Czy Twoje aplikacje mobilne są zgodne z RODO?

Wraz z rozwojem popularności smartfonów w ostatnich latach coraz większą popularność zyskują aplikacje mobilne, których liczba sięga już globalnie prawie dziewięciu milionów. Na co dzień korzystamy z szerokiej gamy aplikacji, które mają nam ułatwiać życie – zaczynając od aplikacji społecznościowych, komunikatorów, poprzez aplikacje zakupowe, bankowe, sportowe, muzyczne, transportowe czy gry mobilne.

Zwykle w ramach korzystania z aplikacji mobilnych dochodzić będzie do przetwarzania danych osobowych. Zapewnienie zgodności aplikacji mobilnej z obowiązującymi przepisami o ochronie danych osobowych, w tym w szczególności z przepisami ogólnego rozporządzenia o ochronie danych (RODO), stanowi duże wyzwanie. Projektując aplikacje mobilne warto pamiętać o kilku najważniejszych wymogach prawnych z zakresu ochrony danych osobowych.

Weź udział w konferencji online “Ochrona danych osobowych i innych informacji” >>

Zakres danych osobowych

Obecnie aplikacje mobilne gromadzą zwykle ogromne ilości danych o swoich użytkownikach. Za ich pośrednictwem przetwarzane są najróżniejsze kategorie danych osobowych. Wiele aplikacji prosi nas o podanie naszego imienia i nazwiska, numeru telefonu czy adresu e-mail. Dokonując płatności za jakieś usługi za pomocą aplikacji mobilnej, przekazujemy często numer naszej karty płatniczej. Włączając funkcję lokalizacji w aplikacji pozwalamy jej na dostęp do naszych danych lokalizacyjnych. Popularne aplikacje zdrowotne zbierają często informacje o naszym zdrowiu, które stanowią tzw. dane wrażliwe i są szczególnie chronione. Zgodnie z zasadą minimalizacji danych, zawsze powinno się zbierać tylko takie dane, które są faktycznie niezbędne do realizacji założonego celu.

Szymon Sieniewicz, adwokat w warszawskim biurze kancelarii Linklaters
Szymon Sieniewicz, adwokat w warszawskim biurze kancelarii Linklaters

Zasady privacy by design i privacy by default

Przy tworzeniu aplikacji mobilnych należy pamiętać o zasadzie privacy by design, czyli uwzględnianiu ochrony danych już w fazie projektowania. Składa się na to szereg elementów, takich jak dobór odpowiednich środków technicznych i organizacyjnych ochrony danych (tu niezbędne jest wsparcie specjalistów bezpieczeństwa IT), uwzględnienie wymogów prywatności w całym procesie oraz domyślna ochrona danych. Zgodnie z zasadą privacy by default, dostawca aplikacji powinien tak skonfigurować jej ustawienia domyślne, aby aplikacja zbierała jak najmniejszą ilość danych osobowych, przez jak najkrótszy okres oraz aby nie gromadziła danych w zakresie większym niż jest to niezbędne do realizacji założonych celów. Poza samą fazą projektowania, warto pamiętać, że aplikacja powinna działać zgodnie z tymi zasadami także po jej uruchomieniu. Stąd istotne jest dokonywanie regularnych przeglądów skuteczności wybranych rozwiązań i zabezpieczeń.

Analiza ryzyka

Aby zaprojektować aplikację mobilną zgodną z RODO nie należy zapominać o analizie ryzyka przetwarzania danych. W przypadku aplikacji mobilnych powinna się ona zwykle zakończyć przeprowadzeniem formalnej oceny skutków dla ochrony danych (data protection impact assessment). Jest to zadanie, który pomaga szczegółowo opisać procesy przetwarzania danych oraz zidentyfikować i zminimalizować ryzyka związane z takim przetwarzaniem. Ocena skutków dla ochrony danych jest zatem istotnym elementem wykazywania zgodności z przepisami o ochronie danych osobowych. RODO nie narzuca tutaj konkretnej metodologii przeprowadzenia oceny skutków dla ochrony danych, pozostawiając to do decyzji administratorów danych.

Newsletter konferencje.pb.pl
Informacje o konferencjach, warsztatach, webinarach oraz promocjach. 10% rabatu na każde wydarzenie. Dostęp do wiedzy klasy biznes.
ZAPISZ MNIE
×
Newsletter konferencje.pb.pl
autor: Mateusz Stempak
Ostatnia środa miesiąca
Informacje o konferencjach, warsztatach, webinarach oraz promocjach. 10% rabatu na każde wydarzenie. Dostęp do wiedzy klasy biznes.
ZAPISZ MNIE
Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa. Nasz telefon kontaktowy to: +48 22 333 99 99. Nasz adres e-mail to: [email protected] W naszej spółce mamy powołanego Inspektora Ochrony Danych, adres korespondencyjny: ul. Ludwika Narbutta 22 lok. 23, 02-541 Warszawa, e-mail: [email protected] Będziemy przetwarzać Pani/a dane osobowe by wysyłać do Pani/a nasze newslettery. Podstawą prawną przetwarzania będzie wyrażona przez Panią/Pana zgoda oraz nasz „prawnie uzasadniony interes”, który mamy w tym by przedstawiać Pani/u, jako naszemu klientowi, inne nasze oferty. Jeśli to będzie konieczne byśmy mogli wykonywać nasze usługi, Pani/a dane osobowe będą mogły być przekazywane następującym grupom osób: 1) naszym pracownikom lub współpracownikom na podstawie odrębnego upoważnienia, 2) podmiotom, którym zlecimy wykonywanie czynności przetwarzania danych, 3) innym odbiorcom np. kurierom, spółkom z naszej grupy kapitałowej, urzędom skarbowym. Pani/a dane osobowe będą przetwarzane do czasu wycofania wyrażonej zgody. Ma Pani/Pan prawo do: 1) żądania dostępu do treści danych osobowych, 2) ich sprostowania, 3) usunięcia, 4) ograniczenia przetwarzania, 5) przenoszenia danych, 6) wniesienia sprzeciwu wobec przetwarzania oraz 7) cofnięcia zgody (w przypadku jej wcześniejszego wyrażenia) w dowolnym momencie, a także 8) wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych). Podanie danych osobowych warunkuje zapisanie się na newsletter. Jest dobrowolne, ale ich niepodanie wykluczy możliwość świadczenia usługi. Pani/Pana dane osobowe mogą być przetwarzane w sposób zautomatyzowany, w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie się odbywało przy wykorzystaniu adekwatnych, statystycznych procedur. Celem takiego przetwarzania będzie wyłącznie optymalizacja kierowanej do Pani/Pana oferty naszych produktów lub usług.

Sprawdź program “XV Forum Dyrektorów Działów Prawnych” >>

Polityka prywatności

Podstawowym dokumentem zawierającym informacje w zakresie przetwarzania danych osobowych jest zwykle polityka prywatności. RODO określa cały szereg informacji o przetwarzaniu danych osobowych, o których należy poinformować osoby fizyczne. Polityka prywatności powinna zawierać podstawowe informacje o administratorze danych (będzie to zwykle dostawca aplikacji mobilnej), takie jak jego tożsamość i dane kontaktowe, informacje o celach i podstawach prawnych przetwarzania danych, odbiorcach danych a także prawach przysługujących osobom fizycznym. Tworząc aplikacje mobilne nie można zapominać o poinformowaniu użytkowników o przetwarzaniu ich danych osobowych, a organy nadzoru nierzadko ten obowiązek egzekwują.

Podejście organów nadzoru

W ostatnich miesiącach głośne były sprawy, w których irlandzki organ ochrony danych nałożył wysokie kary administracyjne za naruszenia przepisów RODO na dostawców popularnych aplikacji mobilnych WhatsApp i Instagram. Ochrona danych osobowych w aplikacjach mobilnych to na tyle istotny temat, że znalazł się w tym roku także na celowniku polskiego organu nadzoru. Prezes Urzędu Ochrony Danych Osobowych wskazał ten obszar jako jeden z trzech punktów objętych kontrolami sektorowymi w 2022 r. Zgodnie z informacjami uzyskanymi od polskiego organu, w pierwszej połowie roku przeprowadzono siedem kontroli w podmiotach, które przetwarzają dane osobowe przy użyciu aplikacji mobilnych. Do końca roku pozostało jednak trochę czasu, a kontrole w tym zakresie są kontynuowane. Warto zatem pamiętać o wymogach prawnych w zakresie przetwarzania danych osobowych zarówno w przypadku nowych, jak i już istniejących aplikacji mobilnych.

Autor: Szymon Sieniewicz, adwokat w warszawskim biurze kancelarii Linklaters

Dlaczego warto wziąć udział w naszych konferencjach?

14

ORGANIZUJEMY SZKOLENIA I EVENTY JUŻ OD 14 LAT

Lata doświadczenia

Dział konferencji „Pulsu Biznesu” istnieje od 2004 r. Kilkanaście lat doświadczeń i silna marka „Pulsu Biznesu”, pod którą odbywają się wydarzenia, sprawiły, że jesteśmy dziś czołowym organizatorem konferencji biznesowych skierowanych do wyższej kadry zarządzającej.

800

OD 2004 ROKU ZORGANIZOWALIŚMY PONAD 800 KONFERENCJI I WARSZTATÓW

Profesjonalizm w każdym calu

W ciągu roku kalendarzowego organizujemy ponad 50 konferencji, kongresów, warsztatów i debat, podczas których do dyskusji zapraszamy najlepszych mówców, wybitnych ekspertów i praktyków z poszczególnych branż.

20000

MOŻEMY SIĘ POCHWALIĆ TYLOMA KLIENTAMI Z PONAD 1000 FIRM

Tysiące zadowolonych klientów

Naszą ambicją jest kreowanie przedsięwzięć związanych z istotnymi, bieżącymi wydarzeniami w gospodarce, przewidywanie trendów oraz umożliwianie wymiany doświadczeń i dzielenia się wiedzą. Od 2004 roku zaufało nam już blisko 20 tys. uczestników.