Yttrande 2/2013 om appar på smarta enheter

Transkript

1 ARTIKEL 29-ARBETSGRUPPEN FÖR SKYDD AV PERSONUPPGIFTER 00461/13/SV WP 202 Yttrande 2/2013 om appar på smarta enheter Antaget den 27 februari 2013 Arbetsgruppen inrättades enligt artikel 29 i direktiv 95/46/EG. Den är ett oberoende rådgivande EU-organ i frågor rörande dataskydd och integritet. Dess uppgifter beskrivs i artikel 30 i direktiv 95/46/EG och artikel 15 i direktiv 2002/58/EG. Gruppens sekretariat finns hos direktorat C (Grundläggande rättigheter och medborgarskap) vid Europeiska kommissionen, Generaldirektoratet för rättsliga frågor, B-1049 Bryssel, Belgien, kontor MO-59 02/013. Webbplats:

2 Sammanfattning Det finns hundratusentals olika applikationer, eller appar, att ladda ner från olika appbutiker för varje typ av smart enhet. Enligt vissa rapporter läggs över nya appar ut i appbutikerna varje dag. En genomsnittlig smarttelefonanvändare laddar enligt rapporterna ned omkring 37 appar. Appar erbjuds slutanvändaren till låga eller inga kostnader och kan ha ett fåtal eller flera miljoner användare. Apparna kan samla in stora mängder uppgifter från enheter (t.ex. uppgifter som användaren har lagrat och uppgifter från olika sensorer, bland annat lokalisering) och behandla dessa för att kunna erbjuda slutanvändaren nya och innovativa tjänster. Samma uppgiftskällor kan dock behandlas ytterligare, i typfallet för att skapa inkomster på ett sätt som slutanvändaren kanske inte vet om eller inte önskar. Apputvecklare som inte känner till dataskyddskraven kan skapa allvarliga risker för smartenhetanvändarens privatliv och anseende. De viktigaste dataskyddsriskerna för slutanvändarna är bristen på öppenhet och medvetenhet om vilka typer av uppgiftsbehandling en app kan utföra, i kombination med avsaknaden av meningsfullt samtycke från slutanvändaren innan denna behandling äger rum. Bristfälliga säkerhetsåtgärder, en tydlig trend mot datamaximering och en elasticitet i fråga om syftet för insamling av personuppgifter bidrar ytterligare till de dataskyddsrisker som kan urskiljas i den nuvarande appmiljön. En annan hög risk vad gäller dataskyddet kommer från den höga nivån av fragmentering mellan många olika aktörer inom apputvecklingsvärlden. Här finns bland annat apputvecklare, appägare, appbutiker, tillverkare av operativsystem och enheter (nedan kallade OS-och enhetstillverkare) och andra tredjeparter som kan vara inblandade i insamlingen och behandlingen av personuppgifter från smarta enheter, t.ex. företag som tillhandahåller analys- och reklamtjänster. De flesta av slutsatserna och rekommendationerna i detta yttrande riktar sig till apputvecklarna (eftersom de har störst kontroll över exakt hur behandlingen sker eller hur informationen presenteras i appen), men för att dessa ska kunna uppnå högsta standard i fråga om skydd av privatlivet och personuppgifter måste de ofta samarbeta med andra parter i app-systemet. Detta är särskilt viktigt när det gäller säkerheten, där kedjan av olika aktörer aldrig är starkare än dess svagaste länk. Många av de uppgifter som finns på smarta mobila enheter är personuppgifter. Den relevanta rättsliga ramen är direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (nedan kallat dataskyddsdirektivet), i kombination med det skydd som direktiv 2002/58/EG om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (nedan kallat direktivet om e-integritet) innebär för mobila enheter som en del av användarens privatliv. Dessa regler gäller alla appar som riktar sig till användare inom EU oavsett var apputvecklaren eller appbutiken finns. I det här yttrandet klargör arbetsgruppen den rättsliga ram som är tillämplig på behandling av personuppgifter vid utveckling, distribution och användning av appar på smarta enheter. Fokus ligger på kravet på samtycke, principerna om ändamålsbegränsning och dataminimering, behovet av att vidta adekvata säkerhetsåtgärder, kravet på korrekt information till slutanvändarna, deras rättigheter, rimliga lagringsperioder och särskilt korrekt behandling av uppgifter som insamlats från och om barn. 2

3 Innehåll 1. Inledning Dataskyddsrisker Dataskyddsprinciper Tillämplig lagstiftning Personuppgifter som behandlas av appar Parter som är involverade i uppgiftsbehandling Apputvecklare OS- och enhetstillverkare Appbutiker Tredjeparter Rättslig grund Föregående samtycke för lagring och behandling av personuppgifter Rättsliga grunder för behandling av uppgifter under användning av appen Ändamålsbegränsning och dataminimering Säkerhet Information Informationsplikten och det innehåll som krävs Informationens utformning De registrerades rättigheter Lagringsperioder Barn Slutsatser och rekommendationer

4 1. Inledning Appar är programvaruapplikationer som ofta utvecklats för en specifik uppgift och är inriktade på en specifik grupp av smarta enheter, som smarta telefoner, surfplattor och tv-apparater med internetanslutning. De organiserar information på ett sätt som är särskilt anpassat för enhetens specifika egenskaper och samverkar ofta nära med hårdvaran och det operativsystem som finns på enheterna. Det finns hundratusentals olika appar att ladda ner från olika appbutiker för varje typ av smart enhet. Appar används till olika saker, som webbläsning, kommunikation (e-post, telefoni och meddelanden via internet), underhållning (spel, filmer/videoklipp, musik), socialt nätverkande, banktjänster och platsbaserade tjänster. Enligt vissa rapporter läggs över nya appar ut i appbutikerna varje dag 1. En genomsnittlig smarttelefonanvändare laddar ned 37 appar. 2 Appar erbjuds slutanvändaren till låga eller inga kostnader och kan ha ett fåtal eller flera miljoner användare. Det underliggande operativsystemet innehåller också programvara eller datastrukturer som är viktiga för de smarta enheternas grundläggande tjänster, t.ex. adressboken i en smarttelefon. Operativsystemet är utformat för att göra komponenterna tillgängliga för appar genom gränssnitt kallade API (Application Programming Interfaces). Dessa API:er möjliggör åtkomst till de många sensorerna som kan finnas på smarta enheter. Sensorerna kan bland annat vara gyroskop, digital kompass och accelerometer som visar rörelsers hastighet och riktning, kamera fram och bak för att filma och ta bilder och mikrofon för att registrera ljud. Smarta enheter kan också innehålla närhetssensorer. 3 Dessutom kan de kopplas samman genom en mängd olika nätverksgränssnitt, bl.a. Wi-Fi, Bluetooth, NFC eller Ethernet. Slutligen kan positionen bestämmas mycket korrekt med geografiska lokaliseringstjänster (vilket beskrivs i artikel 29-arbetsgruppens yttrande 13/2011 om geografiska lokaliseringstjänster på smarta mobila anordningar 4 ). Sensoruppgifternas typ, noggrannhet och frekvenser varierar beroende på enhet och operativsystem. Genom API:erna kan apputvecklare samla in dessa uppgifter kontinuerligt, få åtkomst till och skriva in kontaktuppgifter, skicka e-post, sms eller andra meddelanden i sociala nätverk, läsa/ändra/radera innehåll på SD-kort, spela in ljud, använda kameran och få åtkomst till lagrade bilder, läsa av telefonens status och identitet, ändra de globala systeminställningarna och förhindra att telefonen går in i standbyläge. API:er kan också ge information om själva enheten genom en eller flera unika identifierare och information om andra installerade appar. Dessa uppgiftskällor kan behandlas ytterligare, vanligtvis för att skapa inkomster, på ett sätt som slutanvändaren kanske inte är medveten om eller önskar Rapport i ConceivablyTech, av den 19 augusti 2012, tillgänglig på Citerat av Kamala D. Harris, Attorney General vid California Department of Justice, Privacy on the go, Recommendations for the mobile ecosystem, januari 2013, Detta är en global uppskattning för 2012 gjord av ABI Research, En sensor som kan känna av närvaron av ett fysiskt föremål utan att ha fysisk kontakt med det. Se Se artikel 29-arbetsgruppens yttrande 13/2011 om geografiska lokaliseringstjänster på smarta mobila anordningar (maj 2011), 4

5 Syftet med detta yttrande är att klargöra den rättsliga ramen som är tillämplig på behandling av personuppgifter vid distribution och användning av appar på smarta enheter och att ta i beaktande ytterligare behandling som kan äga rum utanför själva appen, som utnyttjande av de insamlade uppgifterna för att skapa profiler och kartlägga användare. I yttrandet analyseras de viktigaste dataskyddsriskerna. Vidare beskrivs de olika berörda parterna och de rättsliga ansvarsområdena framhålls. Detta inbegriper bl.a. apputvecklare, appägare, tillverkare av enheter och operativsystem (OS-och enhetstillverkare) samt tredjeparter som kan vara involverade i insamlingen och behandlingen av personuppgifter från smarta enheter, exempelvis företag som tillhandahåller analys- och reklamtjänster. Yttrandet fokuserar på kravet på samtycke, principerna om ändamålsbegränsning och dataminimering, behovet av att vidta adekvata säkerhetsåtgärder, kravet på korrekt information till slutanvändarna, deras rättigheter, rimliga lagringsperioder och särskilt korrekt behandling av uppgifter som insamlats från och om barn. Yttrandet täcker många olika typer av smarta enheter men är särskilt fokuserat på appar som är tillgängliga för smarta mobila enheter. 2. Dataskyddsrisker Genom att apparna samverkar så nära med operativsystemet får de åtkomst till betydligt mer uppgifter än en vanlig webbläsare. 5 Apparna kan samla in stora mängder uppgifter från enheten (platsuppgifter, uppgifter som användaren har sparat på enheten och uppgifter från de olika sensorerna) och behandla dessa för att skapa möjligheter att erbjuda slutanvändaren nya och innovativa tjänster. Graden av fragmentering mellan de olika aktörerna inom apputvecklingsvärlden innebär också en hög dataskyddsrisk. En enskild uppgift kan i realtid överföras från enheten för att behandlas var som helst i världen eller kopieras mellan kedjor av tredjeparter. En del av de mest välkända apparna utvecklas av stora teknikföretag, men många skapas av små nystartade företag. En enskild programmerare med en idé och liten eller ingen tidigare kunskap om programmering kan på kort tid nå en världspublik. Apputvecklare som inte känner till dataskyddskraven kan skapa allvarliga risker för smartenhetanvändarens privatliv och anseende. Samtidigt utvecklas tredjepartstjänster som t.ex. reklam också snabbt, vilket om det integreras av en apputvecklare utan vederbörlig försiktighet kan avslöja betydande mängder personuppgifter. De viktigaste dataskyddsriskerna för slutanvändarna är bristen på öppenhet och medvetenhet om vilka typer av uppgiftsbehandling en app kan utföra, i kombination med avsaknaden av meningsfullt samtycke från slutanvändaren innan denna behandling äger rum. Bristfälliga säkerhetsåtgärder, en tydlig trend mot datamaximering och en elasticitet i fråga om syftet för insamling av personuppgifter bidrar ytterligare till de dataskyddsrisker som kan urskiljas i den nuvarande appmiljön. Många av dessa risker har redan granskats och tagits itu med av andra internationella regleringsorgan, som US Federal Trade Commission (FTC), Canadian Office of the Privacy Commissioner och the Attorney General vid Californian Department of Justice Även datorernas webbläsare får allt större åtkomst till sensoruppgifter från slutanvändarnas enheter, något som drivs på av nätspelutvecklare. Se bland annat FTC-rapporten Mobile Privacy Disclosures, Building Trust Through Transparency, februari 2013, FTC-rapporten Mobile Apps for Kids: Current Privacy Disclosures are Disappointing, februari 2012, och den uppföljande rapporten, Mobile Apps for Kids: Disclosures Still Not Making the Grade, december 2012, 5

6 En central dataskyddsrisk är bristen på öppenhet och insyn. Apputvecklare begränsas av de egenskaper som tillverkarna av operativsystem och appbutiker gör tillgängliga för att se till att omfattande information levereras till slutanvändaren i rätt tid. Alla apputvecklare utnyttjar dock inte dessa egenskaper eftersom många appar inte har någon integritetspolicy eller missar att på ett meningsfullt sätt informera sina potentiella användare om vilken typ av personuppgifter appen kan behandla och i vilka syften. Bristen på öppenhet och insyn gäller inte bara gratisappar eller appar som ägs av oerfarna utvecklare. I en ny studie rapporteras att bara 61,3 % av de 150 mest populära apparna har en policy för integritetsskydd. 7 Bristen på öppenhet och insyn hänger nära samman med en brist på fritt och informerat samtycke. När appen väl har laddats ned sker samtycket vanligtvis bara genom att användaren får kryssa i en ruta för att godkänna villkoren, utan att det ens finns ett nej tack -alternativ. Enligt en GSMA-studie från september 2011 vill 92 % av appanvändarna ha ett mer detaljerat val. 8 Bristfälliga säkerhetsåtgärder kan leda till otillåten behandling av (känsliga) personuppgifter, exempelvis om en apputvecklare råkar ut för dataintrång eller om själva appen läcker ut personuppgifter. En annan dataskyddsrisk gäller underlåtenhet (medveten eller på grund av okunskap) att följa principen om ändamålsbegränsning enligt vilken personuppgifter bara får insamlas och behandlas för specifika och lagliga ändamål. Personuppgifter som samlas in av appar kan spridas brett till ett antal tredjeparter för odefinierade eller elastiska ändamål som marknadsundersökning. Samma allvarliga underlåtenhet visas i fråga om principen om dataminimering. Aktuell forskning har visat att många appar samlar in mängder av uppgifter från smarttelefoner, utan att det finns något meningsfullt samband med appens uppenbara funktion. 9 3 Dataskyddsprinciper 3.1 Tillämplig lagstiftning Den relevanta EU-lagstiftningen är dataskyddsdirektivet (95/46/EG). Det gäller i varje fall då användningen av appar på smarta enheter inbegriper behandling av individers personuppgifter. För att identifiera den tillämpliga lagstiftningen är det viktigt att först kartlägga vilka roller de olika inblandade intressenterna har att avgöra vem eller vilka som är registeransvariga för den behandling Canadian Offices of the Privacy Commissioners, Seizing Opportunity: Good Privacy Practices for Developing Mobile Apps, oktober 2012, Kamala D. Harris, Attorney General vid California Department of Justice, Privacy on the go, Recommendations for the mobile ecosystem, januari 2013, FPF, juni 2012, Mobile Apps study, Study-June-2012.pdf. 89 % [av användarna] tycker att det är viktigt att veta när deras personuppgifter delas av en applikation och att ha möjlighet att stänga av och sätta på denna funktion. Källa: User perspectives on mobile privacy, september 2011, Wall Street Journal, Your Apps Are Watching You, 6

7 som utförs via mobilappar är särskilt viktigt när det gäller tillämplig lagstiftning. Fastställandet av registeransvarig är ett avgörande element för tillämpningen av EU:s dataskyddslagstiftning, även om det inte är det enda kriteriet. Enligt artikel 4.1 a i dataskyddsdirektivet är medlemsstatens nationella lagstiftning tillämplig för all behandling av personuppgifter som utförs som ett led i en verksamhet inom den medlemsstat där den registeransvarige är etablerad. Enligt artikel 4.1 c i dataskyddsdirektivet är medlemsstatens nationella lagstiftning också tillämplig i de fall den registeransvarige inte är etablerad på gemenskapens territorium men använder utrustning som finns inom medlemsstatens territorium. Eftersom enheten är central för behandlingen av personuppgifter från och om användaren är detta kriterium vanligtvis uppfyllt. 10 Men detta är bara relevant i de fall den registeransvarige inte är etablerad inom EU. Följden blir att i de fall en part som är involverad i utveckling, distribution och drift av appar bedöms vara registeransvarig är denna part, ensam eller gemensamt med andra, ansvarig för att se till att alla krav i dataskyddsdirektivet uppfylls. Identifieringen av rollerna för de parter som är involverade i mobilappar analyseras närmare nedan under punkt 3.3. Utöver dataskyddsdirektivet fastställs i direktivet om e-integritet (2002/58/EG, i dess lydelse enligt 2009/136/EG) en specifik standard för alla parter globalt som vill lagra eller få åtkomst till information som lagras i utrustning som tillhör användare i Europeiska ekonomiska samarbetsområdet (EES). I artikel 5.3 i direktivet om e-integritet föreskrivs att lagring av information eller tillgång till information som redan är lagrad i en abonnents eller användares terminalutrustning endast är tillåten på villkor att abonnenten eller användaren i fråga har gett sitt samtycke efter att ha fått tillgång till tydlig och fullständig information, i enlighet med direktiv 95/46/EG, bland annat om ändamålen med behandlingen av uppgifterna. ( ) Medan många av bestämmelserna i direktivet om e-integritet bara gäller aktörer som tillhandahåller allmänt tillgängliga elektroniska kommunikationstjänster och allmänna kommunikationsnät i gemenskapen, gäller artikel 5.3 alla aktörer som lägger ut information på smarta enheter eller läser information från sådana. Det gäller oavsett vilken slags aktör det rör sig om (dvs. oavsett om det är ett offentligt eller enskilt företag, en enskild programmerare eller ett stort företag, eller om det är en registeransvarig, registerförare eller en tredje part). Kravet på samtycke i artikel 5.3 gäller all information, oavsett arten av de uppgifter som lagras eller ges åtkomst till. Räckvidden begränsas inte till personuppgifter utan informationen kan vara alla slags uppgifter som finns lagrade på enheten. Kravet på samtycke i artikel 5.3 i direktivet om e-integritet gäller tjänster som erbjuds inom gemenskapen, det vill säga till alla individer som bor inom det Europeiska ekonomiska samarbetsområdet, oavsett var den som tillhandahåller tjänsten finns. Det är viktigt att apputvecklare känner till att båda direktiven är tvingande lagstiftning på så sätt att individens rättigheter inte är överförbara och inte kan avtalas bort. Det innebär att tillämpligheten av EU:s lagstiftning om skydd av uppgifter inte kan upphävas genom en ensidig deklaration eller ett avtal I den mån appen genererar trafik med personuppgifter till registeransvariga. Detta kriterium kanske inte är uppfyllt om uppgifterna bara behandlas lokalt, inom själva enheten. Exempelvis förklaringar om att endast en lag i en jurisdiktion utanför EES är tillämplig. 7

8 3.2 Personuppgifter som behandlas av appar Många typer av uppgifter som lagras eller genereras av en smart enhet är personuppgifter. I skäl 24 i direktivet om e-integritet anges följande: Terminalutrustning för användare av elektroniska kommunikationsnät och all information som finns lagrad i sådan utrustning är en del av privatlivet för användarna och kräver skydd enligt Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna Uppgifterna är personuppgifter oavsett om individen de gäller kan identifieras direkt (t.ex. med namn) eller indirekt för den registeransvarige eller en tredje part. De kan gälla anordningens ägare eller en annan individ, t.ex. kontaktuppgifter i en adressbok. 12 Uppgifter kan samlas in och behandlas på själva enheten eller överföras och behandlas någon annanstans på apputvecklarens eller tredjeparts infrastruktur, genom anslutning till en extern API, i realtid utan att slutanvändaren är medveten om detta. Exempel på hur sådana personuppgifter kan vara viktiga för användarens och andra individers privatliv är följande: - Lokalisering - Kontakter - Unika identifieringsnummer för anordningen eller kunden (exempelvis IMEI 13, IMSI 14, UDID 15 och mobiltelefonnummer) - Den registrerades identitet - Telefonens identitet (dvs. telefonens namn 16 ) - Kreditkorts- och betalningsinformation - Loggning av telefonsamtal, sms och snabbmeddelanden - Webbläsarhistorik - E-post - Autentiseringsuppgifter för informationssamhällets tjänster (särskilt sociala tjänster) - Bilder och videofilmer - Biometriska uppgifter (t.ex. ansiktsigenkänning och fingeravtryck) 3.3 Parter som är involverade i uppgiftsbehandling Många olika parter är involverade i utveckling, distribution och drift av appar, och var och en kan ha olika ansvar för dataskyddet. Fyra huvudsakliga parter kan identifieras. Dessa är följande: i) apputvecklare (bland annat appägare) 17, tillverkare av operativsystem och enheter (OS- och enhetstillverkare) 18, iii), appbutiker (som Uppgifter kan antingen i) genereras automatiskt av enheten, på grundval av egenskaper som förbestämts av OS- och enhetstillverkare eller av telefonoperatören (t.ex. geografisk lokalisering, nätverksinställningar, IPadress); ii) genereras av användaren genom appar (kontaktlistor, anteckningar, bilder); eller iii) genereras av apparna (t.ex. historik). International Mobile Equipment Identity International Mobile Subscriber Identity Unique Device Identifier Användare använder ofta sitt eget namn när de namnger sina telefoner: Kalle Karlssons iphone. 8

9 distribuerar appen och slutligen iv) andra parter som är involverade i behandlingen av personuppgifter. I vissa fall delas ansvaret för dataskydd, särskilt om samma aktör är involverad på flera stadier, exempelvis om OS-tillverkaren också kontrollerar appbutiken. Slutanvändarna har också ett ansvar i den mån de skapar och sparar personuppgifter i sina mobila enheter. Om denna behandling bara är för personligt bruk eller för hushållet är inte dataskyddsdirektivet tillämpligt (artikel 3.2) och användaren är då undantagen från de formella kraven på dataskydd. Men om användare bestämmer sig för att dela uppgifter via appen, t.ex. genom att göra information tillgänglig för ett obegränsat antal människor 19 med hjälp av en social nätverksapp, innebär detta att uppgifterna behandlas utanför ramen för hushållsundantaget Apputvecklare Apputvecklare skapar appar och/eller gör dem tillgängliga för slutanvändarna. Denna kategori innefattar privata och offentliga organisationer som uppdrar åt andra att utveckla appar och de företag och individer som skapar och utvecklar apparna. De utformar och/eller skapar programvaran som ska användas i smarttelefoner och bestämmer därmed i vilken omfattning appen får åtkomst till och kan behandla olika kategorier av personuppgifter i enheten och/eller via nätverksresurser (i apputvecklarens eller tredje parts datorenheter). I den mån apputvecklaren fastställer ändamål och medel för behandling av personuppgifter på smarta enheter är denne registeransvarig enligt definitionen i artikel 2 d i dataskyddsdirektivet. I sådana fall måste utvecklaren följa dataskyddsdirektivets alla bestämmelser. De viktigaste bestämmelserna förklaras i punkterna 3.4 till 3.10 i detta yttrande. Även i de fall hushållsundantaget är tillämpligt för användaren är apputvecklaren fortfarande registeransvarig om denne behandlar uppgifterna för sina egna syften. Detta är t.ex. relevant när appen begär åtkomst till hela adressboken för att kunna leverera tjänsten (snabbmeddelande, telefonsamtal, videosamtal). Apputvecklarens ansvar begränsas avsevärt om inga personuppgifter behandlas och/eller görs tillgängliga utanför enheten, eller om apputvecklaren har vidtagit lämpliga tekniska och organisatoriska åtgärder för att se till att uppgifterna anonymiseras oåterkalleligt och aggregeras på själva enheten innan några uppgifter lämnar enheten. I varje fall där apputvecklaren får tillgång till information som finns lagrad på enheten gäller också direktivet om e-integritet och apputvecklaren måste följa reglerna om samtycke i artikel 5.3 i det direktivet. Om apputvecklaren har uppdragit en del eller all den aktuella uppgiftsbehandlingen till en tredjepart och denna tredjepart tar på sig rollen som registerförare måste apputvecklaren följa alla krav som ställs Arbetsgruppen använder det vanliga begreppet apputvecklare, men vill framhålla att termen inte är begränsad till att gälla programmeraren eller den som tekniskt utvecklar appen, utan även omfattar appägaren, dvs. företag och organisationer som beställer utvecklingen av appar och bestämmer deras syften. I vissa fall är OS-tillverkaren densamma som enhetstillverkaren, medan det i andra fall är olika företag som tillverkar operativsystemet och enheten. Se EG-domstolens dom i mål C-101/01 förhandsavgörande i målet mot Bodil Lindqvist, av den 6 november 2003 och i mål C-73/07 Tietosuojavaltuutettu mot Satakunnan Markkinapörssi Oy och Satamedia Oy, av den 16 december Se artikel 29-arbetsgruppens yttrande 5/2009 om sociala nätverk på Internet (juni 2009), 9

10 i samband med utnyttjandet av en registerförare. Detta omfattar då även utnyttjandet av ett företag som tillhandahåller molnbaserade tjänster (t.ex. för extern lagring av uppgifter). 21 I den mån apputvecklaren medger tredjeparts åtkomst till användaruppgifter (t.ex. ett annonsnätverk får åtkomst till enhetens geografiska lokaliseringsuppgifter för att kunna leverera beteendebaserad reklam) måste denne använda lämpliga mekanismer för att följa tillämpliga regler enligt EU:s regelverk. Om tredjeparten får åtkomst till uppgifter som lagras i enheten gäller kravet på informerat samtycke enligt artikel 5.3 i direktivet om e-integritet. Om tredjeparten behandlar uppgifter för sina egna syften kan denne dessutom också vara registeransvarig gemensamt med apputvecklaren och måste därför se till att principen om ändamålsbegränsning och säkerhetskraven 22 följs för den del av uppgiftsbehandlingen där tredjeparten styr ändamål och medel. Eftersom det kan finnas olika typer av avtal såväl kommersiella som tekniska mellan apputvecklare och tredjeparter måste varje parts ansvarsområde fastställas från fall till fall med beaktande av de specifika omständigheterna för uppgiftsbehandlingen. En apputvecklare kan använda tredjeparters bibliotek med programvara som tillhandahåller allmänna funktioner, exempelvis ett bibliotek för plattformar för sociala spel. Apputvecklaren måste se till att användarna är medvetna om all uppgiftsbehandling som utförs av sådana bibliotek och, i förekommande fall, att uppgiftsbehandlingen överensstämmer med EU:s regelverk, bland annat genom att när så är tillämpligt erhålla användarens samtycke. Därför måste apputvecklarna förhindra att funktioner är dolda för användaren OS- och enhetstillverkare OS- och enhetstillverkare ska också anses vara registeransvariga (och då detta är relevant gemensamt registeransvariga) för alla personuppgifter som behandlas för deras egna syften, exempelvis för att enheten ska fungera smidigt, säkerhet osv. Detta kan innefatta användargenererade uppgifter (t.ex. användaruppgifter vid registrering), uppgifter som automatiskt genereras av enheten (t.ex. om enheten har en ring hem -funktion för lokalisering) eller personuppgifter som behandlas av OS- eller enhetstillverkaren som härrör från installation eller användning av appar. Om OS- eller enhetstillverkaren tillhandahåller ytterligare funktioner, som backup eller lagring utanför enheten är denne också registeransvarig för de personuppgifter som behandlas för detta ändamål. Appar som kräver tillgång till geografiska lokaliseringstjänster måste använda operativsystemets platstjänster. När en app använder lokaliseringstjänster kan operativsystemet samla in personuppgifter för att förse appen med platsinformation, och möjligheten finns att uppgifterna används för att förbättra operativsystemets egna platstjänster ytterligare. När det gäller det sistnämnda ändamålet är operativsystemet registeransvarig. OS- och enhetstillverkare är också ansvariga för applikationsgränssnittet (API) som möjliggör behandling av personuppgifter genom appar på den smarta enheten. Apputvecklaren kommer att få åtkomst till de egenskaper och funktioner som OS- och enhetstillverkarna gör tillgängliga via API:et. Eftersom OS- och enhetstillverkarna avgör hur (och i vilken omfattning) personuppgifter blir åtkomliga, måste de se till att apputvecklaren har tillräckligt detaljerad kontroll för att bara de Se artikel 29-arbetsgruppens yttrande 5/2012 om datormoln (cloud computing) (juli 2012), Se artikel 29-arbetsgruppens yttrande 2/2010 om beteendebaserad reklam på Internet (juni 2010), och yttrande 1/2010 om begreppen registeransvarig och registerförare (februari 2010), 10

11 uppgifter som krävs för att appen ska fungera blir åtkomliga. OS- och enhetstillverkare bör också se till att åtkomsten kan upphävas enkelt och effektivt. Begreppet inbyggt integritetsskydd är en viktig princip som man indirekt hänvisar till redan i dataskyddsdirektivet 23 och som tillsammans med integritetsskydd som standard tydliggörs än mer i direktivet om e-integritet. 24 Det kräver att de som tillverkar en enhet eller en applikation bygger in integritetsskydd redan vid början av utformningen. Inbyggt integritetsskydd krävs uttryckligen vid utformning av telekommunikationsutrustning, i enlighet med direktivet om radioutrustning och teleterminalutrustning. 25 OS- och enhetstillverkare har därför tillsammans med appbutikerna ett viktigt ansvar för att skydda appanvändarnas personuppgifter och privatliv. Detta inbegriper att se till att det finns lämpliga mekanismer för att informera och utbilda slutanvändarna om vad apparna kan göra och vilka uppgifter de har åtkomst till, samtidigt som man tillhandahåller lämpliga inställningar så att appanvändarna kan ändra parametrarna i uppgiftsbehandlingen Appbutiker De mest använda typerna av smarta enheter har egna appbutiker och ofta är det så att ett visst operativsystem är integrerat med en viss appbutik. Appbutikerna hanterar ofta förskottsbetalningar för appar och kan ha stöd för köp inuti appen, vilket kräver att användaren registrerar sig med namn, adress och finansiella uppgifter. Dessa (direkt) identifierbara uppgifter kan kombineras med uppgifter om köp- och användarbeteende och med uppgifter som avläses eller genereras från enheten (t.ex. unika identifierare). För behandling av sådana personuppgifter är troligen appbutikerna registeransvariga, även om de rapporterar informationen vidare till apputvecklarna. När appbutikerna behandlar en slutanvändares nedladdning av appar eller användningshistorik eller liknande för att återställa tidigare nedladdade appar är de också registeransvariga för de personuppgifter som behandlas för detta ändamål. En appbutik registrerar inloggningsuppgifter och historiken över tidigare köpta appar. Appbutiken begär också användarens kreditkortsnummer som ska sparas tillsammans med användarens konto. Appbutiken är registeransvarig för dessa operationer. Däremot kan det hända att webbplatser som tillåter att en app laddas ned till enheten utan identitetskontroll inte behandlar några personuppgifter. Appbutiker har en viktig position när det gäller att göra det möjligt för apputvecklare att leverera adekvat information om appen, bland annat om vilka typer av uppgifter appen kan behandla och för vilka syften. Appbutiker kan se till att reglerna efterlevs genom sin policy för tillträde (som kan grundas på förhands- eller efterhandskontroller). I samarbete med OS-tillverkaren kan appbutiken utveckla en ram som gör det möjligt för apputvecklare att leverera konsekventa och meningsfulla informationsmeddelanden (exempelvis symboler som representerar viss typ av åtkomst till sensoruppgifter) och visa dessa tydligt i appbutikens katalog Se skäl 46 och artikel 17. Se artikel Europaparlamentets och rådets direktiv 1999/5/EG av den 9 mars 1999 om radioutrustning och teleterminalutrustning och om ömsesidigt erkännande av utrustningens överensstämmelse, EGT L 91, , s.10. Enligt artikel 3.3 c får kommissionen besluta att slutanvändarutrustning ska vara konstruerad så att den innehåller skyddsmekanismer för att säkerställa att användarens och abonnentens personuppgifter och privatliv skyddas. Arbetsgruppen välkomnar i detta avseende rekommendationerna från FTC i rapporten Mobile Privacy Disclosures som nämns i fotnot 6 ovan, exempelvis sid 15: ( ) operativsystemtillverkarna är i en unik position när det gäller att lämna ut information mellan appar, och detta uppmuntras. I linje med workshopens kommentarer kan de också överväga att lämna ut informationen vid flera tidpunkter ( ). 11

12 3.3.4 Tredjeparter Många olika slags tredjeparter är inblandade i behandlingen av uppgifter genom användningen av appar. Exempelvis finansieras många gratisappar med reklam som ibland kan vara kontextuell personanpassad reklam som möjliggörs genom spårningsanordningar som kakor eller andra enhetsidentifierare. Reklamen kan bestå i ett bannerutrymme inuti appen, annonser utanför appen som levereras genom ändringar av inställningarna i läsaren eller genom att ikoner läggs ut på enhetens hemskärm eller levereras genom en personanpassad organisering av appens innehåll (t.ex. sponsrade sökresultat). Reklam för appar görs vanligen av reklamnätverk och liknande mellanhänder som kan vara kopplade till, eller vara samma aktör som OS-tillverkaren eller appbutiken. Som sammanfattas i artikel 29- arbetsgruppens yttrande 2/ innebär reklam på internet ofta behandling av personuppgifter enligt definitionen i artikel 2 i dataskyddsdirektivet och artikel 29-arbetsgruppens tolkning. 28 Andra exempel på tredjeparter är företag som tillhandahåller analys- och kommunikationstjänster. Analystjänster hjälper apputvecklarna att ta reda på hur apparna används, hur populära och hur användbara de är. Kommunikationstjänster 29 kan också spela en viktig roll för att bestämma standardinställningar och säkerhetsuppdateringar för många enheter och kan behandla uppgifter om användningen av apparna. Kundanpassningen (varumärkesanpassningen) av dessa tjänster kan få konsekvenser för tekniska och funktionella åtgärder som användaren kan vidta för att skydda sina personuppgifter. Jämfört med apputvecklare kan tredjeparter ha två typer av roller. Den ena är att utföra operationer åt appägaren, exempelvis att tillhandahålla analyser inom appen. I sådana fall, när de agerar enbart på apputvecklarens vägnar och inte behandlar uppgifter för egna syften och/eller delar uppgifter utvecklare emellan, kan de sannolikt ha rollen som registerförare. Den andra rollen de har är att samla information tvärs över appar för att tillhandahålla ytterligare tjänster, som att ge analyser i större skala (appens popularitet, personanpassade rekommendationer) eller undvika att visa samma reklam flera gånger för samma användare. När tredjeparter behandlar uppgifter för egna syften agerar de som registeransvariga och måste därför följa alla tillämpliga regler i dataskyddsdirektivet. 30 När det gäller beteendebaserad reklam måste den registeransvarige erhålla ett giltigt samtycke av användaren för att få samla in och behandla personuppgifter, t.ex. analys och sammanställning av personuppgifter och skapande och/eller användande av profiler. Som tidigare förklarats i artikel 29-arbetsgruppens yttrande 2/2010 om beteendebaserad reklam på Internet inhämtas ett sådant samtycke lämpligast genom mekanismer för ett aktivt förhandsval ( opt-in ) Artikel 29-arbetsgruppens yttrande 2/2010 om beteendebaserad reklam på Internet (juni 2010), Se även tolkningen av begreppet personuppgifter i artikel 29-arbetsgruppens yttrande 4/2007 om begreppet personuppgifter (juni 2007), Företag som tillhandahåller kommunikationstjänster är också underkastade sektorspecifika dataskyddskrav som ligger utanför detta yttrandes räckvidd. Artikel 29-arbetsgruppens yttrande 2/2010 om beteendebaserad reklam på Internet, s

13 Ett företag tillhandahåller mätuppgifter till appägare och annonsörer genom att använda spårningsanordningar som apputvecklaren har bäddat in i appen. Företagets spårningsanordningar kan därför installeras i många appar och enheter. En av företagets tjänster är att informera apputvecklare om vilka andra appar användaren använder, vilket företaget kan göra genom att samla in unika identifierare. Företaget fastställer medlen (dvs. spårningsanordningar) och ändamål för sina verktyg innan de erbjuder dem till apputvecklare, annonsörer och andra, och är därför registeransvarigt. I den mån tredjeparter får tillgång till eller lagrar information på den smarta enheten måste de uppfylla kravet på samtycke enligt artikel 5.3 i direktivet om e-integritet. I detta sammanhang är det viktigt att påpeka att användarna ofta har begränsade möjligheter att på sina smarta enheter installera programvara som skulle kunna kontrollera behandlingen av personuppgifter på samma sätt som de vanligen kan i skrivbordsmiljön på internet. Som ett alternativ till att använda HTTP-kakor använder tredjeparter ofta åtkomsten till unika identifierare för att välja ut (grupper av) användare och erbjuda dem riktade tjänster, bland annat annonser. Eftersom många av dessa identifierare varken kan tas bort eller ändras av användaren (t.ex. IMEI, IMSI, MSISDN 31 och specifika unika enhetsidentifierare som läggs till av operativsystemet) har dessa tredjeparter potential att behandla betydande mängder personuppgifter utan att slutanvändaren har kontroll över detta. 3.4 Rättslig grund För att personuppgifter ska kunna behandlas krävs att någon av de rättsliga grunderna som förtecknas i artikel 7 i dataskyddsdirektivet är uppfylld. I artikel 7 anges sex rättsliga grunder för behandling av personuppgifter, nämligen den registrerades otvetydiga samtycke; att behandlingen är nödvändig för att fullgöra ett avtal med den registrerade; för att skydda den registrerades grundläggande intressen; att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige; att behandlingen är nödvändig för att utföra en arbetsuppgift av allmänt intresse eller som ett led i myndighetsutövning; att behandlingen är nödvändig för ändamål som rör berättigade (affärs- )intressen. När det gäller lagring av information eller åtkomst till information som redan finns lagrad i den smarta enheten ger artikel 5.3 i direktivet om e-integritet (dvs. kravet om samtycke för att lagra information eller för att få tillgång till information som är lagrad på en enhet) en mer ingående begränsning av de rättsliga grunder som kan beaktas Föregående samtycke för lagring och behandling av personuppgifter När det gäller appar är den främsta rättsliga grunden samtycke. När en app installeras läggs information till i slutanvändarens enhet. Många appar får också åtkomst till uppgifter som finns lagrade på enheten, som kontakter i adressboken, bilder, filmer och andra privata handlingar. I alla dessa fall krävs enligt artikel 5.3 i direktivet om e-integritet användarens samtycke, som lämnats med tillgång till klar och fullständig information, innan information får lagras på eller hämtas från enheten. Det är viktigt att notera skillnaden mellan det samtycke som krävs för att lägga in och läsa information från enheten och det samtycke som krävs för att ha en rättslig grund för behandling av olika typer av personuppgifter. Även om båda kraven på samtycke kan vara tillämpliga samtidigt, baserade på olika rättsliga grunder, omfattas båda av kravet på att samtycket ska vara en frivillig, särskild och informerad viljeyttring (enligt definitionen i artikel 2 h i dataskyddsdirektivet). De två olika typerna av 31 Mobile Station Integrated Services Digital Network. 13

14 samtycke kan därför i praktiken förenas, antingen under installationen eller innan appen börjar samla in personuppgifter från enheten, förutsatt att användaren otvetydigt informeras om vad han eller hon samtycker till. Många appbutiker erbjuder apputvecklarna möjlighet att informera slutanvändaren om appens grundläggande egenskaper före installationen och kräver en aktiv åtgärd av slutanvändare innan appen laddas ned och installeras (dvs. en installera -knapp). En sådan åtgärd kan under vissa förhållanden räcka för att uppfylla kravet i artikel 5.3, men räcker troligen inte för att ge tillräckligt med information för att kunna utgöra ett giltigt samtycke till behandling av personuppgifter. Frågan har tidigare diskuterats av artikel 29-arbetsgruppen i yttrandet 15/2011 om definitionen av begreppet samtycke. 32 I samband med smarta enheter innebär frivilligt samtycke att användaren måste kunna välja att godkänna eller inte godkänna behandling av hans eller hennes personuppgifter. Om en app behöver kunna behandla personuppgifter måste därför användaren vara fri att godkänna detta eller förbjuda det. Användaren ska inte få upp en dialogruta med bara alternativet Ja, jag godkänner detta för att kunna slutföra installationen. Alternativet Avbryt eller något annat sätt att avbryta installationen måste finnas. Med informerat samtycke menas att den registrerade måste ha fått tillgång till den information som krävs för att göra en korrekt bedömning. 33 För att undvika tvetydigheter ska denna information göras tillgänglig innan några personuppgifter behandlas. Detta innefattar uppgiftsbehandling som kan ske under installationen, exempelvis för att lösa problem eller för spårning. Vad denna information kan innehålla och vilken form den kan ha beskrivs närmare i punkt 3.7 i detta yttrande. Med särskilt samtycke menas att viljeyttringen måste gälla behandlingen av en bestämd uppgift eller en begränsad kategori uppgiftsbehandling. Därför kan inte ett klick på en installera -knapp anses vara tillräckligt för ett giltigt samtycke till behandling av personuppgifter, eftersom det samtycket inte får vara ett generellt formulerat godkännande. I vissa fall kan användaren ge ett mer detaljerat samtycke, om samtycke efterfrågas för varje typ av uppgifter appen är tänkt att få åtkomst till. 34 Detta tillvägagångssätt uppfyller två viktiga rättsliga krav, nämligen dels att informera användaren om viktiga delar av tjänsten, dels att be om särskilt samtycke för varje del. 35 Alternativet att apputvecklaren ber användaren godkänna ett långt dokument med användarvillkor och/eller en policy för integritetsskydd utgör inte ett särskilt samtycke. 36 Särskilt samtycke rör också bruket att spåra användarnas beteende bland annonsörer och andra tredjeparter. Operativsystemens och apparnas standardinställningar måste vara sådana att spårning undviks, så att användaren ges möjlighet att ge särskilt samtycke till denna typ av uppgiftsbehandling Artikel 29-arbetsgruppens yttrande 15/2011 om definitionen av begreppet samtycke (juli 2011), Idem, s. 19. Detaljerat samtycke innebär att individen specifikt kan kontrollera vilka personuppgiftsbehandlande funktioner i appen som han eller hon vill aktivera. Behovet av ett sådant detaljerat samtycke bekräftas också uttryckligen av FTC i dess senaste rapport (se fotnot 6 ovan), s : ( ) operativsystemtillverkarna bör överväga att tillhandahålla snabba utlämnaden vid behov och erhålla uttryckligt samtycke för insamling av annat innehåll som många konsumenter kan anse vara känsligt i många sammanhang, som foton, kontakter, kalenderuppgifter eller ljud eller bildinspelningar. Idem, s 34 35: Allmänt samtycke utan precist angivande av syftet med den uppgiftsbehandling som den registrerade godkänner uppfyller inte detta krav. Det innebär att informationen om syftet med behandlingen inte får ingå i de allmänna villkoren utan måste finnas i en specifik samtyckesklausul. 14

15 Standardinställningarna får inte kunna kringgås av tredjeparter, vilket ofta är fallet med privatsurfningsmekanismer (Do Not Track) i webbläsare. Exempel på särskilt samtycke En app tillhandahåller information om närliggande restauranger. För att den ska kunna installeras måste apputvecklaren be om samtycke. För att få tillgång till uppgifter om geografisk lokalisering måste apputvecklaren be om separat samtycke till detta, t.ex. under installationen eller innan den får åtkomst till platsuppgifterna. Särskilt samtycke innebär att samtycket måste vara begränsat till det särskilda syftet att upplysa användaren om närliggande restauranger. Appen får därför bara komma åt platsuppgifterna från enheten när användaren använder appen för till syftet. Användarens samtycke till att platsuppgifter används innebär inte att appen får samla in platsuppgifter kontinuerligt från enheten. Sådan ytterligare behandling skulle kräva mer information och ett separat samtycke. För att en kommunikationsapp ska få tillgång till kontaktlistan måste användaren på samma sätt kunna välja vilka kontakter han eller hon vill kommunicera med, i stället för att vara tvungen att medge åtkomst till hela adressboken (som innefattar kontaktuppgifter till personer som inte använder tjänsten och som inte kan ha godkänt behandling av uppgifter som gäller dem). Det är dock viktigt att notera att även om samtycket uppfyller de tre krav som beskrivs ovan, innebär inte det att uppgifterna får behandlas på ett oriktigt och olagligt sätt. Om syftet med uppgiftsbehandlingen är orimligt och/eller oproportionerligt, har apputvecklaren trots användarens samtycke ingen giltig rättslig grund och överträder sannolikt dataskyddsdirektivet. Exempel på orimlig och olaglig behandling av uppgifter En väckarklocksapp erbjuder en röststyrd funktion för avstängning av larmet eller snoozefunktion. I det här exemplet skulle ett samtycke till inspelning begränsas till den tiden då larmet ljuder. Eventuell övervakning eller inspelning under den tid larmet inte ljuder skulle anses vara orimligt och olagligt. När det gäller appar som är installerade på enheten som standard (innan slutanvändaren blir ägare till enheten) eller annan behandling som utförs av operativsystemet som grundas på samtycke som rättslig grund, måste de registeransvariga noga överväga om detta samtycke verkligen är giltigt. I många fall bör en separat mekanism för samtycke övervägas, eventuellt första gången som appen används, för att ge den registeransvarige tillfälle att ge slutanvändaren fullständig information. När det rör sig om särskilda kategorier av uppgifter enligt definitionen i artikel 8 i dataskyddsdirektivet måste samtycket vara uttryckligt. Sist men inte minst måste användarna få möjlighet att återkalla sitt samtycke på ett enkelt och effektivt sätt. Detta behandlas närmare under punkt 3.8 i detta yttrande Rättsliga grunder för behandling av uppgifter under användning av appen Som förklaras ovan är samtycke den nödvändiga rättsliga grunden för att apputvecklaren lagligen ska få läsa och/eller skriva in information och behandla personuppgifter. I en senare fas, vid användningen av appen, kan apputvecklaren åberopa andra rättsliga grunder för andra typer av uppgiftsbehandling, så länge detta inte innebär behandling av känsliga personuppgifter. En sådan rättslig grund kan vara att behandlingen är nödvändig för att fullgöra ett avtal med den registrerade eller nödvändig för berättigade (affärs-)intressen, enligt artikel 7 b och f i dataskyddsdirektivet. Dessa rättsliga grunder gäller bara vid behandling av en särskild användares uppgifter som inte är känsliga, och de får bara åberopas i den mån viss uppgiftsbehandling är absolut nödvändig för att 15

16 utföra den begärda tjänsten, eller, i fall som omfattas av artikel 7 f, endast om sådana intressen inte uppvägs av den registrerades intressen eller grundläggande fri- och rättigheter. Exempel på avtalad rättslig grund En användare samtycker till installationen av en app för mobila banktjänster. För att kunna utföra en begäran om betalning behöver banken inte be om separat samtycke från användaren att lämna ut dennes namn och kontonummer till betalningsmottagaren. Detta utlämnande är absolut nödvändigt för att genomföra avtalet med den specifika användaren, och banken har därför rättslig grund enligt artikel 7 b i dataskyddsdirektivet. Samma resonemang är tillämpligt på kommunikationsappar. När de lämnar ut grundläggande information som kontonamn, e-postadress eller telefonnummer till en annan person som användaren vill kommunicera med är detta utlämnande naturligtvis nödvändigt för att uppfylla avtalet. 3.5 Ändamålsbegränsning och dataminimering De grundläggande principerna som ligger bakom dataskyddsdirektivet är ändamålsbegränsning och dataminimering. Ändamålsbegränsning gör det möjligt för användarna att göra ett medvetet val att anförtro en part sina personuppgifter eftersom de får veta hur uppgifterna kommer att användas, och kan förlita sig på den avgränsande beskrivningen av ändamålet för att förstå vad deras uppgifter ska användas till. Ändamålet med uppgiftsbehandlingen måste därför definieras väl och på ett sätt som är begripligt för en genomsnittlig användare utan juridiska eller tekniska expertkunskaper. Samtidigt kräver ändamålsbegränsningen att apputvecklarna har en god överblick över sitt business case innan de börjar samla in personuppgifter från användarna. Personuppgifter får bara behandlas på ett korrekt och lagligt sätt (artikel 6.1 a i dataskyddsdirektivet) och ändamålen måste definieras innan uppgifterna börjar behandlas. Principen om ändamålsbegränsning utesluter plötsliga ändringar av nyckelvillkoren för behandlingen. Ett exempel: Det ursprungliga ändamålet för en app var att användarna ska kunna e-posta varandra, men utvecklaren bestämmer sig för att ändra sin affärsmodell och lägger ihop användarnas e- postadresser med telefonnummer till användare av en annan app. De respektive registeransvariga skulle då behöva kontakta varje enskild användare och be om deras otvetydiga samtycke till detta nya ändamål för behandlingen av personuppgifter. Ändamålsbegränsningen går hand i hand med principen om dataminimering. För att förhindra onödig och potentiellt olaglig behandling av uppgifter måste apputvecklarna noga överväga vilka uppgifter som verkligen behövs för att utföra den önskade funktionen. Appar kan få tillgång till många funktioner i enheten och kan därför göra många saker som att skicka sms i smyg, eller få åtkomst till bilder och till hela adressboken. Många appbutiker har stöd för automatiska eller halvautomatiska uppdateringar där apputvecklaren kan integrera nya funktioner och göra dem tillgängliga med lite eller ingen samverkan från användarens sida. Arbetsgruppen betonar här att tredjeparter som får tillgång till användarens uppgifter genom apparna måste respektera principerna om ändamålsbegränsning och dataminimering. Unika enhetsidentifierare, som ofta inte går att ändra, får inte användas för intressebaserad reklam och/eller analys, eftersom användaren inte kan återkalla ett samtycke. Apputvecklarna ska se till att funktionsglidning förhindras genom att inte ändra uppgiftsbehandlingen från en version av en app till nästa utan att ge användarna lämplig information och möjlighet att avbryta antingen behandlingen eller hela tjänsten. Användarna ska också erbjudas tekniska möjligheter att kontrollera förklaringar om angivna ändamål, genom att de 16