Soukromí a oprávnění v úvěrových aplikacích

Jana Farkašová

Proč řešit soukromí a oprávnění v úvěrových aplikacích

Úvěrové aplikace zpracovávají citlivé údaje: identitu, příjmy, biometrická data, geolokaci, informace o zařízení i chování uživatele. Z právního hlediska se často jedná o zvláštní kategorie osobních údajů a profilování s právními účinky (posouzení úvěruschopnosti). Z pohledu kybernetické bezpečnosti jde o velmi atraktivní cíl pro útočníky. Správné nastavení oprávnění, minimalizace dat a transparentnost jsou proto klíčem k důvěře i souladu s regulací.

Jaké typy dat úvěrové aplikace obvykle shromažďují

  • Identifikační a kontaktní údaje – jméno, adresa, e-mail, telefon, selfie/biometrie pro KYC.
  • Finanční údaje – bankovní výpisy (pokud je propojení), údaje o příjmech/výdajích, dluzích, transakcích.
  • Technické a diagnostické údaje – model zařízení, OS, ID instalace, logy pádů, IP adresa, jazyk/časové pásmo.
  • Behaviorální data – způsob vyplňování formulářů, rychlost psaní, interakce (anti-fraud, scoring).
  • Geolokace a síťové informace – GPS/Cell/Wi-Fi polohy, k detekci podvodů nebo pro lokální pravidla.
  • Metadata dokumentů – EXIF z fotografií dokladů, parametry kamery, čas vytvoření.

Běžná oprávnění v iOS/Android a rizika jejich zneužití

Oprávnění Odůvodněný účel Riziko při nadměrném sběru
Kamera / Fotky Sken dokladů, selfie pro KYC Neoprávněné skenování, biometrická rizika, únik citlivých obrázků
Poloha Ověření jurisdikce, antifraud Profilování pohybu, sledování bez potřeby
Kontakty / Historie hovorů (Android) Obvykle neopodstatněné Invazivní scoring, sociální těžba, reputační riziko
Mikrofon Živá podpora, ověření identity (zřídka) Potenciální odposlech, regulace biometrie
Úložiště / Soubory Nahrávání příloh (výplatní páska, faktura) Přístup k nesouvisejícím souborům, úniky
Reklamní / Tracking ID Měření kampaní Cross-app tracking, nepřiměřené profilování
Push notifikace Stavy žádostí, splátky Citlivý obsah na uzamčené obrazovce, phishing

Principy „privacy by design“ pro úvěrové aplikace

  • Minimalizace dat – sbírat pouze to, co je nezbytné pro konkrétní účel (KYC, AML, scoring, servis).
  • Účelové vázání – data pro KYC nesmí být použita pro marketing bez samostatného souhlasu.
  • Transparentnost – vrstvená pravidla zpracování, jasná vysvětlení scoringových modelů srozumitelnou formou.
  • Bezpečnost automaticky – šifrování v klidu i při přenosu, bezpečná správa klíčů, princip nejnižších práv.
  • Omezená retence – definované lhůty v souladu s právními povinnostmi a auditem.
  • Testování a audit – penetrační testy, bezpečnostní hodnocení SDK, DPIA (posouzení vlivu na ochranu údajů).

GDPR a další regulace: co musí mít produktový manažer „v malíčku“

  • Právní základy – plnění smlouvy (posouzení žádosti), právní povinnost (AML), oprávněný zájem (fraud), souhlas (marketing, určité typy trackingu).
  • Práva subjektu údajů – přístup, oprava, vymazání, omezení, námitka, přenositelnost; zvlášť důležité u profilování pro kreditní rozhodnutí.
  • Automatizované rozhodování – povinnost poskytnout smysluplné informace o logice rozhodování a právo žádat zásah člověka.
  • Mezinárodní přenosy – smluvní doložky a hodnocení přijímající země.
  • PSD2/otevřené bankovnictví – pokud je využit přístup k účtům, vyžaduje explicitní oprávnění a bezpečné toky AISP/TISP.

Alternativní data a etický scoring

Mnoho fintechů využívá alternativní data (telemetrie zařízení, vzorce chování, údaje z prohlížeče). To přináší:

  • Výhody – rychlá rozhodnutí, lepší detekce podvodů, financování klientů bez tradiční historie.
  • Rizika – skryté zaujetí modelů, diskriminace, netransparentnost, nadměrná intruze do soukromí.

Doporučení: používat model governance (monitoring biasu, vysvětlitelnost, lidský dozor) a zdroje dat jasně komunikovat v zásadách ochrany osobních údajů.

SDK třetích stran a „shadow“ sběry dat

Reklamní, analytické a crash-reporting knihovny mohou exfiltrovat data mimo vaši kontrolu. Zaveďte:

  • Inventář SDK – seznam knihoven, jejich oprávnění, verzí a toků dat.
  • Consent gating – aktivace některých SDK až po souhlasu (granulární kategorie).
  • Network sandboxing – povolené domény, TLS pinning, detekce anomálií.
  • Privacy testy – měření datových přenosů na reálných zařízeních (MITM s vlastním CA v testovacích laboratořích).

Bezpečnostní architektura mobilní úvěrové aplikace

  • Šifrování – TLS 1.2+ při přenosu, AES-256 v klidu; citlivá data v Keychain/Keystore (NIKOLIV v plain storage).
  • Ochrana session – krátká životnost tokenů, ROT (refresh), detekce krádeže tokenu, Device Binding.
  • Integrita zařízení – Play Integrity/SafetyNet, iOS DeviceCheck, detekce jailbreak/root s telemetrií rizika.
  • Certifikát pinning – snížení rizika MITM; rotace klíčů bez výpadku.
  • Logování – bez PII v klientských logech; centralizované SIEM s alerty.
  • Offline politika – pokud není nutné, neuchovávat citlivá data offline; pokud ano, tak s lokálním šifrováním a auto-wipe.

Dark patterns vs. „fair design“ při souhlasu

  • Žádné „take it or leave it“ pro volitelná oprávnění – musí existovat méně invazivní cesta (např. upload dokumentu místo kamery).
  • Granularita – samostatný souhlas pro marketing, analytiku i personalizaci.
  • Průběžná revokace – jednoduché vypnutí trackingových kategorií a obnovení výchozích nastavení.
  • Jasné texty – srozumitelné, bez právnického žargonu; vysvětlit proč daná data potřebujeme.

Checklist pro uživatele: bezpečné nastavení aplikace

  1. V systému zkontrolujte oprávnění (iOS: Nastavení → Soukromí; Android: Nastavení → Aplikace → Oprávnění).
  2. Zakážte přístup k poloze, mikrofonu a kontaktům, pokud aplikace bez nich funguje.
  3. Povolte notifikace bez citlivého náhledu (skryté detaily na uzamčené obrazovce).
  4. Aktualizujte aplikaci a OS; staré verze obsahují známé zranitelnosti.
  5. Verifikujte doménu a e-maily podpory; pozor na phishing přes push a SMS.
  6. Zapněte biometrii/PIN v aplikaci, pokud je k dispozici, a nepovolujte screenshoty u citlivých obrazovek (pokud to aplikace umožňuje).

Checklist pro banku/fintech: produktová a technická praxe

  1. Definujte matici oprávnění vs. účely a interní schvalování jakéhokoli nového sběru dat.
  2. Proveďte DPIA při automatizovaném rozhodování a použití alternativních dat.
  3. Zaveďte privacy gateway – povolování SDK až po souhlasu, oddělení analytiky od diagnostiky.
  4. Implementujte práva subjektů údajů přímo v aplikaci (stažení, výmaz, námitka).
  5. Vypracujte incident response (playbooky, notifikace, cvičení) a udržujte SBOM mobilní aplikace.
  6. Průběžně testujte re-identifikaci (k-anonymitu, l-diverzitu) u agregovaných reportů.

Notifikace, obsah zpráv a riziko úniku

Push/SMS by neměly obsahovat plná jména, částky ani citlivé detaily. Používejte neutrální text a odkazujte na bezpečné otevření aplikace. Aktivujte „silent push“ pro technické události (bez obsahu na obrazovce) a umožněte uživatelům granularitu odběrů.

Ukládání dokumentů a fotografií dokladů

  • Na mobilu ukládat pouze do sandboxu aplikace; při přenosu používat end-to-end šifrování a serverové omezení retence.
  • Odstraňovat EXIF a další metadata, která nejsou nezbytná.
  • V backendu používat tokenizaci a pseudonymizaci při zpracování v neprodukčních prostředích.

Podvody vs. soukromí: nalezení rovnováhy

Antifraudační mechanismy (device fingerprinting, geolokace, anomálie chování) jsou legitimní při oprávněném zájmu, avšak vyžadují test proporcionality a možnost námitky. Minimalizujte přesnost polohy (např. „úroveň města“), agregujte a hashujte identifikátory, zavádějte oddělení účelů (antifraud ≠ marketing).

Vysvětlitelnost rozhodnutí o úvěru

Aplikace by měla poskytnout uživateli srozumitelné důvody zamítnutí nebo limitů (kategorie faktorů, nikoliv detail algoritmu) a nabídnout kanál na revizi člověkem. To snižuje pocit netransparentnosti a riziko stížností či regulačních zásahů.

Měření a metriky privacy programu

  • Míra incidentů v oblasti soukromí – počet a závažnost událostí na 10 tisíc uživatelů.
  • Pokrytí toků dat SDK – procento SDK s mapou toků a oprávnění.
  • Shoda se souhlasy – shoda mezi souhlasem a aktivními službami.
  • DSAR SLA – průměrný čas vyřízení žádostí subjektů údajů.
  • Minimalizace telemetrie – redukce citlivých polí v logech.

Praktický vzor textu při žádosti o oprávnění

„Potřebujeme přístup ke kameře výhradně k pořízení fotografií dokladů totožnosti a selfie pro ověření. Fotografie se šifrují a po dokončení ověření je uchováváme maximálně 24 hodin pro účely auditu. Oprávnění můžete kdykoli odvolat v Nastavení → Soukromí.“

Čemu se vyhnout: červené vlajky

  • Požadavek na kontakty, SMS nebo historii hovorů bez přesvědčivého důvodu.
  • Aktivace reklamních identifikátorů před získáním souhlasu.
  • Ukládání citlivých údajů v prostém textu nebo v screenshotů obrazovky.
  • „Vynucování“ polohy pro funkce, které ji nepotřebují.
  • Neumožnění odmítnout marketingový souhlas bez ztráty přístupu k základním funkcím.

Závěr

Soukromí a oprávnění v úvěrových aplikacích nejsou pouze právní povinností. Správné nastavení je konkurenční výhodou: snižuje provozní a reputační rizika, zlepšuje konverzi a posiluje důvěru zákazníků. Klíčem je minimalizace sběru, transparentní

Súvisiace články

Intervence na devizovém trhu

Intervence centrálních bank na devizovém trhu slouží k ovlivnění směnného kurzu, stabilizaci inflace, kurzové a finanční stability prostřednictvím různých nástrojů a režimů, přičemž jejich účinnost závisí na makroekonomickém kontextu a důvě