Informasjonskapselsamtykke for mobilapper: GDPR- og CCPA-veiledning
Når vi snakker om informasjonskapselsamtykke, får nettsider all oppmerksomhet. Men mobilapper behandler like mye — ofte mer — persondata enn nettsider. Og reglene gjelder likt. GDPR skiller ikke mellom en nettsidekapsel og en app-SDK som samler inn enhets-ID-er, posisjonsdata eller annonseidentifikatorer.
Hvordan mobilsamtykke skiller seg fra web
Nettsider bruker informasjonskapsler. Apper bruker SDK-er, enhetsidentifikatorer (IDFA/GAID), lokal lagring og API-kall. Teknologien er forskjellig, men det rettslige kravet er det samme: du trenger informert, frivillig samtykke før du samler inn persondata til ikke-essensielle formål.
- Nettsider: Cookiebannere, Consent Mode, TCF-strenger
- Apper: Samtykkedialoger i appen, ATT-meldinger (iOS), porter for SDK-initialisering
- Begge: Må innhente samtykke før sporing, må tillate tilbakekalling, må føre register
Apple ATT vs GDPR-samtykke
Apples App Tracking Transparency (ATT) er ikke det samme som GDPR-samtykke. ATT er Apples plattformkrav — det styrer tilgang til IDFA. GDPR er et lovkrav — det styrer all behandling av persondata. Du trenger begge. En ATT-godkjenning oppfyller ikke GDPR, og GDPR-samtykke omgår ikke ATT.
Hva som krever samtykke i mobilapper
- Reklame-SDK-er — AdMob, Meta Audience Network, AppLovin
- Analyse-SDK-er — Firebase Analytics, Mixpanel, Amplitude
- Attribusjons-SDK-er — Adjust, AppsFlyer, Branch
- Enhetsidentifikatorer — IDFA (iOS), GAID (Android)
- Posisjonsdata — GPS, IP-basert geolokalisering
- Push-varseltokens — når de er knyttet til brukerprofiler
Beste praksis for implementering
- Vis samtykke før SDK-initialisering — ikke last sporings-SDK-er før brukeren samtykker
- Tilby detaljerte valg — analyse og reklame bør være separate brytere
- Støtt tilbakekalling av samtykke — brukere må kunne ombestemme seg fra appinnstillingene
- Lagre samtykkeregistre — før logger på serversiden med tidsstempel og samtykkeomfang
- Behandle ATT og GDPR separat — ATT-godkjenning alene er ikke tilstrekkelig for GDPR
CCPA for mobilapper
Californias CCPA/CPRA gjelder apper som samler inn data fra innbyggere i California. I motsetning til GDPR bruker CCPA en opt-out-modell — brukere kan be om at deres data ikke selges eller deles. Appen din trenger en mekanisme for «Ikke selg eller del min personlige informasjon».
FlexyConsent for mobil
FlexyConsents lette JavaScript fungerer i hybridapper (Cordova, Ionic, React Native WebView) og mobil web. For native apper leverer vårt samtykke-API de samme TCF 2.3- og Consent Mode V2-signalene som driver web-løsningen.