Hvem er ansvarlig for behandling av personopplysninger i appen?

Når du utvikler en app må du avklare hvem som er ansvarlig for behandlingen av brukernes personopplysninger.

Behandlingsansvarlig er definert slik i personopplysningsloven:

Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes.

Det betyr at den som bestemmer hva personopplysningene skal brukes til og derfor også hvorfor opplysningene samles inn, er behandlingsansvarlig.

I praksis vil det være virksomhetens øverste administrative leder som er behandlingsansvarlig. Lederen kan delegere oppgaver nedover i organisasjonen, men den øverste ledelsen har fortsatt ansvaret for at behandling av personopplysninger skjer på en god måte.

Hvis appen kun kjøres på den mobile enheten, og ikke samler inn eller overfører data til andre steder, er ikke appen omfattet av lovens bestemmelser. Hvis appen derimot overfører brukernes personopplysninger til et annet sted for videre behandling, må du gi brukeren informasjon om overføringen, og eventuelt hvem som er behandlingsansvarlig for de overførte opplysningene.

Uansett om du samler inn personopplysninger via apper eller nettsider, skal brukerne få tydelig informasjon om hvor og hvordan personopplysninger blir behandlet.

 


Eksempel

Under finner du noen eksempler på ulike typer apper og oversikt over hvem som vil være behandlingsansvarlig for disse:

Enkel notatfunksjon:

Appen din gjør det mulig for brukerne å ta enkle notater og lagre dem på enheten for senere bruk. Notatene kan i noen tilfeller inneholde personopplysninger.

Behandlingsansvarlig:
Brukerne har full kontroll over eventuelle personopplysninger som legges inn i appen, slik at det ikke vil være andre behandlingsansvarlige enn brukeren selv i dette tilfellet.

Sosiale medier:

Appen gjør det mulig for brukerne å dele informasjon med hverandre, inkludert å foreslå venner basert på kontakter lagret på den enkelte brukers enhet.

Dette er mulig fordi appen kommuniserer med en sentral server som du har kontroll over. Du åpner ikke for annonsering fra tredjeparter, men sørger for all annonsering selv.

Behandlingsansvarlig:
Du vil være behandlingsansvarlig for alle personopplysninger som mottas av den sentrale serveren.

Sosiale medier (skybasert):

Som beskrevet overfor bortsett fra at den sentrale serveren er tilknyttet en leverandør av skytjenester.

Behandlingsansvarlig:
Du vil være behandlingsansvarlig for alle personopplysninger som mottas av den sentrale serveren.

Skyleverandøren har rollen som databehandler.

Reklamefinansiert spill:

Appen er et spill som kan lastes ned gratis og finansieres gjennom reklame som leveres via en tredjeparts reklamenettverk. Reklamenettverket kan benytte personopplysninger til å levere reklame basert på historiske surfeinteresser.

Behandlingsansvarlig: 
Reklamenettverket vil være behandlingsansvarlig. Som utvikler eller ansvarlig for appen, er du pliktig å informere brukerne om hvilke personopplysninger som vil bli samlet inn, hvor de vil bli brukt, av hvem og hvilke kontrolltiltak som vil være tilgjengelig for brukerne.

Brukeranmeldelser:

Formålet med appen din er å legge inn brukeranmeldelser på en tredjeparts nettside som du ikke har kontroll over.

Behandlingsansvarlig: 
Organisasjonen som er ansvarlig for nettsiden for slike anmeldelser vil være behandlingsansvarlig for alle personopplysninger som overføres til nettsiden. Som utvikler vil du ikke være behandlingsansvarlig, men du bør likevel informere klart og tydelig om hva som vil skje med opplysningene som overføres via din app.

 


 

Hvis du er behandlingsansvarlig og skal behandle personopplysninger med elektroniske hjelpemidler plikter du å melde fra til Datatilsynet 30 dager før behandlingen starter. Flere detaljer og unntak fra meldeplikten kan du lese om her.

Vær oppmerksom på at selv om andre utfører tjenester som webhosting for deg, vil ansvaret for å ivareta personvernet alltid ligge hos den behandlingsansvarlige – altså den som er oppdragsgiver. Personopplysningsloven krever at du inngår en databehandleravtale med underleverandører, som også må inneholde krav til informasjonssikkerhetLes mer om databehandleravtaler og maler for hvordan sette opp en slik avtale.

I personopplysningsloven er begrepet ”databehandler” definert på følgende måte:
den som behandler personopplysninger på vegne av den behandlingsansvarlige.

Hvis du jobber med å utvikle en app på vegne av en kunde, vil du som regel ikke være behandlingsansvarlig. Kunden vil derimot måtte sikre at behandlingen av personopplysninger er i samsvar med regelverket. . Avhengig av forholdet til kunden, kan du også bli ansett som en databehandler. Hvis du er databehandler så skal det foreligge en skriftlig avtale med behandlingsansvarlig. Loven sier også at databehandler har et selvstendig ansvar for å ivareta informasjonssikkerhet til personopplysningene som behandles. Det er derfor hensiktsmessig at du tar hensyn til personvern og informasjonssikkerhet i utviklingsarbeidet.

Den som er behandlingsansvarlig er ansvarlig for å forstå hvordan alle programvarekomponenter i appen fungerer for å ha oversikt over hvordan brukernes personopplysninger behandles. For eksempel kan appen inneholde markedsføringsrelatert kode som kan medføre overføring og behandling av personopplysninger til tredjeparter.

Dersom personopplysninger overføres til land utenfor Det europeiske økonomiske samarbeidsområdet (EØS), gjelder spesielle regler – se personopplysningsloven § 30 og les mer her.