Pytanie:
RODO - czy jestem administratorem danych jako właściciel aplikacji, jeśli nie mam dostępu do danych?
Leszek Szary
2018-06-21 10:04:24 UTC
view on stackexchange narkive permalink

  1. Załóżmy, że stworzyłem aplikację mobilną na iPhone'a, która śledzi jazdę na rowerze, co oznacza, że ​​aplikacja zbiera współrzędne GPS telefonu, a później ta aplikacja mobilna pokazuje statystyki na ten temat. Załóżmy również, że aplikacja przechowuje te dane GPS lokalnie tylko w telefonie komórkowym. Zatem aplikacja przetwarza te dane w sposób, w jaki je zaprogramowałem, ale ja jako osoba nie mam dostępu do tych danych. Zakładam, że w takim przypadku nie jestem administratorem danych zgodnie z RODO, ponieważ nie mam dostępu do tych danych, czy to poprawne?

  2. A jeśli dodatkowo zaprogramuję app, na przykład w taki sposób, że czasami wysyła aktualne współrzędne GPS do usługi online kontrolowanej przez zewnętrzną firmę, taką jak Apple, w celu przekształcenia współrzędnych GPS na nazwę ulicy i miasta, aby aplikacja mogła wyświetlać nazwę ulicy / miasta użytkownika (usługa odwrotnego geokodowania). Jednak moja aplikacja nadal wysyła te dane bezpośrednio do serwera Apple, więc nadal nie będę mieć do nich dostępu. Czy to coś zmienia i czy RODO teraz mnie dotyczy? Czy w takim przypadku zostanę administratorem danych, jeśli nie mam pojęcia, kiedy aplikacja wysyła dane współrzędnych GPS do Apple i nie wiem, jakie współrzędne przesyła? Nie wiem też, czy Apple zapisuje to żądanie na swoich serwerach, czy po prostu automatycznie konwertuje odebrane współrzędne GPS na nazwę i zwraca odpowiedź bez zapisywania żądania. Chyba chyba go nie zapisują, ale nie mam pewności, bo nie mam dostępu do kodu serwisowego Apple. A może Apple jest administratorem danych w takim przypadku lub nikt nie jest administratorem danych, a RODO w ogóle nie ma zastosowania?

Powiązane: [W jaki sposób RODO ma zastosowanie do oprogramowania opracowanego przez jedną firmę, a używanego przez inną?] (Https://law.stackexchange.com/questions/24954/how-does-the-gdpr-apply-to-software-developed -by-one-company-and-used-by-other)
Jeden odpowiedź:
sleske
2018-07-26 14:20:10 UTC
view on stackexchange narkive permalink

Załóżmy, że stworzyłem aplikację mobilną na iPhone'a, która śledzi jazdę na rowerze [...] Czyli aplikacja przetwarza te dane w sposób, w jaki je zaprogramowałem, ale ja jako osoba nie mam do nich dostępu do tych danych. Zakładam, że w takim przypadku nie jestem administratorem danych zgodnie z RODO, ponieważ nie mam dostępu do tych danych, czy to prawidłowe?

Tak, o ile widzę, że jest to poprawne.

RODO definiuje administratora danych jako osobę, która „określa cele i sposoby przetwarzania danych osobowych” - po prostu udostępniasz narzędzie, nie kontrolujesz, do jakich celów Twoi klienci wykorzystują dane dotyczące przejazdów . Jest to również omawiane w tym pytaniu: W jaki sposób RODO ma zastosowanie do oprogramowania opracowanego przez jedną firmę, a używanego przez inną?

A jeśli dodatkowo zaprogramuję app na przykład w taki sposób, że czasami wysyła aktualne współrzędne GPS do usługi online kontrolowanej przez zewnętrzną firmę, taką jak Apple

[...]

Ale nadal moja aplikacja wysyła te dane bezpośrednio na serwer Apple, więc nadal nie będę miał dostępu do tych danych. Czy to coś zmienia i czy RODO ma teraz zastosowanie do mnie?

Tak i tak.

W takim przypadku nakazujesz firmie Apple przetwarzanie danych za Ciebie, więc zostałbyś administratorem danych (ponieważ „określasz cele i sposoby przetwarzania danych osobowych”), a Apple jest podmiotem przetwarzającym dane dla Ciebie.

Oznacza to również, że uruchamiają się zwykłe mechanizmy - musisz poinformować użytkowników o tym przetwarzaniu, musisz upewnić się, że Apple gra zgodnie z zasadami itp.

Nie wiem też, czy Apple zapisuje to żądanie na swoich serwerach, czy po prostu automatycznie konwertuje odebrane współrzędne GPS na nazwę i zwraca odpowiedź bez zapisywania żądania.

Dokładnie do takich sytuacji ma się odnosić RODO. Zgodnie z RODO mówienie „Nie wiem, co X robi z danymi” nie wchodzi w grę. Jest to coś, czego wiele firm próbowało w przeszłości, dlatego RODO wyraźnie przypisuje odpowiedzialność administratorowi danych ( czyli ty).

Jak wyjaśniono w dokumencie UE, Kim jest administrator danych lub podmiot przetwarzający dane?:

Obowiązki podmiot przetwarzający wobec administratora musi być określony w umowie lub innym akcie prawnym. Na przykład umowa musi wskazywać, co stanie się z danymi osobowymi po rozwiązaniu umowy. Typową działalnością procesorów jest oferowanie rozwiązań informatycznych, w tym przechowywania w chmurze. [...]

Więc nie, nie możesz po prostu powiedzieć „Nie wiem, czy Apple zapisuje to żądanie”. Zamiast tego Ty musisz zawrzeć umowę z Apple, która określa, czy (i jak i jak długo ...) zapisuje żądanie, i musisz poinformować o tym swoich użytkowników w swojej polityce prywatności. A jeśli Apple odmówi zawarcia takiej umowy z Tobą, musisz znaleźć inną firmę do współpracy.



To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 4.0, w ramach której jest rozpowszechniana.
Loading...