Naruszenia ochrony danych osobowych przez aplikacje mobilne

Niedawne zamieszanie, jakie powstało wokół aplikacji FaceApp, spowodowało dyskusję na temat bezpieczeństwa danych osobowych przetwarzanych przez aplikacje mobilne.

W tej sprawie wypowiedział się m.in. Prezes Urzędu Ochrony Danych Osobowych, który na swojej stronie opublikował wskazówki dotyczące bezpiecznego korzystania z aplikacji mobilnych[1].

Warto zatem przeanalizować, w jaki sposób aplikacje mobilne mogą naruszać przepisy o ochronie danych osobowych.

Zasada minimalizacji danych

Przede wszystkim, gromadząc dane osobowe, aplikacje mobilne powinny stosować zasadę minimalizacji danych. Zgodnie z art. 5 ust. 1 pkt c RODO dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”).

W motywie 39 RODO doprecyzowano zasadę minimalizacji danych, wskazując, że w szczególności konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum.

Zasada minimalizacji danych oznacza zatem, że aplikacje mobilne powinny zbierać tylko te dane, których potrzebują do poprawnego działania.
 

Wskazówka

Przy pobieraniu aplikacji na smartfona zdarza się, że żąda ona bardzo szerokiego dostępu do danych zgromadzonych na telefonie użytkownika.

Warto zatem zastanowić się, czy rzeczywiście w konkretnym przypadku dana aplikacja potrzebuje dostępu do informacji o lokalizacji, do danych kontaktowych czy galerii zdjęć.


Pozyskanie zgody

Warunkiem przetwarzania danych osobowych przez aplikacje mobilne jest pozyskanie zgody użytkowników.

Korzystając z aplikacji mobilnych, wyrażamy zgodę na dostęp do naszych danych w taki sam sposób, jak w przypadku bardziej „tradycyjnego” przetwarzania danych. Twórców aplikacji mobilnych obowiązują bowiem takie same zasady pozyskiwania zgody jak innych administratorów danych.

Zgodnie z art. 7 RODO zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem, a osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę.

W przypadku pozyskiwania zgody na przetwarzanie danych przez aplikacje mobilne najważniejsze jest rzetelne informowanie użytkowników o tym, na co dokładnie wyrażają zgodę, tzn. do jakich danych aplikacja będzie miała dostęp i w jakim celu będzie je wykorzystywać.
 

Wskazówka

Przepisy RODO kładą bardzo duży nacisk na obowiązek informacyjny. Co równie istotne, w motywie 39 RODO wskazuje się, że osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem.

Tylko użytkownik, który dostanie rzetelne i wyczerpujące informacje dotyczące przetwarzania jego danych osobowych, jest w stanie wyrazić dobrowolną i świadomą zgodę na ich przetwarzanie.


Polityka prywatności

Instalując aplikację na smartfonie, trzeba zapoznać się z jej polityką prywatności. To właśnie w tym dokumencie powinny znajdować się wszystkie informacje dotyczące celów, w jakich dana aplikacja potrzebuje dostępu do danych, w jaki sposób te dane wykorzystuje i jak długo je przechowuje.

Jak wskazano w motywie 39 RODO, dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane. Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora i celach przetwarzania oraz innych informacjach mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących.

W polityce prywatności powinny znaleźć się informacje dotyczące wykorzystania danych gromadzonych przez aplikacje. Co ważniejsze, informacje te powinny być napisane prostym językiem, zrozumiałym dla przeciętnego użytkownika, tak by osoba mająca zamiar skorzystania z aplikacji, jeszcze przed jej instalacją, otrzymała wszystkie informacje dotyczące zasad przetwarzania danych.
 

Wskazówka

Częstym naruszeniem, jakiego dopuszczają się twórcy aplikacji mobilnych, jest nierzetelne i niejasne informowanie o zbieranych danych i sposobach ich wykorzystania. Zdarza się, że aplikacje nie informują np. o fakcie śledzenia użytkowników czy wykonywania innej analizy ich zachowań.

Warto zatem dokładnie przeczytać politykę prywatności danej aplikacji mobilnej, by zwrócić uwagę na wszelkie nadużycia (np. dostęp do zbyt szerokiego zakresu danych znajdujących się w telefonie).

Dodatkowo należy kierować się po prostu zdrowym rozsądkiem i pobierać aplikacje wyłącznie z oficjalnych kanałów ich dystrybucji, np. AppStore, Google Play.

Brak rzetelnych i...

Dalsza część jest dostępna dla użytkowników z wykupionym planem