Tai rodo, jog, nepaisant Bendrojo duomenų apsaugos reglamento (BDAR) numatytų milžiniškų baudų, mobiliąsias programėlės savo veikloje naudojančios įmonės vis dar negeba tinkamai įgyvendinti asmens duomenų tvarkymui keliamų reikalavimų.

Kokioms mobiliosioms programėlėms taikomi BDAR reikalavimai?

Bet kuri įmonė, įsteigta Europos Sąjungos teritorijoje ar už jos už jos ribų, bet tvarkanti Europos Sąjungos piliečių duomenis, yra BDAR numatytų reikalavimų taikinyje. Tai reiškia, kad kiekviena Lietuvos įmonė, savo veikloje naudojanti mobiliąsias programėles, privalo saugoti jas naudojančių vartotojų duomenis ir laikytis visų privatumo reikalavimų.

Nepaisant to, daugelis įmonių, naudojantys mobiliąsias programėlės, vis dar nustemba sužinoję, jog daugiau nei prieš dvejus metus įsigaliojęs BDAR yra taikomas ir mobiliųjų programėlių naudojimo procesuose. Tai lemia, jog mobiliosiomis programėlėmis vykdomi asmens duomenų tvarkymo procesai šiandien vis dar neatitinka būtinų privatumo reikalavimų, renkamų asmens duomenų mastas dažnai yra ženkliai per platus bei nepagrįstas, o saugumo pažeidimų pasekmės užtraukia milžiniškas baudas ar nepataisomai pablogina įmonės reputaciją.

Žingsniai, padėsiantys išvengti baudos

Atsižvelgiant į tai, kad rizika pažeisti vartotojų asmens duomenis yra nepaprastai didelė ir gali sukelti rimtą grėsmę verslui, mobiliosiose programėlėse vykdomą asmens duomenų tvarkymą reiktų vertinti itin rimtai bei žinoti, kokių priemonių derėtų imtis, siekiant atitikti privatumui keliamus reikalavimus. Taigi, toliau bus aptarti 7 žingsniai, padėsiantys išvengti gresiančio asmens duomenų apsaugos pažeidimo bei, atitinkamai, baudos.

1 žingsnis. Mobiliąja programėle renkami tik išimtinai jos veikimui reikalingi asmens duomenys

Jei įmonė nustato, jog jos naudojamos mobiliosios programėlės pagalba yra renkami asmens duomenys, ji turėtų papildomai įsivertinti, ar tikrai visi renkami asmens duomenys jos veikloje yra būtini, t. y. galbūt yra kažkas, ko teikiant paslaugas iš tikrųjų nereikia.

Pavyzdžiui, jei naudojamos mobiliosios programėlės tikslas yra tik informacijos apie teikiamas paslaugas / parduodamas prekes teikimas, reikėtų įsivertinti, ar tikrai yra būtinas naudotojo informacijos apie jo buvimo vietą rinkimas. Kitaip tariant, bet kuris mobiliąją programėlę savo veikloje naudojantis verslo subjektas privalo rinkti kuo mažesnį kiekį asmens duomenų (tik būtinus programėlės veikimo tikslui pasiekti), gebėti pagrįsti visų jų būtinumą bei apie tai aiškiai informuoti klientus.

2 žingsnis. Privatumo politika – rekomenduojama visais atvejais

Kiekvienas verslo subjektas, siūlantis vartotojams paslaugas internetu, pavyzdžiui, per interneto svetaines, socialinių tinklų profilius, mobiliąsias aplikacijas, programėles ar pan., pagal BDAR turi pasirūpinti, jog kiekviena iš jų pateiktų naudotojams informaciją apie vykdomą jų asmens duomenų tvarkymą. Tokią informaciją galima pateikti, pavyzdžiui, privatumo politikoje, kuri mobiliojoje programėlėje gali būti patalpinta tiek kaip atskiras dokumentas, tiek kaip naudojimosi sąlygų dalis.

Taigi, privatumo politika yra vienas iš esminių teisinių reikalavimų, keliamų tiek internetinėms svetainėms, tiek mobiliosioms programėlėms.

Deja, praktikoje itin dažnai pasitaiko atvejų, kuomet organizacijos renka asmens duomenis net pačios to nesuprasdamos ir (ar) per siaurai vertindamos naudojamas priemones ar jų technines savybes ir, atitinkamai, neinformuodamos duomenų subjektų apie vykdomą duomenų tvarkymą. Pavyzdžiui, dažnai įmonės mano, jog informacinės privatumo nuostatos reikalingos tik jų valdomoms internetinėms svetainėms, neįvertinant, kad naudojamoms mobiliosioms programėlėms taip pat be jokių išimčių taikomi BDAR reikalavimai.

Svarbu ir tai, kad net ir nerenkant jokių asmens duomenų mobiliojoje programėlėje, siekiant užtikrinti visapusišką vartotojų informavimą, rekomenduojama turėti privatumo nuostatas, nurodančias, jog jokie asmens duomenys nėra tvarkomi.

3 žingsnis. Skaidrumo principo laikymasis

BDAR imperatyviai įtvirtina pareigą kiekvienai įmonei, tvarkančiai vartotojų asmens duomenis, imtis tinkamų priemonių pateikiant informaciją apie jų asmens duomenų tvarkymą bei visus su tokiu duomenų tvarkymu susijusius pranešimus glausta, skaidria, suprantama ir lengvai prieinama forma, aiškia bei paprasta kalba. Informacijos pateikimui mobiliosiose programėlėse siūloma naudoti vizualizavimą, pavyzdžiui, karikatūras, vaizdo įrašus, lenteles, piktogramas, simbolius ir pan. – viską, kas padėtų vartotojams geriau suprasti apie jų asmens duomenų tvarkymą.

4 žingsnis. Informavimas apie naudojamas trečiųjų šalių paslaugas

Savo vartotojams įmonės taip pat turėtų pateikti informaciją apie tai, kurias trečiąsias šalis pasitelkia tvarkant vartotojų duomenis mobiliosiose programėlėse. Pavyzdžiui, jei valdoma mobilioji programėlė yra prijungta prie išorinių paslaugų teikėjų, teikiančių vartotojų analizės sprendimų paslaugas (pvz., „Google Analytics“, „Fabric“), verslo subjektai turėtų tai aiškiai atskleisti vartotojams savo privatumo politikoje.

Taip pat turėtumėte įsitikinti, kad visi tokie paslaugų teikėjai, kurie renka / gauna bet kokius jūsų vartotojų duomenis, atitinka BDAR keliamus reikalavimus, kadangi jie bus „duomenų tvarkytojai“, o jūs išliksite „duomenų valdytoju“. Taigi, taip pat turėtumėte su duomenų tvarkytojais pasirašyti susitarimus, kurie atitiktų duomenų apsaugos ir saugumo užtikrinimo lygį, kurio reikalauja BDAR.

5 žingsnis. Dviejų veiksnių autentifikavimas bei duomenų šifravimas

BDAR ne kartą akcentuojama pareiga imtis tinkamų techninių ir organizacinių priemonių asmens duomenų saugumui užtikrinti, tačiau beveik neužsimenama apie tai, kokios priemonės yra laikomos tinkamomis. Pažymėtina, jog mobiliųjų programėlių atveju yra itin aktuali dviejų veiksnių autentifikacija bei duomenų šifravimas.

Dviejų veiksnių autentifikacija yra saugumo procesas, kai mobiliosios programėlės vartotojo atpažinimui reikalingas daugiau nei vienas tapatybės nustatymo būdas. Šis procesas reikalingas siekiant geriau apsaugoti duomenų subjektų asmens duomenis ir yra puikus būdas užtikrinti, kad asmuo, prisijungęs prie programėlės paskyros, iš tikrųjų yra jos savininkas.

Kitas ne ką mažiau svarbus mobiliųjų programėlių saugumo užtikrinimo žingsnis – iš vartotojų gaunamų asmens duomenų šifravimas. Nešifruoti duomenys reiškia, kad siunčiama informacija bus aiški ir lengvai pažeidžiama. Be kita ko, visi duomenys, kuriuos renka jūsų valdoma mobilioji programėlė, turėtų būti laikomi saugioje vietoje, o atsarginės kopijos taip pat turėtų būti šifruojamos.

6 žingsnis. Buvimo vietos duomenų rinkimo vengimas

Šis žingsnis reiškia, jog reikėtų vengti technologijų, skirtų nustatyti buvimo vietos duomenis, kadangi tokie duomenys kelia didesnį pavojų saugumui. Jei paslaugų naudotojų vietos sekimas verslo subjektui yra būtinas ir neišvengiamas, pavyzdžiui, kuomet įmonė rinkai siūlo navigacijos programėles telefone ar maisto į namus pristatymo paslaugą, kiekvieną kartą prieš tokį sekimo priemonių aktyvavimą privaloma aiškiai bei suprantamai informuoti asmenį apie tai, kad jo buvimo vietos duomenų sekimas yra įjungiamas. Atitinkamai, paslaugų teikėjas nebegali sekti vartotojo buvimo vietos vos tik jam išjungus programėlę ar pasiekus kelionės tikslą.

7 žingsnis. Vartotojų asmens duomenų ištrynimo užtikrinimas

Galiausiai, svarbu nepamiršti ir to, jog kiekvienas mobiliosios programėlės naudotojas turi teisę reikalauti ištrinti visus tvarkomus jo asmens duomenis – tai yra vienas iš pagrindinių BDAR reikalavimų. Atsižvelgiant į tai, organizacijos privalo gebėti realiai įgyvendinti tokį kliento norą „būti pamirštam“.

Deja, bet praktikoje vis dar dažnai pasitaiko, jog įmonės fiktyviai įgyvendina šią vartotojų teisę ir ištrintas paskyras laiko tiesiog neaktyviomis, t. y. nepašalina asmens duomenų pilna apimtimi. Pabrėžtina, jog toks elgesys pažeidžia BDAR ir gali užtraukti baudą, todėl turite įsitikinti, kad informaciją bus įmanoma realiai panaikinti.

Šaltinis
Temos
Griežtai draudžiama Delfi paskelbtą informaciją panaudoti kitose interneto svetainėse, žiniasklaidos priemonėse ar kitur arba platinti mūsų medžiagą kuriuo nors pavidalu be sutikimo, o jei sutikimas gautas, būtina nurodyti Delfi kaip šaltinį.
www.DELFI.lt
Prisijungti prie diskusijos Rodyti diskusiją (2)