Gäller GDPR också mobila appar?

Blogg

Oliver Fich

23/12/2022

Hur många mobil-appar finns det på marknaden? Många. Utvecklingen har onekligen varit explosionsartad. Och ditt företag vill vara en del av denna växande marknad, vilket givetvis är fullt förståeligt. En anledning till mobil-apparnas popularitet är hur de samlar in persondata å tredjeparts SDK:ernas vägnar. Men vad säger lagen om detta? Läs vidare för att få koll på hur GDPR gäller för din app.

Ditt företag har en app.

För att bygga den har dina utvecklare använt en rad tredje-parts SDK:er.

De förser dig me data för analys och retargeting. De kan också hjälpa din app att pinpointa var dina användare är geografiskt.

Samtidigt samlar dessa tredje-parts SDK:er in en mängd persondata om dina användare.

TL;DR – GDPR för mobil-appar - detta gäller

Gäller GDPR för mitt företags mobil-app?

Ja. De regler som gäller för cookies, gäller också för mobila appar och SDK:er för mobil-appar.

Vem ansvarar för att appen följer GDPR?

Du måste se till att dina användare först samtycker till att deras persondata samlas in, innan du låter appen samla in den och använda den.

Gäller persondataskyddslagar som GDPR för din mobilapp?

Ja! Men inte bara GDPR.

Vilka integritetslagar som gäller beror på var i världen dina användare befinner sig.

I Europa gäller ePrivacy-direktivet och Dataskyddsförordningen (GDPR).

I USA har du persondataskyddslagar som CCPA och CPRA i Californien. De fungerar på ett snarlikt sätt som GDPR och ePrivacy-direktivet.

Varför gäller dessa privacy-lagar?

Därför att de flesta appar använder en rad tredjeparts-SDK:er som Firebas, Flurry; Facebook Ads och Analytics.

Dessa tredjeparts-SDK:er lagrar, har åtkomst till och samlar in dina användares persondata.

SDK:erna processar denna data för att ge dig:

Statistik
Retargeting-data
Lokaliserings-data
Och mer därtill

Dataskyddslagarna kräver att du – som app-ägare – samlar in giltiga samtycken innan SDK:erna får lov att samla in och behandla persondata.

Hur samlar jag in samtycken i våra mobil-appar (gå till denna sektion).

Vad säger dataskyddslagarna om mobil-appar?

Här är den juridiska grunden till varför du måste samla in samtycken.

Här får du de viktigaste delarna av ePrivacy-direktivet och GDPR på ett icke-juridiskt språk.

Mobil-appar och ePrivacy-direktivet

Om vi kikar närmare på ePrivacy-direktivet (kaklagen) från 2002, ser vi att den säger att:

du måste ha samtycke för att lagra och få åtkomst till information på en användares enhet.

Därutöver, måste användaren:

ha rätt att säga nej till datainsamling och behandling av hennes eller hans data.

Det betyder:

Om du använder tredjeparts SDK:er som lagrar information, eller har tilllgång till information på en användares mobila enhet, måste du först ha ett samtycke från användaren.

Member States shall ensure that the use of electronic communications networks to store information or to gain access to information stored in the terminal equipment of a subscriber or user is only allowed on condition that the subscriber or user concerned is provided with clear and comprehensive information in accordance with Directive 95/46/EC, inter alia about the purposes of the processing, and is offered the right to refuse such processing by the data controller.

ePrivacy Directive 2002/58/EC - Article 5(3)

Finns det undantag? Ja, självklart.

Du får endast använda SDK:er som samlar in data:

För tekniska syften (som tekniskt nödvändiga cookies). Till exempel kakor som får appen att fungera.
Som möjliggör kommunikationen.
Som förser användaren med information som den uttryckligen har bett om.

Mobil-appar och GDPR

GDPR handlar bara om att process persondata.

När din app använder tredjeparts SDK för att samla in och processa dina användares persondata:

måste du samla in dina användares samtycke för data dessa SDK:er samlar in.

Rent juridiskt tittar vi på artikel 6 i GDPR.

Du får bara processa persondata om användaren har samtyckt till det.

Det betyder:

Om du använder tredjeparts SDK:er som samlar in och processar dina användares persondata, måste du först få in dina användares giltiga GDPR-samtycken.

Processing shall be lawful only if and to the extent that at least one of the following applies:

(a) the data subject has given consent to the processing of his or her personal data for one or more specific purposes. General Data Protection Regulation (GDPR) - Article 6(1a)

“Men vi samlar väl inte in och processar data?”

Kanske inte, men ditt mobila SDK gör det.

De samlar in dina användares beteende och skickar denna data tillbaka till moderskeppet.

Och det är helt ok! Så länge du först har samlat in ett giltigt samtycket för det!

Vad är persondata?

Persondata är all slags data som relaterar till en person, eller information som kan identifiera en person, direkt eller indirekt.

Det kan vara information som:

Namn
ID-nummber
Lokaliseringsdata
IP-adress
“Online identifiers”
Användar-ID
Enhets-ID
Och mycket mer

Det är ditt ansvar som app-ägare (eller utvecklare) att samla in samtyckena. Du är data-controller.

Men vad är samtycke, enligt GDPR?

Vad är ett samtycke enligt GDPR?

GDPR, eller Dataskyddsförordningen,som det heter på svenska, är tydlig på den här punkten.

Ett GDPR-samtycke måste vara:

Frivilligt
- Dina användare måste kunna säga nej till att deras data samlas av SDK:er.
Informerat
- Du måste informera dina användare om vilken data SDK:erna samlar in och processar, och för vilket syfte.
Specifikt
- Du måste samla in samtycken uppdelat på olika syftet, som marknadsföring, statistik, funktionella.
Otvetydigt
- Dina användare måste förstå vad de har sagt ja eller nej till. Att använda en app är inte ett godtagbart samtycke.

Kom ihåg att lagra alla samtycken, så du kan använda det till att dokumentera att dina användare har gett samtycke, om Post- och telestyrelsen eller Integritetsskyddsmyndigheten, skulle begäran in det.

Så där. Det var det hela!

Hur samlar jag in samtycke i vår mobilapp?

Du kan utveckla ett mobil-SDK som samlar in och hantera alla samtycken.

Men det tar tid och är svårt att upprätthålla.

Dessutom ändrar sig dataskyddslagarna då och då, och från region till region. Det ställer krav på dig, och kräver utvecklingstid.

Ett smidigare sätt är att använda en etablerad och stabil så kallad samtyckesplattform, eller Consent Management Platform på ren engelska.

Använda Cookie Informations Mobil-appslösning, så du skyddar dina användares integritet. Enklare än så blir det inte att följa internationella dataskyddslagar.

Hur?

Installera Cookie Informations samtyckes-SDK för mobilappar i din app. Den fungerar både på iOS och Android.

Lösningen ger dina användare en pop-up första gången de går in på appen. Den ber dem om samtycke för att låta SDK:er som Facebook Ads, Firebase, och så vidare.

Lösningen samlar in och lagrar alla samtycken lokalt och på en säker server inom EU/EEA.

Om dina användare säger nej, samlar SDK:et inte in någon persondata.

På så sätt skydda du deras integritet, och lever upp till GDPR.

Hör gärna av dig om du har frågor eller vill förstå hur din app kan leva upp lagarna.

Samtycke för mobila applikationer

Följ alla privacy lagar och bygg tillit till dina användare. Bygg in Cookie Information’s cookie-plattform för mobila applikationer direkt på ditt företags app och börja samla in giltiga samtycken.