Update - Steve Kondik van Cyngn heeft een reageer op Google+ naar aanleiding van dit artikel. Helaas gaat hij op geen enkele manier in op het feit dat de dienst die hij wil integreren de gegevens van anderen uploadt, maar kiest hij ervoor om zich te concentreren op het proces van toestemmingsverzoeken. Hun aanmeldingsproces voor gebruikers is niet van belang, omdat mensen van wie de gegevens worden geüpload dat toestemmingsbericht niet te zien krijgen: de app uploadt de gegevens van anderen zonder hun toestemming.
Truecaller, een bedrijf waar velen misschien nog nooit van hebben gehoord, heeft dat zojuist gedaan aangekondigd een deal om samen te werken met Cyngn, de commerciële tak van CyanogenMod. Op het eerste gezicht een mooie koppeling om Truecaller-functies te integreren in de Cyngn OS-kiezer.
Helaas is Truecaller echter een enigszins interessant bedrijf, met enigszins interessante manieren van zakendoen. Hun bedrijfsmodel is op zijn best zeker twijfelachtig (en mogelijk nog veel erger) - wanneer je de "verbeterde zoekfunctie" van Truecaller gebruikt (wat vrijwel de meest voorkomende is).
raizoon vantre van het product), gaat u ermee akkoord dat Truecaller contactgegevens van uw telefoon mag verzamelen en delen met andere gebruikers van de dienst."Nou, dat is gewoonweg verkeerd", hoor ik u, scherpzinnige lezers, zeggen. "Ze kunnen toch niet zomaar de contactgegevens van mensen met anderen delen?" Goed... Normaal gesproken zou je gelijk hebben – juridisch gezien zou dit, binnen Europa tenminste, illegaal zijn. De Richtlijn Gegevensbescherming is een vrij lang stuk wetgeving, dat dergelijke zaken bestrijkt, en we komen er later nog eens op terug, in het belang van onze Europese gebruikers.
De "ontsnapping" die Truecaller gebruikt, is verborgen in hun Servicevoorwaarden, waar ze op magische wijze proberen zich hieruit te ontworstelen:
Door toe te staan dat contactgegevens worden verzameld, geeft u Truecaller het recht om die contactgegevens als onderdeel te gebruiken van de Dienst en u garandeert dat u over alle vereiste toestemmingen beschikt om dergelijke Contactgegevens mee te delen ons. U kunt zich op elk moment afmelden om het delen van contactgegevens te voorkomen.
Ja dat klopt... Dat heb je goed gehoord. U, de eindgebruiker, moet ermee akkoord gaan dat al uw contacten u toestemming hebben gegeven om hun gegevens naar Truecaller te uploaden. Ze beweren dat de telefoonnummers van 1,6 miljard mensen doorzoekbaar zijn, zodat u naar hun nummer kunt zoeken. Hier is een vraag: hoeveel mensen die de gegevens van hun contacten bij deze dienst hebben ingediend, hebben hiervoor toestemming gekregen? Natuurlijk kun je je afmelden voor het sturen van gegevens, maar dat heeft niet veel zin, omdat het onmogelijk is om je echt af te melden voor het delen van je gegevens door iemand anders. Terwijl Truecaller de mogelijkheid biedt om jezelf te hebben van de lijst verwijderd, vereist dit dat u in de eerste plaats weet dat zij uw gegevens bewaren.
Om terug te keren naar de EU-richtlijn gegevensprivacy, hier zijn een paar interessante uitspraken die hier relevant zijn:
a) 'persoonsgegevens': alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon ("betrokkene"); een identificeerbare persoon is iemand die direct of indirect kan worden geïdentificeerd, in het bijzonder door verwijzing naar een identificatienummer of op een of meer factoren die specifiek zijn voor zijn fysieke, fysiologische, mentale, economische, culturele of sociale identiteit;"
Aangezien uw naam informatie is die betrekking heeft op u als identificeerbare persoon, zijn alle gegevens die op u betrekking hebben "persoonlijke gegevens".
'toestemming van de betrokkene' betekent elke vrijelijk gegeven specifieke en geïnformeerde indicatie van zijn toestemming wensen waarmee de betrokkene te kennen geeft dat hij akkoord gaat met de persoonsgegevens die op hem betrekking hebben verwerkt.”
Dit definieert de betekenis van toestemming binnen de context van de wet, waarbij wordt vereist dat mensen een geïnformeerde indicatie geven dat hun gegevens kunnen worden verwerkt (verwerking omvat elke vorm van handmatige of automatische bewerking van de gegevens, inclusief opslag!)
Het belangrijkste onderdeel van de wetgeving is echter artikel 7, dat de omstandigheden beschrijft waaronder persoonsgegevens mogen worden verwerkt. Laten we deze eens bekijken.
De lidstaten bepalen dat persoonsgegevens alleen mogen worden verwerkt als:
a) de betrokkene heeft ondubbelzinnig zijn toestemming gegeven; of
U bent de betrokkene; niet de persoon die het uploadt. U heeft dus geen toestemming gegeven.
(b) de verwerking is noodzakelijk voor de uitvoering van een contract waarbij de betrokkene partij is of om op verzoek van de betrokkene stappen te ondernemen voorafgaand aan het aangaan van een contract; of
Omdat u niet weet of iemand besluit uw gegevens naar Truecaller te sturen, gaat u duidelijk geen contract aan. U moet zich daarvan bewust zijn en ervoor kiezen partij te worden bij een dergelijk contract.
(c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting waaraan de verwerkingsverantwoordelijke onderworpen is; of
Er bestaat geen wettelijke verplichting voor Truecaller om deze dienst te verlenen of gegevens te verzamelen.
d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene te beschermen; of
Uw vitale belangen worden niet beschermd door Truecaller, waardoor iedereen uw naam kan achterhalen aan de hand van uw telefoonnummer. Het is zelfs waarschijnlijker dat uw vitale belang bij privacy (een mensenrecht) hierdoor wordt geschonden.
(e) de verwerking is noodzakelijk voor de uitvoering van een taak die wordt uitgevoerd in het algemeen belang of in het kader van de uitoefening van het openbaar gezag dat berust bij de verantwoordelijke voor de verwerking of bij een derde aan wie de gegevens toebehoren onthuld; of
Dit komt niet in de buurt van het algemeen belang, noch is er een officiële bevoegdheid om de verwerking uit te voeren.
(f) de verwerking is noodzakelijk voor de doeleinden van de legitieme belangen die worden nagestreefd door de verwerkingsverantwoordelijke of door de derde partij of partijen aan wie de gegevens worden verstrekt openbaar gemaakt, behalve wanneer dergelijke belangen terzijde worden geschoven door de belangen van de fundamentele rechten en vrijheden van de betrokkene die bescherming behoeven Artikel 1, lid 1.
Artikel 1 vereist dat “de fundamentele rechten en vrijheden van natuurlijke personen, en in het bijzonder hun recht op privacy met betrekking tot de verwerking van persoonsgegevens” worden beschermd. Deze clausule gaat hen niet helpen.
Als zodanig stel ik voor dat Truecaller geen wettelijke toestemming heeft om persoonlijke gegevens van niet-gebruikers van zijn dienst te verwerken. Gegevens die zij van anderen verzamelt, zijn niet hun gegevens; het zijn duidelijk en duidelijk de persoonlijke gegevens van andere betrokkenen. Deze mensen hebben (naar mijn mening) een geldige juridische claim tegen Truecaller. Omdat Truecaller gevestigd is in Zweden, een lidstaat van de Europese Unie, is de richtlijn gegevensbescherming op hen van toepassing.
Om dit soort functies geïntegreerd te zien in iets dat is ontstaan als aangepaste firmware, bedoeld om de gebruikers keuze en vrijheid te bieden, grenst aan ondoorgrondelijk. Nu Cyngn de "anti-Google" probeert te zijn, moeten ze misschien eerst een kijkje nemen voordat ze de nieuwste #bigthing in hun product integreren?
Misschien wordt het tijd dat de Europese slachtoffers van Truecaller samenkomen en een testcase hierover opstellen? Het lijkt mij vrij overzichtelijk. Truecaller heeft geen toestemming van degenen wier gegevens zij verwerken. Als de actie tegen Truecaller succesvol zou zijn, zouden bedrijven als Facebook de volgende kunnen zijn, gezien hun gewoonten van ‘bevrijden’ uw contactgegevens naar hun servers (zonder toestemming van de betrokkenen), om schaduwprofielen van niet-Facebook op te bouwen gebruikers. Aangezien we al weten dat Facebook zoveel mogelijk contactgegevens heeft verzameld, verzameld en samengebracht over niet-servicegebruikers (die geen toestemming had gegeven dat Facebook hun gegevens verwerkte), zou hun aanwezigheid in Ierland misschien een kopie van de gegevensbeschermingsrichtlijn moeten afdrukken en een lezen?