Krzysztof Mikołajczyk dla Aula polska: Co developer aplikacji mobilnych powinien wiedzieć o danych osobowych?

1

Co developer aplikacji mobilnych powinien

wiedzieć o danych osobowych?

Krzysztof Mikołajczyk Aula #107 – Biznes i prawo 6 lutego 2014

2

Agenda

• Dane osobowe – ale o co chodzi?

• Status prawny developera aplikacji mobilnej

wobec danych użytkowników

• Podstawowe obowiązki administratora

danych zebranych poprzez aplikacje mobilną

• Privacy by design – zbiór dobrych praktyk

3

Dane osobowe

Ale o co chodzi?

4

Dane osobowe - krótko i na temat… (1)

• Wszelkie informacje dotyczące zidentyfikowanej

lub możliwej do zidentyfikowania osoby fizycznej.

• Niecelowe jest tworzenie „katalogu” danych osobowych

– wszystko zależy od kontekstu.

• Rozmaite dane zbierane w toku korzystania z aplikacji

i dające się powiązać z konkretną osobą „zasilają”

zakres danych osobowych o tej osobie.

• Brak możliwości identyfikacji – gdy określenie

tożsamości osoby wymagałoby nadmiernych kosztów,

czasu lub działań (obecnie – ryzykowne)

5

… i jeszcze trochę o danych (2)

• Dane osobowe „samodzielne” (PESEL)

• Dane osobowe „kontekstowe”

• Szczególne kategorie danych

• e-mail, login, adres IP, IMEI, adres MAC?

6

Status prawny developera aplikacji mobilnej

wobec danych użytkowników

7

Pogromcy mitów

• „Nie przetwarzamy danych osobowych,

a jedynie je przechowujemy”

• „Nie przetwarzamy danych osobowych,

a jedynie dane eksploatacyjne”

8

Przetwarzanie danych osobowych

• Jakiekolwiek operacje wykonywane na danych

osobowych, takie jak zbieranie, utrwalanie,

przechowywanie, opracowywanie, zmienianie,

udostępnianie i usuwanie

• Zwłaszcza te, które wykonuje się w systemach

informatycznych

9

Administrator danych osobowych

• Zasadniczo „właściciel” danych osobowych

• Decyduje o celach i środkach przetwarzania danych

• Główny adresat obowiązków związanych z przetwarzaniem

danych osobowych

• Główny odpowiedzialny za przetwarzanie danych osobowych

10

Przetwarzający na zlecenie (processor)

• Przetwarza:

– w imieniu i na rzecz administratora danych

– zgodnie z celem i zakresem wyznaczonym

przez administratora danych

– zgodnie ze wskazówkami administratora

• Ma obowiązek zabezpieczenia danych osobowych

• Zlecenie przetwarzania – wybrane problemy

11

Przykłady

• Aplikacja pozwala użytkownikom na „proste” zapisywanie

danych na ich urządzeniu => użytkownik zachowuje pełną

kontrolę nad danymi => twórca nie zbiera danych

• Aplikacja przekazuje dane użytkownika na serwery

twórcy aplikacji lub do chmury i tworzy profil

behawioralny => administrator

• Aplikacja zawiera komponent prezentujący reklamy

dostarczane przez podmiot trzeci => najprawdopodobniej

to dostawca reklam będzie administratorem, ale należy

o tym poinformować użytkowników

12

Podstawowe obowiązki developera

aplikacji mobilnych

wobec danych użytkowników

13

Informacja!

Zbieranie danych osobowych bezpośrednio od osoby,

której one dotyczą; administrator danych jest obowiązany

poinformować tę osobę o:

• adresie swojej siedziby i pełnej nazwie

• celu zbierania danych, a w szczególności o znanych

mu w czasie udzielania informacji lub przewidywanych

odbiorcach lub kategoriach odbiorców danych

• prawie dostępu do treści swoich danych oraz ich

poprawiania

• dobrowolności albo obowiązku podania danych,

a jeżeli taki obowiązek istnieje, o jego podstawie prawnej

14

Zasada legalności

• Przepisy ustawy o świadczeniu usług drogą

elektroniczną – wystarczająca podstawą prawną

dla przetwarzania niektórych danych

• Zgoda osoby – w pozostałych przypadkach (większość)

użytkownik powinien się zgodzić na przetwarzanie

danych o nim

15

Zgoda to nie wszystko - adekwatność

„dane są adekwatne do celów, w jakich są przetwarzane”

• Zakres zbieranych danych nie powinien

wykraczać poza cel ich przetwarzania

• Adekwatność ocenia się indywidualnie

w zależności od okoliczności,

zależy od funkcjonalności aplikacji

16

Celowość i czasowość

• Związanie celem - tożsamość celu przetwarzania danych

o użytkowniku (dane zebrane dla jednego celu nie mogą

być wykorzystane dla innych celów innego, np.

marketingowych, o ile użytkownik nie wyraził na to zgody)

• Czas przetwarzania - „nie dłużej niż jest to niezbędne

do osiągnięcia celu przetwarzania”

17

Privacy by Design

Zbiór dobrych praktyk

18

Dobre praktyki

• Standardowe uprawnienia dostępu do określonych danych

nadawane przez sklepy są często niewystarczające

(nie opisują celu przetwarzania) – informuj.

• Nie zbieraj danych „za zapas” (brak celu)

• Rozważ informowanie o potrzebie zebrania dodatkowych

danych tuż przez rozpoczęciem ich zbierania

• Unikaj stawiania użytkownika przez alternatywą

„wszystko albo nic” (adekwatność)

• „The default rules”

19

Podsumowanie

20

Wierzbowski Eversheds Sp. k.

Centrum Jasna

ul. Jasna 14/16a

00-041 Warszawa

Tel. +48 22 50 50 700

Faks +48 22 50 50 701

Krzysztof Mikołajczyk

Tel. +48 22 50 50 780

[email protected]

Zapraszam na

www.IPwSieci.pl

Nasz blog o nowych

technologiach i Internecie

okiem prawnika

Dziękuję za uwagę

www.eversheds.pl