Vyvíjíte webovou nebo mobilní aplikaci? Projděte si našich 5 tipů, na jaká pravidla ochrany osobních údajů byste si neměli zapomenout!
1. Seznamte se s GDPR principy
V aplikaci budete s největší pravděpodobností nakládat s osobními údaji uživatelů. Pro tento případ nezapomeňte na pravidla pro zpracování a ochranu osobních údajů stanovená v GDPR, případně dalších sektorových předpisech.
Hlavními jsou tyto povinnosti:
- zpracovávat osobní údaje pouze za konkrétními a oprávněnými účely a na základě dostatečného zákonného důvodu,
- shromažďovat a používat jen ty osobní údaje, které ke zvoleným účelům opravdu potřebujete,
- zajišťovat přesnost osobních údajů,
- přestat osobní údaje zpracovávat, pokud už je nepotřebujete,
- srozumitelně a včas informovat uživatele o tom, jak s jejich osobními údaji nakládáte,
- zabezpečit osobní údaje proti neoprávněným zásahům a
- mít důkazy o tom, že tyto principy dodržujete.
Jednotlivé zásady by se měly v souladu s principy záměrné a standardní ochrany osobních údajů upravenými v GDPR (privacy by design, privacy by default) řešit již na počátku návrhu aplikace a v průběhu jejího vývoje.
2. Zmapujte si použití osobních údajů v aplikaci
Před zahájením samotného vývoje si určete, jaké osobní údaje se mohou v aplikaci objevit a za jakými účely je potřebujete.
Co je to osobní údaj
Osobním údajem je jakákoliv informace, díky které můžete identifikovat konkrétního člověka nebo ji můžete k tomuto člověku přiřadit. Může jít třeba o přihlašovací údaje, platební informace nebo informace o tom, jak klient aplikaci využívá, kdy a kde nakupuje, kde se registruje atd.
Pozor na tzv. zvláštní kategorie osobních údajů podle čl. 9 GDPR (citlivé údaje). Pokud například v aplikaci potřebujete používat údaje o zdravotním stavu, budete k tomu zpravidla potřebovat výslovný souhlas uživatele.
Jak určit účel zpracování údajů
Máte seznam údajů, které budete v aplikaci ukládat? Pak si u každého údaje určete, k jakým účelům tuto kategorii informací budete zpracovávat. Typicky se bude jednat o:
- registraci a správu uživatelských účtů,
- využívání služeb aplikace jako takové,
- vylepšování aplikace,
- ochranu před zneužitím aplikace,
- zjišťování spokojenosti uživatelů, nebo
- zasílání reklamních sdělení s vašimi nabídkami nebo nabídkami třetích stran.
Podle GDPR můžete používat jen ty osobní údaje, které pro dosažení daného účelu opravdu potřebujete. Důkladně proto zvažte, jestli například nemůžete místo data narození po uživateli chtít jen rok narození a jestli si některé údaje neschováváte jen pro případ „kdyby náhodou“. Zároveň byste měli uživateli umožnit jednou sdělené údaje měnit, ideálně rovnou v jeho účtu, a udržovat je tak přesné a aktuální.
U každého účelu zpracování zvolte i tzv. právní důvod či právní titul, na jehož základě budete tato data zpracovávat. Možné právní důvody jsou vymezeny v článku 6 GDPR. Může jít třeba o souhlas, nezbytnost zpracování pro splnění zákonné povinnosti nebo plnění smlouvy o užívání aplikace.
Zmapujte si životní cyklus osobních údajů
Pro správné nastavení celého procesu pro zpracování osobních údajů je nezbytné zmapovat datové toky a životní cyklus osobních údajů. Od jejich prvotního shromáždění až po definitivní výmaz či anonymizaci.
Zajímat by vás měly například odpovědi na tyto otázky:
- Kde a jak dochází ke sběru údajů a jak probíhá jejich přenos do prostředí správce?
- Kde se údaje ukládají? Pouze v zařízení uživatele? Na vašem nebo externím serveru? V mezipaměti?
- Jsou údaje ukládány na serverech v EU nebo mimo EU?
- Jací dodavatelé nebo další třetí strany mohou mít k údajům přístup?
- Za jak dlouho nebo za jakých podmínek údaje uživatele vymažete?
Tyto informace potřebujete znát hlavně proto, abyste mohli údaje v celém jejich životním cyklu dostatečně zabezpečit proti zneužití a zároveň mohli uživateli na jeho žádost popsat, co se s jeho údaji při využívání děje.
Osobní údaje můžete zpracovávat pouze do doby, kdy je k naplnění daného účelu skutečně potřebujete. Proto doporučuji v aplikaci nastavit automatické mechanismy, díky kterým se budou údaje po naplnění účelu mazat. Pokud se vám údaje můžou hodit např. pro vylepšování aplikace, místo výmazu můžete zvolit jejich anonymizaci. Díky anonymizaci už informace nespojíte s konkrétním člověkem a GDPR se na jejich použití neuplatní.
Výmazy a anonymizace si logujte. Logy můžete potřebovat jako důkaz pro uživatele a Úřad pro ochranu osobních údajů (ÚOOÚ) o tom, že údaje uživatele k daným účelům už nepoužíváte.
3. Aplikaci dostatečně zabezpečte
Dle GPDR máte povinnost zabezpečit osobní údaje před neoprávněným přístupem či zneužitím. Bezpečnostní opatření je nutné volit podle povahy údajů, rizik, která dotčeným subjektům a jejich údajům hrozí a s přihlédnutím k dostupným technologiím a nákladům na provedení jednotlivých bezpečnostních opatření.
V analytické fázi vývoje proto dostatečně identifikujte rizika, která uživatelům a jejich údajům uloženým v aplikaci hrozí ve všech fázích životního cyklu zpracování. Následně zvolte adekvátní opatření, která tato rizika sníží. Pokud má v aplikaci docházet k rozsáhlému automatizovanému zpracování údajů, zvlášť těch citlivých, může na vás také dopadnout povinnost vypracovat tzv. posouzení vlivu na ochranu osobních údajů (DPIA). V DPIA se hodnotí, jak vysoké riziko představuje pro uživatele zpracování jeho údajů za vámi určenými účely, pokud nepřijmete dodatečná opatření, včetně zabezpečení dat. DPIA by vám mělo pomoci rizika identifikovat a zvolit vhodná opatření, kterými rizika snížíte.
Během výběru bezpečnostních opatření se zaměřte zejména na ochranu komunikačních sítí, serverů, šifrování údajů, nastavení přístupových práv vašich pracovníků do admin částí aplikace a logování jejich přístupů k údajům uživatelů, vytváření pravidelných záloh dat i provádění pravidelné detekce zranitelností aplikace. Zvolená opatření si dokumentujte a zároveň si nastavte interní pravidla pro řešení bezpečnostních incidentů. K volbě vhodných opatření vám může pomoci například technická norma ČSN EN ISO/IEC 27002.
4. Hlídejte své dodavatele
Udělejte si přehled v tom, kdo další může mít přístup k osobním údajům v aplikaci. Pravděpodobně nepůjde jen o vaše zaměstnance, ale třeba také o provozovatele serveru nebo jiných využívaných prvků či služeb nebo externí programátory. Tito dodavatelé jsou tzv. zpracovateli osobních údajů a vy byste je před zahájením spolupráce měli zavázat k ochraně údajů v souladu s GDPR. Zpracovatelé se musí zavázat zejména k tomu, že údaje použijí jen k poskytnutí vámi objednané služby, adekvátně je zabezpečí, budou s vámi spolupracovat a po skončení spolupráce vám údaje předají nebo je smažou.
U větších dodavatelů tento zpracovatelský závazek zpravidla najdete v jejich obchodních podmínkách, například pod názvem „Zpracovatelská smlouva“, anglicky „Data Processing Agreement“ nebo „Data Processing Addendum“. Před využitím služeb těchto dodavatelů doporučuji zkontrolovat, zda jsou jejich podmínky souladné s GDPR, zvlášť pokud dodavatelé sídlí mimo EU.
Menší dodavatelé možná vlastní zpracovatelské smlouvy mít nebudou. Pro tento případ mějte k dispozici návrh vaší smlouvy, kterou s dodavateli před zahájením spolupráce uzavřete.
5. Zaměřte se na UX a UI design aplikace
Při stažení aplikace a registraci účtu jste povinni uživatele informovat o tom, jak budete nakládat s jejich osobními údaji. Přidejte proto k registračnímu formuláři odkaz na dokument s informacemi o zpracování osobních údajů uživatele.
Pokud od uživatele potřebujete získat souhlas (např. k zasílání reklamních sdělení třetích stran), nastavte v registračním formuláři také zaškrtávací políčka nebo podobná místa k udělení souhlasu (třeba ve znění „☐ Chci dostávat novinky o aplikaci ABC provozované společností XY“).
Chcete uživatelům posílat reklamní sdělení s nabídkami vašich obdobných produktů a služeb nebo dotazníky spokojenosti? Pak byste jim měli při registraci umožnit zasílání těchto zpráv odmítnout. (jde např. o pole „☐ Neposílejte mi dotazníky spokojenosti“).
Pravděpodobně budete chtít uživatele zavázat pravidly užívání aplikace. Zajistěte proto v registračním formuláři také odkaz na dokument s pravidly a pole pro jejich odsouhlasení ve formě zaškrtávacího políčka nebo sdělení, že uživatel s podmínkami souhlasí dokončením registrace.
K evidenci udělených souhlasů/odmítnutí i k dokumentům s pravidly užívání aplikace a informacemi o zpracování osobních údajů by měl mít uživatel kdykoliv přístup. Vytvořte proto v aplikaci sekci, kde si uživatel bude moci zmíněné dokumenty přečíst a (ne)udělené souhlasy změnit. Může jít třeba o sekce „Podmínky užití“ a „Nastavení soukromí“.
V aplikaci byste uživateli měli umožnit uplatňovat jeho práva vztahující se ke zpracování jeho osobních údajů. Už jsem zmínila, že uživatel by měl mít možnost aktualizovat své údaje a měnit udělené souhlasy. Kromě toho můžete v aplikaci nastavit formulář, prostřednictvím kterého bude uživatel moci žádat o přístup ke svým osobním údajům, omezení jejich zpracování, přenositelnost k jinému správci údajů, výmaz údajů nebo podávat námitku proti zpracování údajů.
Registraci, souhlasy, odmítnutí i uplatnění práv uživatele si logujte. Logy se vám budou hodit například k určení okamžiku uzavření smlouvy o užívání aplikace, nastavení zasílání newsletterů nebo počítání lhůt k vyřízení žádostí uživatele týkajících se zpracování jeho osobních údajů. A opět je potřebujete i jako důkaz pro ÚOOÚ.
Veškerá komunikace s uživatelem o zpracování jeho osobních údajů a jeho právech musí být jasná, přehledná, dostupná a srozumitelná. Proto už ve fázi vývoje věnujte pozornost tomu, aby tato komunikace byla umístěna na vhodných a viditelných místech a aby byla formulována způsobem pochopitelným průměrnému uživateli.
Vývojem to nekončí
GDPR pravidla, která jste implementovali při vývoji aplikace, je potřeba dodržovat a kontrolovat i po jejím zprovoznění. Čas od času si proto ověřte, jestli není potřeba nastavení aktualizovat z důvodu změny funkcionalit aplikace nebo nových bezpečnostních rizik. Pravidelně také kontrolujte, jestli nastavené postupy dodržují i vaši dodavatelé.
Autorka: Kristýna Gembalová
Článek byl v původní podobě publikován na serveru GDPR.cz.