GDPR/BDAR Mobiliose Aplikacijose: Duomenų Privatumo Vadovas

GDPR BDAR duomenų privatumas mobiliose aplikacijose

"Mums nereikia GDPR - mes tik mažas Lietuvos startuolis." Taip sakė vienas klientas. Po mėnesio gavo Valstybinės duomenų apsaugos inspekcijos raštą. Bauda? Ne, tik įspėjimas. Bet pamoka buvo skausminga.

BDAR (Bendrasis duomenų apsaugos reglamentas) taikomas VISOMS aplikacijoms, kurios renka ES piliečių duomenis - nesvarbu, ar esi Google, ar vieno žmogaus projektas. Šiame straipsnyje - praktiniai žingsniai, kaip tai įgyvendinti.

Ką Sako BDAR?

Pagrindiniai Principai

  1. Teisėtumas: Turi turėti teisinį pagrindą rinkti duomenis (sutikimas, sutartis, teisėtas interesas)
  2. Tikslo apribojimas: Renki tik tai, ko reikia konkrečiam tikslui
  3. Duomenų kiekio minimizavimas: Mažiau = geriau
  4. Tikslumas: Duomenys turi būti teisingi ir atnaujinti
  5. Saugojimo trukmės apribojimas: Negalima saugoti amžinai
  6. Konfidencialumas: Apsauga nuo praradimo, neteisėtos prieigos

Baudos

Iki 20 mln. EUR arba 4% metinės apyvartos (kas daugiau). Lietuvoje realios baudos mažesnės, bet reputacijos žala - neįkainojama.

Vartotojų Teisės

Jūsų aplikacija PRIVALO įgyvendinti šias teises:

1. Teisė būti informuotam

Privatumo politika - aiški, suprantama, prieinama. Ne 50 puslapių teisininkų tekstas.

2. Teisė susipažinti

Vartotojas gali paprašyti visų duomenų, kuriuos turite. Atsakyti per 30 dienų.

3. Teisė ištaisyti

Jei duomenys neteisingi - vartotojas gali juos pataisyti.

4. Teisė ištrinti ("Teisė būti pamirštam")

Vartotojas gali paprašyti ištrinti visus duomenis. Turi įvykdyti per 30 dienų.

5. Teisė perkelti duomenis

Eksportuoti duomenis standartiniu formatu (JSON, CSV).

Praktinis Patarimas

Sukurkite "Privacy Dashboard" aplikacijoje - vieta, kur vartotojas gali matyti savo duomenis, eksportuoti, ištrinti. Tai ne tik BDAR reikalavimas, bet ir pasitikėjimo ženklas.

Consent (Sutikimas): Kaip Daryti Teisingai?

Daugiausiai klausimų kyla dėl sutikimų. Štai pagrindinės taisyklės:

Sutikimas Turi Būti:

  • Laisvas: Ne "sutink arba negausi paslaugos" (nebent būtina)
  • Konkretus: Atskiras sutikimas kiekvienam tikslui
  • Informuotas: Vartotojas supranta, kam sutinka
  • Nedviprasmiškas: Aktyvus veiksmas (ne pre-checked checkbox)

Sutikimo UI Pavyzdžiai

Blogai:

  • "Naudodami šią aplikaciją, sutinkate su..." (nėra pasirinkimo)
  • Pre-checked "Sutinku gauti naujienas"
  • "Sutinku su viskuo" be detalių

Gerai:

  • Aiškūs atskiri toggle'ai kiekvienam tikslui
  • Default = išjungta
  • "Skaityti daugiau" nuoroda į pilną paaiškinimą
  • Galimybė bet kada pakeisti nustatymus

Kokius Duomenis Renka Mobilios Aplikacijos?

Duomenų tipas Pavyzdžiai Reikia sutikimo?
Paskyros duomenys El. paštas, vardas Sutartis (registracija)
Analitika Firebase, Mixpanel Teisėtas interesas ARBA sutikimas
Reklamos ID IDFA, GAID TAIP (ATT iOS, consent Android)
Lokacija GPS, IP TAIP (jei tikslus GPS)
Sveikatos duomenys Fitness, HealthKit TAIP + ypatingi reikalavimai

App Store ir Google Play Reikalavimai

Apple (iOS)

  • App Privacy Labels: Turi deklaruoti VISUS renkamus duomenis
  • ATT (App Tracking Transparency): Popup prieš tracking
  • Privacy Policy: Privaloma, nuoroda App Store

Google (Android)

  • Data Safety Section: Panaši į Apple privacy labels
  • Privacy Policy: Privaloma
  • Permission Runtime: Klausimai prieš prieigą prie jautrių funkcijų

Geroji Praktika

Prieš prašant leidimo - paaiškink KODĖL. "Mums reikia lokacijos, kad..." padidina sutikimų skaičių 30%+.

Techniniai Sprendimai

Consent Management Platformos (CMP)

  • OneTrust: Enterprise, brangu, pilnas funkcionalumas
  • Cookiebot: Web + mobile, vidutinė kaina
  • Usercentrics: Geras mobile SDK
  • Custom: Jei aplikacija paprasta - galima sukurti patiems

Duomenų Ištrynimas Techniškai

Kai vartotojas prašo ištrinti duomenis:

  1. Ištrinti iš pagrindinės DB
  2. Ištrinti iš backupų (arba užmaskuoti)
  3. Ištrinti iš trečiųjų šalių (Firebase, analytics)
  4. Dokumentuoti, kad ištrynėte

Checklist: Ar Jūsų Aplikacija Atitinka BDAR?

BDAR Checklist

  • ☐ Privatumo politika - aiški, prieinama
  • ☐ Consent popup'ai - atskiri kiekvienam tikslui
  • ☐ Duomenų eksportas - JSON/CSV formatu
  • ☐ Duomenų ištrynimas - veikiantis procesas
  • ☐ Consent nustatymų puslapis - galima pakeisti
  • ☐ App Store privacy labels - užpildyti teisingai
  • ☐ Duomenų saugumas - šifravimas, autentifikacija
  • ☐ Trečiųjų šalių audit - ką jie renka?

Ką Daryti Dabar?

  1. Audit: Kokie duomenys renkami? Visų trečiųjų šalių SDK sąrašas.
  2. Privatumo politika: Atnaujinkite arba sukurkite. Aiški kalba, ne teisininkai.
  3. Consent UI: Sukurkite arba patobulinkite sutikimų langus.
  4. Privacy Dashboard: Vieta, kur vartotojas valdo savo duomenis.
  5. Testas: Paprašykite draugo "ištrinti mano duomenis" - ar veikia?

Reikia Pagalbos su BDAR?

Padedu įvertinti ir įgyvendinti BDAR reikalavimus mobiliose aplikacijose.

Susisiekti

Dažniausiai užduodami klausimai (DUK)

Ar BDAR taikomas mažai Lietuvos startuolio aplikacijai?
Taip, BDAR (Bendrasis duomenų apsaugos reglamentas) taikomas VISOMS aplikacijoms, kurios renka ES piliečių duomenis - nesvarbu, ar esi Google, ar vieno žmogaus projektas. Net mažas startuolis gali gauti Valstybinės duomenų apsaugos inspekcijos raštą.
Kokios baudos už BDAR pažeidimus?
Baudos siekia iki 20 mln. EUR arba 4% metinės apyvartos (kas daugiau). Lietuvoje realios baudos paprastai mažesnės, tačiau reputacijos žala neįkainojama. Pirmojo pažeidimo atveju dažnai gaunamas tik įspėjimas.
Per kiek laiko reikia įvykdyti vartotojo prašymą ištrinti duomenis?
Pagal BDAR teisę būti pamirštam, vartotojo prašymą reikia įvykdyti per 30 dienų. Tas pats terminas galioja ir teisei susipažinti su duomenimis. Techniškai reikia ištrinti iš pagrindinės DB, backupų (arba užmaskuoti), trečiųjų šalių (Firebase, analytics) ir dokumentuoti ištrynimo faktą.
Koks turi būti tinkamas sutikimas (consent) BDAR požiūriu?
Sutikimas turi būti laisvas (ne sutink arba negausi paslaugos), konkretus (atskiras kiekvienam tikslui), informuotas (vartotojas supranta) ir nedviprasmiškas (aktyvus veiksmas, ne pre-checked checkbox). Default vertė visada turi būti išjungta, su aiškiais atskirais toggle'ais.
Kuriems duomenims iOS ir Android būtinai reikia vartotojo sutikimo?
Sutikimo būtinai reikia: reklamos ID (IDFA per ATT iOS, consent Android), tikslus GPS lokacijos duomenims, sveikatos duomenims (Fitness, HealthKit) su ypatingais reikalavimais. Paskyros duomenys gali būti tvarkomi pagal sutartį, analitika - teisėtas interesas arba sutikimas.
Ką privalo pateikti App Store ir Google Play platformos saugumo skiltyse?
Apple reikalauja App Privacy Labels deklaruojant VISUS renkamus duomenis, ATT popup prieš tracking ir privatumo politikos nuorodą. Google Play reikalauja Data Safety Section, privatumo politiką ir Permission Runtime klausimus prieš prieigą prie jautrių funkcijų.