Ochrana osobných údajov v mobilných aplikáciách / Data protection in mobile devices

Ochrana osobných údajov je vo sfére IT stále veľmi aktuálnou a diskutovanou témou. V posledných mesiacoch sa pozornosť zahraničných úradov na ochranu osobných údajov zamerala na kontrolu dodržiavania pravidiel ochrany osobných údajov pri používaní mobilných aplikácií. Práve prostredníctvom mobilných aplikácií dochádza často zo strany ich poskytovateľov alebo vývojárov k neoprávnenému zberu osobných údajov ich užívateľov. Cieľom tohto článku je informovať o základných povinnostiach poskytovateľov a vývojárov mobilných aplikácií v oblasti ochrany osobných údajov.

Čo to je osobný údaj?

Pre lepšie pochopenie problematiky, je vhodné si najskôr vysvetliť, čo sa vlastne pod pojmom osobný údaj rozumie. Väčšina zainteresovaných si pod týmto pojmom predstaví meno a priezvisko fyzickej osoby, poprípade jej rodné číslo či dátum narodenia. Osobným údajom však môžu byť prakticky akékoľvek informácie o fyzickej osobe, na základe ktorých môže spracovateľ osobných údajov fyzickú osobu priamo alebo nepriamo určiť.

Fyzická osoba je priamo určiteľná predovšetkým na základe jednoznačných identifikátorov ako je napr. meno a priezvisko. Avšak nepriama určiteľnosť je možná na základe údajov ako sú napr. IP adresa, IMEI, IMSI, UDID, MAC adresa zariadenia, lokalizačné údaje koncového zariadenia, história webového prehliadača, kontaktné údaje, resp. fotky a videá uložené v koncovom zariadení, údaje o platobných operáciách. Na základe týchto jednotlivých (nepriamych) osobných údajov alebo prostredníctvom ich kombinácií je možné vytvoriť ucelený profil fyzickej osoby (o jej návykoch a záujmoch) a ten následne využiť napr. na cielený marketing alebo ako predmet ďalšej analýzy v rámci tzv. Business Intelligence. Pre naplnenie týchto účelov spracovania osobných údajov pritom nie je potrebné, aby bola osoba identifikovateľná aj menom a priezviskom. Poskytovateľ mobilnej aplikácie alebo jej vývojár tak nemôže ospravedlňovať neoprávnené spracovávanie osobných údajov jej užívateľov tým, že k daným osobným údajom sa v konečnom dôsledku neviaže žiadne konkrétne meno a priezvisko užívateľa mobilnej aplikácie. K tomu, aby bolo možné určitú osobu považovať za nepriamo určiteľnú teda nie je potrebné, aby bola daná osoba určiteľná aj na základe jednoznačného identifikátora ako je napr. jej meno a priezvisko.

Povinnosti poskytovateľa mobilnej aplikácie a vývojára

Povinnosti v oblasti ochrany osobných údajov dopadajú primárne na poskytovateľov mobilných aplikácií. Môžu však zaväzovať aj ich vývojárov v prípade, že z ich strany dochádza k zberu a spracovávaniu osobných údajov užívateľov mobilnej aplikácie. Zároveň si je možné predstaviť aj situáciu, keď poskytovateľ mobilnej aplikácie následne uplatní škodu v podobe uloženej pokuty za porušenie predpisov o ochrane osobných údajov voči vývojárovi mobilnej aplikácie. K tomuto by mohlo dôjsť hlavne v prípade, ak sa vývojár mobilnej aplikácie zmluvne zaviazal voči jej poskytovateľovi k tomu, že mobilná aplikácia bude spĺňať všetky povinnosti v oblasti ochrany osobných údajov.

V prípade osobných údajov vo všeobecnosti platí, že zhromažďovať, spracúvať a nakladať s osobnými údajmi je možné len na základe súhlasu dotknutých osôb (užívateľov mobilných aplikácií). Základnou povinnosťou poskytovateľov mobilných aplikácií, prostredníctvom ktorých dochádza k zberu osobných údajov ich užívateľov, je teda povinnosť získať k takému zberu, spracovaniu a nakladaniu s osobnými údajmi súhlas dotknutých osôb. Zákon o ochrane osobných údajov síce pozná z tohto pravidla isté výnimky, tie sa však v prípade mobilných aplikácií vzhľadom na spôsob ich fungovania spravidla neuplatnia.

Pred každým udelením súhlasu so spracovaním osobných údajov je nevyhnutné užívateľov informovať o tom, ktoré ich konkrétne osobné údaje budú spracovávané, za akým konkrétnym účelom, a či budú ich osobné údaje poskytnuté tretím osobám, poprípade prevádzané do zahraničia a na aké miesto. Súhlas užívateľov je potrebné získať ešte pred samotnou inštaláciou mobilnej aplikácie (OS Android), resp. predtým, než mobilná aplikácia začne osobné údaje svojho užívateľa zbierať (iOS, Windows Mobile). Užívateľom musí byť zároveň poskytnutá možnosť takýto súhlas kedykoľvek odvolať, a to „user friendly“ spôsobom.

Vo všeobecnosti platí, že poskytovatelia mobilných aplikácií sú povinní získa súhlas dotknutej osoby s každým konkrétnym spôsobom spracovania jej presne určených osobných údajov. Napríklad mobilná aplikácia sprostredkúvajúca svojim užívateľom informácie o reštauráciách nachádzajúcich sa v ich okolí, by mala od svojich užívateľov získať konkrétny súhlas so spracovaním ich osobných údajov v podobe lokalizácie ich koncového zariadenia za daným účelom. Za súhlas so spracovaním osobných údajov teda nie je možné považovať prípad, keď užívateľ mobilnej aplikácie zaškrtne políčko so všeobecným oznámením „Súhlasím so spracovaním svojich osobných údajov“. Zároveň nie je ani správny postup, kde poskytovateľ mobilnej aplikácie predloží jej užívateľovi na schválenie súhlas so spracovaním jeho osobných údajov, ktorý bude obsahovať vyčerpávajúci zoznam rôznych spôsobov spracovania všetkých jeho osobných údajov.

V prípade spomenutej reštauračnej aplikácie je podľa názoru zahraničných úradov na ochranu osobných údajov dokonca nežiadúce to, aby daná mobilná aplikácia neustále zbierala údaje o lokalizácii koncového zariadenia, na ktorom je nainštalovaná. Môže tak robiť len v prípade, že ju jej užívateľ aktívne využíva na určenie najbližšej reštaurácie. V prípade, že poskytovateľ takejto mobilnej aplikácie má záujem o nepretržitý zber údajov o lokalizácii koncového zariadenia, je povinný si na tento účel vyžiadať od užívateľa tejto mobilnej aplikácie konkrétny súhlas s takýmto spôsobom spracovania jeho osobných údajov.

Ďalším príkladom v súvislosti s nutnosťou získať presne vymedzený súhlas dotknutých osôb so spracovaním osobných údajov môže byť mobilná aplikácia, ktorej pôvodným účelom bolo umožniť svojim užívateľom komunikovať prostredníctvom elektronických správ. Vývojár tejto mobilnej aplikácie sa však rozhodol zmeniť svoj business model a spojiť e-mailové účty užívateľov jeho mobilnej aplikácie s telefónnymi číslami užívateľov inej mobilnej aplikácie. Poskytovateľ takto aktualizovanej mobilnej aplikácie musel následne požiadať každého jej užívateľa o súhlas s týmto novým účelom (spôsobom) spracovania ich osobných údajov. Odporúčame preto pred každou aktualizáciou mobilnej aplikácie zvážiť, či daná aktualizácia nie je dôvodom pre vyžiadanie si nového súhlasu užívateľov aktualizovanej mobilnej aplikácie s novým spôsobom alebo rozsahom spracovania ich osobných údajov. Z vyššie uvedeného vyplýva aj to, že zdieľanie osobných údajov zo strany mobilných aplikácií je bez predchádzajúceho súhlasu ich užívateľov v rozpore s predpismi na ochranu osobných údajov.

Napriek tomu, že niektoré mobilné operačné systémy z bezpečnostných dôvodov vyžadujú od ich užívateľov súhlas so spracovaním ich osobných údajov (tzv. permissions) už na úrovni API, odporúčame poskytovateľom a vývojárom mobilných aplikácií nespoliehať sa na toto bezpečnostné opatrenie. Domnievame sa totiž, že v prípade akéhokoľvek porušenia predpisov na ochranu osobných údajov zo strany ich mobilnej aplikácie sa nebudú môcť zbaviť viny poukazom na existenciu takéhoto bezpečnostného opatrenia.

Vedľa povinnosti získať súhlas so spracovaním osobných údajov užívateľov, majú poskytovateľ a vývojár mobilnej aplikácie aj ďalšie povinnosti technického charakteru. Jedná sa predovšetkým o technické zabezpečenie osobných údajov pred neoprávneným prístupom tretích osôb, povinnosť anonymizovať získané a ukladané osobné údaje, zaistenie dostatočnej miery šifrovania osobných údajov pri ich prenose a pod.

Pre bližšie informácie kontaktujte info@achz.sk

Článok bol publikovaný v časopise INFOWARE

One clap, two clap, three clap, forty?

By clapping more or less, you can signal to us which stories really stand out.