Sender du data til usikre tredjelande?
For virksomheder var det en mundfuld at blive GDPR klar til den 25. maj 2018. For mange har det været en stor opgave at få overblik over og styr på håndteringen af personoplysninger i egne databaser og forretningsgange. Derfor er der en risiko for, at du i farten har overset at vurdere, om din virksomheds mobile apps lovligt behandler personoplysninger.
Datalæk fra mobile apps
Når en bruger downloader din virksomheds app til sin telefon, begynder appen automatisk at indsamle personlige oplysninger om brugeren. Disse data deles med din virksomhed. Imidlertid er der også en risiko for at app’en deler data med tredjepartsudbydere.
Oplysninger om brugen af appen kan også indsamles gennem software, der er bygget ind i app’en under udvikling eller gennem cookies eller andre trackers fra annoncenetværk. Desuden kan brugernes personlige data også deles med tredjeparter uden for EU/EØS og muligvis med et usikkert tredjeland. Dette er ikke tilladt uden gyldigt samtykke. Hvis du deler brugerenes personlige data med tredjeparter gennem din app, er du forpligtet til at udarbejde en databehandleraftale med de relevante tredjeparter.
Datatilsyn i Europa er i fuld gang med at udstede bøder
Siden januar 2019 er en række europæiske lande blevet idømt bøder for overtrædelse af GDPR. Den mest bemærkelsesværdige bøde stod den franske databeskyttelsesmyndighed CNIL for, da den gav Google en bøde på 50 millioner euro for ikke at tilbyde sine brugere tilstrækkelig information om personalisering af annoncer og for ikke at indhente et gennemsigtigt samtykke.
Hvis du ikke har styr på dine brugeres data, heriblandt gemt deres samtykke sikkert, kan det være svært at dokumentere compliance over for Datatilsynet. Og det kan ende med en henstilling eller bøde. For nylig meddelte et samlet kor af europæiske datatilsyn, at de regelmæssigt ville straffe GDPR-overtrædelser med bøder.
Databeskyttelsesforordningen (GDPR) definerer personoplysninger som data, der kan bruges til at identificere individuelle brugere med navn, telefonnummer og adresse. Men det kan også være digital information, som gør det muligt at identificere en person ud fra GPS-oplysninger, lokationsdata, online-ID, cookie-ID, annonce-ID og device-ID etc. Det er data, som kan blive indsamlet via din app sammen med andre adfærdsdata (hvilke sider besøges, i hvor lang tid etc.).
For at undgå misbrug af dine brugeres personlige data bør du som virksomhed gennemgå jeres digitale indhold for at se, om det er i overensstemmelse med retningslinjerne i GDPR. Dette gælder også for jeres datatrafik, registrering, behandling og opbevaring samt databehandlingsaftaler med leverandører.
Det handler om dine brugeres tillid
En analyse foretaget af Ofcom (Office of Communications) og UK Data Protection Agency afslører, at en stor del af de britiske internetbrugere er bekymrede for, at deres privacy ikke er tilstrækkeligt beskyttet online. For eksempel er de bekymrede for, at deres personlige data misbruges. Derfor er det nødvendigt, at din virksomhed beskytter jeres brugeres data, når de bruger jeres mobilapp.
Med en GDPR compliant app, fremmer I jeres brugeres tillid til jeres digitale platform.
Sådan får I en GDPR compliant mobile app
1. Få et komplet overblik over jeres app, og dokumentér dens dataindsamling og databehandling
Få overblik over hvilke personlige data jeres app indsamler fra brugernes enhed, og hvilke data bliver overført til jeres virksomhed og hvilke data tredjeparter får adgang til. Få scannet jeres app og analyseret om jeres dataindsamling og databehandling følger gældende lovgivning.
2. Informer jeres app’s brugerne om dataindsamlingen og databehandlingen
Jeres privatlivspolitik skal være tilgængelig for brugerne af jeres app. Den skal indeholde oplysninger om dataindsamling og databehandling. Informer brugerene om, hvorfor deres personlige data bliver indsamlet, hvem der behandler dataene, og hvor længe dataene bliver gemt.
3. Informer brugerne om, hvornår I deler deres personlige data med tredjeparter
I bør informere jeres brugerne, når jeres app deler deres personlige data med tredjeparter. Gør det klart, hvem der modtager deres personlige data, og hvorfor de behandler dem.
4. Du skal indsamle brugernes samtykke
Du skal indsamle brugernes samtykke. Informationen i samtykkepop-up’en skal være tilstrækkelig for at behandle jeres brugeres personlige data.
5. Vær tilgængelig for brugerne af jeres app
Brugerne af jeres app skal let kunne kontakte jeres virksomhed for at få adgang til de personlige data, I gemmer om dem.
6. Sørg for at jeres brugeres data er sikkert opbevaret
I bør implementere passende tekniske sikkerhedsforanstaltninger for at beskytte de personoplysninger, der behandles gennem jeres app. Vurder, om personlige data er gemt i et beskyttet format, om deling af data er krypteret via en sikker forbindelse, og om appen anvender pålidelige certifikater.
Vil du sikre, at jeres app overholder retningslinjerne i GDPR? Kontakt vores compliance-team!
