Regulatorzy ochrony danych osobowych podjęli kolejną próbę uporządkowania przetwarzania danych osobowych w środowisku internetowym. W krajach Unii Europejskiej, w tym w Polsce, mogą oni w drodze decyzji administracyjnej nakazać określone zachowanie podmiotom przetwarzającym dane osobowe, w szczególności w przypadku naruszenia prawa w tym zakresie.
Dodatkowo w takiej sytuacji może wchodzić w grę odpowiedzialność karna. Jednak stosowanie prawa administracyjnego lub karnego nie zawsze jest jedyną metodą zwalczania naruszeń.
List otwarty
Z tego powodu 9 grudnia 2014 r. regulatorzy ochrony danych osobowych z całego świata podpisali list otwarty do podmiotów prowadzących siedem sklepów z aplikacjami na urządzenia mobilne (ang. app marketplaces), tj. Apple, Google, Samsung, Microsoft, Nokia, Blackberry oraz Amazon.com. Sklepy te działają jako platformy cyfrowe, na których producenci umieszczają utworzone przez siebie programy komputerowe (czyli właśnie aplikacje). To z nich są one pobierane przez użytkowników za darmo lub odpłatnie. List zawierał sugestię położenia większego nacisku na ochronę danych osobowych przez producentów aplikacji umieszczanych w tych sklepach. Chociaż zostały w nim wskazane tylko największe sklepy, jego adresatami są wszystkie podmioty prowadzące sklepy z aplikacjami na urządzenia mobilne. Regulatorzy wskazali, że zgodnie z badaniami przeprowadzonymi w ramach organizacji Światowej Sieci Egzekwowania Przepisów o Ochronie Prywatności (Global Privacy Enforcement Network – GPEN) wiele popularnych aplikacji nie publikuje informacji o przetwarzanych przez siebie danych osobowych w takich dokumentach jak polityka prywatności. W rezultacie, podejmując decyzję o ujawnieniu swoich osobistych informacji, użytkownicy nie są w pełni poinformowani o tym, kto korzysta z podanych przez nich danych, w jakim zakresie i celu. Chociaż większość sklepów z aplikacjami umożliwia producentom aplikacji zamieszczenie linku do polityki prywatności, nie jest to praktyka obowiązkowa. Zdaniem regulatorów, skoro w sklepach z aplikacjami możliwe jest uzyskanie informacji o parametrach aplikacji, w tym jej rozmiarze i wersji, powinno być również możliwe uzyskanie informacji o przetwarzanych przez nią danych osobowych. Natomiast dopilnowaniem, by takie informacje faktycznie się znalazły w sklepie z aplikacjami, powinni się zająć prowadzący takie sklepy. W rezultacie użytkownik będzie mógł się zapoznać z zasadami przetwarzania przez aplikację jego danych osobowych jeszcze przed jej pobraniem. List ten podpisali regulatorzy m.in. z Kanady, Australii, Belgii, Finlandii i Hongkongu.
Ograniczone możliwości
Można go uznać za położenie przez te organy władzy publicznej nacisku na samoregulację przedsiębiorców działających w branży internetowej. Przy obecnym tempie rozwoju sektora urządzeń mobilnych takich jak smartfony i tablety, w którym na rynek nieustannie wprowadzane są nowe aplikacje na urządzenia mobilne, organy państwowe mają ograniczone możliwości nadzorowania podmiotów przetwarzających dane osobowe.
Sam raport z badania przeprowadzonego przez GPEN powstał po przeanalizowaniu procesu uzyskiwania zgody na przetwarzanie danych osobowych przez 1200 najpopularniejszych aplikacji. Przy tak dużej liczbie podmiotów przetwarzających dane osobowe regulatorzy nie mają fizycznej możliwości skontrolować prawidłowości przestrzegania prawa przez wszystkie z nich. Problemem dla regulatorów jest też globalizacja przetwarzania danych osobowych. Dane użytkownika aplikacji mogą być bowiem przetwarzane w zupełnie innym kraju niż jego kraj zamieszkania. Stąd przesuniecie akcentu z kontroli na wspieranie samoregulacji uczestników rynku, a właściwie przerzucenie takiego obowiązku kontrolnego na sklepy z aplikacjami. To one przecież mogą egzekwować od producentów aplikacji, by działali zgodnie z regulaminem sklepu.
