Datatilsynet uddeler både alvorlig kritik, påbud og advarsel i en sag, hvor de har vurderet den populære app Pant fra Dansk Retursystem. Undersøgelsen viste, at app’en har en indbygget komponent, der skal indhente brugerens kontooplysninger for at kunne udbetale penge til den rigtige konto. Men komponenten, som stilles til rådighed af en tredjepart, kan også indsamle oplysninger om brugerens saldi, identitetsoplysninger og transaktionshistorik.
Nu har Datatilsynet truffet en afgørelse i sagen og har undervejs afgrænset sagen til at vedrøre overholdelsen af principperne i GPDR om bl.a. lovlighed, rimelighed og gennemsigtighed, princippet om dataminimering samt bestemmelsen om databeskyttelse gennem design. I afgørelsen udtaler Datatilsynet alvorlig kritik af Dansk Retursystem for ikke at leve op til reglerne på disse områder.
Samtidig har Dansk Retursystem fået et påbud om senest 2. januar 2025 at bringe deres behandlinger af personoplysninger i overensstemmelse med databeskyttelsesforordningen.
Datatilsynet advarer også om det faktum, at Pant app’en benytter komponenten – en såkaldt API fra tredjepart. Den kan nemlig også benyttes af andre app-udviklere, der blot ved at bruge den, risikerer at bryde GDPR-lovgivningen. Kompknenten er ikke problematisk i sig selv, men det kan implementeringen være.
“Inden en app udvikles og sættes i drift, skal den dataansvarlige gennemgå alle de behandlinger af personoplysninger, som et valgt design medfører, herunder hvilke personoplysninger, den indsamler og behandler. Designet af appen skal sikre hele forordningens overholdelse, uanset hvor kendte og udbredte komponenter, den opbygges af,” siger Allan Frank, it-sikkerhedsspecialist og jurist i Datatilsynet.
“Lidt firkantet kan man sige, at selv om din nabo bruger en komponent til sit formål, så er det for det første ikke sikkert, at naboen bruger den lovligt, og for det andet skal du altid selv vurdere den konkret op imod dit eget formål,” uddyber Allan Frank.
Datatilsynets afgørelse kan læses i sin helhed lige her.