Podczas zakończonego w czwartek Forum Nowych Technologii zastępca prezesa Urzędu Ochrony Danych Osobowych Jakub Groszkowski omówił wstępne wyniki kontroli przestrzegania RODO przez administratorów aplikacji mobilnych. Choć na pełne wyniki musimy zaczekać do końca roku, to te wstępne wskazują, że co do zasady kontrolowane podmioty dobrze sobie radzą z ochroną prywatności.
Kontrola objęła przedsiębiorstwa z różnych branż: medycznej, bankowej, gastronomicznej, handlowej, turystycznej, transportowej oraz w administracji rządowej. Dla niektórych aplikacje stanowiły główne narzędzie działalności, dla innych były tylko dodatkową usługą lub uzupełnieniem strony internetowej.
Czytaj więcej:
Każdy przedsiębiorca, przetwarzający dane osobowe przy użyciu aplikacji mobilnej lub webowej, może znaleźć się w centrum zainteresowania Prezesa Ur...
Pro
UODO badał w szczególności, czy wdrożono odpowiednie środki techniczne i organizacyjne, tak by przetwarzanie było zgodne z RODO oraz uwzględniało specyfikę branży i związane z nią ryzyka – z uwzględnieniem analizy tego ryzyka.
Administratorzy danych starają się te środki wdrożyć, w szczególności poprzez: politykę bezpieczeństwa, politykę haseł, środki kryptograficzne, ciągłe monitorowanie bezpieczeństwa systemów informatycznych, separacje systemu od sieci publicznej, okresowe testy bezpieczeństwa, szyfrowanie plików, monitorowanie przepływu danych i blokowanie portów USB. Większość z tych rozwiązań stosowano już na etapie projektowania i wdrażania aplikacji (privacy by design), a ich bazowe uprawnienia przewidywały osobne udzielanie dostępu do takich urządzeń jak mikrofon czy kamera w smartfonie (privacy by defoult).
Czytaj więcej
Rozwój technologii i współpraca międzynarodowa to podstawowe wyzwanie dla ochrony danych osobowych w nadchodzących latach.
Jakub Groszkowski wskazał również pozytywne i negatywne przykłady weryfikowania tożsamości. Pierwszym z nich było użycie danych biometrycznych, które jednak nie zostały zapisane w aplikacji, tylko na urządzeniu. Dane takie powinny być także zabezpieczane kryptograficznie przed dostępem osób trzecich. Inna aplikacja jednak dla weryfikacji tożsamości (i zapobieżenia oszustwom) wymagała od użytkownika przysłania zdjęcia karty kredytowej. Zdaniem UODO było to nadmierne w stosunku do celu, jaki miało spełniać. Podobnie byłoby z wymaganiem zdjęć dowodu tożsamości – jest to dopuszczalne tylko w przypadkach wskazanych jasno w prawie.
