Co musí aplikace splňovat z právního hlediska?

Když se člověk konečně odhodlá k vývoji vysněné aplikace, je přirozené, že veškerou energii věnuje kreativnímu zpracování, uživatelské přívětivosti, technické funkčnosti a efektivnímu marketingu. Seznamy úkolů, akční položky, schůzky s vývojáři a tvorba marketingových kampaní neberou konce. Vývoj aplikace sice vyžaduje plné nasazení po dobu několika týdnů, leckdy i měsíců, ale zato účastníky nabíjí nadšením z práce na něčem smysluplném a originálním. Není proto divu, že se v atmosféře tvořivosti a neotřelých nápadů snadno zapomene na nudnější aspekty vývoje a uvedení aplikace na trh, jako jsou legislativní požadavky.

Asi každého baví hrát si s návrhem uživatelského prostředí, designem jednotlivých obrazovek nebo důmyslnými funkcemi, které aplikaci odliší od konkurence a pomohou jí získat si trvalou přízeň uživatelů. Pravdou ovšem zůstává, že cesta k úspěchu vede kromě skvělých nápadů a bezvadné technické funkčnosti také přes splnění všech právních a zákonných norem, nařízení, předpisů a požadavků. V dnešním článku se proto zaměříme právě na tuto oblast a poradíme vám, jak si poradit s GDPR, autorským zákonem, licencí EULA, přístupností nebo obchodními podmínkami.

GDPR

Tématem číslo jedna v oblasti právních požadavků na aplikace zpracovávající jakékoli osobní údaje je od května 2018 Obecné nařízení o ochraně osobních údajů, známější pod anglickou zkratkou GDPR.

Podle článku 6 této normy musí mít aplikace pro zpracování jakýchkoli osobních či kontaktních údajů (jméno, e-mail, telefonní číslo, IP adresa, …) takzvaný právní základ. Právním základem může být souhlas uživatele (např. zaškrtnutí políčka pro udělení souhlasu), smlouva, zákonná povinnost (některé údaje může být nutné uchovávat po určitou dobu pro příslušné úřady) nebo oprávněný zájem (např. esenciální cookies kvůli technické funkčnosti).V praxi to znamená, že jakožto vlastník aplikace musíte tento právní základ svým uživatelům oznámit spolu s účelem a způsobem zpracování údajů.

Pokud tedy chcete v aplikaci používat analytiku, push notifikace nebo reklamy, budete potřebovat výslovný souhlas uživatelů se zpracováním. Tento souhlas musí být navíc možné kdykoli odebrat. V zásadách ochrany osobních údajů musíte poskytnout informace o tom, jaká data a proč shromažďujete, s kým je sdílíte, jak dlouho je ukládáte a jaká práva mají uživatelé ve vztahu ke svým údajům (oprava, doplnění, vymazání, přenos, …).

Ruku v ruce s transparentností jde také otázka zabezpečení. Té se věnuje článek 32, který hovoří o implementaci „adekvátních technických a organizačních opatření“. Ačkoli nepředepisuje konkrétní mechanismy ani metodologii, uvádí pár příkladů, jak lze tohoto cíle dosáhnout: například pseudonymizací a šifrováním dat, zajištěním důvěrnosti a integrity, obnovením přístupu k datům v případě incidentů a pravidelným testováním a vyhodnocováním bezpečnostních opatření. Vaše aplikace musí v každém případě používat protokol HTTPS pro šifrování veškerého datového provozu mezi aplikací a serverem, bezpečná úložiště chráněná hesly a šifrováním, řízení přístupu k datům, vícefázové ověřování a zálohy.

Pokud při zpracování dat využíváte služeb třetích stran (v řeči GDPR jsou to „zpracovatelé údajů“, zatímco vy jste „správci údajů“), musíte s nimi mít podle článku 28 uzavřené příslušné smlouvy o zpracování údajů. Opět je v nich potřeba uvést rozsah, účel a dobu trvání zpracování, bezpečnostní opatření a pravidla pro dílčí dodavatele. Vaší povinností je ujistit se, že zpracovatel skutečně je schopen data ochránit a že sám dodržuje požadavky GDPR. V případě jakéhokoli problému ponesete odpovědnost vy. Situace je ještě komplikovanější, jestliže data přenášíte mimo EU, například do USA – takový přenos se řídí Standardními smluvními doložkami (SCC), které specifikují další požadavky a podmínky.

Soulad s požadavky GDPR je nezbytnou podmínkou pro zveřejnění vaší aplikace na platformách Google Play a Apple App Store. Vyplatí se proto věnovat této oblasti náležitou pozornost a důkladně implementovat všechny body tak, aby aplikace prošla přísným procesem kontroly.

Autorský zákon

Dalším významným zdrojem legislativních požadavků na aplikace v České republice je zákon č. 121/2000 Sb. (autorský zákon). Ten zakazuje použití jakéhokoli nelegálně získaného softwaru (včetně částí zdrojového kódu) či jiného obsahu (obrázků, hudby, videí, animací, …) chráněného autorskými právy. To znamená, že pokud chcete do své apky zahrnout například fonty, zvukové efekty nebo knihovny (frameworky, pluginy) třetích stran, musíte mít právo na jejich použití a distribuci. Z tohoto důvodu používáme u nás v Think Easy nejčastěji open source knihovny, které jsou vhodné pro komerční vývoj. 

Je důležité si uvědomit, že odpovědnost za získání všech potřebných zákonných oprávnění pro použití jakéhokoli jiného než vlastního softwaru či obsahu je výhradně vaše – a to i v případě, že vám aplikaci schválí Google či Apple a zveřejní ji ve svém obchodě. Podmínky těchto společností nejsou nadřazeny zákonům a nechrání vás proti případným právním důsledkům!

Porušením autorských práv, byť neúmyslným, si můžete zadělat na zbytečné problémy a zmařit tak týdny či měsíce intenzivní práce. Vlastník neoprávněně použitého obsahu vás může žalovat a vymáhat náhradu škody nebo požadovat stažení aplikace. V případě závažného zásahu do něčích autorských práv se vystavujete riziku pokuty nebo dokonce trestního stíhání.

Dalším často opomíjeným aspektem je náležité ošetření převodu majetkových práv ze zaměstnanců podílejících se na vývoji aplikace na zaměstnavatele (vlastníka aplikace). Podle českého autorského zákona není možné se vzdát osobnostních práv na autorství díla ani je na nikoho převést. Lze ovšem převést práva na užívání daného díla, což zahrnuje jeho další zpeněžení, distribuci, úpravy a různé způsoby nakládání s dílem.

Obchodní podmínky a EULA

Pokud vyvíjíte komerční aplikaci, nezapomeňte na obchodní podmínky a licenci EULA (End User License Agreement). Obchodní podmínky jsou nepřímou formou smluvních ujednání, která upravují vzájemná práva a povinnosti smluvních stran. Měly by obsahovat informace o způsobu stanovení ceny, platební podmínky, rozsah poskytovaných služeb atd. EULA je licence pro koncového uživatele, která určuje, jakým způsobem je nebo není možné software používat. Obsahuje pravidla, jimiž se musí koncový uživatel řídit, a také pokyny ohledně omezení šíření, kopírování a distribuce softwaru. EULA je však důležitá i pro vás jakožto vlastníka aplikace, protože omezuje vaši odpovědnost (v případě pádů, technických chyb, ztráty dat apod.), chrání vaši IP před zneužitím či reverse engineeringem a poskytuje vám právní základ pro odepření přístupu uživatelům porušujícím podmínky použití.

Až tedy budete sestavovat text licenčního ujednání EULA, nezapomeňte výslovně uvést, že například uživateli udělujete nevýhradní, nepřevoditelnou licenci na používání aplikace pro osobní, nekomerční účely. Jednoznačně specifikujte, že vlastníkem aplikace jste vy a že veškerá vlastnická práva a nároky související s aplikací zůstávají vaše a nepřecházejí na uživatele. Dále můžete uživateli zakázat přeprodej aplikace, poskytování dílčích licencí, kopírování, používání k nelegálním účelům nebo reverse engineering

Směrnice ePrivacy

Směrnice o soukromí a elektronických komunikacích (2002/58/ES, známá též jako směrnice ePrivacy) upravuje pravidla ochrany soukromí a důvěrnosti a používání cookies. Pokud vaše aplikace ukládá do koncového zařízení cookies, SDK (software development kits), zobrazuje reklamy nebo používá analytiku, znamená to, že se na vás požadavky této směrnice vztahují a musíte před provedením těchto akcí získat od uživatele souhlas.

Směrnice ePrivacy a GDPR se částečně překrývají, ale nejsou úplně stejné. Zatímco GDPR se zaměřuje primárně na osobní údaje, které mohou sloužit k identifikaci konkrétních uživatelů, ePrivacy platí pro všechny uživatele (včetně anonymních) a týká se přístupu k zařízení jako takovému. Rozdíl je také v tom, že GDPR jakožto nařízení je závazné přímo, zatímco ePrivacy je směrnice implementovaná místními zákony (v ČR je to zákon č. 127/2005 Sb. o elektronických komunikacích).

Co pro vás tato právní norma znamená v praxi? Používá-li vaše aplikace analytické nástroje jako Google Analytics, Facebook SDK nebo Firebase, musíte napřed získat od uživatele souhlas. Totéž platí i tehdy, pokud má vaše aplikace přístup k místnímu úložišti nebo ukládá identifikátory koncového zařízení. Souhlas uživatele vyžaduje i zobrazování cílené reklamy. Povinnost získat souhlas se však nevztahuje na akce, které jsou nezbytné pro samotné fungování aplikace, jako je přihlašování.

Přístupnost

Jestliže vyvíjíte aplikaci pro veřejný sektor, musíte kromě všech výše uvedených bodů pamatovat také na přístupnost pro osoby se zdravotním hendikepem (poruchy zraku, sluchu, …). Pravidla pro tuto oblast upravuje směrnice EU 2016/2102 o přístupnosti webových stránek a mobilních aplikací subjektů veřejného sektoru a český zákon č. 99/2019 Sb. o přístupnosti internetových stránek a mobilních aplikací.

Od června 2025 se navíc zásadně mění pravidla i pro aplikace v soukromém sektoru. Dne 28. 6. 2025 vstoupí v platnost Evropský zákon o přístupnosti (EAA) stanovující kategorie webů a mobilních aplikací, které budou muset být přístupné uživatelům se zrakovým, sluchovým či kognitivním hendikepem. Mezi klíčové oblasti patří:

• Bankovní služby: přístup k internetovému bankovnictví, provádění finančních transakcí, …
• eCommerce: veškeré weby a mobilní aplikace pro nákup zboží nebo služeb (e-shopy, online tržiště, aplikace pro doručování potravin, sdílené jízdy, ubytovací platformy, …)
• Elektronické knihy a čtečky: veškerý obsah tohoto typu musí umožňovat předčítání textu
• Audiovizuální média: televizní služby, streamovací platformy atd. musí poskytovat titulky nebo popisy zvuku
• Telekomunikační služby: mobilní a internetové služby jako odesílání zpráv, hovory, videohovory
• Dopravní služby: prodej jízdenek, jízdní řády, informační systémy, …

A co pro vás požadavky na přístupnost znamenají v praxi? V zásadě jde o to, aby čtečky obrazovek byly schopné hlasově (předčítáním) reprodukovat veškerý vizuální obsah jednotlivých obrazovek uživatelům se zrakovým postižením. To znamená, že k obrázkům a jiným vizuálním prvkům (tlačítka, ikony, přepínací tlačítka, rozbalovací seznamy, …) je potřeba vytvořit alternativní texty. Při návrhu UI je potřeba dbát na jasnou a logickou strukturu, protože čtečky obrazovek se řídí právě hierarchií UI a předčítají obsah v určitém pořadí. Alternativní texty by dále měly být co nejpopisnější a měly by maximálně usnadňovat orientaci v kontextu obrazovky. Nezapomeňte ani na možnost dynamického přizpůsobení velikosti fontů a na vysoký kontrast. Jednotlivé obrazovky by rovněž měly umožňovat navigaci pomocí klávesnice (pro weby a webové aplikace), případně hlasovým ovládáním (na mobilních zařízeních). 

Ztrácíte se v legislativních požadavcích na vaši aplikaci? Využijte pomoci profesionálů!

Máte po přečtení našeho článku pocit, že se v množství legislativních požadavků, norem, předpisů a směrnic nedá vyznat? Nevíte, jak správně sepsat text licenčního ujednání EULA nebo obchodních podmínek? Vyvíjíte aplikaci pro veřejný sektor nebo se na vás od letošního roku vztahují zpřísněné požadavky zákona EAA a vy potřebujete svou aplikaci optimalizovat pro čtečky obrazovek?

Zorientovat se v záplavě informací a zákonných požadavků na aplikace může být opravdovou výzvou (leckdy značně stresující). Opomenutí některého z klíčových bodů totiž může mít dalekosáhlé následky. Pokud si tedy nejste jistí, využijte zkušeností našeho týmu profesionálů! S webovými i mobilními aplikacemi všeho druhu pracujeme každý den, a kromě samotného vývoje běžně klientům pomáháme i se zveřejněním aplikací v obchodech Google Play a Apple App Store, včetně zajištění souladu s veškerými právními požadavky a případného přizpůsobení pro čtečky obrazovek a dalších prvků přístupnosti. Domluvte si s námi nezávaznou schůzku a řekněte nám, jak můžeme vaši aplikaci dostat mezi uživatele při dodržení všech zákonných požadavků!