11-10-2024

Alvorlig kritik, påbud og advarsel i sag om pant-app

Datatilsynet har undersøgt Dansk Retursystems app "Pant" og truffet en afgørelse, der i mange tilfælde vil kræve handling fra andre dataansvarlige, der har fået udviklet apps.

I juli 2022 indledte Datatilsynet en sag mod Dansk Retursystem, der havde udviklet en app, som kan bruges ifm. pantning, fordi appen angiveligt behandlede oplysninger om bl.a. brugernes konti, saldi og lån i banken.

Undersøgelsen viste, at appen har en indbygget komponent, der skal indhente brugerens kontooplysninger for at kunne udbetale penge til den rigtige konto. Men komponenten, som stilles til rådighed af en tredjepart, kan også indsamle oplysninger om bl.a. brugerens saldi, identitetsoplysninger og transaktionshistorik. Disse oplysninger gives dog ikke videre til Dansk Retursystem.

Nu har Datatilsynet truffet en afgørelse i sagen og har undervejs afgrænset sagen til at vedrøre overholdelsen af principperne i GPDR om bl.a. lovlighed, rimelighed og gennemsigtighed, princippet om dataminimering samt bestemmelsen om databeskyttelse gennem design. I afgørelsen udtaler Datatilsynet alvorlig kritik af Dansk Retursystem for ikke at leve op til reglerne på disse områder.

Samtidig har Dansk Retursystem fået et påbud om senest 2. januar 2025 at bringe deres behandlinger af personoplysninger i overensstemmelse med databeskyttelsesforordningen.

Afslutningsvis udsteder tilsynet en advarsel om, at det sandsynligvis vil være i strid med reglerne, hvis der kan behandles flere personoplysninger, end formålet tilsiger, gennem de API'er, som appen gør brug af.

Afgørelsen tager derudover stilling til spørgsmålet om dataansvar i en konstruktion, hvor der bliver benyttet API'er og services fra en ekstern leverandør. Her er der tale om et API, som er indbygget i appen, og som er indkøbt hos en udbyder som er lovbestemt dataansvarlig for den bagvedliggende behandling. Men afgørelsens betragtninger gælder også for andre indsamlinger og behandlinger af personoplysninger, som sker i andre servicebaserede arkitekturer.

- Datatilsynet har forståelse for, at mange applikationer i dag er sammensat af kodebiblioteker, funktionel kode, API'er og systemintegrationer, der ikke hidrører fra den dataansvarliges egen organisation. Når man får udviklet en app, fritager det dog ikke den dataansvarlige for det grundlæggende ansvar for at overholde reglerne i GDPR, siger Allan Frank, it-sikkerhedsspecialist og jurist i Datatilsynet, og fortsætter:

- Inden en app udvikles og sættes i drift, skal den dataansvarlige gennemgå alle de behandlinger af personoplysninger, som et valgt design medfører, herunder hvilke personoplysninger, den indsamler og behandler. Designet af appen skal sikre hele forordningens overholdelse, uanset hvor kendte og udbredte komponenter, den opbygges af.

- Lidt firkantet kan man sige, at selv om din nabo bruger en komponent til sit formål, så er det for det første ikke sikkert, at naboen bruger den lovligt, og for det andet skal du altid selv vurdere den konkret op imod dit eget formål, uddyber Allan Frank.

Kilde: Datatilsynet




Leverandører
Ændre marked
Tilbage til toppen
Luk