Tworzenie aplikacji mobilnej to najlepszy moment, aby zapewnić jej zgodność z zasadami ochrony danych osobowych. A co za tym idzie – właściwą ochronę praw i wolności osób, których dane będą w niej przetwarzane. Moment jest najlepszy, lecz aby uzyskać zgodność z RODO aplikacji mobilnej potrzeba włożyć nieco więcej pracy.
Dzięki temu oszczędzi się znacznie większego trudu i kłopotów w przyszłości. W końcu życie (i być może kontrolerzy z UODO) nauczy, że nie warto odkładać istotnych spraw na bliżej nieokreśloną przyszłość.
Doprowadzanie funkcjonującej aplikacji do zgodności z RODO i naprawianie zaistniałych skutków braku ochrony danych osobowych będzie znacznie trudniejsze i bardziej kosztowne, niż zadbanie o zgodność z RODO aplikacji mobilnej już na etapie jej tworzenia. Nawet, gdy do tego nie dołączy kara za naruszenia danych osobowych lub odszkodowanie dla osób, które złożą pozew do sądu.
Po pierwsze zespół
Do stworzenia aplikacji potrzeba zamawiającego, który ma pomysł na aplikację, dewelopera, który przełoży ten pomysł na produkt. Dodatkowo specjalistów od ochrony danych, którzy będą wspomagać w zapewnieniu aplikacji mobilnej zgodności z RODO i zasadami ochrony danych (czytaj: rzucać kłody pod nogi). A jeszcze do tego ewentualnie hostingodawca, który aplikację umieści w swojej infrastrukturze i serwisanta, który zapewni jej sprawne funkcjonowanie. Osoby te często są jednak z różnych bajek.
Zamawiający ma wizję aplikacji, wie co chce osiągnąć, ale zazwyczaj ma niewielkie pojęcie o stronie technicznej i ogólne o ochronie danych.
Deweloper wie, jak zbudować aplikację, jakich elementów użyć, aby miała odpowiednie funkcjonalności, działała sprawnie i bezawaryjnie. Nie bardzo go jednak interesuje co klocki, z których ją buduje, robią przy okazji z danymi. Czy np. ich dostawca nie wykorzystuje przetwarzanych danych do swoich celów.
Nieco zbliżone podejście mają hostingodawca i serwisant. Szczególnie ten pierwszy większą uwagę przywiązuje do szeroko pojętego bezpieczeństwa przetwarzania, zwłaszcza gdy jest to duży profesjonalny podmiot.
Specjaliści od RODO wiedzą natomiast, jakie dane można przetwarzać, jak należy je chronić, jak zapewnić ich ochronę i prawa przysługujące podmiotom danych, ale niekoniecznie znają się na informatyce. Potrafią zapewnić aplikacji mobilnej zgodność z RODO. Muszą jednak zapoznać się z budową i funkcjami aplikacji, z tym jak pobiera dane, gdzie je przechowuje, jaki jest ich przepływ. Czy, komu i jak się je udostępnia, jakie stosuje się narzędzia wspomagające przetwarzanie (cookies, wtyczki, narzędzia analityczne i marketingowe, integracje z innymi serwisami itp.), jakie są ich funkcjonalności i powiązania.
Już od pierwszych prac koncepcyjnych nad aplikacją, osoby te powinny mieć wolę współpracy, wyjaśniać swoje zadania, cele i potrzeby. Wtedy jest duża szansa, że powstanie aplikacja łącząca satysfakcjonującą funkcjonalność z zapewnieniem na odpowiednim poziomie ochrony danych osobowych i praw osób, których dane będą przetwarzane. Jest to fundamentalna rzecz, by zapewnić zgodność RODO aplikacji mobilnej.
Dzięki takiemu podejściu, obędzie się bez konieczności kosztownego wprowadzania wielu zmian na późniejszych etapach wdrażania.
Dzięki takiej współpracy osiągamy jeden z celów i ważnych zasad zapisanych w RODO, jakim jest:
Domyślna ochrona danych aplikacji mobilnych już na etapie projektowania
Czyli realizacja kluczowych zasad: privacy by design i privacy by default.
To nowe, ważne zasady wprowadzone przez RODO. Jest to jednocześnie obowiązek administratora danych przy projektowaniu nowych procesów, wiążących się z przetwarzaniem danych osobowych.
Administrator, już na etapie projektowania procesu związanego z przetwarzaniem danych osobowych, ma obowiązek tak go planować, aby:
– przetwarzać minimalną, konieczną ilość danych,
– przez jak najkrótszy czas,
– przy minimalizacji dostępu do danych,
– zapewnieniu na każdym etapie przetwarzania bezpieczeństwa danych na odpowiednim poziomie.
Musi on wdrażać w aplikacjach zasady ochrony danych i realizacji praw podmiotów danych osobowych, takie jak:
– informowanie,
– rejestracja zgód, sprzeciwów, udostępnień i powierzeń danych,
– dokumentowanie dostępu do danych, rejestrowanie operacji dokonywanych na nich,
– ustawianie czasów usunięcia danych,
– zapewnienie i dokumentowanie realizacji żądań osób, których dane aplikacja przetwarza itd.
Dzięki takiemu podejściu, już na etapie projektowania, uzyskuje się produkt spełniający wymagania bezpieczeństwa danych i zarzadzania nimi w łatwy sposób. Dorabianie koniecznych funkcjonalności zgodnych z RODO na etapie, gdy zarządzanie ochroną danych „na piechotę” stanie się zbyt uciążliwe lub całkowicie nieefektywne, będzie wymagało dużo większych nakładów finansowych i pracy.
Tworzenie dokumentacji podczas wykonania aplikacji
Ważną rzeczą, która przyda się na późniejszych etapach tworzenia aplikacji (także Polityki ochrony danych), jest bieżące tworzenie dokumentacji.
Powinna ona obejmować schematy budowy aplikacji, jej modułów, mapowanie procesów, tworzonych baz danych, użytych narzędzi informatycznych i ich funkcjonalności, gromadzonych danych, przepływu danych pomiędzy poszczególnymi modułami a także na zewnątrz aplikacji, do innych administratorów, dostępu do aplikacji, danych itd.
Konieczne jest zidentyfikowanie, w jaki sposób, czyje i jakie dane osobowe są zbierane, przesyłane, udostępniane oraz jakie inne czynności są na nich dokonywane.
Zakres pojęcia dane osobowe może być bardzo szeroki. Dane osobowe to także dane techniczne, jeśli można je jednoznacznie powiązać z konkretną osobą, (np. adres IP, MAC adres urządzenia, logowanie się z określonego położenia w określonym czasie).
Należy zwrócić tu szczególną uwagę na dane pobierane z aplikacji przez media społecznościowe, dostawców technologii takich jak Google, Facebook, Microsoft, Apple. Posiadają oni technologie i środki pozwalające na agregację danych pozyskanych z różnych źródeł, wyciąganie z tego wniosków, przeprowadzanie analiz i komercjalizowanie wyników, np. do celów reklamowych.
Korzyści z prowadzenia dokumentacji
Dzięki dokumentacji będzie wiadomo (także za kilka miesięcy lub lat), jak aplikacja jest zbudowana, jak jest zabezpieczona, jakimi drogami komunikuje się z innymi modułami aplikacji i z innymi aplikacjami administratora i podmiotów zewnętrznych, jak ta komunikacja jest zabezpieczona.
Dzięki rejestracji użytych narzędzi informatycznych będzie wiadomo, jakie technologie się zastosowało, w jaki sposób działają, czy i jak komunikują się z innymi aplikacjami, jakie dane przekazują. Jeśli są to inne aplikacje chmurowe lub np. wtyczki mediów społecznościowych, narzędzia analityczne bądź marketingowe, będzie wiadomo komu i jakie dane powierzamy lub udostępniamy.
Będziemy mogli ustalić, do jakich celów taki dostawca narzędzia może dane wykorzystywać, jakie to rodzi zagrożenia dla osób, których dane przetwarzamy.
Są to zagrożenia także dla administratora aplikacji, jest on bowiem odpowiedzialny za dane osobowe, które zebrał w aplikacji. Niezależnie od tego, kto i do jakich celów je wykorzysta, jeśli ktoś pozyskał te dane z aplikacji, administrator będzie za to odpowiedzialny.
Dokumentacja pozwala ustalić, które podmioty będą procesorami lub subprocesorami, a które współadministratorami lub administratorami, którym są udostępniane dane.
Mamy przecież obowiązek informowania osób zainteresowanych o zbieranych danych, dokonywanym przetwarzaniu, jego podstawach i zasadach, udostępnianiu danych, zabezpieczeniach, prawach tych osób itd.
Bez wiedzy o budowie aplikacji i o tym, co jest w niej użyte, spełnienie tych obowiązków będzie utrudnione. Późniejsze odtwarzanie tego, co w aplikacji zaszyto, będzie wymagało znacznego nakładu pracy i polegania na zawodnej pamięci. Ponadto dokumentacja aplikacji, baz danych, ich wzajemnych relacji jest niezbędnym elementem pomocnym w realizacji rozliczalności przetwarzania. Czyli wykazania, że przetwarzanie danych jest zgodne z zasadami określonymi w RODO i innych przepisach regulujących ich ochronę.
Zapewnienie bezpieczeństwa przetwarzania
Dane osobowe przetwarzane w aplikacjach trzeba odpowiednio zabezpieczać, aby dzięki temu prawa i wolności osób fizycznych pozostały niezagrożone. Z tego względu, oprócz zbierania i przetwarzania wyłącznie niezbędnych danych, musimy te dane odpowiednio zabezpieczyć.
Odpowiednie do zagrożeń zabezpieczenia powinna posiadać zarówno aplikacja mobilna jak i zarządzająca nią oraz przechowująca bazy danych aplikacja centralna. Połączenia między nimi, a także między aplikacjami a urządzeniami użytkowników oraz między aplikacją a innymi aplikacjami, do których przekazywane są dane (np. szybkie płatności, newsletter itp.), muszą być prowadzone bezpiecznymi, szyfrowanymi kanałami komunikacji.
Przy aplikacji mobilnej należy zwrócić szczególną uwagę na uprawnienia dostępu do funkcji urządzenia mobilnego, mających wpływ na prywatność. Są to np. mikrofon, kamera, położenie geograficzne, kontakty itd. Dostęp ten powinien wynikać jedynie z realizacji niezbędnych funkcjonalności aplikacji.
Trzeba także pamiętać, że na urządzeniu mobilnym zainstalowanych jest wiele innych aplikacji. Również z ich strony mogą pochodzić zagrożenia dla naszej aplikacji, jeśli nie będzie ona odpowiednio zabezpieczona.
Budowanie baz danych aplikacji mobilnej
Należy dokładnie przemyśleć sposób, w jaki będą budowane bazy danych aplikacji. Czy ma to być jedna baza, zawierająca wszystkie dane osoby, co jest najwygodniejsze do wykonania. A może alternatywnie, do poszczególnych funkcjonalności tworzy się osobne bazy, zawierające pseudonimizowane, za pomocą losowych identyfikatorów dane osoby. Dane te można przypisać konkretnej osobie po sparowaniu losowych identyfikatorów z bazą zawierającą podstawowe dane osobowe. Są to np. imię, nazwisko, adres itp.
Drugie rozwiązanie jest bardziej skomplikowane, chociaż bezpieczniejsze. Przy włamaniu do poszczególnych baz, wyciekają dane pseudonimizowane lub niekompletne. Łatwiej też będzie usunąć dane na żądanie osoby zainteresowanej. Wystarczy że usuniemy dane z bazy podstawowej, wraz z losowym identyfikatorem. Dzięki temu dane z pozostałych baz, nawet jeśli nie zostaną usunięte, stają się danymi anonimowymi.
Przy pracach deweloperskich i testowaniu aplikacji należy posługiwać się danymi fikcyjnymi lub pseudonimizowanymi, nigdy zaś danymi rzeczywistymi z baz roboczych. Należy również pamiętać o tak częstym zaniechaniu, jak pozostawianie domyślnych haseł do aplikacji i urządzeń, zwłaszcza w środowiskach testowych.
Jeśli planuje się przetwarzanie danych o szczególnym charakterze, np. dotyczące zdrowia, danych dzieci, danych o wysokim stopniu prywatności, lub szerokiego zakresu danych, prawdopodobnie będzie konieczne przeprowadzenie oceny skutków dla ochrony danych. Wyciek takich danych może spowodować dla użytkowników poważne, często nieodwracalne szkody materialne lub niematerialne.
W każdym przypadku wskazane jest przeprowadzenie oceny ryzyka przetwarzania. Dzięki temu oszacujemy, czy zakres przetwarzania jest odpowiedni, a zabezpieczenia wystarczające i proporcjonalne do zagrożeń i udokumentowanie przeprowadzenia tej oceny.
Wymogi sklepów z aplikacjami (Google Play, AppStore) – zgodność z RODO
Oprócz spełnienia wymogów ochrony danych wynikających z RODO, ustawy o ochronie danych osobowych, prawa telekomunikacyjnego, należy pamiętać, że sklepy z aplikacjami, takie jak Google Play i AppStore stosują własne, często zaostrzone zasady.
Dotyczą one m.in. sposobu informowania, udostępniania regulaminu i polityki prywatności, a także pozyskiwania zgód, łatwości odwoływania zgód itp.
Obecnie wymagają np. aby treść polityki, regulaminu czy zgody na przetwarzanie w określonym celu, była umieszczona w osobnym oknie, pojawiającym się przy próbie udzielenia zgody lub akceptacji. Aby uniknąć przykrych niespodzianek, warto sprawdzać aktualne wymagania tych platform sprzedaży aplikacji.
Integracja z mediami społecznościowymi
Przynosi ona obopólne korzyści. Poszerza zasięg aplikacji, ułatwia umieszczanie treści w mediach społecznościowych, dostarcza danych analitycznych przydatnych w rozwoju aplikacji. Dostawcy tych mediów w zamian otrzymują materiał do różnorodnych analityk. Często agregują z danymi z innych źródeł i wykorzystują do celów marketingowych.
Należy pamiętać, że niektóre wtyczki mediów społecznościowych już po umieszczeniu ich w aplikacji, nawet nieklikane, są aktywne. Oznacza to, że przekazują dostawcy wtyczki informacji o aktywności użytkownika korzystającego z aplikacji. O takiej funkcji wtyczki należy informować użytkowników, np. w Polityce prywatności.
Jeśli nie chcemy, aby wtyczka śledziła użytkowników, należy w aplikacji umieścić ikonę z linkiem do wtyczki. Wtedy dopiero klikniecie na ikonę z linkiem aktywuje wtyczkę.
Wypełnienie obowiązków RODO wobec użytkowników aplikacji
Administrator aplikacji ma pewne, określone w RODO, obowiązki wobec osób, których dane przetwarza. Aplikacja musi zapewnić ich realizację.
Informacja o przetwarzaniu danych osobowych, często występuje w formie Polityki prywatności. Powinna ona:
– identyfikować administratora (ew. współadministratorów) danych,
– przedstawiać cele przetwarzania danych i podstawy prawne,
– zakres i czas przetwarzania danych,
– prawa podmiotów danych i sposób ich realizacji,
– informować o podmiotach, którym powierzono przetwarzanie danych,
– podmiotach, którym udostępniane są dane.
Należy poinformować o stosowaniu plików cookie i innych technologii śledzących, analitycznych, marketingowych lub wtyczek społecznościowych. Przekazują one dane innym administratorom lub są narzędziami chmurowymi. Powinno się wymienić poszczególne narzędzia, ich dostawcę, istotę działania, jakie dane i w jakim celu pobierają, przetwarzają, komu je przekazują. Ważne też jest do czego wykorzystuje je dostawca narzędzia, czy dokonywane jest profilowanie itp.
W niektórych przypadkach dostawca narzędzia (np. wtyczki „Lubię to” Facebooka) jest uznawany za współadministratora. Mimo że ze wspólnego przetwarzania w aplikacji osiąga inne cele. Administrator otrzymuje bezpłatne analityki, a dostawca wtyczki dane, które spienięża w celach marketingowych i reklamowych.
Zgody na przetwarzanie danych
Zgody na przetwarzanie pozyskuje się osobno dla każdego celu, nigdy zbiorczo, gdyż takie zbiorczo pozyskiwane zgody są nieważne. Odwołanie zgód powinno być równie łatwe jak jej udzielenie. Informacje, Polityka prywatności, sekcja zgód i ustawień prywatności powinny być łatwo dostępne. Niewskazane jest, aby trzeba było ich szukać w zakamarkach aplikacji.
Polityka prywatności i zgody powinny być w aplikacji dostępne. Zapoznanie się z nimi natomiast potwierdzone przez użytkownika, zanim zacznie udostępniać dane osobowe.
Jeśli aplikacja będzie funkcjonowała także poza obszarem EOG, należy sprawdzić obowiązujące tam przepisy dotyczące ochrony danych osobowych. Trzeba dostosować do nich aplikację, jeśli przepisy się różnią.
Pocieszające jest, że aplikacja zgodna z RODO, najczęściej będzie też zgodna z wymogami większości państw posiadających regulacje dotyczące ochrony danych. Ewentualne, konieczne zmiany będą wówczas raczej niewielkie.
Podsumowanie
Aby wypełniać swoje obowiązki, administrator musi dobrze znać przetwarzanie danych w swojej aplikacji. Dzięki temu będzie mógł działać bez obawy popełnienia błędu lub pominięcia.
Powinien więc na etapie projektowania i budowania aplikacji otrzymywać od zespołu wszelkie niezbędne informacje. Dzięki temu będzie mógł zapewnić zgodność z RODO swojej aplikacji mobilnej. Stąd też tak ważne są współpraca i zrozumienie między członkami zespołu tworzącego aplikację, o których mowa była na początku artykułu.
Informacja o Administratorze i treść Polityki prywatności znajduje się tutaj: (link)
