Zpracování osobních údajů v aplikacích a mobilních platformách:

Vytvořili jste úspěšnou mobilní aplikaci, ale nejste si jisti, zda správně nakládáte s osobními údaji uživatelů? V tomto článku získáte jasné odpovědi na to, jak sladit vaši aplikaci s nařízením GDPR a zároveň splnit specifické a neustále se měnící podmínky App Store a Google Play. Provedeme vás klíčovými povinnostmi a ukážeme, jak se vyhnout likvidačním pokutám a poškození reputace.

Potřebujete s tématem poradit? Obraťte se na advokátní kancelář ARROWS na e-mail office@arws.cz nebo telefon +420 245 007 740. Váš dotaz rád zodpoví "Mgr. Petr Hanzel, LL.M.", expert na dané téma.

 

Proč je ochrana dat v aplikacích klíčová pro váš byznys?

V digitální ekonomice jsou uživatelská data klíčovým aktivem pro růst a personalizaci služeb. Zároveň však představují významnou odpovědnost a potenciální riziko. Nesprávné nakládání s nimi může mít pro vaši společnost fatální následky. Představte si, že vaše aplikace, do které jste investovali miliony a roky vývoje, je přes noc stažena z App Store. Nebo že vám ve schránce přistane dopis od Úřadu pro ochranu osobních údajů s hrozbou pokuty ve výši 4 % vašeho celosvětového obratu.

To není hypotetický scénář, ale reálná hrozba pro firmy, které podcení pravidla ochrany dat. Nejde již jen o teoretické právní riziko budoucí pokuty. Platformy jako Apple a Google se staly aktivními strážci soukromí a jejich zásah může zastavit váš byznys okamžitě. Správně nastavená strategie ochrany dat tak není jen právní nutností, ale základním pilířem řízení obchodních rizik.

Tři pilíře, na kterých stojí vaše povinnosti

Pro úspěšné a bezpečné fungování vaší aplikace se musíte orientovat ve třech vzájemně propojených souborech pravidel. Každý z nich má svá specifika a vyžaduje odlišný přístup. Ignorace kteréhokoliv z nich může vést k vážným problémům.

Těmito třemi pilíři jsou:

1. Obecné nařízení o ochraně osobních údajů (GDPR): Právní základ pro ochranu dat v celé Evropské unii, který definuje základní principy, práva uživatelů a povinnosti správců dat.

2. Pravidla Apple App Store: Smluvní podmínky a technické rámce, které musíte splnit, aby vaše aplikace byla dostupná pro uživatele zařízení s iOS.

3. Zásady Google Play: Ekvivalentní soubor pravidel pro nejrozšířenější mobilní ekosystém Android.

V ARROWS se denně setkáváme s klienty z technologického sektoru, kterým pomáháme tuto složitou matici pravidel rozplést. Chápeme, že pro úspěch na trhu nestačí jen dodržovat zákon, ale i pravidla platforem, které jsou pro váš byznys životně důležité.

GDPR jako základ: Jaké jsou vaše povinnosti?

Ačkoliv pravidla platforem jsou často viditelnější, základem všeho je GDPR. Jejich dodržování je naprostou nutností pro každou aplikaci, která zpracovává data uživatelů z EU, bez ohledu na to, kde vaše společnost sídlí.

Co jsou to "osobní údaje" v kontextu mobilní aplikace?

Mnoho vývojářů se mylně domnívá, že pokud nesbírají jména nebo e-maily, GDPR se jich netýká. Opak je pravdou. Osobním údajem je jakákoliv informace, která může přímo či nepřímo identifikovat fyzickou osobu. V prostředí mobilních aplikací to zahrnuje širokou škálu dat.

Mezi osobní údaje patří nejen jméno a kontakt, ale také unikátní identifikátory zařízení jako IDFA (Identifier for Advertisers) na iOS nebo GAID (Google Advertising ID) na Androidu, IP adresy, přesná geolokační data, historie nákupů, data o chování v aplikaci (tzv. analytika) a dokonce i technické informace o zařízení, pokud je lze spojit s konkrétním uživatelem.

Princip "Privacy by Design and by Default": Co to znamená v praxi?

GDPR vyžaduje, aby ochrana osobních údajů nebyla jen dodatečným doplňkem, ale základním stavebním kamenem vaší aplikace. Tento přístup se opírá o dva klíčové principy, které musíte integrovat již od první fáze vývoje.

• Privacy by Design (Ochrana dat již od návrhu): Znamená to, že o ochraně dat přemýšlíte od samého začátku. Příkladem může být rozhodnutí anonymizovat analytická data ihned v okamžiku jejich sběru, nikoliv až na serveru, nebo použití šifrování pro veškerou komunikaci.
• Privacy by Default (Ochrana dat jako výchozí nastavení): Tento princip nařizuje, aby nejvíce soukromí chránící nastavení bylo vždy aktivní automaticky, bez nutnosti zásahu uživatele. Například pokud vaše aplikace obsahuje sociální profil, jeho viditelnost musí být ve výchozím stavu nastavena jako "soukromá", nikoliv "veřejná".

Jaký je váš právní základ pro zpracování? Souhlas není vždy nutný (ani vhodný)

Každé zpracování osobních údajů musí být založeno na jednom z právních základů definovaných v článku 6 GDPR. Pro mobilní aplikace jsou nejdůležitější tři: souhlas, plnění smlouvy a oprávněný zájem. Volba správného základu je klíčová.

• Souhlas: Je vyžadován pro marketing, personalizovanou reklamu nebo sběr dat, která nejsou nezbytně nutná pro fungování aplikace. Musí být svobodný, informovaný a odvolatelný.
• Plnění smlouvy: Tento základ použijete pro data nezbytná k poskytnutí služby, kterou si uživatel objednal. Například zpracování adresy pro doručení zboží v e-commerce aplikaci.
• Oprávněný zájem: Může být použit pro zpracování dat za účelem bezpečnosti, prevence podvodů nebo pro základní analytiku fungování aplikace. Jeho použití však vyžaduje provedení tzv. balančního testu, kde musíte prokázat, že váš zájem převažuje nad právy a svobodami uživatele.

Naši právníci v ARROWS vám pomohou provést právní analýzu a určit správný právní základ pro každou operaci zpracování dat ve vaší aplikaci, čímž minimalizují riziko zpochybnění ze strany úřadů.

Nevíte si s daným tématem rady?

Past jménem "platný souhlas": Jak ho správně získat?

Získání souhlasu je jednou z nejčastějších oblastí, kde aplikace chybují. Aby byl souhlas podle GDPR platný, musí být svobodný, specifický, informovaný a jednoznačný. To má přímý dopad na design uživatelského rozhraní (UI).

Zapomeňte na předem zaškrtnutá políčka – ta jsou nelegální. Uživatel musí provést aktivní krok, například zaškrtnutím prázdného políčka, aby souhlas udělil. Stejně tak musí být proces odvolání souhlasu stejně jednoduchý jako jeho udělení. Uživatel by měl mít možnost změnit svá nastavení soukromí snadno a kdykoliv přímo v aplikaci.

Nezbytná dokumentace: Zásady ochrany osobních údajů a DPIA

Každá aplikace musí mít snadno dostupný, srozumitelný a úplný dokument o zásadách ochrany osobních údajů (Privacy Policy). Tento dokument musí detailně popisovat, jaká data sbíráte, za jakým účelem, na jakém právním základě, jak dlouho je uchováváte a s kým je sdílíte.

Pokud vaše aplikace provádí vysoce rizikové zpracování, jako je systematické sledování polohy ve velkém rozsahu nebo zpracování citlivých údajů (např. zdravotních), GDPR vám ukládá povinnost provést tzv. posouzení vlivu na ochranu osobních údajů (DPIA). Jedná se o formální analýzu rizik, která musíte zdokumentovat.

Tvorba právně neprůstřelných zásad ochrany osobních údajů a příprava podkladů stanovených zákonem, je jednou z klíčových služeb, které v ARROWS našim technologickým klientům poskytujeme.

Specifika Apple App Store: Co Tim Cook vyžaduje od vaší aplikace?

Splnění požadavků GDPR je pouze první krok. Abyste se dostali k milionům uživatelů zařízení Apple, musíte projít přísným schvalovacím procesem App Store, který má vlastní, často přísnější pravidla pro ochranu soukromí. Apple se profiluje jako ochránce soukromí a jeho pravidla jsou nekompromisní.

App Tracking Transparency (ATT): Konec starých časů v marketingu

Zavedení rámce App Tracking Transparency (ATT) v iOS 14.5 znamenalo revoluci v mobilním marketingu. ATT vyžaduje, aby aplikace získala výslovný souhlas uživatele (opt-in) předtím, než ho bude moci sledovat napříč aplikacemi a weby jiných společností pomocí reklamního identifikátoru IDFA.

To má přímý dopad na schopnost provádět personalizovanou reklamu, retargeting a přesné měření marketingových kampaní (atribuci). Bez souhlasu uživatele vrací systém pro IDFA pouze řetězec nul, což znemožňuje jeho sledování. Firmy, jejichž obchodní model je postaven na cílené reklamě, musely zcela přehodnotit své strategie.

"Výživové štítky" pro soukromí: Jak správně vyplnit App Privacy Details

Apple vyžaduje, aby každá aplikace v App Store měla tzv. "Privacy Nutrition Label" (výživový štítek pro soukromí). Jedná se o přehledné shrnutí, jaká data aplikace sbírá, a rozděluje je do tří kategorií: "Data použitá k vašemu sledování", "Data spojená s vaší osobou" a "Data nespojená s vaší osobou".

Tyto informace vyplňuje vývojář v rozhraní App Store Connect. Jakákoliv nepřesnost, zatajení sběru dat nebo zavádějící informace jsou jedním z nejčastějších důvodů pro okamžité zamítnutí aktualizace nebo celé aplikace. Je klíčové přesně zmapovat nejen data, která sbíráte přímo vy, ale i ta, která sbírají integrované nástroje třetích stran (SDK).

Vzhledem k tomu, že tyto "štítky" vyplňuje developer, ale mají povahu právně závazného prohlášení, ARROWS poskytuje odborná školení pro vývojářské a marketingové týmy, aby se předešlo chybám, které mohou vést k zamítnutí aplikace.

Na koho se můžete obrátit?

Rizika spojená s pravidly Apple App Store

Následující tabulka shrnuje nejčastější rizika, se kterými se vývojáři v ekosystému Apple setkávají, a ukazuje, jak jim můžeme v ARROWS pomoci předejít.

Riziko k řešení a potenciální problémy a sankce	Jak pomáhá ARROWS
Zamítnutí aplikace nebo aktualizace při revizi. Ztráta příjmů, zpoždění marketingových kampaní a narušení produktové roadmapy kvůli nesprávně vyplněným "Privacy Labels".	Právní konzultace a revize. Provedeme audit vašich datových toků a pomůžeme správně a pravdivě vyplnit informace pro App Store, čímž minimalizujeme riziko zamítnutí.
Nízká míra souhlasu s ATT (App Tracking Transparency). Výrazné snížení efektivity marketingových kampaní, nemožnost provádět přesné atribuční měření a retargeting, což vede k vyšším nákladům na akvizici uživatelů.	Příprava dokumentace a strategií. Pomůžeme vám navrhnout uživatelsky přívětivé a právně souladné pre-permission obrazovky a textace, které transparentně vysvětlí výhody souhlasu a zvýší míru opt-in.
Právní postih za nepravdivé informace. Uvedení nepravdivých nebo zavádějících informací o sběru dat může vést nejen k odstranění z App Store, ale i k žalobám ze strany uživatelů nebo vyšetřování ze strany úřadů pro ochranu údajů.	Vyhotovení interních směrnic a právní stanoviska. Vytvoříme interní směrnice pro vaše týmy a poskytneme právní stanovisko, které potvrdí soulad vašich postupů s deklarovanými informacemi.
Ztráta důvěry uživatelů. Agresivní žádosti o sledování nebo nejasné informace o soukromí vedou k negativním recenzím, odinstalování aplikace a poškození reputace značky.	Odborná školení pro zaměstnance. Proškolíme vaše marketingové a produktové týmy v principech "Privacy by Design", aby ochrana soukromí byla vnímána jako konkurenční výhoda, nikoli jako překážka.
Problémy při mezinárodních přenosech dat. Sběr dat od uživatelů v EU a jejich přenos na servery v USA bez platného právního mechanismu (např. SCCs) porušuje GDPR, i když to App Store technicky umožňuje.	Příprava nebo revize smluv. Díky síti ARROWS International zajistíme revizi a přípravu smluv s vašimi mezinárodními partnery (např. poskytovateli analytiky) a implementujeme platné Standardní smluvní doložky (SCCs).
Nejasnosti ohledně dat sbíraných třetími stranami (SDK). Vaše aplikace je odpovědná i za data, která sbírají integrované nástroje třetích stran (analytika, reklamní sítě), což je častý zdroj chyb v deklaracích.	Právní audit a revize smluv. Provedeme audit smluv s poskytovateli SDK a pomůžeme vám přesně zmapovat, jaká data sbírají, abyste mohli poskytnout Applu kompletní a přesné informace.
Sankce za obcházení pravidel. Pokusy o obcházení ATT pomocí fingerprintingu nebo jiných metod vedou k trvalému odstranění vývojářského účtu a zákazu činnosti na platformě.	Právní konzultace a prevence rizik. Upozorníme vás na techniky, které jsou považovány za obcházení pravidel, a pomůžeme nastavit vaše analytické a marketingové procesy v souladu s podmínkami Apple.

Pravidla Google Play: Jak se liší od Applu a na co si dát pozor?

Ekosystém Android má sice pověst otevřenější platformy, ale v oblasti ochrany dat se jeho pravidla v posledních letech výrazně zpřísnila. Google zavedl vlastní systém pro transparentnost, který má svá specifika a odlišnosti od přístupu Applu.

Sekce "Bezpečnost údajů" (Data Safety): Googleův přístup

Ekvivalentem "výživových štítků" od Applu je v Google Play sekce "Bezpečnost údajů". Jejím cílem je informovat uživatele o tom, jaká data aplikace sbírá, zda je sdílí s třetími stranami, za jakým účelem a jaká bezpečnostní opatření (např. šifrování) používá.

Ačkoliv je cíl podobný jako u Applu, Google klade větší důraz na explicitní deklaraci, zda jsou data "sdílena" s třetími stranami, a na popis zavedených bezpečnostních praktik. Stejně jako u Applu, i zde platí, že za správnost a úplnost informací plně odpovídá vývojář.

Definice "sdílení" dat: Kde číhá past?

Jedním z největších úskalí pravidel Google Play je jeho specifická definice "sdílení" dat. Ne každý přenos dat třetí straně je považován za sdílení. Například přenos dat poskytovateli cloudové infrastruktury (jako je AWS nebo Google Cloud), který data zpracovává výhradně jménem vývojáře, se za sdílení nepovažuje.

Naopak, přenos dat do analytického nástroje, který data využívá i pro vylepšování svých vlastních služeb nebo pro jiné klienty, již "sdílením" je a musí být jako takový deklarován. Tato nuance může být matoucí a její nesprávné posouzení je častou chybou, která může vést k postihu.

Citlivá oprávnění a prominentní upozornění

Google je obzvláště přísný u aplikací, které žádají o přístup k citlivým oprávněním, jako je poloha na pozadí, přístup k SMS zprávám nebo k seznamu hovorů. Pro taková oprávnění nestačí standardní systémová žádost.

Aplikace musí zobrazit tzv. "prominentní upozornění" (prominent disclosure) – tedy vlastní, jasně viditelnou obrazovku, která uživateli srozumitelně vysvětlí, proč aplikace dané oprávnění potřebuje a jak budou data využita. Tato obrazovka musí být zobrazena před systémovou žádostí o oprávnění a uživatel s ní musí aktivně souhlasit.

Naši právníci v ARROWS mají rozsáhlé zkušenosti se zastupováním klientů, jejichž aplikace vyžadují komplexní oprávnění. Pomáháme jim získat potřebná povolení a navrhnout uživatelská rozhraní tak, aby splňovala přísné požadavky Google Play.

Rizika spojená s pravidly Google Play

Následující tabulka se zaměřuje na specifická rizika platformy Google Play a na to, jak je řešíme v ARROWS.

Riziko k řešení a potenciální problémy a sankce	Jak pomáhá ARROWS
Pozastavení nebo odstranění aplikace z Google Play. Nesprávné nebo neúplné vyplnění sekce "Bezpečnost údajů" je jedním z nejčastějších důvodů pro postih ze strany Google.	Právní audit a příprava dokumentace. Zanalyzujeme datové toky vaší aplikace, včetně SDK třetích stran, a připravíme přesné podklady pro vyplnění sekce "Bezpečnost údajů", aby odpovídaly realitě.
Pokuty od úřadů za neoprávněné sdílení dat. Nesprávné pochopení definice "sdílení" dle Googlu může vést k porušení GDPR, pokud jsou data fakticky předávána třetím stranám bez platného právního základu.	Právní stanoviska a revize smluv. Poskytneme vám jasné právní stanovisko k tomu, které přenosy dat jsou "sdílením" ve smyslu pravidel Google i GDPR, a zrevidujeme vaše smlouvy s třetími stranami.
Omezení funkčnosti aplikace. Google může omezit viditelnost nebo funkčnost aplikace, která žádá o citlivá oprávnění (např. přístup k SMS, poloha na pozadí) bez dostatečného odůvodnění a splnění požadavků na "prominent disclosure".	Právní konzultace a pomoc se získáním povolení. Pomůžeme vám formulovat odůvodnění pro citlivá oprávnění a navrhnout proces souhlasu v aplikaci tak, aby byl v souladu s pravidly a maximalizoval šanci na schválení.
Zneužití dat pro přeshraniční marketing. Využívání dat evropských uživatelů pro marketingové aktivity v USA nebo jinde bez zajištění adekvátní úrovně ochrany je závažným porušením GDPR.	Mezinárodní právní poradenství. S využitím naší sítě ARROWS International zajistíme, že vaše přeshraniční datové toky jsou právně ošetřeny, ať už prostřednictvím SCCs nebo jiných platných mechanismů.
Odpovědnost za bezpečnostní incidenty. Sekce "Bezpečnost údajů" vyžaduje deklaraci bezpečnostních opatření (např. šifrování). Nepravdivé tvrzení může vést k odpovědnosti v případě úniku dat.	Vyhotovení interních směrnic. Pomůžeme vám vytvořit a implementovat interní bezpečnostní směrnice, které nejenže odpovídají vašim deklaracím v Google Play, ale reálně chrání data a snižují vaše právní riziko.
Negativní uživatelské recenze a nedůvěra. Nejasné nebo příliš složité žádosti o souhlas a oprávnění vedou k frustraci uživatelů, špatnému hodnocení a poškození značky.	Odborná školení pro vývojáře a produktové manažery. Školíme týmy, jak komunikovat požadavky na data transparentně a srozumitelně, aby byl uživatelský zážitek v souladu s právními požadavky.
Problémy s daty dětí a mladistvých. Google má extrémně přísná pravidla pro aplikace cílící na děti. Jakýkoliv sběr osobních údajů bez prokazatelného rodičovského souhlasu vede k okamžitému odstranění aplikace.	Specializované právní poradenství. Poskytujeme specializované poradenství pro aplikace určené dětem, včetně nastavení mechanismů pro získání rodičovského souhlasu v souladu s GDPR a pravidly Google Play.

Jak vám ARROWS zajistí klidný spánek a udržitelný růst?

Nejde o "IT problém", ale o strategické řízení rizika

Jak je zřejmé, ochrana osobních údajů v mobilních aplikacích není pouze technickou nebo právní formalitou. Je to komplexní disciplína, která zasahuje do vývoje produktu, marketingu, obchodní strategie i firemní reputace. Reaktivní přístup a řešení problémů až ve chvíli, kdy nastanou, je cestou k finančním ztrátám a zbytečnému stresu.

Úspěšné společnosti chápou, že proaktivní právní plánování je základem pro udržitelný růst v digitálním světě. Investice do správného nastavení procesů na začátku se mnohonásobně vrátí v podobě sníženého rizika, vyšší důvěry uživatelů a hladkého fungování na všech platformách.

Nevíte si s daným tématem rady?

Komplexní právní partnerství pro váš technologický byznys

V ARROWS vám poskytneme více než jen dílčí rady. Nabízíme komplexní partnerství, které pokryje všechny aspekty ochrany dat ve vašem podnikání:

• Přípravu a revizi smluv s poskytovateli SDK, analytických nástrojů a cloudových služeb, abyste měli jistotu, co se s vašimi daty děje.
• Vyhotovení interních směrnic pro vaše zaměstnance, které nastaví jasná pravidla pro nakládání s uživatelskými daty.
• Právní konzultace, které chrání před pokutami a kontrolami, ať už se jedná o GDPR, nebo specifická pravidla platforem.
• Zastupování u soudů a správních orgánů, pokud by k problému přesto došlo. S námi na to nejste sami.
• Odborná školení pro vaše týmy, která jim pomohou pochopit právní rámec a předejít chybám.

Proč si vybrat právě ARROWS?

Naše zkušenosti mluví za nás. Dlouhodobě poskytujeme právní služby více než 150 akciovým společnostem a 250 společnostem s ručením omezeným. Rozumíme byznysu a zakládáme si na rychlosti a vysoké kvalitě. Naše mezinárodní síť ARROWS International nám navíc umožňuje efektivně řešit i složité případy s mezinárodním prvkem.

Navíc chápeme, že právo a byznys jdou ruku v ruce. Rádi si poslechneme vaše podnikatelské nápady a propojíme vás s dalšími klienty z našeho portfolia, pokud uvidíme zajímavou obchodní příležitost.

Ochrana osobních údajů nemusí být noční můrou, která brzdí váš růst. Může být vaší konkurenční výhodou. Kontaktujte nás ještě dnes a domluvte si úvodní konzultaci. Společně zajistíme, aby vaše aplikace byla nejen úspěšná, ale i bezpečná a plně v souladu se všemi pravidly.

Nechcete tenhle problém řešit sami? Advokátní kanceláři ARROWS věří více než 2000 klientů a jsme oceněni jako Právnická firma roku 2024. Podívejte se ZDE na naše reference a bude nám ctí pomoci vám při řešení vašeho problému. Poptávka je zdarma.