ΟΜΑΔΑ ΕΡΓΑΣΙΑΣ ΤΟΥ ΑΡΘΡΟΥ 29 ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ. Γνώμη 02/2013 για τις εφαρμογές των έξυπνων συσκευών

ΟΜΑΔΑ ΕΡΓΑΣΙΑΣ ΤΟΥ ΑΡΘΡΟΥ 29 ΓΙΑ ΤΗΝ ΠΡΟΣΤΑΣΙΑ ΤΩΝ ΔΕΔΟΜΕΝΩΝ 00461/13/EL WP 202 Γνώμη 02/2013 για τις εφαρμογές των έξυπνων συσκευών Εκδόθηκε στις 27 Φεβρουαρίου 2013 Η παρούσα ομάδα εργασίας συστάθηκε δυνάμει του άρθρου 29 της οδηγίας 95/46/ΕΚ. Συνιστά ανεξάρτητο ευρωπαϊκό συμβουλευτικό όργανο για την προστασία των δεδομένων και της ιδιωτικής ζωής. Τα καθήκοντά της περιγράφονται στο άρθρο 30 της οδηγίας 95/46/ΕΚ και στο άρθρο 15 της οδηγίας 2002/58/ΕΚ. Γραμματειακή υποστήριξη παρέχεται από τη Διεύθυνση Γ (Θεμελιώδη δικαιώματα και ιθαγένεια της Ένωσης) της Ευρωπαϊκής Επιτροπής, Γενική Διεύθυνση Δικαιοσύνης, B-1049 Brussels, Belgium, Γραφείο MO-59 02/013. Δικτυακός τόπος: http://ec.europa.eu/justice/data-protection/index_en.htm

Περίληψη Εκατοντάδες χιλιάδες διαφορετικές εφαρμογές διατίθενται από μια σειρά καταστημάτων εφαρμογών για κάθε συνηθισμένο τύπο έξυπνης συσκευής. Αναφέρεται ότι καθημερινά προστίθενται στα καταστήματα εφαρμογών περισσότερες από 1 600 νέες εφαρμογές. Ο μέσος χρήστης έξυπνου κινητού τηλεφώνου αναφέρεται ότι τηλεφορτώνει 37 εφαρμογές. Οι εφαρμογές είναι δυνατόν να προσφέρονται στον τελικό χρήστη με ελάχιστο ή μηδενικό αρχικό κόστος και ο αριθμός των χρηστών τους να κυμαίνεται από μερικά άτομα μέχρι πολλά εκατομμύρια χρήστες. Οι εφαρμογές είναι σε θέση να συλλέγουν μεγάλο όγκο δεδομένων από τη συσκευή (π.χ. δεδομένα που έχουν αποθηκευτεί στη συσκευή από τον χρήστη και δεδομένα από διάφορους αισθητήρες, συμπεριλαμβανομένης της τοποθεσίας) και να τα επεξεργάζονται προκειμένου να παράσχουν νέες και καινοτόμες υπηρεσίες στον τελικό χρήστη. Εντούτοις, οι ίδιες αυτές πηγές δεδομένων είναι δυνατόν να υποστούν περαιτέρω επεξεργασία, συνήθως για να δημιουργήσουν έσοδα ροή εσόδων, εν αγνοία του τελικού χρήστη ή κατά τρόπο ανεπιθύμητο γι αυτόν. Οι σχεδιαστές εφαρμογών που δεν συνειδητοποιούν τις απαιτήσεις της προστασίας δεδομένων είναι δυνατόν να προκαλέσουν σημαντικούς κινδύνους για την ασφάλεια της ιδιωτικής ζωής και της φήμης των χρηστών έξυπνων συσκευών. Οι σοβαρότεροι κίνδυνοι για την προστασία των δεδομένων των τελικών χρηστών είναι η έλλειψη διαφάνειας και ενημέρωσης για τους τύπους επεξεργασίας που μπορεί να εκτελέσει μια εφαρμογή, σε συνδυασμό με την έλλειψη ουσιαστικής συγκατάθεσης από τους τελικούς χρήστες πριν από την επεξεργασία. Τα ανεπαρκή μέτρα ασφαλείας, η διαφαινόμενη τάση μεγιστοποίησης των δεδομένων και η ελαστικότητα των σκοπών για τους οποίους συλλέγονται τα δεδομένα συμβάλλουν περαιτέρω στην πρόκληση των κινδύνων προστασίας των δεδομένων που συναντώνται στο σημερινό περιβάλλον εφαρμογών. Ένας σοβαρός κίνδυνος για την προστασία των δεδομένων απορρέει επίσης από τον βαθμό κατακερματισμού του τοπίου ανάπτυξης εφαρμογών μεταξύ πολλών συμμετεχόντων, συμπεριλαμβανομένων των σχεδιαστών εφαρμογών, των ιδιοκτητών εφαρμογών, των καταστημάτων εφαρμογών, των κατασκευαστών λειτουργικών συστημάτων και συσκευών και άλλων τρίτων που υπάρχει περίπτωση να εμπλέκονται στη συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα από έξυπνες συσκευές, όπως οι πάροχοι αναλύσεων και διαφημίσεων. Τα περισσότερα συμπεράσματα και συστάσεις της παρούσας γνώμης απευθύνονται στους σχεδιαστές εφαρμογών (λόγω του ότι ασκούν τον μεγαλύτερο έλεγχο επί του ακριβούς τρόπου με τον οποίο αναλαμβάνεται η επεξεργασία ή παρουσιάζονται οι πληροφορίες εντός της εφαρμογής), αλλά συχνά, οι σχεδιαστές εφαρμογών, προκειμένου να επιτύχουν τις υψηλότερες δυνατές προδιαγραφές προστασίας της ιδιωτικής ζωής και των δεδομένων, υποχρεούνται να συνεργάζονται με άλλους εμπλεκομένους στο οικοσύστημα των εφαρμογών. Αυτό είναι ιδιαίτερα σημαντικό για την ασφάλεια, σε σχέση με την οποία η αλυσίδα εμπλεκομένων είναι τόσο ισχυρή όσο ο πιο αδύναμος κρίκος της. Πολλές κατηγορίες δεδομένων σε μια έξυπνη κινητή συσκευή είναι δεδομένα προσωπικού χαρακτήρα. Το σχετικό νομικό πλαίσιο είναι η οδηγία για την προστασία των δεδομένων σε συνδυασμό με την προστασία των κινητών συσκευών ως μέρος της ιδιωτικής ζωής των χρηστών, όπως προβλέπει η οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες. Οι κανόνες αυτοί ισχύουν για κάθε εφαρμογή που απευθύνεται σε χρήστες 2

εφαρμογών στο εσωτερικό της ΕΕ, ανεξαρτήτως της έδρας του σχεδιαστή ή του καταστήματος εφαρμογών. Στην παρούσα γνώμη, η Ομάδα Εργασίας διευκρινίζει το νομικό πλαίσιο που διέπει την επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά την ανάπτυξη, διανομή και χρήση εφαρμογών σε έξυπνες συσκευές, με έμφαση στην απαίτηση συγκατάθεσης, στις αρχές του περιορισμού του σκοπού και της ελαχιστοποίησης των δεδομένων, στην ανάγκη λήψης πρόσφορων μέτρων ασφαλείας, στην υποχρέωση ορθής ενημέρωσης των τελικών χρηστών, στα δικαιώματά τους, σε εύλογες περιόδους διατήρησης και ειδικότερα στη θεμιτή επεξεργασία των δεδομένων που συλλέγονται από παιδιά και αφορούν παιδιά. 3

Περιεχόμενα 1. Εισαγωγή... 5 2. Κίνδυνοι από άποψη προστασίας δεδομένων... 6 3 Αρχές που διέπουν την προστασία των δεδομένων... 8 3.1 Εφαρμοστέο δίκαιο... 8 3.2 Προσωπικά δεδομένα που επεξεργάζονται οι εφαρμογές... 10 3.3 Μέρη που εμπλέκονται στην επεξεργασία δεδομένων... 11 3.3.1 Σχεδιαστές εφαρμογών... 12 3.3.2 Κατασκευαστές λειτουργικών συστημάτων και συσκευών... 13 3.3.3 Ηλεκτρονικά καταστήματα εφαρμογών... 15 3.3.4 Τρίτοι... 15 3.4 Νομική βάση... 18 3.4.1 Συγκατάθεση πριν από την εγκατάσταση και την επεξεργασία δεδομένων προσωπικού χαρακτήρα... 18 3.4.2 Νομική βάση της επεξεργασίας δεδομένων κατά τη χρήση εφαρμογής... 21 3.5 Περιορισμός του σκοπού και ελαχιστοποίηση των δεδομένων... 22 3.6 Ασφάλεια... 24 3.7 Ενημέρωση... 29 3.7.1 Η υποχρέωση ενημέρωσης και το απαιτούμενο περιεχόμενο... 29 3.7.2 Η μορφή της ενημέρωσης... 30 3.8 Δικαιώματα του προσώπου στο οποία αναφέρονται τα δεδομένα... 32 3.9 Περίοδοι διατήρησης... 33 3.10 Παιδιά... 34 4 Συμπεράσματα και συστάσεις... 35 4

1. Εισαγωγή Οι εφαρμογές λογισμικού (apps) συχνά σχεδιάζονται για μια συγκεκριμένη εργασία και απευθύνονται σε μια συγκεκριμένη σειρά έξυπνων συσκευών, όπως τα έξυπνα κινητά τηλέφωνα (smartphones), οι υπολογιστές-ταμπλέτες και οι τηλεοράσεις που συνδέονται με το διαδίκτυο. Οργανώνουν τις πληροφορίες κατά τρόπο κατάλληλο για τα ειδικά χαρακτηριστικά της συσκευής και συχνά βρίσκονται σε στενή αλληλεπίδραση με το υλισμικό και με το λειτουργικό σύστημα που διαθέτουν οι συσκευές. Για κάθε συνηθισμένο τύπο έξυπνης συσκευής διατίθενται εκατοντάδες χιλιάδες διαφορετικές εφαρμογές από μια σειρά ηλεκτρονικών καταστημάτων εφαρμογών (app stores). Οι εφαρμογές εξυπηρετούν διάφορους σκοπούς και συμπεριλαμβάνουν, μεταξύ άλλων, την περιήγηση στον παγκόσμιο ιστό, την επικοινωνία (ηλεκτρονικό ταχυδρομείο και αποστολή μηνυμάτων μέσω τηλεφώνου και διαδικτύου), την ψυχαγωγίας (παιχνίδια, ταινίες/βίντεο και μουσική), την κοινωνική δικτύωση, τραπεζικές υπηρεσίες και υπηρεσίες αξιοποίησης της γεωγραφικής θέσης. Αναφέρεται ότι περισσότερες από 1.600 νέες εφαρμογές προστίθενται καθημερινά στα καταστήματα εφαρμογών. 1 Ο μέσος χρήστης έξυπνου κινητού τηλεφώνου θα τηλεφορτώσει 37 εφαρμογές 2. Οι εφαρμογές είναι δυνατόν να προσφέρονται στον τελικό χρήστη με ελάχιστο ή μηδενικό αρχικό κόστος και ο αριθμός των χρηστών τους μπορεί να κυμαίνεται από μερικά άτομα μέχρι πολλά εκατομμύρια χρήστες. Το λειτουργικό σύστημα στο οποίο εντάσσονται περιλαμβάνει επίσης λογισμικό ή δομές δεδομένων που είναι σημαντικά για τις βασικές υπηρεσίες τις οποίες παρέχει η έξυπνη συσκευή, για παράδειγμα το ευρετήριο διευθύνσεων ενός έξυπνου κινητού τηλεφώνου. Το λειτουργικό σύστημα είναι σχεδιασμένο έτσι ώστε να καθιστά αυτές τις συνιστώσες διαθέσιμες στις εφαρμογές μέσω προγραμματισμού εφαρμογών (Application Programming Interfaces - API). Αυτές οι διεπαφές επιτρέπουν την πρόσβαση στο πλήθος αισθητήρων που είναι δυνατόν να φέρει η έξυπνη συσκευή. Οι αισθητήρες αυτοί περιλαμβάνουν: γυροσκόπιο, ψηφιακή πυξίδα και επιταχυνσιόμετρο για τον προσδιορισμό της ταχύτητας και της κατεύθυνσης μετακίνησης, εμπρόσθια και οπίσθια μηχανή λήψης για φωτογράφηση και βιντεοσκόπηση και μικρόφωνο για την καταγραφή ήχου. Οι έξυπνες συσκευές είναι επίσης πιθανόν να διαθέτουν αισθητήρες προσέγγισης 3 και να συνδέονται μέσω πλειάδας διεπαφών δικτύου, συμπεριλαμβανομένων των Wi-Fi, Bluetooth, NFC ή Ethernet. Τέλος, η ακριβής τοποθεσία μπορεί να προσδιοριστεί μέσω υπηρεσιών γεωεντοπισμού (όπως περιγράφεται στη γνωμοδότηση 13/2011 της Ομάδας Εργασίας του άρθρου 29 σχετικά με τις υπηρεσίες γεωεντοπισμού που παρέχονται μέσω έξυπνων κινητών συσκευών 4 ). Ο τύπος, η ακρίβεια και 1 2 3 4 Έκθεση στο ConceivablyTech της 19ης Αυγούστου 2012 που δημοσιεύεται στη διεύθυνση www.conceivablytechcom/10283/business/apple-app-store-to-reach-1mapps-this-year-sort-of. Στην έκθεση παραπέμπει ο Kamala D. Harris, Γενικός Εισαγγελέας του Υπουργείου Δικαιοσύνης της Καλιφόρνια, στο «Privacy on the go, Recommendations for the mobile ecosystem», Ιανουάριος 2013, http://oag.ca.gov/sites/all/files/pdfs/privacy/privacy_on_the_go.pdf Παγκόσμια εκτίμηση για το 2012 της ABI Research, http://www.abiresearch.com/press/smartphone-usersworldwide-will-download-37-apps-o Ο αισθητήρας είναι δυνατόν να ανιχνεύσει την παρουσία φυσικού αντικειμένου χωρίς φυσική επαφή. Βλ: http://www.w3.org/tr/2012/wd-proximity-20121206/ Βλ. γνώμη 13/2011 της Ομάδας Εργασίας του άρθρου 29 σχετικά με τις υπηρεσίες γεωεντοπισμού που παρέχονται μέσω έξυπνων κινητών συσκευών (Μάιος 2011), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2011/wp185_en.pdf. 5

η συχνότητα αυτών των δεδομένων που συλλέγονται από τους αισθητήρες ποικίλλει ανάλογα με τη συσκευή και το λειτουργικό σύστημα. Μέσω της διεπαφής προγραμματισμού εφαρμογών, οι σχεδιαστές εφαρμογών είναι σε θέση να συλλέγουν τα εν λόγω δεδομένα διαρκώς, να αποκτούν πρόσβαση και να καταγράφουν δεδομένα επαφής, να αποστέλλουν μηνύματα ηλεκτρονικού ταχυδρομείου, σύντομα μηνύματα μέσω κινητού τηλεφώνου (SMS) ή μηνύματα κοινωνικής δικτύωσης, να διαβάζουν/τροποποιούν/διαγράφουν το περιεχόμενο ασφαλούς ψηφιακής κάρτας μνήμης (SD card), να καταγράφουν ήχο, να χρησιμοποιούν τη μηχανή λήψης και να αποκτούν πρόσβαση σε αποθηκευμένες εικόνες, να διαβάζουν την κατάσταση και την ταυτότητα του τηλεφώνου, να τροποποιούν τις γενικές ρυθμίσεις του συστήματος και να εμποδίζουν το τηλέφωνο να τεθεί σε κατάσταση νάρκης. Οι διεπαφές προγραμματισμού εφαρμογών μπορούν επίσης να παράσχουν πληροφορίες για την ίδια τη συσκευή μέσω ενός ή περισσότερων μοναδικών αναγνωριστικών και πληροφορίες για άλλες εγκατεστημένες εφαρμογές. Αυτές οι πηγές δεδομένων είναι δυνατόν να υποστούν περαιτέρω επεξεργασία, συνήθως για να δημιουργήσουν ροή εσόδων, εν αγνοία του τελικού χρήστη ή κατά τρόπο ανεπιθύμητο γι αυτόν. Στόχος της παρούσας γνωμοδότησης είναι να διευκρινίσει το νομικό πλαίσιο που διέπει την επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά τη διανομή και χρήση εφαρμογών σε έξυπνες συσκευές και να εξετάσει την περαιτέρω επεξεργασία που ενδέχεται να πραγματοποιηθεί εκτός της εφαρμογής, όπως η χρησιμοποίηση των δεδομένων που συγκεντρώνονται για τη δημιουργία προφίλ και τη στοχοποίηση των χρηστών. Η γνωμοδότηση αναλύει τους σημαντικότερους κινδύνους από άποψη προστασίας των δεδομένων, περιγράφει τους διάφορους εμπλεκομένους και επισημαίνει τις διάφορες νομικές ευθύνες. Τα ενδιαφερόμενα μέρη είναι σχεδιαστές εφαρμογών, ιδιοκτήτες εφαρμογών, ηλεκτρονικά καταστήματα εφαρμογών, κατασκευαστές συσκευών και λειτουργικών συστημάτων και τρίτους που είναι δυνατόν να εμπλέκονται στη συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα προερχόμενων από έξυπνες συσκευές, όπως οι πάροχοι αναλύσεων και διαφημίσεων. Η γνώμη εστιάζεται στην απαίτηση συγκατάθεσης, στις αρχές του περιορισμού του σκοπού και της ελαχιστοποίησης των δεδομένων, στην ανάγκη λήψης πρόσφορων μέτρων ασφαλείας, στην υποχρέωση ορθής ενημέρωσης των τελικών χρηστών, στα δικαιώματά τους, στις εύλογες περιόδους διατήρησης και ειδικότερα στη θεμιτή επεξεργασία δεδομένων που συλλέγονται από παιδιά και αφορούν παιδιά. Το αντικείμενο της γνωμοδότησης αφορά πολλούς διαφορετικούς τύπους έξυπνων συσκευών, αλλά εστιάζεται κυρίως στις εφαρμογές που διατίθενται για έξυπνες κινητές συσκευές. 2. Κίνδυνοι από άποψη προστασίας δεδομένων Η στενή αλληλεπίδραση με το λειτουργικό σύστημα επιτρέπει στις εφαρμογές να έχουν πρόσβαση σε πολύ περισσότερα δεδομένα από ό,τι ένας παραδοσιακός φυλλομετρητής διαδικτύου. 5 Οι εφαρμογές έχουν τη δυνατότητα να συλλέγουν μεγάλο όγκο δεδομένων από τη συσκευή (δεδομένα εντοπισμού, δεδομένα που έχει αποθηκεύσει στη συσκευή ο χρήστης 5 Μολονότι οι φυλλομετρητές γραφείου αποκτούν ευρύτερη πρόσβαση σε δεδομένα αισθητήρων από συσκευές τελικών χρηστών, με την καθοδήγηση των σχεδιαστών διαδικτυακών παιχνιδιών. 6

και δεδομένα από τους διάφορους αισθητήρες) και να τα επεξεργάζονται προκειμένου να παράσχουν νέες και καινοτόμες υπηρεσίες στον τελικό χρήστη. Ένας μεγάλος κίνδυνος όσον αφορά την προστασία δεδομένων απορρέει από τον βαθμό κατακερματισμού μεταξύ των πολλών συμμετεχόντων στο περιβάλλον της ανάπτυξης εφαρμογών. Ένα μοναδικό στοιχείο δεδομένων είναι δυνατόν να μεταδίδεται σε πραγματικό χρόνο από τη συσκευή προκειμένου να υποστεί επεξεργασία σε άλλο σημείο του πλανήτη ή να αντιγραφεί από αλυσίδες τρίτων. Μερικές από τις πιο γνωστές εφαρμογές σχεδιάζονται από μεγάλες τεχνολογικές εταιρίες, αλλά πολλές άλλες σχεδιάζονται από μικρές νεοσύστατες επιχειρήσεις. Ένας μόνο προγραμματιστής που διαθέτει μια ιδέα και ελάχιστες ή καθόλου προηγούμενες δεξιότητες προγραμματισμού μπορεί να έλθει σε επαφή με παγκόσμιο ακροατήριο σε ελάχιστο χρόνο. Σχεδιαστές εφαρμογών που αγνοούν τις απαιτήσεις προστασίας δεδομένων είναι δυνατόν να προκαλέσουν σημαντικούς κινδύνους για την ιδιωτική ζωή και τη φήμη των χρηστών έξυπνων συσκευών. Παράλληλα αναπτύσσονται ταχύτατα υπηρεσίες τρίτων, όπως η διαφήμιση, οι οποίες, αν ενσωματωθούν χωρίς τις κατάλληλες προφυλάξεις από σχεδιαστή εφαρμογών, είναι δυνατόν να δημοσιοποιήσουν σημαντική ποσότητα δεδομένων προσωπικού χαρακτήρα. Οι σημαντικότεροι κίνδυνοι από άποψη προστασίας δεδομένων για τους τελικούς χρήστες είναι η έλλειψη διαφάνειας και προηγούμενης γνώσης για τα είδη επεξεργασίας που μπορεί να εκτελέσει μια εφαρμογή, σε συνδυασμό με την απουσία ουσιαστικής συγκατάθεσης των τελικών χρηστών πριν αρχίσει να εκτελείται η επεξεργασία. Τα ανεπαρκή μέτρα ασφαλείας, η προφανής τάση μεγιστοποίησης των δεδομένων και η ελαστικότητα των σκοπών για τους οποίους συλλέγονται τα δεδομένα προσωπικού χαρακτήρα εντείνουν περαιτέρω τους κινδύνους για την προστασία των δεδομένων στο τρέχον περιβάλλον εφαρμογών. Πολλοί από αυτούς τους κινδύνους έχουν ήδη εξεταστεί και αντιμετωπιστεί από άλλους διεθνείς ρυθμιστικούς φορείς, όπως η Ομοσπονδιακή Επιτροπή Εμπορίου των ΗΠΑ, το Γραφείο του Επιτρόπου προστασίας της ιδιωτικής ζωής στον Καναδά και ο Γενικός Εισαγγελέας του Υπουργείου Δικαιοσύνης της Καλιφόρνια. 6 Ένας σημαντικός κίνδυνος από την άποψη της προστασίας των δεδομένων είναι η έλλειψη διαφάνειας. Οι σχεδιαστές εφαρμογών υπόκεινται στους περιορισμούς των χαρακτηριστικών που διαθέτουν οι κατασκευαστές λειτουργικών συστημάτων και τα καταστήματα εφαρμογών προκειμένου να εξασφαλίσουν ότι ο τελικός χρήστης διαθέτει την κατάλληλη στιγμή πλήρεις πληροφορίες. Εντούτοις, τα χαρακτηριστικά αυτά δεν χρησιμοποιούνται από όλους τους σχεδιαστές εφαρμογών, δεδομένου ότι πολλές εφαρμογές δεν διαθέτουν πολιτική προστασίας της ιδιωτικής ζωής ή δεν ενημερώνουν επαρκώς τους δυνητικούς χρήστες για το είδος προσωπικών δεδομένων 6 Βλ. μεταξύ άλλων έκθεση των υπηρεσιών της Ομοσπονδιακής Επιτροπής Εμπορίου (FTC) των ΗΠΑ με τίτλο «Mobile Privacy Disclosures, Building Trust Through Transparency», Φεβρουάριος 2013, http://www.ftc.gov/os/2013/02/130201mobileprivacyreport.pdf, έκθεση των υπηρεσιών της Ομοσπονδιακής Επιτροπής Εμπορίου με τίτλο «Mobile Apps for Kids: Current Privacy Disclosures are Disappointing», Φεβρουάριος 2012, http://www.ftc.gov/os/2012/02/120216mobile_apps_kids.pdf και έκθεση παρακολούθησης με τίτλο «Mobile Apps for Kids: Disclosures Still Not Making the Grade», Δεκέμβριος 2012, http://www.ftc.gov/os/2012/12/121210mobilekidsappreport.pdf, Καναδική υπηρεσία των Επιτρόπων προστασίας της ιδιωτικής ζωής, «Seizing Opportunity: Good Privacy Practices for Developing Mobile Apps», Οκτώβριος 2012, http://www.priv.gc.ca/information/pub/gd_app_201210_e.pdf, Kamala D. Harris, Γενικός Εισαγγελέας του Υπουργείου Δικαιοσύνης της Καλιφόρνια, «Privacy on the go, Recommendations for the mobile ecosystem», Ιανουάριος 2013, http://oag.ca.gov/sites/all/files/pdfs/privacy/privacy_on_the_go.pdf 7

που μπορεί να επεξεργαστεί η εφαρμογή ούτε για τον σκοπό της επεξεργασίας. Η έλλειψη διαφάνειας δεν περιορίζεται στις εφαρμογές που παρέχονται δωρεάν ή στις εφαρμογές που σχεδιάζουν άπειροι σχεδιαστές, δεδομένου ότι, σύμφωνα με πρόσφατη μελέτη, μόνο το 61,3% των 150 περισσότερο χρησιμοποιούμενων εφαρμογών διαθέτουν πολιτική προστασίας της ιδιωτικής ζωής. 7 Η έλλειψη διαφάνειας συνδέεται στενά με την έλλειψη ελεύθερης και εν πλήρη επιγνώσει συγκατάθεσης. Αφού τηλεφορτωθεί μια εφαρμογή, η συγκατάθεση συχνά περιορίζεται στην επιλογή ενός τετραγωνιδίου με το οποίο ο τελικός χρήστης αποδέχεται τους όρους και προϋποθέσεις, χωρίς καν να προσφέρεται η επιλογή «Όχι, ευχαριστώ». Σύμφωνα με μελέτη της επαγγελματικής ένωσης του κλάδου κινητής τηλεφωνίας (GSMA) που δημοσιεύθηκε τον Σεπτέμβριο 2011, το 92% των χρηστών εφαρμογών θα επιθυμούσαν να διαθέτουν περισσότερο συγκεκριμένες επιλογές. 8 Τα ανεπαρκή μέτρα ασφαλείας είναι δυνατόν να οδηγήσουν σε αθέμιτη επεξεργασία (ευαίσθητων) δεδομένων προσωπικού χαρακτήρα, για παράδειγμα σε περίπτωση παραβίασης των δεδομένων προσωπικού χαρακτήρα του σχεδιαστή εφαρμογών ή διαρροής δεδομένων προσωπικού χαρακτήρα στην ίδια την εφαρμογή. Ένας άλλος κίνδυνος για την προστασία των δεδομένων συνδέεται με τη μη τήρηση (λόγω άγνοιας ή από πρόθεση) της αρχής του περιορισμού του σκοπού σύμφωνα με την οποία τα δεδομένα προσωπικού χαρακτήρα μπορούν να συλλέγονται και να υφίστανται επεξεργασία μόνο για συγκεκριμένους και νόμιμους σκοπούς. Τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται από εφαρμογές είναι δυνατόν να διανέμονται ευρέως σε διάφορα τρίτα πρόσωπα για απροσδιόριστους ή ελαστικούς σκοπούς, όπως «έρευνα της αγοράς». Η ίδια ανησυχητική αδιαφορία επιδεικνύεται όσον αφορά την αρχή της ελαχιστοποίησης των δεδομένων. Όπως προκύπτει από πρόσφατες έρευνες, πολλές εφαρμογές συλλέγουν πλειάδα δεδομένων από έξυπνα κινητά τηλέφωνα, χωρίς ουσιαστική σχέση με τις εμφανείς λειτουργικές δυνατότητες της εφαρμογής. 9 3 Αρχές που διέπουν την προστασία των δεδομένων 3.1 Εφαρμοστέο δίκαιο Το νομικό πλαίσιο αναφοράς της ΕΕ είναι η οδηγία για την προστασία των δεδομένων (95/46/EΚ). Η οδηγία εφαρμόζεται στις περιπτώσεις στις οποίες η χρησιμοποίηση εφαρμογών σε έξυπνες συσκευές έχει ως συνέπεια την επεξεργασία δεδομένων προσωπικού χαρακτήρα των ατόμων. Για να προσδιοριστεί το εφαρμοστέο δίκαιο, είναι σημαντικό να προσδιοριστεί πρώτα ο ρόλος των διαφόρων εμπλεκομένων: ιδιαίτερη σημασία όσον αφορά το εφαρμοστέο δίκαιο έχει η ταυτοποίηση του υπευθύνου (υπευθύνων) της επεξεργασίας που διενεργείται μέσω εφαρμογών σε κινητές συσκευές. Ο τόπος εγκατάστασης του υπευθύνου 7 8 9 Μελέτη της Ομοσπονδιακής Επιτροπής Εμπορίου με θέμα τις εφαρμογές για κινητές συσκευές, Ιούνιος 2012, http://www.futureofprivacy.org/wp-content/uploads/mobile-apps-study-june-2012.pdf «το89% [των χρηστών] θεωρούν σημαντικό να γνωρίζουν πότε μια εφαρμογή κοινολογεί προσωπικές πληροφορίες τους και να μπορούν να το επιτρέπουν ή να το απαγορεύουν». Πηγή: User perspectives on mobile privacy, Σεπτέμβριος 2011, http://www.gsma.com/publicpolicy/wpcontent/uploads/2012/03/futuresightuserperspectivesonuserprivacy.pdf Wall Street Journal, Your Apps Are Watching You, http://online.wsj.com/article/sb10001424052748704694004576020083703574602.html 8

είναι αποφασιστικής σημασίας στοιχείο για την εφαρμογή της νομοθεσίας της ΕΕ σχετικά με την προστασία των δεδομένων, αν και δεν είναι το μοναδικό. Σύμφωνα με το άρθρο 4 παράγραφος 1 στοιχείο α) της οδηγίας για την προστασία των δεδομένων, η εθνική νομοθεσία κράτους μέλους είναι εφαρμοστέα σε κάθε επεξεργασία δεδομένων προσωπικού χαρακτήρα που εκτελείται «στα πλαίσια των δραστηριοτήτων» υπευθύνου εγκατεστημένου στο έδαφος του κράτους μέλους. Σύμφωνα με το άρθρο 4 παράγραφος 1 στοιχείο γ) της οδηγίας για την προστασία των δεδομένων, η εθνική νομοθεσία κράτους μέλους είναι εφαρμοστέα επίσης αν ο υπεύθυνος της επεξεργασίας δεν είναι εγκατεστημένος στο έδαφος της Κοινότητας και προσφεύγει για τους σκοπούς της επεξεργασίας δεδομένων προσωπικού χαρακτήρα σε μέσα ευρισκόμενα στο έδαφος του εν λόγω κράτους μέλους. Εφόσον η συσκευή διαδραματίζει ουσιώδη ρόλο στην επεξεργασία δεδομένων προσωπικού χαρακτήρα από και σχετικά με τον χρήστη, το κριτήριο αυτό πληρούται συνήθως. 10 Εντούτοις, η σημασία του περιορίζεται στις περιπτώσεις στις οποίες ο υπεύθυνος επεξεργασίας δεν είναι εγκατεστημένος στην ΕΕ. Κατά συνέπεια, αν το πρόσωπο που εμπλέκεται στον σχεδιασμό, τη διανομή και τη λειτουργία εφαρμογών θεωρείται ως υπεύθυνος επεξεργασίας, το πρόσωπο αυτό είναι υπεύθυνο, ατομικώς ή από κοινού με άλλους, για την εξασφάλιση της συμμόρφωσης με όλες τις απαιτήσεις τις οποίες προβλέπει η οδηγία για την προστασία των δεδομένων. Ο προσδιορισμός του ρόλου που διαδραματίζουν οι ασχολούμενοι με εφαρμογές κινητών συσκευών αναλύεται περαιτέρω στη συνέχεια, στην ενότητα 3.3. Εκτός από την οδηγία για την προστασία των δεδομένων, η οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες (2002/58/EΚ, όπως τροποποιήθηκε με την οδηγία 2009/136/EΚ) προβλέπει συγκεκριμένες προδιαγραφές για όσους, σε ολόκληρο τον κόσμο, επιθυμούν να αποθηκεύουν ή να διαθέτουν πρόσβαση σε πληροφορίες αποθηκευμένες στις συσκευές χρηστών στον Ευρωπαϊκό Οικονομικό Χώρο (ΕΟΧ). Το άρθρο 5 παράγραφος 3 της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες ορίζει ότι η αποθήκευση πληροφοριών ή η απόκτηση πρόσβασης σε ήδη αποθηκευμένες πληροφορίες στον τερματικό εξοπλισμό συνδρομητή ή χρήστη επιτρέπεται μόνον εάν ο συγκεκριμένος συνδρομητής ή χρήστης έχει δώσει τη συγκατάθεσή του με βάση σαφείς και εκτενείς πληροφορίες σύμφωνα με την οδηγία 95/46/ΕΚ, μεταξύ άλλων για το σκοπό της επεξεργασίας. ( ) Μολονότι πολλές διατάξεις της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες εφαρμόζονται μόνο στους παρόχους διαθέσιμων στο κοινό υπηρεσιών ηλεκτρονικής επικοινωνίας και στους παρόχους δημόσιων δικτύων επικοινωνίας στην Κοινότητα, το άρθρο 5 παράγραφος 3 εφαρμόζεται σε κάθε φορέα που αποθηκεύει ή διαβάζει πληροφορίες από έξυπνες συσκευές. Το άρθρο αυτό εφαρμόζεται ανεξαρτήτως της φύσεως του φορέα (δηλ. αν είναι δημόσιος ή ιδιωτικός, μεμονωμένος προγραμματιστής ή μεγάλη εταιρία ή αν είναι υπεύθυνος επεξεργασίας, εκτελών την επεξεργασία ή τρίτος). Η απαίτηση συγκατάθεσης την οποία προβλέπει το άρθρο 5 παράγραφος 3 εφαρμόζεται σε κάθε πληροφορία, ανεξαρτήτως της φύσεως των δεδομένων που αποθηκεύονται ή στα οποία παρέχεται πρόσβαση. Το πεδίο εφαρμογής δεν περιορίζεται στα δεδομένα προσωπικού 10 Στον βαθμό που η εφαρμογή διαβιβάζει δεδομένα προσωπικού χαρακτήρα στους υπεύθυνους επεξεργασίας. Το κριτήριο αυτό ενδέχεται να μην πληρούται αν η επεξεργασία των δεδομένων πραγματοποιείται μόνον επιτόπου, στην ίδια τη συσκευή. 9

χαρακτήρα οι πληροφορίες μπορούν να συνίστανται σε οποιαδήποτε κατηγορία δεδομένων που αποθηκεύεται στη συσκευή. Η απαίτηση συγκατάθεσης την οποία προβλέπει το άρθρο 5 παράγραφος 3 της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες εφαρμόζεται σε υπηρεσίες που παρέχονται «στην Κοινότητα», με άλλα λόγια σε όλα τα άτομα που ζουν στον Ευρωπαϊκό Οικονομικό Χώρο, ανεξαρτήτως του τόπου στον οποίο βρίσκεται ο πάροχος της υπηρεσίας. Είναι σημαντικό να γνωρίζουν οι σχεδιαστές εφαρμογών ότι και οι δύο οδηγίες περιέχουν κανόνες αναγκαστικού δικαίου, υπό την έννοια ότι τα δικαιώματα των ατόμων δεν μεταβιβάζονται, ενώ δεν χωρεί συμβατική παραίτηση από αυτά. Αυτό σημαίνει ότι η εφαρμογή της ευρωπαϊκής νομοθεσίας για την προστασία της ιδιωτικής ζωής δεν μπορεί να αποκλειστεί με μονομερή δήλωση ή συμβατική συμφωνία. 11 3.2 Προσωπικά δεδομένα που επεξεργάζονται οι εφαρμογές Πολλές κατηγορίες δεδομένων που αποθηκεύονται ή δημιουργούνται από έξυπνη συσκευή είναι δεδομένα προσωπικού χαρακτήρα. Σύμφωνα με την εικοστή τέταρτη αιτιολογική σκέψη της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες: «Ο τερματικός εξοπλισμός των χρηστών δικτύων ηλεκτρονικών επικοινωνιών και κάθε πληροφορία που αποθηκεύεται στον εξοπλισμό αυτόν συνιστούν μέρος της ιδιωτικής ζωής των χρηστών η οποία χρήζει προστασίας δυνάμει της ευρωπαϊκής σύμβασης για την προάσπιση των δικαιωμάτων του ανθρώπου και των θεμελιωδών ελευθεριών». Τα δεδομένα είναι προσωπικού χαρακτήρα εφόσον αφορούν άτομο του οποίου η ταυτότητα μπορεί να εξακριβωθεί αμέσως (για παράδειγμα, όνομα) ή εμμέσως από τον υπεύθυνο επεξεργασίας ή από τρίτο. Είναι δυνατόν να αφορούν τον ιδιοκτήτη της συσκευής ή οποιοδήποτε άλλο άτομο, όπως τα στοιχεία επικοινωνίας φίλων σε κατάλογο διευθύνσεων. 12 Τα δεδομένα είναι δυνατόν να συλλέγονται και να υφίστανται επεξεργασία στη συσκευή ή αλλού, μετά τη μεταφορά τους, στην υποδομή των σχεδιαστών εφαρμογών ή τρίτων, με σύνδεση σε εξωτερική διεπαφή API, σε πραγματικό χρόνο, χωρίς να το γνωρίζει ο τελικός χρήστης. Ως παράδειγμα τέτοιων δεδομένων προσωπικού χαρακτήρα που είναι δυνατόν να έχουν σημαντικό αντίκτυπο στην προσωπική ζωή των χρηστών και άλλων ατόμων μπορούν να αναφερθούν τα ακόλουθα: - τοποθεσία - επαφές - μοναδικά αναγνωριστικά συσκευής και πελάτη (όπως τα IMEI 13, IMSI 14, UDID 15 και ο αριθμός κινητού τηλεφώνου) 11 12 13 14 15 Για παράδειγμα, με δηλώσεις ότι εφαρμόζεται μόνο το δίκαιο χώρας εκτός του ΕΟΧ. Τα δεδομένα είναι δυνατόν (i) να παράγονται αυτομάτως από τη συσκευή, βάσει χαρακτηριστικών προκαθορισμένων από τον κατασκευαστή του λειτουργικού συστήματος ή/και της συσκευής ή από τον οικείο πάροχο κινητής τηλεφωνίας (π.χ. δεδομένα γεωγραφικού προσδιορισμού της θέσης, ρυθμίσεις δικτύου, διεύθυνση IP) (ii) να δημιουργούνται από τον χρήστη μέσω εφαρμογών (λίστες επαφών, σημειώσεις, φωτογραφίες) (iii) να δημιουργούνται από τις εφαρμογές (π.χ. ιστορικό περιήγησης) International Mobile Equipment Identity (Διεθνής Ταυτότητα Κινητού Εξοπλισμού) International Mobile Subscriber Identity (Διεθνής Ταυτότητα Κινητού Συνδρομητή) Unique Device Identifier (Μοναδικό Αναγνωριστικό Συσκευής) 10

- ταυτότητα του υποκειμένου των δεδομένων - ταυτότητα του τηλεφώνου (δηλ. το όνομα του τηλεφώνου 16 ) - δεδομένα πιστωτικής κάρτας και πληρωμών - καταγραφή τηλεφωνικών κλήσεων, υπηρεσίες σύντομων μηνυμάτων (SMS) ή στιγμιαίων μηνυμάτων (instant messaging) - ιστορικό περιήγησης - ηλεκτρονικό ταχυδρομείο - διαπιστευτήρια ελέγχου ταυτότητας υπηρεσιών της κοινωνίας των πληροφοριών (ιδίως υπηρεσιών με κοινωνικά χαρακτηριστικά) - εικόνες και βίντεο - βιομετρικά χαρακτηριστικά (π.χ. πρότυπα αναγνώρισης προσώπου και δακτυλικών αποτυπωμάτων) 3.3 Μέρη που εμπλέκονται στην επεξεργασία δεδομένων Στον σχεδιασμό, διανομή και λειτουργία εφαρμογών εμπλέκονται πολλά διαφορετικά μέρη, κάθε ένα από τα οποία μπορεί να υπέχει διαφορετικές ευθύνες όσον αφορά την προστασία των δεδομένων. Μπορούν να επισημανθούν τέσσερα βασικά ενδιαφερόμενα μέρη: (i) οι σχεδιαστές εφαρμογών (συμπεριλαμβανομένων των ιδιοκτητών των εφαρμογών) 17, οι κατασκευαστές του λειτουργικού συστήματος και της συσκευής 18, (iii) τα ηλεκτρονικά καταστήματα εφαρμογών (οι διανομείς της εφαρμογής) και, τέλος, (iv) τρίτοι που εμπλέκονται στην επεξεργασία δεδομένων προσωπικού χαρακτήρα. Σε ορισμένες περιπτώσεις, οι ευθύνες όσον αφορά την προστασία των δεδομένων είναι κοινές, ιδίως όταν η ίδια οντότητα εμπλέκεται σε διάφορα στάδια, για παράδειγμα όταν ο κατασκευαστής του λειτουργικού συστήματος ελέγχει και το κατάστημα εφαρμογών. Ρόλο διαδραματίζουν επίσης οι τελικοί χρήστες, οι οποίοι υπέχουν ευθύνη στον βαθμό που δημιουργούν και αποθηκεύουν προσωπικά δεδομένα μέσω των κινητών συσκευών τους. Αν η επεξεργασία αυτή εξυπηρετεί αποκλειστικά προσωπικούς ή οικιακούς σκοπούς, η οδηγία για την προστασία των δεδομένων δεν εφαρμόζεται (άρθρο 3 παράγραφος 2) και ο χρήστης απαλλάσσεται από τις τυπικές υποχρεώσεις προστασίας δεδομένων. Εντούτοις, αν ο χρήστης αποφασίσει να ανταλλάξει δεδομένα μέσω της εφαρμογής, για παράδειγμα δημοσιοποιώντας πληροφορίες σε απροσδιόριστο αριθμό προσώπων 19 με χρησιμοποίηση εφαρμογής κοινωνικής δικτύωσης, επεξεργάζεται τις πληροφορίες κατά τρόπο που δεν πληροί πλέον τις προϋποθέσεις της απαλλαγής για οικιακούς σκοπούς. 20 16 17 18 19 20 Οι χρήστες έχουν την τάση να δίνουν στη συσκευή τους το πραγματικό τους όνομα: «Το iphone του Χ». Η Ομάδα Εργασίας χρησιμοποιεί την ονοματολογία που είναι κοινή για τους σχεδιαστές εφαρμογών, αλλά υπογραμμίζει ότι ο όρος δεν περιορίζεται στους προγραμματιστές ή στους τεχνικούς σχεδιαστές εφαρμογών, αλλά περιλαμβάνει τους ιδιοκτήτες εφαρμογών, δηλαδή τις εταιρίες και οργανισμούς που αναθέτουν τον σχεδιασμό των εφαρμογών και καθορίζουν τους σκοπούς τους. Σε ορισμένες περιπτώσεις ο κατασκευαστής του λειτουργικού συστήματος συμπίπτει με τον κατασκευαστή της συσκευής, ενώ σε άλλες ο κατασκευαστής της συσκευής είναι εταιρία διαφορετική από τον προμηθευτή του λειτουργικού συστήματος. Βλ. αποφάσεις του Δικαστηρίου της ΕΕ, της 6ης Νοεμβρίου 2003 C-101/01 Ποινική δίκη κατά Bodil Lindqvist και της 16ης Δεκεμβρίου 2008, C-73/07, Tietosuojavaltuutettu κατά SatakunnanMarkkinapörssiOy και SatamediaOy. Βλ. γνώμη 5/2009 της ομάδας εργασίας του άρθρου 29 σχετικά με τις επιγραμμικές υπηρεσίες κοινωνικής δικτύωσης (Ιούνιος 2009), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp163_en.pdf 11

3.3.1 Σχεδιαστές εφαρμογών Οι σχεδιαστές εφαρμογών δημιουργούν εφαρμογές ή/και τις διαθέτουν στους τελικούς χρήστες. Η κατηγορία αυτή περιλαμβάνει οργανισμούς του ιδιωτικού και του δημόσιου τομέα που αναθέτουν σε τρίτους τον σχεδιασμό εφαρμογών, καθώς και εταιρίες και άτομα που δημιουργούν και αναπτύσσουν εφαρμογές. Σχεδιάζουν ή/και δημιουργούν το λογισμικό που εγκαθίσταται στα έξυπνα κινητά τηλέφωνα, αποφασίζοντας έτσι την έκταση στην οποία η εφαρμογή θα έχει τη δυνατότητα πρόσβασης και επεξεργασίας των διάφορων κατηγοριών δεδομένων προσωπικού χαρακτήρα στη συσκευή ή/και μέσω απομακρυσμένων υπολογιστικών πόρων (υπολογιστικές μονάδες των σχεδιαστών εφαρμογών ή τρίτων). Στον βαθμό που ο σχεδιαστής εφαρμογών καθορίζει τους σκοπούς και τα μέσα της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα σε έξυπνες συσκευές, επέχει θέση υπευθύνου επεξεργασίας κατά την έννοια του άρθρου 2 στοιχείο δ) της οδηγίας για την προστασία των δεδομένων. Στην περίπτωση αυτή, υποχρεούται να συμμορφώνεται με το σύνολο των διατάξεων της οδηγίας για την προστασία των δεδομένων. Οι σημαντικότερες διατάξεις σχολιάζονται στις παραγράφους 3.4 έως 3.10 της παρούσας γνώμης. Ακόμα και αν εφαρμόζεται σε χρήστη η απαλλαγή για οικιακούς σκοπούς, ο σχεδιαστής εφαρμογών συνεχίζει να ευθύνεται ως υπεύθυνος επεξεργασίας, αν επεξεργάζεται τα δεδομένα για ίδιους σκοπούς. Αυτό είναι σημαντικό, για παράδειγμα, αν η εφαρμογή απαιτεί πρόσβαση σε ολόκληρο το ευρετήριο διευθύνσεων προκειμένου να παράσχει την υπηρεσία (υπηρεσίες στιγμιαίων μηνυμάτων, τηλεφωνικές κλήσεις, βιντεοκλήσεις). Οι ευθύνες των σχεδιαστών εφαρμογών περιορίζονται σημαντικά αν τα δεδομένα προσωπικού χαρακτήρα δεν υφίστανται επεξεργασία ή/και δεν διατίθενται εκτός της συσκευής, ή αν ο σχεδιαστής της εφαρμογής έχει λάβει πρόσφορα τεχνικά και οργανωτικά μέτρα προκειμένου να εξασφαλιστεί ότι τα δεδομένα ανωνυμοποιούνται κατά μη αναστρέψιμο τρόπο και συναθροίζονται στην ίδια τη συσκευή πριν αποσταλεί από τη συσκευή οποιοδήποτε δεδομένο. Σε κάθε περίπτωση, αν ο σχεδιαστής της εφαρμογής αποκτά πρόσβαση σε πληροφορίες αποθηκευμένες στη συσκευή, είναι εφαρμοστέα επίσης η οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες και ο σχεδιαστής της εφαρμογής υποχρεούται να συμμορφωθεί με την απαίτηση συγκατάθεσης την οποία προβλέπει το άρθρο 5 παράγραφος 3 της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες. Στον βαθμό που ο σχεδιαστής της εφαρμογής έχει αναθέσει μέρος ή το σύνολο της πραγματικής επεξεργασίας δεδομένων σε τρίτο και ο τρίτος αναλαμβάνει τον ρόλο εκτελούντος την επεξεργασία, ο σχεδιαστής της εφαρμογής υποχρεούται να συμμορφώνεται με όλες τις υποχρεώσεις που συνδέονται με την προσφυγή σε εκτελούντα την επεξεργασία. Στην περίπτωση αυτή περιλαμβάνεται και η χρησιμοποίηση παρόχου υπολογιστικού νέφους (π.χ. για εξωτερική αποθήκευση δεδομένων). 21 21 Βλ. γνώμη 05/2012 της ομάδας εργασίας του άρθρου 29 σχετικά με τη νεφοϋπολογιστική (Ιούλιος 2012), http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2012/wp196_en.pdf. 12

Στον βαθμό που ο σχεδιαστής εφαρμογής επιτρέπει την πρόσβαση τρίτων στα δεδομένα των χρηστών (π.χ. την πρόσβαση διαφημιστικού δικτύου στα δεδομένα γεωεντοπισμού της συσκευής στο πλαίσιο συμπεριφορικής διαφήμισης), υποχρεούται να χρησιμοποιεί κατάλληλους μηχανισμούς, ώστε να συμμορφώνεται με τις εφαρμοστέες απαιτήσεις που προβλέπει το νομικό πλαίσιο της ΕΕ. Αν ο τρίτος αποκτά πρόσβαση σε δεδομένα αποθηκευμένα στη συσκευή, υποχρεούται να λάβει συγκατάθεση εν πλήρη επιγνώσει, σύμφωνα με το άρθρο 5 παράγραφος 3 της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες. Επίσης, αν ο τρίτος επεξεργάζεται δεδομένα προσωπικού χαρακτήρα για ίδιους σκοπούς, είναι δυνατόν να αποκτά την ιδιότητα υπευθύνου επεξεργασίας από κοινού με τον σχεδιαστή της εφαρμογής και συνεπώς πρέπει να εξασφαλίζει την τήρηση της αρχής του περιορισμού του σκοπού και των υποχρεώσεων ασφαλείας 22 για το τμήμα της επεξεργασίας του οποίου καθορίζει τους σκοπούς και τα μέσα. Λόγω του ότι είναι δυνατόν να υπάρχουν διάφορα είδη διευθετήσεων εμπορικών και τεχνικών μεταξύ σχεδιαστών εφαρμογών και τρίτων, η αντίστοιχη ευθύνη κάθε πλευράς θα πρέπει να διαπιστώνεται κατά περίπτωση, με βάση τις ειδικές περιστάσεις κάθε επεξεργασίας. Ο σχεδιαστής εφαρμογών είναι δυνατόν να χρησιμοποιεί βιβλιοθήκες τρίτων με λογισμικό που προβλέπει κοινές λειτουργικές δυνατότητες, για παράδειγμα βιβλιοθήκη για πλατφόρμα παιχνιδιών κοινωνικής δικτύωσης. Ο σχεδιαστής εφαρμογών πρέπει να διασφαλίζει ότι οι χρήστες λαμβάνουν γνώση τυχόν επεξεργασίας δεδομένων από αυτές τις βιβλιοθήκες και, αν πραγματοποιείται ανάλογη επεξεργασία, ότι είναι σύμφωνη με το νομικό πλαίσιο της ΕΕ, μεταξύ άλλων, εφόσον απαιτείται, λαμβάνοντας τη συγκατάθεση του χρήστη. Υπ αυτή την έννοια, οι σχεδιαστές εφαρμογών υποχρεούνται να αποκλείουν τη χρήση λειτουργικών δυνατοτήτων που δεν είναι εμφανείς στον χρήστη. 3.3.2 Κατασκευαστές λειτουργικών συστημάτων και συσκευών Οι κατασκευαστές λειτουργικών συστημάτων και συσκευών πρέπει επίσης να θεωρούνται υπεύθυνοι επεξεργασίας (σε ορισμένες περιπτώσεις από κοινού με άλλους υπεύθυνους επεξεργασίας) για όλα τα δεδομένα προσωπικού χαρακτήρα τα οποία επεξεργάζονται για ίδιους σκοπούς, για παράδειγμα για την ομαλή λειτουργία της συσκευής, την ασφάλεια κ.λπ, συμπεριλαμβανομένων δεδομένων που παράγονται από τον χρήστη (π.χ. στοιχεία του χρήστη κατά την εγγραφή), δεδομένων που παράγονται αυτόματα από τη συσκευή (π.χ. αν η συσκευή διαθέτει τη λειτουργική δυνατότητα «phone home», ώστε να καθορίζεται η θέση της) ή δεδομένων προσωπικού χαρακτήρα τα οποία επεξεργάζεται ο κατασκευαστής του λειτουργικού συστήματος ή της συσκευής και προέρχονται από την εγκατάσταση ή τη χρησιμοποίηση εφαρμογών. Αν ο κατασκευαστής του λειτουργικού συστήματος ή της συσκευής προσφέρει πρόσθετες λειτουργικές δυνατότητες, όπως εφεδρική λειτουργία ή λειτουργία απομακρυσμένου εντοπισμού, θα έχει επίσης την ιδιότητα του υπευθύνου επεξεργασίας για τα δεδομένα προσωπικού χαρακτήρα που υφίστανται επεξεργασία για τον σκοπό αυτό. 22 Βλ. γνώμη 2/2010 της ομάδας εργασίας του άρθρου 29 σχετικά με την επιγραμμική συμπεριφορική διαφήμιση (Ιούνιος 2010), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_en.pdf και γνώμη 1/2010 της ομάδας εργασίας του άρθρου 29 σχετικά με τις έννοιες του «υπευθύνου της επεξεργασίας» και του «εκτελούντος την επεξεργασία» (Φεβρουάριος 2010), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_en.pdf 13

Εφαρμογές που απαιτούν πρόσβαση σε εντοπισμό γεωγραφικής θέσης πρέπει να χρησιμοποιούν τις υπηρεσίες εντοπισμού του λειτουργικού συστήματος. Αν μια εφαρμογή χρησιμοποιεί εντοπισμό γεωγραφικής θέσης, το λειτουργικό σύστημα μπορεί να συλλέγει δεδομένα προσωπικού χαρακτήρα για την παροχή των πληροφοριών εντοπισμού της γεωγραφικής θέσης στις εφαρμογές, ενώ υπάρχει επίσης το ενδεχόμενο να χρησιμοποιεί τα δεδομένα για τη βελτίωση των δικών του υπηρεσιών εντοπισμού. Στην τελευταία αυτή περίπτωση, υπεύθυνος επεξεργασίας είναι το λειτουργικό σύστημα Οι κατασκευαστές του λειτουργικού συστήματος και της συσκευής είναι επίσης υπεύθυνος για τη διεπαφή API η οποία επιτρέπει την επεξεργασία δεδομένων προσωπικού χαρακτήρα από εφαρμογές στην κινητή συσκευή. Ο σχεδιαστής της εφαρμογής μπορεί να έχει πρόσβαση στα χαρακτηριστικά και στις λειτουργίες τις οποίες διαθέτουν οι κατασκευαστές λειτουργικών συστημάτων και συσκευών μέσω της διεπαφής προγραμματισμού εφαρμογής. Δεδομένου ότι οι κατασκευαστές λειτουργικών συστημάτων και συσκευών καθορίζουν τα μέσα (και την έκταση) της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα, πρέπει να εξασφαλίζουν ότι ο έλεγχος που ασκεί ο σχεδιαστής της εφαρμογής είναι τόσο εξατομικευμένος ώστε να επιτρέπει την πρόσβαση μόνο στα δεδομένα που είναι απαραίτητα για τη λειτουργία της εφαρμογής. Οι κατασκευαστές λειτουργικών συστημάτων και συσκευών πρέπει επίσης να εξασφαλίζουν ότι η πρόσβαση αυτή μπορεί να ανακληθεί κατά απλό και αποτελεσματικό τρόπο. Η έννοια της «προστασίας της ιδιωτικής ζωής μέσω του σχεδιασμού» αποτελεί σημαντική αρχή η οποία μνημονεύεται έμμεσα ήδη στην οδηγία για την προστασία των δεδομένων 23 και η οποία, από κοινού με την «προστασία της ιδιωτικής ζωής βάσει των προεπιλεγμένων ρυθμίσεων» ανακύπτει σαφέστερα από την οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες. 24 Επιτάσσει τους κατασκευαστές συσκευής ή εφαρμογής να ενσωματώνουν την προστασία των δεδομένων ήδη από τα πρώτα στάδια του σχεδιασμού. Η προστασία της ιδιωτικής ζωής μέσω του σχεδιασμού απαιτείται ρητώς για τον σχεδιασμό τηλεπικοινωνιακού εξοπλισμού, όπως προβλέπεται από την οδηγία για τον ραδιοεξοπλισμό και τον τηλεπικοινωνιακό τερματικό εξοπλισμό. 25 Κατά συνέπεια, οι κατασκευαστές λειτουργικών συστημάτων και συσκευών, όπως και τα ηλεκτρονικά καταστήματα εφαρμογών, υπέχουν σημαντική ευθύνη, δεδομένου ότι πρέπει να προβλέπουν τις απαιτούμενες εγγυήσεις σχετικά με την προστασία των δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής των χρηστών εφαρμογών. Τούτο περιλαμβάνει αφενός την ύπαρξη κατάλληλων μηχανισμών ενημέρωσης και εκπαίδευσης του τελικού χρήστη σχετικά με το τι μπορεί να κάνει η εφαρμογή και σε ποια δεδομένα διαθέτει πρόσβαση, και, αφετέρου, την παροχή κατάλληλων ρυθμίσεων μέσω των οποίων οι χρήστες εφαρμογών είναι σε θέση να τροποποιεί τις παραμέτρους επεξεργασίας. 26 23 24 25 26 Βλ. τεσσαρακοστή έκτη αιτιολογική σκέψη και άρθρο 17. Βλ. άρθρο 14 παράγραφος 3. Οδηγία 1999/5/ΕΚ, της 9ης Μαρτίου 1999, σχετικά με το ραδιοεξοπλισμό και τον τηλεπικοινωνιακό τερματικό εξοπλισμό και την αμοιβαία αναγνώριση της πιστότητας των εξοπλισμών αυτών. L 91/10 Επίσημη Εφημερίδα των Ευρωπαϊκών Κοινοτήτων, 7.4.1999. Σύμφωνα με το άρθρο 3 παράγραφος 3 στοιχείο γ) της οδηγίας, η Ευρωπαϊκή Επιτροπή μπορεί να αποφασίσει ότι οι συσκευές που απευθύνονται σε τελικό χρήστη πρέπει να κατασκευάζονται κατά τρόπον ώστε να περιλαμβάνουν διασφαλίσεις της προστασίας των δεδομένων προσωπικού χαρακτήρα και της ιδιωτικής ζωής του χρήστη και του συνδρομητή. Η ομάδα εργασίας εκφράζει ικανοποίηση για τις σχετικές συστάσεις που περιέχονται στην προαναφερθείσα στην υποσημείωση 6 έκθεση των υπηρεσιών της Ομοσπονδιακής Επιτροπής Εμπορίου «Mobile Privacy Disclosures», για παράδειγμα στη σελίδα 15: «( ) οι πλατφόρμες βρίσκονται στη μοναδική θέση να 14

3.3.3 Ηλεκτρονικά καταστήματα εφαρμογών Κάθε ένα από τα ευρύτερα χρησιμοποιούμενα είδη έξυπνων συσκευών διαθέτει δικό του κατάστημα εφαρμογών, ενώ συχνά ένα συγκεκριμένο λειτουργικό σύστημα συνδέεται στενά με συγκεκριμένο κατάστημα εφαρμογών. Τα καταστήματα εφαρμογών συχνά διεκπεραιώνουν τις αρχικές πληρωμές των εφαρμογών και μπορούν επίσης να υποστηρίζουν αγορές στο πλαίσιο των εφαρμογών. Για τον λόγο αυτό, απαιτείται η καταχώρηση του ονόματος, της διεύθυνσης και των χρηματοπιστωτικών στοιχείων του χρήστη. Αυτά τα δεδομένα που είναι δυνατόν να ταυτοποιηθούν (άμεσα), είναι δυνατόν να συνδυάζονται με δεδομένα σχετικά με τη συμπεριφορά αγορών και χρήσης και με δεδομένα που διαβάζει ή δημιουργεί η συσκευή (όπως τα μοναδικά αναγνωριστικά). Για την επεξεργασία αυτών των δεδομένων προσωπικού χαρακτήρα, τα καταστήματα εφαρμογών έχουν κατά πάσα πιθανότητα την ιδιότητα του υπευθύνου επεξεργασίας, ακόμη και αν διαβιβάζουν αυτές τις πληροφορίες στους σχεδιαστές εφαρμογών. Αν το κατάστημα εφαρμογών επεξεργάζεται το ιστορικό τηλεφορτώσεων ή χρήσης της εφαρμογής ή ανάλογης λειτουργίας από τον τελικό χρήστη για την επαναφορά εφαρμογών που έχουν τηλεφορτωθεί προηγουμένως, θα έχει επίσης την ιδιότητα του υπευθύνου επεξεργασίας για τα δεδομένα προσωπικού χαρακτήρα που επεξεργάζεται για τον σκοπό αυτό. Το κατάστημα εφαρμογών καταγράφει τα διαπιστευτήρια σύνδεσης και το ιστορικό των προηγούμενων αγορών εφαρμογών. Ζητεί επίσης από τον χρήστη να δώσει αριθμό πιστωτικής κάρτας που αποθηκεύεται με τον λογαριασμό του χρήστη. Το κατάστημα εφαρμογών έχει την ιδιότητα υπευθύνου επεξεργασίας γι αυτές τις πράξεις. Αντιθέτως, δικτυακοί τόποι που επιτρέπουν την τηλεφόρτωση εφαρμογής που πρόκειται να εγκατασταθεί στη συσκευή χωρίς εξακρίβωση στοιχείων είναι δυνατόν να θεωρηθεί ότι δεν επεξεργάζονται δεδομένα προσωπικού χαρακτήρα. Τα καταστήματα εφαρμογών διαδραματίζουν σημαντικό ρόλο, επειδή επιτρέπουν στους σχεδιαστές εφαρμογών να παρέχουν κατάλληλες πληροφορίες για την εφαρμογή, συμπεριλαμβανομένων των τύπων δεδομένων που μπορεί να επεξεργαστεί η εφαρμογή και για τους σκοπούς της επεξεργασίας. Τα καταστήματα εφαρμογών μπορούν να επιβάλλουν αυτούς τους κανόνες μέσω της πολιτικής εισδοχής που ακολουθούν (βάσει προληπτικών ή εκ των υστέρων ελέγχων). Σε συνεργασία με τον κατασκευαστή του λειτουργικού συστήματος, το κατάστημα εφαρμογών είναι σε θέση να αναπτύξει πλαίσιο που θα επιτρέψει στους σχεδιαστές εφαρμογών να εκδίδουν συνεπείς και ουσιαστικές ενημερωτικές ανακοινώσεις (όπως σύμβολα που αντιπροσωπεύουν ορισμένα είδη πρόσβασης σε δεδομένα αισθητήρων) τις οποίες δημοσιοποιούν σε εμφανή θέση στον κατάλογο του καταστήματος εφαρμογών. 3.3.4 Τρίτοι Στην επεξεργασία δεδομένων μέσω της χρησιμοποίησης εφαρμογών εμπλέκονται διάφοροι τρίτοι. Για παράδειγμα, η δαπάνη για πολλές δωρεάν εφαρμογές καλύπτεται από διαφήμιση, η οποία μπορεί (αν και όχι πάντα) να βασίζεται στο περιεχόμενο ή να είναι εξατομικευμένη και η κοινολογούν διαρκώς δεδομένα σε σειρά εφαρμογών και ενθαρρύνονται να το κάνουν. Σύμφωνα με σχόλια που έγιναν σε εργαστήρια, έχουν τη δυνατότητα να κοινολογούν τα δεδομένα σε πολλούς παραλήπτες συγχρόνως ( ).» 15

οποία ενεργοποιείται με την ανίχνευση λειτουργιών όπως cookies ή άλλων αναγνωριστικών συσκευής. Η διαφήμιση μπορεί να έχει τη μορφή πλαισίου-λωρίδας (banner) στο εσωτερικό της εφαρμογής ή διαφημίσεων εκτός εφαρμογής που παρέχονται με τροποποίηση των ρυθμίσεων φυλλομετρητή ή με την τοποθέτηση εικονιδίων στην επιφάνεια εργασίας της κινητής συσκευής ή μέσω εξατομικευμένης οργάνωσης του περιεχομένου της εφαρμογής (π.χ. προώθηση αποτελεσμάτων έρευνας). Η διαφήμιση για εφαρμογές παρέχεται γενικά από διαφημιστικά δίκτυα και ανάλογους ενδιαμέσους που είναι δυνατόν να συνδέονται ή να αποτελούν την ίδια οντότητα με τον κατασκευαστή του λειτουργικού συστήματος ή το κατάστημα εφαρμογών. Όπως υπογραμμίζεται στη γνώμη 2/2010 της Ομάδας Εργασίας του άρθρου 29, 27 η επιγραμμική διαφήμιση συχνά συνεπάγεται την επεξεργασία δεδομένων προσωπικού χαρακτήρα, όπως ορίζονται στο άρθρο 2 της οδηγίας για την προστασία δεδομένων και ερμηνεύονται από την Ομάδα Εργασίας του άρθρου 29. 28 Ως άλλα παραδείγματα τρίτων μπορούν επίσης να αναφερθούν οι πάροχοι υπηρεσιών ανάλυσης και επικοινωνιών. Οι πάροχοι υπηρεσιών ανάλυσης επιτρέπουν στους σχεδιαστές εφαρμογών για να αξιολογήσουν τη χρήση, τη δημοτικότητα και τη χρηστικότητα των εφαρμογών τους. Οι πάροχοι υπηρεσιών επικοινωνιών 29 είναι επίσης δυνατόν να διαδραματίζουν σημαντικό ρόλο όσον αφορά προεπιλεγμένες ρυθμίσεις και ενημερώσεις ασφαλείας πολλών συσκευών, καθώς και να επεξεργάζονται δεδομένα σχετικά με τη χρήση των εφαρμογών. Η εξατομικευση των στοιχείων αυτών (ή στρατηγική εμπορικού σήματος «branding») είναι δυνατόν να έχει συνέπειες για τα πιθανά τεχνικά και λειτουργικά μέτρα που μπορεί να εφαρμόσει ο χρήστης για την προστασία των δεδομένων προσωπικού χαρακτήρα του. Σε σύγκριση με τους σχεδιαστές εφαρμογών, οι τρίτοι είναι δυνατόν να διαδραματίζουν δύο είδη ρόλων: ο ένας είναι να εκτελούν πράξεις για λογαριασμό του ιδιοκτήτη της εφαρμογής, για παράδειγμα να παρέχουν υπηρεσίες ανάλυσης στο εσωτερικό της εφαρμογής, Στην περίπτωση αυτή, όταν ενεργούν αποκλειστικά για λογαριασμό του σχεδιαστή της εφαρμογής και δεν επεξεργάζονται δεδομένα για ίδιους σκοπούς ή/και ανταλλάσσουν δεδομένα μεταξύ σχεδιαστών, είναι πιθανόν να ενεργούν ως εκτελούντες την επεξεργασία. 27 28 29 Γνώμη 2/2010 της Ομάδας Εργασίας του άρθρου 29 σχετικά με την επιγραμμική συμπεριφορική διαφήμιση (Ιούνιος 2010), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_en.pdf Βλ. επίσης ερμηνεία της έννοιας των δεδομένων προσωπικού χαρακτήρα στη γνώμη 4/2007 της Ομάδας Εργασίας του άρθρου 29 σχετικά με την έννοια του όρου «δεδομένα προσωπικού χαρακτήρα» (Ιούνιος 2007), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_en.pdf Οι πάροχοι υπηρεσιών επικοινωνίας υπόκεινται επίσης σε υποχρεώσεις προστασίας δεδομένων που άπτονται του συγκεκριμένου κλάδου και βρίσκονται εκτός του πεδίου της παρούσας γνώμης. 16

O δεύτερος ρόλος έγκειται στη συλλογή πληροφοριών από όλες τις εφαρμογές για την παροχή πρόσθετων υπηρεσιών: παροχή στοιχείων ανάλυσης σε ευρύτερη κλίμακα (πληθυσμός εφαρμογής, εξατομικευμένη σύσταση) ή αποφυγή της εμφάνισης της ίδιας διαφήμισης στον ίδιο χρήστη. Όταν τρίτοι επεξεργάζονται δεδομένα προσωπικού χαρακτήρα για ίδιους σκοπούς, ενεργούν ως υπεύθυνοι επεξεργασίας και συνεπώς πρέπει να πληρούν όλες τις εφαρμοστέες διατάξεις της οδηγίας για την προστασία των δεδομένων. 30 Στην περίπτωση της συμπεριφορικής διαφήμισης, ο υπεύθυνος επεξεργασίας πρέπει να διαθέτει έγκυρη συγκατάθεση του χρήστη για τη συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα, η οποία μπορεί να έγκειται, για παράδειγμα, στην ανάλυση και τον συνδυασμό δεδομένων προσωπικού χαρακτήρα και στη δημιουργία ή/και εφαρμογή προφίλ. Όπως Εταιρία παρέχει συστήματα μέτρησης για ιδιοκτήτες εφαρμογών και διαφημιστές μέσω της χρήσης μέσων παρακολούθησης που ενσωματώνονται στις εφαρμογές από τον σχεδιαστή τους. Κατά συνέπεια, τα μέσα παρακολούθησης που διαθέτει η εταιρία είναι δυνατόν να εγκατασταθούν σε πολλές εφαρμογές και συσκευές. Μια από τις υπηρεσίες που παρέχει είναι η ενημέρωση των σχεδιαστών εφαρμογών για το ποιες άλλες εφαρμογές χρησιμοποιεί ένας χρήστης μέσω της συλλογής ενός μοναδικού αναγνωριστικού. Η εταιρία καθορίζει τον τρόπο (δηλ. τα μέσα παρακολούθησης) και τον σκοπό των εργαλείων που διαθέτει, πριν τα προσφέρει σε σχεδιαστές εφαρμογών, διαχειριστές και άλλους, και συνεπώς ενεργεί ως υπεύθυνος επεξεργασίας. αναφέρεται στη γνώμη 2/2012 της Ομάδας Εργασίας του άρθρου 29 για την επιγραμμική συμπεριφορική διαφήμιση, η συγκατάθεση αυτή επιτυγχάνεται καλύτερα μη τη χρησιμοποίηση μηχανισμών ρητής προηγούμενης συγκατάθεσης. Εταιρία παρέχει συστήματα μέτρησης για ιδιοκτήτες εφαρμογών και διαφημιστές μέσω της χρήσης μέσων παρακολούθησης που ενσωματώνονται στις εφαρμογές από τον σχεδιαστή τους. Κατά συνέπεια, τα μέσα παρακολούθησης που διαθέτει η εταιρία είναι δυνατόν να εγκατασταθούν σε πολλές εφαρμογές και συσκευές. Μια από τις υπηρεσίες που παρέχει είναι η ενημέρωση των σχεδιαστών εφαρμογών για το ποιες άλλες εφαρμογές χρησιμοποιεί ένας χρήστης μέσω της συλλογής ενός μοναδικού αναγνωριστικού. Η εταιρία καθορίζει τον τρόπο (δηλ. τα μέσα παρακολούθησης) και τον σκοπό των εργαλείων που διαθέτει, πριν τα προσφέρει σε σχεδιαστές εφαρμογών, διαχειριστές και άλλους, και συνεπώς ενεργεί ως υπεύθυνος επεξεργασίας. Στον βαθμό που τρίτα μέρη διαθέτουν πρόσβαση ή αποθηκεύουν πληροφορίες στην έξυπνη συσκευή, υποχρεούνται να συμμορφώνονται με την απαίτηση συγκατάθεσης που προβλέπει το άρθρο 5 παράγραφος 3 της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες. Στο πλαίσιο αυτό, είναι σημαντικό να επισημανθεί ότι στις έξυπνες συσκευές οι χρήστες διαθέτουν γενικά περιορισμένες δυνατότητες εγκατάστασης λογισμικού που μπορεί να ελέγχει την επεξεργασία δεδομένων προσωπικού χαρακτήρα, όπως συμβαίνει συνήθως στο περιβάλλον σύνδεσης στο διαδίκτυο από επιφάνεια εργασίας. Αντί της χρήσης αρχείων του Πρωτοκόλλου Μεταφοράς Υπερκειμένου (HTTP cookies), οι τρίτοι συχνά αποκτούν πρόσβαση σε μοναδικά αναγνωριστικά για να ταυτοποιήσουν χρήστες (ομάδες χρηστών) και να τους παράσχουν εξατομικευμένες υπηρεσίες, συμπεριλαμβανομένης της διαφήμισης. 30 Γνώμη 2/2010 της Ομάδας Εργασίας του άρθρου 29 σχετικά με τη συμπεριφορική διαφήμιση, σ. 10-11. 17

Δεδομένου ότι πολλά από αυτά τα αναγνωριστικά δεν μπορούν να διαγραφούν ή να τροποποιηθούν από τους χρήστες (όπως τα IMEI, IMSI, MSISDN 31 και τα ειδικά μοναδικά αναγνωριστικά συσκευής που προστίθενται από το λειτουργικό σύστημα), οι εν λόγω τρίτοι έχουν τη δυνατότητα να επεξεργάζονται σημαντικό όγκο δεδομένων προσωπικού χαρακτήρα χωρίς κανέναν έλεγχο από τον τελικό χρήστη. 3.4 Νομική βάση Για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, απαιτείται μια νομική βάση, όπως αναφέρεται στο άρθρο 7 της οδηγίας για την προστασία δεδομένων. Το άρθρο 7 διακρίνει έξι νομικές βάσεις για την επεξεργασία δεδομένων: έχει δοθεί ρητή συγκατάθεση του προσώπου στο οποίο αναφέρονται τα δεδομένα η επεξεργασία είναι απαραίτητη για την εκτέλεση σύμβασης με το πρόσωπο στο οποίο αναφέρονται τα δεδομένα για τη διαφύλαξη ζωτικού συμφέροντος του προσώπου στο οποίο αναφέρονται τα δεδομένα η επεξεργασία είναι απαραίτητη για την τήρηση εκ του νόμου υποχρεώσεως (στην περίπτωση των δημόσιων αρχών) η επεξεργασία είναι απαραίτητη για την εκπλήρωση έργου δημοσίου συμφέροντος και η επεξεργασία είναι απαραίτητη για την επίτευξη εννόμου (επιχειρηματικού) συμφέροντος. Όσον αφορά την αποθήκευση πληροφοριών ή την απόκτηση πρόσβασης σε πληροφορίες που είναι ήδη αποθηκευμένες στην κινητή συσκευή, το άρθρο 5 παράγραφος 3 της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες (δηλ. η διάταξη που προβλέπει απαίτηση συγκατάθεσης για την τοποθέτηση ή την ανάκτηση πληροφοριών από συσκευή) προβλέπει λεπτομερέστερη οριοθέτηση των νομικών λόγων που μπορούν να ληφθούν υπόψη. 3.4.1 Συγκατάθεση πριν από την εγκατάσταση και την επεξεργασία δεδομένων προσωπικού χαρακτήρα Στην περίπτωση των εφαρμογών, η κυριότερη εφαρμοστέα νομική βάση είναι η συγκατάθεση. Κατά την εγκατάσταση εφαρμογής, τοποθετούνται στη συσκευή του τελικού χρήστη ορισμένες πληροφορίες. Πολλές εφαρμογές διαθέτουν επίσης πρόσβαση σε στοιχεία αποθηκευμένα στη συσκευή, επαφές στο ευρετήριο διευθύνσεων, εικόνες, βίντεο και άλλα προσωπικά έγγραφα. Σε όλες αυτές τις περιπτώσεις, το άρθρο 5 παράγραφος 3 της οδηγίας για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες απαιτεί τη συγκατάθεση του χρήστη στον οποίο έχουν δοθεί σαφείς και εκτενείς πληροφορίες, πριν από την τοποθέτηση και την ανάκτηση πληροφοριών από τη συσκευή. Είναι σημαντικό να επισημανθεί η διάκριση μεταξύ της συγκατάθεσης που απαιτείται για την τοποθέτηση και την ανάγνωση πληροφοριών από τη συσκευή και της συγκατάθεσης που απαιτείται προκειμένου να υπάρχει νομική βάση για την επεξεργασία των διαφόρων ειδών δεδομένων προσωπικού χαρακτήρα. Μολονότι και οι δύο απαιτήσεις συγκατάθεσης είναι εφαρμοστέες ταυτόχρονα, κάθε μια στο πλαίσιο διαφορετικής νομικής βάσης, υπόκεινται και οι δύο στις ακόλουθες προϋποθέσεις: η συγκατάθεση να είναι ελεύθερη, ρητή και εν πλήρη επιγνώσει (όπως προβλέπει το άρθρο 2 στοιχείο η) της οδηγίας για την προστασία δεδομένων). Κατά συνέπεια, τα δύο είδη συγκατάθεσης είναι δυνατόν στην πράξη να συμπίπτουν, είτε κατά την εγκατάσταση είτε πριν η εφαρμογή αρχίσει να συλλέγει δεδομένα 31 Mobile Station Integrated Services Digital Network (Ψηφιακό Δίκτυο Ενοποιημένων Υπηρεσιών Κινητού Σταθμού). 18

προσωπικού χαρακτήρα από τη συσκευή, υπό την προϋπόθεση ότι ο τελικός χρήστης γνωρίζει σαφώς σε τι συγκατατίθεται. Πολλά καταστήματα εφαρμογών παρέχουν τη δυνατότητα στους σχεδιαστές εφαρμογών να ενημερώνουν τους τελικούς χρήστες σχετικά με τα βασικά χαρακτηριστικά εφαρμογής πριν από την εγκατάσταση και απαιτούν θετική δράση από τον χρήστη πριν τηλεφορτωθεί και εγκατασταθεί η εφαρμογή (δηλ. να επιλέξει το κουμπί «εγκατάσταση»). Μολονότι αυτή η ενέργεια είναι δυνατόν, σε ορισμένες περιπτώσεις, να πληροί την απαίτηση συγκατάθεσης του άρθρου 5 παράγραφος 3, είναι απίθανο να παρέχει επαρκείς πληροφορίες προκειμένου να συνιστά έγκυρη συναίνεση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα. Το ζήτημα έχει εξεταστεί στη γνώμη 15/2011 της Ομάδας Εργασίας του άρθρου 29 σχετικά με τον ορισμό της συγκατάθεσης. 32 Σε σχέση με τις έξυπνες συσκευές, «ελεύθερη» σημαίνει ότι ο χρήστης πρέπει να έχει την επιλογή να δεχθεί ή να αρνηθεί την επεξεργασία των δεδομένων προσωπικού χαρακτήρα του. Κατά συνέπεια, αν μια εφαρμογή χρειάζεται να επεξεργαστεί δεδομένα προσωπικού χαρακτήρα, ο χρήστης πρέπει να είναι ελεύθερος να δεχθεί ή να αρνηθεί την επεξεργασία. Ο χρήστης δεν πρέπει να βλέπει μια οθόνη που να περιέχει μόνο μια επιλογή «Ναι, δέχομαι», προκειμένου να ολοκληρωθεί η εγκατάσταση. Πρέπει να διατίθεται και μια επιλογή για την «Ακύρωση» ή με άλλο τρόπο διακοπή της εγκατάστασης. «Εν πλήρη επιγνώσει» σημαίνει ότι το πρόσωπο στο οποίο αναφέρονται τα δεδομένα πρέπει να διαθέτει τις απαραίτητες πληροφορίες που θα του επιτρέψουν να μορφώσει ορθή κρίση. 33 Προκειμένου να αποφευχθεί οποιαδήποτε ασάφεια, οι πληροφορίες αυτές πρέπει να διατίθενται πριν από την επεξεργασία κάθε είδους δεδομένων προσωπικού χαρακτήρα, συμπεριλαμβανομένης της επεξεργασίας δεδομένων που είναι δυνατόν να λάβει χώρα κατά την εγκατάσταση, για παράδειγμα, για σκοπούς εντοπισμού και διόρθωσης σφαλμάτων ή αναζήτησης. Το περιεχόμενο και η μορφή των πληροφοριών αυτών εκτίθεται στην παράγραφο 3.7 της παρούσας γνώμης. «Ρητή» σημαίνει ότι η έκφραση βουλήσεως πρέπει να αφορά την επεξεργασία ενός συγκεκριμένου δεδομένου ή μια περιορισμένη κατηγορία επεξεργασίας δεδομένων. Για τον σκοπό αυτό, η απλή επιλογή «εγκατάσταση» δεν μπορεί να θεωρηθεί έγκυρη συγκατάθεση για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, λόγω του ότι η συγκατάθεση δεν μπορεί να συνίσταται σε γενικά διατυπωμένη έγκριση. Σε ορισμένες περιπτώσεις, οι χρήστες είναι σε θέση να δώσουν συγκεκριμένη συγκατάθεση, αν ζητείται συγκατάθεση για κάθε τύπο δεδομένων στα οποία πρόκειται να έχει πρόσβαση η εφαρμογή. 34 Μια τέτοια προσέγγιση καλύπτει δύο σημαντικές νομικές απαιτήσεις: πρώτον, να ενημερώνεται πρόσφορα ο χρήστης για σημαντικά στοιχεία της υπηρεσίας και, δεύτερον, να ζητείται ειδική συγκατάθεση για κάθε στοιχείο. 35 Η εναλλακτική προσέγγιση του σχεδιαστή εφαρμογής που ζητεί από τους 32 33 34 35 Γνώμη 15/2011 της Ομάδας Εργασίας του άρθρου 29 σχετικά με τον ορισμό της συγκατάθεσης (Ιούλιος 2011), http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2011/wp187_en.pdf Όπ. π., σ. 19. Συγκεκριμένη συγκατάθεση σημαίνει ότι τα άτομα μπορούν να ελέγχουν λεπτομερώς (ειδικά) ποιες λειτουργίες επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αυτές που προσφέρει η εφαρμογή επιθυμούν να ενεργοποιήσουν. Η αναγκαιότητα μιας τέτοιας λεπτομερούς συγκατάθεσης επισημαίνεται επίσης ρητώς από τις υπηρεσίες της Ομοσπονδιακής Επιτροπής Εμπορίου στην πλέον πρόσφατη έκθεσή της (υποσημείωση 6 ανωτέρω), σ. 15-16: «( ) οι πλατφόρμες θα πρέπει να εξετάσουν τη δυνατότητα κοινολόγησης δεδομένων την τελευταία στιγμή 19

χρήστες να αποδεχθούν εκτενή σειρά όρων και προϋποθέσεων ή/και πολιτικής προστασίας της ιδιωτικής ζωής δεν συνιστά ρητή συγκατάθεση. 36 Η ρητή συγκατάθεση συνδέεται επίσης με την πρακτική της ανίχνευσης της συμπεριφοράς του χρήστη από διαφημιστές και άλλους τρίτους. Οι προεπιλεγμένες ρυθμίσεις των λειτουργικών συστημάτων και των εφαρμογών πρέπει να μην επιτρέπουν την ανίχνευση, έτσι ώστε να μπορούν οι χρήστες να δίδουν ρητή συγκατάθεση για αυτό το είδος επεξεργασίας δεδομένων. Οι προεπιλεγμένες αυτές ρυθμίσεις πρέπει να μην μπορούν να παρακαμφθούν από τρίτους, όπως συμβαίνει συχνά σήμερα με τους μηχανισμούς αποκλεισμού της ανίχνευσης («Do Not Track») που είναι εγκατεστημένοι σε φυλλομετρητές. Παραδείγματα ρητής συγκατάθεσης Μια εφαρμογή παρέχει πληροφορίες για κοντινά εστιατόρια. Για την εγκατάστασή της, ο σχεδιαστής της εφαρμογής πρέπει να ζητήσει συγκατάθεση. Για την πρόσβαση στα δεδομένα γεωεντοπισμού, ο σχεδιαστής της εφαρμογής πρέπει να ζητήσει ξεχωριστή συναίνεση, π.χ. κατά την εγκατάσταση ή πριν από την πρόσβαση στον εντοπισμό γεωγραφικής θέσης. Ρητή σημαίνει ότι η συγκατάθεση πρέπει να περιορίζεται στον ειδικό σκοπό της ενημέρωσης του χρήστη σχετικά με τα κοντινά εστιατόρια. Συνεπώς, η πρόσβαση στα δεδομένα γεωεντοπισμού μέσω της συσκευής επιτρέπεται μόνον αν ο χρήστης χρησιμοποιεί την εφαρμογή για τον σκοπό αυτό. Η συγκατάθεση του χρήστη για την επεξεργασία των δεδομένων γεωεντοπισμού δεν επιτρέπει στην εφαρμογή να συλλέγει διαρκώς δεδομένα γεωεντοπισμού από τη συσκευή. Αυτή η περαιτέρω επεξεργασία απαιτεί συμπληρωματικές πληροφορίες και ξεχωριστή συγκατάθεση. Κατά την ίδια έννοια, για να μπορεί μια εφαρμογή επικοινωνίας να έχει πρόσβαση στον κατάλογο επαφών, ο χρήστης πρέπει να είναι σε θέση να επιλέγει τις επαφές με τις οποίες επιθυμεί να επικοινωνήσει και όχι να υποχρεούται να επιτρέπει την πρόσβαση σε ολόκληρο το ευρετήριο (συμπεριλαμβανομένων των στοιχείων επικοινωνίας με πρόσωπα που δεν χρησιμοποιούν την υπηρεσία και τα οποία δεν είναι δυνατόν να συγκατατέθηκαν στην επεξεργασία των δεδομένων που τα αφορούν). Είναι σημαντικό να επισημανθεί, εντούτοις, ότι ακόμα και αν η συγκατάθεση πληροί τα τρία προαναφερθέντα στοιχεία, δεν παρέχει άδεια για αθέμιτη και παράνομη επεξεργασία. Αν ο σκοπός της επεξεργασίας είναι υπερβολικός ή/και δυσανάλογος, ακόμα και αν ο χρήστης έχει συγκατατεθεί, ο σχεδιαστής της εφαρμογής δεν διαθέτει έγκυρη νομική βάση και κατά πάσα πιθανότητα παραβιάζει την οδηγία για την προστασία δεδομένων. 36 και λήψης ρητής συγκατάθεσης για τη συλλογή άλλου περιεχομένου που πολλοί καταναλωτές θεωρούν ευαίσθητο από πολλές απόψεις, όπως φωτογραφίες, επαφές, εγγραφές ημερολογίου ή οπτικοακουστικές εγγραφές.» Οπ. π., σ. 34-35: «Η γενική συγκατάθεση, χωρίς ακριβή προσδιορισμό του σκοπού της επεξεργασίας στην οποία συναινεί το πρόσωπο στο οποίο αναφέρονται τα δεδομένα δεν πληροί την απαίτηση αυτή. Αυτό σημαίνει ότι οι πληροφορίες για τον σκοπό της επεξεργασίας δεν πρέπει να περιλαμβάνονται στις γενικές διατάξεις, αλλά σε ξεχωριστή ρήτρα συγκατάθεσης.» 20