W jaki sposób śledzenie lokalizacji zwiększa ryzyko w kontekście ochrony prywatności

Zarządzanie danymi osobowymi i ich bezpieczne przechowywanie wymaga większej niż kiedykolwiek wcześniej współpracy różnych działów w ramach całej organizacji.

W skrócie

• Śledzenie lokalizacji staje się istotną kwestią z punktu widzenia ochrony prywatności ponieważ coraz częściej wykorzystywane jest w aplikacjach, z których korzystamy w życiu prywatnym i zawodowym.
• Firmy, które od wybuchu pandemii COVID-19 śledzą prywatne dane dotyczące zdrowia lub przemieszczania się pracowników muszą dokładnie ocenić wpływ tych rozwiązań na ochronę ich prywatności.
• Aby ograniczyć ryzyko związane ze śledzeniem lokalizacji, specjaliści ds. zgodności z przepisami powinni współpracować ze sobą w całym przedsiębiorstwie.

Przywiązanie do smartfonów sprawiło, że stały się one idealnym narzędziem do śledzenia naszych ruchów, dostarczając bezcennych danych firmom i rządom. Nie zdajemy sobie sprawy, że wiele aplikacji zainstalowanych na naszych telefonach pozwala firmom dokładnie określić, w jaki sposób spędzamy czas. Dziennikarze New York Times prowadzący dziennikarskie śledztwo byli w stanie wykorzystać zbiór danych, aby śledzić przemieszczanie się osób dojeżdżających do pracy, odbierających dzieci ze szkoły, a nawet odrywających się od codziennej rutyny, aby udać się na rozmowę kwalifikacyjną w sprawie nowej pracy.¹

Rosnące obawy dotyczące śledzenia lokalizacji to tylko jeden z przykładów ilustrujących, jak złożoną kwestią staje się ochrona prywatności. COVID-19 nasila ten problem, ponieważ rządy i firmy eksperymentują z nowymi technologiami w celu śledzenia i powstrzymania rozprzestrzeniania się pandemii. Te działania pozwalają ocalić ludzkie życie, ale wzbudzają także obawy dotyczące naruszenia prywatności i ujawniania prywatnych danych dotyczących zdrowi..

Zarządzanie prywatnością jest często postrzegane jako zadanie działów compliance i prawnych, przy wsparciu zespołu ds. cyberbezpieczeństwa. Coraz więcej organizacji zaczyna jednak zdawać sobie sprawę z tego, że ochrona prywatności ma wpływ na interesariuszy w praktycznie każdym jej dziale. Zarządzanie ryzykiem naruszenia prywatności w wyniku śledzenia lokalizacji wymaga współdziałania jednostek odpowiedzialnych za HR, operacyjnych, bezpieczeństwa informacji, komunikacji i relacji inwestorskich.

Skargi dotyczące ochrony prywatności w kontekście śledzenia lokalizacji są przedmiotem nadzoru ze strony opinii publicznej i organów nadzoru

Czy wiesz, że posiadanie aplikacji pogodowej w telefonie może oznaczać, że każdy twój ruch jest śledzony sekunda po sekundzie, nawet wtedy kiedy z niej nie korzystasz, a informacje na ten temat są sprzedawane podmiotom zewnętrznym? Taka była podstawa pozwu wniesionego w 2019 roku przez Biuro Prokuratora Los Angeles. W pozwie zarzucano, że informacje dotyczące sprzedaży danych osobom trzecim były ukryte w polityce prywatności oraz w ustawieniach prywatności aplikacji, których „zdecydowana większość użytkowników” nie czyta.²

Wiele firm gromadzących dane dotyczące lokalizacji twierdzi, że nie narusza prywatności, ponieważ dane są anonimowe, można dojść do zgody użytkowników, a dane są przechowywane w bezpieczny sposób. Jednak wyniki dochodzenia przeprowadzonego przez dziennikarzy The New York Times pokazują, że te twierdzenia nie zawsze można obronić w przypadku kontroli prawnej lub kontroli przez organ nadzoru. Na przykład pingi (polecenia używane w sieciach komputerowych) pokazujące codzienną trasę z domu do biura pozwalają na łatwe zidentyfikowanie osoby.

Mimo że duża część danych dotyczących monitorowania, które są sprzedawane podmiotom zewnętrznym pochodzi z aplikacji w telefonie, dostawcy usług telefonii komórkowej również nie są bezpieczni. Czterech największych operatorów telefonii komórkowej w Stanach Zjednoczonych obiecało zaprzestać sprzedaży danych dotyczących lokalizacji w 2018 roku. Dwa lata później amerykańska Federalna Komisja Łączności (FCC) zaproponowała kary w wysokości setek milionów dolarów, ponieważ okazało się, że operatorzy w dalszym ciągu sprzedawali dane klientów i naruszali zasady ochrony danych osobowych.³

COVID-19 zwiększa ryzyko w kontekście śledzenia lokalizacji

Kryzys związany w wybuchem pandemii COVID-19 sprawił, że część rządów wprowadziła aplikacje na telefon wykorzystujące geolokalizację, aby móc śledzić kontakty osób i aby móc określić czy postępują one zgodnie z wytycznymi dotyczącymi kwarantanny i dystansu społecznego. Monitorowanie osób pomogło niektórym krajom ograniczyć rozprzestrzenianie się wirusa, ale jak wynika z analizy bezpieczeństwa przygotowanej przez Guardsquare w odniesieniu do 17 rządowych aplikacji do monitorowania, „znakomita większość” mogła łatwo paść łupem hackerów.⁴

Grupy obrońców praw człowieka obawiają się, że aplikacje te są zbyt inwazyjne i mogłyby być wykorzystywane również po ustaniu pandemii. Dla przykładu, norweska Agencja ds. Ochrony Danych zakazała stosowania rządowej aplikacji po tym, jak ustalono, że gromadziła ona o wiele więcej danych niż było to niezbędne.⁵

Firmy również szukają nowych technologii, aby chronić zdrowie swoich pracowników korzystając z aplikacji na telefonach, kamer przemysłowych lub innych przenośnych urządzeń Bluetooth do monitorowania ruchu pracowników w pracy. Jeżeli okaże się, że wynik testu pracownika na COVID-19 jest dodatni, spółka może szybko zidentyfikować pracowników, którzy mieli bliski kontakt z zarażonym . Mimo że wiele krajów zezwala pracodawcom na śledzenie pracowników podczas godzin pracy, to obrońcy prywatności obawiają się, że inwigilacja może zostać rozszerzona i trwać przez całą dobę nawet po ustaniu kryzysu.

Pandemia wywołała także obawy w kwestii prywatności danych dotyczących zdrowia pracowników. Jak wynika z ankiety opublikowanej w maju 2020 roku, prawie jedna czwarta firm mierzyła temperaturę pracownikom, a 60% z nich posiada informacje na temat pracowników u których zdiagnozowano COVID-19. Prawie jedna piąta przekazała nazwiska pracowników, u których wykryto COVID-19, pozostałym pracownikom lub organom rządowym wbrew radom Europejskiej Rady Ochrony Danych.⁶

Przepisy dotyczące ochrony prywatności mają na celu kontrolę śledzenia lokalizacji

Rosnące zainteresowanie ochroną prywatności doprowadziło do opracowania nowych regulacji w różnych zakątkach świata. Jeden z najważniejszych aktów prawnych w tym zakresie, rozporządzenie o ochronie danych osobowych (RODO), traktuje dane dotyczące lokalizacji jak dane osobowe. Oznacza to, że użytkownicy muszą wyraźnie i dobrowolnie wyrazić zgodę na śledzenie lokalizacji, a nie tylko mieć możliwość rezygnacji z tej opcji.⁷

Śledzenie lokalizacji jest także przedmiotem kalifornijskiej ustawy o ochronie prywatności konsumentów (California Consumer Privacy Act/ CCPA), którą Kalifornia zaczęła egzekwować od lipca 2020 roku. Zgodnie z CCPA mieszkańcy Kalifornii mogą zrezygnować z opcji sprzedaży swoich danych osobowych, w tym danych dotyczących geolokalizacji, podmiotom zewnętrznym. Mimo że ustawa obejmuje tylko mieszkańców stanu Kalifornia, wiele dużych firm rozszerza te prawa na wszystkich Amerykanów. Prokurator Generalny stanu Kalifornia szacuje, że firmy będą musiały wydać ponad 55 mld dolarów, aby zapewnić zgodność z ustawą CCPA.⁸

Rozwiązywanie kwestii związanych z ryzykiem naruszenia prywatności wymaga współpracy wielu obszarów.

Przeciwdziałanie zagrożeniom związanym z ochroną prywatności związanym z monitorowaniem lokalizacji wykracza poza zakres działania działów prawnych i compliance. Wymaga ono elastyczności ponieważ organizacje reagują na szybko zmieniające się środowisko technologiczne i regulacyjne. Niezbędna jest wzajemna współpraca funkcjonalna.

Pracownicy działów prawnych oraz compliance powinni kierować współpracą z innymi działami, zwłaszcza działami IT, tak aby pomóc tym jednostkom w zidentyfikowaniu, monitorowaniu i ograniczaniu ryzyka. Dział zarządzania talentami powinien skoncentrować się na edukacji pracowników i na komunikacji, tak aby śledzenie lokalizacji- jeżeli jest wykorzystywane - nie naruszało prywatności pracowników i aby pracownicy dobrze rozumieli jego cel. Specjaliści ds. bezpieczeństwa informacji i technologii muszą na bieżąco śledzić zmiany zachodzące w obszarze technologii, aby rozumieć ich wpływ i potencjalne ryzyko, które się z nimi wiąże. A przede wszystkim, uwzględnienie ochrony prywatności już na etapie projektowania rozwiązań, powinno być elementem kultury organizacyjnej.

Podczas rozwoju produktów lub usług, które zawierają elementy śledzenia lokalizacji firmy muszą mieć stale na uwadze kwestie związane z ochroną prywatności. Jeżeli kwestie te nie będą dobrze zarządzane, śledzenie lokalizacji może stać się ogromnym problemem narażającym firmę na ryzyko braku zgodności z przepisami, ryzyko postępowania prawnego, ryzyko reputacyjne, ryzyko niezadowolenia pracowników i utraty przychodów. Odpowiednio zarządzane kwestie związane ze śledzeniem lokalizacji mogą przyczynić się do zwiększenia możliwości danego produktu, poprawy jakości świadczenia usług oraz ochrony pracowników i organizacji.

Najważniejsze wnioski

Śledzenie lokalizacji staje się ważną kwestią z punktu widzenia ochrony prywatności ponieważ jest w coraz częściej wykorzystywane w aplikacjach, które dominują w naszym codziennym życiu prywatnym i zawodowym. Pandemia COVID-19 uwypukliła tę kwestię ponieważ rządy i organizacje robią co w ich mocy, aby powstrzymać rozprzestrzenianie się wirusa. Firmy, które podczas pandemii pospiesznie wprowadzały zmiany w swoich systemach wprowadzając rozwiązania takie jak śledzenie przemieszczania się pracowników lub przekazywanie prywatnych danych dotyczących zdrowia muszą dokładnie ocenić wpływ tego działania na prywatność.

Pracownicy odpowiedzialni za monitorowanie zgodności z przepisami powinni współpracować z innymi działami w ramach organizacji, aby ograniczyć ryzyko związane ze śledzeniem lokalizacji niezależnie od tego czy firma sprzedaje dane innym podmiotom, czy też wykorzystuje śledzenie lokalizacji pracowników do celów wewnętrznych. Tego rodzaju ryzyko może skutkować postępowaniami nadzorczymi i prawnymi, naruszeniem ochrony danych, obniżeniem morale pracowników i pojawieniem się obaw dotyczących ochrony prywatności. Może także zaszkodzić marce.

Przestrzeganie regulacji w zakresie prywatności danych może być kosztownym wyzwaniem. Jednak firmy, które zarządzają działaniami w zakresie śledzenia lokalizacji w przejrzysty i bezpieczny sposób odkryją w tym przewagę konkurencyjną ponieważ ochrona prywatności staje się coraz ważniejsza zarówno dla konsumentów, jak i pracowników. Chociaż uwielbiamy nasze telefony to jednak nie chcemy, aby zdradzały nasze sekrety.