CNIL-Empfehlungen zur Wahrung der Privatsphäre der Benutzer

Geschäft caliste. REPORT
CNIL-Empfehlungen zur Wahrung der Privatsphäre der Benutzer
CNIL-Empfehlungen zur Wahrung der Privatsphäre der Benutzer
-

Bei der Nutzung mobiler Anwendungen kommt es sehr häufig zu einer Verarbeitung personenbezogener Daten: Diese Daten werden entweder vom Nutzer bereitgestellt oder direkt von der Anwendung erfasst, wenn diese auf die auf ihrem Smartphone oder Tablet vorhandenen Ressourcen zugreift. Im letzteren Fall fordert die Anwendung die Zustimmung des Benutzers über ein von den Betriebssystemen bereitgestelltes System an: Berechtigungen.

Was ist eine Erlaubnis?

Zugriffsberechtigungen (oder „Autorisierungen“), die im Betriebssystem mobiler Endgeräte implementiert sind, sind Geräte, die es dem Benutzer ermöglichen Wählen Sie aus, welche Funktionen und Daten für jede ihrer mobilen Anwendungen zugänglich sind.

Dank dieser Geräte kann der Benutzer entscheiden, ob er Anwendungen den Zugriff erlauben möchte oder nicht zu den Sensoren (Beschleunigungsmesser, Standort, Helligkeit, Fotoobjektiv, Mikrofon usw.) oder in Erinnerung (Speicherung von Dateien, Fotos, Videos, Tönen, Kontaktbuch, verschiedenen Historien usw.) Sie sind mobile Endgeräte.

Die überwiegende Mehrheit der Berechtigungen zielen nur darauf ab, den technischen Zugang zu bestimmten geschützten Ressourcen zu gewähren oder zu blockieren, ohne die Ziele (oder Zwecke) zu berücksichtigen, für die die Anwendungen ihn verlangen. Es handelt sich also um „technische“ Genehmigungen, die nicht die Verwendung regeln, für die die Informationen verarbeitet werden dürfen oder nicht. CNIL-Empfehlungen betreffen diese Art von Berechtigungen.

► Siehe die Empfehlung zu mobilen Anwendungen, Teil 8.3.1.

Von der Einholung einer Einwilligung sind Einwilligungen zu unterscheiden

Technische Berechtigungen sind für die Wahrung der Privatsphäre sehr nützlich. Sie ermöglichen es Nutzern, den Zugriff auf bestimmte Daten technisch zu sperren und so sicherzustellen Vertraulichkeit von Informationen. Dieser Mechanismus bietet eine einfache und direkte Möglichkeit, ihre Privatsphäre zu wahren (siehe Empfehlung, Teil 8.3.1, S. 78).

Konkret bedeutet das Akzeptieren oder Verweigern von Genehmigungen, Der Benutzer versteht, welche Daten er mit der Anwendung teilt. Dies ermöglicht es, übermäßige Anfragen zu erkennenwie eine Taschenlampe, die nach Zugriff auf Kontakte fragt.

Jedoch, Diese „technischen“ Berechtigungen dienen nicht der Einholung von Einwilligungen Nutzer im Sinne der DSGVO und des Datenschutzgesetzes:

  • Tatsächlich zielen sie nur darauf ab den Zugriff auf die geschützten Ressourcen und Informationen des mobilen Endgeräts unabhängig von den vom Herausgeber der Anwendung verfolgten Zwecken gewähren oder sperren. Der Betriebssystemanbieter schlägt lediglich vor, in der Anfrage zu erläutern, warum der Zugriff angefordert wird. Diese Genehmigungen können daher in Situationen erforderlich sein, in denen die Zustimmung des Benutzers nicht gesetzlich vorgeschrieben ist. Beispielsweise ist der Zugriff auf den Standort für den Betrieb einer Navigationsanwendung von der Einwilligung ausgenommen, da diese Daten für den Dienst erforderlich sind. Der Betriebssystemanbieter verlangt jedoch, dass der Herausgeber die Erlaubnis zum Zugriff auf diese Daten einholt.
  • Auch wenn eine Einwilligung erforderlich ist, ist eine einfache Das Ersuchen um Erlaubnis ermöglicht es nicht immer, eine freie, spezifische, informierte und eindeutige Einwilligung einzuholen. im Einklang mit der DSGVO oder dem Datenschutzgesetz (Artikel 82). Dies ist nur in begrenzten Fällen ausreichend, beispielsweise wenn die Erlaubnis eine einzige Verarbeitung, einen einzigen Zweck und einen einzigen Empfänger der Daten betrifft (siehe Empfehlung, Teil 8.3.2). In den meisten Fällen ist zusätzlich zur Berechtigungsanfrage der Einsatz einer Consent-Management-Plattform erforderlich.

Was ist bei den Empfehlungen der CNIL zu Genehmigungen zu beachten?

Best Practices für Betriebssystemanbieter

Die Empfehlung bietet eine Reihe bewährter Praktiken für Betriebssystemanbieter im Zusammenhang mit der Implementierung von Berechtigungen Operationen, die abgedeckt werden solltenDie Umfang der Berechtigungen oder die Informationsebene dass sie es zulassen sollten.

Insbesondere werden Betriebssystemanbieter dazu angehalten, ihr Berechtigungssystem so zu gestalten, dass der Herausgeber den Umfang der Berechtigungen so fein wie möglich wählen kann. Somit ermöglicht ein ideales Berechtigungssystem dem Redakteur dies wählen :

  • Die Grad der Präzision die bereitgestellten Daten je nach verfolgtem Zweck (z. B. mehr oder weniger genauer Standort);
  • Die materieller Geltungsbereich Autorisierung (z. B. Zugriff auf ausgewählte Fotos anstelle der globalen Mediengalerie);
  • Die Dauer während der Erteilung der Berechtigung (z. B. einmalige Aktivierung der Berechtigung oder für eine vorgegebene Dauer).

Der Zweck von Berechtigungen besteht darin ermöglichen es den Menschen, die Kontrolle über ihre Daten zu haben ; Sie dürfen keinesfalls dazu führen, dass vom Betriebssystemanbieter entwickelte Anwendungen bevorzugt werden.

► Siehe Empfehlung, Teil 8.3

Der Herausgeber muss die Berechtigungen zur Implementierung auswählen und die Situationen identifizieren, in denen die Einwilligung eingeholt werden muss

Der Verlag muss Wählen Sie Berechtigungen die er für den Betrieb seiner Anwendung umsetzen möchte. In diesem Sinne leitet die Empfehlung zunächst die Entscheidungen des Anwendungsherausgebers hinsichtlich der Verwendung von Berechtigungen.

Insbesondere muss Folgendes angegeben werden:

  • von Fall zu Fall unter den vom Betriebssystem bereitgestellten Berechtigungendas, was es ermöglicht, die verfolgten Ziele zu erreichen und dabei den Grundsatz zu respektieren Minimierung : Wenn das Betriebssystem dies zulässt, empfiehlt die CNIL, dass der Herausgeber für jede Berechtigung die am wenigsten aufdringliche Version wählt, die seinen Anforderungen entspricht.
  • als Verantwortlicher die Situationen, in denen die Verordnung eine Einwilligung erfordert zusätzlich zu der vom Betriebssystemanbieter auferlegten Erlaubnis. Dazu muss festgestellt werden, ob die Die berechtigungsbezogene Verarbeitung umfasst Lese-/Schreibvorgänge die eine Einwilligung des Nutzers erfordern (Artikel 82 des Datenschutzgesetzes). In diesem Fall, Implementierung einer Consent-Management-PlattformConsent-Management-Plattform » oder CMP) kann notwendig sein zusätzlich zur „technischen“ Erlaubnisanfrage. Die Empfehlung leitet Entwickler an Art der Einholung der Einwilligung in diesem Rahmen. In diesem Zusammenhang hält es die CNIL für eine gute Praxis, Einwilligungen kontextbezogen auf der Grundlage der durchgeführten Maßnahmen einzuholen und nicht auf einer einzigen Erstprüfung.

► Siehe die Empfehlung zu mobilen Anwendungen, Teil 5.5 und Teil 6.2.3, S. 52-53

Wie formuliert man die Erlaubnis und die Einholung der Einwilligung?

Wenn dem Benutzer sowohl ein CMP als auch eine Berechtigungsanfrage vorgelegt werden, Ihre Artikulation darf bei Letzteren keine Verwirrung stiften.

Die Einwilligung kann entweder vor oder nach der Beantragung der Erlaubnis eingeholt werden. Die CNIL empfiehlt jedoch, dass der Entwickler in Zusammenarbeit mit dem für die Verarbeitung verantwortlichen Herausgeber dafür sorgt, dass diese Artikulation ordnungsgemäß erfolgt um das Benutzerverständnis zu fördern.

Die folgende Infografik zeigt, wie diese Artikulation erfolgen kann, um Verwirrung für den Benutzer zu vermeiden:

Sehen Sie sich die Infografik im PDF-Format an

Dieses Diagramm betrifft die Verbindung zwischen dem Anforderungsfenster (CMP) und den technischen Berechtigungen und nicht die Berechtigungen, die darauf abzielen, die Ausführung bestimmter Aktionen im Hinblick auf einen bestimmten Zweck zu genehmigen oder zu verweigern („zweckbezogene“ Berechtigungen).

Wie im vorherigen Diagramm dargestellt, kann der Datenverantwortliche die Reihenfolge frei wählen, in der die Erlaubnis und die CMP vorgelegt werden (A oder B).

Der für die Datenverarbeitung Verantwortliche muss zur Durchführung seiner Datenverarbeitung einerseits technisch auf die Daten zugreifen können (Erlaubnis) und andererseits nachweisen, dass er eine Einwilligung gemäß den Anforderungen der DSGVO (CMP) eingeholt hat ). Wenn eine dieser Berechtigungen nicht erteilt wird, empfiehlt die CNIL, den zweiten Antrag nicht anzuzeigen, um unnötige Werbung für Benutzer zu vermeiden.

► Siehe Empfehlung, Teil 6.2.3

-

PREV Cuktech bringt neue 2-in-1-Powerbank mit 67 W Schnellladekapazität auf den Markt
NEXT Oppo kündigt die Markteinführung des dünnsten faltbaren Smartphones der Welt im Februar an

Related posts

Ein Waffenstillstand in Gaza muss zu einer „Zwei-Staaten-Lösung“ führen

Mann weint vor Freude, nachdem er seinen seit fünf Tagen vermissten Hund Oreo gefunden hat

„Es hat eine Neuausrichtung“ auf dem Automobilmarkt stattgefunden

Dunkles Jahr für Audi, das einen Platz verliert und von Tesla überholt wird