Luki w chińskiej aplikacji dla olimpijczyków. UODO: sprawa jest nam znana

Jak informowaliśmy na łamach naszego portalu, specjaliści Citizen Lab (tego samego zespołu, który ujawnił użycie Pegasusa w naszym kraju) odkryli, że aplikacja „MY2022” stworzona dla uczestników zbliżających się Igrzysk Olimpijskich w Pekinie, w tym polskich sportowców, posiada luki stanowiące potencjalne zagrożenie dla bezpieczeństwa ich wrażliwych danych (np. danych zdrowotnych). Chodzi o m.in. możliwość ominięcia szyfrowania głosu i przesyłania plików na zewnątrz, a także wysyłania do użytkowników fałszywych komunikatów i instrukcji. Co istotne, program jest własnością chińskiej państwowej firmy Beijing Financial Holdings Group.

Jak przekazało Citizen Lab, aplikacja jest obowiązkowa dla wszystkich uczestników IO w Pekinie. I tu pojawiły się pewne rozbieżności. Polski Komitet Olimpijski poinformował nas, że „aplikacja jest koniecznym wymogiem”, ponieważ „priorytetem Komitetu Organizacyjnego Pekin 2022 jest bezpieczeństwo zdrowotne wszystkich uczestników igrzysk”. Z kolei Międzynarodowy Komitet Olimpijski podkreślił na naszych łamach, że program jednak nie jest obowiązkowy.

Sprawa jest znana UODO

W związku z ujawnionymi lukami w aplikacji „MY2022”, które mogą narażać bezpieczeństwo danych polskich sportowców i nie tylko, postanowiliśmy także skontaktować się z Urzędem Ochrony Danych Osobowych (UODO).

Adam Sanocki, rzecznik Urzędu, wskazuje dla naszego portalu, że sprawa aplikacji dla olimpijczyków w Pekinie „MY2022” i jej podatności „jest znana UODO z doniesień medialnych”. „Z informacji w prasie wynika, że posiadanie tej aplikacji nie jest obowiązkowe i komitety olimpijskie poszczególnych państw miały wydać sportowcom zalecenia w związku z udziałem w Igrzyskach Olimpijskich” - mówi nam przedstawiciel instytucji.

Decyzja należy do użytkowników?

Jak tłumaczy Urząd, w polskim prawie nie ma żadnego przepisu, który nakładałby na osobę fizyczną zobowiązanie do posiadania telefonu lub smartfona. „Dysponowanie takimi urządzeniami jest dobrowolne” - zaznacza rzecznik.

Z tego względu, biorąc pod uwagę powyższe kwestie, UODO podkreśla, że „użytkownicy telefonów powinni podjąć decyzję o tym, czy z danej aplikacji chcą korzystać i powinni przy tym rozważyć informacje na temat bezpieczeństwa jej stosowania”.

UODO wielokrotnie podkreślał, że przy korzystaniu z aplikacji mobilnych, jak i innych dobrodziejstw współczesnej techniki należy zachować dużą ostrożność.
Adam Sanocki, rzecznik UODO

Chiński aplikacja podlega RODO

Urząd zwraca uwagę, że Chiny od pewnego czasu przywiązują większą wagę do ochrony danych osobowych. Przykładowo, od 21 listopada ubiegłego roku obowiązuje tam ustawa o ochronie danych osobowych, bazująca na rozwiązaniach zawartych w RODO.

UODO tłumaczy, że w przypadku chińskiej aplikacji dla olimpijczyków należy odnieść się do przepisów właśnie wspomnianego wyżej unijnego rozporządzenia. Według nich „jeśli podmiot spoza UE oferuje usługi osobom przebywającym na terenie Unii, to wówczas również podlega pod RODO i musi przestrzegać zasad określonych w tym akcie prawnym. A są to nie tylko zasady zobowiązujące administratorów do przetwarzania danych zgodnie z prawem, w określonym celu, czy stosowanie zasady minimalizacji danych (przetwarzanie tylko tych danych, które są niezbędne dla określonego celu)” - wskazuje Adam Sanocki dla naszego portalu.

Rzecznik instytucji dodaje, że np. w przypadku aplikacji mobilnych administratorzy danych muszą pamiętać, że RODO nakłada na nich także obowiązek zapewnienia ochrony danych osobowych w fazie projektowania i domyślnej ochrony danych. Z tego wynika, że to administratorzy odpowiadają za to, by ich aplikacje od samego początku uwzględniały zasady wynikające z unijnego rozporządzenia. „Takie środki ochrony mogą polegać m.in. na minimalizacji przetwarzania danych osobowych, jak najszybszej pseudonimizacji danych osobowych, przejrzystości co do funkcji i przetwarzania danych osobowych, umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych, umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń” - wyjaśnia Adam Sanocki.

Administratorzy muszą również pamiętać o obowiązku informacyjnym wynikającym z RODO. Powinni zatem dokładnie poinformować użytkowników np. aplikacji mobilnych m.in. o tym kto jest administratorem danych, jakie dane i w jakim celu będą przetwarzane oraz jak długo, na jakiej podstawie.
Adam Sanocki, rzecznik UODO

Można dochodzić swoich praw

Urząd zaznacza, że w przypadku, gdy mamy wątpliwości co do sposobu w jaki administrator przetwarza nasze dane, możemy zwrócić się do niego z pytaniem o udzielenie nam dodatkowych informacji.

UODO przypomina również, każdy, kto uważa, że jego dane osobowe są przetwarzane niezgodnie z prawem, może dochodzić swoich praw przed sądem powszechnym, co wynika wprost z art. 79 RODO. „A jeżeli dana osoba uzna, że w wyniku naruszenia przepisów RODO poniosła szkodę majątkową lub niemajątkową, ma też prawo żądać od administratora lub podmiotu przetwarzającego odszkodowania, do czego uprawnia ją art. 82 RODO” - podkreśla Urząd. Dodaje, że można także złożyć skargę do Prezesa UODO, gdy istnieje podejrzenie, iż administrator niewłaściwie postępuje z danymi.

Chcemy być także bliżej Państwa - czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać - zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.