Fyra GDPR-aspekter att beakta vid utveckling av appar som samlar in användardata

Vad ska man tänka på när man utvecklar en app vars syfte är att samla in och analysera data om dess användare? IT-specialisterna Henrik Lindstrand och Elin Holm ger fyra tips om vad som kan vara bra att tänka på utifrån ett dataskyddsperspektiv.

När en app ska utvecklas som är tänkt att samla in användardata finns ett antal viktiga aspekter att beakta – särskilt mot bakgrund av att EU:s nya dataskyddsförordning (GDPR) ersätter nuvarande reglering (PUL) i maj 2018. Användardata eller information som går att knyta till en viss individ (bland annat genom ett kundnummer, användarnamn eller IP-adress) utgör nämligen personuppgifter. När personuppgifter samlas in, lagras, används, analyseras eller på annat sätt behandlas blir GDPR tillämplig. GDPR innehåller mer omfattande krav jämfört med PUL och en överträdelse av reglerna kan innebära mycket kännbara sanktioner. GDPR:s regler bör därför beaktas redan nu och nedan följer fyra aspekter som är särskilt viktiga att tänka på i utvecklingsstadiet av en app.

1. Ge tydlig information till användaren

Innan behandlingen påbörjas, det vill säga innan appen samlar in och bearbetar information om användaren, behöver användaren informeras om behandlingen. Det gör man enklast genom att skapa en policy som användaren måste läsa igenom när denne skapar sitt användarkonto i appen. Det är viktigt att tänka på att informationen ska vara tydlig och enkelt formulerad så att det står klart för användaren vad som kommer att ske med personuppgifterna, till exempel vilka uppgifter som kommer att samlas in, varför de samlas in och hur länge de kommer att lagras i appen.

2. Säkra att rättslig grund finns

För att få behandla uppgifterna krävs även att det finns en rättslig grund för behandlingen. Det finns ett antal rättsliga grunder i GDPR och de kan skilja sig åt beroende på bl.a. vilka typer av personuppgifter som behandlas. Om det skulle vara fråga om en träningsapp som exempelvis samlas in uppgifter om vikt, längd och genomförda träningspass kan dessa uppgifter sammantaget ge en relativt bra indikation om användarens hälsotillstånd vilket gör att uppgifterna sannolikt utgör så kallade särskilda kategorier av personuppgifter. För dessa uppgifter finns särskilda restriktioner och lagliga grunder.

Exempelvis får uppgifterna bara behandlas om användaren gett sitt uttryckliga samtycke till det. Ett sådant samtycke kan man inhämta när användaren skapar sitt konto, exempelvis genom att användaren kryssar i en ruta som anger att användaren godkänner behandlingen. Här bör även en länk till informationen (det vill säga den som nämns i punkten ovan) inkluderas så att det är tydligt för användaren vad han/hon samtycker till för behandling.  

Även om andra uppgifter än särskilda kategorier av personuppgifter behandlas i appen kan ett samtycke behöva inhämtas från användaren, så kan vara fallet om uppgifterna exempelvis ska analyseras, bearbetas eller kombineras med uppgifter i andra källor.

3. Begränsa personuppgifterna till vad som är nödvändigt och gallra regelbundet

Det är viktigt att man tänker igenom vilka uppgifter som behövs för att kunna tillhandahålla de tilltänkta funktionerna i appen. Därefter behöver man begränsa insamlingen av personuppgifterna till just detta – man får alltså inte samla in uppgifter bara för att det kan vara bra att ha i ett senare skede. 

Man bör även se till att uppgifterna raderas regelbundet. Exempelvis behöver man se till att data som tillhör en viss användare raderas om användaren säger upp sitt konto som är kopplat till appen. Även under tiden som en användare använder sitt konto kan data behöva raderas. Se därför till att ha en funktion där personen i fråga själv kan radera uppgifter som är inlagda i appen. Om möjligt bör även användaren ha möjlighet att redigera uppgifterna. Denna funktionalitet hjälper dessutom till med att hålla uppgifterna som man behandlar korrekta och uppdaterade.

4. Skydda personuppgifterna

GDPR innehåller även diverse informationssäkerhetskrav rörande så kallad integritet som standard (privacy by default) och inbyggd integritet (privacy by design). Det innebär att en tjänst ska tillhandahållas i ett "integritets-skyddande läge" och att användarens integritet ska beaktas redan i utvecklingsstadiet av en tjänst/system. Det kan till exempel innebära att appar som innehåller en GPS-funktion måste aktiveras av individen själv och att den inte kan vara en funktion som per automatik aktiveras av att appen används. Andra exempel på hur uppgifterna kan skyddas är att de krypteras eller att man ser till att man begränsar vilka personer som får tillgång till användarnas uppgifter (här bör till exempel användaren själv kunna avgöra om denne vill dela med sig av sin information i appen till andra användare/vänner).

Skribenter: Henrik Lindstrand och Elin Holm, IP/IT-rätt.

Läs mer om vårt start-up-paket och ta del av fler relevanta artiklar för startups.

Ring
Meny