Z LEXTRA PRZY KAWIE O PRAWIE - Funkcjonowanie RODO w przedsiębiorstwie cz. XIX

W ramach dzisiejszego spotkania „Z LEXTRA PRZY KAWIE O PRAWIE”,

FUNKCJONOWANIE RODO cz. XIX

Jak producenci aplikacji powinni zabezpieczyć dane osobowe użytkowników?

Producenci aplikacji przetwarzających dane osobowe użytkowników są zobowiązani do przestrzegania zasad ochrony danych osobowych, a projektując rozwiązania powinni zwrócić szczególną uwagę na ochronę prywatności i bezpieczeństwa użytkowników.

Istotne jest określenie swojej roli w procesie tworzenia i działania aplikacji np. korzystanie z własnych bądź zewnętrznych serwerów do tworzenia i funkcjonowania aplikacji czy też wykorzystywanie zewnętrznych reklam już na etapie korzystania z aplikacji, tj. relacji pomiędzy twórcą, a usługodawcą.

Aplikacja nie powinna mieć dostępu do tych danych osobowych co do których producent nie ma celu ich przetwarzania. Zawsze dostęp do danych powinien być ograniczony do minimum i adekwatny do celu działania danej aplikacji. Producenci na każdym etapie tworzenia oraz istnienia technologii obejmującej ich przetwarzanie powinni „wbudować” ochronę prywatności użytkownika. Dodatkowo ustawienia aplikacji czy systemów przetwarzających dane domyślnie powinny udostępniać minimalną ilość informacji o użytkowniku. Poszerzenie zakresu udostępnianych danych powinno nastąpić jedynie na podstawie zmiany ustawień dokonanych przez samego użytkownika. Jednakże powinna to być informacja przekazywana jasno użytkownikowi.

Producenci aplikacji, którzy zbierają dane osobowe powinni spełnić także obowiązek informacyjny wobec nich, na etapie pozyskiwania tych danych, a więc najlepiej w momencie przed zainstalowaniem aplikacji, użytkownik powinien mieć możliwość zapoznania się z klauzulą informacyjną, chyba że zbieranie danych ma miejsce w innym momencie. Każda sytuacja wymaga indywidualnego podejścia i rozważenia właściwego momentu spełniania tego obowiązku informacyjnego przez producenta. Informacje należy przekazać  w sposób przejrzysty i zrozumiały, w zwięzłej formie, jasnym i prostym językiem. Tutaj zalecane jest stworzenie polityki prywatności, w której mogą zostać zawarte istotne informacje.

Jeżeli producent zbiera zgody na przetwarzanie danych osobowych dla różnych celów, to użytkownik powinien mieć możliwość odznaczenia każdej zgody, bowiem zgoda musi być wyrażona w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Nie można poprzez jedno kliknięcie wyrazić zgody np. na przetwarzanie danych w celach marketingowych i przetwarzanie danych w celu korzystania z funkcjonalności aplikacji, bowiem nie wyrażenie zgody uniemożliwi pobranie aplikacji, a to już zaprzecza dowolności zgody dla celów marketingowych.

Obecnie świadomy użytkownik instalując aplikacje co do zasady bada czy producent przestrzega zasad ochrony danych osobowych. Użytkownicy bardziej świadomie weryfikują zasady korzystania z aplikacji, a poprzez działania informacyjne również wiedzą jakie mają prawa w związku z ich danymi osobowymi. Ryzyko dla przedsiębiorcy przetwarzającego dane osobowe niezgodnie z RODO w tym obszarze jest sankcjonowane wysokimi karami pieniężnymi, dlatego wprowadzenie na rynek nowych rozwiązań powinno być poprzedzone analizą czy korzystanie z aplikacji jest zgodne z przepisami o ochronie danych osobowych.

Kancelaria przeprowadza audyty dla nowych rozwiązań z obszaru IT i ich zgodności z RODO. Zapraszamy do współpracy!