ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE. Udtalelse nr. 02/2013 om apps i intelligente enheder

ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE 00461/13/DA WP 202 Udtalelse nr. 02/2013 om apps i intelligente enheder Vedtaget den 27. februar 2013 Artikel 29-Gruppen er nedsat i henhold til artikel 29 i direktiv 95/46/EF. Gruppen er et uafhængigt EU-rådgivningsorgan vedrørende databeskyttelse og beskyttelse af privatlivets fred. Dens opgaver er beskrevet i artikel 30 i direktiv 95/46/EF og artikel 15 i direktiv 2002/58/EF. Sekretariatet varetages af Direktorat C (Grundlæggende rettigheder og unionsborgerskab) i Europa-Kommissionens Generaldirektorat for Retlige Anliggender, B-1049 Bruxelles, Belgien, kontor MO-59 02/013. Websted: http://ec.europa.eu/justice/data-protection/index_en.htm

Resumé Der findes hundredtusindvis af forskellige apps fra en række forskellige app-butikker for de enkelte populære typer intelligente enheder. Det er blevet rapporteret, at app-butikkerne får flere end 1 600 nye apps hver dag. Det siges, at den gennemsnitlige smartphone-bruger downloader 37 apps. Apps er enten gratis eller koster meget lidt at anskaffe for slutbrugeren og kan have meget få eller mange millioner brugere. Apps kan indsamle store mængder oplysninger fra enheden (f.eks. de oplysninger, som brugeren lagrer på enheden, og oplysninger fra forskellige sensorer, herunder lokalisering) og behandle dem med henblik på at tilbyde nye og innovative tjenester til slutbrugeren. Disse datakilder kan imidlertid viderebehandles, normalt for at generere indtægter, på en måde, som slutbrugeren er uvidende om eller ikke ønsker. App-udviklere, som ikke er bekendt med databeskyttelseskravene, kan skabe store risici for beskyttelsen af privatlivets fred og omdømmet for de intelligente enheders brugere. De største databeskyttelsesrisici for slutbrugerne er den manglende gennemsigtighed og det manglende kendskab til de typer behandling, en app kan foretage, samt undladelse af at indhente slutbrugernes samtykke, før behandlingen foretages. Dårlige sikkerhedsforanstaltninger, en klar tendens i retning af datamaksimering og de løse rammer for formålene med indsamlingen af personoplysninger bidrager til at øge databeskyttelsesrisiciene inden for det aktuelle app-miljø. Databeskyttelsen er også udsat for risiko som følge af den store fragmentering mellem de mange aktører, der er involveret i app-udviklingen, bl.a.: app-udviklere, app-ejere, app-butikker, producenter af operativsystemer og enheder (OS- og enhedsproducenter) samt andre tredjeparter, der kan være involveret i indsamlingen og behandlingen af personoplysninger fra intelligente enheder som f.eks. analyse- og reklamebureauer. De fleste af konklusionerne og anbefalingerne i denne udtalelse er rettet mod app-udviklerne (idet de har størst kontrol over, hvordan behandlingen præcist foretages, eller hvordan oplysningerne præsenteres i appen), men de er ofte nødt til at samarbejde med andre parter i appens økosystem for at kunne opfylde de højeste standarder for beskyttelse af privatlivets fred og databeskyttelse. Dette er især vigtigt i forbindelse med sikkerhed, hvor en kæde med flere aktører kun er så stærk som det svageste led. Mange af de typer oplysninger, der er tilgængelige på en intelligent mobil enhed, er personoplysninger. Retsgrundlaget er databeskyttelsesdirektivet samt den beskyttelse af mobile enheder som led i brugernes privatliv, der gives i e-data-direktivet. Reglerne finder anvendelse på enhver app, der er rettet mod app-brugere i EU, uanset hvor app-udvikleren eller -butikken befinder sig. I denne udtalelse uddyber Gruppen retsgrundlaget for behandlingen af personoplysninger i forbindelse med udvikling, distribution og brug af apps på intelligente enheder, med fokus på samtykkekravet, principperne om formålsbegrænsning og dataminimering, behovet for at træffe passende sikkerhedsforanstaltninger, forpligtelsen til at informere slutbrugerne korrekt, deres rettigheder, rimelige lagringsperioder og specifikt rimelig behandling af oplysninger, som indsamles fra og om børn. 2

Indholdsfortegnelse 1. Indledning... 4 2. Databeskyttelsesrisici... 5 3 Databeskyttelsesprincipper... 6 3.1 Gældende ret... 6 3.2 Personoplysninger, der behandles i apps... 8 3.3 Parter, der er involveret i databehandlingen... 8 3.3.1 App-udviklere...9 3.3.2 OS- og enhedsproducenter...10 3.3.3 App-butikker...11 3.3.4 Tredjeparter...12 3.4 Retligt grundlag... 13 3.4.1 Samtykke før installation og behandling af personoplysninger...13 3.4.2 Retlige grundlag for databehandling under brug af appen...15 3.5 Formålsbegrænsning og dataminimering... 16 3.6 Sikkerhed... 17 3.7 Information... 21 3.7.1 Oplysningspligt og påkrævet indhold...21 3.7.2 Informationens form...22 3.8 Den registreredes rettigheder... 23 3.9 Lagringsperioder... 24 3.10 Børn... 25 4 Konklusioner og anbefalinger... 25 3

1. Indledning Apps er softwareprogrammer, der ofte er udviklet til en bestemt opgave og målrettet mod bestemte intelligente enheder som f.eks. smartphones, tablets og tv-apparater med internetforbindelse. De arrangerer information på en måde, der passer til enhedens særlige karakteristika, og indgår ofte i et tæt samspil med enhedernes hardware og operativsystem. Der findes hundredtusindvis af forskellige apps fra en række forskellige app-butikker for de enkelte populære typer intelligente enheder. Apps tjener en lang række forskellige formål, bl.a. browsing på internettet, kommunikation (e-mail, telefoni og messaging), underholdning (spil, film/video og musik), sociale netværk samt bank- og lokalitetsbaserede tjenester. Det er blevet rapporteret, at app-butikkerne får flere end 1 600 nye apps hver dag. 1 Den gennemsnitlige smartphone-bruger downloader 37 apps. 2 Apps er enten gratis eller koster meget lidt at anskaffe for slutbrugeren og kan have meget få eller mange millioner brugere. Det underliggende operativsystem indeholder også software eller datastrukturer, som er vigtige for den intelligente enheds primære tjenester, som f.eks. en smartphones adressebog. Operativsystemet er bygget til at gøre disse komponenter tilgængelige for apps ved hjælp af programmeringsgrænseflader for applikationer (API). Disse API'er giver adgang til en lang række sensorer, som kan være indbygget i intelligente enheder, bl.a.: et gyroskop, et digitalt kompas og accelerometer, som angiver hastighed og retning, kamera på for- og bagsiden til at optage video og billeder samt en mikrofon til at optage lyd. Intelligente enheder kan også indeholde afstandsfølere. 3 Desuden kan intelligente enheder skabe forbindelse gennem en lang række forskellige netværksgrænseflader som f.eks. Wi-Fi, Bluetooth, NFC eller Ethernet. Endelig kan den nøjagtige position beregnes ved hjælp af geolokaliseringstjenester (som beskrevet i Artikel 29-Gruppens udtalelse nr. 12/2011 om geolokaliseringstjenester i intelligente mobile enheder 4 ). Typen, nøjagtigheden og frekvensen af disse sensordata varierer fra enhed til enhed og afhængigt af operativsystemet. Ved hjælp af API kan app-udviklerne indsamle sådanne oplysninger løbende, få adgang til og skrive kontaktoplysninger, sende e-mail, SMS eller sociale netværksbeskeder, læse/ændre/slette indholdet på SD-kort, optage lyd, bruge kameraet og få adgang til de gemte billeder, læse telefonens tilstand og identitet, ændre de globale systemindstillinger og forhindre, at telefonen går i dvale. API'er kan også tilvejebringe oplysninger om selve enheden gennem en eller flere unikke identifikatorer samt oplysninger om andre installerede apps. Disse datakilder kan viderebehandles, normalt for at generere indtægter, på en måde, som slutbrugeren er uvidende om eller ikke ønsker. 1 2 3 4 Rapport i ConceivablyTech af 19. august 2012, tilgængelig på www.conceivablytech.com/10283/business/apple-app-store-to-reach-1mapps-this-year-sort-of. Citeret af Kamala D. Harris, generalstatsanklager i Californiens justitsministerium, i "Privacy on the go, Recommendations for the mobile ecosystem", januar 2013, http://oag.ca.gov/sites/all/files/pdfs/privacy/privacy_on_the_go.pdf Dette er et globalt overslag for 2012 foretaget af ABI Research, http://www.abiresearch.com/press/smartphone-users-worldwide-will-download-37-apps-o En sensor, som kan mærke tilstedeværelsen af et fysisk objekt uden fysisk kontakt. Se: http://www.w3.org/tr/2012/wd-proximity-20121206/ Se Artikel 29-Gruppens udtalelse nr. 13/2011 om geolokaliseringstjenester i intelligente mobile enheder (maj 2011), http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2011/wp185_da.pdf 4

Formålet med denne udtalelse er at beskrive retsgrundlaget for behandlingen af personoplysninger i forbindelse med distribution og brug af apps på intelligente enheder samt at tage stilling til den viderebehandling, der kan finde sted uden for appen, som f.eks. brug af de indsamlede oplysninger til at udarbejde profiler og skabe kontakt til brugerne. Udtalelsen analyserer de vigtigste risici for databeskyttelsen, beskriver de forskellige aktører og fremhæver de forskellige retlige forpligtelser. Den kommer bl.a. ind på: app-udviklere, app-ejere, app-butikker, producenter af operativsystemer og enheder (OS- og enhedsproducenter) samt andre tredjeparter, der kan være involveret i indsamlingen og behandlingen af personoplysninger fra intelligente enheder som f.eks. analyse- og reklamebureauer. Udtalelsen fokuserer på samtykkekravet, principperne om formålsbegrænsning og dataminimering, behovet for at træffe passende sikkerhedsforanstaltninger, forpligtelsen til at informere slutbrugerne korrekt, deres rettigheder, rimelige lagringsperioder og specifikt rimelig behandling af oplysninger, som indsamles fra og om børn. Udtalelsen dækker mange forskellige typer intelligente enheder, men fokuserer især på apps til intelligente mobile enheder. 2. Databeskyttelsesrisici På grund af det tætte samspil med operativsystemet kan apps få adgang til væsentligt flere oplysninger end de traditionelle internetbrowsere. 5 Apps kan indsamle store mængder oplysninger fra enheden (positionsoplysninger, oplysninger, som brugeren lagrer på enheden, og oplysninger fra forskellige sensorer) og behandle dem med henblik på at tilbyde nye og innovative tjenester til slutbrugeren. Databeskyttelsen er også udsat for risiko som følge af den store fragmentering mellem de mange aktører, der er involveret i app-udviklingen. Et enkelt dataelement kan overføres i realtid fra enheden til behandling et andet sted i verden eller kan kopieres mellem kæder af tredjeparter. Nogle af de bedst kendte apps er udviklet af store teknologivirksomheder, men mange andre kommer fra små nystartede virksomheder. Én programmør med en god idé og beskeden eller slet ingen programmeringserfaring kan meget hurtigt nå ud til et globalt publikum. App-udviklere, som ikke er bekendt med databeskyttelseskravene, kan skabe store risici for beskyttelsen af privatlivets fred og omdømmet for de intelligente enheders brugere. Samtidig udvikler tredjepartstjenester såsom annoncering sig hurtigt, og disse kan, hvis en app-udvikler uden videre integrerer dem, videregive store mængder personoplysninger. De største databeskyttelsesrisici for slutbrugerne er den manglende gennemsigtighed og det manglende kendskab til de typer behandling, en app kan foretage, samt undladelse af at indhente slutbrugernes samtykke, før behandlingen foretages. Dårlige sikkerhedsforanstaltninger, en klar tendens i retning af datamaksimering og de løse rammer for formålene med indsamlingen af personoplysninger bidrager til at øge databeskyttelsesrisiciene inden for det aktuelle app-miljø. Mange af disse risici er allerede blevet undersøgt og behandlet af andre internationale tilsynsmyndigheder, herunder USA's Federal Trade Commission, Canadas Office of the Privacy Commissioner og generalstatsanklageren i Californiens justitsministerium. 6 5 6 Selv om internetbrowsere til desktopcomputere i større og større grad kan få adgang til sensordata på slutbrugernes enheder takket være udviklere af webspil. Se bl.a. FTC's rapport "Mobile Privacy Disclosures, Building Trust Through Transparency", februar 2013, http://www.ftc.gov/os/2013/02/130201mobileprivacyreport.pdf, FTC's rapport "Mobile Apps for Kids: Current Privacy Disclosures are Disappointing", februar 2012, http://www.ftc.gov/os/2012/02/120216mobile_apps_kids.pdf, og opfølgningsrapporten "Mobile Apps for 5

En stor risiko for databeskyttelsen er manglende gennemsigtighed. App-udviklerne er begrænset af de funktioner, som OS-producenterne og app-butikkerne udvikler for at sikre, at store mængder oplysninger kan være tilgængelige på det relevante tidspunkt for slutbrugeren. Det er imidlertid ikke alle app-udviklere, som udnytter disse funktioner, idet mange apps ikke har en fortrolighedspolitik eller undlader at informere de potentielle brugere på en meningsfuld måde om den type personoplysninger, som appen kan behandle, og til hvilke formål. Den manglende gennemsigtighed er ikke kun et problem for gratis apps eller apps ejet af uerfarne udviklere, hvilket for nyligt blev beskrevet i en undersøgelse, som viste, at blot 61,3 % af de 150 mest populære apps havde en fortrolighedspolitik. 7 Den manglende gennemsigtighed er tæt forbundet med manglen på frivilligt og informeret samtykke. Når først appen er blevet downloadet, skal slutbrugeren ofte blot give sit samtykke ved at afkrydse et felt, hvor denne accepterer vilkår og betingelser, og hvor der end ikke er mulighed for at sige "Nej tak". Ifølge en GSMA-undersøgelse fra september 2011 ønsker 92 % af app-brugerne flere valgmuligheder. 8 Dårlige sikkerhedsforanstaltninger kan føre til uautoriseret behandling af (følsomme) personoplysninger, f.eks. hvis der sker et sikkerhedsbrud hos en app-udvikler, eller hvis appen selv lækker personoplysninger. En anden risiko for databeskyttelsen handler om tilsidesættelse (på grund af uvidenhed eller bevidst) af princippet om formålsbegrænsning, ifølge hvilket personoplysninger kun må indsamles og behandles med specifikke og legitime formål for øje. Personoplysninger, som indsamles af apps, kan videregives til en lang række tredjeparter til uafgrænsede eller upræcise formål såsom "markedsanalyse". Det samme alarmerende fænomen ses for princippet om dataminimering. En nylig undersøgelse har vist, at mange apps indsamler store mængder oplysninger fra smartphones, uden at det har nogen meningsfuld relation til appens umiddelbare funktionalitet. 9 3 Databeskyttelsesprincipper 3.1 Gældende ret Den relevante retlige ramme i EU er databeskyttelsesdirektivet (95/46/EF). Det finder anvendelse i alle situationer, hvor personoplysninger behandles som følge af brugen af apps i intelligente enheder. Kids: Disclosures Still Not Making the Grade", december 2012, http://www.ftc.gov/os/2012/12/121210mobilekidsappreport.pdf, Office of the Privacy Commissioner of Canadas "Seizing Opportunity: Good Privacy Practices for Developing Mobile Apps", oktober 2012, http://www.priv.gc.ca/information/pub/gd_app_201210_e.pdf, Kamala D. Harris, generalstatsanklager i Californiens justitsministerium, "Privacy on the go, Recommendations for the mobile ecosystem", januar 2013, http://oag.ca.gov/sites/all/files/pdfs/privacy/privacy_on_the_go.pdf 7 FPF, juni 2012, "Mobile Apps Study", http://www.futureofprivacy.org/wp-content/uploads/mobile-apps- Study-June-2012.pdf 8 "89 % [af brugerne] finder det vigtigt at vide, hvornår deres personoplysninger deles af en applikation, samt at kunne vælge dette til eller fra." Kilde: "User perspectives on mobile privacy", september 2011, http://www.gsma.com/publicpolicy/wpcontent/uploads/2012/03/futuresightuserperspectivesonuserprivacy.pdf 9 Wall Street Journal, "Your Apps Are Watching You", http://online.wsj.com/article/sb10001424052748704694004576020083703574602.html. 6

For at bestemme den gældende ret er det vigtigt først at afdække de forskellige aktørers rolle, og her er det særligt vigtigt at identificere, hvem den eller de registeransvarlige er i forbindelse med behandlingen af personoplysninger i mobile apps. Bestemmelse af, hvem den registeransvarlige er, er afgørende for, hvorvidt EU's databeskyttelseslovgivning skal anvendes, men er dog ikke det eneste kriterium. I henhold til databeskyttelsesdirektivets artikel 4, stk. 1, litra a), finder medlemsstaternes nationale bestemmelser anvendelse på al behandling af personoplysninger, "der foretages som led i en virksomheds [ ] aktiviteter", inden for den medlemsstats område, hvor den registeransvarlige er etableret. Ifølge artikel 4, stk. 1, litra c), finder medlemsstatens nationale lovgivning også anvendelse på situationer, hvor den registeransvarlige ikke er etableret på Fællesskabets område og anvender midler, som befinder sig på den pågældende medlemsstats område. Eftersom enheden er medvirkende til behandlingen af personoplysninger fra og om brugeren, er dette kriterium normalt opfyldt. 10 Dette er imidlertid kun relevant, hvis den registeransvarlige ikke er etableret i EU. Derfor gælder det, at når en part, som er involveret i udvikling, distribution og drift af apps, vurderes at være registeransvarlig, er en sådan part alene eller sammen med andre ansvarlig for at sikre opfyldelse af alle kravene i databeskyttelsesdirektivet. Identifikation af rollerne for de forskellige parter, der er involveret i de mobile apps, bliver analyseret nærmere i afsnit 3.3 nedenfor. Ud over databeskyttelsesdirektivet udstikker e-data-direktivet (2002/58/EF, som ændret ved 2009/136/EF) en specifik standard for alle, der ønsker at lagre eller få adgang til oplysninger, der er lagret på enheder tilhørende brugere i Det Europæiske Økonomiske Samarbejdsområde (EØS). E-data-direktivets artikel 5, stk. 3, fastlægger, at "lagring af oplysninger eller opnåelse af adgang til oplysninger, der allerede er lagret i en abonnents eller brugers terminaludstyr, kun er tilladt på betingelse af, at abonnenten eller brugeren har givet sit samtykke hertil efter i overensstemmelse med direktiv 95/46/EF at have modtaget klare og fyldestgørende oplysninger, bl.a. om formålet med behandlingen". ( ) Mange af bestemmelserne i e-data-direktivet finder kun anvendelse på udbydere af offentligt tilgængelige elektroniske kommunikationstjenester og udbydere af offentlige kommunikationsnet i Fællesskabet, men artikel 5, stk. 3, finder anvendelse på enhver enhed, som placerer oplysninger på eller læser oplysninger fra intelligente enheder. Det finder anvendelse uanset enhedens beskaffenhed (dvs. offentlig eller privat, en individuel programmør eller en stor virksomhed, eller om den er registeransvarlig, registerfører eller tredjepart). Samtykkekravet i artikel 5, stk. 3, finder anvendelse på alle oplysninger uden hensyn til arten af de oplysninger, der lagres eller skaffes adgang til. Det er ikke begrænset til personoplysninger, men kan være en hvilken som helst type oplysninger, der er lagret på enheden. Samtykkekravet i e-data-direktivets artikel 5, stk. 3, finder anvendelse på alle tjenester, der tilbydes "i Fællesskabet", dvs. på alle enkeltpersoner, der bor i Det Europæiske Økonomiske Samarbejdsområde, uanset tjenesteudbyderens position. Det er vigtigt for app-udviklere at vide, at begge direktiver er ufravigelige retsakter, idet en persons rettigheder ikke kan overdrages og ikke kan fraviges ved kontrakt. Det betyder, at anvendelse af den europæiske lovgivning om beskyttelse af privatlivets fred ikke kan fraviges ved en ensidig erklæring eller en aftale. 11 10 11 I det omfang appen genererer trafik med personoplysninger til registeransvarlige. Det er ikke sikkert, at dette kriterium er opfyldt, hvis oplysninger kun behandles lokalt på selve enheden. F.eks. erklæringer om, at det udelukkende er lovgivningen i et retsområde uden for EØS, der finder anvendelse. 7

3.2 Personoplysninger, der behandles i apps Mange af de typer oplysninger, der lagres på eller genereres af intelligente enheder, er personoplysninger. Betragtning 24 i e-data-direktivet: "Terminaludstyr for brugere af elektroniske kommunikationsnet og alle oplysninger, der er lagret på sådant udstyr, er en del af brugernes privatsfære, der kræver beskyttelse i henhold til den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder." De er personoplysninger, hvis de er relateret til en person, som direkte (f.eks. ved navn) eller indirekte kan identificeres af den registeransvarlige eller en tredjepart. De kan omhandle ejeren af enheden eller en anden person, f.eks. en vens kontaktoplysninger i adressebogen. 12 Oplysninger kan indsamles og behandles på enheden eller, når de er overført, et andet sted, på app-udvikleres eller tredjeparters infrastruktur, via forbindelse til en ekstern API, i realtid uden slutbrugerens vidende. Eksempler på sådanne personoplysninger, som kan have en væsentlig indvirkning på brugernes og andre personers privatliv, omfatter: - position - kontakter - unik enheds- og kundeidentifikatorer (f.eks. IMEI 13, IMSI 14, UDID 15 og mobiltelefonnummer) - den registreredes identitet - telefonens identitet (dvs. telefonens navn 16 ) - kreditkort- og betalingsdata - opkaldsregistrering, SMS eller instant messaging - browsinghistorik - e-mail - informationssamfundstjenesters autentificeringsoplysninger (herunder især tjenester med sociale funktioner) - billeder og video - biometri (f.eks. ansigtsgenkendelse og fingeraftryksskabeloner). 3.3 Parter, der er involveret i databehandlingen Mange forskellige parter er involveret i udvikling, distribution og drift af apps, og de kan alle have forskellige databeskyttelsesforpligtelser. Der er fire primære parter, nemlig: i) app-udviklerne (herunder app-ejere) 17, ii) producenterne af operativsystemet og enheden ("OS- og enhedsproducenter") 18, iii), app-butikkerne (appens distributør) 12 13 14 15 16 17 Oplysninger kan i) genereres automatisk af enheden på grundlag af funktioner, som OS- og/eller enhedsproducenten eller den relevante mobiltelefoniudbyder har indbygget (f.eks. geolokaliseringsdata, netværksindstillinger, IP-adresse), ii) genereres af brugeren gennem apps (kontaktlister, noter, billeder), iii) genereres af apps (f.eks. browsinghistorik). International identitet for mobiludstyr (International Mobile Equipment Identity). International identitet for mobilabonnement (International Mobile Subscriber Identity). Unik udstyrsidentifikator (Unique Device Identifier). Brugere giver ofte telefonen deres rigtige navn: "Hans Hansens iphone". Gruppen bruger app-udviklernes almindelige terminologi, men understreger, at begrebet ikke kun omfatter programmører eller tekniske udviklere af apps, men også app-ejerne, dvs. de virksomheder og organisationer, der bestiller apps og bestemmer, hvad de skal bruges til. 8

og endelig iv) andre parter, som deltager i behandlingen af personoplysninger. I nogle tilfælde deles databeskyttelsesforpligtelserne, især når den samme enhed deltager på flere trin, f.eks. hvis OSproducenten også kontrollerer app-butikken. Slutbrugerne bør også tage et ansvar, i det omfang de opretter og lagrer personoplysninger gennem deres mobile enheder. Hvis en sådan behandling kun tjener et formål i forbindelse med udøvelse af rent personlige eller familiemæssige aktiviteter, finder databeskyttelsesdirektivet ikke anvendelse (artikel 3, stk. 2), og brugeren er fritaget fra de formelle databeskyttelsesforpligtelser. Hvis brugere imidlertid beslutter sig for at dele oplysninger via appen, f.eks. ved at offentliggøre oplysninger til et ubegrænset antal personer 19, som er brugere af en social netværks-app, behandler de oplysninger på en måde, som ikke er omfattet af fritagelsen vedrørende familiemæssige aktiviteter. 20 3.3.1 App-udviklere App-udviklere udvikler apps og/eller stiller dem til rådighed for slutbrugere. Denne kategori omfatter organisationer i den private og offentlige sektor, som overgiver udviklingen af apps til en underleverandør, og de virksomheder og personer, der opbygger og anvender apps. De designer og/eller skaber den software, der skal køre på smartphones, og bestemmer dermed, i hvilket omfang appen skal have adgang til og behandle de forskellige kategorier af personoplysninger på enheden og/eller gennem fjernressourcer (app-udvikleres eller tredjeparters computerenheder). I det omfang app-udvikleren fastlægger formålet med og metoderne til behandling af personoplysninger på intelligente enheder, er han registeransvarlig, jf. databeskyttelsesdirektivets artikel 2, litra d). Det betyder, at han skal opfylde alle databeskyttelsesdirektivets bestemmelser. De vigtigste bestemmelser er beskrevet nærmere i denne udtalelses afsnit 3.4 til 3.10. Selv når fritagelsen vedrørende familiemæssige aktiviteter finder anvendelse på en bruger, vil appudvikleren stadig være registeransvarlig, hvis han behandler oplysningerne til egne formål. Dette er f.eks. relevant, når appen kræver adgang til hele adressebogen for at kunne levere tjenesten (instant messaging, telefonopkald, videoopkald). App-udviklerens ansvar bliver væsentligt mindre, hvis der ikke behandles nogen personoplysninger, og/eller hvis de ikke bliver tilgængelige uden for enheden, eller hvis app-udvikleren har truffet passende tekniske og organisatoriske foranstaltninger til at sikre, at oplysningerne anonymiseres fuldstændigt og samles på selve enheden, før de forlader enheden. I alle tilfælde gælder det, at hvis app-udvikleren har adgang til oplysninger, der er lagret på enheden, finder e-data-direktivet også anvendelse, og app-udvikleren skal opfylde samtykkekravet i direktivets artikel 5, stk. 3. I det omfang app-udvikleren har overdraget hele eller dele af den egentlige behandling til en tredjepart, og denne tredjepart bliver registerfører, skal app-udvikleren opfylde alle forpligtelserne 18 19 20 I nogle tilfælde er OS-producenten og enhedsproducenten overlappende, mens enhedsproducenten i andre tilfælde ikke er den samme som OS-producenten. Se Domstolens dom i sag C-101/01, Straffesag mod Bodil Lindqvist, dom af 6. november 2003, og sag C- 73/07, Tietosuojavaltuutettu mod Satakunnan Markkinapörssi Oy og SatamediaOy, dom af 16. december 2008. Se Artikel 29-Gruppens udtalelse nr. 5/2009 om internetbaserede sociale netværksaktiviteter (juni 2009), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp163_da.pdf 9

vedrørende brug af en registerfører. Dette omfatter også brug af en udbyder af cloud computingtjenester (f.eks. til ekstern datalagring). 21 I det omfang app-udvikleren giver mulighed for, at tredjeparter får adgang til brugerdata (f.eks. et reklamenet, der får adgang til geolokaliseringsdata i enheden for at levere adfærdsbaseret annoncering), skal denne anvende passende mekanismer til at sikre overholdelse af de gældende krav i EU-lovgivningen. Hvis tredjeparten får adgang til oplysninger lagret på enheden, finder forpligtelsen til at indhente informeret samtykke i e-data-direktivets artikel 5, stk. 3, anvendelse. Hvis tredjeparten behandler personoplysninger til eget formål, kan denne også være fælles registeransvarlig med appudvikleren og skal derfor sikre overholdelse af princippet om formålsbegrænsning og sikkerhedsforpligtelserne 22 for den del af behandlingen, for hvilken tredjeparten bestemmer formål og metoder. Der kan være aftalt forskellige typer ordninger både kommercielle og tekniske mellem app-udviklere og tredjeparter, hvorfor de enkelte parters respektive ansvar skal fastsættes fra sag til sag under hensyntagen til de særlige omstændigheder ved den pågældende behandling. En app-udvikler kan bruge tredjepartsbiblioteker med software, der indeholder fælles funktionaliteter, f.eks. et bibliotek til en social spilplatform. App-udvikleren skal sikre, at brugerne er bekendt med den databehandling, der finder sted i sådanne biblioteker, og at sådan databehandling foretages i overensstemmelse med EU-lovgivningen, herunder ved at indhente brugerens samtykke, hvor det er relevant. App-udviklerne skal i den forstand undgå at bruge funktionaliteter, som er skjult for brugeren. 3.3.2 OS- og enhedsproducenter OS- og enhedsproducenterne bør også betragtes som registeransvarlige (og fælles registeransvarlige, hvor det er relevant) for personoplysninger, der behandles til eget formål, f.eks. med henblik på, at enheden fungerer korrekt, sikkerhed osv. Dette omfatter brugergenererede oplysninger (f.eks. brugeroplysninger ved registrering), oplysninger, som automatisk genereres af enheden (f.eks. hvis enheden har en "ring hjem"-funktion, der angiver hvor den er), eller personoplysninger, der behandles af OS- eller enhedsproducenten i forbindelse med installation eller brug af apps. Hvis OS- eller enhedsproducenten leverer yderligere funktionalitet såsom sikkerhedskopiering eller fjernlokalisering, vil denne også være registeransvarlig for de personoplysninger, der behandles til dette formål. Apps, som kræver adgang til geolokalisering, skal bruge OS-producentens lokaliseringstjenester. Hvis en app bruger geolokalisering, kan OS-producenten indsamle personoplysninger med henblik på at levere geolokaliseringsoplysningerne til appen og vil måske også overveje at bruge oplysningerne til at forbedre sine egne lokaliseringstjenester. OS-producenten er registeransvarlig for dette sidstnævnte formål. OS- og enhedsproducenten er også ansvarlig for programmeringsgrænsefladen for applikationer (API), som giver mulighed for behandling af personoplysninger i apps på den intelligente enhed. Appudvikleren vil kunne få adgang til de funktioner, som OS- og enhedsproducenterne stiller til rådighed gennem API. Eftersom OS- og enhedsproducenterne beslutter, med hvilke metoder (og i hvilket omfang) der kan opnås adgang til personoplysninger, skal de sikre, at app-udvikleren har tilstrækkeligt 21 22 Se Artikel 29-Gruppens udtalelse nr. 5/2012 om cloud computing (juli 2012), http://ec.europa.eu/justice/dataprotection/article-29/documentation/opinion-recommendation/files/2012/wp196_da.pdf Se Artikel 29-Gruppens udtalelse nr. 2/2010 om adfærdsbaseret annoncering på internettet (juni 2010), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_da.pdf, og udtalelse nr. 1/2010 om begreberne "registeransvarlig" og "registerfører" (februar 2010), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_da.pdf 10

defineret kontrol, så der kun gives adgang til de oplysninger, som er nødvendige for, at appen kan fungere. OS- og enhedsproducenterne bør også sikre, at denne adgang nemt og effektivt kan ophæves. Begrebet "indbygget privatlivsbeskyttelse" ("privacy by design") er et vigtigt princip, som allerede indirekte blev nævnt i databeskyttelsesdirektivet 23, og som sammen med "privatlivsbeskyttelse som standard" ("privacy by default") kommer mere klart frem i e-data-direktivet. 24 Det kræver, at producenterne af en enhed eller en applikation indbygger databeskyttelsen allerede i den allerførste designfase. Indbygget privatlivsbeskyttelse er et udtrykkeligt krav i forbindelse med telekommunikationsudstyr, som det fremgår af direktivet om radio- og teleterminaludstyr. 25 Derfor har OS- og enhedsproducenterne sammen med app-butikkerne et vigtigt ansvar for at sikre beskyttelsen af personoplysninger og privatlivets fred for app-brugerne. Dette omfatter at sikre, at der findes passende mekanismer til at informere og uddanne slutbrugeren i forhold til, hvad apps kan, og hvilke oplysninger de kan få adgang til, samt indføre passende indstillinger, som app-brugerne kan bruge til at ændre parametrene for behandlingen. 26 3.3.3 App-butikker De mest populære typer intelligente enheder har deres egen app-butik, og det er ofte sådan, at et bestemt operativsystem er fast integreret med en bestemt app-butik. App-butikkerne behandler ofte forudbetalinger for apps og kan også understøtte køb i apps, hvorfor de kræver brugerregistrering med navn, adresse og betalingsoplysninger. Disse (direkte) identificerbare oplysninger kan kombineres med oplysninger om købs- og brugsadfærd og med oplysninger, der aflæses fra eller genereres af enheden (som f.eks. unikke identifikatorer). I forbindelse med behandlingen af sådanne personoplysninger er app-butikkerne sandsynligvis registeransvarlige, hvilket også gælder, hvis de rapporterer sådanne oplysninger tilbage til app-udviklerne. Hvis app-butikken behandler en slutbrugers app-download- eller brugshistorik eller tilbyder en lignende funktion, som kan gendanne tidligere downloadede apps, vil denne også være registeransvarlig for de personoplysninger, der behandles til dette formål. En app-butik registrer loginoplysninger samt historikken over tidligere app-køb. Den beder også brugeren om at oplyse kreditkortnummer, som vil blive gemt sammen med brugerens konto. Appbutikken er registeransvarlig for disse registreringer. Derimod vil websteder, som giver mulighed for at downloade en app, der kan installeres på enheden, uden autentificering, muligvis ikke behandle nogen personoplysninger. App-butikkerne har indflydelsen til at få app-udviklerne til at give tilstrækkelige oplysninger om appen, herunder den type oplysninger, som appen kan behandle, og til hvilke formål. App-butikkerne kan håndhæve disse regler gennem deres leverandørpolitik (baseret på enten forudgående eller 23 24 25 26 Se betragtning 46 og artikel 17. Se artikel 14, stk. 3. Direktiv 1999/5/EF af 9. marts 1999 om radio- og teleterminaludstyr samt gensidig anerkendelse af udstyrets overensstemmelse (EFT L 91 af 7.4.1999, s. 10). I artikel 3, stk. 3, litra c), fastlægges det, at Kommissionen kan træffe afgørelse om, at slutbrugerenheder konstrueres på en sådan måde, at de er i stand til at sikre, at personoplysninger om brugeren og abonnenten og disses privatliv beskyttes. Gruppen glæder sig over FTC's anbefalinger i denne henseende i rapporten om meddelelser om beskyttelse af privatlivets fred på mobile enheder (se fodnote 6), f.eks. på side 15: "( ) platforme er i en unik position til at vise konsekvente meddelelser på tværs af apps og opfordres til at gøre dette. I overensstemmelse med svarene fra workshoppen kunne de også overveje at vise disse meddelelser på forskellige tidspunkter ( )." 11

efterfølgende kontrol). App-butikken kan i samarbejde med OS-producenten udstikke en ramme for app-udviklernes udarbejdelse af konsekvente og meningsfulde meddelelser (f.eks. symboler, der repræsenterer visse typer adgang til følsomme oplysninger) og tydelig visning af disse i app-butikkens katalog. 3.3.4 Tredjeparter Der er mange forskellige tredjeparter involveret i databehandling i forbindelse med brugen af apps. Mange gratis apps betales f.eks. af reklame, hvilket bl.a. kan omfatte kontekstuel eller personligt tilpasset annoncering, der understøttes af sporingsteknologier som cookies eller andre enhedsidentifikatorer. Annonceringen kan bestå af bannerreklamer inde i appen, annoncer uden for appen, som vises ved at ændre browserens indstillinger eller placere ikoner på mobilens skrivebord eller gennem personligt tilpasset arrangering af app-indholdet (f.eks. sponsorerede søgeresultater). Annoncering til apps leveres almindeligvis af reklamenet eller lignende mellemled, som kan have tilknytning til eller være samme enhed som OS-producenten eller app-butikken. Som beskrevet i Artikel 29-Gruppens udtalelse nr. 2/2010 27 medfører annoncering på internettet ofte behandling af personoplysninger som defineret i artikel 2 i databeskyttelsesdirektivet og fortolket af Artikel 29- Gruppen. 28 Andre eksempler på tredjeparter omfatter udbydere af analyser og kommunikationstjenester. Udbydere af analyser giver app-udviklerne et indblik i brugen, populariteten og brugervenligheden af deres apps. Udbydere af kommunikationstjenester 29 kan også spille en vigtig rolle med hensyn til at fastlægge standardindstillinger og sikkerhedsopdateringer for mange enheder og kan behandle oplysninger om brugen af apps. Deres brugertilpasning ("branding") kan have konsekvenser for omfanget af tekniske og funktionelle foranstaltninger, som brugeren kan anvende til at beskytte sine personoplysninger. Sammenlignet med app-udviklere kan tredjeparter have to typer roller: Den ene går ud på at udføre opgaver for app-ejeren, f.eks. at levere analyser i appen. I det tilfælde, når de udelukkende handler på vegne af app-udvikleren og ikke behandler oplysninger til eget formål og/eller deler oplysninger med andre udviklere, vil de sandsynligvis være registerførere. Den anden rolle er at indsamle oplysninger på tværs af apps for at levere andre tjenester: levere analysetal i større omfang (appens popularitet, personligt tilpasset anbefaling) eller undgå, at den samme annonce vises til den samme bruger. Når tredjeparter behandler personoplysninger til eget formål, optræder de som registeransvarlige og skal derfor overholde alle de gældende bestemmelser i databeskyttelsesdirektivet. 30 I forbindelse med adfærdsbaseret annoncering skal den registeransvarlige indhente gyldigt brugersamtykke til indsamling og behandling af personoplysninger, f.eks. i form af analyse og samling af personoplysninger samt oprettelse og/eller anvendelse af profiler. Som tidligere forklaret af Artikel 29-Gruppen i udtalelse nr. 2/2012 om adfærdsbaseret annoncering på internettet, er det mest hensigtsmæssigt at indhente et sådant samtykke gennem mekanismer til forudgående samtykke. 27 Se Artikel 29-Gruppens udtalelse nr. 2/2010 om adfærdsbaseret annoncering på internettet (juni 2010), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_da.pdf 28 Se også fortolkningen af begrebet personoplysninger i Artikel 29-Gruppens udtalelse nr. 4/2007 om begrebet personoplysninger (juni 2007), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_da.pdf 29 Udbydere af kommunikationstjenester er også underlagt sektorspecifikke databeskyttelsesforpligtelser, som ligger uden for denne udtalelses rammer. 30 Artikel 29-Gruppens udtalelse nr. 2/2010 om adfærdsbaseret annoncering på internettet, s. 10-11. 12

En virksomhed leverer metrik til app-ejere og annoncører ved hjælp af sporingsenheder, som er indbygget af app-udvikleren, i apps. Virksomhedens sporingsenheder kan derfor installeres på mange apps og enheder. En af ydelserne er underretning af app-udviklerne om, hvilke andre apps en bruger anvender, ved at indsamle en unik identifikator. Virksomheden definerer metoden for (dvs. sporingsenheder) og formålene med sine værktøjer, før den tilbyder dem til app-udviklere, annoncører og andre, og er derfor registeransvarlig. I det omfang tredjeparter får adgang til eller lagrer oplysninger på den intelligente enhed, skal de opfylde samtykkekravet i e-data-direktivets artikel 5, stk. 3. I denne forbindelse er det vigtigt at bemærke, at brugerne på intelligente enheder har begrænsede muligheder for at installere software, som kan kontrollere behandlingen af personoplysninger, hvilket er almindeligt i computeres webmiljø. Som et alternativ til brugen af HTTP-cookies får tredjeparter ofte adgang til unikke identifikatorer for at udvælge (grupper af) brugere og tilbyde dem målrettede ydelser, herunder annoncer. Eftersom mange af disse identifikatorer ikke kan slettes eller ændres af brugerne (som f.eks. IMEI, IMSI, MSISDN 31 og specifikke unikke enhedsidentifikatorer, der tilføjes af operativsystemet), har disse tredjeparter mulighed for at behandle store mængder personoplysninger, uden at slutbrugeren kan kontrollere det. 3.4 Retligt grundlag For at behandle personoplysninger kræves der et grundlag, som beskrevet i databeskyttelsesdirektivets artikel 7, der beskriver seks grundlag for behandlingen: Hvis der ikke hersker tvivl om, at den registrerede har givet sit samtykke, hvis behandlingen er nødvendig af hensyn til opfyldelsen af en kontrakt med den registrerede, hvis behandlingen er nødvendig for at beskytte den registreredes vitale interesser, hvis behandlingen er nødvendig for at overholde en retlig forpligtelse, (for offentlige myndigheder), hvis behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse eller for at forfølge en legitim (forretningsmæssig) interesse. Med hensyn til lagring af oplysninger eller opnåelse af adgang til oplysninger, der allerede er lagret i den intelligente enhed, skaber e-data-direktivets artikel 5, stk. 3, (dvs. kravet om samtykke til placering og hentning af oplysninger fra en enhed) en mere detaljeret begrænsning af de retlige grundlag, der kan anvendes. 3.4.1 Samtykke før installation og behandling af personoplysninger I forbindelse med apps er det vigtigste retlige grundlag samtykke. Når en app installeres, placeres der oplysninger på slutbrugerens enhed. Mange apps har også adgang til oplysninger, der er lagret på enheden, kontakter i adressebogen, billeder, videoer og andre personlige dokumenter. I alle disse tilfælde kræver e-data-direktivets artikel 5, stk. 3, samtykke fra brugeren, som har modtaget klare og fyldestgørende oplysninger, før der placeres oplysninger på enheden eller hentes oplysninger på den. Det er vigtigt at bemærke sondringen mellem det samtykke, der kræves for at placere oplysninger på og aflæse oplysninger fra enheden, og det samtykke, der er nødvendigt for at have et retligt grundlag for behandling af forskellige typer personoplysninger. Begge samtykkekrav finder anvendelse sideløbende, baseret på hver deres retsgrundlag, men de er begge underlagt betingelser om, at de skal 31 Mobilabonnentens telefonnummer (Mobile Subscriber Integrated Services Digital Network). 13

være frivillige, specifikke og informerede (som defineret i databeskyttelsesdirektivets artikel 2, litra h)). Derfor kan de to typer samtykke i princippet kombineres, enten under installationen eller før appen begynder at indsamle personoplysninger fra enheden, forudsat at brugeren bliver utvetydigt oplyst om, hvad han giver samtykke til. Mange app-butikker giver app-udviklerne mulighed for at informere slutbrugerne om de basale funktioner i en app før installation og kræver en positiv handling fra brugeren, før appen downloades og installeres (dvs. klik på en "Installér"-knap). En sådan handling kan i nogle tilfælde opfylde samtykkekravet i artikel 5, stk. 3, men den vil sandsynligvis ikke omfatte tilstrækkelig information til, at den kan fungere som gyldigt samtykke til behandling af personoplysninger. Dette emne er tidligere blevet drøftet af Artikel 29-Gruppen i udtalelse nr. 15/2011 om definitionen af samtykke. 32 I forbindelse med intelligente enheder betyder "frivilligt samtykke", at en bruger har valget mellem at acceptere eller nægte behandling af sine personoplysninger. Hvis en app skal behandle personoplysninger, skal brugeren derfor frivilligt kunne acceptere eller nægte dette. Brugeren bør ikke blive mødt med et skærmbillede kun med valgmuligheden "Ja, jeg accepterer" for at kunne afslutte installationen. Muligheden for at annullere eller på anden måde stoppe installationen skal være til stede. "Informeret" betyder, at den registrerede skal have den nødvendige information til rådighed til at kunne træffe et passende valg. 33 For at undgå tvivl skal denne information altid være tilgængelig, før der sker nogen form for behandling af personoplysninger. Dette omfatter behandling, som kunne finde sted under installationen, f.eks. med henblik på fejlfinding eller sporing. Denne informations indhold og form er nærmere beskrevet i denne udtalelses afsnit 3.7. "Specifikt" betyder, at viljetilkendegivelsen skal vedrøre behandlingen af en bestemt oplysning eller en begrænset kategori af databehandling. Derfor kan et klik på en "Installér"-knap ikke betragtes som gyldigt samtykke til behandling af personoplysninger, fordi et samtykke ikke må være en generelt formuleret godkendelse. I nogle tilfælde kan brugerne give specifikt samtykke, hvis der skal indhentes samtykke til hver enkelt type oplysninger, som appen skal have adgang til. 34 Denne metode opfylder to vigtige retlige krav, nemlig tilstrækkelige oplysning af brugeren om vigtige elementer i tjenesten og indhentning af specifikt samtykke til hver af disse. 35 Den alternative metode, hvor app-udvikleren beder sine brugere om at acceptere et langt dokument med vilkår og betingelser og/eller en fortrolighedspolitik, udgør ikke specifikt samtykke. 36 Specifikt knytter sig også til annoncørernes og andre tredjeparters sporing af brugeradfærd. Standardindstillingerne i operativsystemer og apps skal forhindre sporing, så brugerne får mulighed for at afgive specifikt samtykke til denne type databehandling. Disse standardindstillinger kan ikke 32 33 34 35 36 Artikel 29-Gruppens udtalelse nr. 15/2011 om definitionen af samtykke (juli 2011), http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2011/wp187_da.pdf Ibid., s. 19. Specifikt samtykke betyder, at man kan føre detaljeret (specifik) kontrol med, hvilke funktioner til behandling af personoplysninger, som appen indeholder, der skal aktiveres. Behovet for et sådant specifikt samtykke bekræftes også udtrykkeligt af FTC i den seneste rapport (se fodnote 6), s. 15-16: "( ) platforme bør overveje at levere rettidige meddelelser og indhente udtrykkeligt samtykke til indsamling af andet indhold, som mange forbrugere vil betragte som følsomt i mange sammenhænge, såsom billeder, kontakter, kalenderaftaler eller optagelse af lyd- eller videoindhold". Ibid., s. 34-35: "Generelt samtykke uden nogen præcis angivelse af formålet med den behandling, som den registrerede indvilliger i, opfylder ikke dette krav. Det betyder, at information om formålet med behandlingen ikke må indgå i de generelle bestemmelser, men i en separat samtykkebestemmelse." 14

omgås af tredjeparter, hvilket ellers ofte er tilfældet med de "Do Not Track"-mekanismer, der er indbygget i browsere. Eksempler på specifikt samtykke En app giver oplysninger om restauranter i nærheden. For at den kan installeres, skal app-udvikleren indhente samtykke. For at få adgang til geolokaliseringsdata skal app-udvikleren anmode om samtykke separat, f.eks. under installationen, eller før geolokaliseringen åbnes. Specifikt betyder, at samtykke skal være begrænset til det specifikke formål at rådgive brugeren om restauranter i nærheden. Der kan derfor kun opnås adgang til lokaliseringsoplysninger fra enheden, når brugeren anvender appen til det pågældende formål. Brugerens samtykke til at behandle geolokaliseringsdata giver ikke appen mulighed for løbende indsamling af lokaliseringsdata fra enheden. Denne yderligere behandling ville kræve mere information og separat samtykke. For at en kommunikations-app kan få adgang til kontaktlisten, skal brugeren kunne vælge de kontakter, som brugeren ønsker at kommunikere med, i stedet for at skulle give adgang til hele adressebogen (herunder kontaktoplysninger for personer, som ikke er brugere af den tjeneste, og som ikke har givet deres samtykke til behandling af oplysninger vedrørende dem). Det er imidlertid vigtigt at bemærke, at selv om samtykket opfylder de tre ovenstående elementer, giver det ikke ret til uretfærdig og ulovlig behandling. Hvis formålet med databehandlingen er for omfattende og/eller urimeligt, selv om brugeren har givet sit samtykke, vil app-udvikleren ikke have et gyldigt retligt grundlag, og databeskyttelsesdirektivet vil sandsynligvis være overtrådt. Eksempel på for omfattende og ulovlig databehandling Et vækkeur indeholder en funktion, hvor brugeren ved hjælp af en talekommando kan slukke det eller "snooze". I dette eksempel vil samtykket til optagelse være begrænset til det tidsrum, hvor alarmen lyder. Enhver overvågning eller optagelse af lyd, mens alarmen ikke lyder, vil sandsynligvis blive betragtet som for omfattende og ulovligt. Med hensyn til apps, som er installeret på enheden som standard (før slutbrugeren køber enheden), eller anden behandling, som OS foretager, og som kræver samtykke som et retligt grundlag, skal de registeransvarlige nøje overveje, hvorvidt dette samtykke er gyldigt. I mange tilfælde bør en separat samtykkemekanisme overvejes, muligvis når appen bruges første gang, for at gøre det muligt for den registeransvarlige at give slutbrugeren tilstrækkelig information. Når oplysningerne er særlige kategorier af oplysninger, som defineret i databeskyttelsesdirektivets artikel 8, skal samtykket være udtrykkeligt. Sidst, men ikke mindst, skal brugerne have mulighed for nemt og effektivt at trække deres samtykke tilbage. Dette vil blive beskrevet nærmere i udtalelsens afsnit 3.8. 3.4.2 Retlige grundlag for databehandling under brug af appen Som forklaret ovenfor udgør samtykke det nødvendige retlige grundlag for at give app-udvikleren tilladelse til at læse og/eller skrive oplysninger og dermed behandle personoplysninger lovligt. Efterfølgende under brug af appen kan app-udvikleren anvende andre retlige grundlag til andre typer databehandling, så længe det ikke omfatter behandling af følsomme personoplysninger. Disse retlige grundlag kan være, at det er nødvendigt af hensyn til opfyldelsen af en kontrakt med den registrerede eller for at forfølge en legitim (erhvervsmæssig) interesse, jf. databeskyttelsesdirektivets artikel 7, litra b) og f). Disse retlige grundlag er begrænset til behandling af en specifik brugers ikke-følsomme personoplysninger og kan kun anvendes i det omfang, at databehandling i et vist omfang er strengt 15

nødvendigt for at udføre den ønskede tjeneste eller, i forbindelse med artikel 7, litra f), medmindre den registreredes grundlæggende rettigheder og frihedsrettigheder går forud herfor. Eksempler på et kontraktligt retligt grundlag En bruger giver sit samtykke til installation af en mobilbank-app. For at opfylde en anmodning om at foretage en betaling behøver banken ikke at indhente brugerens separate samtykke til at oplyse dennes navn og bankkontonummer til betalingsmodtageren. Denne videregivelse af oplysninger er strengt nødvendig for at opfylde kontrakten med denne specifikke bruger, hvorfor banken har en retlig grund i henhold til databeskyttelsesdirektivets artikel 7, litra b). Det samme gælder for kommunikations-apps. Når de leverer væsentlige oplysninger, såsom et kontonavn, en e-mail-adresse eller et telefonnummer, til en anden person, som brugeren ønsker at kommunikere med, er dette åbenlyst nødvendigt for at opfylde kontrakten. 3.5 Formålsbegrænsning og dataminimering De grundlæggende principper for databeskyttelsesdirektivet er formålsbegrænsning og dataminimering. Formålsbegrænsning giver brugerne mulighed for at træffe et bevidst valg om at give en anden part deres personoplysninger, idet de bliver oplyst om, hvordan deres oplysninger vil blive brugt, og vil med den restriktive formålsbeskrivelse få en forklaring på, hvilke formål deres oplysninger skal bruges til. Formålene med databehandlingen skal derfor være veldefinerede og forståelige for den gennemsnitlige bruger uden juridisk eller teknisk ekspertviden. Samtidig kræver formålsbegrænsningen, at app-udviklerne har et godt overblik over deres forretningsmodel, før de begynder at indsamle personoplysninger fra brugere. Personoplysninger må kun behandles med et rimeligt og lovligt formål (databeskyttelsesdirektivets artikel 6, stk. 1, litra a)), og disse formål skal defineres, før databehandlingen finder sted. Princippet om formålsbegrænsning udelukker pludselige ændringer i de væsentlige betingelser for behandlingen. Hvis det oprindelige formål med en app f.eks. var at give brugerne mulighed for at sende e-mails til hinanden, men udvikleren beslutter sig for at ændre sin forretningsmodel og sammenkører sine brugeres e-mail-adresser med en anden apps brugeres telefonnumre. De respektive registeransvarlige vil dermed skulle henvende sig til hver enkelt bruger og anmode om deres forudgående utvetydige samtykke til dette nye formål med behandlingen af deres personoplysninger. Formålsbegrænsning går hånd i hånd med princippet om dataminimering. For at forhindre unødvendig og potentiel ulovlig databehandling skal app-udviklere nøje overveje, hvilke oplysninger der er strengt nødvendige for at opnå den ønskede funktionalitet. Apps kan få adgang til mange af enhedens funktioner og kan derfor udføre mange ting, som f.eks. at sende en hemmelig SMS ("stealth SMS"), få adgang til billeder og hele adressebogen. Mange appbutikker understøtter (semi-)automatiske opdateringer, hvor app-udvikleren kan integrere nye funktioner og gøre dem tilgængelige med kun begrænset eller slet ingen indblanding fra slutbrugerens side. Gruppen understreger i denne forbindelse, at tredjeparter, som får adgang til brugeroplysninger gennem apps, skal overholde principperne om formålsbegrænsning og dataminimering. Unikke enhedsidentifikatorer, som ofte ikke kan ændres, bør ikke bruges til interessebaseret annoncering og/eller analyse, fordi brugerne ikke har mulighed for at trække deres samtykke tilbage. Appudviklerne bør sikre, at funktionsskred forhindres ved ikke at ændre behandlingen fra én version af en 16

app til en anden uden at give slutbrugerne passende meddelelser derom samt mulighed for at fravælge enten behandlingen eller hele tjenesten. Brugerne bør også få teknisk mulighed for at verificere erklæringer om de oplyste formål ved at give dem adgang til oplysninger om mængden af udgående trafik pr. app i forhold til brugergenereret trafik. Information og brugerkontrol er de vigtigste midler til at sikre overholdelse af principperne om dataminimering og formålsbegrænsning. Adgang til de underliggende oplysninger på enheden gennem API'er giver OS- og enhedsproducenter og app-butikker mulighed for at håndhæve specifikke regler og give slutbrugerne passende information. OS- og enhedsproducenter bør f.eks. tilbyde en API med præcis kontrol for at differentiere mellem disse forskellige datatyper og sikre, at app-udviklerne kan anmode om adgang kun til de oplysninger, der er strengt nødvendige for deres apps (lovlige) funktionalitet. De typer oplysninger, som app-udvikleren anmoder om, kan derefter vises tydeligt i app-butikken, så brugeren oplyses om dette før installationen. I denne henseende kræver kontrol med adgangen til de oplysninger, der er lagret på enheden, forskellige mekanismer: a. OS- og enhedsproducenter og app-butikker definerer regler, som gælder for apps, der tilbydes i deres app-butik: App-udviklerne skal overholde disse regler, hvis de ikke vil risikere ikke at blive udbudt i disse butikker. 37 b. Operativsystemers API'er definerer standardmetoder for adgang til oplysninger lagret på telefonen, som apps har adgang til. De har også en indvirkning på indsamlingen af oplysninger på serversiden. c. Forudgående kontrol kontroller, der er implementeret før installation af appen. 38 d. Efterfølgende kontrol kontroller, der er implementeret efter installation af appen. 3.6 Sikkerhed I henhold til databeskyttelsesdirektivets artikel 17 skal registeransvarlige og registerførere iværksætte de fornødne tekniske og organisatoriske foranstaltninger til at beskytte de personoplysninger, de behandler. Dermed skal alle de aktører, der er defineret i afsnit 3.3, træffe foranstaltninger i forhold til den enkeltes rolle og ansvar. Overholdelse af sikkerhedsforpligtelsen har et dobbelt formål. Det giver brugerne mulighed for at føre strengere kontrol med deres oplysninger og styrker tilliden til de enheder, der håndterer brugernes oplysninger. For at kunne opfylde de respektive sikkerhedsforpligtelser som registeransvarlige skal app-udviklere, app-butikker, OS- og enhedsproducenter og tredjeparter tage højde for principperne om indbygget privatlivsbeskyttelse og privatlivsbeskyttelse som standard. Dette kræver løbende vurdering af både eksisterende og fremtidige databeskyttelsesrisici samt gennemførelse og evaluering af effektive afbødende foranstaltninger, herunder dataminimering. 37 38 På enheder, der har været udsat for "jailbreaking", kan der installeres apps uden om de officielle butikker. På Android-enheder kan der også installeres apps fra andre kilder. Det særlige tilfælde med forudinstallerede apps. 17

App-udviklere Der findes mange offentligt tilgængelige retningslinjer om sikkerheden i mobile apps, som er offentliggjort af OS- og enhedsproducenter samt uafhængige tredjeparter, f.eks. ENISA. 39 Det ligger uden for denne udtalelses rammer at gennemgå alle former for bedste sikkerhedspraksis i udviklingen af apps. Gruppen vil imidlertid benytte lejligheden til at gennemgå dem, som potentielt kan få en alvorlig indvirkning på app-brugernes grundlæggende rettigheder. En vigtig beslutning, der skal træffes, før en app designes, er, hvor oplysningerne skal lagres. I nogle tilfælde lagres brugeroplysningerne på enheden, men app-udviklerne kan også bruge en klient/serverarkitektur. Det betyder, at personoplysninger overføres eller kopieres til tjenesteudbyderens systemer. Lagring og behandling af oplysninger på enheden giver slutbrugerne den størst mulige kontrol over disse oplysninger, f.eks. ved at give dem mulighed for at slette dem, hvis de trækker deres samtykke til behandlingen tilbage. Sikker fjernlagring af oplysninger kan imidlertid bidrage til genoprettelse af dem, hvis en enhed mistes eller stjæles. Mellemliggende metoder er også en mulighed. App-udviklerne skal udstikke klare politikker for, hvordan softwaren udvikles og distribueres. OS- og enhedsproducenterne spiller også en rolle med hensyn til at fremme sikker behandling i apps, hvilket vil blive beskrevet nærmere nedenfor. Derudover skal app-udviklere og app-butikker designe og implementere et sikkerhedsvenligt miljø med værktøjer, der kan forhindre ondsindede apps i at sprede sig og gøre det muligt nemt at installere/afinstallere hver enkelt app. God praksis, som kan anvendes i forbindelse med udviklingen af en app, omfatter minimering af kodelinjer og -kompleksitet samt implementering af kontroller for at udelukke, at oplysninger overføres eller kompromitteres utilsigtet. Desuden bør al input valideres for at forhindre bufferoverløb eller injektionsangreb. Blandt andre sikkerhedsmekanismer, der bør nævnes her, er passende strategier for administration af sikkerhedspatch og udførelse af regelmæssig, uafhængig systemsikkerhedskontrol. Endvidere bør kriterierne for design af apps omfatte implementering af princippet om minimering af autorisation ("least privilege"), hvilket betyder, at apps kun kan få adgang til de oplysninger, de skal bruge for at stille en funktion til rådighed for brugeren. Appudviklere og app-butikker bør også, gennem advarsler, tilskynde brugerne til at supplere denne bedste designpraksis med god brugerpraksis, som f.eks. at opdatere deres apps til de seneste versioner, og minde dem om ikke at bruge de samme adgangskoder til forskellige tjenester. Når en app designes, skal app-udviklerne også træffe foranstaltninger til at undgå uautoriseret adgang til personoplysninger ved at sikre, at oplysningerne beskyttes både i transit og der, hvor de lagres, hvor det er relevant. Mobile apps bør køre bestemte steder i enhedernes hukommelse (sandkasser 40 ) for at reducere konsekvenserne af malware/ondsindede apps. I tæt samarbejde med OS-producenten og/eller appbutikken skal app-udviklerne bruge de mekanismer, der er til rådighed til at give brugerne mulighed for at se, hvilke oplysninger der behandles af hvilke apps, samt for at vælge at aktivere og deaktivere tilladelser. Brugen af skjulte funktioner bør ikke være tilladt. 39 40 ENISA "Smartphone Secure Development Guideline": http://www.enisa.europa.eu/activities/resilience-and- CIIP/critical-applications/smartphone-security-1/smartphone-secure-development-guidelines En sandkasse er en sikkerhedsmekanisme, der adskiller kørende programmer. 18

App-udviklere skal nøje overveje de metoder, de anvender til brugeridentifikation og autentificering. De bør ikke bruge permanente (enhedsspecifikke) identifikatorer, men app-specifikke eller midlertidige enhedsidentifikatorer med lav entropi, så det undgås, at brugerne spores over tid. Autentificeringsmekanismer, der understøtter beskyttelsen af privatlivets fred, bør overvejes. Når appudviklerne autentificerer brugerne, bør de være særligt omhyggelige med administrationen af brugernavne og adgangskoder. Sidstnævnte skal krypteres og lagres sikkert som en hashværdi med krypteringsnøgle. At stille en test af de valgte adgangskoders kvalitet til rådighed for brugerne er også en nyttig måde at opfordre brugerne til at oprette bedre adgangskoder på (entropitest). Hvis det er relevant (adgang til følsomme oplysninger, men også adgang til betalingsressourcer), kan det overvejes at genautentificere brugeren, også ved hjælp af flere faktorer og forskellige kanaler (f.eks. adgangskode sendt pr. SMS) og/eller brug af autentificeringsoplysninger relateret til slutbrugeren (og ikke til enheden). Når der vælges sessionsidentifikatorer, bør der desuden bruges uforudsigelige strenge, muligvis sammen med kontekstuelle oplysninger som dato og tidspunkt, men også IP-adresser eller geolokaliseringsdata. App-udviklerne bør også være opmærksomme på kravene i e-data-direktivet med hensyn til brud på persondatasikkerheden og behovet for at informere brugerne proaktivt. Disse krav gælder i øjeblikket kun for udbydere af offentligt tilgængelige elektroniske kommunikationstjenester, men det forventes, at forpligtelsen vil blive udvidet til at omfatte alle registeransvarlige (og registerførere) med den fremtidige databeskyttelsesforordning, jf. Kommissionens forslag (COM(2012) 11/COD). Dette betyder, at det bliver endnu vigtigere at have og løbende evaluere en omfattende "sikkerhedsplan" om indsamling, lagring og behandling af personoplysninger med henblik på at forhindre sådanne brud samt undgå at blive idømt de store bøder, der foreslås i disse situationer. Sikkerhedsplanen skal bl.a. også komme ind på sårbarhedsstyring samt rettidig og sikker udsendelse af pålidelige fejlretninger. App-udviklernes ansvar for deres produkters sikkerhed stopper ikke, når de har leveret en fungerende version på markedet. Apps kan som alle andre softwareprodukter have sikkerhedsfejl og sårbarheder, og app-udviklerne skal udvikle fejlretninger eller patches for disse og levere dem til de aktører, der kan stille dem til rådighed for brugerne, eller gøre det selv. App-butikker App-butikker er et vigtigt mellemled mellem slutbrugerne og app-udviklerne og bør foretage en række solide og effektive kontroller af apps, før de markedsfører dem. De bør oplyse om de kontroller, de faktisk udfører, samt om deres kontrol af overholdelsen af databeskyttelseslovgivningen. Dette er ikke fuldstændigt effektivt med hensyn til at undgå spredning af ondsindede apps, men statistikken viser, at denne praksis i væsentlig grad reducerer forekomsten af ondsindede funktioner i "officielle" app-butikker. 41 For at kunne håndtere det store antal apps, der modtages hver dag, kunne det være hensigtsmæssigt for denne proces at have automatiske analyseværktøjer samt at indføre muligheder for informationsudveksling mellem sikkerhedseksperter og softwareudviklere samt effektive procedurer og politikker til håndtering af indberetninger om problemer. Ud over at gennemgå apps, før de udbydes i app-butikken, bør der også etableres en brugervurderingsmekanisme. Apps bør ikke kun vurderes ud fra, hvor "cool" de er, men også i forhold til deres funktioner, særligt med hensyn til deres fortroligheds- og sikkerhedsmekanismer. Disse brugervurderinger bør endvidere udvikles således, at man undgår falske vurderinger. Kvalificeringsog vurderingsmekanismer for apps kan også være effektive med hensyn til at opbygge gensidig tillid 41 "Hey, You, Get Off of My Market: Detecting Malicious Apps in Official and Alternative Android Markets", Y Zhou et al., Network and Distributed System Security Symposium (NDSS) 2012. 19

mellem de forskellige parter, navnlig hvis der udveksles oplysninger langs en lang kæde af tredjeparter. App-butikker har ofte en metode til at afinstallere ondsindede eller usikre apps fra fjernt hold. Denne mekanisme kan, hvis den ikke er designet rigtigt, udgøre en hindring for brugernes mulighed for at føre strengere kontrol med deres oplysninger. Den metode, som app-butikken anvender til at afinstallere apps fra fjernt hold, bør derfor for at beskytte privatlivets fred tage udgangspunkt i information og brugersamtykke. Endvidere bør brugerne rent praktisk have adgang til at give feedback, så de kan indberette sikkerhedsproblemer med deres apps samt oplysninger om effektiviteten af en sådan afinstallationsprocedure. Ligesom app-udviklerne bør app-butikkerne være opmærksomme på fremtidige forpligtelser til at oplyse om brud på persondatasikkerheden og samarbejde tæt med app-udviklerne for at forhindre sådanne brud. OS- og enhedsproducenter OS- og enhedsproducenterne er også en vigtig aktør i forbindelse med udarbejdelsen af minimumsstandarder og bedste praksis for app-udviklere ikke kun med hensyn til sikkerheden af den underliggende software og API'er, men også i de værktøjer, vejledninger og det referencemateriale, de stiller til rådighed. OS- og enhedsproducenterne bør anvende effektive og velkendte krypteringsalgoritmer og understøtte tilstrækkelige nøglelængder. De bør desuden stille effektive og sikre autentificeringsmekanismer til rådighed for app-udviklerne (f.eks. brug af certifikater underskrevet af anerkendte certificeringsmyndigheder for at verificere godkendelsen af en fjernressource). Dette ville betyde, at det ikke er nødvendigt for app-udviklerne at udvikle egne autentificeringsmekanismer. I praksis er dette ofte dårligt implementeret og kan udgøre en væsentlig sårbarhed. 42 Adgang til og behandling af personoplysninger i apps bør styres gennem indbyggede API-klasser og -metoder, som omfatter passende kontroller og beskyttelsesforanstaltninger. OS- og enhedsproducenterne bør sikre, at de metoder og funktioner, der tillader adgang til personoplysninger, omfatter midler til at indføre anmodninger om specifikt samtykke. Tilsvarende bør der træffes foranstaltninger til at forhindre eller begrænse adgang til personoplysninger ved hjælp af funktioner på lavt niveau eller andre metoder, som kunne omgå den kontrol og de beskyttelsesforanstaltninger, der er indbygget i API'er. OS- og enhedsproducenterne skal også indarbejde klare revisionsspor i enhederne, så slutbrugerne klart kan se, hvilke apps der har fået adgang til oplysninger på deres enheder. Alle parter skal reagere hurtigt på sikkerhedsbrister, så slutbrugerne ikke eksponeres unødigt for sikkerhedsproblemer. Desværre giver nogle OS- og enhedsproducenter (samt telekommunikationsselskaber, som sælger mærkeenheder) ikke langsigtet support til OS-versionerne, hvilket betyder, at brugerne ikke er beskyttet mod velkendte sikkerhedsbrister. OS- og enhedsproducenterne skal sammen med app-udviklerne på forhånd give slutbrugerne oplysninger om, i hvor lang tid de kan forvente at modtage regelmæssige sikkerhedsopdateringer. De bør også hurtigst muligt informere brugerne, hvis et sikkerhedsproblem kræver en opdatering. 42 Det er for nyligt blevet påpeget, at manglen på visuelle sikkerhedsindikatorer for SSL/TLS-brug og den utilstrækkelige brug af SSL/TLS kan udnyttes til at gennemføre MITM-angreb. Ifølge nylig research omfatter det samlede antal apps med sårbarheder over for MITM-angreb, som er installeret, flere millioner brugere. "Why Eve and Mallory Love Android: An Analysis of Android SSL (In)Security", Bernd Freisleben og Matthew Smith, 19. ACM Conference on Computer and Communications Security (ACM CCS 2012). 20

Tredjeparter Ovenstående sikkerhedsfunktioner og overvejelser gælder også for tredjeparter, når de indsamler og behandler personoplysninger til eget formål, herunder især annoncører og udbydere af analyser. Dette omfatter sikker overførsel og krypteret lagring af unikke enheds- og app-identifikatorer og andre personoplysninger. 3.7 Information 3.7.1 Oplysningspligt og påkrævet indhold I henhold til databeskyttelsesdirektivets artikel 10 har de enkelte registrerede ret til at kende identiteten på den registeransvarlige, som behandler deres personoplysninger. Endvidere har brugeren i forbindelse med apps ret til at vide, hvilken type personoplysninger der behandles, og formålet med den behandling, hvortil oplysningerne er bestemt. Hvis brugerens personoplysninger indsamles fra andre aktører i app-økosystemet (som beskrevet i denne udtalelses afsnit 3.3), har slutbrugeren i henhold til databeskyttelsesdirektivets artikel 11 ikke desto mindre ret til på samme måde at blive informeret om sådan databehandling. Hvis den registeransvarlige behandler personoplysninger, skal denne derfor som minimum informere potentielle brugere om: hvem den registeransvarlige er (identitet og kontaktoplysninger) de nøjagtige kategorier af personoplysninger, som app-udvikleren vil indsamle og behandle hvorfor (til hvilke formål) hvorvidt oplysningerne vil blive videregivet til tredjeparter hvordan brugerne kan udøve deres rettigheder med hensyn til at trække samtykke tilbage og slette oplysninger. Det er afgørende for at kunne indhente samtykke fra brugeren til databehandlingen, at denne information om behandlingen af personoplysninger er tilgængelig. Samtykket er kun gyldigt, hvis den pågældende person først er blevet informeret om de vigtigste aspekter af databehandlingen. Først at give denne information, når appen er begyndt at behandle personoplysninger (hvilket ofte begynder under installationen), betragtes ikke som tilstrækkeligt og har ingen retsgyldighed. I overensstemmelse med FTC's rapport fremhæver Gruppen behovet for at give informationen på det tidspunkt, hvor det er vigtigt for forbrugerne, dvs. lige før oplysningerne indsamles af apps. At få at vide, hvilke oplysninger der behandles, er særligt vigtigt pga. den omfattende adgang, apps generelt har til sensorer og datastrukturer på enheden, hvor en sådan adgang i mange tilfælde ikke er umiddelbart klar. Tilstrækkelig information er også af afgørende betydning, når appen behandler særlige kategorier af personoplysninger, f.eks. om helbred, politiske overbevisninger, seksuel orientering osv. Endelig bør app-udvikleren klart differentiere mellem påkrævet og valgfri information, og systemet bør give brugeren mulighed for at nægte adgang til valgfri oplysninger ved hjælp af standardindstillinger, der beskytter privatlivets fred. Med hensyn til den registeransvarliges identitet skal brugerne vide, hvem der er juridisk ansvarlig for behandlingen af deres personoplysninger, og hvordan den registeransvarlige kan kontaktes. Ellers kan de ikke udøve deres rettigheder, herunder retten til at få adgang til lagrede oplysninger om dem (fra fjernt hold). På grund af app-landskabets fragmentering er det afgørende, at hver enkelt app har ét kontaktpunkt, som er ansvarligt for al den databehandling, der finder sted via appen. Det skal ikke være slutbrugerens opgave at undersøge forholdet mellem app-udviklere og andre parter, som behandler personoplysninger gennem appen. Hvad angår formål, skal slutbrugerne have tilstrækkelig information om, hvilke oplysninger der indsamles om dem, og hvorfor. Brugerne bør i et klart og forståeligt sprog have at vide, hvorvidt oplysningerne kan genbruges af andre parter, og i så tilfælde til hvilke formål. Brede formål, som f.eks. "produktinnovation", udgør ikke tilstrækkelig information til brugerne. Det bør angives klart, 21

hvis brugerne vil blive anmodet om at give samtykke til datadeling med tredjeparter med henblik på annoncering og/eller analyser. App-butikkerne har et vigtigt ansvar for at sikre, at denne information er let tilgængelig for hver enkelt app. Ligeledes har app-butikkerne et vigtigt ansvar for at sikre passende information. Det anbefales kraftigt at bruge visuelle tegn eller ikoner, som angiver brugen af oplysninger, således at brugerne er bekendt med de forskellige typer databehandling. Ud over ovennævnte minimumskrav til information, som skal opfyldes for at indhente samtykke fra app-brugeren, tilråder Gruppen kraftigt med henblik på rimelig behandling af personoplysninger, at de registeransvarlige også giver brugerne information om: proportionalitet for de typer oplysninger, der indsamles eller opnås adgang til på enheden lagringsperioder for oplysninger sikkerhedsforanstaltninger, som den registeransvarlige anvender. Gruppen anbefaler også, at app-udviklerne i deres fortrolighedspolitik til europæiske brugere medtager information om, hvordan appen overholder den europæiske databeskyttelseslovgivning, herunder mulige overførsler af personoplysninger fra Europa til f.eks. USA, og hvorvidt og hvordan appen i så tilfælde opfylder safe harbour-principperne. 3.7.2 Informationens form Den vigtigste information om databehandlingen skal være tilgængelig for brugerne, før appen installeres, via app-butikken. For det andet skal det også være muligt at få adgang til al relevant information om databehandlingen i appen efter installationen. Som fælles registeransvarlig med app-udviklerne med hensyn til information skal app-butikkerne sikre, at enhver app indeholder vigtig information om behandlingen af personoplysninger. De bør kontrollere links til sider med fortrolighedsoplysninger og fjerne apps med ødelagte links eller information om databehandlingen, der af andre grunde ikke er tilgængelig. Gruppen anbefaler, at information om behandling af personoplysninger også er tilgængelig og nem at finde, f.eks. i app-butikken og helst på de almindelige websteder for den app-udvikler, der er ansvarlig for appen. Det er ikke acceptabelt, at brugerne skal søge på internettet efter information om appens politik for behandling af personoplysninger i stedet for at blive informeret direkte af app-udvikleren eller anden registeransvarlig. Alle apps bør som minimum have en læselig, forståelig og let tilgængelig fortrolighedspolitik, som indeholder al den ovennævnte information. Mange apps opfylder ikke dette minimumskrav til gennemsigtighed. Ifølge en undersøgelse, som FPF gennemførte i juni 2012, har 56 % af alle betalings-apps og næsten 30 % af alle gratis apps ikke en fortrolighedspolitik. For apps, som ikke behandler personoplysninger, eller som ikke er bestemt til det, bør dette klart fremgå af fortrolighedspolitikken. Der er selvfølgelig begrænsninger på, hvor megen information der kan vises på en lille skærm, men dette er ikke nogen undskyldning for ikke at give slutbrugerne tilstrækkelig information. Der er flere strategier, som kan følges for at sikre, at brugerne er bekendt med tjenestens vigtigste elementer. Gruppen finder det hensigtsmæssigt at bruge flerlagsmeddelelser, som beskrevet i Artikel 29-22

Gruppens udtalelse nr. 10/2004 43, hvor den første meddelelse til brugeren som minimum indeholder den information, der kræves i EU-lovgivningen, og der er adgang til yderligere information via links til hele fortrolighedspolitikken. Informationen bør vises direkte på skærmen, være nemt tilgængelig og meget synlig. Ud over omfattende information, der er egnet til de mobile enheders lille skærm, skal brugerne via links have adgang til yderligere forklaringer, f.eks. i fortrolighedspolitikken, om, hvordan appen bruger personoplysninger, hvem der er registeransvarlig, og hvor brugeren kan udøve sine rettigheder. Denne fremgangsmåde kan kombineres med brugen af ikoner, video og audio og anvende kontekstuelle meddelelser i realtid, når en app får adgang til adressebogen eller billeder. 44 Disse ikoner skal være meningsfulde, dvs. tydelige, åbenlyse og utvetydige. OS-producenterne har helt klart et vigtigt fælles ansvar for at lette brugen af sådanne ikoner. App-udviklerne er dygtige til at programmere og designe komplekse grænseflader til små skærme, og Gruppen opfordrer branchen til at bruge sine kreative talenter til at levere mere innovative løsninger til effektivt at informere brugerne på mobile enheder. For at sikre at informationen virkelig er forståelig for brugere uden teknisk eller juridisk baggrund, anbefaler Gruppen (i overensstemmelse med FTCrapporten) kraftigt, at de valgte informationsstrategier forbrugertestes. 45 3.8 Den registreredes rettigheder I henhold til databeskyttelsesdirektivets artikel 12 og 14 skal app-udviklere og andre registeransvarlige i det mobile app-økosystem give brugerne mulighed for at udøve deres ret til indsigt, berigtigelse, sletning samt til at gøre indsigelse mod databehandlingen. Hvis en bruger udøver sin ret til indsigt, skal den registeransvarlige give brugeren information om de oplysninger, der behandles, samt hvorfra disse stammer. Hvis den registeransvarlige træffer edb-baserede afgørelser ud fra de indsamlede oplysninger, skal den registeransvarlige også informere brugeren om, hvilken logik der ligger bag sådanne afgørelser. Dette kan være tilfældet, når brugernes erhvervsevne eller adfærd evalueres, f.eks. baseret på finansielle oplysninger, helbredsoplysninger eller andre profiloplysninger. Hvis brugeren anmoder derom, skal den registeransvarlige også give mulighed for at få personoplysninger berigtiget, slettet eller blokeret, hvis de er ufuldstændige, urigtige eller ikke er blevet behandlet i overensstemmelse med lovgivningen. For at brugerne skal kunne udøve kontrol med behandlingen af deres personoplysninger, skal apps klart og synligt informere brugerne om, at disse mekanismer til indsigt og berigtigelse findes. Artikel 29-Gruppen anbefaler, at der designes og implementeres enkle, men sikre onlineværktøjer til indsigt. Disse bør være tilgængelige i de enkelte apps eller gennem et link til en onlinefunktion, hvor brugeren kan få umiddelbar indsigt i alle oplysninger, der behandles om dem, samt de nødvendige forklaringer derpå. Udbydere af onlinetjenester har anvendt lignende initiativer som forskellige dashboards og andre indsigtsmekanismer. Behovet for let at få indsigt online er særligt udtalt i forbindelse med apps, som behandler omfattende brugerprofiler, såsom netværks-apps, sociale apps og messaging-apps, eller apps, som behandler følsomme eller finansielle oplysninger. Der bør naturligvis kun gives indsigt, hvis den registreredes identitet er blevet konstateret, for at undgå, at oplysningerne lækkes til tredjeparter. Denne forpligtelse 43 44 45 Se Artikel 29-Gruppens udtalelse nr. 10/2004 om mere harmoniserede bestemmelser om oplysningspligt (juli 2004), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2004/wp100_da.pdf. F.eks. et advarselsikon i forbindelse med geolokaliseringsbehandling på iphones. FTC's rapport (se fodnote 6), s. 16. 23

til at verificere identiteten bør imidlertid ikke betyde, at der indsamles flere eller for mange personoplysninger om den registrerede. I mange tilfælde kan autentificering være tilstrækkeligt i stedet for (fuld) identificering. Desuden bør brugerne altid få mulighed for at trække deres samtykke tilbage på en enkel og ikke byrdefuld måde. En registreret kan trække sit samtykke til databehandling tilbage på en række forskellige måder og af en række forskellige årsager. Muligheden for at trække sit samtykke tilbage bør fortrinsvis gives ved hjælp af de ovennævnte let tilgængelige mekanismer. Det skal være muligt at afinstallere apps og dermed fjerne alle personoplysninger, også fra den eller de registeransvarliges servere. For at give brugerne mulighed for, at app-udvikleren kan slette deres oplysninger, er det vigtigt, at OS-producenten giver app-udvikleren besked, når en bruger afinstallerer appen. Denne besked kunne f.eks. gives gennem API'en. App-udvikleren har i princippet, når brugeren har afinstalleret appen, ikke noget retligt grundlag for fortsat at behandle den pågældende brugers personoplysninger, hvorfor denne skal slette alle oplysningerne. En app-udvikler, som ønsker at lagre visse oplysninger, f.eks. for at lette geninstallation af appen, skal anmode om separat samtykke i afinstallationsprocessen og bede brugeren om at acceptere en nærmere bestemt længere lagringsperiode. Den eneste undtagelse til denne regel er, at der kan gælde retlige forpligtelser til at bevare nogle oplysninger til specifikke formål, f.eks. skattemæssige forpligtelser i forbindelse med finansielle transaktioner. 46 3.9 Lagringsperioder App-udviklerne skal overveje lagringen af oplysninger, der indsamles med appen, og de databeskyttelsesrisici, som disse udgør. De nærmere bestemte tidshorisonter afhænger af formålet med appen og oplysningernes relevans for slutbrugeren. En app til deling af kalender, dagbog eller billeder vil f.eks. lade det være op til slutbrugeren, hvor længe oplysningerne skal lagres, mens det for en navigations-app kan være nok at lagre de seneste 10 besøgte steder. App-udviklerne bør også tage højde for oplysningerne om de brugere, som ikke har brugt appen i lang tid. Disse brugere kan have mistet deres mobile enhed eller skiftet til en anden enhed uden aktivt at have afinstalleret alle apps på den første enhed. App-udviklerne bør derfor fastsætte grænsen for en periode med inaktivitet, hvorefter kontoen vil blive betragtet som udløbet, og sikre, at brugeren bliver informeret om denne grænse. Når perioden udløber, bør den registeransvarlige meddele det til brugeren og give denne en chance for at hente personoplysninger. Hvis brugeren ikke reagerer på dette, bør personoplysningerne om brugeren og brugen af appen anonymiseres eller slettes fuldstændigt. Påmindelsesperioden afhænger af appens formål, og hvor oplysningerne er lagret. Hvis det drejer sig om oplysninger, der er lagret på selve enheden, f.eks. en highscore i et spil, kan oplysningerne blive bevaret, så længe appen er installeret. Hvis det drejer sig om oplysninger, der kun bruges én gang om året, som f.eks. oplysninger om et skiresort, kunne perioden være 15 måneder. 46 Gruppen minder alle informationssamfundstjenester, såsom apps, om, at den europæiske forpligtelse til lagring af data (direktiv 2006/24/EF) ikke finder anvendelse på dem og derfor ikke kan anvendes som retligt grundlag for fortsat at behandle oplysninger om app-brugere, når de har slettet appen. Gruppen benytter lejligheden til at fremhæve, at trafikdata er særligt risikable og derfor skal underkastes særlige forholdsregler og sikkerhedsforanstaltninger, som fremhævet i Artikel 29-Gruppens rapport om håndhævelse af datalagringsdirektivet (WP172), hvor alle de relevante aktører blev opfordret til at gennemføre passende sikkerhedsforanstaltninger. 24

3.10 Børn Børn er ivrige brugere af apps, enten på deres egne enheder eller delte enheder (f.eks. deres forældres, søskendes eller i skolen), og der er helt klart et stort og diversificeret marked for apps rettet mod børn. Samtidig har børn kun begrænset eller ingen forståelse for eller viden om omfanget og følsomheden af de oplysninger, som apps kan få adgang til, eller omfanget af delingen af oplysninger med tredjeparter med henblik på annoncering. Gruppen har grundigt behandlet spørgsmålet om behandling af børns personoplysninger i udtalelse nr. 2/2009 om beskyttelse af børns personoplysninger og vil kun komme ind på nogle app-specifikke risici og anbefalinger i dette afsnit. 47 App-udviklere og andre registeransvarlige bør være opmærksomme på aldersgrænsen for, hvornår man er barn eller mindreårig, i den nationale lovgivning, hvor forældrenes samtykke til databehandlingen er en betingelse for, at det kan ske lovligt i apps. 48 Når der lovligt kan indhentes samtykke fra en mindreårig, og appen er bestemt til brug for et barn eller en mindreårig, bør den registeransvarlige være opmærksom på den mindreåriges potentielt begrænsede forståelse af og opmærksomhed på information om databehandlingen. Som følge af deres generelle sårbarhed og under hensyntagen til, at personoplysninger skal behandles rimeligt og lovligt, bør registeransvarlige, der har børn som målgruppe, følge principperne om dataminimering og formålsbegrænsning endnu mere strengt. Registeransvarlige bør især ikke behandle børns oplysninger til adfærdsbaseret annoncering, hverken direkte eller indirekte, eftersom barnet ikke vil kunne forstå dette, og det derfor ikke vil blive betragtet som lovlig behandling. Gruppen deler Federal Trade Commissions bekymringer i sin rapport om mobile apps til børn. 49 App-udviklerne bør i samarbejde med app-butikkerne og OS- og enhedsproducenterne præsentere den relevante information på en enkel måde og i et alderssvarende sprog. De registeransvarlige bør også specifikt undlade at indsamle oplysninger om barnets forældre eller familiemedlemmer, såsom finansielle oplysninger eller oplysninger om særlige kategorier af oplysninger, som f.eks. helbredsoplysninger. 4 Konklusioner og anbefalinger Mange af de typer oplysninger, der er tilgængelige på en intelligent mobil enhed, er personoplysninger. Det relevante retsgrundlag er databeskyttelsesdirektivet samt det specifikke samtykkekrav i e-data-direktivets artikel 5, stk. 3. Reglerne finder anvendelse på enhver app, der er rettet mod app-brugere i EU, uanset hvor app-udvikleren eller -butikken befinder sig. 47 48 49 WP160, Udtalelse nr. 2/2009 om beskyttelse af børns personoplysninger (Generelle retningslinjer og særtilfældet skoler) (11. februar 2009), http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp160_da.pdf I EU's medlemsstater går aldersgrænserne fra 12 til 18 år. FTC's rapport "Mobile Apps for Kids: "Current Privacy Disclosures are Disappointing" (februar 2012), http://www.ftc.gov/os/2012/02/120216mobile_apps_kids.pdf: "Vi fandt en lang række forskellige apps til børn udviklet af hundredvis af forskellige udviklere, men fandt kun begrænset, eller slet ingen, information i app-butikkerne om praksis for indsamling og deling af oplysninger i disse apps". 25

App-økosystemet er fragmenteret, der er mange tekniske muligheder for adgang til oplysninger, som lagres på eller genereres af mobile enheder, og udviklerne mangler viden om retsgrundlaget, hvilket alt sammen skaber en række alvorlige databeskyttelsesrisici for app-brugerne. Disse risici varierer fra manglende gennemsigtighed og manglende opmærksomhed blandt app-brugerne til dårlige sikkerhedsforanstaltninger, ugyldige samtykkemekanismer, en tendens i retning af datamaksimering og løse rammer for formålene med databehandlingen. Databeskyttelsesansvaret overlapper mellem de forskellige aktører, der er involveret i udviklingen og distributionen af apps samt deres tekniske muligheder. De fleste af konklusionerne og anbefalingerne er rettet mod app-udviklerne (idet de har størst kontrol over, hvordan behandlingen præcist foretages, eller hvordan informationen præsenteres i appen), men de er ofte nødt til at samarbejde med andre parter i appens økosystem, såsom OS- og enhedsproducenterne, app-butikkerne og tredjeparter som f.eks. udbydere af analyser og reklamenet, for at kunne opfylde de højeste standarder for beskyttelse af privatlivets fred og databeskyttelse. App-udviklere skal være bekendt med og opfylde deres forpligtelser som registeransvarlige, når de behandler oplysninger fra og om brugere være bekendt med og opfylde deres forpligtelser som registeransvarlige, når de indgår aftale med registerførere, f.eks. hvis de overlader indsamlingen og behandlingen af personoplysninger til udviklere, programmører og f.eks. udbydere af cloud-lagring anmode om samtykke, før appen begynder at hente eller placere oplysninger på enheden, dvs. før appen installeres, hvilket samtykke skal være frivilligt, specifikt og informeret anmode om specifikt samtykke til hver enkelt type oplysninger, som appen skal have adgang til, herunder som minimum kategorierne placering, kontakter, unik enhedsidentifikator, den registreredes identitet, telefonens identitet, kreditkort- og betalingsoplysninger, telefoni og SMS, browsinghistorik, e-mail, oplysninger i sociale netværk og biometri være opmærksom på, at samtykke ikke retfærdiggør for omfattende eller urimelig databehandling give veldefineret og forståelig information om formålet med databehandlingen før installation af appen og ikke ændre disse formål uden fornyet samtykke, give omfattende information, hvis oplysningerne skal bruges af tredjeparter, til f.eks. annoncering eller analyser give brugerne mulighed for at trække deres samtykke tilbage og afinstallere appen og slette oplysningerne, hvor det er relevant overholde princippet om dataminimering og kun indsamle de oplysninger, der er strengt nødvendige for at opnå den ønskede funktionalitet træffe de nødvendige organisatoriske og tekniske foranstaltninger til at sikre, at de personoplysninger, de behandler, beskyttes i alle appens design- og implementeringsfaser (indbygget privatlivsbeskyttelse), som defineret i udtalelsens afsnit 3.6 etablere et enkelt kontaktpunkt for appens brugere udarbejde en læselig, forståelig og let tilgængelig fortrolighedspolitik, der som minimum informerer brugerne om: hvem den registeransvarlige er (identitet og kontaktoplysninger) de nøjagtige kategorier af personoplysninger, som appen vil indsamle og behandle hvorfor databehandlingen er nødvendig (til hvilke formål) hvorvidt oplysningerne vil blive videregivet til tredjeparter (ikke bare en generisk, men en specifik beskrivelse af, hvem oplysningerne vil blive videregivet til) hvilke rettigheder brugerne har med hensyn til at trække samtykke tilbage og slette oplysninger give app-brugerne mulighed for at udøve deres ret til indsigt, berigtigelse, sletning samt til at gøre indsigelse mod databehandlingen og informere dem om, at disse mekanismer findes fastsætte en rimelig lagringsperiode for oplysninger, som indsamles med appen, samt på forhånd fastsætte grænsen for en periode med inaktivitet, hvorefter kontoen vil blive betragtet som udløbet med hensyn til apps til børn være opmærksom på aldersgrænsen for, hvornår man er barn eller mindreårig i den nationale lovgivning, vælge den mest restriktive fremgangsmåde for 26

databehandlingen under fuld overholdelse af principperne om dataminimering og formålsbegrænsning, undlade at behandle børns personoplysninger med henblik på adfærdsbaseret annoncering, enten direkte eller indirekte, og undlade at indsamle oplysninger gennem børnene om deres familiemedlemmer og/eller venner. Gruppen anbefaler, at app-udviklere gennemgår de relevante retningslinjer med hensyn til specifikke sikkerhedsrisici og -foranstaltninger proaktivt informerer brugerne om brud på persondatasikkerheden i overensstemmelse med kravene i e-data-direktivet informerer brugerne om proportionaliteten for de typer oplysninger, der indsamles eller opnås adgang til på enheden, lagringsperioder for oplysningerne og de anvendte sikkerhedsforanstaltninger udvikler værktøjer, som giver brugerne mulighed for at tilpasse lagringsperioderne for deres personoplysninger ud fra netop deres præferencer og forhold, i stedet for at tilbyde på forhånd fastsatte lagringsvilkår medtager information specielt til europæiske brugere i deres fortrolighedspolitik udvikler og implementerer enkle, men sikre onlineværktøjer til indsigt til brugerne uden at indsamle flere og for omfattende personoplysninger sammen med OS- og enhedsproducenterne og app-butikkerne bruger deres kreative evner til at udvikle innovative løsninger til effektivt at informere brugerne på mobile enheder, f.eks. gennem et system med flerlagsmeddelelser kombineret med meningsfulde ikoner. App-butikker skal være bekendt med og opfylde deres forpligtelser som registeransvarlige, når de behandler oplysninger fra og om brugere håndhæve app-udviklerens informationsforpligtelser, herunder vedrørende de typer oplysninger, som appen kan få adgang til, og til hvilke formål, samt hvorvidt oplysningerne deles med tredjeparter være særligt opmærksomme på apps rettet mod børn for at beskytte mod ulovlig behandling af deres oplysninger, og navnlig håndhæve forpligtelsen til at præsentere den relevante information på en enkel måde og på et alderssvarende sprog give detaljeret information om den kontrol af apps, som de faktisk udfører, herunder kontrol med henblik på at vurdere spørgsmål vedrørende privatlivets fred og databeskyttelse. Gruppen anbefaler, at app-butikker i samarbejde med OS-producenten udvikler kontrolværktøjer til brugerne, som f.eks. symboler, der repræsenterer indsigt i oplysninger, som er lagret på og genereres af den mobile enhed etablerer en brugervurderingsmekanisme for alle apps implementerer en mekanisme til afinstallation fra fjernt hold, som beskytter privatlivets fred giver brugerne mulighed for at give feedback, så de kan indberette problemer med beskyttelsen af privatlivets fred og/eller sikkerheden samarbejder med app-udviklerne om proaktivt at informere brugerne om brud på persondatasikkerheden advarer app-udviklerne om bestemmelserne i den europæiske lovgivning, før de frigiver appen i Europa, f.eks. om samtykkekravet og i forbindelse med overførsler af personoplysninger til ikke- EU-lande. OS- og enhedsproducenter skal opdatere deres API'er, butiksregler og brugergrænseflader for at give brugerne tilstrækkelig kontrol til at kunne give deres gyldige samtykke til behandling af oplysninger i apps implementere mekanismer til indhentning af samtykke i deres OS fra første gang, appen lanceres, eller første gang, appen forsøger at få adgang til en af de kategorier af oplysninger, som har en væsentlig indvirkning på privatlivets fred 27

anvende principperne om indbygget privatlivsbeskyttelse for at undgå hemmelig overvågning af brugeren sikre behandlingssikkerhed sikre, at (standardindstillingerne i) forudinstallerede apps overholder den europæiske databeskyttelseslovgivning tilbyde specifik adgang til oplysninger, sensorer og tjenester for at sikre, at app-udvikleren kun kan få adgang til de oplysninger, der er nødvendige for appen stille brugervenlige og effektive midler til rådighed til at undgå at blive sporet af annoncører og andre tredjeparter, hvor bl.a. standardindstillingerne skal forhindre enhver form for sporing sikre, at der findes passende mekanismer til at informere og uddanne slutbrugeren i forhold til, hvad appen kan gøre, og hvilke oplysninger den kan få adgang til sikre, at alle mulighederne for adgang til kategorier af oplysninger beskrives i informationen til brugeren, før appen installeres, idet de beskrevne kategorier skal være klare og forståelige implementere et sikkerhedsvenligt miljø med værktøjer, som forhindrer, at ondsindede apps spredes, og giver mulighed for let at installere/afinstallere hver enkelt funktionalitet. Gruppen anbefaler, at OS- og enhedsproducenter giver brugerne mulighed for at afinstallere apps og giver app-udvikleren et tegn (f.eks. gennem API'en), som giver mulighed for at slette de relevante brugeroplysninger systematisk tilbyder og fremmer regelmæssige sikkerhedsopdateringer sikrer, at metoder og funktioner, der giver mulighed for adgang til personoplysninger, omfatter midler til at indføre anmodninger om specifikt samtykke aktivt bidrager til at udvikle og fremme ikoner, som advarer brugerne om, hvordan apps bruger oplysninger på forskellige måder indarbejder klare revisionsspor i enhederne, så slutbrugerne klart kan se, hvilke apps der har fået adgang til oplysninger på deres enheder samt mængden af udgående trafik pr. app i forhold til brugergenereret trafik. Tredjeparter skal være bekendt med og opfylde deres forpligtelser som registeransvarlige, når de behandler personoplysninger om brugere opfylde samtykkekravet i e-data-direktivets artikel 5, stk. 3, når de læser eller skriver oplysninger på mobile enheder, i samarbejde med app-udviklere og/eller app-butikker, som i det væsentlige giver brugeren information om formålene med databehandlingen ikke omgå nogen mekanisme, der har til formål at forhindre sporing, hvilket i øjeblikket ofte sker med "Do Not Track"-mekanismerne i browsere hvis der er tale om udbydere af kommunikationstjenester, når de sælger mærkeenheder, sikre, at der indhentes gyldigt samtykke fra brugerne til forudinstallerede apps, og tage højde for de relevante forpligtelser, når de medvirker til at fastlægge bestemte funktioner i enheden og i OS, f.eks. når de begrænser brugerens adgang til visse konfigurationsparametre eller filtrerer fejlretningsopdateringer (sikkerhedsmæssige og funktionelle) fra enheds- og OS-producenter hvis der er tale om annoncører, specifikt undgå at opsætte annoncer uden for appen, f.eks. annoncere ved at ændre browserindstillinger eller placere ikoner på mobilens skrivebord, samt undlade at bruge unikke enheds- og abonnentidentifikatorer med henblik på sporing undlade at behandle personoplysninger om børn med henblik på adfærdsbaseret annoncering, hverken direkte eller indirekte, samt anvende passende sikkerhedsforanstaltninger, herunder sikker overførsel og krypteret lagring af unikke enheds- og app-brugeridentifikatorer samt andre personoplysninger. Gruppen anbefaler, at tredjeparter udvikler og implementerer enkle, men sikre onlineværktøjer til indsigt til brugerne uden at indsamle flere og for omfattende personoplysninger kun indsamler og behandler oplysninger, som er relevante for den kontekst, hvor brugeren angiver oplysningerne. 28