Ni har haft en intensiv utvecklingsperiod bakom er för att bygga nästa virala app på Appstore. Strax före att ni lanserar stort och teamet sitter med sista minuten buggfixar, kommer du på att ni inte har reglerat hur er app samlar in och lagrar personuppgifter. Du behöver nu ta fram en personuppgiftspolicy.
3 saker att undvika när du ska skapa en personuppgiftspolicy + bonustips:
- Använd inte en konkurrents personuppgiftspolicy. Tänk på att policyn tillhör din konkurrent och kan vara upphovsrättsligt skyddad. Framförallt, informationen i policyn har anpassats särskilt för konkurrentens tjänst eller produkt och avspeglar detta bolagets strategi, risk och värderingar – och är förmodligen inte relevant för er.
- Använd inte det första du hittar på internet. Gör en noga utvärdering av vad din tjänst innebär, hur en användare skapar konto, vilka uppgifter tjänsten faktiskt behöver tillgång till, hur länge tjänsten behöver lagra informationen etc. En förutsättning för att du ska agera inom lagen och behålla kundernas förtroende är att du själv vet i detalj hur din tjänst fungerar. Ta inga genvägar – du ökar bara risken att du hanterar personuppgifter fel.
- Anlita en juridisk rådgivare som är erfaren avseende internetjuridik. Ofta möter jag kunder som tidigare vänt sig till advokat som haft begränsad erfarenhet av de affärsmodeller som gäller online, där konvertering av besöksströmmar och sökordsoptimering är centrala. Ibland försöker man att klippa ihop en personuppgiftspolicy på egen hand. Detta har ibland lett till att kund implementerar onödigt strikta processer för hur användaren ska registrera sig, att användaren presenteras med onödigt långa villkor före köpet, att företaget missar möjligheten att lagligt samla in värdefulla användardata och bygga sin affärsmodell, och/eller att hemsidan domineras av en banner som vill informera om hemsidans cookie regler. Inte särskilt optimalt för att konvertera besökare till kunder.
Men hur borde du göra istället?
Det är i era användarvillkor och i er personuppgiftspolicy som ni presenterar för de tänkta användarna hur er tjänst fungerar och vilket problem ni löser.
Ett bra tips är att tidigt i er utvecklingsprocess rita upp två flöden:
- Användarperspektivet
- Tekniskt flöde
Vad gäller punkten 1 bör ni tänka hur er tjänst ter sig från användarens perspektiv. Hur öppnar man konto, vilka steg går man igenom för att använda tjänsten? Vilken information får användaren och när? Vilken information måste användaren lämna ifrån sig för att er tjänst ska fungera men minimal funktion, respektive maximal funktion. Denna information utgår ni från när ni tar fram era användarvillkor och personuppgiftspolicy.
När det gäller vad ni bör tänka på för er tjänsts tekniska funktion, är det viktigt att både tänka säkerhet för insamlad information, hur tjänstens konstruktion möjliggör och förhindrar ett användarvänligt flöde samt vilka rutiner ni sätter upp för att lagra och gallra insamlade användaruppgifter. Att ha ett tydligt flöde som er tjänst tekniskt levererar är viktigt att få fram i er personuppgiftspolicy och användarvillkor.
Personuppgiftspolicy – Bonus
Affärer är personligt för oss som entreprenörer, det tar mycket tid och ger glädje till oss att ständigt göra vårt bästa för våra kunder. Mitt team på Sharp Cookie Advisors tar sig tid att föra in en personlig touch på våra produkter och tjänster (som t.ex. vår hemsida, villkor, personuppgiftspolicy, avtal, memo etc.) eftersom det är så vi kommunicerar med våra kunder.
Mitt bonustips är därför att ta dig lite extra tid och anpassa användarvillkoren och personuppgiftspolicy med ord och uttryck som är personliga för er. Erfarenhetsmässigt är det ett litet men effektivt sätt för er att få kontakt och bygga förtroende med era kunder.
Om du tycker att det är mycket arbete med att skapa denna process och ta fram personuppgiftspolicy, ta hjälp av en erfaren jurist inom internetjuridik och affärsjuridik online.
Att sälja online – Juridisk bakgrund
Varje företag som säljer på internet är enligt lag skyldigt att informera och ha lagligt stöd för vilka personuppgifter företaget samlar in och behandlar. Företaget är också skyldigt att hantera denna information på ett säkert sätt. Att inte ge användare tillräcklig information och samla in samtycken på korrekt sätt bryter mot tvingande konsumenträtt, marknadsföringsrätt och inte minst personuppgiftslagen.
Flertalet webbplatser idag saknar tillräckliga användarvillkor och personuppgifts och sekretesspolicy, vilket gör att dessa webbplatser exponeras i onödan för kostsamma rättsprocesser. Datainspektionen är tillsynsmyndighet i Sverige och gör löpande inspektioner och utdömer böter till företag som inte efterlever lagkraven. Ett intressant exempel från den amerikanska marknaden är mobilappen Path som blev dömd att betala böter om ca 5,5 miljoner kronor för att de inte informerat och inhämtat samtycke att de samlade in sina användares kontakter. De hade kunnat undvika detta om de hade haft en anpassad personuppgiftspolicy.
Vad har du för frågor? Jag är nyfiken på vad du tänker på så dela gärna med dig och lämna en kommentar så svarar jag på den så snart jag kan.
Tack att du tar dig tid att läsa detta, du får gärna dela inlägget om du tyckte att det var till hjälp.
För att veta mer om Sharp Cookie Advisors, eller om du behöver hjälp att ta fram dina webbvillkor klicka här.