor kun opnås adgang til lokaliseringsoplysninger fra enheden, når brugeren anvender appen til det pågældende formål. Brugerens samtykke til at behandle geolokaliseringsdata giver ikke appen mulighed for løbende indsamling af lokaliseringsdata fra enheden. Denne yderligere behandling ville kræve mere information og separat samtykke. For at en kommunikations-app kan få adgang til kontaktlisten, skal brugeren kunne vælge de kontakter, som brugeren ønsker at kommunikere med, i stedet for at skulle give adgang til hele adressebogen (herunder kontaktoplysninger for personer, som ikke er brugere af den tjeneste, og som ikke har givet deres samtykke til behandling af oplysninger vedrørende dem). Det er imidlertid vigtigt at bemærke, at selv om samtykket opfylder de tre ovenstående elementer, giver det ikke ret til uretfærdig og ulovlig behandling. Hvis formålet med databehandlingen er for omfattende og/eller urimeligt, selv om brugeren har givet sit samtykke, vil app-udvikleren ikke have et gyldigt retligt grundlag, og databeskyttelsesdirektivet vil sandsynligvis være overtrådt. Eksempel på for omfattende og ulovlig databehandling Et vækkeur indeholder en funktion, hvor brugeren ved hjælp af en talekommando kan slukke det eller "snooze". I dette eksempel vil samtykket til optagelse være begrænset til det tidsrum, hvor alarmen lyder. Enhver overvågning eller optagelse af lyd, mens alarmen ikke lyder, vil sandsynligvis blive betragtet som for omfattende og ulovligt. Med hensyn til apps, som er installeret på enheden som standard (før slutbrugeren køber enheden), eller anden behandling, som OS foretager, og som kræver samtykke som et retligt grundlag, skal de registeransvarlige nøje overveje, hvorvidt dette samtykke er gyldigt. I mange tilfælde bør en separat samtykkemekanisme overvejes, muligvis når appen bruges første gang, for at gøre det muligt for den registeransvarlige at give slutbrugeren tilstrækkelig information. Når oplysningerne er særlige kategorier af oplysninger, som defineret i databeskyttelsesdirektivets artikel 8, skal samtykket være udtrykkeligt. Sidst, men ikke mindst, skal brugerne have mulighed for nemt og effektivt at trække deres samtykke tilbage. Dette vil blive beskrevet nærmere i udtalelsens afsnit 3.8. 3.4.2 Retlige grundlag for databehandling under brug af appen Som forklaret ovenfor udgør samtykke det nødvendige retlige grundlag for at give app-udvikleren tilladelse til at læse og/eller skrive oplysninger og dermed behandle personoplysninger lovligt. Efterfølgende under brug af appen kan app-udvikleren anvende andre retlige grundlag til andre typer databehandling, så længe det ikke omfatter behandling af følsomme personoplysninger. Disse retlige grundlag kan være, at det er nødvendigt af hensyn til opfyldelsen af en kontrakt med den registrerede eller for at forfølge en legitim (erhvervsmæssig) interesse, jf. databeskyttelsesdirektivets artikel 7, litra b) og f). Disse retlige grundlag er begrænset til behandling af en specifik brugers ikke-følsomme personoplysninger og kan kun anvendes i det omfang, at databehandling i et vist omfang er strengt 15
nødvendigt for at udføre den ønskede tjeneste eller, i forbindelse med artikel 7, litra f), medmindre den registreredes grundlæggende rettigheder og frihedsrettigheder går forud herfor. Eksempler på et kontraktligt retligt grundlag En bruger giver sit samtykke til installation af en mobilbank-app. For at opfylde en anmodning om at foretage en betaling behøver banken ikke at indhente brugerens separate samtykke til at oplyse dennes navn og bankkontonummer til betalingsmodtageren. Denne videregivelse af oplysninger er strengt nødvendig for at opfylde kontrakten med denne specifikke bruger, hvorfor banken har en retlig grund i henhold til databeskyttelsesdirektivets artikel 7, litra b). Det samme gælder for kommunikations-apps. Når de leverer væsentlige oplysninger, såsom et kontonavn, en e-mail-adresse eller et telefonnummer, til en anden person, som brugeren ønsker at kommunikere med, er dette åbenlyst nødvendigt for at opfylde kontrakten. 3.5 Formålsbegrænsning og dataminimering De grundlæggende principper for databeskyttelsesdirektivet er formålsbegrænsning og dataminimering. Formålsbegrænsning giver brugerne mulighed for at træffe et bevidst valg om at give en anden part deres personoplysninger, idet de bliver oplyst om, hvordan deres oplysninger vil blive brugt, og vil med den restriktive formålsbeskrivelse få en forklaring på, hvilke formål deres oplysninger skal bruges til. Formålene med databehandlingen skal derfor være veldefinerede og forståelige for den gennemsnitlige bruger uden juridisk eller teknisk ekspertviden. Samtidig kræver formålsbegrænsningen, at app-udviklerne har et godt overblik over deres forretningsmodel, før de begynder at indsamle personoplysninger fra brugere. Personoplysninger må kun behandles med et rimeligt og lovligt formål (databeskyttelsesdirektivets artikel 6, stk. 1, litra a)), og disse formål skal defineres, før databehandlingen finder sted. Princippet om formålsbegrænsning udelukker pludselige ændringer i de væsentlige betingelser for behandlingen. Hvis det oprindelige formål med en app f.eks. var at give brugerne mulighed for at sende e-mails til hinanden, men udvikleren beslutter sig for at ændre sin forretningsmodel og sammenkører sine brugeres e-mail-adresser med en anden apps brugeres telefonnumre. De respektive registeransvarlige vil dermed skulle henvende sig til hver enkelt bruger og anmode om deres forudgående utvetydige samtykke til dette nye formål med behandlingen af deres personoplysninger. Formålsbegrænsning går hånd i hånd med princippet om dataminimering. For at forhindre unødvendig og potentiel ulovlig databehandling skal app-udviklere nøje overveje, hvilke oplysninger der er strengt nødvendige for at opnå den ønskede funktionalitet. Apps kan få adgang til mange af enhedens funktioner og kan derfor udføre mange ting, som f.eks. at sende en hemmelig SMS ("stealth SMS"), få adgang til billeder og hele adressebogen. Mange appbutikker understøtter (semi-)automatiske opdateringer, hvor app-udvikleren kan integrere nye funktioner og gøre dem tilgængelige med kun begrænset eller slet ingen indblanding fra slutbrugerens side. Gruppen understreger i denne forbindelse, at tredjeparter, som får adgang til brugeroplysninger gennem apps, skal overholde principperne om formålsbegrænsning og dataminimering. Unikke enhedsidentifikatorer, som ofte ikke kan ændres, bør ikke bruges til interessebaseret annoncering og/eller analyse, fordi brugerne ikke har mulighed for at trække deres samtykke tilbage. Appudviklerne bør sikre, at funktionsskred forhindres ved ikke at ændre behandlingen fra én version af en 16
app til en anden uden at give slutbrugerne passende meddelelser derom samt mulighed for at fravælge enten behandlingen eller hele tjenesten. Brugerne bør også få teknisk mulighed for at verificere erklæringer om de oplyste formål ved at give dem adgang til oplysninger om mængden af udgående trafik pr. app i forhold til brugergenereret trafik. Information og brugerkontrol er de vigtigste midler til at sikre overholdelse af principperne om dataminimering og formålsbegrænsning. Adgang til de underliggende oplysninger på enheden gennem API'er giver OS- og enhedsproducenter og app-butikker mulighed for at håndhæve specifikke regler og give slutbrugerne passende information. OS- og enhedsproducenter bør f.eks. tilbyde en API med præcis kontrol for at differentiere mellem disse forskellige datatyper og sikre, at app-udviklerne kan anmode om adgang kun til de oplysninger, der er strengt nødvendige for deres apps (lovlige) funktionalitet. De typer oplysninger, som app-udvikleren anmoder om, kan derefter vises tydeligt i app-butikken, så brugeren oplyses om dette før installationen. I denne henseende kræver kontrol med adgangen til de oplysninger, der er lagret på enheden, forskellige mekanismer: a. OS- og enhedsproducenter og app-butikker definerer regler, som gælder for apps, der tilbydes i deres app-butik: App-udviklerne skal overholde disse regler, hvis de ikke vil risikere ikke at blive udbudt i disse butikker. 37 b. Operativsystemers API'er definerer standardmetoder for adgang til oplysninger lagret på telefonen, som apps har adgang til. De har også en indvirkning på indsamlingen af oplysninger på serversiden. c. Forudgående kontrol kontroller, der er implementeret før installation af appen. 38 d. Efterfølgende kontrol kontroller, der er implementeret efter installation af appen. 3.6 Sikkerhed I henhold til databeskyttelsesdirektivets artikel 17 skal registeransvarlige og registerførere iværksætte de fornødne tekniske og organisatoriske foranstaltninger til at beskytte de personoplysninger, de behandler. Dermed skal alle de aktører, der er defineret i afsnit 3.3, træffe foranstaltninger i forhold til den enkeltes rolle og ansvar. Overholdelse af sikkerhedsforpligtelsen har et dobbelt formål. Det giver brugerne mulighed for at føre strengere kontrol med deres oplysninger og styrker tilliden til de enheder, der håndterer brugernes oplysninger. For at kunne opfylde de respektive sikkerhedsforpligtelser som registeransvarlige skal app-udviklere, app-butikker, OS- og enhedsproducenter og tredjeparter tage højde for principperne om indbygget privatlivsbeskyttelse og privatlivsbeskyttelse som standard. Dette kræver løbende vurdering af både eksisterende og fremtidige databeskyttelsesrisici samt gennemførelse og evaluering af effektive afbødende foranstaltninger, herunder dataminimering. 37 38 På enheder, der har været udsat for "jailbreaking", kan der installeres apps uden om de officielle butikker. På Android-enheder kan der også installeres apps fra andre kilder. Det særlige tilfælde med forudinstallerede apps. 17
App-udviklere Der findes mange offentligt tilgængelige retningslinjer om sikkerheden i mobile apps, som er offentliggjort af OS- og enhedsproducenter samt uafhængige tredjeparter, f.eks. ENISA. 39 Det ligger uden for denne udtalelses rammer at gennemgå alle former for bedste sikkerhedspraksis i udviklingen af apps. Gruppen vil imidlertid benytte lejligheden til at gennemgå dem, som potentielt kan få en alvorlig indvirkning på app-brugernes grundlæggende rettigheder. En vigtig beslutning, der skal træffes, før en app designes, er, hvor oplysningerne skal lagres. I nogle tilfælde lagres brugeroplysningerne på enheden, men app-udviklerne kan også bruge en klient/serverarkitektur. Det betyder, at personoplysninger overføres eller kopieres til tjenesteudbyderens systemer. Lagring og behandling af oplysninger på enheden giver slutbrugerne den størst mulige kontrol over disse oplysninger, f.eks. ved at give dem mulighed for at slette dem, hvis de trækker deres samtykke til behandlingen tilbage. Sikker fjernlagring af oplysninger kan imidlertid bidrage til genoprettelse af dem, hvis en enhed mistes eller stjæles. Mellemliggende metoder er også en mulighed. App-udviklerne skal udstikke klare politikker for, hvordan softwaren udvikles og distribueres. OS- og enhedsproducenterne spiller også en rolle med hensyn til at fremme sikker behandling i apps, hvilket vil blive beskrevet nærmere nedenfor. Derudover skal app-udviklere og app-butikker designe og implementere et sikkerhedsvenligt miljø med værktøjer, der kan forhindre ondsindede apps i at sprede sig og gøre det muligt nemt at installere/afinstallere hver enkelt app. God praksis, som kan anvendes i forbindelse med udviklingen af en app, omfatter minimering af kodelinjer og -kompleksitet samt implementering af kontroller for at udelukke, at oplysninger overføres eller kompromitteres utilsigtet. Desuden bør al input valideres for at forhindre bufferoverløb eller injektionsangreb. Blandt andre sikkerhedsmekanismer, der bør nævnes her, er passende strategier for administration af sikkerhedspatch og udførelse af regelmæssig, uafhængig systemsikkerhedskontrol. Endvidere bør kriterierne for design af apps omfatte implementering af princippet om minimering af autorisation ("least privilege"), hvilket betyder, at apps kun kan få adgang til de oplysninger, de skal bruge for at stille en funktion til rådighed for brugeren. Appudviklere og app-butikker bør også, gennem advarsler, tilskynde brugerne til at supplere denne bedste designpraksis med god brugerpraksis, som f.eks. at opdatere deres apps til de seneste versioner, og minde dem om ikke at bruge de samme adgangskoder til forskellige tjenester. Når en app designes, skal app-udviklerne også træffe foranstaltninger til at undgå uautoriseret adgang til personoplysninger ved at sikre, at oplysningerne beskyttes både i transit og der, hvor de lagres, hvor det er relevant. Mobile apps bør køre bestemte steder i enhedernes hukommelse (sandkasser 40 ) for at reducere konsekvenserne af malware/ondsindede apps. I tæt samarbejde med OS-producenten og/eller appbutikken skal app-udviklerne bruge de mekanismer, der er til rådighed til at give brugerne mulighed for at se, hvilke oplysninger der behandles af hvilke apps, samt for at vælge at aktivere og deaktivere tilladelser. Brugen af skjulte funktioner bør ikke være tilladt. 39 40 ENISA "Smartphone Secure Development Guideline": http://www.enisa.europa.eu/activities/resilience-and- CIIP/critical-applications/smartphone-security-1/smartphone-secure-development-guidelines En sandkasse er en sikkerhedsmekanisme, der adskiller kørende programmer. 18
App-udviklere skal nøje overveje de metoder, de anvender til brugeridentifikation og autentificering. De bør ikke bruge permanente (enhedsspecifikke) identifikatorer, men app-specifikke eller midlertidige enhedsidentifikatorer med lav entropi, så det undgås, at brugerne spores over tid. Autentificeringsmekanismer, der understøtter beskyttelsen af privatlivets fred, bør overvejes. Når appudviklerne autentificerer brugerne, bør de være særligt omhyggelige med administrationen af brugernavne og adgangskoder. Sidstnævnte skal krypteres og lagres sikkert som en hashværdi med krypteringsnøgle. At stille en test af de valgte adgangskoders kvalitet til rådighed for brugerne er også en nyttig måde at opfordre brugerne til at oprette bedre adgangskoder på (entropitest). Hvis det er relevant (adgang til følsomme oplysninger, men også adgang til betalingsressourcer), kan det overvejes at genautentificere brugeren, også ved hjælp af flere faktorer og forskellige kanaler (f.eks. adgangskode sendt pr. SMS) og/eller brug af autentificeringsoplysninger relateret til slutbrugeren (og ikke til enheden). Når der vælges sessionsidentifikatorer, bør der desuden bruges uforudsigelige strenge, muligvis sammen med kontekstuelle oplysninger som dato og tidspunkt, men også IP-adresser eller geolokaliseringsdata. App-udviklerne bør også være opmærksomme på kravene i e-data-direktivet med hensyn til brud på persondatasikkerheden og behovet for at informere brugerne proaktivt. Disse krav gælder i øjeblikket kun for udbydere af offentligt tilgængelige elektroniske kommunikationstjenester, men det forventes, at forpligtelsen vil blive udvidet til at omfatte alle registeransvarlige (og registerførere) med den fremtidige databeskyttelsesforordning, jf. Kommissionens forslag (COM(2012) 11/COD). Dette betyder, at det bliver endnu vigtigere at have og løbende evaluere en omfattende "sikkerhedsplan" om indsamling, lagring og behandling af personoplysninger med henblik på at forhindre sådanne brud samt undgå at blive idømt de store bøder, der foreslås i disse situationer. Sikkerhedsplanen skal bl.a. også komme ind på sårbarhedsstyring samt rettidig og sikker udsendelse af pålidelige fejlretninger. App-udviklernes ansvar for deres produkters sikkerhed stopper ikke, når de har leveret en fungerende version på markedet. Apps kan som alle andre softwareprodukter have sikkerhedsfejl og sårbarheder, og app-udviklerne skal udvikle fejlretninger eller patches for disse og levere dem til de aktører, der kan stille dem til rådighed for brugerne, eller gøre det selv. App-butikker App-butikker er et vigtigt mellemled mellem slutbrugerne og app-udviklerne og bør foretage en række solide og effektive kontroller af apps, før de markedsfører dem. De bør oplyse om de kontroller, de faktisk udfører, samt om deres kontrol af overholdelsen af databeskyttelseslovgivningen. Dette er ikke fuldstændigt effektivt med hensyn til at undgå spredning af ondsindede apps, men statistikken viser, at denne praksis i væsentlig grad reducerer forekomsten af ondsindede funktioner i "officielle" app-butikker. 41 For at kunne håndtere det store antal apps, der modtages hver dag, kunne det være hensigtsmæssigt for denne proces at have automatiske analyseværktøjer samt at indføre muligheder for informationsudveksling mellem sikkerhedseksperter og softwareudviklere samt effektive procedurer og politikker til håndtering af indberetninger om problemer. Ud over at gennemgå apps, før de udbydes i app-butikken, bør der også etableres en brugervurderingsmekanisme. Apps bør ikke kun vurderes ud fra, hvor "cool" de er, men også i forhold til deres funktioner, særligt med hensyn til deres fortroligheds- og sikkerhedsmekanismer. Disse brugervurderinger bør endvidere udvikles således, at man undgår falske vurderinger. Kvalificeringsog vurderingsmekanismer for apps kan også være effektive med hensyn til at opbygge gensidig tillid 41 "Hey, You, Get Off of My Market: Detecting Malicious Apps in Official and Alternative Android Markets", Y Zhou et al., Network and Distributed System Security Symposium (NDSS) 2012. 19
mellem de forskellige parter, navnlig hvis der udveksles oplysninger langs en lang kæde af tredjeparter. App-butikker har ofte en metode til at afinstallere ondsindede eller usikre apps fra fjernt hold. Denne mekanisme kan, hvis den ikke er designet rigtigt, udgøre en hindring for brugernes mulighed for at føre strengere kontrol med deres oplysninger. Den metode, som app-butikken anvender til at afinstallere apps fra fjernt hold, bør derfor for at beskytte privatlivets fred tage udgangspunkt i information og brugersamtykke. Endvidere bør brugerne rent praktisk have adgang til at give feedback, så de kan indberette sikkerhedsproblemer med deres apps samt oplysninger om effektiviteten af en sådan afinstallationsprocedure. Ligesom app-udviklerne bør app-butikkerne være opmærksomme på fremtidige forpligtelser til at oplyse om brud på persondatasikkerheden og samarbejde tæt med app-udviklerne for at forhindre sådanne brud. OS- og enhedsproducenter OS- og enhedsproducenterne er også en vigtig aktør i forbindelse med udarbejdelsen af minimumsstandarder og bedste praksis for app-udviklere ikke kun med hensyn til sikkerheden af den underliggende software og API'er, men også i de værktøjer, vejledninger og det referencemateriale, de stiller til rådighed. OS- og enhedsproducenterne bør anvende effektive og velkendte krypteringsalgoritmer og understøtte tilstrækkelige nøglelængder. De bør desuden stille effektive og sikre autentificeringsmekanismer til rådighed for app-udviklerne (f.eks. brug af certifikater underskrevet af anerkendte certificeringsmyndigheder for at verificere godkendelsen af en fjernressource). Dette ville betyde, at det ikke er nødvendigt for app-udviklerne at udvikle egne autentificeringsmekanismer. I praksis er dette ofte dårligt implementeret og kan udgøre en væsentlig sårbarhed. 42 Adgang til og behandling af personoplysninger i apps bør styres gennem indbyggede API-klasser og -metoder, som omfatter passende kontroller og beskyttelsesforanstaltninger. OS- og enhedsproducenterne bør sikre, at de metoder og funktioner, der tillader adgang til personoplysninger, omfatter midler til at indføre anmodninger om specifikt samtykke. Tilsvarende bør der træffes foranstaltninger til at forhindre eller begrænse adgang til personoplysninger ved hjælp af funktioner på lavt niveau eller andre metoder, som kunne omgå den kontrol og de beskyttelsesforanstaltninger, der er indbygget i API'er. OS- og enhedsproducenterne skal også indarbejde klare revisionsspor i enhederne, så slutbrugerne klart kan se, hvilke apps der har fået adgang til oplysninger på deres enheder. Alle parter skal reagere hurtigt på sikkerhedsbrister, så slutbrugerne ikke eksponeres unødigt for sikkerhedsproblemer. Desværre giver nogle OS- og enhedsproducenter (samt telekommunikationsselskaber, som sælger mærkeenheder) ikke langsigtet support til OS-versionerne, hvilket betyder, at brugerne ikke er beskyttet mod velkendte sikkerhedsbrister. OS- og enhedsproducenterne skal sammen med app-udviklerne på forhånd give slutbrugerne oplysninger om, i hvor lang tid de kan forvente at modtage regelmæssige sikkerhedsopdateringer. De bør også hurtigst muligt informere brugerne, hvis et sikkerhedsproblem kræver en opdatering. 42 Det er for nyligt blevet påpeget, at manglen på visuelle sikkerhedsindikatorer for SSL/TLS-brug og den utilstrækkelige brug af SSL/TLS kan udnyttes til at gennemføre MITM-angreb. Ifølge nylig research omfatter det samlede antal apps med sårbarheder over for MITM-angreb, som er installeret, flere millioner brugere. "Why Eve and Mallory Love Android: An Analysis of Android SSL (In)Security", Bernd Freisleben og Matthew Smith, 19. ACM Conference on Computer and Communications Security (ACM CCS 2012). 20