Artykuł 24.08.2016 6 min. czytania Tekst Image W tym sezonie ogórkowym jednym z najgorętszych newsów było pojawienie się gry z pokemonami. Jak podaje BBC, w lipcu „Pokemon Go” było najbardziej wyszukiwanym hasłem w brytyjskim Internecie, zaraz po słowach „Brexit” i „porn”. W mediach pojawiały się komentarze, że gra prowadzi do wypadków drogowych, że ma zbawienny wpływ na kondycję fizyczną, że jest w zasadzie produktem międzynarodowego spisku, który ma zniewolić ludzkość (sic!). Zachęcony takimi doniesieniami postanowiłem przyjrzeć się bliżej temu fenomenowi i przede wszystkim sprawdzić, jak popularna aplikacja przetwarza dane o użytkownikach. Pierwsze kroki nie były łatwe. Okazało się, że mój telefon jest po prostu za stary, by można było na nim zainstalować Pokemon Go. Trzeba było więc spróbować uruchomić aplikację na trochę nowszym tablecie. Udało się. Gra zadziałała i oczywiście poprosiła, bym dał jej dostęp do danych lokalizacyjnych, co też uczyniłem. Kolejnym krokiem było zalogowanie się. Użytkownicy mają tutaj dwie opcje. Do gry mogą mieć dostęp poprzez swoje konto Google lub przez konto utworzone na stronie pokemon.com. Z dwojga złego zdecydowałem się na utworzenie nowego Pokémon Trainer Club (PTC). Logowanie za pomocą Google uznałem za nadmierną prywatnościowo-kapitalistyczną perwersję. Nieczytane i niekochane regulaminy By utworzyć konto PTC, trzeba wpisać datę urodzenia, kraj zamieszkania, nazwę użytkownika oraz e-mail. Do tego dochodzi wyrażenie zgody na warunki świadczenia usługi. Oczywiście wyraziłem ją niczym typowy użytkownik – bez ich przeczytania. Na drodze do pełnego korzystania z mojego konta do gry w Pokemon Go stanęły jeszcze co najmniej dwa formularze. Po ich bezrefleksyjnym zaakceptowaniu mogłem już cieszyć się grą. W międzyczasie aplikacja poprosiła jeszcze grzecznie o dostęp do mojego aparatu. Przechodząc wesoło przez kolejne stadia tworzenie konta i rejestrowania się, moja prawnicza natura kazała mi jednak zrobić jedną rzecz. „Skopiuj treść umowy” – podpowiadał wewnętrzny prawniczy głos rozsądku o twarzy profesor Łętowskiej. Koniec końców zebrałem ponad 35 stron dokumentów zapisanych dosyć gęstym drukiem. W każdym z nich znalazły się postanowienia dotyczące ochrony prywatności. Pierwsze wrażenie? Wszystko jest skomplikowane, długie, niejasne i „po angielsku”. Oczywiście Pokemon Go w tym względzie nie różni się od innych aplikacji czy usług internetowych, którym zazwyczaj towarzyszą instrukcje i umowy długości standardowej ulotki leku ratującego życie. Mityczni amerykańscy naukowcy wykazali kiedyś, że przeczytanie polityk prywatności wszystkich stron internetowych, na które wchodzimy w ciągu roku, zajęłoby nam aż 25 dni! Trudno więc w takich warunkach mówić o jakiejkolwiek świadomej zgodzie na wykorzystywanie naszych danych. Skoro już jednak miałem zgromadzone wszystkie dokumenty, chciałem dowiedzieć się najprostszych rzeczy. Na przykład: co dokładnie wiedzą o mnie moje pokemony – czyli jakie dane zbiera sama aplikacja. To podstawowe pytanie i polityka prywatności dołączona do gry powinna na nie odpowiedzieć w pierwszej kolejności. Nic bardziej mylnego. Oczywiście właściciele aplikacji wymieniają, że korzystają z danych lokalizacyjnych, plików cookies, adresu e-mail, daty urodzenia, sposobu korzystania z usług, informacji na temat mobilnego urządzenia itp. Bardzo często używają jednak zwrotu „such as” albo „like”, które wskazują jedynie na przykłady wykorzystywanych danych, a nie ich zamknięty katalog. Nie dowiedziałem się również, czy dostęp do aparatu daje aplikacji możliwość korzystania z moich zdjęć i co ewentualnie może ona zrobić z obrazami pochodzącymi z gry. Nie ukrywam, że kwestia aparatu była newralgiczna. Po raz pierwszy uruchomiłem aplikację w moim mieszkaniu, gdy panował w nim… powiedzmy: nieporządek. Wszystko to zostało uwiecznione, gdy między łóżkiem a biurkiem próbowałem złapać pierwszego pokemona. Raczej bym nie chciał, żeby taki obraz zobaczyła gdzieś kiedyś moja mama na reklamie nowego produktu Nintendo. Swoją drogą: ciekawe, jakich ludzi, jakie sytuacje i okolice rejestruje aparat, gdy użytkownicy próbują łapać pokemony. Cóż, media poruszały i ten wątek. Korzystający z aplikacji znajdywali swoje trofea na sali sądowej, sali porodowej, w toalecie… To kto ma do nich dostęp? Mając wciąż niepełne informacje o tym, co wie o mnie firma produkująca grę, próbowałem dowiedzieć się jeszcze dwóch rzeczy. Przede wszystkim: kto dokładnie może mieć dostęp do danych o moim Pikachu oraz do jakich państw te dane są wysyłane. I tutaj natrafiłem na problemy. Polityka prywatności aplikacji zaczyna się od wzniosłych słów: „Nie będziemy się dzielić informacjami o tobie” – po czym czytamy, że oczywiście od tej zasady są odstępstwa. Jakie to wyjątki? Otóż dane o użytkownikach mogą być udostępniane innym podmiotom, które świadczą usługi na rzecz właścicieli aplikacji. Co więcej: dokument uznaje, że dane są „cennym kapitałem” – więc mogą być przekazywane innym firmom w przypadku „fuzji, przejęcia czy sprzedaży”. Kolejny punkt wspomina o tym, że dane mogą być udostępniane organom ścigania czy innym podmiotom, jeżeli jest to niezbędne dla przestrzegania przepisów prawa – chociaż znając już całą sprawę z programem PRISM, wiemy, że służby i tak by je sobie wzięły bez pytania. Nie dowiedziałem się również tego, do jakich krajów moje dane są przekazywane. Producent gry mówi jedynie, że międzynarodowe transfery informacji w ich wypadku są możliwe. Wymieniane są jedynie Stany Zjednoczonych, ale dokument wspomina też o innych krajach. Tymczasem chyba nie trzeba przypominać, że między Europą a innymi państwami istnieją dosyć istotne różnice w ochronie danych osobowych. Pokemonowa polityka prywatności wskazuje, że ewentualne pytania należy wysłać na adres pokemongo-privacy@niaticlabs.com. Oczywiście nie mogłem się opanować i poprosiłem producentów aplikacji o informacje stanowiące odpowiedź na nurtujące mnie kwestie. Wysyłałem więc prośbę o: (a) przekazanie wszystkich danych na mój temat, które aplikacja zebrała; (b) informacje o tym, jakim podmiotom moje dane zostały przekazane; oraz (c) udostępnienie listy krajów, do których zostały przetransferowane moje dane. Minął już ponad tydzień i jeszcze niestety odpowiedzi nie uzyskałem. Gdy tylko ją dostanę, będę donosił o dalszych postępach „w sprawie”. Jędrzej Niklas Fundacja Panoptykon Autor Temat Internet dane osobowe Poprzedni Następny Newsletter Otrzymuj informacje o działalności Fundacji Twoje dane przetwarza Fundacja Panoptykon w celu promowania działalności statutowej, analizy skuteczności podejmowanych działań i ewentualnej personalizacji komunikacji. Możesz zrezygnować z subskrypcji listy i zażądać usunięcia swojego adresu e-mail. Więcej informacji o tym, jak przetwarzamy twoje dane i jakie jeszcze prawa ci przysługują, w Polityce prywatności. Zapisz się Zapisz się Akceptuję Regulamin usługi Leave this field blank Zobacz także Artykuł Po głosowaniu w europarlamencie: artykuł 13 w pytaniach i odpowiedziach W środę, 12 września, Parlament Europejski przyjął projekt dyrektywy o prawie autorskim, której artykuł 13 krytykowaliśmy od samego początku. Dla Panoptykonu punktem wyjścia w tej dyskusji jest nie tyle regulacja ochrony praw autorskich czy value gap, ale rola dominujących platform internetowych,… 13.09.2018 Tekst Artykuł Sejm powinien wybrać nowego Prezesa UODO. Dobrego prezesa Przed nowym Sejmem stoi wiele trudnych i niecierpiących zwłoki zadań zadań. Jedno z nich to wybór nowego Prezesa Urzędu Ochrony Danych Osobowych. Osoba, która stanie na czele tego ważnego dla praw i wolności urzędu, nie tylko musi znać się na ochronie danych. 17.11.2023 Tekst Artykuł To nie błąd, tylko logiczna konsekwencja modelu biznesowego Facebooka! Wbrew temu, co wmawia nam Mark Zuckerberg, w aferze Cambridge Analytica Facebook nie był bierną ofiarą. Profile 50 milionów użytkowników, nie "wyciekły" z serwisu, ale zostały przekazane zgodnie z ówcześnie obowiązującymi zasadami działania Facebooka. 26.03.2018 Tekst