Bedriften din har en app.
For å bygge denne appen har dine utviklere benyttet seg av SDK tredjeparter.
De bidrar med data til bruk for analyse og markedsføring. Eller hjelper appen med å finne geografisk plassering.
Men mange af SDK tredjepartene innsamler personopplysninger om brukerne dine.
Og tilsvarende som for informasjonskapsler på nettsiden, gjelder personvernreglene også for mobilapper.
Her forklarer jeg steg for steg hvilken betydning GDPR har for bedriftens mobilapp, og hvordan mobilappen kan overholde GDPR på mindre enn 24 timer.
TL;DR – overhold GDPR på mobilapper
Gjelder GDPR for bedriftens mobilapp?
- Ja! Reglene som gjelder for cookies gjelder også for mobilapp SDKer.
Hvem er ansvarlig for at appen overholder GDPR?
- Appens eier (virksomheten) er ansvarlig for at appen overholder internasjonale personvernregler som GDPR.
Hva må jeg gjøre?
- Du må innsamle brukernes aktive og frivillig gitte samtykke til bruk av deres personopplysninger.
Gjelder GDPR for din bedrifts mobilapp?
Ja! Og ikke bare GDPR.
Avhengig av hvor brukerne dine befinner seg rent geografisk, vil det gjelde forskjellige personvernregler for mobilappen din
I Europa gjelder personvernregler som ePrivacy Directive og personvernforordningen (GDPR).
I USA er lovverk som CCPA og CPRA med til å regulere personvern.
Hvorfor er det bruk for personvernregler?
Fordi de fleste apper benytter seg av SDK tredjeparter som Firebase, Flurry, Facebook Ads og Analytics.
SDK tredjeparter lagrer, har tilgang til og innsamler personopplysninger om dine brukere.
SDKene prosesserer data for å gi deg:
- Data til Analytics
- Data til målrettet markedsføring
- Lokasjonsdata
- Og mye mer
Personvernreglene tilsier at du – som eier av appen – skal innsamle gyldig samtykke for å tillate SDKene å innsamle og prosessere personopplysninger.
Hvordan innsamler jeg gyldig samtykke i mobilappen vår (gå til avsnitt).
Hva sier personvernreglene om mobileapper?
Her er det juridiske fundamentet for å innsamle samtykke.
I det følgende får du det viktigste du som eier av en mobilapp behøver å vite om ePrivacy Directive og GDPR – på et ikke-juridisk språk.
Mobilapper og ePrivacy Directive
I det europeiske ePrivacy Directive (“cookie-reglene“) fra 2002 fremgår det at:
- du behøver samtykke for å lagre eller få tilgang til informasjon fra brukerens enhet.
I tillegg har brukeren
- rett til å si “nei takk” til innsamling av personopplysninger og videre prosessering av hans eller hennes data.
Dette betyr:
- Bruker du SDK tredjeparter som innsamler informasjon eller har adgang til informasjon på brukerens mobilenhet, da er det lovpålagt å innsamle samtykke fra brukeren, før data tas i bruk.
Member States shall ensure that the use of electronic communications networks to store information or to gain access to information stored in the terminal equipment of a subscriber or user is only allowed on condition that the subscriber or user concerned is provided with clear and comprehensive information in accordance with Directive 95/46/EC, inter alia about the purposes of the processing, and is offered the right to refuse such processing by the data controller.
ePrivacy Directive 2002/58/EC - Article 5(3)
Finnes det unntak? Ja.
Du kan bruke SDKer som innsamler data bare til:
- Tekniske formål (som teknisk nødvendige cookies), som for eksempel sikrer at appen fungerer.
- Å tilrettelegge overføring av kommunikasjon.
- Å gi informasjon aktivt etterspurt av brukeren.
Mobilapper og GDPR
GDPR handler hovedsakelig om prosessering av personopplysninger.
Når appen din bruker SDK tredjeparter og prosesserer brukerens personopplysninger:
- må du først innsamle brukerens samtykke til de data som SDKene ønsker å innsamle.
Fra et juridisk perspektiv er artikkel 6 i GDPR relevant.
- Du har bare rett til å prosessere personopplysninger hvis brukeren har gitt forutgående samtykke.
Det betyr:
- Hvis du bruker SDK tredjeparter og prosesserer brukerens personopplysninger, da må du ha forutgående GDPR samtykke fra brukeren.
Processing shall be lawful only if and to the extent that at least one of the following applies:
(a) the data subject has given consent to the processing of his or her personal data for one or more specific purposes.
General Data Protection Regulation (GDPR) - Article 6(1a)
“Men vi innsamler eller prosesserer jo ingen data?”
Kanskje ikke, men det gjør til gjengjeld de SDKene du bruker.
De sporer dine brukeres atferd og sender data tilbake til deres egen virksomhet.
Og det er helt i orden: Når du har fått forutgående samtykke fra brukeren.
Hva er personopplysninger?
Personopplysninger er informasjon som relaterer til en person eller informasjon som direkte eller indirekte kan være med til å identifisere en person.
Det kan være informasjon i form av:
- Navn
- Personnummer
- Geografisk plassering
- IP-adresse
- Identifikasjoner på nettet
- Bruker-ID
- Enhets-ID
- Og mye mer
Som eier (eller utvikler) av appen er du ansvarlig for å innsamle forutgående samtykker – du er dataansvarlig.
Men hva er samtykke ifølge GDPR?
Hva er et GDPR-samtykke?
GDPR er klar og tydelig på hvordan du innsamler samtykke ifølge reglene.
Et GDPR-samtykke er:
- Frivillig
- Brukerne dine må ha mulighet til å si “nei takk” til at SDKene innsamler personopplysninger om dem.
- Informert
- Du må informere brukerne dine om hvilke data SDKene innsamler og prosesserer, og til hvilke formål.
- Spesifikt
- Du må ha tillatelse til å innsamle data til spesifikke formål, for eksempel markedsføring/annonsering, statistikk, funksjonalitet (granulært samtykke).
- Utvetydig
- Brukerne dine må være klar over akkurat hva de har gitt/ikke gitt samtykke til. Å gå inn på appen og bruke den om bare i mindre grad er ikke ansett som gyldig samtykke.
Det er viktig å lagre alle samtykker til bruk for dokumentasjon (til eventuell bruk for spørsmål fra tilsynsmyndighetene).
Da har vi gjennomgått de viktigste punktene, takk for at du leser med!
Hvordan innsamler jeg samtykker i mobilappen vår?
Du kan utvikle en SDK til mobilapper som innsamler og håndterer alle samtykker.
Men det tar mye tid og krever løpende vedlikehold og oppdateringer.
Personvernreglene endres løpende og varierer fra land til land. Det vil si du må oppdatere og differensiere SDKen ofte.
Eller du kan ganske enkelt få en gjennomtestet og stabil Consent Management Platform som innsamler samtykker på mobilappen din.
Benytt Cookie Informations Mobile App Consent, samtykkeløsningen til mobilapper, og beskytt brukernes personoppplysninger. Og vær sikker på at mobilappen din overholder alle internasjonale personvernregler.
Hvordan?
Innsett Cookie Informations Mobile App Consent SDK i appen din (virker både på iOS og Android).
Samtykkeløsningen for mobilapper vil presentere brukerne dine for en samtykkeboks den første gangen de åpner appen. Den vil spørre om samtykke til bruk og innsamling av data til SDKer som Facebook Ads, Firebase osv.
Samtykkeløsningen for mobilapper lagrer alle samtykker lokalt og på sikre servere i EU/EØS.
Dersom brukeren ikke gir samtykke, vil SDKene ikke innsamle samtykker.
På denne måten sikrer du brukernes personvern. Og at bedriften din overholder GDPR.
Ta kontakt med oss, og hør mer om hvordan vi kan hjelpe nettopp din bedrift med å overholde GDPR på mobilappen.
Samtykkeløsning til din mobilapp
Overhold alle lover og regler for personvern og bygg tillit hos dine brukere. Forbind Cookie Informations Mobile App Consent direkte med din bedrifts app og begynn å innsamle lovlige samtykker med det samme. Og med vår forenklede integrasjon kan det ikke bli enklere å implementere.