PRIVATUMAS

GDPR/BDAR Mobiliose Aplikacijose: Duomenų Privatumo Vadovas

2024 m. Gruodžio 16 d.
13 min. skaitymo
Donaldas Jautzemis
GDPR BDAR duomenų privatumas mobiliose aplikacijose

"Mums nereikia GDPR - mes tik mažas Lietuvos startuolis." Taip sakė vienas klientas. Po mėnesio gavo Valstybinės duomenų apsaugos inspekcijos raštą. Bauda? Ne, tik įspėjimas. Bet pamoka buvo skausminga.

BDAR (Bendrasis duomenų apsaugos reglamentas) taikomas VISOMS aplikacijoms, kurios renka ES piliečių duomenis - nesvarbu, ar esi Google, ar vieno žmogaus projektas. Šiame straipsnyje - praktiniai žingsniai, kaip tai įgyvendinti.

Ką Sako BDAR?

Pagrindiniai Principai

  1. Teisėtumas: Turi turėti teisinį pagrindą rinkti duomenis (sutikimas, sutartis, teisėtas interesas)
  2. Tikslo apribojimas: Renki tik tai, ko reikia konkrečiam tikslui
  3. Duomenų kiekio minimizavimas: Mažiau = geriau
  4. Tikslumas: Duomenys turi būti teisingi ir atnaujinti
  5. Saugojimo trukmės apribojimas: Negalima saugoti amžinai
  6. Konfidencialumas: Apsauga nuo praradimo, neteisėtos prieigos

Baudos

Iki 20 mln. EUR arba 4% metinės apyvartos (kas daugiau). Lietuvoje realios baudos mažesnės, bet reputacijos žala - neįkainojama.

Vartotojų Teisės

Jūsų aplikacija PRIVALO įgyvendinti šias teises:

1. Teisė būti informuotam

Privatumo politika - aiški, suprantama, prieinama. Ne 50 puslapių teisininkų tekstas.

2. Teisė susipažinti

Vartotojas gali paprašyti visų duomenų, kuriuos turite. Atsakyti per 30 dienų.

3. Teisė ištaisyti

Jei duomenys neteisingi - vartotojas gali juos pataisyti.

4. Teisė ištrinti ("Teisė būti pamirštam")

Vartotojas gali paprašyti ištrinti visus duomenis. Turi įvykdyti per 30 dienų.

5. Teisė perkelti duomenis

Eksportuoti duomenis standartiniu formatu (JSON, CSV).

Praktinis Patarimas

Sukurkite "Privacy Dashboard" aplikacijoje - vieta, kur vartotojas gali matyti savo duomenis, eksportuoti, ištrinti. Tai ne tik BDAR reikalavimas, bet ir pasitikėjimo ženklas.

Consent (Sutikimas): Kaip Daryti Teisingai?

Daugiausiai klausimų kyla dėl sutikimų. Štai pagrindinės taisyklės:

Sutikimas Turi Būti:

  • Laisvas: Ne "sutink arba negausi paslaugos" (nebent būtina)
  • Konkretus: Atskiras sutikimas kiekvienam tikslui
  • Informuotas: Vartotojas supranta, kam sutinka
  • Nedviprasmiškas: Aktyvus veiksmas (ne pre-checked checkbox)

Sutikimo UI Pavyzdžiai

Blogai:

  • "Naudodami šią aplikaciją, sutinkate su..." (nėra pasirinkimo)
  • Pre-checked "Sutinku gauti naujienas"
  • "Sutinku su viskuo" be detalių

Gerai:

  • Aiškūs atskiri toggle'ai kiekvienam tikslui
  • Default = išjungta
  • "Skaityti daugiau" nuoroda į pilną paaiškinimą
  • Galimybė bet kada pakeisti nustatymus

Kokius Duomenis Renka Mobilios Aplikacijos?

Duomenų tipas Pavyzdžiai Reikia sutikimo?
Paskyros duomenys El. paštas, vardas Sutartis (registracija)
Analitika Firebase, Mixpanel Teisėtas interesas ARBA sutikimas
Reklamos ID IDFA, GAID TAIP (ATT iOS, consent Android)
Lokacija GPS, IP TAIP (jei tikslus GPS)
Sveikatos duomenys Fitness, HealthKit TAIP + ypatingi reikalavimai

App Store ir Google Play Reikalavimai

Apple (iOS)

  • App Privacy Labels: Turi deklaruoti VISUS renkamus duomenis
  • ATT (App Tracking Transparency): Popup prieš tracking
  • Privacy Policy: Privaloma, nuoroda App Store

Google (Android)

  • Data Safety Section: Panaši į Apple privacy labels
  • Privacy Policy: Privaloma
  • Permission Runtime: Klausimai prieš prieigą prie jautrių funkcijų

Geroji Praktika

Prieš prašant leidimo - paaiškink KODĖL. "Mums reikia lokacijos, kad..." padidina sutikimų skaičių 30%+.

Techniniai Sprendimai

Consent Management Platformos (CMP)

  • OneTrust: Enterprise, brangu, pilnas funkcionalumas
  • Cookiebot: Web + mobile, vidutinė kaina
  • Usercentrics: Geras mobile SDK
  • Custom: Jei aplikacija paprasta - galima sukurti patiems

Duomenų Ištrynimas Techniškai

Kai vartotojas prašo ištrinti duomenis:

  1. Ištrinti iš pagrindinės DB
  2. Ištrinti iš backupų (arba užmaskuoti)
  3. Ištrinti iš trečiųjų šalių (Firebase, analytics)
  4. Dokumentuoti, kad ištrynėte

Checklist: Ar Jūsų Aplikacija Atitinka BDAR?

BDAR Checklist

  • ☐ Privatumo politika - aiški, prieinama
  • ☐ Consent popup'ai - atskiri kiekvienam tikslui
  • ☐ Duomenų eksportas - JSON/CSV formatu
  • ☐ Duomenų ištrynimas - veikiantis procesas
  • ☐ Consent nustatymų puslapis - galima pakeisti
  • ☐ App Store privacy labels - užpildyti teisingai
  • ☐ Duomenų saugumas - šifravimas, autentifikacija
  • ☐ Trečiųjų šalių audit - ką jie renka?

Ką Daryti Dabar?

  1. Audit: Kokie duomenys renkami? Visų trečiųjų šalių SDK sąrašas.
  2. Privatumo politika: Atnaujinkite arba sukurkite. Aiški kalba, ne teisininkai.
  3. Consent UI: Sukurkite arba patobulinkite sutikimų langus.
  4. Privacy Dashboard: Vieta, kur vartotojas valdo savo duomenis.
  5. Testas: Paprašykite draugo "ištrinti mano duomenis" - ar veikia?

Reikia Pagalbos su BDAR?

Padedu įvertinti ir įgyvendinti BDAR reikalavimus mobiliose aplikacijose.

Susisiekti