Każdego dnia poprzez aplikacje udostępniamy ogromną ilość naszych danych osobowych, nie myśląc o tym, czego dowiadują się o nas deweloperzy i w jakim celu wykorzystują pozyskane informacje. Google Play postanowiło to zmienić.

Łatwość w dostępie do wszelkiego rodzaju aplikacji mobilnych i ich użytkowania sprawia, że często zapominamy o tym, ile danych zbierają na nasz temat. Gromadzone informacje są dla nas ważne pod wieloma względami, gdyż mogą dotyczyć naszych finansów, poglądów politycznych czy lokalizacji naszego dziecka. Gdy instalujemy aplikację, często nie zastanawiamy się, dlaczego np. latarka wymaga od nas dostępu do galerii zdjęć, lokalizacji czy kontaktów. Udostępniając aplikacjom informacje o nas czy też gromadząc w nich dane o naszych nawykach, często robimy to bezwiednie, nie zastanawiając się, kto jeszcze będzie miał do nich potencjalnie dostęp.

> Formularz bezpieczeństwa

Żeby zapewnić transparentność informacji o danych użytkowników gromadzonych w aplikacjach, Google Play wprowadziło sekcję Bezpieczeństwo danych, w której właściciele aplikacji są zobowiązani do zamieszczenia informacji o gromadzonych i udostępnianych danych osobowych związanych z ich użytkownikami. Wymagania Google Play i weryfikacja ich spełnienia stawiają przed właścicielami aplikacji obowiązek ich uwzględnienia już w fazie projektowania oprogramowania. Tym samym już na tym etapie pozwalają ustalić odpowiedzi na pytania, jakie dane będzie ona przetwarzać, kto będzie miał do nich dostęp, czy jeżeli nastąpi przekazanie danych pomiędzy serwerami, to transfer będzie szyfrowany i czy zrealizujemy prawo do usunięcia danych. Tym samym zaadresujemy jedną z podstawowych zasad ochrony danych – privacy by design.

W przypadku aplikacji mobilnych należy wziąć pod uwagę, że zgodnie z wprowadzoną przez Google Play nową funkcjonalnością właściciele aplikacji do 20 lipca 2022 r. musieli odpowiednio dostosować je do wymogów bezpieczeństwa przetwarzania danych osobowych użytkowników, w tym wypełnić odpowiedni formularz bezpieczeństwa danych i dołączyć polityki prywatności. Celem wprowadzenia obowiązku wypełnienia formularza bezpieczeństwa było umożliwienie użytkownikom zrozumienia, w jaki sposób aplikacje, z których chcą korzystać lub już korzystają, przetwarzają (tj. gromadzą i udostępniają) ich dane.

Właściciel aplikacji jest zobowiązany do poinformowania użytkownika o tym, do jakich danych na jego telefonie będzie miała ona dostęp. Podczas wypełniania formularza bezpieczeństwa należy pamiętać, że zbiera on informacje globalne dla aplikacji, to znaczy, że jeżeli w poszczególnych regionach aplikacja występuje w różnych wersjach, to każda z nich musi zostać opisana. Jeżeli dla jednego regionu zbieramy dane w postaci imienia, nazwiska i adresu e-mail, a dla drugiego poszerzamy ten zakres np. o poglądy polityczne czy też datę urodzenia, to właściciel aplikacji musi to uwzględnić we wprowadzanym opisie.

Formularz bezpieczeństwa dotyczy również aplikacji, które są na ścieżkach testów wewnętrznych, zamkniętych, otwartych i produkcyjnych. Od 24 października 2022 r. ścieżki, które są aktywne na wewnętrznych testach, są zwolnione z włączania sekcji bezpieczeństwa danych, a aplikacje, które są aktywne wyłącznie na tej ścieżce, nie muszą wypełniać deklaracji.

Ważnym aspektem jest to, że nawet jeżeli aplikacja nie zbiera żadnych danych użytkownika, to formularz bezpieczeństwa i tak musi zostać wypełniony, a do tego podany link do polityki prywatności danej aplikacji. Co istotne zarówno w formularzu, jak i polityce prywatności właściciel aplikacji wpisuje wówczas, że dane użytkownika nie są zbierane ani też udostępniane.

> Przygotowania do wypełnienia formularza

W pierwszej kolejności powinniśmy zapoznać się z zasadami dotyczącymi przetwarzania danych użytkownika, tj. stosowania się do polityki Google Play, oraz dokładnie i ze szczególną uwagą przeczytać wymagania dotyczące wypełnienia formularza bezpieczeństwa danych w Konsoli Google Play. Następnie należy zwrócić uwagę, czy do aplikacji została dodana polityka prywatności, gdyż wszystkie nowe aplikacje, jak i ich aktualizacje muszą zawierać jej aktualne brzmienie. Bez tego nie wypełnimy formularza, a tym samym użytkownicy nie będą widzieli podanych w niej informacji.

W kolejnym kroku należy zweryfikować, czy nasze oprogramowanie zbiera i udostępnia dane o użytkowniku, a jeżeli tak, to w jaki sposób. W szczególności zalecane jest sprawdzenie zadeklarowanych uprawnień aplikacji i interfejsów API, z których korzysta aplikacja. Na końcu właściciel aplikacji powinien się dowiedzieć, w jaki sposób dane użytkownika są zbierane i udostępniane przez kod strony trzeciej (np. biblioteki zewnętrzne i pakiety SDK) w jego aplikacji. Obowiązkiem właściciela aplikacji jest upewnienie się, że każdy taki kod użyty w aplikacji jest zgodny z zasadami programu deweloperskiego Google Play. Aplikacje niezgodne z przepisami mogą zostać usunięte ze sklepu.

[...]

Kamil Pakalski – ekspert ds. cyberbezpieczeństwa oraz IT Security and Compliance Manager w ERGO Hestia.
Magdalena Sołtysiak – ekspert ds. danych osobowych oraz audytor wewnętrzny w LexDigital Sp. z o.o.