Hvilke opplysninger samler appen inn?

Sett av tid tidlig i designfasen til å vurdere hvilke typer data appen din kan få tilgang til, samle inn eller overføre. Tenk også over hvordan dette kan berøre brukerne av appen.

For hver type data du ønsker å samle inn, må du dokumentere at innsamlingen har et legitimt formål, og i hvilken grad du er berettiget til å samle inn slik data. Du bør også, for hver type data som skal brukes, vurdere hvilke følger det kan få for en bruker av appen dersom dataene skulle bli misbrukt. I tillegg bør du også vurdere hvor presist og hvor enkelt en spesifikk person eller enhet kan identifiseres basert på disse opplysningene. Dette kalles å gjøre en risikovurdering.

Les mer om risikovurderinger

Du bør kun samle inn og behandle det minimum av data som er nødvendig av hensyn til appens formål. Personopplysningsloven tillater ikke innsamling av data fordi de kan komme til nytte en gang i fremtiden, selv når brukeren samtykker til å gi deg tilgang til opplysningene. Det er også en fordel for deg å sitte på minst mulig data, ettersom dette automatisk reduserer risikoen for at opplysninger kan komme på avveier eller behandles feil.

I tillegg må du unngå å oppbevare personopplysninger lenger enn det som strengt tatt er nødvendig. Du bør derfor definere hvor lenge personopplysningene skal lagres og sørge for at brukerne får informasjon om dette. 


Eksempel 1

Du utvikler en app for sosiale medier, som laster opp eksisterende bilder fra en mobil enhet til din sentrale server, og du ønsker å unngå å samle inn unødvendige personopplysninger.

Du legger derfor inn som en standardinnstilling, at appen skal fjerne unødvendige metadata fra hvert enkelt bilde før de lastes opp. Dette kan for eksempel være hvilken dato de ble tatt eller stedsangivelser (lagret i Exif-format). 


Eksempel 2

Appen din bruker GPS-koordinater for å anbefale interessante aktiviteter i nærheten av stedet hvor brukeren befinner seg. Databasen med mulige forslag til aktiviteter ligger lagret på en sentral server, som du har kontroll over.

Ett av dine designmål er å minimere mengden data som appen laster ned fra den sentrale serveren. Du designer dermed appen slik at den geografiske plasseringen sendes til den sentrale serveren ved bruk. Dette sørger for at kun de nærmeste aktivitetene blir lastet ned.

Du er også opptatt av å benytte minst mulig inngripende data om brukerne. Derfor designer du appen slik at standardinnstillingen gjør at appen selv skal finne ut hvilken by som er nærmest og så oppgi denne til den sentrale serveren for å unngå at de nøyaktige GPS-koordinatene lastes opp. Brukere som ønsker resultater basert på nøyaktige koordinater, kan selv endre denne innstillingen etter behov. 


 

Vær særlig nøye med bruken av personopplysninger hvis appen din er rettet mot barn. Det er vanskeligere for barn å forstå hva det vil si å gi noen tilgang til egne personopplysninger. Derfor er det større mulighet for at de vil angre på det eller at det får konsekvenser de ikke kunne ha forutsett. Det kan for eksempel være at de utsettes for reklame eller andre aktører får tilgang til deres informasjon.

Du må gi brukere anledning til å slette personopplysningene sine, og eventuelle kontoer de har opprettet hos deg. Du kan kun gjøre et unntak fra dette hvis det er lovpålagt at du oppbevarer dataene.

Det er fullt mulig å samle inn data om bruk av appen eller om programfeil, men dette skal gjøres på en av følgende måter:

  1. med informert samtykke fra brukeren
  2. ved bruk av anonymisert data (slik at ingen personopplysninger samles inn)

Husk at hvis du velger anonymisering, skal dette gjøres på en så grundig måte at risikoen for at en bruker kan reidentifiseres, basert på disse dataene, er lik null. Selv om du velger anonymisering, må du huske at du også har ansvar for å sikre dataminimalisering. Det innebærer at du kun bør samle inn det minimum av personopplysninger som er nødvendig før dataene anonymiseres.

Du bør utnytte operativsystemene innebygde muligheter for å innhente tillatelser, og andre lignende mekanismer på best mulig måte. Appen din bør kun be om tilgang til sensorer, tjenester eller andre opplysninger som er strengt tatt nødvendig. Hvis operativsystemet ikke har de mekanismene du har behov for, bør du informere brukene om hvorfor appen krever de spesifikke tillatelsene.

Alt dette utgjør typiske trinn i en vurdering av personvernkonsekvenser. Datatilsynet oppfordrer alle behandlingsansvarlige og utviklere til å gjennomføre en slik vurdering under prosjektplanleggingen. Du kan gjøre en enkel eller en mer omfattende vurdering av personvernkonsekvensene avhengig av prosjektets størrelse og type.

En vurdering av personvernkonsekvenser kan også inngå som et element i en risikovurdering av appens informasjonssikkerhet. Hvis vurderingen av personvernkonsekvenser klart definerer hvilke personopplysninger som bør være konfidensielle, kan risikovurderingen si noe om hvorvidt appen faktisk sikrer slik konfidensialitet.