Tomasz Zalewski dla Aula polska: życzenia branży prawnej wobec IT
Krzysztof Mikołajczyk dla Aula polska: Co developer aplikacji mobilnych powinien wiedzieć o danych osobowych?
1. Co developer aplikacji mobilnych powinien
wiedzieć o danych osobowych?
Krzysztof Mikołajczyk
Aula #107 – Biznes i prawo
6 lutego 2014
1
2. Agenda
•
Dane osobowe – ale o co chodzi?
•
Status prawny developera aplikacji mobilnej
wobec danych użytkowników
•
Podstawowe obowiązki administratora
danych zebranych poprzez aplikacje mobilną
•
Privacy by design – zbiór dobrych praktyk
2
4. Dane osobowe - krótko i na temat…
(1)
•
Wszelkie informacje dotyczące zidentyfikowanej
lub możliwej do zidentyfikowania osoby fizycznej.
•
Niecelowe jest tworzenie „katalogu” danych osobowych
– wszystko zależy od kontekstu.
•
Rozmaite dane zbierane w toku korzystania z aplikacji
i dające się powiązać z konkretną osobą „zasilają”
zakres danych osobowych o tej osobie.
•
Brak możliwości identyfikacji – gdy określenie
tożsamości osoby wymagałoby nadmiernych kosztów,
czasu lub działań (obecnie – ryzykowne)
4
5. … i jeszcze trochę o danych
•
Dane osobowe „samodzielne” (PESEL)
•
Dane osobowe „kontekstowe”
•
Szczególne kategorie danych
•
(2)
e-mail, login, adres IP, IMEI, adres MAC?
5
7. Pogromcy mitów
• „Nie przetwarzamy danych osobowych,
a jedynie je przechowujemy”
• „Nie przetwarzamy danych osobowych,
a jedynie dane eksploatacyjne”
7
8. Przetwarzanie danych osobowych
• Jakiekolwiek operacje wykonywane na danych
osobowych, takie jak zbieranie, utrwalanie,
przechowywanie, opracowywanie, zmienianie,
udostępnianie i usuwanie
• Zwłaszcza te, które wykonuje się w systemach
informatycznych
8
9. Administrator danych osobowych
•
Zasadniczo „właściciel” danych osobowych
•
Decyduje o celach i środkach przetwarzania danych
•
Główny adresat obowiązków związanych z przetwarzaniem
danych osobowych
•
Główny odpowiedzialny za przetwarzanie danych osobowych
9
10. Przetwarzający na zlecenie (processor)
• Przetwarza:
– w imieniu i na rzecz administratora danych
– zgodnie z celem i zakresem wyznaczonym
przez administratora danych
– zgodnie ze wskazówkami administratora
• Ma obowiązek zabezpieczenia danych osobowych
• Zlecenie przetwarzania – wybrane problemy
10
11. Przykłady
•
Aplikacja pozwala użytkownikom na „proste” zapisywanie
danych na ich urządzeniu => użytkownik zachowuje pełną
kontrolę nad danymi => twórca nie zbiera danych
•
Aplikacja przekazuje dane użytkownika na serwery
twórcy aplikacji lub do chmury i tworzy profil
behawioralny => administrator
•
Aplikacja zawiera komponent prezentujący reklamy
dostarczane przez podmiot trzeci => najprawdopodobniej
to dostawca reklam będzie administratorem, ale należy
o tym poinformować użytkowników
11
13. Informacja!
Zbieranie danych osobowych bezpośrednio od osoby,
której one dotyczą; administrator danych jest obowiązany
poinformować tę osobę o:
•
adresie swojej siedziby i pełnej nazwie
•
celu zbierania danych, a w szczególności o znanych
mu w czasie udzielania informacji lub przewidywanych
odbiorcach lub kategoriach odbiorców danych
•
prawie dostępu do treści swoich danych oraz ich
poprawiania
•
dobrowolności albo obowiązku podania danych,
a jeżeli taki obowiązek istnieje, o jego podstawie prawnej
13
14. Zasada legalności
• Przepisy ustawy o świadczeniu usług drogą
elektroniczną – wystarczająca podstawą prawną
dla przetwarzania niektórych danych
• Zgoda osoby – w pozostałych przypadkach (większość)
użytkownik powinien się zgodzić na przetwarzanie
danych o nim
14
15. Zgoda to nie wszystko - adekwatność
„dane są adekwatne do celów, w jakich są przetwarzane”
•
Zakres zbieranych danych nie powinien
wykraczać poza cel ich przetwarzania
•
Adekwatność ocenia się indywidualnie
w zależności od okoliczności,
zależy od funkcjonalności aplikacji
15
16. Celowość i czasowość
•
Związanie celem - tożsamość celu przetwarzania danych
o użytkowniku (dane zebrane dla jednego celu nie mogą
być wykorzystane dla innych celów innego, np.
marketingowych, o ile użytkownik nie wyraził na to zgody)
•
Czas przetwarzania - „nie dłużej niż jest to niezbędne
do osiągnięcia celu przetwarzania”
16
18. Dobre praktyki
•
Standardowe uprawnienia dostępu do określonych danych
nadawane przez sklepy są często niewystarczające
(nie opisują celu przetwarzania) – informuj.
•
Nie zbieraj danych „za zapas” (brak celu)
•
Rozważ informowanie o potrzebie zebrania dodatkowych
danych tuż przez rozpoczęciem ich zbierania
•
Unikaj stawiania użytkownika przez alternatywą
„wszystko albo nic” (adekwatność)
•
„The default rules”
18
20. Dziękuję za uwagę
Krzysztof Mikołajczyk
Tel. +48 22 50 50 780
krzysztof.mikolajczyk@eversheds.pl
Wierzbowski Eversheds Sp. k.
Centrum Jasna
ul. Jasna 14/16a
00-041 Warszawa
Tel. +48 22 50 50 700
Faks +48 22 50 50 701
Zapraszam na
www.IPwSieci.pl
Nasz blog o nowych
technologiach i Internecie
okiem prawnika
20