33-letni Bartosz z Warszawy na noszenie tzw. fitness trackera w formie opaski zdecydował się na zasadzie „eksperymentu w bardzo ograniczonym zakresie”. Urządzenia używa od ponad półtora roku.

– Chciałem mierzyć pokonywany dystans dzienny, mieć świadomość tego, że kilka kilometrów ruchu to zaledwie ułamek spalonych kalorii. Na zasadzie – zanim sięgniesz po batonika, pomyśl – mówi portalowi tvp.info.

Poza liczbą przebytych kilometrów i rejestracją pulsu, aplikacja na smartfona analizuje wagę, którą jej podamy. Zgromadzone dane raportuje okresowo. Urządzenie analizuje również liczbę przespanych godzin pod kątem głębokości snu. – Plusem wykorzystania fitness trackera jest fakt, że przy pracy umysłowej mam świadomość stanu organizmu. Widzę wpływ różnych czynników na sen i śledzę aktywność dzienną – podkreśla zalety Bartosz.

„Przedłużenie” układu nerwowego

– Ostatnio zacząłem się zastanawiać nad zasadnością stosowania tego typu „przedłużeń” układu nerwowego. Tak zwane technologie ubieralne (ang. Wearable Technologies), od prostych opasek po zaawansowane zegarki, gromadzą znaczne ilości wrażliwych danych, dotyczących coraz większych obszarów naszego życia. Przy braku należytej ochrony mogą one posłużyć także do skrajnie złych celów – mówi Bartosz. Jego obawy nie są nieuzasadnione.

Polityce prywatności i regulaminom, jakie stosują czołowe firmy produkujące tzw. nosidła (polski odpowiednik ang. wearables), przyjrzała się Norweska Rada Konsumentów. Zbadano funkcjonalność opasek fitness pod kątem konfigurowania przez użytkownika ustawień, dotyczących zbieranych danych. Rezultaty badań okazały się niepokojące. Rada uznała, że nosidła naruszają prawa konsumentów, a także ich prywatność. Ustalono wówczas, że firmy nie udostępniają regulaminu ani polityki prywatności w czytelny sposób. Jak wykazali Norwedzy, żaden z producentów nie informował jasno klientów, czy ich dane nie są udostępniane innym podmiotom. Użytkownicy powinni wyrazić zgodę w tej kwestii.

Techniczne badania udowodniły, że aplikacje przekazują dane do firm, których nie wymieniono w tych dokumentach, np. do Facebooka. Ponadto okazało się, że żaden z producentów opasek nie informował o długości przechowywania zgromadzonych danych.

Zbierają więcej, niż powinny

Norweska Rada Konsumentów stwierdziła również, że wszystkie przebadane opaski zbierają więcej danych, niż powinny w przypadku świadczenia konkretnej usługi. Zaznaczono, że bezpodstawne jest gromadzenie informacji dotyczących np. imienia i nazwiska użytkownika, a także pełnej daty urodzenia.

Niepokojący raport przyczynił się do modyfikacji kilku aplikacji. Firmy zobowiązały się do zmiany regulaminów. Pokusa do wykorzystywania ogromnych baz danych do celów np. marketingowych jest jednak cały czas ogromna.

„Dane dotyczące aktywności fizycznej, np. puls, mogą być ciekawą informacją na temat stanu naszego zdrowia. Zapewne jest to łakomy kąsek dla firm ubezpieczeniowych. Już teraz tego typu podmioty chcą wykorzystywać informacje z portali społecznościowych do określania stawek ubezpieczenia” – zwraca uwagę Anna Walkowiak w tekście „Bezpieczne bransoletki?” na stronie Fundacji Panoptykon.

Łakomy kąsek dla koncernów

Dzięki opracowanym algorytmom, które są zwykle ścisłą tajemnicą firmy, koncerny mogą analizować ogromne ilości danych.

„Abstrahując od tego, czy firmy ubezpieczeniowe powinny wykorzystywać takie urządzenia i czy będziemy godzić się na tego typu praktyki, trzeba pamiętać, że część urządzeń podatna jest na manipulację. Można więc stworzyć fałszywe informacje o tym, ile kroków przeszliśmy, ile kalorii spaliliśmy itp. A to może rodzić potencjalne problemy nie tylko dla ubezpieczycieli, ale także dla uczciwych użytkowników, którzy przez porównanie otrzymają gorsze warunki świadczenia usług” – podkreśla Walkowiak.

Nieświadomość klientów

Zbieraniu danych sprzyja nieświadomość klientów. – Niepokojące jest to, że tylko nieliczni użytkownicy zapoznają się z regulaminami oraz polityką prywatności dostawcy urządzenia. Tymczasem zbierane informacje dotyczą stanu naszego zdrowia i jako dane wrażliwe powinny być poddawane szczególnemu traktowaniu w myśl art. 27 ustawy o ochronie danych osobowych – zaznacza w rozmowie z portalem tvp.info Agnieszka Świątek-Druś, rzeczniczka Generalnego Inspektora Ochrony Danych Osobowych.

Śledzenie lokalizacji

Jak czytamy na stronie Fundacji Panoptykon, aplikacje analizujące naszą aktywność są podatne także na włamania. Ktoś niepowołany może nie tylko uzyskać dostęp do naszych danych, ale również modyfikować te informacje.

Kilka miesięcy temu kanadyjska organizacja pozarządowa Open Effect wzięła pod lupę osiem „nosideł” różnych firm. Okazało się, że jeśli chodzi o zabezpieczenia transmitowanych danych są niedoskonałe.

Jeśli nie skonfigurowaliśmy naszego urządzenia z konkretnym smartfonem lub tabletem, do którego zostało podłączone, umożliwiało ono śledzenie lokalizacji użytkownika. Tak skonstruowanych zostało aż siedem przebadanych bransoletek.

Jak zwraca uwagę Fundacja Panoptykon, która powołuje się na raport, system taki pozwala na stworzenie całej mapy miejsc przebywania użytkownika, jeśli codziennie nie rozstaje się on z urządzeniem.

Niedoskonałości nosideł i aplikacji mogą wykorzystywać na przykład stalkerzy, czyli osoby upatrujące sobie ofiarę, śledzące i nękające ją.

Rozważyć wszystkie „za” i „przeciw”

26-letnia Daria z Warszawy przyznaje w rozmowie z portalem tvp.info, że przed przeczytaniem doniesień Fundacji Panoptykon nie zastanawiała się, czy ktoś mógłby np. włamać się do jej aplikacji w smartfonie. Dodaje, że wcześniej nie sprawdzała wszystkich szczegółów technicznych opaski, z której korzysta od czterech miesięcy.

– Śledzenia nie obawiam się, ponieważ moja opaska nie rejestruje miejsc, w których przebywam a tylko dystans, jaki pokonałam. Ale tak naprawdę to nie wiem, czy moja opaska zapisuje dane geolokalizacyjne. W specyfikacji nie rzuciło mi się w oczy, żeby posiadała GPS – opowiada.

Po zgłębieniu tematu udostępniania danych o sobie, Daria podkreśla, że teraz zastanawia się nad swobodnym korzystaniem z tej technologii. – Jakbym miała jeszcze raz kupić taką opaskę, rozważyłabym wszystkie „za” i „przeciw” – zaznacza.

GIODO przygotowuje wskazówki

– Choć Internet rzeczy (ang. Internet of Things) dynamicznie się rozwija i wzbudza coraz większe zainteresowanie, to do Generalnego Inspektora Ochrony Danych Osobowych nie wpływają, jak dotąd, skargi dotyczące tego typu zagadnień. Niemniej GIODO z uwagą śledzi nowe rozwiązania w tym zakresie pod kątem ich wpływu na prywatność i ochronę danych osobowych – informuje rzeczniczka Agnieszka Świątek-Druś.

– GIODO, mając na uwadze zagrożenia dla prywatności i ochrony danych osobowych, związane z korzystaniem z opasek czy aplikacji mobilnych w dziedzinie mHealth, pracuje nad przygotowaniem zestawu wskazówek dla użytkowników dotyczących bezpiecznego korzystania z tego typu udogodnień. Będą one udostępnione na stronie internetowej GIODO – podkreśla.

Kodeks postępowania

Kwestie bezpieczeństwa są analizowane w ramach Grupy Roboczej Artykułu 29. To niezależny organ doradczy Komisji Europejskiej. W czerwcu 2016 roku przedstawiono, do zaopiniowania pod kątem zgodności z regulacjami unijnymi, projekt kodeksu postępowania w zakresie zapewnienia prywatności w dziedzinie mobilnych technologii, dotyczących naszego zdrowia.

Jego autorzy reprezentują wszystkie środowiska związane z tematem, od organizacji ochrony praw konsumentów po producentów, naukowców i sektor medyczny. Prace nad kodeksem mają zostać zakończone w 2017 roku.