Jak stworzyć aplikację mobilną zgodnie z RODO

Dodane:

Karolina Ściechulska Karolina Ściechulska

Udostępnij:

Aplikacje mobilne są obecnie wykorzystywane na bardzo szeroką skalę w niezmiernie różnorodnych celach, ale wszystkie powinny mieć jedną wspólną cechę – powinny gwarantować użytkownikom właściwe zabezpieczenie ich danych osobowych.

Zgodnie z wprowadzoną przez RODO zasadą privacy by design twórca aplikacji już na etapie jej tworzenia powinien mieć na względzie zapewnienie jak najlepszej ochrony danych osobowych użytkowników. Poniżej przedstawiamy niektóre wymogi, jakie aplikacja powinna spełniać, by mogła zostać uznana za zgodną z RODO.

1. Polityka prywatności

RODO nakłada na administratorów szereg obowiązków informacyjnych. Większość z nich można spełnić umieszczając je w tzw. polityce prywatności.

Administrator powinien przede wszystkim podać w niej swoje dane kontaktowe i inspektora danych osobowych, jeśli został wyznaczony (o czym niżej) oraz poinformować o podstawie prawnej i celach, w jakich dokonywane jest przetwarzanie danych. Musi również poinformować o tym, czy dokonuje profilowania oraz czy przekazuje dane innym podmiotom, w tym do państw trzecich. Jest także zobowiązany określić, jakie dane i jak długo będą przetwarzane oraz przedstawić użytkownikom ich prawa, przede wszystkim do cofnięcia zgody w dowolnym momencie i wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Polityka prywatności powinna być napisana zrozumiałym dla użytkownika językiem i umieszczona w osobnej zakładce, tak aby w każdej chwili i bez problemu można było się z nią zapoznać.

Warto również, by administrator lub inspektor ochrony danych posiadał odrębny adres e-mail, dedykowany tylko i wyłącznie kwestii ochrony danych użytkowników, co będzie sprzyjało szybkiej i poprawnej reakcji w szczególności na wykonywanie praw przez użytkowników.

2. Zasada minimalizacji danych

Administrator danych może przetwarzać wyłącznie te dane, które są mu obiektywnie potrzebne i których przetwarzanie jest ograniczone wyłącznie do celów, dla których są przetwarzane. Zatem aplikacja nie powinna wymagać podania większej ilości danych, niż jest to naprawdę konieczne do jej prawidłowego funkcjonowania. Oznacza to na przykład, że aplikacja do obróbki fotografii może żądać dostępu do zdjęć zapisanych na telefonie, ale informacja o geolokalizacji nie jest jej już potrzebna do wykonywania czynności, do których jest przeznaczona (dlatego aplikacja ta nie powinna wymagać takich danych do korzystania z jej funkcjonalności).

3. DPIA, czyli ocena skutków dla ochrony danych

Uregulowana w art. 35 RODO ocena skutków dla ochrony danych jest ważnym narzędziem, ponieważ ułatwia administratorom nie tylko przestrzeganie wymogów określonych w RODO, ale także wykazanie, że podjęto odpowiednie środki w celu zapewnienia przestrzegania przepisów. Innymi słowy, ocena skutków dla ochrony danych jest procesem budowania i wykazywania zgodności procesów w aplikacji z RODO. Jeżeli operacja przetwarzania danych wiąże się z wysokim ryzykiem, czyli w szczególności, jeżeli administrator profiluje dane, przetwarza je na dużą skalę lub regularnie monitoruje miejsca dostępne publicznie, to musi dokonać DPIA. Nawet jeśli twórca aplikacji nie spełnia któregoś z powyższych kryteriów, powinien rozważyć dokonanie takiej analizy. W przypadku ewentualnej kontroli organu nadzorczego będzie mu łatwiej wykazać zgodność przyjętych rozwiązań z rozporządzeniem.

Administratorzy jakich aplikacji powinni bez zastanowienia przeprowadzić DPIA? Wskazówką będzie tu Komunikat Prezesa Urzędu Ochrony Danych Osobowych w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony, a wśród aplikacji, które powinny być przedmiotem DPIA, wymienia się przykładowo:

  1. aplikacje służące do oceny stylu życia, odżywiania się, jazdy, sposobu spędzania czasu itp. osób fizycznych w celu np. podwyższenia im ceny składki ubezpieczeniowej;
  2. aplikacje profilujące klientów pod kątem zidentyfikowania preferencji zakupowych, automatycznego ustalania cen promocyjnych w oparciu o profil;
  3. aplikacje do monitorowanie zakupów i preferencji zakupowych (np. alkohol, słodycze);
  4. aplikacje monitorujące czas pracy pracowników oraz wykorzystywanych przez nich narzędzi (poczty elektronicznej, internetu);
  5. aplikacje przetwarzające dane pozyskiwane przez internet rzeczy (opaski medyczne, smartwatche itp.) oraz ich przesyłanie w sieci przy użyciu urządzeń mobilnych typu smartfon czy tablet ;
  6. aplikacje do komunikacji typu maszyna – maszyna, np. w których samochód informuje otoczenie o swoim zachowaniu (ruchu) i w przypadku pojawiającego się zagrożenia otrzymuje od tego otoczenia (infrastruktura drogowa, inne samochody) komunikaty ostrzegawcze;
  7. aplikacje do monitoringu osiągnięć sportowych współpracujące z opaskami typu fitness, wykorzystujące chmurę obliczeniową;
  8. aplikacje dostarczane przez producentów czytników elektronicznych do zakupu książek, gazet elektronicznych z funkcjami robienia notatek itp.;
  9. aplikacje typu „life-logging”, które mogą zawierać informacje o bardzo osobistym charakterze.

Oczywiście powyższa lista jest przykładowa. Niektóre aplikacje, które zgadzają się z powyższym opisem, mogą nie spełniać przesłanek przeprowadzenia DPIA, i odwrotnie – aplikacja spoza listy może być na tyle innowacyjna lub ryzykowna, iż powinna być przedmiotem DPIA.

4. Inspektor ochrony danych

Powołanie inspektora danych osobowych jest konieczne w trzech sytuacjach:

  1. przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  2. główna działalność administratora czy aplikacji polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  3. główna działalność administratora czy aplikacji polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (tzw. danych wrażliwych) lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych.

W zależności od charakteru i funkcjonalności aplikacji mobilnej będzie to zatem opcja obligatoryjna, a nawet jeśli aplikacja nie spełnia któregoś z kryteriów, to i tak jest to zalecane i wygodne rozwiązanie.

Informacja o inspektorze ochrony danych (w szczególności jego adres e-mail) powinna być łatwo dostępna dla osób, których dane dotyczą. Dane inspektora powinny zostać umieszczone w dedykowanej zakładce aplikacji z kontaktami lub okienku, by nie było problemu z ich znalezieniem. Pamiętajmy – niewystarczające jest, że podamy kontakt do inspektora tylko w polityce prywatności, ponieważ nie będzie to wówczas łatwo dostępna informacja!

5. Umowy powierzenia przetwarzania danych

W kontekście tworzenia aplikacji, pamiętajmy, że często kim innym jest twórca, a kim innym wykonawca, a jeszcze inny podmiot jest dostawcą usług.

Każda sytuacja, w której podmiot trzeci (inny niż administrator) bierze udział w przetwarzaniu danych, wymaga zawarcia umowy powierzenia. Co ważne, w przeciwieństwie do czasów sprzed RODO, taką umowę można zawrzeć również elektronicznie, na etapie rejestracji, zazwyczaj poprzez akceptację regulaminu, w którym zawarte są postanowienia dotyczące powierzenia.

Druga istotna kwestia – przechowywanie to też przetwarzanie! Jeżeli więc zawieramy umowę z hostingodawcą, u którego będzie utrzymywana aplikacja, to on również z dużą dozą pewności będzie procesorem danych osobowych.

6. Checkboxy

Podstawowym i zarazem obowiązkowym checkboxem jest ten, poprzez który administrator uzyskuje zgodę na przetwarzanie danych osobowych. Jednak pamiętajmy, że wykonywanie umowy (a więc np. założenie konta) nie wymaga zgody. Nie wprowadzajmy więc checkboxów tam, gdzie zgoda wynika wprost z przepisów prawa. Osobno należy utworzyć okienko dotyczące akceptacji regulaminu aplikacji (ponieważ to wynika z praw konsumenta w przedmiocie zawierania umów), a także kolejne odnośnie wyrażenia zgody na otrzymywanie informacji marketingowych drogą elektroniczną lub profilowania skutkującego podjęciem określonych decyzji w stosunku do użytkownika.

7. Hasła

Zabezpieczenie danych w aplikacji hasłem leży nie tylko po stronie użytkownika. Administrator również powinien wprowadzić rozwiązania i zabezpieczenia uniemożliwiające przedostanie się danych osobowych w niepowołane ręce. Przede wszystkim należy ustalić wymóg, że hasło powinno składać się z określonej ilości znaków, z małych i wielkich liter, cyfr oraz znaków specjalnych. Chodzi o to, by było na tyle unikatowe, że jego rozszyfrowanie dla osoby trzeciej będzie niemal niemożliwe. Aplikacja powinna również wymuszać resetowanie hasła raz na jakiś czas. Jest to praktyka ułatwiająca należyte zabezpieczenie danych logowania. Ważną kwestią jest także automatyczne wylogowywanie użytkownika z aplikacji po upływie określonego czasu od jej nieużywania.

8. Retencja danych

Dane osobowe po zakończeniu przetwarzania powinny zostać usunięte. To na administratorze ciąży obowiązek nadzorowania czy upoważnienie do przetwarzania danych nadal obowiązuje, czy może dane stały się zbędne i należy je usunąć. Wyżej pisaliśmy już, że w polityce prywatności należy zawrzeć informację o tym, jakie dane i jak długo będą przetwarzane. W niektórych przypadkach okres ten regulują odrębne przepisy. Tak też dane osobowe przetwarzane na potrzeby rachunkowości oraz ze względów podatkowych mogą być przetwarzane tak długo, jak administrator danych będzie do tego zobligowany przepisami prawa. Na gruncie obecnie obowiązującej Ustawy o rachunkowości jest to okres 5 lat. Jednak pamiętajmy, że nie wszystkie dane będą mu do tego niezbędne. Przykładowo wizerunek użytkownika (który również jest daną osobową) raczej nie będzie interesował organów skarbowych w ramach kontroli. Nie możemy więc przetrzymywać wizerunku użytkownika ponad niezbędny czas.

Podsumowując: aktualnie, jako twórca aplikacji, mamy kilka obowiązkowych punktów do spełnienia, zanim aplikacja zostanie przez nas wprowadzona do powszechnego użytku. Twórca nie może skupić się tylko i wyłącznie na zaprojektowaniu jej pod względem efektownych funkcjonalności czy szaty graficznej. Administrator powinien też jak najlepiej zabezpieczyć dane swoich użytkowników, gdyż to on będzie ponosił odpowiedzialność za niedopełnienie RODOwskich obowiązków.

 –

Karolina Ściechulska
Prawnik w LAWMORE

Specjalizuje się w prawie nowych technologii i ochronie danych osobowych. Na co dzień wdraża RODO w firmach technologicznych.