Kakav poslovni model opravdava kršenje GDPR-a kroz aplikacije za tinejdžerice?
Vrli novi svijet Menstrualna aplikacija koja prikuplja GPS lokacije, makeup aplikacija koja podatke prodaje političkim strankama, ili ona za dating koja prodaje informacije o seksualnim odnosima - i to sve mimo ili uz neadekvatan pristanak korisnika - slučajevi su za koje je utvrđeno da krše EU zakone
Neke od najpopularnijih mobilnih aplikacija u Hrvatskoj, i to pogotovo među mladima, poput Tindera, Grindera, Perfect365, Cluea i MyDaysa, čini se, krše GDPR regulativu Europske unije. Izvještaj koji je objavio norveški Forbrukarrådet, jedna od najaktivnijih europskih organizacija za zaštitu prava potrošača posebno u segmentu zaštite prava na privatnost, na samom je početku 2020. godine otvorio novu frontu za proizvođače mobilnih aplikacija, oglašivačku industriju i data brokere poput društvenih mreža i inih kompanija na tržištima EU.
Jedina iznimka među popularnim aplikacijama je mobilna igra Talking Tom 2 slovenskog Outfit7, kojoj nije pronađena niti jedna ozbiljna zaU izvješću naslovljenom “Out of Control”, koje se se fokusiralo samo na poslovnu praksu deset popularnih mobilnih aplikacija, Forbrukarrådet izravno optužuje online oglašivačku industriju da sistematski krši europske zakone. Forbrukarrådet je otišao i korak dalje te s dvadesetak drugih organizacija traži konkretne akcije od europskih institucija, a optužbe imaju konkretnu financijsku težinu.
Prve kazne već izrečene
GDPR je EU direktiva koju je stupila na snagu 25. svibnja 2018. i putem koje su svi građani EU, tako i Hrvatske, dobili pravo da se njihovi osobni podaci ne skupljaju, koriste i obrađuju bez njihove izričite dozvole.
Usto su dobili i pravo da zatraže brisanje istih. Prekršiteljima pak prijeti novčana kazna od 20 milijuna eura ili 4 posto godišnjeg globalnog prometa.
S kaznama se već krenulo lani. Najveću je dosad dobio British Airways 183 milijuna funti (oko 200 milijuna eura), jer je loše zaštitio osobne podatke svojih korisnika.
Drugi je Marriott International, kojeg je nespretno obavljeno dubinsko snimanje u jednoj akviziciji olakšalo za 99 milijuna funti dok su Francuzi Googleu odrezali kaznu od 50 milijuna eura zbog nejasne prakse u davanju korisničke privole za osobne podatke koji se koriste u bihevioralnom marketingu.
Sudeći po potezu Forbrukarrådeta u ovoj bi se godini nakon zrakoplovnih kompanija, turističkih i internetskih divova, banaka, medicinskih organizacija, osiguravatelja, konzultanata i online trgovaca prve kazne mogle odrezati i vlasnicima mobilnih aplikacija.
Forbrukarrådet je angažirao norvešku IT sigurnosnu kompaniju Mnemonic, koja u IT zajednici uživa priličan ugled s obzirom na to da ju je Gartner izlistao u svom izvješću “Magic Quadrant for Managed Security Services, Worldwide”. Mnemonic je trebao ispitati 10 Android aplikacija i analizirati koje podatke šalju i kome, a ono što je pronašao u najmanju je ruku neobično.
Naime, tih je deset aplikacija slalo različite osobne podatke o svojim korisnicima na najmanje 135 različitih tvrtki, a do kakvih se bizarnosti došlo možda najbolje pokazuju dvije popularne aplikacije za praćenje menstrualnog ciklusa.
Clue i MyDays su dvije najpopularnije takve aplikacije u Hrvatskoj, posebno među tinejdžericama, te ženama mlađim od 35 godina. Obje posluju na globalnom tržištu. Prva ima više od 10 milijuna korisnica, a druga njih više od pet milijuna. U njima žene upisuju cijeli niz podataka, od toga kad imaju mjesečnicu, PMS, kad su imale seksualne odnose, a tako prate i dane kad ovuliraju.
Forbrukarrådet je naveo da Clue prikupljene osobne podatke može dijeliti sa servisima kao što su Google Analytics, Braze, Amplitude, Apptimize, Adjust i Facebook Audiences. Za MyDays je otkriveno da ima sličnu praksu. Obje aplikacije, navodi se, vrlo vjerojatno krše GDPR.
Neobične i opasne prakse
MyDays je posebno istaknut, jer je otkriveno da ova aplikacija za praćenje mjesečnice ujedno skuplja i prosljeđuje GPS lokaciju svoje korisnice te da se to koristi za bihevioralno profiliranje.
Što će nekome karta kuda se u toku određenog dana kreću hrvatske tinejdžerice koje imaju menstruaciju ili pak kuda se kreću žene u Hrvatskoj mlađe od 35 koje trenutačno ovuliraju te kakav poslovni model opravdava obradu, prodaju i korištenje takvih podataka zna valjda vlasnik MyDays aplikacije.
Sličnu praksu ima i mobilna aplikacija za makeup Perfect365, posebno popularna također među tinejdžericama. Iako kroz korištenje različitih filtera na fotografiji lica korimjerka. snice izbacuje različite prijedloge za šminkanje, ova aplikacija zbog nekog razloga na adrese više od 70 različitih tvrtki šalje čak i IP adrese i GPS lokacije svojih korisnica.
Među njima je i Factual Inc, kompanija koja je krajem prošle godine Wall Street Journal razotkrio da prodaje podatke o korisnicima mobilnih aplikacija političkim strankama u SAD-u.
Dakako, slična je praksa utvrđena i kod aplikacija za traženje partnera, kako za osobe heteroseksualne orijentacije, Tindera, tako i za one homoseksualne orijentacije, Grindera.
To znači da je moguće korištenjem takvih podataka složiti popis preljubnika, ljubavnica kao i osoba homoseksualne orijentacije u Hrvatskoj.
FORBRUKARRÅDET, ORGANIZACIJA ZA ZAŠTITU PRAVA POTROŠAČA, TRAŽI KONKRETNE AKCIJE OD EUROPSKIH INSTITUCIJA
Slovenci pohvaljeni
Na opće iznenađenje, unatoč reputaciji gaming industrije kao dosta invazivne po pitanju online oglašavanja, upravo Talking Tom 2 slovenske tvrtke Outfit7, koji ima više od 100 milijuna igrača, mahom djece, pokazao se kao jedini koji po ovom testu ne krši GDPR.
Čak se i Forbrukarrådet tome čudio, jer Outfit7 vodi i vlastitu oglašivačku mrežu s dosegom 350 milijuna ljudi u 230 država i teritorija. Talking Tom 2 je tako jedini koji je izravno svojim korisnicima dao do znanja s kim dijeli njihove informacije, jasno za targetirane oglase tražio privolu od korisnika i omogućio unutar aplikacije mogućnost da se ograniči dijeljenje podataka s drugim tvrtkama.
Smisao GDPR-a, naime, nije da se osobni podaci ne dijele već da korisnik nad njima ima punu kontrolu. Drugim riječima, da može svjesno trgovati svojim podacima za neku korist od prava na “besplatno” korištenje neke aplikacije nadalje.
Slična izvješća Forbrukarrådeta već su imala odjeka među EU regulatorima pa imate li mobilnu aplikaciju, pripremite se da se promjena sentimenta na tržištu ne prelomi i na vama. ❖