Esikatselu: Käyttäjädata

Käytännön esikatselu (voimassa 7.12.2023)

Tässä artikkelissa on esikatselu muutoksista, jotka kuuluvat huhtikuun 2023 käytäntöpäivityksiimme.

Antaaksemme käyttäjille enemmän valtaa datan käyttöön, esittelemme käyttäjädatakäytännössä uuden tilien poistamista koskevan vaatimuksen. Jos sovellus antaa käyttäjien luoda tilin, sen täytyy myös antaa käyttäjien pyytää tilin poistamista sovelluksessa ja verkkoresurssin kautta. Kaikkien kehittäjien on myös päivitettävä Play Consolen Dataturvallisuus-lomake, jonka jotkin tiedot voivat näkyä sovelluksen Dataturvallisuus-sivulla Google Playssa.

Tältä sivulta löytyy "Käyttäjädata"-artikkeli.

Sinun on kerrottava avoimesti, miten käsittelet käyttäjädataa (esimerkiksi käyttäjältä kerättyjä tai häneen liittyviä tietoja, laitteen tiedot mukaan lukien). Tämä tarkoittaa tietojen luovuttamista sovelluksen käyttäjädatan lukemisesta, keräämisestä, käytöstä, käsittelystä ja jakamisesta ja että dataa käytetään vain ilmoitettuihin käytäntöjen sallimiin tarkoituksiin. Huomaa, että kaikkeen henkilökohtaisen tai arkaluontoisen käyttäjädatan käsittelyyn sovelletaan alta osiosta "Henkilökohtainen ja arkaluontoinen käyttäjädata" löytyviä lisävaatimuksia. Näitä Google Playn vaatimuksia sovelletaan kaikissa sovellettavissa yksityisyys- ja datasuojauslaeissa mainittujen vaatimusten lisäksi.

Jos sovellus sisältää kolmannen osapuolen koodia (esimerkiksi SDK:n), sinun on varmistettava, että sovelluksessa käytetty kolmannen osapuolen koodi ja kyseisen kolmannen osapuolen käytännöt sovelluksesi käyttäjädatan osalta noudattavat Google Play ‑kehittäjien ohjelmakäytäntöjä, jotka sisältävät käyttöä ja ilmoitusvelvollisuutta koskevia vaatimuksia. Sinun on esimerkiksi varmistettava, että SDK:iden toimittajat eivät myy sovelluksesi henkilökohtaista ja arkaluontoista käyttäjädataa. Tämä vaatimus on voimassa siitä huolimatta, siirretäänkö käyttäjädataa sen jälkeen, kun se on lähetetty palvelimelle, vai upottamalla kolmannen osapuolen koodia sovellukseesi.

TIIVISTÄ KAIKKI LAAJENNA KAIKKI

 

Henkilökohtainen ja arkaluontoinen käyttäjädata

Henkilökohtaista tai arkaluontoista käyttäjädataa ovat esimerkiksi henkilökohtaiset tunnistetiedot, talous- ja maksutiedot, todennustiedot, osoitekirja, yhteystiedot, laitteen sijainti, tekstiviesteihin ja puheluihin liittyvä data, terveysdata, Health Connect ‑data, tiedot laitteen muista sovelluksista, mikrofonin ja kameran data sekä muu arkaluontoinen laite- tai käyttödata. Jos sovelluksesi käsittelee henkilökohtaista ja arkaluontoista käyttäjädataa, sinun on noudatettava seuraavia vaatimuksia:

  • Saat lukea, kerätä, käyttää ja jakaa sovelluksesta saatua henkilökohtaista ja arkaluontoista käyttäjädataa tarkoituksiin, jotka palvelevat sovelluksen ja palvelun toimintaa ja noudattavat käytäntöjä käyttäjän odottamalla tavalla.
    • Sovellusten, jotka laajentavat henkilökohtaisen ja arkaluontoisen käyttäjädatan käyttöä mainoksia varten, on noudatettava Google Playn mainoskäytäntöä.
    • Voit myös siirtää dataa, jos palveluntarjoaja edellyttää sitä tai jos se on tarpeen oikeudellisista syistä, esimerkiksi viranomaisen pyynnön tai lain noudattamiseksi tai osana yritysten yhdistämistä tai ostoa, kunhan ilmoitat tästä käyttäjille lain vaatimalla tavalla.
  • Sinun on käsiteltävä kaikkea henkilökohtaista ja arkaluontoista käyttäjädataa turvallisesti, mihin sisältyy esimerkiksi modernin salaustekniikan (kuten HTTPS:n) käyttö sen lähettämisen yhteydessä.
  • Sinun on käytettävä suoritusaikaisia lupapyyntöjä aina kun mahdollista, ennen kuin käytät dataa, jota suojaa Androidin käyttöluvat.
  • Älä myy henkilökohtaista ja arkaluontoista käyttäjädataa.
    • "Myyminen" tarkoittaa henkilökohtaisen ja arkaluontoisen käyttäjädatan vaihtoa tai siirtoa kolmannelle osapuolelle rahallista korvausta vastaan.
      • Käyttäjän tekemää henkilökohtaisen tai arkaluontoisen käyttäjädatan siirtoa (esimerkiksi kun käyttäjä käyttää sovelluksen ominaisuutta siirtääkseen tiedoston kolmannelle osapuolelle tai päättää käyttää tiettyä tarkoitusta tutkivaa sovellusta) ei katsota myynniksi.

Näkyvä ilmoitus ja suostumusvaatimus

Tilanteissa, joissa tuotteen tai ominaisuuden käyttäjä ei voi kohtuudella odottaa, että sovellus lukee, kerää, käyttää tai jakaa henkilökohtaista tai arkaluontoista käyttäjädataa (esimerkiksi, jos datan kerääminen tapahtuu taustalla, kun käyttäjä ei käytä sovellusta), sinun on noudatettava näitä vaatimuksia:

Näkyvä ilmoitus: Sovelluksessa on oltava ilmoitus datan keräämisestä, käytöstä ja jakamisesta. Sovelluksen sisäistä ilmoitusta koskevat seuraavat vaatimukset:

  • Ilmoituksen on oltava sovelluksen sisällä, ei pelkästään sovelluksen kuvauksessa tai verkkosivustolla.
  • Ilmoituksen on näyttävä sovelluksessa normaalissa käytössä eikä sen näkeminen saa edellyttää valikkoon tai asetuksiin siirtymistä.
  • Ilmoituksessa on kerrottava, mitä dataa sovellus käyttää ja kerää.
  • Ilmoituksessa on selitettävä, miten dataa käytetään ja/tai jaetaan.
  • Se ei saa olla ainoastaan tietosuojakäytännössä tai käyttöehdoissa.
  • Se ei saa olla osa toista ilmoitusta, joka ei liity henkilökohtaisen ja arkaluontoisen käyttäjädatan keräämiseen.

Suostumus ja alussa kysyttävä lupa: Heti ennen sovelluksen sisäisiä suostumuspyyntöjä ja alussa kysyttäviä lupapyyntöjä täytyy näyttää sovelluksen sisäinen ilmoitus, joka täyttää käytännön vaatimukset. Sovelluksen sisältämää suostumuspyyntöä koskevat seuraavat vaatimukset:

  • Suostumusvalintaikkuna on esitettävä selkeästi ja yksiselitteisesti.
  • Suostumuksen on vaadittava käyttäjän aktiivista toimintaa (esimerkiksi napauttamista tai valintaruudun valitsemista).
  • Ilmoituksesta pois siirtymistä (esim. sen ulkopuolella napauttamista tai paluu- tai aloitusnäyttöpainikkeen painamista) ei saa tulkita suostumukseksi.
  • Automaattisesti poistuvia tai vanhentuvia viestejä ei saa käyttää käyttäjän suostumuksen hankkimiseen.
  • Käyttäjän täytyy myöntää suostumus ennen kuin sovellus voi alkaa kerätä tai lukea henkilökohtaista tai arkaluontoista käyttäjädataa.

Sovellusten, jotka käyttävät muita oikeudellisia perusteita henkilökohtaisen ja arkaluontoisen käyttäjädatan käsittelemiseen ilman suostumusta, esimerkiksi EU:n GDPR:n määrittelemää oikeutettua etua, täytyy noudattaa kaikkia soveltuvia lakivaatimuksia ja tarjota käyttäjille soveltuvat ilmoitukset. Näihin kuuluvat myös tämän käytännön vaatimat sovelluksen sisäiset ilmoitukset.

Jotta käytäntövaatimukset täyttyisivät, suosittelemme tarvittaessa soveltamaan seuraavaa näkyvän ilmoituksen esimerkkimuotoilua:

  • "[Tämä sovellus] kerää/siirtää/synkronoi/tallentaa [datatyyppi], jotta  ["ominaisuus"] toimisi [minkälaisessa tilanteessa]."
  • Esimerkki: "Fitness Funds kerää sijaintidataa, jotta liikuntaseuranta toimisi myös sovelluksen ollessa suljettuna tai poissa käytöstä, ja dataa käytetään myös mainosten tukemiseen." 
  • Esimerkki: "Call Buddy kerää puhelulokidataa luku- ja kirjoitustapahtumista, jotta yhteystietojen järjestäminen toimisi myös, kun sovellus ei ole käytössä."

Jos sovellus sisältää kolmannen osapuolen koodia (esimerkiksi SDK:n) joka on suunniteltu oletuksena keräämään henkilökohtaista ja arkaluontoista käyttäjädataa, sinun on lähetettävä kahden viikon kuluessa Google Playn pyynnöstä (tai pyynnössä mainitun ajanjakson kuluessa) riittävät todisteet siitä, että sovellus täyttää tämän käytännön näkyvää ilmoitusta ja suostumusta koskevat vaatimukset. Tähän kuuluvat myös tiedot datan lukemisesta, keräämisestä, käytöstä tai jakamisesta kolmannen osapuolen koodin kautta.

Esimerkkejä tavallisista rikkomuksista
  • Sovellus kerää laitteen sijaintitietoja, mutta siinä ei ole näkyvää ilmoitusta, jossa kerrotaan, mikä ominaisuus käyttää kyseistä dataa, tai ilmoitetaan taustakäytöstä.
  • Sovellus on pyytänyt pääsyä dataan ennen alussa näkyvää ilmoitusta, jossa kerrotaan, mihin dataa käytetään.
  • Sovellus pääsee käyttäjän asennettujen sovellusten inventaarioon, muttei käsittele tätä dataa henkilökohtaisena tai arkaluontoisena datana yllä mainittujen tietosuojaa, datan käsittelyä ja näkyvää ilmoitusta ja suostumuspyyntöä koskevien vaatimusten mukaisesti.
  • Sovellus pääsee käyttäjän puhelinluettelon tai osoitekirjan dataan, muttei käsittele sitä henkilökohtaisena tai arkaluontoisena datana yllä mainittujen tietosuojaa, datan käsittelyä ja näkyvää ilmoitusta ja suostumuspyyntöä koskevien vaatimusten mukaisesti.
  • Sovellus tallentaa käyttäjän näytön toimintaa eikä käsittele tätä dataa henkilökohtaisena tai arkaluontoisena ja tämän käytännön alaisena datana.
  • Sovellus kerää laitteen sijaintidataa, muttei kerro kattavasti sen käytöstä eikä pyydä käyttäjän suostumusta yllä mainittujen vaatimusten mukaisesti.
  • Sovellus käyttää taustalla rajoitettuja lupia esimerkiksi seurantaa, tutkimusta tai markkinointia varten eikä kerro niiden käytöstä kattavasti tai hanki käyttäjän suostumusta yllä mainittujen vaatimusten mukaisesti. 
  • Sovelluksessa on SDK, joka kerää henkilökohtaista ja arkaluontoista käyttäjädataa eikä kohtele dataa tämän käyttäjädatakäytännön eikä lukemista, käsittelyä (mukaan lukien myyntikielto) ja näkyvää ilmoitusta ja suostumusta koskevien vaatimusten mukaisesti.

Tästä artikkelista löydät lisätietoa näkyvää ilmoitusta ja suostumusta koskevasta vaatimuksesta.

Henkilökohtaiseen ja arkaluontoiseen dataan pääsyä koskevia rajoituksia

Yllä mainittujen vaatimusten lisäksi alla olevassa taulukossa on kuvattu toimintokohtaiset vaatimukset.

Toiminto  Vaatimus
Sovellus käsittelee talous- tai maksutietoja tai virallisia henkilötunnuksia Sovellus ei saa koskaan paljastaa henkilökohtaista ja arkaluontoista käyttäjädataa, joka liittyy talous- tai maksutapahtumiin tai virallisiin henkilötunnuksiin.
Sovellus käsittelee yksityisiä osoitekirjan tietoja tai yhteystietoja Emme salli ihmisten yksityisten yhteystietojen julkaisemista tai paljastamista ilman lupaa.
Sovellus sisältää virustorjunta- tai tietoturvaominaisuuksia, kuten virustorjunta-, haittaohjelmatorjunta- tai tietoturvatoimintoja Sovelluksessa täytyy julkaista tietosuojakäytäntö sekä mahdollisesti sovelluksen sisäisiä ilmoituksia, joissa kerrotaan, mitä käyttäjädataa sovellus kerää ja lähettää, miten dataa käytetään ja minkätyyppisille osapuolille sitä jaetaan.
Sovellus on kohdistettu lapsille Sovellus ei saa sisältää SDK:ta, jota ei ole hyväksytty käytettäväksi lapsille suunnatuissa palveluissa. Koko käytäntö ja vaatimukset löytyvät Sovellusten suunnittelu lapsille ja perheille ‑artikkelista. 
Sovellus kerää kiinteitä laitetunnuksia tai linkittää niihin (esim. IMEI- tai IMSI-koodi tai SIM-kortin sarjanumero)

Kiinteitä laitetunnuksia ei voi linkittää muuhun henkilökohtaiseen ja arkaluontoiseen käyttäjädataan tai nollattavissa oleviin laitetunnuksiin, paitsi seuraavissa tapauksissa: 

  • SIM-kortin identiteettiin liittyvät puhelutoiminnot (esim. Wi-Fi-puhelut, jotka on linkitetty operaattorin tiliin)
  • Laitteen omistajatilaa käyttävät yritysten laitehallintasovellukset

Näistä käyttötarkoituksista on ilmoitettava käyttäjille näkyvästi käyttäjädatakäytännön mukaisesti.

Tästä materiaalista saat lisätietoja vaihtoehtoisista yksilöllisistä tunnisteista.

Jos haluat Android-mainostunnuksia koskevia lisäohjeita, tutustu mainoskäytäntöön.

 

Dataturvallisuus-sivu

Kaikkien kehittäjien on luotava jokaiselle sovellukselle selkeä ja tarkka Dataturvallisuus-sivu, jossa kerrotaan käyttäjädatan keräämisestä, käytöstä ja jakamisesta. Kehittäjä on vastuussa osuuden oikeellisuudesta ja tietojen päivittämisestä. Soveltuvissa tapauksissa sivun on oltava johdonmukainen sovelluksen tietosuojakäytännön tietojen kanssa. 

Tästä artikkelista saat lisätietoa Dataturvallisuus-sivun täyttämisestä.

Tietosuojakäytäntö

Kaikille sovelluksille on julkaistava linkki tietosuojakäytäntöön sekä sille varatussa Play Consolen kentässä että sovelluksen sisällä. Tietosuojakäytännön ja mahdollisten sovelluksen sisäisten ilmoitusten on yhdessä kerrottava perinpohjaisesti, miten sovellus lukee, kerää, käyttää ja jakaa käyttäjädataa, muutoinkin kuin Dataturvallisuus-sivulla ilmoitetun datan osalta. Tähän täytyy sisältyä seuraavat: 

  • Kehittäjän tiedot ja yhteystiedot tietosuoja-asioissa tai menettely, jolla voi lähettää kyselyitä
  • Maininta siitä, minkätyyppistä henkilökohtaista tai arkaluontoista käyttäjädataa sovellus lukee, kerää, käyttää ja jakaa, ja mille osapuolille henkilökohtaista tai arkaluontoista käyttäjädataa jaetaan
  • Turvalliset henkilökohtaisen ja arkaluontoisen käyttäjädatan käsittelykäytännöt
  • Kehittäjän soveltama datan säilytys- ja poistokäytäntö
  • Selkeä tietosuojakäytäntömerkintä (esim. otsikossa lukee "tietosuojakäytäntö")

Google Playssa sovelluksen tietosivulla ilmoitetun yhteisön (esim. kehittäjän tai yrityksen) täytyy näkyä tietosuojakäytännössä, tai sovellus on mainittava tietosuojakäytännössä. Myös sovelluksista, jotka eivät käytä henkilökohtaista ja arkaluontoista käyttäjädataa, täytyy lähettää tietosuojakäytäntö. 

Varmista, että tietosuojakäytäntö on saatavilla aktiivisessa, julkisessa ja aluerajaamattomassa URL-osoitteessa (ei PDF-muodossa) ja että se ei ole muokattavissa.

Tilien poistamista koskevat vaatimukset

Jos sovellus antaa käyttäjien luoda tilin sovelluksesta käsin, sen täytyy myös antaa käyttäjien pyytää tilin poistamista. Käyttäjillä on oltava helposti löydettävä tapa aloittaa sovellustilin poistaminen sovelluksesta käsin ja sen ulkopuolelta (esimerkiksi käymällä sivustollasi). Linkki kyseiseen verkkoresurssiin on lisättävä sille varattuun URL-kenttään Play Consolessa.

Kun poistat sovellustilin käyttäjän pyynnöstä, sinun on poistettava myös sovellustiliin liittyvä käyttäjädata. Sovellustilin tilapäistä käytöstä poistamista, estämistä tai jäädyttämistä ei lasketa tilin poistamiseksi. Jos sinun on säilytettävä tiettyä dataa perustelluista syistä, esim. tietoturvan vuoksi, petosten estämiseksi tai säädösten noudattamiseksi, sinun on kerrottava käyttäjille selkeästi datansäilytyskäytännöstäsi (esim. tietosuojakäytännössä).

Tästä ohjekeskuksen artikkelista voit lukea lisää tilien poistamista koskevista vaatimuksista. Tästä artikkelista saat lisätietoa Dataturvallisuus-lomakkeen päivittämisestä.

 

Sovellustunnuksen käyttö

Android ottaa käyttöön uuden tunnuksen, jonka avulla voidaan tukea tärkeitä käyttötapauksia, esim. analytiikkaa ja petosten ehkäisyä. Kyseisen tunnuksen käyttöehdot ovat alla.

  • Käyttö: Sovellustunnusta ei saa käyttää mainosten personointiin tai mittaukseen. 
  • Yhdistäminen henkilökohtaisiin tai muihin tunnistetietoihin: Sovellustunnusta ei saa yhdistää Android-tunnisteisiin (esim. AAID) eikä henkilökohtaiseen tai arkaluontoiseen dataan mainostamista varten.
  • Avoimuus ja suostumus: Sovellustunnuksen käytöstä ja keräämisestä sekä näiden ehtojen noudattamisesta täytyy ilmoittaa käyttäjille lain vaatimukset täyttävässä tietosuojailmoituksessa (esim. tietosuojakäytännössäsi). Sinun on saatava käyttäjältä juridisesti pätevä suostumus, jos sellaista edellytetään. Lue lisää tietosuojanormeistamme käyttäjädatakäytännöstä.

 

EU-U.S. Privacy Shield (EU:n ja Yhdysvaltojen Privacy Shield ‑järjestely) sekä Swiss-U.S. Privacy Shield (Sveitsin ja Yhdysvaltojen Privacy Shield ‑järjestely)

Jos käytät tai käsittelet Googlen julkaisemia henkilötietoja, joista voi suoraan tai epäsuorasti tunnistaa henkilön ja jotka ovat peräisin Euroopan unionista tai Sveitsistä ("EU-henkilötiedot"), sinun täytyy

  • noudattaa kaikkia sovellettavia yksityisyyttä, tietoturvaa ja tietosuojaa koskevia lakeja, direktiivejä, asetuksia ja sääntöjä
  • käyttää tai käsitellä EU-henkilötietoja vain tarkoituksiin, jotka vastaavat tietojen kohteen antamaa suostumusta;
  • varmistettava tarvittavilla organisaation toimintaa koskevilla ja teknisillä keinoilla, että EU-henkilötiedot voidaan suojata katoamiselta, väärinkäytöltä ja luvattomalta tai laittomalta käsittelyltä, luovuttamiselta, muuttamiselta ja tuhoamiselta
  • tarjota Privacy Shieldin periaatteissa vaadittu suojaustaso.

Sinun on valvottava näiden ehtojen noudattamista säännöllisesti. Jos et voi täyttää näitä ehtoja tai niiden täyttäminen vaarantuu merkittävästi, sinun on ilmoitettava meille asiasta välittömästi lähettämällä sähköpostia osoitteeseen data-protection-office@google.com ja joko lopetettava heti EU-henkilötietojen käsittely tai tehtävä kohtuullisia ja aiheellisia toimenpiteitä riittävän suojaustason palauttamiseksi.

16.7.2020 lähtien Google ei ole enää noudattanut EU-U.S. Privacy Shieldiä (EU:n ja Yhdysvaltojen Privacy Shield ‑järjestely) Euroopan talousalueelta tai Yhdistyneestä kuningaskunnasta peräisin olevien henkilötietojen siirrossa Yhdysvaltoihin. (Lue lisää.)Lisätietoja löytyy Kehittäjien jakelusopimuksen kohdasta 9.

Oliko tästä apua?
Miten sivua voisi parantaa?

Tarvitsetko lisäapua?

Kirjaudu sisään nähdäksesi lisää tukivaihtoehtoja ongelman nopeaan ratkaisuun

Haku
Tyhjennä haku
Sulje haku
Google-sovellukset
Päävalikko
true
Ohjekeskushaku
true
true
true
true
true
92637