RODO – wskazówki dla twórców aplikacji mobilnych

punktu widzenia nowych przepisów podstawowym problemem przy tworzeniu aplikacji mobilnych, jest odpowiedź na pytanie jaką rolę w procesie przetwarzania danych osobowych mają  twórcy aplikacji mobilnych oraz ich kontrahenci, którzy świadczą dodatkowe usługi niezbędne do stworzenia aplikacji (np. usługi outsourcingowe). W tym zakresie RODO wyróżnia dwa pojęcia: administrator danych oraz podmiot przetwarzający (tzw. procesor). Najważniejsze decyzje podejmuje administrator danych, który wyznacza cele i sposoby przetwarzania danych. To na nim spoczywa główna odpowiedzialność za bezpieczeństwo danych osobowych przetwarzanych w aplikacji. Na określenie poszczególnych ról wpływa wiele czynników, m.in. korzystanie z własnych bądź zewnętrznych serwerów do tworzenia i funkcjonowania aplikacji czy też wykorzystywanie zewnętrznych reklam już na etapie korzystania z aplikacji. Ze względu na powszechność szczególnie ważne jest podkreślenie relacji między twórcą a usługodawcą, który zapewnia infrastrukturę w postaci np. zewnętrznej chmury obliczeniowej.

 

Co do zasady twórca będzie administratorem danych, a dostawca podmiotem przetwarzającym dane osobowe w jego imieniu. Dlatego też niezbędne jest zadbanie o umowę powierzenia danych osobowych, która będzie spełniała wymagania RODO. Przede wszystkim umowa powinna zawierać postanowienia dotyczące przedmiotu przetwarzania, a więc zakresu danych, do których będzie miał dostęp procesor oraz celów, dla jakich dane są przetwarzane. Umowa musi wskazywać również prawa i obowiązki administratora i podmiotu przetwarzającego. Szczególnie ważne jest podkreślenie, że podmiot przetwarzający powinien działać tylko i wyłącznie na udokumentowane polecenie administratora. W praktyce często jest tak, że to dostawcy usług cloudowych mają silniejszą pozycję na rynku, a co za tym idzie posiadają własne gotowe umowy powierzenia lub ogólne warunki umowy, które mogą zwalniać ich z odpowiedzialności oraz często wymuszają dostęp do zbyt wielu danych osobowych. Niezwykle ważna jest analiza umów powierzenia przed ich zawarciem, w której warto skorzystać ze wsparcia prawników wyspecjalizowanych w zakresie przetwarzania danych osobowych.

 

Następnym krokiem niezbędnym do zapewnienia zgodności z RODO jest analiza, do jakich danych twórca aplikacji mobilnej ma dostęp i czy nie przetwarza zbyt dużej ilości danych (tzw. danych nadmiarowych). Jedną z podstawowych zasad wyrażonych w RODO jest zasada minimalizacji danych. Zgodnie z tą zasadą administrator danych może przetwarzać wyłącznie te dane, które są adekwatne i których przetwarzanie jest ograniczone wyłącznie do celów, dla których są przetwarzane. Minimalny zakres danych będzie na pewno dotyczył numerów IMEI i IP urządzeń, na które pobrana została aplikacja. Jednak im większy zakres zbieranych danych, tym większa potrzeba wykazania, że są one administratorowi danych faktycznie niezbędne  do poprawnego działania aplikacji. Zupełnie inne dane są niezbędne do funkcjonowania aplikacji, która ma służyć wyłącznie tworzeniu fiszek, niż do tej która wskazuje najbliższe restauracje według naszych preferencji co do rodzaju kuchni. W obu przypadkach na pewno nie można żądać dostępu do danych typu „galeria zdjęć” czy „dyktafon”, co jest dosyć częstą praktyką w przypadku obecnie oferowanych aplikacji mobilnych.

 

Określenie danych jest niezbędne nie tylko dla administratora danych, ale również dla osoby, której dane są przetwarzane, gdyż ma ona prawo uzyskać dostęp do informacji na temat procesów obejmujących jej dane. Twórca aplikacji (jeżeli jest administratorem danych, gdyż to na nim spoczywa ten obowiązek) powinien poinformować taką osobę w „polityce prywatności” o przetwarzaniu jej danych przez pobraną na urządzenie aplikację. Zgodnie z zasadą transparentności wyrażoną w RODO uzyskanie informacji na temat przetwarzania danych powinno być tak samo proste jak korzystanie z aplikacji, którą pobrał użytkownik. Poświęcona „polityce prywatności” część aplikacji powinna być przede wszystkim łatwo dostępna dla użytkownika (tzw. zasada dwóch kliknięć) i czytelna. Szerzej o treści  obowiązku informacyjnego i jego aspektach w poprzednim artykule. 

 

Jeszcze przed przystąpieniem do stworzenia aplikacji mobilnej należy przeanalizować, jakie potencjalne konsekwencje dla danych osobowych mogą wiązać się z korzystaniem z  konkretnej aplikacji. RODO nazywa taką analizę oceną skutków dla ochrony danych (powszechny skrót  DPIA – ang. data protection impact assesment) i wskazuje w art. 35 RODO, które podmioty są zobligowane do przeprowadzenia takiej formalnej oceny. Jeżeli administrator danych profiluje dane osobowe, przetwarza na dużą skalę lub regularnie monitoruje miejsca dostępne publicznie, musi dokonać DPIA. Jednak nawet jeśli twórca aplikacji nie spełnia jednego z powyższych kryteriów, powinien rozważyć dokonanie takiej analizy, aby w przypadku ewentualnej kontroli organu nadzorczego wykazać zgodność przyjętych rozwiązań z rozporządzeniem. W wersji minimum ocena powinna zawierać opis planowanych operacji na danych osobowych, ich ocenę pod kątem proporcjonalności i ryzyka naruszenia praw osób, których dane dotyczą oraz listę planowanych środków, które powinny zabezpieczyć dane przed naruszeniem ich bezpieczeństwa. Analizę powinien przeprowadzić administrator danych razem z Inspektorem Ochrony Danych Osobowych, o ile ten został powołany. Podobnie jak w przypadku DPIA, istnieją procesy przetwarzania danych, które na gruncie RODO wymuszają powołanie Inspektora Ochrony Danych. Dlatego też, jeżeli administrator danych nie jest pewny co jest jego obowiązkiem, a co tylko zaleceniem, powinien rozważyć dokonanie kompleksowego audytu prawno-technologicznego, dzięki któremu dowie się, czy procesy których dokonuje na danych osobowych, są bezpieczne i zgodne z prawem.

 

Oprócz tego, że głównym celem RODO jest  zapewnienie bezpieczeństwa danych osobowych, to nie należy zapominać, że rozporządzenie gwarantuje osobom, których dane dotyczą, szereg praw, które mają chronić ich prywatność. Część z nich obowiązywała już na gruncie uchylonej ustawy o ochronie danych osobowych, ale pojawiły się również nowe prawa, które mają jeszcze wzmocnić ochronę prywatności użytkowników. Jednym z nich jest prawo do przenoszenia danych. Po pierwsze, gwarantuje ono dostęp użytkownika do jego danych, które powinien otrzymać od aktualnego administratora danych w powszechnie używanym formacie nadającym się do odczytu maszynowego. Po drugie, osoba może przekazać te dane innemu administratorowi bez możliwości przeciwstawienia się aktualnego administratora wobec tego działania. Na żądanie osoby, która chce zrealizować swoje prawo, przeniesienia powinien dokonać wręcz sam administrator, jeżeli jest to technicznie możliwe. Najwięcej wątpliwości budzi kwestia formy przekazania danych tj. wyjaśnienia co to jest „powszechnie używany format nadający się do odczytu maszynowego”. Europejski organ nadzorczy wskazuje, że co do zasady powinien być to np. format HTML, JSON, XML, CSV, jednak może różnić się w zależności od tego, dla jakich celów dane są przetwarzane. Najważniejsze, aby osoba oraz potencjalny nowy administrator danych mogli w łatwy sposób mieć wgląd do danych, które wcześniej zostały udostępnione. Prawo do przenoszenia dotyczy bezpośrednio wskazanego na początku tekstu warunku –  administrator musi wiedzieć, jakimi informacjami zarządza, co jest daną osobową, a co nie, a także, gdzie poszczególne informacje się znajdują oraz komu są udostępniane. 

 

Twórcy aplikacji mobilnych już na wstępnym etapie projektowania aplikacji, powinni dokładnie przeanalizować potencjalne ryzyka związane z przetwarzaniem danych osobowych (tzw. zasada privacy by design). Chęć osiągnięcia  jak największej liczby pobrań oraz dostępności do aplikacji nie powinna zdominować oceny, jak konkretne rozwiązanie wpłynie na bezpieczeństwo i prywatność użytkowników, którzy będą korzystać z aplikacji. 

 

Jeśli są Państwo zainteresowani szczegółowym omówieniem zagadnienia lub audytem prawno-technologicznym pod kątem zgodności z RODO, eksperci Rödl & Partner pozostają do dyspozycji w biurach w Gdańsku, Gliwicach, Krakowie, Poznaniu, Warszawie i Wrocławiu.