Krzysztof Mikoajczyk dla Aula polska: Co developer aplikacji mobilnych powinien wiedzie o danych osobowych?

  • Published on
    25-Jun-2015

  • View
    264

  • Download
    1

DESCRIPTION

Podstawowe informacje na temat danych osobowych dla developerw aplikacji mobilnych.

Transcript

1. Co developer aplikacji mobilnych powinien wiedzieć o danych osobowych?Krzysztof Mikołajczyk Aula #107 – Biznes i prawo 6 lutego 2014 1 2. Agenda •Dane osobowe – ale o co chodzi?•Status prawny developera aplikacji mobilnej wobec danych użytkowników•Podstawowe obowiązki administratora danych zebranych poprzez aplikacje mobilną•Privacy by design – zbiór dobrych praktyk2 3. Dane osoboweAle o co chodzi?3 4. Dane osobowe - krótko i na temat…(1)•Wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.•Niecelowe jest tworzenie „katalogu” danych osobowych – wszystko zależy od kontekstu.•Rozmaite dane zbierane w toku korzystania z aplikacji i dające się powiązać z konkretną osobą „zasilają” zakres danych osobowych o tej osobie.•Brak możliwości identyfikacji – gdy określenie tożsamości osoby wymagałoby nadmiernych kosztów, czasu lub działań (obecnie – ryzykowne) 4 5. … i jeszcze trochę o danych •Dane osobowe „samodzielne” (PESEL)•Dane osobowe „kontekstowe”•Szczególne kategorie danych•(2)e-mail, login, adres IP, IMEI, adres MAC?5 6. Status prawny developera aplikacji mobilnejwobec danych użytkowników6 7. Pogromcy mitów • „Nie przetwarzamy danych osobowych, a jedynie je przechowujemy”• „Nie przetwarzamy danych osobowych, a jedynie dane eksploatacyjne”7 8. Przetwarzanie danych osobowych• Jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie• Zwłaszcza te, które wykonuje się w systemach informatycznych8 9. Administrator danych osobowych•Zasadniczo „właściciel” danych osobowych•Decyduje o celach i środkach przetwarzania danych•Główny adresat obowiązków związanych z przetwarzaniem danych osobowych•Główny odpowiedzialny za przetwarzanie danych osobowych9 10. Przetwarzający na zlecenie (processor) • Przetwarza: – w imieniu i na rzecz administratora danych– zgodnie z celem i zakresem wyznaczonym przez administratora danych – zgodnie ze wskazówkami administratora • Ma obowiązek zabezpieczenia danych osobowych • Zlecenie przetwarzania – wybrane problemy10 11. Przykłady •Aplikacja pozwala użytkownikom na „proste” zapisywanie danych na ich urządzeniu => użytkownik zachowuje pełną kontrolę nad danymi => twórca nie zbiera danych•Aplikacja przekazuje dane użytkownika na serwery twórcy aplikacji lub do chmury i tworzy profil behawioralny => administrator•Aplikacja zawiera komponent prezentujący reklamy dostarczane przez podmiot trzeci => najprawdopodobniej to dostawca reklam będzie administratorem, ale należy o tym poinformować użytkowników11 12. Podstawowe obowiązki developera aplikacji mobilnychwobec danych użytkowników12 13. Informacja! Zbieranie danych osobowych bezpośrednio od osoby, której one dotyczą; administrator danych jest obowiązany poinformować tę osobę o:•adresie swojej siedziby i pełnej nazwie•celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych•prawie dostępu do treści swoich danych oraz ich poprawiania•dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej13 14. Zasada legalności• Przepisy ustawy o świadczeniu usług drogą elektroniczną – wystarczająca podstawą prawną dla przetwarzania niektórych danych• Zgoda osoby – w pozostałych przypadkach (większość) użytkownik powinien się zgodzić na przetwarzanie danych o nim14 15. Zgoda to nie wszystko - adekwatność „dane są adekwatne do celów, w jakich są przetwarzane”•Zakres zbieranych danych nie powinien wykraczać poza cel ich przetwarzania•Adekwatność ocenia się indywidualnie w zależności od okoliczności, zależy od funkcjonalności aplikacji15 16. Celowość i czasowość •Związanie celem - tożsamość celu przetwarzania danych o użytkowniku (dane zebrane dla jednego celu nie mogą być wykorzystane dla innych celów innego, np. marketingowych, o ile użytkownik nie wyraził na to zgody)•Czas przetwarzania - „nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania”16 17. Privacy by DesignZbiór dobrych praktyk17 18. Dobre praktyki •Standardowe uprawnienia dostępu do określonych danych nadawane przez sklepy są często niewystarczające (nie opisują celu przetwarzania) – informuj.•Nie zbieraj danych „za zapas” (brak celu)•Rozważ informowanie o potrzebie zebrania dodatkowych danych tuż przez rozpoczęciem ich zbierania•Unikaj stawiania użytkownika przez alternatywą „wszystko albo nic” (adekwatność)•„The default rules”18 19. Podsumowanie19 20. Dziękuję za uwagęKrzysztof Mikołajczyk Tel. +48 22 50 50 780 krzysztof.mikolajczyk@eversheds.plWierzbowski Eversheds Sp. k. Centrum Jasna ul. Jasna 14/16a 00-041 Warszawa Tel. +48 22 50 50 700 Faks +48 22 50 50 701Zapraszam na www.IPwSieci.pl Nasz blog o nowych technologiach i Internecie okiem prawnika20 21. www.eversheds.pl