Ochrona danych osobowych w aplikacjach mobilnych. Poradnik dla deweloperów
Według powszechnie dostępnych źródeł na początku 2022 r. istniało ponad 6 mln aplikacji mobilnych. W zasadzie każda z nich gromadzi jakieś informacje o swoich użytkownikach. Rolą twórców aplikacji jest zapewnienie zgodności produktu z wymogami dotyczącymi ochrony danych osobowych.
Deweloperzy muszą sprostać wymogom wynikającym wprost z przepisów prawa oraz tym, które nakładają na nich platformy dystrybuujące i promujące aplikacje mobilne.
Część aplikacji gromadzi dane wprost umożliwiające identyfikację konkretnego użytkownika. To te, w których wymagane jest założenie konta i podanie danych osobowych niezbędnych do korzystania z jego funkcjonalności. Inne opierają swoje działania na zbieraniu danych, które choć wydawać by się mogło nie pozwalają na identyfikację konkretnej osoby, to z prawnego punktu widzenia również podlegają ochronie. Do tego rodzaju informacji zaliczyć trzeba między innymi dane zbierane za pośrednictwem technologii śledzących, w tym IP urządzenia oraz inne informacje dotyczące urządzenia, z którego korzysta użytkownik aplikacji.
Bez względu na to w jakiej formie będzie funkcjonowała aplikacja, każdy deweloper powinien zapewnić bezpieczeństwo danych osobowych użytkowników aplikacji mobilnej. Oprócz gwarancji działania zgodnego z prawem, takie postępowanie buduje pozytywny wizerunek dewelopera oraz stworzonej przez niego aplikacji.
Jeśli planujesz wdrożenie aplikacji mobilnej, zapoznaj się z checklistą wymagań prawnych dotyczących ochrony danych osobowych.
Privacy by design i Privacy by default
Tworząc aplikację mobilną pamiętaj o uwzględnieniu ochrony danych osobowych już w fazie jej projektowania. Ustal pełen zakres informacji dotyczących ochrony danych osobowych:
- charakter,
- zakres,
- kontekst i cel przetwarzania,
- ryzyka naruszenia praw lub wolności osób fizycznych.
Poza tym, zgodnie z zasadą privacy by default, aplikacja domyślnie powinna zbierać wyłącznie dane osobowe, które są niezbędne do korzystania z jej funkcjonalności. W tym zakresie przeprowadź ocenę:
- ilości zbieranych danych oraz ich zakresu,
- okresu przechowywania danych oraz
- zasad dostępności do danych.
Zadbaj o udokumentowanie tego, w jaki sposób realizowałeś obowiązek oceny zgodności aplikacji z wymienionymi zasadami.
Analiza ryzyka
Zaprojektowanie i wdrożenie aplikacji mobilnej wymaga przeprowadzenia analizy ryzyka.
- Ustal wszystkie procesy i czynności przetwarzania, które mogą mieć miejsce w ramach funkcjonowania aplikacji.
- Zidentyfikuj wszystkie potencjalne zagrożenia dla danych osobowych.
- Po zidentyfikowaniu zagrożeń, określ środki zmierzające do ich zminimalizowania.
Polityka prywatności
Obowiązek informacyjny jest jednym z podstawowych obowiązków wobec osób, których dane są przetwarzane. Wdrażając aplikację mobilną musisz spełnić obowiązki informacyjne wynikające z przepisów prawa. Musisz również spełnić warunki nałożone przez podmioty prowadzące platformy, które dystrybuują i promują aplikacje (np. Google Play, APP Store).
Za pośrednictwem swojego konta w wybranej platformie musisz przekazać wymagane informacje dotyczące bezpieczeństwa danych osobowych użytkowników aplikacji. Informacje te będą następnie przekazywane użytkownikom. Do informacji tych należą między innymi informacje o:
- zakresie zbieranych danych,
- podmiotach, którym dane mogą być udostępnianie,
- praktykach dotyczących bezpieczeństwa danych osobowych.
Jako deweloper masz również obowiązek zamieszczenia dokumentu opisującego zasady ochrony prywatności użytkowników aplikacji. Ważne jest to, że każda platforma może wprowadzać w tym zakresie inne obowiązki i zasady. Istotne jest zatem, aby przed przesłaniem aplikacji zapoznać się z warunkami każdego z dostawców i wypełnić obowiązki zgodnie z jego wymaganiami.
Brak spełnienia tych wymogów może skutkować odmową dystrybucji aplikacji, albo w przypadku, gdy jest już ona dystrybuowana, wezwaniem do ich spełnienia pod rygorem zawieszenia dystrybucji.
Udostępniany użytkownikom dokument polityki prywatności powinien zawierać między innymi informacje o:
- deweloperze (dane identyfikacyjne oraz dane kontaktowe),
- zakresie przetwarzanych danych,
- celach przetwarzania danych,
- podstawach prawnych,
- okresie przechowywania danych osobowych,
- odbiorcach danych,
- prawach użytkowników związanych z ochroną ich danych osobowych.
W 2022 r., zgodnie z informacjami przekazanymi przez Urząd Ochrony Danych Osobowych (UODO), organ przeprowadził kontrole u trzynastu przedsiębiorców oferujących aplikacje mobilne. UODO zapowiedział, że będzie kontynuował kontrole w tym zakresie.
Kolejny artykuł o ochronie danych osobowych w aplikacjach mobilnych już wkrótce. Przyjrzymy się kontrolom UODO, a w szczególności temu, jak należy się do takiej kontroli przygotować.
radca prawny Patrycja Wasilewska
Zobacz również:
-
Zwrot lokalu w pogorszonym stanie. Czy wynajmujący może odmówić odebrania lokalu?
Jednym z podstawowych obowiązków najemcy lokalu po zakończeniu najmu jest ...
-
Wykorzystujesz opinie klientów jako narzędzie marketingowe? Sprawdź, czy robisz to w zgodzie z przepisami prawa
Opinie klientów są doskonałym narzędziem marketingowym, które pomaga budować wizerunek ...
-
Otrzymaliśmy dofinansowanie na udział w misji gospodarczej do Serbii
Z przyjemnością informujemy, że Kancelaria Radców Prawnych Bieluk i Partnerzy ...