Jestem prawnikiem od mody i nowych technologii, dlatego wezmę na warsztat nową modną technologię – FaceApp ;) Zapytany o opinię w sprawie aplikacji FaceApp – wielokrotnie – muszę odnieść się do całej spirali doniesień medialnych w tej sprawie. Zarówno pod kątem prawnym, jak i własnej opinii.

Strach przed takimi aplikacjami, czyli tam, gdzie nie wszystko jest jasne i proste, jest jak najbardziej zrozumiały. Jest on dodatkowo spotęgowany przez media oraz wypowiedzi ekspertów – ale również takich osób, dla których oddanie Facebookowi numeru telefonu jest największą internetową zbrodnią.

Musisz zawsze pamiętać, że istnieje ryzyko korzystania z aplikacji mobilnych – KAŻDYCH. Wszystkie zainstalowane w naszym telefonie aplikacje pobierają dane (w tym dane osobowe), które się w nim znajdują – szczególnie, gdy logujesz się do nich za pomocą Facebooka. Oczywiście, nie jest tak, że teraz każda aplikacja pobiera wszystkie dane. Tak to nie działa.

Podobnie jest w przypadku FaceApp. Aplikacji tej bronić nie będę, nie znam intencji jej twórców, które mogą być zarówno dobre, jak i nie do końca zgodne z prawem. Natomiast, sama nagonka medialna jest bardzo interesująca.

Jak zauważyłem, robiąc własne testy, FaceApp nie pobiera wszystkich zdjęć – a jedynie to, które samemu uploadujemy na ich serwery „prosząc” o obróbkę. Co potwierdził również, zabrany w tej już głośnej sprawie, głos twórców aplikacji oraz popularne portale technologiczne:

We might store an uploaded photo in the cloud. The main reason for that is performance and traffic: we want to make sure that the user doesn’t upload the photo repeatedly for every edit operation. Most images are deleted from our servers within 48 hours from the upload date.

– Źródło: https://techcrunch.com/2019/07/17/faceapp-responds-to-privacy-concerns/

Nie ukrywam, że nie mi osądzać, czy te informacje podawane przez nich są faktycznie prawdziwe – z pobudek, jakimi są ciekawość i chęć edukacji, osobiście sprawdziłem kilkoma metodami, czy te dane są do nich faktycznie wysyłane.

Co ciekawe, podnoszony jest również zarzut, że dane te trzymane są w Rosji – co do tego również wypowiedzieli się twórcy:

– We don’t sell or share any user data with any third parties.

– Even though the core R&D team is located in Russia, the user data is not transferred to Russia.

– Founder Yaroslav Goncharov told us it uses AWS and Google Cloud.

– Źródło jak wyżej.

Zdanie drugie, dotyczące Rosji jest mocno dyskusyjne, gdyż jeżeli pracownik działa z Rosji, to te dane w sumie są przetwarzane w Rosji, nawet jeżeli serwery znajdują się na AWS, czy w Google Cloud. ALE jest to legalne w pewnych okolicznościach, których tutaj nie znamy na ten moment.

Podobne rozterki powinniśmy mieć także w przypadku korzystania z aplikacji związanych z Google czy Facebookiem. Czy wiesz, że Google śledzi Twój każdy krok, nie tylko w Internecie i możesz sprawdzić swoją historię np. tutaj https://myactivity.google.com/myactivity ?

Czas na zapoznanie się z regulaminem i polityką prywatności FaceApp

Rozumiem problem wynikający z niniejszego postanowienia znajdującego się w regulaminie aplikacji, a które zrobiło największy harmider w mediach:

We may share User Content and your information (including but not limited to, information from cookies, log files, device identifiers, location data, and usage data) with businesses that are legally part of the same group of companies that FaceApp is part of, or that become part of that group (“Affiliates”). Affiliates may use this information to help provide, understand, and improve the Service (including by providing analytics) and Affiliates’ own services (including by providing you with better and more relevant experiences). But these Affiliates will honor the choices you make about who can see your photos.

Powyższe można interpretować, iż FaceApp ma możliwość transferu naszych danych do podmiotu trzeciego de factonie związanego ze spółką właściwą. Jest to karygodne i niezgodne z twierdzeniami spółki, które przytoczyłem Wam powyżej. Takie działanie nie jest niczym nowym (i nie mam tu na myśli zasad, na jakich działała swojego czasu pewna głośna aplikacja również do przeróbki zdjęć), także wśród innych, mniej medialnych oraz u tych mało znanych aplikacji czy web services. Zawsze swoim Klientom odradzam dodawanie takiego postanowienia oraz stosowanie takich praktyk – a spotykam się z tym na co dzień w swojej pracy. 

Pamiętać również trzeba, że brak takich postanowień w regulaminie czy polityce prywatności, nie oznacza, że takie działanie nie będzie podejmowane. 

Wiele podmiotów, u których nie znajdziemy takiego postanowienia, dokonuje transferu danych, czy to poprzez sprzedaż całości (lub zorganizowanej części) swojego przedsiębiorstwa – a także w sytuacji, gdy występuje grupa powiązanych podmiotów. I jest to, co do zasady, zgodne z prawem.

RODO pozwala na transfer danych pomiędzy spółkami w ramach wewnętrznych celów administracyjnych, wiedziałeś o tym? Na dzień dzisiejszy, interpretacja tych przepisów stanowi otwarty problem. Nie będę tutaj podejmował się dyskusji w tej kwestii. 

Zapoznając się dalej z polityką prywatności, nie znajdujemy niczego bardzo ciekawego czy odmiennego od codzienności. Znajdują się tam postanowienia dotyczące korzystania z cookies, transfery danych statystycznych, czy przesyłanie danych w ramach „legal requests” oraz informacje o transferze danych do USA. Elementy te w regulaminach czy w politykach prywatności nie są niczym niespotykanym. RODO nakazuje informowanie o odbiorcach danych, a także inne przepisy o plikach cookies. 

Nie będę na ten moment szczegółowo analizował, czy regulamin i polityka prywatności FaceApp wypełniają w 100% obowiązek informacyjny w myśl art. 13 RODO, czy inne prawa np. konsumenta – w mojej ocenie jednak nie do końca. 

Podsumowując ten krótki wpis, wywołany dyskusją w moich prywatnych wiadomościach – nie znam intencji twórców i tego, czy chcą lub nie działać legalnie i etycznie. Chciałbym zaznaczyć, że zawsze pobierając jakąkolwiek aplikację, wyrażasz zgody na dostęp do swoich danych (np. zdjęć). Korzystając z nich musisz przeanalizować ryzyko nielegalnego transferu danych, wykorzystania ich w niecnym celu – ale także wycieku danych, na co nie zawsze ma wpływ właściciel aplikacji.

Należy również pamiętać o tym, że brak wskazania (w idealnej sytuacji), iż niepodejmowane są jakieś działania na danych, nie oznacza, że tak jest w rzeczywistości. Jeżeli w danej aplikacji nie jest wskazane, że transfer będzie dokonywany, należy zwrócić uwagę, że w pewnych okolicznościach przepisy prawa będą na to zezwalać. 

Wiele się mówi o tym, by analizować newsy dostępne w Internecie zanim się je dalej opublikuje. Tym razem, również wielu twórców internetowych, tego nie zrobiło i puściło dalej plotki na temat tej aplikacji, które z biegiem czasu okazały się nieprawdziwe. To również należy zaznaczyć. Na szczęście kilka z portali dodało już konieczny update sprawy.

Czy brak prywatności dalej Ciebie szokuje?

Aktualizacja 18 lipca 2019 roku, 10:56

Bardzo ciekawy artykuł – w podobnym tonie jak mój: https://niebezpiecznik.pl/post/faceapp-to-narzedzie-rosjan/

Aktualizacja 22 lipca 2019 roku, 16:08

Świetna analiza FaceApp od CERT Polska: https://www.cert.pl/news/single/faceapp-analiza-aplikacji-oraz-rekomendacje-dotyczace-zachowania-prywatnosci/