Společné prohlášení k e-shopovým aplikacím

Národní úřad pro kybernetickou a informační bezpečnost (dále NÚKIB) a Úřad pro ochranu osobních údajů (dále ÚOOÚ) vydávají společné prohlášení upozorňující na e-shopové aplikace, které požadují nestandardní oprávnění v zařízení uživatele a mohou sbírat nadměrné množství uživatelských dat včetně osobních údajů.

V tuzemsku je v tuto chvíli ke stažení několik e-shopových aplikací. Ty obvykle požadují různý stupeň oprávnění v zařízení uživatele, z nichž část je zcela legitimní, některá se však z hlediska účelu aplikace, tzn. koupě a prodeje zboží, jeví jako zcela nadbytečná (např. přístup k poloze, kontaktům, k videím nebo jiným souborům).

Provozovatelé daných aplikací operují z různých legislativních prostředí a v určitých případech mohou být požadavky státu ve vztahu k provozovatelům z pohledu české/evropské legislativy nestandardní (např. z důvodu povinnosti provozovatele spolupracovat se zpravodajskými službami dané země).

Uživatelům e-shopových aplikací se doporučuje následující:

• Uživatelé by měli být obezřetní při udělování oprávnění stahovaným aplikacím. Některé požadují taková oprávnění, jež nemusí být potřebná pro jejich správné fungování (např. přístup k poloze, kontaktům, videím nebo jiným souborům). Nelze vyloučit, že pokud aplikace tato data sbírá, mohou být předávána třetím stranám k účelům zcela nesouvisejícím s původním účelem aplikace.
• Uživatelé aplikací by si měli před udělením oprávnění prostudovat informaci o zpracování osobních údajů (pokud není snadno dostupná nebo neexistuje, nejedná se o důvěryhodný internetový obchod), přičemž by se měli zaměřit zejména na:
  • přiměřené účely zpracování osobních údajů (tedy k jakým konkrétním účelům e-shop data zákazníků využívá),
  • rozsah zpracování osobních údajů k jednotlivým účelům, který by měl být omezen pouze na míru nezbytně nutnou,
  • dobu uložení osobních údajů uživatelů (měla by být minimalizována pouze na dobu nezbytně nutnou – tedy v případě vyřízení objednávek na dobu nezbytnou k vyřízení objednávky, případně rozšířenou o dobu nezbytnou pro uplatnění reklamace),
  • nadměrné vyžadování souhlasu se zpracováním osobních údajů (tedy tam, kde to není nutné – například pro sběr údajů nezbytně nutných pro vyřízení objednávky není zapotřebí udělení souhlasu subjektu údajů),
  • popis dodržování práv subjektu údajů (zejména zajištění informovanosti o zpracování, právo na vymazání osobních údajů, právo na přístup k osobním údajům),
  • u společnosti sídlící mimo EU uvedení jména zástupce společnosti na území EU, na kterého se v případě potřeby může každý subjekt údajů obrátit ohledně všech otázek souvisejících se zpracováním osobních údajů.
• V případě nejasných nebo chybějících informací doporučujeme zákazníkům neudělit oprávnění aplikacím e-shopů.
• V tuzemsku jsou dostupné e-shopové aplikace, u nichž existuje reálná možnost, že jejich hlavním cílem není finanční zisk, nýbrž sběr velkého množství dat. NÚKIB vyhodnotil, že část z nich používá nestandardní obchodní praktiky (např. gamifikace nákupů či možný prodej padělků). Mimořádně nízké ceny ve vybraných e-shopech mohou být atraktivní, nicméně mohou s sebou nést určitá rizika, protože lze předpokládat, že poskytovatel za služby a produkty získává skutečnou protihodnotu jiným způsobem (např. nadměrným sběrem osobních údajů uživatelů aplikace využívaných nad rámec vyřízení objednávky zboží – například za účelem jejich předání třetím stranám za úplatu).
• E-shopové aplikace, s nimiž jsou spojena uvedená rizika, neinstalujte do zařízení, v nichž pracujete s citlivými údaji prostřednictvím například internetového bankovnictví nebo systémů státní správy.
• Pokud e-shopovou aplikaci, s níž mohou být spojena výše uvedená rizika, přesto chcete využít například pro jednorázový nákup, tak ji po použití odinstalujte ze svého zařízení, pokud ji dále nehodláte používat.