Artykuł 24.08.2016 6 min. czytania Tekst Image W tym sezonie ogórkowym jednym z najgorętszych newsów było pojawienie się gry z pokemonami. Jak podaje BBC, w lipcu „Pokemon Go” było najbardziej wyszukiwanym hasłem w brytyjskim Internecie, zaraz po słowach „Brexit” i „porn”. W mediach pojawiały się komentarze, że gra prowadzi do wypadków drogowych, że ma zbawienny wpływ na kondycję fizyczną, że jest w zasadzie produktem międzynarodowego spisku, który ma zniewolić ludzkość (sic!). Zachęcony takimi doniesieniami postanowiłem przyjrzeć się bliżej temu fenomenowi i przede wszystkim sprawdzić, jak popularna aplikacja przetwarza dane o użytkownikach. Pierwsze kroki nie były łatwe. Okazało się, że mój telefon jest po prostu za stary, by można było na nim zainstalować Pokemon Go. Trzeba było więc spróbować uruchomić aplikację na trochę nowszym tablecie. Udało się. Gra zadziałała i oczywiście poprosiła, bym dał jej dostęp do danych lokalizacyjnych, co też uczyniłem. Kolejnym krokiem było zalogowanie się. Użytkownicy mają tutaj dwie opcje. Do gry mogą mieć dostęp poprzez swoje konto Google lub przez konto utworzone na stronie pokemon.com. Z dwojga złego zdecydowałem się na utworzenie nowego Pokémon Trainer Club (PTC). Logowanie za pomocą Google uznałem za nadmierną prywatnościowo-kapitalistyczną perwersję. Nieczytane i niekochane regulaminy By utworzyć konto PTC, trzeba wpisać datę urodzenia, kraj zamieszkania, nazwę użytkownika oraz e-mail. Do tego dochodzi wyrażenie zgody na warunki świadczenia usługi. Oczywiście wyraziłem ją niczym typowy użytkownik – bez ich przeczytania. Na drodze do pełnego korzystania z mojego konta do gry w Pokemon Go stanęły jeszcze co najmniej dwa formularze. Po ich bezrefleksyjnym zaakceptowaniu mogłem już cieszyć się grą. W międzyczasie aplikacja poprosiła jeszcze grzecznie o dostęp do mojego aparatu. Przechodząc wesoło przez kolejne stadia tworzenie konta i rejestrowania się, moja prawnicza natura kazała mi jednak zrobić jedną rzecz. „Skopiuj treść umowy” – podpowiadał wewnętrzny prawniczy głos rozsądku o twarzy profesor Łętowskiej. Koniec końców zebrałem ponad 35 stron dokumentów zapisanych dosyć gęstym drukiem. W każdym z nich znalazły się postanowienia dotyczące ochrony prywatności. Pierwsze wrażenie? Wszystko jest skomplikowane, długie, niejasne i „po angielsku”. Oczywiście Pokemon Go w tym względzie nie różni się od innych aplikacji czy usług internetowych, którym zazwyczaj towarzyszą instrukcje i umowy długości standardowej ulotki leku ratującego życie. Mityczni amerykańscy naukowcy wykazali kiedyś, że przeczytanie polityk prywatności wszystkich stron internetowych, na które wchodzimy w ciągu roku, zajęłoby nam aż 25 dni! Trudno więc w takich warunkach mówić o jakiejkolwiek świadomej zgodzie na wykorzystywanie naszych danych. Skoro już jednak miałem zgromadzone wszystkie dokumenty, chciałem dowiedzieć się najprostszych rzeczy. Na przykład: co dokładnie wiedzą o mnie moje pokemony – czyli jakie dane zbiera sama aplikacja. To podstawowe pytanie i polityka prywatności dołączona do gry powinna na nie odpowiedzieć w pierwszej kolejności. Nic bardziej mylnego. Oczywiście właściciele aplikacji wymieniają, że korzystają z danych lokalizacyjnych, plików cookies, adresu e-mail, daty urodzenia, sposobu korzystania z usług, informacji na temat mobilnego urządzenia itp. Bardzo często używają jednak zwrotu „such as” albo „like”, które wskazują jedynie na przykłady wykorzystywanych danych, a nie ich zamknięty katalog. Nie dowiedziałem się również, czy dostęp do aparatu daje aplikacji możliwość korzystania z moich zdjęć i co ewentualnie może ona zrobić z obrazami pochodzącymi z gry. Nie ukrywam, że kwestia aparatu była newralgiczna. Po raz pierwszy uruchomiłem aplikację w moim mieszkaniu, gdy panował w nim… powiedzmy: nieporządek. Wszystko to zostało uwiecznione, gdy między łóżkiem a biurkiem próbowałem złapać pierwszego pokemona. Raczej bym nie chciał, żeby taki obraz zobaczyła gdzieś kiedyś moja mama na reklamie nowego produktu Nintendo. Swoją drogą: ciekawe, jakich ludzi, jakie sytuacje i okolice rejestruje aparat, gdy użytkownicy próbują łapać pokemony. Cóż, media poruszały i ten wątek. Korzystający z aplikacji znajdywali swoje trofea na sali sądowej, sali porodowej, w toalecie… To kto ma do nich dostęp? Mając wciąż niepełne informacje o tym, co wie o mnie firma produkująca grę, próbowałem dowiedzieć się jeszcze dwóch rzeczy. Przede wszystkim: kto dokładnie może mieć dostęp do danych o moim Pikachu oraz do jakich państw te dane są wysyłane. I tutaj natrafiłem na problemy. Polityka prywatności aplikacji zaczyna się od wzniosłych słów: „Nie będziemy się dzielić informacjami o tobie” – po czym czytamy, że oczywiście od tej zasady są odstępstwa. Jakie to wyjątki? Otóż dane o użytkownikach mogą być udostępniane innym podmiotom, które świadczą usługi na rzecz właścicieli aplikacji. Co więcej: dokument uznaje, że dane są „cennym kapitałem” – więc mogą być przekazywane innym firmom w przypadku „fuzji, przejęcia czy sprzedaży”. Kolejny punkt wspomina o tym, że dane mogą być udostępniane organom ścigania czy innym podmiotom, jeżeli jest to niezbędne dla przestrzegania przepisów prawa – chociaż znając już całą sprawę z programem PRISM, wiemy, że służby i tak by je sobie wzięły bez pytania. Nie dowiedziałem się również tego, do jakich krajów moje dane są przekazywane. Producent gry mówi jedynie, że międzynarodowe transfery informacji w ich wypadku są możliwe. Wymieniane są jedynie Stany Zjednoczonych, ale dokument wspomina też o innych krajach. Tymczasem chyba nie trzeba przypominać, że między Europą a innymi państwami istnieją dosyć istotne różnice w ochronie danych osobowych. Pokemonowa polityka prywatności wskazuje, że ewentualne pytania należy wysłać na adres pokemongo-privacy@niaticlabs.com. Oczywiście nie mogłem się opanować i poprosiłem producentów aplikacji o informacje stanowiące odpowiedź na nurtujące mnie kwestie. Wysyłałem więc prośbę o: (a) przekazanie wszystkich danych na mój temat, które aplikacja zebrała; (b) informacje o tym, jakim podmiotom moje dane zostały przekazane; oraz (c) udostępnienie listy krajów, do których zostały przetransferowane moje dane. Minął już ponad tydzień i jeszcze niestety odpowiedzi nie uzyskałem. Gdy tylko ją dostanę, będę donosił o dalszych postępach „w sprawie”. Jędrzej Niklas Fundacja Panoptykon Autor Temat Internet dane osobowe Poprzedni Następny Newsletter Otrzymuj informacje o działalności Fundacji Twoje dane przetwarza Fundacja Panoptykon w celu promowania działalności statutowej, analizy skuteczności podejmowanych działań i ewentualnej personalizacji komunikacji. Możesz zrezygnować z subskrypcji listy i zażądać usunięcia swojego adresu e-mail. Więcej informacji o tym, jak przetwarzamy twoje dane i jakie jeszcze prawa ci przysługują, w Polityce prywatności. Zapisz się Zapisz się Akceptuję Regulamin usługi Leave this field blank Zobacz także Artykuł Kto może zajrzeć do Twojego e-PIT-a? W przededniu uruchomienia usługi Twój e-PIT Ministerstwo Finansów ostrzegało przed oszustami próbującymi nabrać podatników na płatny dostęp do usługi Twój e-PIT. Jak się jednak szybko okazało, samo niedostatecznie go zabezpieczyło: jedna z opcji logowania umożliwia dostęp do danych podatników… 20.02.2019 Tekst Artykuł Pozywamy Pocztę Polską za nielegalne przetwarzanie danych osobowych W maju Poczta Polska pozyskała dane milionów obywateli i obywatelek z rejestru PESEL i przetwarzała je w celu organizacji wyborów, które miały się odbyć 10 maja. 06.07.2020 Tekst Artykuł „Tarcza prywatności” uchylona. Przełom w przesyłaniu danych Europejczyków za ocean Trybunał Sprawiedliwości UE w dzisiejszym wyroku uchylił „Tarczę prywatności” – instrument ułatwiający przesyłanie danych z Unii do USA, a jednocześnie zwiększył kontrolę organów ochrony danych osobowych nad transferami danych opartych na tzw. standardowych klauzulach umownych. Max Schrems z… 16.07.2020 Tekst