Žaibiškai išpopuliarėjusį žaidimą sukūrusios kompanijos akcijos išaugo jau daugiau nei 50 proc., o pajamos iš žaidimo per dieną siekia net 1.6 mln. JAV dolerių.
Savaitgalį „Pokemon Go” tapo prieinamas ir Lietuvos vartotojams, tačiau turbūt mažai kas žino, kad šio žaidimo kūrėjams kilo rimtų problemų susijusių su asmens duomenų rinkimu bei apsauga – programėlė turėjo prieigą prie tokių duomenų, kurių turbūt net artimiesiems nesutiktumėte atskleisti.
Milžiniškas kiekis asmeninės informacijos
Didžioji dalis vartotojų prie „Pokemon Go“ registruojasi naudodamiesi „Google“ paskyra – ši registracija greitesnė ir paprastesnė (užtenka vos vieno mygtuko paspaudimo), nei siūloma alternatyva registruotis per tinklalapį www.pokemon.com.
Tiesa, mažai kas žino, kad užsiregistravus su „Google“ paskyra, „Pokemon Go“, o tiksliau jos kūrėjų kompanijai „Niantic Labs“, vartotojai suteikė visateisę prieigą prie paskyros, t.y. prie elektroninių laiškų ir jų turinio, nuotraukų, dokumentų, lankytų vietų. Visa informacija, kurią „Google“ paskyra turi apie vartotojus, tapo prieinama ir „Niantic Labs“, o tai yra rimtas asmens duomenų apsaugos pažeidimas, jei tai daroma be sutikimo.
Registracijoje apie tai, kad programėlė renka tokį kiekį asmens duomenų, užsiminta nebuvo.
Asmens duomenys – tai bet kuri informacija, susijusi su fiziniu asmeniu, kurio tapatybė yra žinoma arba gali būti tiesiogiai ar netiesiogiai nustatyta.
Taip sąvoką apibrėžia Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymas, panašiai sąvoką įvardija ir tarptautiniai teisės aktai.
Taigi asmens duomenimis laikomi tiek duomenys, kurie tiesiogiai nurodo tam tikrą asmenį, pavyzdžiui, vardas, pavardė, el. pašto adresas, asmens kodas, tiek duomenys, kurie tiesiogiai nenurodo asmens, tačiau, remiantis jų visuma, galima šį tą sužinoti apie asmenį, pavyzdžiui, duomenys, kad asmuo naudoja tam tikrą įrangą, IP adresas, slapyvardis ar slapukų (angl. cookies) teikiama informacija.
Dėl tokio „Niantic Labs“ elgesio JAV kilo nemenkas triukšmas – į diskusijas apie asmens duomenų apsaugą įsitraukė net valstybės pareigūnai, tad praėjusią savaitę kompanija paskelbė „ištaisiusi saugumo spragą“ ir nuo šiol renkanti tik „bendrą paskyros informaciją“ – elektroninio pašto adresus ir vartotojų vardus.
Tiesa, vartotojams, kurie „Pokemon Go“ įsidiegė anksčiau nei po praėjusio antradienio, rekomenduojama išsiregistruoti iš programėlės ir įsidiegti papildinį – anot kompanijos, tokiu būdu programėlė gaus tik bendrą paskyros informaciją.
Patikrinti, kokią prieigą prie „Google“ paskyros turi „Pokemon Go“ programėlė galima čia.
Kodėl taip atsitiko?
Nors kompanija ir skelbia išsprendusi privatumo problemą, tačiau šis pavyzdys parodo, kad spragų renkant asmens duomenis vis dar apstu – į viešumą iškilo klausimas, kaip saugoma privati informacija (asmens duomenys), kurią renka įvairios į mobiliuosius įrenginius įdiegtos programėlės?
Anksčiau kalbant apie asmens duomenų apsaugą, didesnis dėmesys kreiptas į elektronines parduotuves ir internete veikiančias įmones, kurios surinktus asmens duomenis siekia naudoti rinkodaros tikslais.
Tačiau „Niantic Labs“ atvejis parodo, kad tokius ir dar didesnius duomenų kiekius renka ir mobiliosios programėlės.
Tam, kad asmens duomenys būtų renkami ir tvarkomi teisėtai, duomenų valdytojai privalo pasirūpinti keliais labai svarbiais aspektais: parengti privatumo politiką, kur duomenų subjektai jiems suprantama ir paprasta kalba būtų informuojami, kaip yra tvarkomi jų asmens duomenys; paskelbti pranešimą, jog duomenų valdytojas naudoja slapukus (jei naudoja); taip pat pateikti pranešimą(-us) Valstybinei duomenų apsaugos inspekcijai apie duomenų tvarkymą.
Privatumo politika „Niantic Labs“ pasirūpino – ji vartotojams programėlėje pateikta gana aiškiai ir suprantamai, paskelbta būtina informacija, susijusi su privatumo nustatymais tiek Europos rinkai, tiek JAV.
Tačiau ir čia yra trūkumų.
Vienas pagrindinių – tai, kad kompanija nenurodo, kaip ir su kuo ji gali dalintis surinktais asmens duomenimis. Privatumo politikoje nurodoma, kad „Niantic Labs“ suteikiama teisė „surinkta informacija ir neidentifikuojama informacija dalintis su trečiosiomis šalimis analizės, demografinio profiliavimo ir panašiais tikslais“.
Tai reiškia, kad informacija gali būti perduota kitoms šalims rinkodariniais tikslais, taip pat siekiant vykdyti vartotojų profiliavimą.
Šiuo atveju nėra aišku, kokioms trečiosioms šalimis perduodami asmens duomenys, taip pat kyla pagrįstų abejonių dėl vartotojų profiliavimo.
Nors profiliavimo griežtai neapibrėžia nei Lietuvos, nei ES teisės aktai, tačiau šis procesas laikomas prieštaraujančiu egzistuojančiam teisiniam reguliavimui. Vartotojų duomenų analizė nėra draudžiama, jei įmonės renka juos vidiniais tikslais, tačiau, kai įmonė pagal tai formuoja stereotipus ir besiremdama jais planuoja savo reklamos kampanijas, verslo pasiūlymus ir kita, tokia veikla gali būti laikoma neteisėta.
Kita problema, dėl kurios piktinasi dalis „Pokemon Go“ vartotojų yra renkamos informacijos mastas. Net po to, kai „Niantic Labs“ ištaisė saugumo spragą, programėlė vis dar turi prieigą prie krūvos asmeninės informacijos – pavyzdžiui, asmens buvimo vieta.
Sutikdami su privatumo politika, vartotojai sutinka ir su tuo, kad programėlė seks jų buvimo vietą visada, kai tik „Pokemon Go“ bus įjungtas. Dažnu atveju tai reiškia sekimą kiaurą parą, nes nemaža dalis vartotojų programėlę laiko nuolat įjungtą, mat telefonas suvibruoja kaskart, kai šalia atsiranda „Pokemonas“, tad žaidžiant šį žaidimą būti nuolat sekamam lyg ir „apsimoka“. Tačiau akivaizdu, kad netinkamai panaudota ar nepilnai apsaugota tokia informacija gali tapti labai pavojinga programėlės vartotojams.
Turint omenyje, kiek vartotojų atsisiuntė programėlę, visi šie duomenys – labai trokštamas taikinys programišiams.
Nuo piktnaudžiavimo asmens duomenų tvarkymu įmones atbaidyti turėtų skiriamos baudos.
Tiesa, pastarosios kol kas yra labiau simbolinės, tačiau jau nuo 2018 m., įsigaliojus Bendrajam duomenų apsaugos reglamentui, priežiūros institucija galės apsiriboti įspėjimu, tačiau galės skirti ir baudą iki 20 milijonų EUR ar 4 % proc. visos įmonės apyvartos, skaičiuojamos pasauliniu mastu. Šiuo metu asmens duomenų tvarkymas pažeidžiant įstatymą pirmą kartą užtraukia baudą nuo 144 iki 289 EUR.
