Neke od najpopularnijih mobilnih aplikacija u Hrvatskoj, i to pogotovo među mladima, poput Tindera, Grindera, Perfect365, Cluea i MyDaysa, čini se, krše GDPR regulativu Europske unije. Izvještaj koji je objavio norveški Forbrukarr?det, jedna od najaktivnijih europskih organizacija za zaštitu prava potrošača posebno u segmentu zaštite prava na privatnost, na samom je početku 2020. godine otvorio novu frontu za proizvođače mobilnih aplikacija, oglašivačku industriju i data brokere poput društvenih mreža i inih kompanija na tržištima EU.

Jedina iznimka među popularnim aplikacijama je mobilna igra Talking Tom 2 slovenskog Outfit7, kojoj nije pronađena niti jedna ozbiljna zamjerka. U izvješću naslovljenom “Out of Control”, koje se se fokusiralo samo na poslovnu praksu deset popularnih mobilnih aplikacija, Forbrukarr?det izravno optužuje online oglašivačku industriju da sistematski krši europske zakone. Forbrukarr?det je otišao i korak dalje te s dvadesetak drugih organizacija traži konkretne akcije od europskih institucija, a optužbe imaju konkretnu financijsku težinu.

Prve kazne već izrečene 
GDPR je EU direktiva koju je stupila na snagu 25. svibnja 2018. i putem koje su svi građani EU, tako i Hrvatske, dobili pravo da se njihovi osobni podaci ne skupljaju, koriste i obrađuju bez njihove izričite dozvole.  Usto su dobili i pravo da zatraže brisanje istih. Prekršiteljima pak prijeti novčana kazna od 20 milijuna eura ili 4 posto godišnjeg globalnog prometa.

S kaznama se već krenulo lani. Najveću je dosad dobio British Airways – 183 milijuna funti (oko 200 milijuna eura), jer je loše zaštitio osobne podatke svojih korisnika.  Drugi je Marriott International, kojeg je nespretno obavljeno dubinsko snimanje u jednoj akviziciji olakšalo za 99 milijuna funti dok su Francuzi Googleu odrezali kaznu od 50 milijuna eura zbog nejasne prakse u davanju korisničke privole za osobne podatke koji se koriste u bihevioralnom marketingu.

Sudeći po potezu Forbrukarr?deta u ovoj bi se godini nakon zrakoplovnih kompanija, turističkih i internetskih divova, banaka, medicinskih organizacija, osiguravatelja, konzultanata i online trgovaca prve kazne mogle odrezati i vlasnicima mobilnih aplikacija.  Forbrukarr?det je angažirao norvešku IT sigurnosnu kompaniju Mnemonic, koja u IT zajednici uživa priličan ugled s obzirom na to da ju je Gartner izlistao u svom izvješću “Magic Quadrant for Managed Security Services, Worldwide”.

Mnemonic je trebao ispitati 10 Android aplikacija i analizirati koje podatke šalju i kome, a ono što je pronašao u najmanju je ruku neobično.  Naime, tih je deset aplikacija slalo različite osobne podatke o svojim korisnicima na najmanje 135 različitih tvrtki, a do kakvih se bizarnosti došlo možda najbolje pokazuju dvije popularne aplikacije za praćenje menstrualnog ciklusa.  Clue i MyDays su dvije najpopularnije takve aplikacije u Hrvatskoj, posebno među tinejdžericama, te ženama mlađim od 35 godina.

Obje posluju na globalnom tržištu.  Prva ima više od 10 milijuna korisnica, a druga njih više od pet milijuna. U njima žene upisuju cijeli niz podataka, od toga kad imaju mjesečnicu, PMS, kad su imale seksualne odnose, a tako prate i dane kad ovuliraju.  Forbrukarr?det je naveo da Clue prikupljene osobne podatke može dijeliti sa servisima kao što su Google Analytics, Braze, Amplitude, Apptimize, Adjust i Facebook Audiences. Za MyDays je otkriveno da ima sličnu praksu. Obje aplikacije, navodi se, vrlo vjerojatno krše GDPR.

Neobične i opasne prakse 
MyDays je posebno istaknut, jer je otkriveno da ova aplikacija za praćenje mjesečnice ujedno skuplja i prosljeđuje GPS lokaciju svoje korisnice te da se to koristi za bihevioralno profiliranje.  Što će nekome karta kuda se u toku određenog dana kreću hrvatske tinejdžerice koje imaju menstruaciju ili pak kuda se kreću žene u Hrvatskoj mlađe od 35 koje trenutačno ovuliraju te kakav poslovni model opravdava obradu, prodaju i korištenje takvih podataka zna valjda vlasnik MyDays aplikacije.

Sličnu praksu ima i mobilna aplikacija za makeup Perfect365, posebno popularna također među tinejdžericama. Iako kroz korištenje različitih filtera na fotografiji lica korisnice izbacuje različite prijedloge za šminkanje, ova aplikacija zbog nekog razloga na adrese više od 70 različitih tvrtki šalje čak i IP adrese i GPS lokacije svojih korisnica.

Među njima je i Factual Inc, kompanija koja je krajem prošle godine Wall Street Journal razotkrio da prodaje podatke o korisnicima mobilnih aplikacija političkim strankama u SAD-u.  Dakako, slična je praksa utvrđena i kod aplikacija za traženje partnera, kako za osobe heteroseksualne orijentacije, Tindera, tako i za one homoseksualne orijentacije, Grindera.  To znači da je moguće korištenjem takvih podataka složiti popis preljubnika, ljubavnica kao i osoba homoseksualne orijentacije u Hrvatskoj.

Slovenci pohvaljeni
Na opće iznenađenje, unatoč reputaciji gaming industrije kao dosta invazivne po pitanju online oglašavanja, upravo Talking Tom 2 slovenske tvrtke Outfit7, koji ima više od 100 milijuna igrača, mahom djece, pokazao se kao jedini koji po ovom testu ne krši GDPR.

Čak se i Forbrukarr?det tome čudio, jer Outfit7 vodi i vlastitu oglašivačku mrežu s dosegom 350 milijuna ljudi u 230 država i teritorija. Talking Tom 2 je tako jedini koji je izravno svojim korisnicima dao do znanja s kim dijeli njihove informacije, jasno za targetirane oglase tražio privolu od korisnika i omogućio unutar aplikacije mogućnost da se ograniči dijeljenje podataka s drugim tvrtkama.

Smisao GDPR-a, naime, nije da se osobni podaci ne dijele već da korisnik nad njima ima punu kontrolu. Drugim riječima, da može svjesno trgovati svojim podacima za neku korist od prava na “besplatno” korištenje neke aplikacije nadalje.  Slična izvješća Forbrukarr?deta već su imala odjeka među EU regulatorima pa imate li mobilnu aplikaciju, pripremite se da se promjena sentimenta na tržištu ne prelomi i na vama.