Według powszechnie dostępnych źródeł na początku 2022 r. istniało ponad 6 mln aplikacji mobilnych. W zasadzie każda z nich gromadzi jakieś informacje o swoich użytkownikach. Rolą twórców aplikacji jest zapewnienie zgodności produktu z wymogami dotyczącymi ochrony danych osobowych. 

Deweloperzy muszą sprostać wymogom wynikającym wprost z przepisów prawa oraz tym, które nakładają na nich platformy dystrybuujące i promujące aplikacje mobilne.

Część aplikacji gromadzi dane wprost umożliwiające identyfikację konkretnego użytkownika. To te, w których wymagane jest założenie konta i podanie danych osobowych niezbędnych do korzystania z jego funkcjonalności. Inne opierają swoje działania na zbieraniu danych, które choć wydawać by się mogło nie pozwalają na identyfikację konkretnej osoby, to z prawnego punktu widzenia również podlegają ochronie. Do tego rodzaju informacji zaliczyć trzeba między innymi dane zbierane za pośrednictwem technologii śledzących, w tym IP urządzenia oraz inne informacje dotyczące urządzenia, z którego korzysta użytkownik aplikacji.

Bez względu na to w jakiej formie będzie funkcjonowała aplikacja, każdy deweloper powinien zapewnić bezpieczeństwo danych osobowych użytkowników aplikacji mobilnej. Oprócz gwarancji działania zgodnego z prawem, takie postępowanie buduje pozytywny wizerunek dewelopera oraz stworzonej przez niego aplikacji.

Jeśli planujesz wdrożenie aplikacji mobilnej, zapoznaj się z checklistą wymagań prawnych dotyczących ochrony danych osobowych.  

Privacy by design i Privacy by default

Tworząc aplikację mobilną pamiętaj o uwzględnieniu ochrony danych osobowych już w fazie jej projektowania. Ustal pełen zakres informacji dotyczących ochrony danych osobowych:

• charakter,
• zakres,
• kontekst i cel przetwarzania,
• ryzyka naruszenia praw lub wolności osób fizycznych.

Poza tym, zgodnie z zasadą privacy by default, aplikacja domyślnie powinna zbierać wyłącznie dane osobowe, które są niezbędne do korzystania z jej funkcjonalności. W tym zakresie przeprowadź ocenę:

• ilości zbieranych danych oraz ich zakresu,
• okresu przechowywania danych oraz 
• zasad dostępności do danych.

Zadbaj o udokumentowanie tego, w jaki sposób realizowałeś obowiązek oceny zgodności aplikacji z wymienionymi zasadami.  

Analiza ryzyka

Zaprojektowanie i wdrożenie aplikacji mobilnej wymaga przeprowadzenia analizy ryzyka. 

• Ustal wszystkie procesy i czynności przetwarzania, które mogą mieć miejsce w ramach funkcjonowania aplikacji. 
• Zidentyfikuj wszystkie potencjalne zagrożenia dla danych osobowych.
• Po zidentyfikowaniu zagrożeń, określ środki zmierzające do ich zminimalizowania.

Polityka prywatności

Obowiązek informacyjny jest jednym z podstawowych obowiązków wobec osób, których dane są przetwarzane. Wdrażając aplikację mobilną musisz spełnić obowiązki informacyjne wynikające z przepisów prawa. Musisz również spełnić warunki nałożone przez podmioty prowadzące platformy, które dystrybuują i promują aplikacje (np. Google Play, APP Store).

Za pośrednictwem swojego konta w wybranej platformie musisz przekazać wymagane informacje dotyczące bezpieczeństwa danych osobowych użytkowników aplikacji. Informacje te będą następnie przekazywane użytkownikom. Do informacji tych należą między innymi informacje o:

• zakresie zbieranych danych,
• podmiotach, którym dane mogą być udostępnianie,
• praktykach dotyczących bezpieczeństwa danych osobowych.

Jako deweloper masz również obowiązek zamieszczenia dokumentu opisującego zasady ochrony prywatności użytkowników aplikacji. Ważne jest to, że każda platforma może wprowadzać w tym zakresie inne obowiązki i zasady. Istotne jest zatem, aby przed przesłaniem aplikacji zapoznać się z warunkami każdego z dostawców i wypełnić obowiązki zgodnie z jego wymaganiami.

Brak spełnienia tych wymogów może skutkować odmową dystrybucji aplikacji, albo w przypadku, gdy jest już ona dystrybuowana, wezwaniem do ich spełnienia pod rygorem zawieszenia dystrybucji.

Udostępniany użytkownikom dokument polityki prywatności powinien zawierać między innymi informacje o:

• deweloperze (dane identyfikacyjne oraz dane kontaktowe),
• zakresie przetwarzanych danych,
• celach przetwarzania danych,
• podstawach prawnych,
• okresie przechowywania danych osobowych,
• odbiorcach danych,
• prawach użytkowników związanych z ochroną ich danych osobowych.

W 2022 r., zgodnie z informacjami przekazanymi przez Urząd Ochrony Danych Osobowych (UODO), organ przeprowadził kontrole u trzynastu przedsiębiorców oferujących aplikacje mobilne. UODO zapowiedział, że będzie kontynuował kontrole w tym zakresie.

Kolejny artykuł o ochronie danych osobowych w aplikacjach mobilnych już wkrótce. Przyjrzymy się kontrolom UODO, a w szczególności temu, jak należy się do takiej kontroli przygotować.

radca prawny Patrycja Wasilewska