Navođenje informacija za odjeljak Sigurnost podataka na Google Playu

Ovaj videozapis vodi vas kroz sve resurse i korake potrebne za ispunjavanje obrasca Sigurnost podataka.

Prikupljanje znači prijenos podataka iz aplikacije s uređaja korisnika. Obratite pozornost na sljedeće smjernice:

• Biblioteke i SDK-ovi: uključuju korisničke podatke koje biblioteke i/ili SDK-ovi koji se upotrebljavaju u vašoj aplikaciji šalju s uređaja iz vaše aplikacije, bez obzira na to prenose li se podaci vama ili poslužitelju treće strane.
• Web-prikaz: uključuje i korisničke podatke prikupljene iz web-prikaza koji je otvoren u vašoj aplikaciji, ako vaša aplikacija upravlja kodom ili ponašanjem koji se isporučuju putem tog web-prikaza.
  • Ne morate navesti prikupljanje podataka putem web-prikaza u kojem se korisnici kreću otvorenim webom.
• Jednokratna obrada: korisnički podaci koji se prenose s uređaja i koji se obrađuju jednokratno moraju biti uključeni u vaš obrazac odgovora. Međutim, ako je to u skladu sa standardom navedenim u nastavku, to neće biti navedeno u odjeljku Sigurnost podataka vaše aplikacije na Google Playu.
  • Jednokratna obrada podataka znači da se podacima pristupa i da ih se upotrebljava samo dok su pohranjeni u memoriji i da ih se ne zadržava dulje nego što je potrebno za ispunjavanje određenog zahtjeva u stvarnom vremenu.
  • Na primjer, aplikacija za vremensku prognozu koja korisnikovu lokaciju s uređaja prenosi radi dohvaćanja podataka o trenutačnim vremenskim prilikama na korisnikovoj lokaciji, ali podatke o lokaciji upotrebljava samo u memoriji i te podatke ne pohranjuje nakon izvršavanja zahtjeva, svoju prolaznu upotrebu lokacije može tretirati kao jednokratnu. Međutim, upotreba podataka za izradu profila za oglašavanje ili drugih korisničkih profila ne može se smatrati jednokratnom i mora se navesti kao prikupljanje ili dijeljenje u relevantne svrhe.
• Pseudonimizirani podaci: korisnički podaci prikupljeni na pseudonimiziran način moraju se navesti. Na primjer, potrebno je navesti podatke za koje se opravdano može očekivati da ih se može ponovno povezati s korisnikom.

Nije obuhvaćeno opsegom prikupljanja podataka

Sljedeće scenarije upotrebe ne treba navoditi kao prikupljanje:

• Pristup/obrada na uređaju: nije potrebno navesti korisničke podatke kojima vaša aplikacija pristupa i koji se obrađuju samo lokalno na uređaju korisnika te koji se ne šalju s uređaja.
• Obostrano šifriranje: nije potrebno navesti korisničke podatke koji se šalju s uređaja, no koje ni vi ni bilo koja druga osoba osim pošiljatelja i primatelja ne možete pročitati zbog obostranog šifriranja.
  • Šifrirani podaci moraju biti nečitljivi svim posrednim subjektima, uključujući razvojnog programera, a potrebne ključeve smiju imati samo pošiljatelj i primatelj.

Dijeljenje se odnosi na prijenos korisničkih podataka prikupljenih iz vaše aplikacije trećoj strani. To obuhvaća korisničke podatke prenesene na sljedeće načine:

• Prijenos s uređaja, poput prijenosa s poslužitelja na poslužitelj. Na primjer, ako prenesete korisničke podatke prikupljene iz aplikacije sa svog poslužitelja na poslužitelj treće strane.
• Prijenos na uređaju u neku drugu aplikaciju. Prijenos korisničkih podataka iz vaše aplikacije u drugu aplikaciju izravno na uređaju. U tom slučaju morate navesti dijeljenje podataka u izjavama iz odjeljka Sigurnost podataka čak i ako vaša aplikacija ne prenosi podatke s uređaja korisnika.
• Prijenos iz biblioteka i SDK-ova vaše aplikacije. Prijenos podataka prikupljenih iz vaše aplikacije s uređaja korisnika izravno trećoj strani putem biblioteka i/ili SDK-ova koji su dio vaše aplikacije.
• Prijenos iz web-prikaza otvorenog putem vaše aplikacije. Prijenos korisničkih podataka trećoj strani putem web-prikaza koji je otvoren putem vaše aplikacije ako vaša aplikacija upravlja kodom ili ponašanjem koji se isporučuju putem tog web-prikaza.
  • Ne morate navesti dijeljenje podataka putem web-prikaza u kojem se korisnici kreću otvorenim webom.

Sljedeće vrste prijenosa podataka ne treba navoditi kao dijeljenje:

• Davatelji usluga. Prijenos korisničkih podataka davatelju usluga koji ih obrađuje u ime razvojnog programera.
  • Davatelj usluga je subjekt koji obrađuje korisničke podatke u ime razvojnog programera i prema uputama razvojnog programera.
• Pravne svrhe. Prijenos korisničkih podataka za određene pravne svrhe, primjerice kao odgovor na zakonske obaveze ili zahtjeve vlasti.
• Radnja koju je pokrenuo korisnik ili uočljiva otkrivajuća objava i pristanak korisnika. Prijenos korisničkih podataka trećoj strani na temelju određene radnje koju je pokrenuo korisnik, pri čemu korisnik opravdano očekuje da će se podaci dijeliti, ili na temelju uočljive otkrivajuće objave u aplikaciji i pristanka koji je u skladu sa zahtjevima opisanima u našim pravilima o korisničkim podacima.
• Anonimni podaci. Prijenos korisničkih podataka koji su u potpunosti anonimizirani tako da se više ne mogu povezivati s pojedinačnim korisnikom.

Prve i treće strane.

• Prva strana primarna je organizacija odgovorna za obradu podataka koje aplikacija prikuplja, a to je obično organizacija koja objavljuje aplikaciju na Google Playu i koja se navodi u unosu u trgovini.
  • Prva strana dužna je korisnicima jasno dati do znanja koja je organizacija primarno odgovorna za obradu podataka koje aplikacija prikuplja.
• Treća strana je bilo koja organizacija koja nije prva strana ili njeni davatelji usluga.

Možete navesti i je li svaka vrsta podataka koju vaša aplikacija prikuplja neobavezna ili obavezna. Neobavezne vrste podataka obuhvaćaju mogućnost uključivanja u prikupljanje podataka ili isključivanja iz njega. Na primjer, za neku vrstu podataka možete navesti da je neobavezna ako korisnik može upravljati njenim prikupljanjem te ako se može koristiti aplikacijom, a da ne ustupi takve podatke, tj. ako korisnik može odabrati hoće li samostalno ustupiti tu vrstu podataka. Ako primarna funkcija aplikacije zahtijeva određenu vrstu podataka, za te podatke trebate navesti da su obavezni.

Možete navesti da vaša aplikacija neobavezno prikuplja određene podatke samo ako svi korisnici, bez obzira na uređaj ili regiju, imaju sljedeće mogućnosti na raspolaganju: mogu neobavezno pružiti podatke, mogu se uključiti u prikupljanje podataka ili se mogu isključiti iz prikupljanja podataka.

U nastavku su navedeni neki primjeri neobaveznog prikupljanja podataka:

• Aplikacija neke društvene mreže koja traži datum rođenja korisnika za marketinšku komunikaciju, no taj podatak nije obavezan. Korisnik se može registrirati i bez navođenja tog podatka.
• Korisnički podaci koji se prikupljaju samo kada se korisnik prijavi, pod uvjetom da korisnici mogu stupiti u interakciju s aplikacijom bez prijavljivanja.

Odjeljak Sigurnost podataka također vam pruža priliku da korisnicima predstavite prakse zaštite privatnosti i sigurnosti aplikacije. Na primjer, možete istaknuti sljedeće informacije:

• Šifriranje prilikom prijenosa: navedite koristi li se šifriranje prilikom prijenosa za podatke koje vaša aplikacija prikuplja ili dijeli kako bi se zaštitilo slanje korisničkih podataka od uređaja krajnjeg korisnika do poslužitelja.
  • Neke su aplikacije osmišljene tako da korisnicima omogućuju prijenos podataka na drugu web-lokaciju ili uslugu. Na primjer, aplikacija za slanje poruka korisnicima može pružiti mogućnost slanja SMS poruke putem mobilnog operatera, čime se zadržavaju različite prakse šifriranja. U odjeljku Sigurnost podataka tih aplikacija može se navoditi da se podaci prenose sigurnom vezom ako koriste najbolje standarde djelatnosti za sigurno šifriranje podataka dok putuju između korisnikovog uređaja i poslužitelja aplikacije.
• Mehanizam zahtjeva za brisanje: pruža li vaša aplikacija korisnicima način na koji mogu zatražiti brisanje svojih podataka?

Aplikacije čija su ciljana publika djeca moraju se pridržavati zahtjeva pravila za obitelji Google Playa. Ako vaša aplikacija ulazi u tu kategoriju i ako ste pregledali njenu usklađenost sa zahtjevima pravila za obitelji, u odjeljku Sigurnost podataka možete prikazati značku kojom se potvrđuje da se ste "obvezali pridržavati pravila za obitelji Playa".

Da biste prikazali značku, u odjeljku Sigurnosne prakse u obrascu Sigurnost podataka kliknite Otvori ciljanu publiku i sadržaj da biste se uključili.

U obrascu Sigurnost podataka možete navesti da je vaša aplikacija neovisno potvrđena u skladu s globalnim sigurnosnim standardom. Radi se o neobaveznom pregledu koji se provodi na zahtjev i o trošku razvojnog programera. Putem MASA-e (procjene sigurnosti mobilnih aplikacija) razvojni programeri mogu izravno surađivati s laboratorijem koji je ovlastio Google kako bi se njihove aplikacije procijenile u odnosu na OWASP-ov MASVS (standard za potvrdu sigurnosti mobilnih aplikacija). Organizacije treće strane koje provode recenzije to čine u ime razvojnog programera.

Ako ste zainteresirani za sudjelovanje, možete se izravno obratiti laboratoriju koji je ovlastio Google da biste pokrenuli postupak testiranja. Nakon što laboratorij potvrdi da vaša aplikacija ispunjava sve sigurnosne uvjete, u odjeljku Sigurnost podataka možete prikazati značku kojom se potvrđuje da ste dovršili neovisan sigurnosni pregled.

Ovlašteni laboratoriji imaju namjensko područje za vježbu za sigurnost mobilnih aplikacija i pružaju sveobuhvatne mogućnosti i doživljaj testiranja sigurnosti. Ti su laboratoriji također usklađeni s normom ISO 17025 ili ekvivalentnim standardom koji je priznat u našoj branši. Ako ispunjavate te kriterije i želite postati laboratorijski partner, ispunite i pošaljite obrazac s pojedinostima o tvrtki.

Važno: dijelovi tog nezavisnog pregleda ne mogu se upotrijebiti za potvrđivanje točnosti i potpunosti vaših izjava iz obrasca Sigurnost podataka. Čak i ako upotrebljavate alate trećih strana za dijagnosticiranje kontrola sigurnosti svoje aplikacije, i dalje snosite svu odgovornost za navođenje potpunih i točnih izjava u unosu u trgovini za svoju aplikaciju na Google Playu.

Unified Payment Interface (UPI) sustav je za trenutni prijenos novca koji je razvila indijska Nacionalna korporacija za plaćanja (NPCI), subjekt koji je pod regulacijom RBI-ja. Ako trenutačno upotrebljavate taj sustav za prijenos plaćanja, možete to navesti u obrascu Sigurnost podataka. Ako ste zainteresirani za sudjelovanje ili imate pitanja, možete se izravno obratiti NPCI-ju da biste saznali koji su kriteriji prihvatljivosti za akreditaciju aplikacije. Aplikacije s tom akreditacijom mogu ispunjavati kriterije za prikazivanje značke na unosu u Trgovini Play kojom se potvrđuje da je NPCI potvrdio da navedena aplikacija implementira UPI. Značka će sadržavati poruku "Nudi plaćanja putem UPI-ja" i prikazivat će se korisnicima samo ako to zatražite u obrascu Sigurnost podataka na Play konzoli. Značka je vidljiva samo korisnicima Google Playa koji se nalaze u Indiji.

Razvojni programeri morat će za različite vrste korisničkih podataka navesti prakse prikupljanja i dijeljenja te druge prakse, kao i svrhe za koje upotrebljavaju te podatke.

CSV sadrži jedan redak za svaki odgovor. Odgovori na pitanja s višestrukim odabirom i pitanja s jednim odabirom obuhvaćaju više redaka, s time da se broj redaka podudara s brojem odgovora. Da biste odgovorili na pitanje, u odgovarajuću ćeliju u stupcu Vrijednost odgovora unesite TRUE ili FALSE. Ako je pitanje izborno ili ako odgovarate na pitanje s višestrukim odabirom, ćeliju možete ostaviti praznom. U stupcu Obaveza navođenja odgovora navodi se je li odgovor obavezan te može sadržavati sljedeće vrijednosti:

• OPTIONAL: nije obavezno, može ostati prazno.
• REQUIRED: obavezno, morate navesti vrijednost odgovora.
• MULTIPLE_CHOICE: za vrijednost najmanje jednog od mogućih odgovora možete navesti TRUE za odgovarajući ID pitanja. Ostale odgovore možete ostaviti prazne.
• SINGLE_CHOICE: za vrijednost jednog od mogućih odgovora možete navesti TRUE za odgovarajući ID pitanja. Ostale odgovore možete ostaviti prazne.
• MAYBE_REQUIRED: odgovor je obavezan samo kada se ispune određeni uvjeti, npr. kada je odgovor obavezan s obzirom na odgovor na prethodno pitanje.

U tablici u nastavku navedeni su primjeri odjeljaka Naziv i Približna lokacija obrasca Sigurnost podataka. Sadrži:

• pitanje s višestrukim odabirom
• obavezno pitanje
• izborno pitanje.

1. Otvorite Play konzolu, a zatim stranicu Sadržaj aplikacije (Pravila > Sadržaj aplikacije).
2. U odjeljku Sigurnost podataka odaberite Početak.
3. U gornjem desnom dijelu stranice odaberite Izvezi u CSV.

Važno: odgovori koji su već uneseni u obrazac prebrisat će se kada uvezete CSV datoteku.

1. Otvorite Play konzolu, a zatim stranicu Sadržaj aplikacije (Pravila > Sadržaj aplikacije).
2. U odjeljku Sigurnost podataka odaberite Početak.
3. U gornjem desnom dijelu stranice odaberite Uvezi CSV.

Obrasci Sigurnost podataka mogu se slati na Play konzolu od listopada, a razdoblje odgode trajat će do 20. srpnja 2022. što smatramo dostatnim vremenom za uvođenje. Trenutačno ne planiramo odobravati produženja.

Ukratko, da. Trebali biste navesti točne informacije koje odražavaju prakse prikupljanja podataka i upravljanja podacima aplikacije. Odgovorni ste za informacije koje pružite. Google Play pregledava aplikacije na temelju svih zahtjeva pravila. Međutim, ne možemo u ime razvojnih programera utvrditi načine na koji postupaju s korisničkim podacima. Samo vi posjedujete sve informacije potrebne za ispunjavanje obrasca Sigurnost podataka.

Ako utvrdimo da ste lažno predstavili podatke koje ste pružili i da krše pravila, morat ćete ih ispraviti. Protiv aplikacija koje se ne usklade s pravilima mogu se provesti provedbene mjere, poput blokiranja ažuriranja ili uklanjanja s Google Playa.

Nakon što pošaljete novu aplikaciju ili ažuriranje postojeće aplikacije na Play konzolu, možda će biti potrebno neko vrijeme da se vaša aplikacija obradi za standardno objavljivanje na Google Playu. Određene aplikacije mogu se podvrgnuti proširenim pregledima, pa pregled može potrajati sedam dana, a i dulje, u iznimnim slučajevima.

Ažuriranja aplikacija i nova slanja moraju biti u skladu s programskim pravilima za razvojne programere Google Playa. Možete posjetiti stranicu Pregled objavljivanja na Play konzoli da biste provjerili je li vaša prijava za aplikaciju još na čekanju za pregled.

Ako je vaše najnovije ažuriranje spremno, a još uvijek ne vidite obrazac odjeljka Sigurnost podataka na Google Playu, na Play konzoli možete provjeriti je li upravljano objavljivanje uključeno. Ako je uključeno upravljano objavljivanje, vaše izdanje neće biti dostupno dok ga ne objavite. Izdanje možete uvesti na stranici Pregled objavljivanja. Odobreni podnesak objavit će se i bit će dostupan na Google Playu ubrzo nakon toga.

Ako ste ažurirali sadržaj odjeljka Sigurnost podataka, ali se najnoviji ne prikazuje na Google Playu, pokušajte osvježiti stranicu aplikacije. Napominjemo da zbog povezivosti uređaja i različitog učitavanja poslužitelja može proći nekoliko dana (u nekim slučajevima do sedam dana) da bi ažuriranja aplikacije stigla na sve uređaje. Molimo vas za strpljenje dok Google Play registrira i ažurira vašu aplikaciju.

Odlično je što ste dobro upućeni u prakse postupanja s podacima svoje aplikacije. Moguće je da za obrazac Sigurnost podataka trebate navesti dodatne ili drugačije informacije koje prethodno niste trebali navoditi. Stoga želimo da budete svjesni toga da se vaš tim mora potruditi oko toga. Klasifikacija i okvir odjeljka Sigurnost podataka na Google Playu mogu se značajno razlikovati od onih koji se upotrebljavaju u drugim trgovinama aplikacija.

Slično pravilima o privatnosti ili pojedinostima o aplikaciji, primjerice snimkama zaslona i opisima, razvojni programeri odgovorni su za informacije navedene u odjeljku Sigurnost podataka. Pravilima o korisničkim podacima Google Playa zahtijeva se da razvojni programeri navedu točne informacije. Ako ustanovimo da je razvojni programer naveo netočne podatke i da krši pravila, od razvojnog programera tražimo da to riješi. Protiv aplikacija koje se ne usklade s pravilima provest će se provedbene mjere.

Korisnici Google Playa moraju biti sigurni u to da su njihovi podaci zaštićeni. Stalno uvodimo nove značajke i pravila da bismo zaštitili privatnost korisnika te da bi Google Play i dalje bio pouzdano mjesto za sve korisnike. Neke nove značajke i pravila Google Playa odlikuju se poboljšanim korisničkim kontrolama i transparentnošću. Druge pak značajke služe tome da razvojni programeri pristupaju osobnim podacima samo kada je to potrebno za primarnu namjenu aplikacije. Postojeća programska pravila za razvojne programere na Google Playu poput ovih sadrže brojne zahtjeve u vezi s transparentnošću i kontrolom podataka. Protiv aplikacija koje nisu u skladu s programskim pravilima za razvojne programere na Google Playu mogu se primijeniti provedbene mjere.

Odjeljak Sigurnost podataka trebate ažurirati u slučaju relevantnih promjena u načinu na koji aplikacija postupa s podacima. Odgovori koje navedete u obrascu Sigurnost podataka moraju biti točni i potpuni u svakom trenutku.

Odjeljak Sigurnost podataka može pomoći korisnicima u donošenju odluka koje su za njih najbolje u pogledu toga koje će aplikacije preuzeti. Pomaže i razvojnim programerima u izgradnji povjerenja i privlačenju angažiranijih korisnika koji će se moći pouzdati u to da se s njihovim podacima postupa na odgovoran način. Razvojni programeri izjasnili su se da žele jasnije načine na koje svoje korisnike mogu informirati o tome kako postupaju s podacima.

Google Play ima jedan globalni obrazac Sigurnost podataka i odjeljak Sigurnost podataka u unosu u Trgovini Google Play za svaki naziv paketa koji ne ovisi o upotrebi, verziji aplikacije, regiji i dobi korisnika. Drugim riječima, ako su bilo kakvo prikupljanje, upotreba ili povezivanje prisutni u bilo kojoj verziji aplikacije koja se trenutačno distribuira na Google Playu, bilo gdje u svijetu, to morate navesti u obrascu. Odjeljak Sigurnost podataka stoga opisuje ukupno prikupljanje i dijeljenje podataka vaše aplikacije u svim njezinim verzijama koje se trenutačno distribuiraju na Google Playu. Informacije koje se odnose na određene verzije možete podijeliti s korisnicima putem odjeljka O ovoj aplikaciji.

Trenutačno prikazujemo globalnu izjavu o vašim praksama postupanja s podacima po aplikaciji. U odjeljku Sigurnost podataka opisuje se ukupno prikupljanje i dijeljenje podataka vaše aplikacije u svim njezinim verzijama koje se trenutačno distribuiraju na Google Playu. Informacije koje se odnose na određene verzije možete podijeliti s korisnicima putem odjeljka O ovoj aplikaciji. Odjeljak Sigurnost podataka uključuje pojašnjenje namijenjeno korisnicima Google Playa o tome da se prakse prikupljanja podataka i sigurnosne prakse aplikacije mogu razlikovati ovisno o brojnim čimbenicima, primjerice regiji.

Ne, odjeljak Sigurnost podataka navodi se samo u unosu u trgovini vaše aplikacije na Google Playu. Postupak instalacije aplikacije koji korisnik provodi ne obuhvaća nove otkrivajuće objave te s ovom značajkom nije povezan novi pristanak korisnika. Razvojni programeri koji prikupljaju osobne i osjetljive korisničke podatke moraju implementirati otkrivajuće objave i pristanak u aplikaciji tamo gdje se to zahtijeva postojećim pravilima o korisničkim podacima Google Playa.

U odjeljku Sigurnost podataka opisuje se ukupno prikupljanje i dijeljenje podataka vaše aplikacije u svim njezinim verzijama koje se trenutačno distribuiraju na Google Playu. Ako neka verzija vaše aplikacije zahtijeva prikupljanje određenih podataka, to prikupljanje morate navesti kao obavezno za odjeljak Sigurnost podataka. Prikupljanje ne smijete opisati kao neobavezno ako je nužno za korisnike bilo koje vaše aplikacije. Informacije koje se odnose na određene verzije možete podijeliti s korisnicima putem odjeljka O ovoj aplikaciji.

Ne morate navesti prikupljanje ili dijeljenje, osim ako se podaci zaista prikupljaju i/ili dijele. Vaša aplikacija mora biti u skladu sa svim programskim pravilima za razvojne programere na Google Playu, uključujući naša pravila za dopuštenja i API-je koji pristupaju osjetljivim podacima.

Ako namjerno prikupljate jednu vrstu podataka tijekom prikupljanja druge vrste podataka, trebate navesti obje vrste podataka. Na primjer, ako prikupljate fotografije korisnika i koristite ih za utvrđivanje karakteristika korisnika (npr. etničkog podrijetla ili rase), trebali biste navesti prikupljanje i etničkog podrijetla i rase.

Odjeljak Sigurnost podataka služi vam kao prostor na kojem možete navesti pružate li mehanizam za primanje zahtjeva korisnika za brisanje podataka. Prilikom ispunjavanja obrasca Sigurnost podataka morate navesti pružate li takav mehanizam.

Ne postoji propisani mehanizam, no najbolji su mehanizmi oni koje je lako otkriti i koji su lako dostupni korisnicima. Uobičajeni primjeri mehanizama koji jasno naznačuju način na koji korisnici mogu zatražiti brisanje podataka mogu, među ostalim, uključivati značajke u aplikaciji, obrasce za kontakt ili namjensku zamjensku e-adresu.

Značku mehanizma zahtjeva za brisanje u obrascu Sigurnost podataka možete odabrati u sljedećim slučajevima:

• korisnicima pružaju mehanizam za traženje brisanja podataka ili
• automatski pokreću brisanje ili anonimizaciju prikupljenih podataka u roku od 90 dana od prikupljanja.

Značku mehanizma zahtjeva za brisanje možete odabrati čak i ako trebate zadržati određene podatke zbog legitimnih razloga kao što su usklađenost sa zakonima ili sprječavanje zloupotrebe.

Google Play pruža jedan globalni obrazac Sigurnost podataka i odjeljak Sigurnost podataka u unosu u Trgovini Google Play po nazivu paketa koji bi trebao obuhvaćati prakse postupanja s podacima na temelju bilo koje upotrebe, verzije aplikacije, regije i dobi korisnika. Drugim riječima, ako u bilo kojoj verziji aplikacije koja se trenutačno distribuira na Google Playu, bilo gdje u svijetu, postoji bilo koje postupanje s podacima, to postupanje morate navesti u obrascu. Odjeljak Sigurnost podataka stoga će opisati ukupno prikupljanje i dijeljenje podataka vaše aplikacije u svim njezinim verzijama koje se trenutačno distribuiraju na Google Playu.

Postoje razne metode putem kojih se podaci mogu anonimizirati tako da ih se ne može povezati s pojedinačnim korisnikom. Da biste utvrdili koje se metode mogu primijeniti na vaš scenarij upotrebe, obratite se svojim stručnjacima za privatnost i sigurnost. Na primjer, na ovoj su stranici navedene neke od metoda anonimizacije podataka koje Google upotrebljava, poput diferencijalne privatnosti.

Kao i kada su u pitanju druge vrste podataka, trebali biste navesti da prikupljate, upotrebljavate i dijelite IP adrese na temelju određene upotrebe i određenih praksi. Na primjer, u slučajevima u kojima razvojni programeri upotrebljavaju IP adrese za određivanje lokacije, tu je vrstu podataka potrebno navesti.

Kao i kada su u pitanju druge vrste podataka, trebali biste navesti prikupljanje, upotrebu i dijeljenje različitih vrsta identifikatora na temelju određene upotrebe i određenih praksi. Na primjer, prikupljanje naziva računa povezanog s osobom koju se može identificirati treba biti navedeno kao "osobni identifikator", a prikupljanje Androidovog ID-ja za oglašavanje korisnika treba biti navedeno kao "identifikator uređaja ili drugi identifikatori". Kao drugi primjer, identifikator povezan s određenim događajem u aplikaciji, no koji se ne može razumno povezati s pojedinačnim uređajem, preglednikom ili aplikacijom, ne mora se navesti kao "identifikator uređaja ili drugi identifikatori".

Kao što je prethodno navedeno, pseudonimizirano prikupljanje podataka potrebno je navesti u okviru prikupljanja pod relevantnom vrstom podataka. Na primjer, ako prikupljate dijagnostičke podatke pomoću identifikatora uređaja, svejedno biste trebali navesti prikupljanje "dijagnostike" u obrascu Sigurnost podataka.

Davatelj usluga može samo obrađivati korisničke podatke u vaše ime. Na primjer, davatelj usluga analitike koji obrađuje korisničke podatke iz vaše aplikacije isključivo u vaše ime ili davatelj usluga u oblaku koji hosta korisničke podatke iz vaše aplikacije za vašu upotrebu obično se kvalificira kao davatelj usluga. S druge strane, ako davatelj SDK-a izrađuje profile za oglašavanje za više klijenata na temelju podataka vaše aplikacije, to se ne bi smatralo aktivnošću davatelja usluga za svrhe odjeljka Sigurnost podataka i trebalo bi biti navedeno kao dijeljenje u obrascu Sigurnost podataka.

To ovisi o prirodi vaše integracije s uslugom plaćanja. Ako vaša aplikacija za izvršavanje transakcija plaćanja upotrebljava usluge plaćanja kao što su PayPal, Google Pay, sustav naplate Google Playa ili slične usluge, ne trebate navesti prikupljanje podataka koje usluga plaćanja vrši u vezi s obradom financijskih transakcija, kao što je broj kreditne kartice, ako su ispunjeni sljedeći uvjeti:

• Vaša aplikacija nikad ne pristupa tim podacima.
• Usluga plaćanja te podatke prikuplja izravno od korisnika i na prikupljanje se primjenjuju uvjeti te usluge.

Pažljivo pregledajte integraciju s uslugom plaćanja kako biste bili sigurni da se u odjeljku Sigurnost podataka vaše aplikacije navode sva relevantna prikupljanja i dijeljenja podataka koja ne ispunjavaju te uvjete. U obzir biste trebali uzeti i to prikuplja li vaša aplikacija druge financijske podatke, primjerice povijest kupnje, te prima li vaša aplikacija relevantne podatke od usluge plaćanja, primjerice u svrhu zaštite od rizika ili prijevare.

To ovisi o konkretnoj implementaciji. Ako korisnik svoje podatke odluči prenijeti izravno na svoj vanjski račun ili račun za pohranu u oblaku (kao što su Google disk, Dropbox ili slične usluge), a na taj se prijenos primjenjuju uvjeti pružanja usluge i pravila o privatnosti tog vanjskog davatelja usluge diska ili pohrane u oblaku te vaša aplikacija nikad ne prikuplja navedene podatke niti im pristupa, za aplikaciju se ne treba navesti da prikuplja te podatke.

Trebali biste slijediti najbolje standarde djelatnosti da biste sigurno šifrirali podatke svoje aplikacije u prijenosu. Uobičajeni protokoli šifriranja obuhvaćaju TLS (Transport Layer Security) i HTTPS.

Trebate navesti prikupljanje tih podataka za upravljanje računom i označiti (ako je primjenjivo) može li korisnik odabrati hoće li se ti podaci prikupljati.

Osim toga, kao i u slučaju svih vrsta podataka koje vaša aplikacija prikuplja, trebate otkriti za koje ih svrhe vaša aplikacija upotrebljava. Na primjer, ako vaša aplikacija korisniku omogućuje da doda datum rođenja na svoj račun, ali te podatke upotrebljava i za slanje pravovremenih push obavijesti, vaša aplikacija treba navesti i tu svrhu uz upravljanje računom.

Upravljanje računom može se upotrijebiti za pokrivanje općih upotreba podataka o računu koji nisu specifični za određenu aplikaciju. Na primjer, ako na svojim uslugama upotrebljavate podatke o računu radi sprječavanja prijevara, oglašavanja, marketinga ili komunikacija s razvojnim programerima, a ta upotreba nije specifična za vašu aplikaciju ili aktivnosti u vašoj aplikaciji, navođenje upravljanja računom kao svrhe prikupljanja tih podataka o računu bit će dovoljno za pokrivanje tih općih upotreba u odjeljku Sigurnost podataka. No za aplikaciju se uvijek moraju navesti sve svrhe za koje aplikacija upotrebljava podatke. Kao najbolji primjer iz prakse preporučujemo da u okviru dokumentacije na razini računa i postupka registracije otkrijete kako vaša aplikacija postupa s korisničkim podacima za usluge računa.

Usluge sustava unaprijed su instalirani softver koji podržava osnovnu funkciju sustava. Usluge sustava mogu se primijeniti za izuzeće od ispunjavanja obrasca Sigurnost podataka.

Status svojeg podneska možete provjeriti na stranici Sadržaj aplikacije (Pravila > Sadržaj aplikacije) na Play konzoli. Ako je vaš podnesak usklađen, vidjet ćete zelenu kvačicu u odjeljku Sigurnost podataka.

Napomena: naša se pravila provode putem sustava i procesa koji se kontinuirano poboljšavaju. Osim toga, zbog promjena i ažuriranja naših pravila, na aplikacijama koje su prethodno bile odobrene nakon nekog vremena mogu se provesti mjere zbog neusklađenosti.

Google Play obavijestit će razvojne programere u vezi s bilo kakvim ažuriranjima. Možete pregledati naša pravila o korisničkim podacima i ovaj članak centra za pomoć da biste se upoznali s najažurnijim smjernicama.

Ako je ta upotreba jednokratna, ne morate je uključiti u odgovor na obrazac. No, morate navesti sve upotrebe tih korisničkih podataka izvan jednokratne obrade, uključujući sve svrhe za koje upotrebljavate korisničke podatke koje bilježite. Definiciju jednokratne obrade pregledajte u prethodnom odjeljku Prikupljanje podataka.

Google prikuplja podatke za popis dopuštenja na temelju dopuštenja tijekom instaliranja koja aplikacija navodi u manifestu.

U odjeljku Sigurnost podataka navodi se koje podatke aplikacija prikuplja i dijeli s trećim stranama.

U odjeljak Što razvojni programeri trebaju navesti u obrascu Sigurnost podataka dodali smo novi odjeljak (Značka za Unified Payments Interface Badge (UPI)).

Ažurirali smo odjeljak Koji razvojni programeri trebaju ispuniti obrazac Sigurnost podataka na Play konzoli? kako bismo pružili ažurirane informacije o zahtjevima za interno testiranje i odjeljak Sigurnost podataka. Također smo uklonili odjeljak teksta koji se odnosi na to iz unosa u zapisniku izmjena od 24. kolovoza 2022. jer te informacije više nisu primjenjive i ne želimo zbunjivati razvojne programere koji traže informacije o tom problemu.

Cijeli smo članak uredili kako bismo uklonili reference na određene datume; te su reference u početku bile uključene (i povremeno ažurirane) prije, tijekom i nakon objavljivanja odjeljka Sigurnost podataka na Play konzoli kako bi razvojni programeri lakše razumjeli koji su zahtjevi na snazi u određenom trenutku. Budući da je odjeljak Sigurnost podataka sada aktivan na Google Playu, uklonili smo izvornu vremensku traku i reference na određene datume.

Dodali smo dodatne informacije za vrstu podataka Interakcije s aplikacijama (sada uključuju "snimanje snimki zaslona").

Ažurirali smo odjeljak Koji razvojni programeri trebaju ispuniti obrazac Sigurnost podataka na Play konzoli? kako bismo naznačili da su od 24. listopada 2022. verzije koje su aktivne u verzijama internog testa izuzete iz uključivanja u odjeljak Sigurnost podataka. Za aplikacije koje su isključivo aktivne u toj verziji ne mora se ispuniti izjava.

Pojedinosti u pododjeljku Informacije o rasporedu u odjeljku Pripremanje informacija ažurirali smo kako bismo objasnili da će neusklađene novopodnesene aplikacije i ažuriranja aplikacija primiti upozorenja da će se slanja i ažuriranja aplikacija odbijati na Play konzoli ako postoje neriješeni problemi s obrascem. Taj smo odjeljak ažurirali pojedinostima o tome što će se dogoditi nakon što to razdoblje upozorenja završi 22. kolovoza 2022.

U odjeljku Što razvojni programeri trebaju navesti u obrascu Sigurnost podataka unijeli smo sljedeće promjene u pododjeljak Neovisan sigurnosni pregled (sada dostupan za sve aplikacije):

• Naslov "Neovisan sigurnosni pregled (beta od ožujka 2022., opća dostupnost uskoro)" promijenili smo u "Neovisan sigurnosni pregled (sada dostupan svim razvojnim programerima)" jer je ta značajka sada dostupna za sve aplikacije.
• Ažurirali smo pododjeljak da bismo uključili informacije za razvojne programere koji žele sudjelovati u neovisnom sigurnosnom pregledu.

U odjeljku Česta pitanja unijeli smo sljedeće promjene:

• Ažurirali smo odgovor na pitanje "Trebam li pružiti mehanizam brisanja? Mora li biti dostupan za sve korisničke podatke?"
• Neposredno ispod tog pitanja dodali smo i tri nova pitanja i odgovora koji pružaju detaljnije informacije o mehanizmima za brisanje podataka i obrascu Sigurnost podataka.
• Dodali smo jedno novo pitanje o razlici između popisa dopuštenja i odjeljka Sigurnost podataka za aplikaciju. Uklonili smo pitanje o aplikacijama koje ciljaju stare verzije Androida.

U odjeljku Pregled dodali smo redak kojim razvojne programere potičemo da pregledaju Google Play SDK Index kako bi vidjeli je li njihov davatelj naveo vezu na smjernice. Više informacija možete pronaći u članku Donosite informirane odluke pomoću web-lokacije Google Play SDK Index u centru za pomoć.

U odjeljku Pripremanje informacija dodali smo preporuku za gledanje videozapisa Google Play PolicyBytesa s detaljnim uputama za ispunjavanje obrasca Sigurnost podataka, koji vas vodi kroz sve resurse i korake potrebne za ispunjavanje obrasca Sigurnost podataka.

U odjeljku Pregled dodali smo redak koji potiče određene razvojne programere da upućuju na objavljene informacije o sigurnosti podataka njihovih davatelja SDK-a, kao što su Firebase i AdMob.

Ažurirali smo pojedinosti Informacija o rasporedu u odjeljku "Pripremanje informacija" s upućivanjem na poruku koju će korisnici vidjeti na Google Playu u unosu iz srpnja 2022. (prethodno je bilo navedeno "Nema dostupnih podataka", što je ažurirano na "Informacije nisu dostupne")

U odjeljku Česta pitanja uveli smo sljedeće izmjene:

• Dodali smo novo pitanje i odgovor o uslugama sustava.
• Dodali smo novo pitanje i odgovor o opcijama rješavanja problema ako ne možete vidjeti najnovija ažuriranja obrasca Sigurnost podataka na Google Playu.
• Ažurirali smo postojeće odgovore o tome koliko je vremena potrebno da se ažuriranja obrasca Sigurnost podataka prikažu na Google Playu i stranici za upravljanje računom.

Dana 8. travnja 2022. ispravili smo naziv vrste podataka "Fotografije i videozapisi" (prethodno je bio naveden kao "Fotografije ili videozapisi").

Dana 24. veljače 2022. u ovaj smo članak unijeli brojne izmjene opisane u nastavku.

Promjene u pododjeljku Informacije o rasporedu

Pojedinosti u pododjeljku Informacije o rasporedu u odjeljku Pripremanje informacija ažurirali smo na sljedeći način:

• Prethodno smo naveli da će od veljače 2022. odjeljak Sigurnost podataka biti dostupan na Google Playu svim korisnicima. Taj je datum ažuriran na kraj travnja 2022.
• Prethodno smo naveli da će se od travnja 2022. novopodnesene aplikacije i ažuriranja aplikacija odbijati na Play konzoli ako postoje neriješeni problemi s obrascem. Taj je datum ažuriran na 20. srpnja 2022.
• Prethodno smo naveli da se od travnja 2022. na aplikacije koje nisu usklađene u budućnosti mogu implementirati dodatne mjere. Taj je datum ažuriran na datum nakon 20. srpnja 2022.

Ažurirali smo druga upućivanja na datume u članku u skladu s prethodno navedenim izmijenjenim datumima.

Pojašnjenja u vezi s time što razvojni programeri trebaju navesti za različite vrste podataka

U odjeljku Što razvojni programeri trebaju navesti u obrascu Sigurnost podataka unijeli smo sljedeće promjene u pododjeljak Što razvojni programeri trebaju navesti za različite vrste podataka:

• Dodali smo upute da bismo objasnili kako razvojni programeri s aplikacijama za koje postoji obaveza pridržavanja pravila za obitelji mogu uključiti prikazivanje značke za obitelji počevši od 1. ožujka 2022.  
• U odjeljku Ostale otkrivajuće objave u vezi s aplikacijom i podacima mehanizam brisanja preimenovan je u mehanizam zahtjeva za brisanje.
• Ažurirali smo i odjeljak Neovisan sigurnosni pregled s detaljnijim informacijama o toj značajci.

Ažuriranja odjeljka Vrste i namjene podataka

Unijeli smo manje promjene u nazive vrsta podataka:

• Vrsta podataka "osobni identifikatori" preimenovana je u "ID-jevi korisnika".
• Vrsta podataka "broj kreditne kartice, debitne kartice ili bankovnog računa" preimenovana je u "korisnički podaci o plaćanju".
• Vrsta podataka "podaci o kreditnom statusu" preimenovana je u "ocjena kreditne sposobnosti".
• Vrsti podataka "drugi financijski podaci" dodali smo primjer korisnikove plaće ili dugova.
• Vrsta podataka "zdravstvene informacije" preimenovana je u "zdravstveni podaci".
• Vrsta podataka "podaci o fitnessu" preimenovana je u verziji ovog dokumenta na engleskom jeziku.
• Vrsta podataka "SMS ili MMS poruke" preimenovana je u "SMS ili MMS".
• Vrsta podataka "prikazi stranice i dodiri u aplikaciji" preimenovana je u "interakcije s aplikacijama" i njezin je opis ažuriran.
• Ažurirani su opisi vrste podataka "drugi sadržaj koji je izradio korisnik" i vrste podataka "druge radnje".
• Vrsta podataka "drugi osobni podaci" preimenovana je u "ostali podaci".
• Kategorija "identifikatori uređaja ili drugi identifikatori" preimenovana je u verziji ovog dokumenta na engleskom jeziku.

Pojasnili smo svrhe podataka:

• Ažuriran je primjer za komunikacije s razvojnim programerom.
• Ažuriran je primjer za oglašavanje ili marketing.
• Ažuriran je primjer za upravljanje računom.

Ostale promjene

U odjeljku Pregled dodali smo još slika kako bismo pokazali što će korisnici vidjeti ako vaša aplikacija ne dijeli korisničke podatke.

Dodali smo nova česta pitanja koja uključuju teme u vezi s upravljanjem računom, radnjama koje pokreću korisnici, upotrebom platformi za plaćanje i šifriranjem.

Ažurirali smo definiciju jednokratne obrade u odjeljku Prikupljanje podataka i dodali nova česta pitanja u vezi s tom temom.

Dana 14. prosinca 2021. ažurirali smo vrstu podataka koja je izvorno bila nazvana "Seksualna orijentacija i rodni identitet".  Ova vrsta podataka sada se zove "Seksualna orijentacija" i odnosi se samo na seksualnu orijentaciju.

Ažurirali smo i vrstu podataka "Drugi osobni podaci" kako bismo uključili rodni identitet kao primjer drugih osobnih podataka.