Jednym z głównych zadań Urzędu Ochrony Danych Osobowych jest przeprowadzanie kontroli w podmiotach przetwarzających dane osobowe, których celem jest sprawdzenie, czy działają one zgodnie z przepisami o ochronie danych osobowych. Każdy podmiot przetwarzający dane osobowe, niezależnie od tego, czy jest to firma prywatna, instytucja publiczna czy organizacja pozarządowa, może zostać poddany kontroli przeprowadzanej przez Prezesa UODO. Kontrole mogą być inicjowane na podstawie skarg od osób fizycznych, informacji uzyskanych przez UODO lub też mogą mieć charakter planowy. 12 lutego 2024 r. na stronie Urzędu Ochrony Danych Osobowych pojawił się komunikat zgodnie z którym, Prezes UODO przyjął plan kontroli sektorowych na 2024 rok. Po szczegóły […]
Kontrola sektorowa w 2024 r. podmiotów przetwarzających dane osobowe przy użyciu aplikacji internetowych (webowych)
29 kwietnia 2024 | Artur Kruziński
W alercie prawnym autorstwa mec. Karoliny Misiak (dostępnym pod tym LINKIEM) poinformowaliśmy o komunikacie z dnia 12 lutego 2024 r. o przyjęciu przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO) planu kontroli sektorowych na 2024 rok. Zgodnie z ww. komunikatem, kontrola sektorowa obejmie m.in. podmioty, które przetwarzają dane osobowe przy użyciu aplikacji internetowych (webowych) – pod kątem sposobu zabezpieczenia i udostępniania danych osobowych wykorzystywanych w związku z korzystaniem z aplikacji. O tym, czym są aplikacje internetowe, jak dane są przetwarzane w aplikacjach oraz jak należy te dane chronić – dowiecie się w niniejszym artykule.
Czym się różnią aplikacje internetowe od aplikacji mobilnych?
Aplikacja internetowa (webowa) to oprogramowanie działające w przeglądarce internetowej umożliwiające użytkownikowi korzystanie z określonych, ustalonych dla niej funkcji i usług w sieci, za pośrednictwem różnych urządzeń (np. komputer, telefon czy tablet) – przy czym nie jest wymagane zainstalowanie tej aplikacji na urządzeniu. Powyższe oprogramowanie znacznie różni się od funkcjonowania aplikacji mobilnych, które także są programami komputerowymi działającymi na urządzeniach mobilnych (typu tablet lub telefon), ale w odróżnieniu od aplikacji webowych, ich funkcjonowanie jest zależne od zainstalowania na urządzeniu mobilnym po wcześniejszym pobraniu ze sklepu internetowego.
Jakie dane są przetwarzane w aplikacjach?
Zakres przetwarzania danych, a w tym gromadzenia danych przez aplikacje webowe i aplikacje mobilne może być różny i w głównej mierze zależy on od celów, funkcjonalności oraz usług oferowanych za ich pośrednictwem. Podkreślenia wymaga także, iż aplikacje mobilne mogą mieć dostęp do różnych funkcji urządzenia, na którym są zainstalowane, np. lokalizacji czy aparatu, w związku z czym, w celu zapewnienia ochrony prywatności użytkownika, powinien on najpierw zostać poproszony o udzielenie stosownego dostępu oraz poinformowany o tym, kto, w jakim celu i zakresie będzie wykorzystywał dane uzyskane w ten sposób. Jeżeli pozyskiwany zakres informacji będzie stanowił dane osobowe, to najczęściej konieczne będzie uzyskanie zgody użytkownika na wykorzystanie jego danych, jeżeli inna przesłanka (podstawa) przetwarzania nie będzie wchodziła w grę. Zgoda na przetwarzanie danych nie zawsze będzie konieczna, bowiem korzystanie z aplikacji oznacza zawarcie umowy o świadczenie usług drogą elektroniczną. Oznacza to, iż w zakresie w jakim dane są potrzebne do zawarcia i realizacji tej umowy, to nawiązany stosunek umowny stanowi ramy (podstawę) do wykorzystania danych osobowych. Należy zatem wyraźnie podkreślić, iż każdorazowo należy ocenić cel i zakres wykorzystania danych osobowych, co w konsekwencji sprowadza się do konieczności ustalenia odpowiedniej podstawy ich przetwarzania. Mając na względzie powyższe, istotne jest także to, aby użytkownicy aplikacji (zarówno aplikacji webowych i mobilnych) byli informowani o możliwości korzystania przez nich z praw wynikających z RODO (m.in. o prawie żądania ograniczenia przetwarzania danych, ich usunięcia lub sprostowania), w tym by byli informowani o podstawie, rodzaju i zakresie przetwarzania danych osobowych.
Jak należy chronić dane?
Nie ulega wątpliwości, iż producenci aplikacji webowych jak i aplikacji mobilnych, muszą stosować odpowiednie środki bezpieczeństwa w celu zabezpieczenia informacji przed nieuprawnionym dostępem. Może być to osiągnięte między innymi poprzez szyfrowanie i przechowywanie danych w bezpiecznych bazach. Ponadto, producenci aplikacji webowych powinni stosować dodatkowe mechanizmy uwierzytelniania i autoryzacji, żeby mieć pewność, iż tylko osoby uprawnione korzystają z funkcjonalności aplikacji. Coraz bardziej popularnym rozwiązaniem jest tzw. uwierzytelnianie dwuskładnikowe (2FA), które polega na tym, iż użytkownik w celu zalogowania do swojego konta, oprócz hasła, musi podać „drugi składnik” (stąd nazwa tego mechanizmu zabezpieczenia 😊). „Drugim składnikiem” może być kod wysyłany SMS-em na podany przez użytkownika numer telefonu lub zatwierdzanie logowania z poziomu innej aplikacji powiązanej z aplikacją, do której użytkownik chce się zalogować. Konieczne jest również wprowadzenie odpowiednich zabezpieczeń sieciowych w celu zapewnienia poufności i integralności danych przesyłanych z przeglądarki internetowej do serwerów, a także regularne aktualizowanie oprogramowania, by nieustannie poprawiać błędy w zabezpieczeniach.
Na czym skupi się Prezes UODO podczas kontroli?
Mając na względzie powyższe, Prezes UODO w zakresie przeprowadzanych kontroli najprawdopodobniej skupi się na aspekcie, czy dane przetwarzane przez aplikacje internetowe są odpowiednio zabezpieczone. Adekwatne zabezpieczenie aplikacji składa się z wielu elementów, które w pewnym zakresie zostały opisane powyżej. Z tego punktu widzenia istotne jest również przeprowadzanie audytu i monitorowanie aplikacji internetowych w celu niezwłocznego reagowania na jakiekolwiek zagrożenia. Niewątpliwie kluczową rolę odgrywają zabezpieczenia IT, ale równie istotną rolę odgrywa dokumentacja, która opisuje odpowiednie zabezpieczenia techniczne. Jesteśmy ciekawi wyników kontroli Prezesa UODO – o czym z pewnością będziemy informować na łamach naszego Bloga 😊
Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa oraz ma charakter wyłącznie informacyjny. Stanowi wyraz poglądów jego autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.