Chytré hodinky – pomocník či nebezpečí? – DPO PRO: ochrana osobních údajů v praxi

Hitem posledních několika let jsou bezesporu tzv. wearables, neboli chytrá nositelná zařízení, která získávají údaje o svém uživateli a tyto údaje dále zpracovávají. Nejčastějším způsobem takového zpracování je předání těchto údajů zejména do chytrého mobilního telefonu či přímo nebo zprostředkovaně do cloudu, tedy do uživatelského účtu. V kontextu wearables je zajímavé to, že ačkoliv jsou to chytrá zařízení, na první pohled se mohou zdát velmi „hloupá” – může se jednat o jednoduchý prsten či náramek bez displeje. Všechny tyto technické vymoženosti mají jedno společné – zpracovávají velké množství dat, která mají mnohdy povahu zvláštní kategorie osobních údajů. Již samotní EDPB a EDPS reflektovali za doby pandemie covid-19 nárůst využívání těchto zařízení, konkrétně pak zařízení sledujících životní funkce.^{^[1]} Jaká jsou rizika spojená s nákupem a dalším využíváním těchto chytrých zařízení? Pojďme si je představit na jednotlivých incidentech.

Ačkoliv všechny tyto chytré přístroje mohou přispět k brzkému odhalení zdravotního problému, k plánování tréninků či k prostému sledování důležitých životních funkcí a aktivit během dne, je vždy nutné pamatovat na to, že všechny tyto údaje jsou data, která svou povahou považujeme za osobní údaje a jejichž zpracování se musí řídit platnými právními předpisy.

Rizikovost využívání nejen chytrých hodinek lze ilustrovat na hned několika incidentech, které se v průběhu posledních let staly. Nelze generalizovat a tvrdit, že incidenty jsou výhradně doménou méně známých firem. Na několika případech si ukážeme, že i zavedené firmy se incidentům v oblasti ochrany osobních údajů ve vztahu k jejich chytrým přístrojům nevyhýbají.

Incidenty

Jedním z takových případů byl spor mezi společností Google a francouzským orgánem pro ochranu osobních údajů (CNIL). V roce 2019 CNIL uložil Google pokutu ve výši 50 milionů EUR za porušení pravidel GDPR. Tato pokuta byla udělena kvůli nedostatečné transparentnosti a nedostatečné informovanosti uživatelů o způsobu, jakým Google sbírá a zpracovává jejich osobní údaje prostřednictvím chytrých hodinek s operačním systémem Wear OS.

Další spor, který stojí v kontextu ochrany osobních údajů za zmínku, je spor mezi společností Apple a několika organizacemi zabývajícími se ochranou soukromí a občanskými svobodami. Tento spor se týkal technologie nazvané Always-On Display (vždy zapnutý displej), kterou společnost Apple představila ve svých chytrých hodinkách. Tato technologie měla umožnit chytrým hodinkám zobrazovat informace na displeji i v režimu, kdy jsou hodinky zdánlivě vypnuté. Některé organizace zabývající se ochranou soukromí a občanskými svobodami vyjádřily obavy ohledně toho, že tato funkce by mohla porušovat soukromí uživatelů tím, že umožní nepozorované sledování a sběr dat. Spor dal vzniknout diskusi ohledně toho, zda je vždy zapnutý displej na chytrých hodinkách přijatelný z hlediska ochrany soukromí a zda by měla být přijata určitá opatření k ochraně soukromí uživatelů v souvislosti s touto technologií. I když tento spor nevedl k oficiálnímu vyšetřování nebo pokutě ze strany regulátorů, ukazuje na důležitost zohledňování ochrany soukromí při vývoji a nasazení nových funkcí v chytrých hodinkách a dalších nositelných zařízeních.

Incidentu se nevyhnula ani jedna z největších firem vyrábějících sortiment chytrých hodinek. Společnost Garmin v srpnu 2020 postihl rozsáhlý ransomware útoku. Ten měl za následek dočasné přerušení provozu některých online služeb společnosti, včetně Garmin Connect, což je platforma, která umožňuje uživatelům synchronizovat a analyzovat data ze svých chytrých hodinek a dalších zařízení Garmin. Incident nejenže způsobil dočasné potíže pro uživatele, ale vyvolal také obavy ohledně ochrany osobních údajů, protože útočníci mohli mít přístup k citlivým informacím uloženým v systému Garmin Connect. Garmin se snažil minimalizovat dopady tohoto útoku a zlepšil svá bezpečnostní opatření, aby zabránil podobným incidentům v budoucnosti. Nicméně, tento incident ukazuje na důležitost zabezpečení dat a ochrany osobních údajů ve vztahu k chytrým hodinkám a dalším nositelným zařízením.

Snad nejčerstvějším incidentem je podání podnětu na společnost Fitbit společností NOYB hned ve třech zemích – Rakousku, Itálii a Nizozemí. Společnost Fitbit, kterou vlastní Google, neoprávněně předává osobní údaje uživatelů do zemí mimo EU, přičemž uživatelé nemají možnost tento souhlas s předáváním osobních údajů mimo EU neudělit. Vytvoření profilu a využívání aplikace Fitbit je tak podmíněno tímto souhlasem. Fitbit nutí své uživatele, aby souhlasili se sdílením zvláštní kategorie osobních údajů, aniž by jim (Fitbit) poskytoval jasné informace o možných důsledcích nebo konkrétních zemích, do kterých jejich data směřují. Výsledkem je souhlas, který není svobodný, informovaný ani konkrétní. Takový souhlas pak zcela logicky nesplňuje požadavky GDPR. Velmi podstatné je také to, že Fitbit předává do třetích zemí údaje nejen o uživatelích (jméno, e-mail, datum narození), ale také ostatní osobní údaje jako konzumované potraviny, váhu, data o spánku, přísun tekutin, alarm apod. Tyto osobní údaje mohou být následně zpracovávána dále blíže nespecifikovanými třetími stranami.

Jak je z výše uvedených příkladů zjevné, wearables zpracovávají velké množství osobních údajů, a to také údajů ze zvláštní kategorie. Rizika související se zpracováním jsou na místě, přičemž jsou různého charakteru (od záměrných předávání dat bez vědomí uživatele po hackerské útoky). Za účelem bezpečného používání těchto nástrojů jsme připravili seznam šesti rad, které pomohou s bezpečným používáním těchto nástrojů.

Šest rad pro bezpečné používání chytrých hodinek

Pro zodpovědné využívání chytrých hodinek a ostatních nástrojů zvažte minimálně těchto šst tipů:

Sběr dat: Chytré hodinky mohou sbírat různé typy dat, jako jsou poloha, srdeční tep, kroky, spánek atd. Je důležité zjistit, jaké informace hodinky shromažďují a co s nimi dělají.
Zabezpečení dat: Data shromážděná chytrými hodinkami musí být řádně zabezpečena, aby se zabránilo jejich zneužití či odcizení. To zahrnuje použití silného šifrování a bezpečných přenosových protokolů. Uživatelé by měli používat silná hesla nebo jiné autentizační metody, jako je například otisk prstu, pro přístup ke svým chytrým hodinkám. Tímto způsobem se minimalizuje riziko neoprávněného přístupu ke svým osobním údajům. Uživatelé by měli preferovat zabezpečená připojení, jako je Wi-Fi s WPA2 šifrováním nebo mobilní data s aktivovaným VPN (virtuální privátní síť), aby se zabránilo neoprávněnému přístupu k datům přenášeným mezi chytrými hodinkami a jinými zařízeními nebo serverem.
Správa oprávnění: Uživatelé by měli mít kontrolu nad tím, jaká data jsou sdílena s výrobci chytrých hodinek a dalšími aplikacemi. Měli by mít možnost nastavit, které funkce a služby mají přístup k jejich osobním údajům. Součástí by také mělo být pravidelné prověřování a spravování oprávnění, která mají aplikace na jejich chytrých hodinkách. Měli by udělovat přístup pouze aplikacím, kterým důvěřují, a minimalizovat sdílení citlivých údajů.
Transparentnost: Výrobci chytrých hodinek by měli být transparentní ohledně toho, jaké údaje sbírají, jak je používají a s kým je sdílejí. Uživatelé by měli mít přístup k informacím o tom, jak jsou jejich osobní údaje zpracovávány.
Aktualizace a podpora: Důležité je, aby výrobci pravidelně aktualizovali software svých chytrých hodinek, aby opravili bezpečnostní chyby a zlepšili ochranu soukromí. Rovněž by měli poskytovat podporu a informace týkající se zabezpečení a ochrany soukromí. Uživatelé by tak měli pravidelně aktualizovat software svých chytrých hodinek a případně i aplikací, které s nimi komunikují. Aktualizace často obsahují opravy bezpečnostních chyb a zlepšení ochrany dat.
Zodpovědné použití: Nakonec je důležité, aby uživatelé používali chytré hodinky zodpovědně a uvědomovali si, jaké údaje sdílejí a s kým. To zahrnuje ochranu svých zařízení hesly a používání bezpečných připojení k internetu.