Adatok megadása a Google Play Adatbiztonság szakaszához

Ez a videó ismerteti az Adatbiztonsági űrlap kitöltéséhez szükséges összes forrást és lépést.

Az „adatgyűjtés” azt jelenti, hogy a rendszer az alkalmazásból származó adatokat továbbít a felhasználó eszközéről. Erre a következő irányelvek vonatkoznak:

• Könyvtárak és SDK-k: Idetartoznak az alkalmazás által használt könyvtárak és/vagy SDK-k által az eszközről továbbított, az alkalmazásból származó felhasználói adatok, függetlenül attól, hogy az adatokat neked vagy harmadik fél szerverére továbbítja a rendszer.
• Webes nézet: Az alkalmazásból megnyitott webes nézetből gyűjtött felhasználói adatok is idetartoznak, ha az alkalmazás felügyeli az adott webes nézetben továbbított kódot/viselkedést.
  • Nem kell nyilatkoznod az olyan webes nézetben történő adatgyűjtésről, amikor a felhasználók a nyílt webet használják.
• Ideiglenes adatkezelés: Az eszközről továbbított, ideiglenesen kezelt felhasználói adatokat kötelező feltüntetni az űrlapra adott válaszban, de ha megfelelnek az alábbi kitételnek, akkor nem tesszük közzé az alkalmazás Adatbiztonság szakaszában a Google Playen.
  • Az adatok „ideiglenesen” történő kezelése azt jelenti, hogy csak a memóriában tárolt adatokhoz férnek hozzá és ezeket használják fel, és csak annyi ideig őrzik meg, amíg az adott kérelem valós idejű kiszolgálásához szükséges.
  • Például egy olyan időjárási alkalmazás, amely elküldi a felhasználó tartózkodási helyét az eszközről, hogy lekérje az aktuális időjárási adatokat a felhasználó tartózkodási helyéről, de csak a memóriában használja a helyadatokat, és nem tárolja ezeket a kérés teljesítése után, a hely átmeneti használatát ideiglenesként kezelheti. Azonban az adatok hirdetési profilok vagy más felhasználói profilok létrehozásához való felhasználása nem minősül ideiglenesnek, és a releváns célból történő gyűjtésként vagy megosztásként kell feltüntetni őket.
• Pszeudoanonimizált adatok: A pszeudoanonimizált módon gyűjtött felhasználói adatokról nyilatkozni kell. Fel kell tüntetni például azokat az adatokat, amelyek észszerű módon újra társíthatók egy felhasználóhoz.

Az adatgyűjtés hatókörébe nem tartozó esetek

A következő használati eseteket nem kell adatgyűjtésként feltüntetni:

• Eszközön történő hozzáférés/kezelés: Az alkalmazásod által elért olyan felhasználói adatokat, amelyeket a rendszer csak helyben, a felhasználó eszközén kezel, de nem továbbít az eszközről, nem kell feltüntetned.
• Végpontok közötti titkosítás: Az eszközről továbbított adatokat, amelyeket a végpontok közötti titkosítás miatt sem te, sem más nem tud olvasni, csakis a feladó és a címzett, nem kell feltüntetni.
  • A titkosított adatok nem lehetnek más közvetítő személy, beleértve a fejlesztőt is, által olvashatók; csakis a feladó és a címzett rendelkezhet a szükséges kulcsokkal.

A „megosztás” az alkalmazásból gyűjtött felhasználói adatok harmadik fél részére történő továbbítását jelenti. Az alábbi felhasználóiadat-átvitelek tartoznak ide:

• Eszközről történő átvitel, például szerverek közötti átvitel. Például az alkalmazásából gyűjtött felhasználói adatokat továbbítod a saját szerveredről egy harmadik fél szerverére.
• Eszközön történő átvitel egy másik alkalmazásba. Az alkalmazásból származó felhasználói adatok közvetlen átvitele az eszközön található másik alkalmazásba. Ebben az esetben az Adatbiztonság szakaszban található nyilatkozatokban fel kell tüntetned az adatmegosztást, még akkor is, ha az alkalmazás nem továbbítja az adatokat a felhasználó eszközéről.
• Az alkalmazás könyvtárából és SDK-kból származó adatok. Az alkalmazásból gyűjtött adatok továbbítása a felhasználó eszközéről közvetlenül egy harmadik félnek az alkalmazásban lévő könyvtárak és/vagy SDK-k segítségével.
• Az alkalmazáson keresztül megnyitott webes nézetből származó adatok. Felhasználói adatok továbbítása harmadik félnek az alkalmazásból megnyitott webes nézeten keresztül, ha az alkalmazás felügyeli az adott webes nézetben továbbított kódot/viselkedést.
  • Nem kell nyilatkoznod az olyan webes nézetben történő adatmegosztásról, amikor a felhasználók a nyílt webet használják.

A következő típusú adatátviteleket nem kell „megosztásként” feltüntetni:

• Szolgáltatók. A felhasználói adatok olyan „szolgáltatónak” történő továbbítása, amely a fejlesztő nevében dolgozza fel az adatokat.
  • A „Szolgáltató” olyan személyt jelent, aki a felhasználói adatokat a fejlesztő nevében és a fejlesztő utasításai szerint dolgozza fel.
• Jogi célok. A felhasználói adatok átvitele jogi okokból, például jogi kötelezettségnek vagy kormányzati kéréseknek való megfelelés céljából.
• Felhasználó által kezdeményezett művelet vagy jól látható nyilatkozat és felhasználói beleegyezés. Felhasználói adatok továbbítása harmadik félnek egy felhasználó által kezdeményezett művelet alapján, amely esetben a felhasználó észszerűen feltételezi az adatok megosztását, vagy olyan jól látható, alkalmazáson belüli nyilatkozat és beleegyezés alapján, amely megfelel a Felhasználói adatokra vonatkozó irányelvekben ismertetett követelményeknek.
• Névtelen adatok. Olyan felhasználói adatok átvitele, amelyeket teljesen anonimizáltak, így már nem társíthatók az egyes felhasználókhoz.

Első és harmadik felek.

• Az „első fél” az alkalmazás által gyűjtött adatok feldolgozásáért felelős elsődleges szervezet, amely jellemzően az a szervezet, amely az alkalmazást közzéteszi a Google Playen, és amely megjelenik az áruházi adatlapon.
  • Az első félnek kötelessége egyértelműen tájékoztatni a felhasználókat arról, hogy elsődlegesen melyik szervezet felel az alkalmazás által gyűjtött adatok feldolgozásáért.
• A „harmadik fél” az első féltől vagy annak szolgáltatóitól eltérő szervezetet jelenti.

Azt is feltüntetheted, hogy az alkalmazás által gyűjtött egyes adattípusok „nem kötelező” vagy „kötelező” jellegűek-e. A „nem kötelező” lehetőség magában foglalja az adatgyűjtés engedélyezését vagy tiltását. Például „nem kötelező” jellegűként tüntethetsz fel egy olyan adattípust, amely esetében a felhasználó kontrollálhatja az adatgyűjtést, és az adat megadása nélkül használhatja az alkalmazást, vagy a felhasználó eldöntheti, hogy manuálisan adja-e meg az adattípust. Ha az alkalmazásod elsődleges működéséhez szükség van egy adott adattípusra, akkor „kötelező” jellegűként kell deklarálnod.

Deklarálhatod azt is, hogy az alkalmazásod csak akkor gyűjt bizonyos adatokat nem kötelező módon, ha minden felhasználó – eszköztől vagy régiótól függetlenül – nem kötelező módon adhat meg információkat, illetve engedélyezheti vagy tilthatja az adatgyűjtést.

Példák a nem kötelező adatgyűjtésre:

• Közösségimédia-alkalmazás, amely marketingkommunikációs célból kéri a felhasználó születésnapját, azonban ez az információ nem kötelező – a felhasználó ennek az információnak a megadása nélkül is regisztrálhat.
• Felhasználói adatok, amelyeket csak akkor gyűjt az alkalmazás, ha a felhasználó bejelentkezik, de a felhasználó bejelentkezés nélkül is használhatja az alkalmazást.

Az Adatbiztonság szakasz arra is lehetőséget nyújt, hogy megismertesd a felhasználókat az alkalmazás adatvédelmi és -biztonsági gyakorlataival. Például a következő információkat tüntetheted fel:

• Titkosítás az átvitel során: Az alkalmazás által gyűjtött vagy megosztott adatok titkosítva vannak az átvitel során annak érdekében, hogy védje a felhasználói adatokat a végfelhasználó eszközéről a szerverre történő átvitel során.
  • Egyes alkalmazások úgy vannak kialakítva, hogy lehetővé tegyék a felhasználóknak az adatok másik webhelyre vagy szolgáltatásba való átvitelét. Például egy üzenetküldő alkalmazás lehetőséget adhat a felhasználóknak arra, hogy SMS-t küldjenek a mobilszolgáltatójukon keresztül, amely különböző titkosítási eljárásokat tesz lehetővé. Ezek az alkalmazások az Adatbiztonság szakaszban nyilatkozhatnak arról, hogy az adatok továbbítása biztonságos kapcsolaton keresztül történik, amennyiben a legjobb iparági szabványok szerint biztonságosan titkosítják őket, miközben a felhasználói eszköz és az alkalmazás szerverei között továbbítódnak.
• Törlési kérelem mechanizmusa: Lehetővé teszi az alkalmazás a felhasználók számára, hogy kérhessék az adatok törlését?

Azoknak az alkalmazásoknak, amelyeknek célközönségét gyermekek alkotják, meg kell felelniük a Google Play Családokkal kapcsolatos irányelvében foglalt követelményeknek. Ha alkalmazásod ebbe a kategóriába tartozik, és ellenőrizted, hogy megfelel a Családokkal kapcsolatos irányelv követelményeinek, dönthetsz úgy, hogy megjelenítesz egy jelvényt az Adatbiztonság szakaszban, amely azt jelzi, hogy az alkalmazás „Betartja a Play családokkal kapcsolatos irányelvét”.

A jelvény megjelenítéséhez lépj az Adatbiztonsági űrlap „Biztonsági gyakorlatok” szakaszához, és kattints az Ugrás a Célközönség és tartalom szakaszhoz lehetőségre a feliratkozáshoz.

Az adatbiztonsági űrlapon nyilatkozhatsz arról is, hogy alkalmazásodat ellenőrizték egy független globális biztonsági szabványnak való megfelelés tekintetében. Ez nem kötelező. A fejlesztők eldönthetik, élnek-e ezzel a fizetős lehetőséggel. A MASA (Mobile Application Security Assessment) rendszeren keresztül a fejlesztők a Google által jóváhagyott laboratóriummal közvetlenül együttműködve értékeltethetik az alkalmazásuk OWASP MASVS (Mobile Application Security Verification Standard) szabványnak való megfelelését. Az ellenőrzést végző harmadik fél szervezetek ezt a fejlesztő nevében végzik el.

Ha érdekel a részvétel, akkor közvetlenül fordulhatsz valamelyik Google által jóváhagyott laboratóriumhoz a vizsgálati folyamat elindításával kapcsolatban. Miután a laboratórium meggyőződött arról, hogy az alkalmazás megfelel az összes biztonsági követelménynek, megjeleníthetsz egy azt jelző jelvényt az Adatbiztonság szakaszban, hogy átestél a „független biztonsági ellenőrzésen”.

A jóváhagyott laboratóriumok rendelkeznek egy kifejezetten mobilalkalmazás-biztonsági gyakorlóterülettel, amely átfogó biztonsági tesztelési lehetőségeket és élményt kínál. Ezek a laboratóriumok megfelelnek az ISO 17025 szabványnak vagy egy ezzel egyenértékű iparági szabványnak. Ha megfelelsz a feltételeknek, és szeretnél laboratóriumi partnerré válni, töltsd ki ezt az űrlapot a céged adataival, és küldd be.

Fontos: A független ellenőrzés nem terjed ki az adatbiztonsági nyilatkozatok pontos és hiánytalan mivoltának ellenőrzésére. Ha harmadik fél eszközeit veszed igénybe az alkalmazásod biztonsági beállításainak elemzéséhez, akkor is kizárólag a te felelősséged hiánytalan és pontos nyilatkozatokat tenni az alkalmazás Google Playen megjelenő áruházi adatlapján.

A Unified Payments Interface (UPI) egy azonnali pénzátutalási rendszer, amelyet az RBI felügyelete alá tartozó szervezet, a National Payments Corporation of India (NPCI) fejlesztett ki. Ha jelenleg ezt a fizetéstovábbítási rendszert használod, akkor az adatbiztonsági űrlapon nyilatkozhatsz erről. Ha érdekel a programban való részvétel vagy kérdéseid vannak, akkor a részvételi feltételekről vagy az alkalmazásod akkreditálásának mikéntjéről közvetlenül az NPCI-től érdeklődhetsz. Az ezzel az akkreditációval rendelkező alkalmazások jogosultak lehetnek az azt igazoló jelvény megjelenítésére a Play Áruházi adatlapjukon, hogy az NPCI hitelesítette az alkalmazás UPI-implementációját. A jelvényen az „UPI használatával történő fizetéseket biztosít” szöveg látható, és a felhasználók számára csak akkor jelenik meg, ha ezt engedélyezed a Play Console-ban, az adatbiztonsági űrlapon. A jelvény kizárólag az Indiában tartózkodó Google Play-felhasználók számára látható.

A fejlesztőket megkérjük arra, hogy tegyék közzé a különböző felhasználóiadat-típusok gyűjtésére, megosztására és a velük kapcsolatos egyéb tevékenységekre vonatkozó gyakorlatokat, valamint azt, hogy milyen célokra használják az adatokat.

A CSV-fájl válaszonként egy sort tartalmaz. A feleletválasztós és egyválasztásos kérdésekre adott válaszok a rendelkezésre álló választási lehetőségek számának megfelelő sort foglalnak el. A kérdés megválaszolásához a „Válaszérték” oszlopban adj meg TRUE (IGAZ) vagy FALSE (HAMIS) értéket, vagy hagyd üresen a cellát, ha a kérdés nem kötelező, vagy ha feleletválasztós kérdésre válaszolsz. A „Válasz követelményei” oszlopban látható, hogy a válaszadás kötelező-e vagy sem, és a következő értékeket tartalmazhatja:

• OPTIONAL (NEM KÖTELEZŐ): Nem kötelező – ez az oszlop üresen maradhat.
• REQUIRED (KÖTELEZŐ): Kötelező – meg kell adnod egy válaszértéket.
• MULTIPLE_CHOICE (FELELETVÁLASZTÓS): TRUE válaszértéket adhatsz meg a kapcsolódó kérdésazonosítóhoz tartozó legalább egy válaszlehetőségre. A többi választ üresen hagyhatod.
• SINGLE_CHOICE (EGYVÁLASZTÁSOS): TRUE válaszértéket adhatsz meg a kapcsolódó kérdésazonosítóhoz tartozó egyik válaszlehetőségre. A többi választ üresen hagyhatod.
• MAYBE_REQUIRED (TALÁN_KÖTELEZŐ): Csak bizonyos feltételek teljesülése esetén kell válaszolnod rá, például egy korábbi kérdés válasza alapján.

Az alábbi táblázatban példát láthatsz az adatbiztonsági űrlap „Név” és „Hozzávetőleges hely” szakaszainak tartalmára. A következőket tartalmazza:

• Feleletválasztós kérdés
• Kötelező kérdés
• Nem kötelező kérdés

1. Nyisd meg a Play Console-t, majd lépj az Alkalmazástartalom oldalra (Irányelvek > Alkalmazástartalom).
2. Az „Adatbiztonság” szakaszban válaszd a Kezdés lehetőséget.
3. Válaszd az oldal jobb felső részén található Exportálás CSV-fájlba lehetőséget.

Fontos: CSV-fájl importálásakor az űrlapon megadott válaszok felülíródnak.

1. Nyisd meg a Play Console-t, majd lépj az Alkalmazástartalom oldalra (Irányelvek > Alkalmazástartalom).
2. Az „Adatbiztonság” szakaszban válaszd a Kezdés lehetőséget.
3. Válaszd az oldal jobb felső részén található Importálás CSV-fájlba lehetőséget.

Októbertől lehetőséget biztosítunk az adatbiztonsági űrlap beküldésére a Play Console felületén egészen 2022. július 20-ig. Ennek az átfutási időnek elegendőnek kell lennie. Jelenleg nem áll szándékunkban meghosszabbítani a határidőt.

Röviden: igen. Pontos adatokat kell megadnod, amelyek tükrözik az alkalmazás adatgyűjtési és -kezelési gyakorlatát. Felelős vagy az általad megadott adatokért. A Google Play minden irányelvi követelmény tekintetében ellenőrzi az alkalmazásokat, azonban nem tudjuk a fejlesztők helyett megállapítani, hogy hogyan kezelik a felhasználói adatokat. Csakis te rendelkezel az adatbiztonsági űrlap kitöltéséhez szükséges összes információval.

Ha úgy találjuk, hogy valótlan adatokat közöltél, és ezzel megsértetted a szabályzatot, akkor helyesbítened kell az adatokat. Az irányelveknek meg nem felelő alkalmazásokkal szemben intézkedhetünk, pl. letilthatjuk a frissítéseket, vagy eltávolíthatjuk az alkalmazást a Google Playről.

Miután beküldtél egy új alkalmazást, illetve amikor frissítesz egy meglévő alkalmazást a Play Console-on, időbe telhet, amíg az alkalmazást feldolgozza a rendszer normál közzétételre a Google Playen. Bizonyos alkalmazások kiterjesztett felülvizsgálaton eshetnek át, ami 7 napos vagy kivételes esetekben hosszabb felülvizsgálati időt is igényelhet.

Az alkalmazásfrissítéseknek és új beküldéseknek meg kell felelniük a Google Play Fejlesztői programszabályzatának. A Play Console Közzétételi áttekintő oldalán megnézheted, hogy a beküldött alkalmazásod felülvizsgálata még függőben van-e.

Ha a legutóbbi frissítés készen áll, és még mindig nem látod az Adatbiztonság szakasz űrlapját a Google Playen, akkor ellenőrizheted, hogy a felügyelt közzététel be van-e kapcsolva a Play Console-on. Ha a felügyelt közzététel be van kapcsolva, akkor a kiadás csak a közzététel után lesz hozzáférhető. A kiadást a Közzétételi áttekintő oldalon teheted közzé. Ezt követően a jóváhagyott beküldött tartalom megjelenik, és nem sokkal később hozzáférhetővé válik a Google Playen.

Ha frissítetted az Adatbiztonság szakasz tartalmát, de nem látod a legújabb tartalmat a Google Playen, próbálkozz az alkalmazásoldal frissítésével. Felhívjuk figyelmedet, hogy az eszközkapcsolódás és a szerver változó terhelése miatt több (bizonyos esetekben akár 7) napba is beletelhet, mire az alkalmazásfrissítések megjelennek az összes eszközön. Türelmedet kérjük, amíg a Google Play regisztrálja és érvényesíti az alkalmazásfrissítést.

Örömmel halljuk, hogy pontosan tisztában vagy az alkalmazásod adatkezelési gyakorlatával. Az Adatbiztonsági űrlapon olyan további információt kell közölnöd, amelyet esetleg korábban nem adtál meg, ezért a csapatodnak várhatóan időt kell szánnia az adatok megadására. A Google Play Adatbiztonság szakaszának rendszertana és keretrendszere jelentősen eltérhet a más alkalmazásboltokban használtaktól.

Az adatvédelmi irányelvekhez vagy az alkalmazás részleteihez (pl. kényernyőképek és leírások) hasonlóan a fejlesztők az Adatbiztonság szakaszban közzétett adatokért is felelősek. A Google Play felhasználói adatokra vonatkozó irányelvei előírják a fejlesztőknek, hogy pontos információkat adjanak meg. Ha megállapítjuk, hogy a fejlesztő megtévesztő adatokat adott meg, és az irányelvbe ütközik, akkor felszólítjuk, hogy javítsa ki a hibát. Az irányelveknek meg nem felelő alkalmazásokkal szemben intézkedhetünk.

A Google Play felhasználóinak azt kell érezniük, hogy az adataik biztonságban vannak. Folyamatosan új funkciókat és irányelveket vezetünk be a felhasználói adatvédelem érdekében és azért, hogy a Google Play megbízható hely legyen mindenki számára. A Google Play egyes új funkciói és irányelvei nagyobb szabadságot adnak a felhasználók kezébe, és nagyobb átláthatóságot biztosítanak. Más szabályok abban segítenek, hogy a fejlesztők csak akkor férjenek hozzá a személyes adatokhoz, ha erre az alkalmazás elsődleges használata miatt szükség van. A Google Play Fejlesztői Programszabályzat jelenleg is számos követelményt fogalmaz meg az adatok átláthatóságára és ellenőrzésére vonatkozóan. A Google Play Fejlesztői Programszabályzatot be nem tartó alkalmazásokkal szemben intézkedhetünk.

Frissítened kell az Adatbiztonság szakaszt, ha az alkalmazás adatkezelési gyakorlatát érintő módosítások történnek. Az adatbiztonsági űrlapon feltüntetett válaszoknak pontosaknak és hiánytalanoknak kell lenniük.

Az Adatbiztonság szakasz segíthet a felhasználóknak eldönteni, hogy mely alkalmazásokat szeretnék letölteni. A fejlesztőknek is segít bizalmat ébreszteni a felhasználókban, és elkötelezettebbé tenni őket az alkalmazás iránt. A szakasznak köszönhetően a felhasználók nyugodtak lehetnek afelől, hogy az adataikat felelősségteljesen kezelik. A fejlesztők úgy nyilatkoztak, hogy szeretnék átláthatóbb módon megosztani a felhasználókkal az adatkezelési gyakorlatukat.

A Google Play áruházi adatlapon csomagnevenként egy globális adatbiztonsági űrlap és Adatbiztonság szakasz található, amely független a használattól, az alkalmazásverziótól, a régiótól és a felhasználó életkorától. Egyszerűbben fogalmazva: ha bármilyen gyűjtés, felhasználás vagy összekapcsolás megtalálható a Google Playen jelenleg közzétett bármelyik alkalmazásverzióban bárhol a világon, ezt fel kell tüntetned az űrlapon. Az Adatbiztonság szakasz tehát az alkalmazás adatgyűjtési és -megosztási jellemzőit összegzi az alkalmazás Google Playen jelenleg közzétett összes verziójára nézve. „Az alkalmazásról” szakaszban megoszthatod a verzióspecifikus információkat a felhasználókkal.

Jelenleg a globális adatkezelési gyakorlatodat jelenítjük meg alkalmazásonként. Az Adatbiztonság szakasz az alkalmazás adatgyűjtési és -megosztási jellemzőit összegzi az alkalmazás Google Playen jelenleg közzétett összes verziójára nézve. „Az alkalmazásról” szakaszban megoszthatod a verzióspecifikus információkat a felhasználókkal. Az Adatbiztonság szakaszban egyértelműsítjük a Google Play felhasználói számára, hogy az alkalmazás adatgyűjtési és -biztonsági gyakorlatai számos tényezőtől, például régiótól függően eltérőek lehetnek.

Nem. Az Adatbiztonság szakasz csak az alkalmazás Google Play áruházi adatlapján jelenik meg. Nincs szükség új nyilatkozatra a felhasználói alkalmazástelepítési folyamat során, és nincs szükség új felhasználói beleegyezésre sem ehhez a funkcióhoz kapcsolódóan. A személyes és bizalmas felhasználói adatokat gyűjtő fejlesztőknek alkalmazáson belüli nyilatkozatokat és beleegyezést kell közzétenniük, amennyiben ezt a Google Play hatályos, felhasználói adatokra vonatkozó irányelvei megkövetelik.

Az Adatbiztonság szakasz az alkalmazás adatgyűjtési és -megosztási jellemzőit összegzi az alkalmazás Google Playen jelenleg közzétett összes verziójára nézve. Ha az alkalmazás bármely verziója bizonyos adatok gyűjtését igényli, akkor nyilatkoznod kell az adatgyűjtésről az Adatbiztonság szakasz követelményeinek megfelelően. Nem jellemezheted az adatgyűjtést nem kötelezőként, ha ez az alkalmazásod bármely felhasználója számára kötelező. „Az alkalmazásról” szakaszban megoszthatod a verzióspecifikus információkat a felhasználókkal.

Csak akkor kell nyilatkoznod az adatgyűjtésről és -megosztásról, ha az alkalmazás ténylegesen gyűjt és/vagy oszt meg adatokat. Az alkalmazásnak meg kell felelnie a Google Play Fejlesztői Programszabályzatának, beleértve az Engedélyek és bizalmas információhoz hozzáférő API-k irányelvet.

Ha szándékosan gyűjtesz egy adattípust egy másik adattípus gyűjtése során, akkor mindkettőről nyilatkoznod kell. Ha például felhasználói fotókat gyűjtesz, és ezek segítségével határozod meg a felhasználók jellemzőit (például etnikai hovatartozás vagy származás), akkor jelezned kell, hogy az etnikai hovatartozással és a származással kapcsolatos adatokat is gyűjtöd.

Találsz az Adatbiztonság szakaszban egy olyan felületet, ahol nyilatkozhatsz arról, hogy biztosítasz-e olyan mechanizmust, amely segítségével fogadhatod a felhasználók adattörlési kérelmeit. Az adatvédelmi űrlap kitöltésekor jelezned kell, hogy biztosítananak-e ilyen mechanizmust.

Nincs előírt mechanizmus, de –bevált módszerként – a kérelmező mechanizmusnak könnyen megtalálhatónak és hozzáférhetőnek kell lennie a felhasználók számára. Az olyan mechanizmusokra, amelyek egyértelműen jelzik, hogy milyen úton kérhetik a felhasználók az adataik törlését, gyakori példaként szolgálnak (többek között) az alkalmazáson belüli funkciók, a kapcsolatfelvételi űrlapok vagy a kifejezetten erre fenntartott e-mail-alias.

Akkor választhatod a törléskérelmező mechanizmus jelzésére szolgáló jelvény feltüntetését az Adatbiztonsági űrlapon, ha:

• az adatok törlésének kérelmezésére szolgáló mechanizmust biztosítasz a felhasználók számára; vagy
• a begyűjtött adatok törlése, illetve anonimizálása automatikusan megkezdődik a begyűjtéstől számított 90 napon belül.

Akkor is választhatod a törlés kérelmezésére szolgáló mechanizmus jelvényének feltüntetését, ha indokoltan kell megőrizned bizonyos adatokat, például a jogi megfelelőség miatt vagy a visszaélések megakadályozása érdekében.

A Google Play az áruházi adatlapon csomagnevenként egy globális adatbiztonsági űrlapot és Adatbiztonság szakaszt biztosít, amelyen a felhasználás, az alkalmazásverzió, a régió és a felhasználó életkora alapján kell megadni az adatkezelési gyakorlatot. Egyszerűbben fogalmazva: ha megtalálható valamelyik adatkezelési gyakorlat a Google Playen jelenleg közzétett bármelyik alkalmazásverzióban bárhol a világon, azt a gyakorlatot fel kell tüntetned az űrlapon. Az Adatbiztonság szakasz tehát az alkalmazás adatgyűjtési és -megosztási jellemzőit összegzi az alkalmazás Google Playen jelenleg közzétett összes verziójára nézve.

Számos lehetőség van az adatok olyan szintű anonimizálására, hogy ne legyenek társíthatók az egyes felhasználókhoz. Konzultálj adatvédelmi és -biztonsági szakértőkkel, akik segítenek megtalálni a te használati esetednek megfelelő módszereket. Ez az oldal például a Google által használt adatanonimizálási módszereket, többek között az adatvédelmi differenciálást taglalja.

Akárcsak a többi adattípus esetében, az IP-címek gyűjtéséről, használatáról és megosztásáról is nyilatkoznod kell a konkrét felhasználás és gyakorlat alapján. Ha például a fejlesztők IP-címek használatával határozzák meg a tartózkodási helyet, akkor erről az adattípusról nyilatkozniuk kell.

Akárcsak a többi adattípus esetében, a különböző típusú azonosítók gyűjtéséről, használatáról és megosztásáról is nyilatkoznod kell a saját felhasználásod és gyakorlatod alapján. Például egy azonosítható személyhez köthető fióknév gyűjtését a nyilatkozatban „Személyes azonosítóként” kell feltüntetni, a felhasználó Android-hirdetésazonosítójának gyűjtését pedig „Eszköz- vagy egyéb azonosítókként”. Egy másik példa, hogy ha egy konkrét alkalmazáson belüli eseményhez kötődő azonosítóról van szó, de az észszerű módon nem köthető egyéni eszközhöz, böngészőhöz vagy alkalmazáshoz, akkor nem kell „Eszköz- vagy egyéb azonosítókként” feltüntetni.

Ahogy fentebb is említettük, a pszeudoanonimizált módon történő adatgyűjtést a megfelelő adattípus alatt kell feltüntetned a felmérésedben. Ha például eszközazonosítóval gyűjtesz diagnosztikai információkat, akkor az adatbiztonsági űrlapon fel kell tüntetned a „Diagnosztika” gyűjtését.

A szolgáltatók csak a nevedben kezelhetik a felhasználói adatokat. Például egy elemzési szolgáltató, amely kizárólag a te nevedben kezeli az alkalmazás felhasználói adatait, vagy egy olyan felhőszolgáltató, amely az alkalmazásodból származó felhasználói adatokat tárol, általában „szolgáltatónak” minősül. Azonban ha egy SDK-szolgáltató az alkalmazásadatok alapján több ügyfél esetében is létrehoz hirdetési profilokat, az nem tekinthető „szolgáltató” által végzett tevékenységnek az Adatbiztonság szakasz értelmében, és „megosztásként” fel kell tüntetni az adatbiztonsági űrlapon.

Ez a fizetési szolgáltatással való integráció jellegétől függ. Ha alkalmazásod fizetési szolgáltatást használ (pl. PayPal, Google Pay, a Google Play számlázási rendszere vagy hasonló szolgáltatások) fizetési tranzakciók végrehajtásához, akkor nem kell deklarálnod a fizetési szolgáltatás által a pénzügyi tranzakciók feldolgozásával összefüggésben gyűjtött adatok (például hitelkártyaszám) gyűjtését, amennyiben az alábbi feltételek teljesülnek:

• az alkalmazásod soha nem fér hozzá ezekhez az adatokhoz; és
• a fizetési szolgáltatás ezeket az adatokat közvetlenül a felhasználótól gyűjti, és a gyűjtésre az adott szolgáltatás feltételei érvényesek.

Alaposan ellenőrizd a fizetési szolgáltatással való integrációt, hogy az alkalmazás Adatbiztonság szakasza minden olyan adatgyűjtést és -megosztást deklaráljon, amely nem felel meg ezeknek a feltételeknek. Azt is figyelembe kell venned, hogy az alkalmazás más pénzügyi adatokat is gyűjt-e (például a vásárlási előzményeket), és hogy az alkalmazás fogad-e releváns adatokat a fizetési szolgáltatástól (például kockázatértékelés és csalásmegelőzés céljából).

Ez az adott megvalósítástól függ. Ha a felhasználó közvetlenül a saját külső Drive- vagy felhőtárhely-fiókjába (például a Google Drive-ba, a Dropboxba vagy hasonló szolgáltatásokba) tölti fel az adatait, és erre a feltöltésre a külső meghajtó vagy a felhőtárhely szolgáltatójának Általános Szerződési Feltételei és adatvédelmi irányelvei vonatkoznak, és az alkalmazás soha nem gyűjt vagy fér hozzá a szóban forgó adatokhoz, akkor az alkalmazásnak nem kell deklarálnia az ilyen adatok gyűjtését.

Kövesd a bevált iparági szabványokat, hogy biztonságosan titkosíthasd az alkalmazás adatait az átvitel során. A legelterjedtebb titkosítási protokollok a TLS (Transport Layer Security) és a HTTPS.

Az ilyen adatok gyűjtését a fiókkezelés érdekében deklarálnod kell, feltüntetve (ha lehetséges), hogy az adatgyűjtésben való részvétel nem kötelező a felhasználó számára.

Ezenkívül, ahogyan az alkalmazás által gyűjtött összes adattípus esetében, közölnöd kell ezeket az adatokat azokra a célokra vonatkozóan, amelyekre az alkalmazás felhasználja őket. Ha például az alkalmazásod lehetővé teszi a felhasználóknak, hogy hozzáadjanak a fiókjához a születési dátumát, és ezeket az adatokat arra is felhasználod, hogy a megfelelő időben leküldött (push) értesítéseket küldj nekik, az alkalmazásnak a fiók kezelése mellett ezt a célt is deklarálnia kell.

A fiókkezelés alkalmazható a fiókadatok nem általános, az adott alkalmazásra vonatkozó felhasználási módjainak lefedésére. Ha például a fiókmegelőzésre, a hirdetésekre, a marketingre vagy a fejlesztőkre vonatkozó kommunikáció során használod fel a fiókadatokat, és ez a felhasználás nem vonatkozik az alkalmazásra, illetve az alkalmazásban végzett tevékenységekre, akkor a „fiókkezelés” megadása az Adatbiztonság szakaszban megfelelően lefedi az általános felhasználási módokat a fiókadatok gyűjtésének céljaként. Az alkalmazásnak azonban mindig nyilatkoznia kell az összes olyan célról, amelyből maga az alkalmazás felhasználja az adatokat. Bevált módszerként azt javasoljuk, hogy a fiókszintű dokumentáció és a regisztrációs folyamat részeként közöld, hogyan kezeli az alkalmazásod a fiókszolgáltatások felhasználói adatait.

A rendszerszolgáltatások olyan előre telepített szoftverek, amelyek támogatják az alapvető rendszerfunkciókat. A rendszerszolgáltatások mentességet kérhetnek az adatbiztonsági űrlap kitöltése alól.

A beküldés állapotát a Play Console Alkalmazástartalom oldalán (Irányelvek > Alkalmazástartalom) ellenőrizheted. Ha a beküldött adatok megfelelnek az irányelveknek, akkor az „Adatbiztonság” szakaszban zöld pipa jelenik meg.

Megjegyzés: Irányelveinket olyan rendszerek és folyamatok segítségével tartatjuk be, amelyeket folyamatosan fejlesztünk. Továbbá az irányelveink módosításai és frissítései azt eredményezhetik, hogy az alkalmazást korábban jóváhagytuk, de az első beküldést követően a későbbiekben meg nem felelés miatt műveletet hajtunk végre vele kapcsolatban.

A Google Play minden frissítésről értesíti a fejlesztőket. Érdemes áttekintened a felhasználói adatokra vonatkozó irányelveinket és ezt a súgócikket is, hogy biztosan naprakész legyél a tájékoztatással kapcsolatban.

Ha ez a használat ideiglenes, akkor nem kell megadnod az űrlapra adott válaszban. A felhasználói adatok felhasználását az ideiglenes feldolgozáson kívül azonban mindenképp deklarálni kell, ideértve minden olyan célt, amelyre felhasználod a naplózott felhasználói adatokat. Az ideiglenes feldolgozás meghatározását a fenti Adatgyűjtés szakaszban találhatod meg.

A Google az alkalmazás manifestjében deklarált telepítéskor szükséges engedélyek alapján gyűjti az engedélyek listájával kapcsolatos adatokat.

Az Adatbiztonság szakasz azt ismerteti, hogy az alkalmazás milyen adatokat gyűjt és oszt meg harmadik felekkel.

A Mit kell feltüntetniük a fejlesztőknek az adatbiztonsági űrlapon? szakaszt egy új szakasszal (A Unified Payments Interface [UPI] jelvénye)) egészítettünk ki.

Módosítottuk a Mely fejlesztőknek kell kitölteniük az adatbiztonsági űrlapot a Play Console felületén? című szakaszt, amely így naprakésszé tett információkkal szolgál a belső tesztelés és az Adatbiztonság szakasz követelményeiről. Eltávolítottunk egy ehhez kapcsolódó szövegrészt is a 2022. augusztus 24-i változásnapló-bejegyzésből, mert a szövegrészben közölt információ már nem helytálló, mi pedig nem szeretnénk összezavarni a fejlesztőket, akik ezzel a problémával kapcsolatban keresnek információt.

A cikket végig szerkesztettük, hogy eltávolítsuk a konkrét dátumokra való hivatkozásokat; ezek a hivatkozások eredetileg a Play Console adatbiztonsági részlegének elindítása előtt, alatt és után szerepeltek (és rendszeresen frissültek), hogy a fejlesztők tisztában lehessenek azzal, hogy az egyes időpontokban mik voltak a követelmények. Mivel az Adatbiztonság szakasz mostantól szerte a Google Playben élesítve van, eltávolítottuk az eredeti idővonalat és a konkrét dátumokra való hivatkozásokat.

További információval egészítettük ki az „Alkalmazásinterakciók” adattípust (ez mostantól magában foglalja a felhasználó által készített képernyőképeket is).

Frissítettük a Mely fejlesztőknek kell kitölteniük az adatbiztonsági űrlapot a Play Console felületén? című szakaszt, mivel 2022. október 24-i hatállyal a belső tesztelési csatornák esetében aktív csatornák mentesülnek az adatbiztonsági szakaszba való felvétel alól. A kizárólag ezen a csatornán aktív alkalmazásoknál nem kell kitölteni a nyilatkozatot.

„Az adatok előkészítése” szakaszban úgy módosítottuk az Idővonallal kapcsolatos információk adatait, hogy kitérjen arra: a nem megfelelő új alkalmazásbeküldések és alkalmazásfrissítések figyelmeztetést kapnak majd, miszerint a beküldéseket és az alkalmazásfrissítéseket a Play Console nem fogadja majd el, ha az űrlappal kapcsolatos problémák rendezése nem történt meg. Kiegészítettük ezt a szakaszt annak részletezésével is, hogy mi történik majd azt követően, hogy 2022. augusztus 22-én véget ér ez a figyelmeztetési időszak.

A Mit kell feltüntetniük a fejlesztőknek az adatbiztonsági űrlapon? szakaszban a következő módosításokat hajtottuk végre a Független biztonsági ellenőrzés (most már minden alkalmazáshoz rendelkezésre áll) alszakaszban:

• A címet „Független biztonsági ellenőrzés (bétaverzió 2022 márciusától kezdődően, hamarosan általánosan bevezetjük)” szövegről „Független biztonsági ellenőrzés (mostantól minden fejlesztő számára rendelkezésre áll)” szövegre módosítottuk, mivel ez a funkció mostantól minden alkalmazáshoz rendelkezésre áll.
• Úgy módosítottuk az alszakaszt, hogy azon fejlesztők számára is tartalmazzon információt, akik érdeklődnek a független biztonsági ellenőrzésben való részvétel iránt.

A Gyakori kérdések szakaszt a következőképpen módosítottuk:

• Módosítottuk a „Biztosítanom kell törlési módot?” kérdésre adott választ. Ha igen, bármely és az összes felhasználói adatra vonatkoznia kell?
• Közvetlenül a kérdés alatt három új kérdést és választ is hozzáadtunk, amelyek részletesebb információval szolgálnak az adattörlési mechanizmusokról és az Adatbiztonsági űrlapról.
• Hozzáadtunk egy új kérdést, amely az engedélyek listája és az alkalmazás Adatbiztonság szakasza közötti különbségekkel foglalkozik. Eltávolítottunk egy, az Android régi verzióit célzó alkalmazásokra vonatkozó kérdést.

Az Áttekintés szakasz egy olyan sorral egészült ki, amely arra ösztönzi a fejlesztőket, hogy ellenőrizzék a Google Play SDK Indexet, hogy megtudják: a szolgáltatójuk megadott-e az iránymutatásra mutató linket. További információért olvasd el a Megalapozott döntések a Google Play SDK Index segítségével című súgócikket.

Az adatok előkészítése szakaszt kiegészítettük egy javaslattal, amely szerint érdemes megnézni a Google Play PolicyBytes Adatbiztonsági űrlapról szóló bemutató videót, amely ismerteti az Adatbiztonsági űrlap kitöltéséhez szükséges összes forrást és lépést.

Az Áttekintés szakaszhoz hozzáadtunk egy olyan sort, amely arra ösztönzi a fejlesztőket, hogy az SDK-szolgáltatóik közzétett adatbiztonsági információira (például a Firebase vagy az AdMob szolgáltatásra) hivatkozzanak.

„Az adatok előkészítése” szakaszban a következőképpen frissítettük az Idővonallal kapcsolatos információk adatait azáltal, hogy megjelenítettünk egy hivatkozást arra az üzenetre, amelyet a felhasználók a 2022. júliusi bejegyzésben látnak majd a Google Playen (itt régebben a „Nincs elérhető adat” üzenet jelent meg, amely a „Nincs információ” üzenetre frissült)

A következő módosításokat végeztük el a GYIK szakaszban:

• Új kérdést és választ vettünk fel a rendszerszolgáltatásokhoz.
• Új kérdést és választ vettünk fel a problémamegoldási lehetőségeknél, amikor nem látod a legújabb adatbiztonsági frissítéseket a Google Playen.
• Frissítettük a meglévő válaszokat arra vonatkozóan, hogy mennyi ideig tart, amíg az adatbiztonsági frissítések megjelennek a Google Playen és a fiókkezelésnél.

2022. április 8-án kijavítottuk a „Fotók és videók” adattípus nevét (ez korábban „Fotók vagy videók” volt).

2022. február 24-én számos, az alábbiakban ismertetett módosítást hajtottunk végre ezen a cikken.

Az idővonallal kapcsolatos információk változásai

„Az adatok előkészítése” szakaszban a következőképpen frissítettük az Idővonallal kapcsolatos információk adatait:

• Korábban azt közöltük, hogy az új Adatbiztonság szakasz 2022 februárjától minden felhasználó számára hozzáférhetővé válik a Google Playen. Ezt a dátumot 2022 áprilisának végére frissítettük.
• Korábban azt közöltük, hogy amennyiben 2022 áprilisától megoldatlan probléma marad az űrlapon, akkor a Play Console-ban elutasítjuk az új alkalmazásbeküldéseket és alkalmazásfrissítéseket. Ezt a dátumot 2022. július 20-ra frissítettük.
• Korábban azt közöltük, hogy 2022 áprilisától az előírásoknak meg nem felelő alkalmazásokkal szemben további betartatási intézkedéseket foganatosíthatunk. Ezt a dátumot 2022. július 20-ra frissítettük.

A fenti dátumokra való további hivatkozásokat is frissítettük az új dátumokra.

Kiegészítések arról, hogy a fejlesztőknek mit kell közzétenniük az adattípusok között

A „Mit kell feltüntetniük a fejlesztőknek az adatbiztonsági űrlapon” szakaszban a következő módosításokat hajtottuk végre a „Mit kell feltüntetniük a fejlesztőknek az adattípusok között” alszakaszban:

• További utasításokat jelenítettünk meg annak érdekében, hogy elmagyarázzuk, 2022. március 1-től kezdődően hogyan iratkozhatnak fel a Családok jelvény megjelenítésére a Családokkal kapcsolatos irányelvek betartása mellett elkötelezett fejlesztők.  
• Az Egyéb alkalmazás- és adatközlések részben a „Törlés módja” új neve a „Törlés kérésének módja” lett.
• Frissítettük továbbá a Független biztonsági ellenőrzés szakaszt, amely immár részletesebb információkat tartalmaz erről a funkcióról.

Adattípusokkal és -célokkal kapcsolatos frissítések

Az adattípusok terén kisebb mértékben módosítottuk az elnevezéseket:

• A „Személyes azonosítók” adattípus új neve „Felhasználói azonosítók” lett.
• A „Hitelkártya-, bankkártya- vagy bankszámlaszám” adattípus új neve „Felhasználó fizetési adatai” lett.
• A „Hitelezési adatok” adattípus új neve „Hitelbírálati pontszám” lett.
• A „További pénzügyi információ” adattípushoz hozzáadtuk a felhasználói fizetés vagy adósságok példáját.
• Az „Egészségügyi adatok” adattípus új neve „Egészségügyi információk” lett.
• A „Fitneszadatok” adattípus új neve „Fittséggel kapcsolatos adatok” lett.
• Az „SMS vagy MMS-üzenetek” adattípus új neve „SMS vagy MMS” lett.
• Az „Az alkalmazásban történt oldalmegtekintések és koppintások” adattípus új neve „Alkalmazásinterakciók” lett, és frissült a leírása is.
• Frissítettük a „Felhasználó által létrehozott egyéb tartalom” és az „Egyéb műveletek” adattípusok leírását.
• A „További személyes adatok” adattípus új neve „Egyéb adatok” lett.
• Átneveztük az „Eszköz- vagy egyéb azonosítók” kategória eredeti angol nevét. Ez a módosítás a magyar elnevezéseket nem érinti.

Egyértelműsítettük az adatok céljait:

• Módosult a „Fejlesztői közlemények” példája.
• Módosult a „Hirdetés vagy marketing” példája.
• Módosult a „Fiókkezelés” példája.

Egyéb változások

Az Áttekintés szakaszhoz további képeket adtunk, amelyek megjelenítik, hogy mit látnak a felhasználók, ha az alkalmazás nem oszt meg felhasználói adatokat.

Új GYIK-eket vettünk fel, ideértve a fiókkezeléssel, a felhasználó által kezdeményezett műveletekkel, a fizetési platformok használatával és a titkosítással kapcsolatos témákkal kapcsolatos súgókat.

Frissítettük az átmeneti feldolgozás meghatározását az Adatgyűjtés szakaszban, és új GYIK-et adtunk a témához.

2021. december 14-én frissítettük az adattípust, amelynek eredetileg „Szexuális beállítottság és nemi identitás” volt a neve.Az adattípus új neve „szexuális beállítottság”, és csak a szexuális beállítottságra utal.

Szintén frissítettük a „További személyes adatok” adattípust, hogy a nemi identitás is példaként szerepeljen a további személyes adatokra.