FRÅGA: Jag och några vänner driver en webbshop där vi säljer kosttillskott och träningskläder och har en stor kundklubb med ett flertal medlemmar. Vi har nu planer på att skapa en träningsapp som ger användaren möjlighet att följa sin egen utveckling baserat på information som användaren själv anger (vikt, längd, genomförda träningspass och så vidare). Den ska också skapa specialanpassade träningsprogram genom information som samlas in via appen, till exempel genom att synka appen med GPS-funktionen i telefonen för att få förslag på löprundor i användarens närområde. Vi tänkte börja med att erbjuda appen till medlemmarna i kundklubben. Är det något särskilt vi bör tänka på när vi utvecklar appen? Vi har till exempel hört om den nya dataskyddsförordningen – skulle den gälla även för oss?
SVAR: Hej! Information som går att knyta till en viss individ (bland annat genom ett kundnummer, användarnamn eller IP-adress) utgör personuppgifter som till exempel längd, vikt och träningsresultat. När personuppgifter samlas in, lagras, används, analyseras eller på annat sätt behandlas blir EU:s nya dataskyddsförordning (GDPR) tillämplig, som ersätter nuvarande reglering (PUL) i maj 2018. GDPR innehåller mer omfattande krav jämfört med PUL och en överträdelse av reglerna kan innebära mycket kännbara sanktioner. GDPR:s regler bör därför beaktas redan nu och nedan följer fyra saker som är särskilt viktiga att tänka på i utvecklingsstadiet av en app.
1. Ge tydlig information till användaren
Innan behandlingen påbörjas, det vill säga innan appen samlar in och bearbetar information om användaren, behöver användaren informeras om behandlingen. Det gör ni enklast genom att skapa en policy som användaren måste läsa igenom när denne skapar sitt användarkonto i appen. Tänk på att informationen ska vara tydlig och enkelt formulerad så att det står klart för användaren vad som kommer att ske med personuppgifterna, till exempel vilka uppgifter som kommer att samlas in, varför de samlas in och hur länge de kommer att lagras i appen.
2. Säkra att rättslig grund finns
För att få behandla uppgifterna krävs att det finns en rättslig grund för behandlingen. Det finns ett antal rättsliga grunder i GDPR. I er app kommer uppgifter om vikt, längd och genomförda träningspass att behandlas. Sammantaget kan uppgifterna ge en relativt bra indikation om användarens hälsotillstånd vilket gör att uppgifterna sannolikt utgör så kallade särskilda kategorier av personuppgifter. För dessa uppgifter finns särskilda restriktioner och lagliga grunder.
Exempelvis får uppgifterna bara behandlas om användaren gett sitt uttryckliga samtycke till det. Ett sådant samtycke kan ni inhämta när användaren skapar sitt konto, exempelvis genom att användaren kryssar i en ruta som anger att användaren godkänner behandlingen. Här bör även en länk till informationen (det vill säga den som nämns i punkten ovan) inkluderas så att det är tydligt för användaren vad han/hon samtycker till för behandling.
3. Begränsa personuppgifterna till vad som är nödvändigt och gallra regelbundet
Det är viktigt att ni tänker igenom vilka uppgifter ni behöver för att kunna skapa anpassade träningsprogram och att ni begränsar insamlingen till just detta. Ni får alltså inte samla in uppgifter bara för att det kan vara bra att ha i ett senare skede.
Ni bör även se till att uppgifterna raderas regelbundet. Exempelvis behöver ni se till att data som tillhör en viss användare raderas om användaren säger upp sitt konto. Även under tiden som en användare använder sitt konto kan data behöva raderas. Se därför till att ha en funktion där personen i fråga själv kan radera uppgifter som är inlagda i appen. Om möjligt bör även användaren ha möjlighet att redigera uppgifterna. Denna funktionalitet hjälper er dessutom med att hålla uppgifterna som ni behandlar korrekta och uppdaterade.
4. Skydda personuppgifterna
GDPR innehåller även diverse informationssäkerhetskrav rörande så kallad integritet som standard (privacy by default) och inbyggd integritet (privacy by design). Det innebär att en tjänst ska tillhandahållas i ett "integritets-skyddande läge" och att användarens integritet ska beaktas redan i utvecklingsstadiet av en tjänst/system. Det kan till exempel innebära att den GPS-funktion som ni avser att använda måste aktiveras av individen själv och att den inte kan vara en funktion som per automatik aktiveras av att appen används. Andra exempel på hur uppgifterna kan skyddas är att de krypteras och att ni ser till att ni begränsar vilka personer som får tillgång till användarnas uppgifter (här bör till exempel användaren själv kunna avgöra om denne vill dela med sig av sina träningsresultat till andra användare/vänner).
Fler juridikfrågor? Här hittar du samtliga artiklar från Cederquist på Breakit.
Det här är en sponsrad artikel av Cederquist – en modern, topprankad affärsjuridisk advokatbyrå som erbjuder dig som kund specialistkompetens inom de flesta affärsjuridiska områden. De erbjuder ett startup-paket som du kan läsa mer om här.
Sponsrade inlägg är en del av Breakits annonserbjudande. Inläggen skrivs inte av Breakits redaktion utan av kommersiella samarbetspartners. Om du har frågor kring sponsrade inlägg, hör av dig till sales@breakit.se.