Norská organizace na ochranu spotřebitelů loni zjistila, že populární aplikace Runkeeper toho dělala víc, než se na první pohled zdálo. Takový typická ukázka toho, že pokud někomu svěříte informace o vás, tak se bude snažit je využít (a často zneužít).
Skandální přístup k soukromí uživatelů, tak by se dalo označit to, co NCC (Norwegian Consumer Council) objevil u aplikace Runkeeper. Aplikace sledovala uživatele nejenom když to chtěli, tedy v průběhu sportovní či pohybové aktivity, ale i mimo tuto dobu. Shromažďovaná data měla FitnessKeeper, společnost vlastnící Runkeeper, prodávat inzerentům.
NCC tuto skutečnost zjistili při testovaní dvou desítek populárních aplikací na to, zda nedělají něco více, než mají. Na zjištění reagovali v květnu 2016 podáním formální stižnosti pro porušování evropských zákonů na ochranu soukromí. Což v případě americké společnosti, která nemá v Evropě žádné zastoupení ani kanceláře, je opravdu čistě formální krok.
Soukromí nejvyšší priorita a velké překvapení
CEO RunKeeperu Jason Jacobs tehdy tvrdil, že se o této stížnost právě dozvěděli a co hlavně, že soukromí uživatelů má pro ně nejvyšší prioritu a problému se budou věnovat. Zajímavé na zjištění NCC bylo, že shromažďovaná data byla odesílána společnosti Kiip.me. Dělo se to až 48 hodin poté, co skončila aktivita, pro kterou uživatel aktivoval Runkeeper.den později ale společnost na blogu shromažďování údajů bez vědomí uživatelů označila za “chybu”, právě ve spojitosti s integraci (nejspíš) Kiip.me. Nová verze RunKeeperu by tuto chybu už neměla obsahovat a také odstraňuje “integraci se službou třetí strany”. K odstranění tehdy mělo dojít i ve verzi aplikaci pro iOS (objev NCC se týkal pouze Androidu).
Kiip.me se specializuje na gamifikaci v mobilních aplikacích, odměňování uživatelů za aktivity, ve spojitosti s reklamou. Z tohoto pohledu je případné využití v RunKeeperu poměrně logické. Logické by ale také bylo, kdyby Kiip.me bylo zmíněno v Podmínkách soukromí, ale tam nic takového samozřejmě nebylo.
Stížnost na porušování zákonů na ochranu soukromí obsahuje ale i další bod. Upozorňuje na to, že není jasné zda aplikace osobní data pravidelně v souladu s zákony, ale možná ani poté, co uživatel o něco takového zažádá. Není ani jasné, co Runkeeper považuje za osobní data a také, že požaduje pro aplikací práva, která přesahují ta, která skutečně potřebuje. Netýká se to ale jenom Runkeepetu, jak NCC upozornilo v Health and fitness apps violate users privacy, stejné nedostatky mají i další aplikace.
Označení sledování uživatelů bez jejich vědomí za “chybu” můžete brát vážně, stejně tak jako to brát jako klasickou kličku. Používanou prakticky ve všech případech, kdy se dělo něco, se se prostě dít nemělo. Je vhodné připomenout, že Runkeeper už tehdy používalo přes 45 milionů lidí na celém světě. A také to, že k zjištění došlo před rokem a vše tehdy poměrně rychle utichlo.
TIP: V Sdílíte veřejně běhání a jízdu na kole? Zkuste trochu přemýšlet najdete něco o tom, jak nebezpečně se někteří lidé chovají při používání aplikací jako je Runkeeper, Endomondo a další
Skandál skončil, nezměnilo se nic
Poučili se snad tvůrci fitness aplikací z tohoto případu? Soudě podle Report finds health, fitness apps lag in privacy polices compared to other apps ze září 2016, tak rozhodně ne.
Nejedná se jenom o aplikace jako je Runkeeper/Endomondo či Strava, problémy se soukromím mají i aplikace sledující jak spíte či ty sledující vhodnost početí či těhotenství.
Neméně zajímavá je i jiná studie z roku 2016, Examining Oversight of the Privacy & Security of Health Data Collected by Entities Not Regulated by HIPAA. Ta zmiňuje zásadní rizika plynoucí z toho, že lidé bezhlavě a bez přemýšlení sdílejí informace o jejich zdraví na sociální sítě. Užitečná může být i menší studie z prosince 2016: Mobile Health and Fitness Apps: What Are the Privacy Risks?
Poučení ze selhání spojeného s aplikací Runkeeper každopádně je, že spoléhat se na sliby v “Podmínkách užití” či “Pravidlech na ochranu soukromí” nemůžete. Vaše citlivé či osobní informace mohou uniknout chybou, mohou se dostat do rukou třetí strany postupem, který někdo nedomyslel do konce. Může je ale samozřejmě předat (a hlavně prodat) samotná firma provozující konkrétní aplikaci. V řadě případů je takovýto prodej výnosný natolik, že pozdější případná pokuta je prakticky zanedbatelný náklad.