Alvorlig kritik, påbud og advarsel i sag om pant-app

Dato: 26-09-2024

Datatilsynet har undersøgt Dansk Retursystems app "Pant" og truffet en afgørelse, der i mange tilfælde vil kræve handling fra andre dataansvarlige, der har fået udviklet apps.

Journalnummer: 2023-431-0013

Resume

I juli 2022 indledte Datatilsynet en sag af egen drift mod Dansk Retursystem, der har udviklet en app, som kan bruges i forbindelse med pantning, fordi appen angiveligt behandler oplysninger om bl.a. brugernes konti, saldi og lån i banken.

Undersøgelsen viste, at appen har en indbygget komponent, der indhenter brugerens kontooplysninger for at kunne udbetale penge til den rigtige konto. Men komponenten, som stilles til rådighed af en tredjepart, kan også indsamle oplysninger om bl.a. brugerens saldi, identitetsoplysninger og transaktionshistorik. Disse oplysninger gives dog ikke videre til Dansk Retursystem.

Nu har Datatilsynet truffet en afgørelse i sagen og har undervejs afgrænset sagen til at vedrøre overholdelsen af principperne i GPDR om bl.a. lovlighed, rimelighed og genemsigtighed, princippet om dataminimering samt bestemmelsen om databeskyttelse gennem design. I afgørelsen udtaler Datatilsynet alvorlig kritik af Dansk Retursystem for ikke at leve op til reglerne på disse områder.

Samtidig har Dansk Retursystem fået et påbud om senest 2. januar 2025 at bringe sine behandlinger af personoplysninger i overensstemmelse med databeskyttelsesforordningen.

Afslutningsvis udsteder tilsynet en advarsel om, at det sandsynligvis vil være i strid med reglerne, hvis der kan behandles flere personoplysninger, end formålet tilsiger, gennem de API'er, som appen gør brug af.

Afgørelsen tager derudover stilling til spørgsmålet om dataansvar i en konstruktion, hvor der bliver benyttet API'er og services fra en ekstern leverandør. Her er der tale om et API, som er indbygget i appen, og som er indkøbt hos en udbyder som er lovbestemt dataansvarlig for den bagvedliggende behandling. Men afgørelsens betragtninger gælder også for andre indsamlinger og behandlinger af personoplysninger, som sker i andre servicebaserede arkitekturer.   

“Datatilsynet har forståelse for, at mange applikationer i dag er sammensat af kodebiblioteker, funktionel kode, API'er og systemintegrationer, der ikke hidrører fra den dataansvarliges egen organisation. Når man får udviklet en app, fritager det dog ikke den dataansvarlige for det grundlæggende ansvar for at overholde reglerne i GDPR,” siger Allan Frank, it-sikkerhedsspecialist og jurist i Datatilsynet, og fortsætter:

“Inden en app udvikles og sættes i drift, skal den dataansvarlige gennemgå alle de behandlinger af personoplysninger, som et valgt design medfører, herunder hvilke personoplysninger den indsamler og behandler. Designet af appen skal sikre hele forordningens overholdelse, uanset hvor kendte og udbredte komponenter den opbygges af."

"Lidt firkantet kan man sige, at selv om din nabo bruger en komponent til sit formål, så er det for det første ikke sikkert, at naboen bruger den lovligt, og for det andet skal du altid selv vurdere den konkret op imod dit eget formål,” uddyber Allan Frank.

Datatilsynet skal endvidere endnu en gang tilskynde til, at der i organisationer og sammenslutninger af dataansvarlige med samme typer af behandlinger og enslydende formål arbejdes med  brugen af adfærdskodekser.

Datatilsynet vil fremover tillægge det vægt ved sanktionsvalget, hvis principperne i denne afgørelse ikke er fulgt - navnlig på alle de områder, hvor det offentlige og de institutionelle aktører i den private sektor udfører opgaver, hvor brugerne er begrænsede i deres valg af udbyder. Dette gælder ikke kun de steder, hvor der behandles oplysninger af særlige kategorier som social- og sundhedsområdet, men alle områder, hvor brugernes betjenes ved hjælp af apps.

Datatilsynet understreger afslutningsvis, at den information, den dataansvarlige giver til de registrerede, altid skal leve op til kravene i reglerne om især klarhed og gennemsigtighed.

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor tilsynet den 6. juli 2022 indledte en undersøgelse af egen drift af Dansk Retursystem A/S’ (herefter ”Dansk Retursystem”) behandling af personoplysninger ved brug af Dansk Retursystems Pant-app.

I forbindelse med sagens behandling har Datatilsynet anmodet Dansk Retursystem om en udtalelse vedrørende behandlingen af personoplysninger i Pant-appen.

Datatilsynet har besluttet at afgrænse undersøgelsen af Pant-appen til om spørgsmålene om, (i) hvorvidt Dansk Retursystems behandling af personoplysninger i forbindelse med brugen af Pant-app er sket i overensstemmelse med principperne for behandling af personoplysninger, herunder princippet om lovlighed, rimelighed og gennemsigtighed i databeskyttelsesforordningens[1] artikel 5, stk. 1, litra a, og dataminimeringsprincippet i databeskyttelsesforordningens artikel 5, stk. 1, litra c, samt (ii) hvorvidt behandlingen er sket i overensstemmelse med artikel 25, stk. 1, for så vidt angår implementering af databeskyttelsesprincipperne.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Dansk Retursystems behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 1, litra a og c, samt databeskyttelsesforordningens artikel 25, stk. 1.

Datatilsynet påbyder i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d, Dansk Retursystem at bringe Pant-appen i overensstemmelse med databeskyttelsesforordningen ved at gennemgå de behandlinger af persondata, der foretages i appen, og sikre, at der dels ikke behandles flere oplysninger, end formålet tilsiger, dels at de behandlinger, der foretages, sker lovligt, rimeligt og gennemsigtigt. Fristen for påbuddets overholdelse fastsættes til den 2. januar 2025.

Herudover udsteder Datatilsynet efter databeskyttelsesforordningens artikel 58, stk. 2, litra a, Dansk Retursystem en advarsel om, at det til formålet ”at kunne udbetale pant via direkte pengeoverførsel til den bankkonto, som brugeren af appen har angivet og kommunikere med brugeren”, sandsynligvis vil være i strid med databeskyttelsesforordningen at benytte en tredjepartsløsning til kontooplysninger, der behandler personoplysninger ud over de nødvendige kontooplysninger for at kunne udbetale pantbeløbet ved en pengeoverførsel direkte til kontoen og dette uanset om der gives brugeren andre muligheder i appen end at bruge den pågældende integration.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Datatilsynet indledte den 6. juli 2022 en undersøgelse af egen drift mod Dansk Retursystem, idet tilsynet var blevet gjort opmærksom på, at Dansk Retursystem har udviklet en applikation ved navn ”Pant” til brug for udbetaling af pant, og at Dansk Retursystem i den forbindelse behandler en række oplysninger om blandt andet brugernes konti, saldi, lån, mv.

Datatilsynet anmodede på den baggrund Dansk Retursystem om en udtalelse vedrørende Pant-appen.

2.2 Dansk Retursystems bemærkninger

Dansk Retursystem har oplyst, at formålet med Pant-appen er at kunne udbetale pant via direkte pengeoverførsel til den bankkonto, som brugeren af appen har angivet. Hidtil er udbetaling af pant til brugerne af Dansk Retursystems pantstationer sket ved brug af dankort eller et såkaldt pantkort. Dansk Retursystem har med appen ønsket en teknologisk mere moderne løsning, som er uafhængig af valg af betalingskort og de løbende krav, som stilles af NETS.

For at kunne gennemføre en pantning gennem appen skal brugeren oprette en bruger, tilføje en bankkonto og give appen adgang til enhedens kamera. Når appen åbnes første gang, bliver brugeren bedt om at oprette en bruger. I den forbindelse skal brugeren indtaste en række basisoplysninger som navn, e-mail og telefonnummer. Når selve brugeren er oprettet, skal der knyttes en bankkonto til brugeren, så panten kan blive udbetalt til den pågældende konto.

Dansk Retursystem har anført, at de, for at hjælpe brugeren med at anvise det rigtige kontonummer, har integreret pant-appen med virksomheden Tink AB's (herefter ”Tink”) tredjepartsløsning, der gør det muligt for brugeren at logge ind i sin egen bank og udvælge den konto, som brugeren ønsker, at pant-appen skal udbetale penge til.

Ved anvendelsen af Tink vælger brugeren indledningsvist, hvilken bank den ønskede konto tilhører, hvorefter brugeren selv skal logge ind hos den enkelte bank. Dette håndteres på forskellige måder afhængigt af den enkelte banks løsning. Når brugeren er logget ind hos sin bank, viderestilles brugeren til en liste over de tilgængelige konti, som banken har givet Tink adgang til at vise. Brugeren vælger herefter en konto, hvorefter kontonavn, registreringsnummer samt kontonummer overføres direkte til back-enden, og kontoen knyttes herved til brugeren. Herefter lukkes Tink-flowet ned.

Af Dansk Retursystems vilkår og betingelser for Pant-Appen fremgår bl.a. følgende:

”Dansk Retursystem anvender Tinks kontooplysningstjeneste til indhentning af dine bankkontooplysninger (kontonummer og kontonavn). Når du ved brug af kontooplysningstjenesten logger ind i din bank, fremgår det, hvilke oplysninger du giver samtykke til, at din bank overfører til Tink. I nogle tilfælde vil dit samtykke kunne omfatte overførsel af flere oplysninger til Tink end blot dit kontonummer og kontonavn – dette afhænger af den enkelte bank. Tink videregiver alene dit kontonummer og kontonavn til Dansk Retursystem.”

Dansk Retursystem har oplyst, at Tink i denne proces vil kunne indsamle følgende typer af oplysninger:

  • Bankoplysninger, som omfatter kontonumre, saldi, kontotyper, lån, renter og anden information forbundet med brugerens konti.
  • Informationer om saldi, der omfatter konto-ID, opdateret tidstempel, bogført saldo, disponibel saldo, kredit grænse og andre informationer forbundet til disse saldi.
  • Personlig information, som omfatter e-mail, brugernavn, personnummer, land og andre tilgængelige oplysninger på brugernes profiler
  • Identitetsoplysninger, der omfatter adgang til oplysninger, der kan bruges til identifikationsformål.
  • Transaktionshistorik, der omfatter indbetalinger, køb og refunderinger i brugernes konti.

Dansk Retursystem har specificeret, at det afhænger af den enkelte bank, hvilke konkrete oplysninger Tink indsamler. Tink har over for Dansk Retursystem oplyst følgende om indsamlingen af oplysninger:

”We only ever ask for the smallest data scope that’s needed to deliver the product or service that the end-user has requested. However, some bank APIs do not allow the request of one specific scope of data, e.g. the account information, balance data or transaction data separately. This result in occasions where we have to ignore data which is not needed for the service. We are actively taking measures to limit the amount of data received and we are working with regulators and raising awareness among banks in the EU to jointly ensure end-to-end data minimization.”

Dansk Retursystem har samtidig påpeget, at dataudvekslingen mellem den enkelte bank og Tink er en proces, som foregår i et såkaldt ”lukket rum” uden for Dansk Retursystems domæne og kontrol. Dansk Retursystem har således – udover et begrænset view i appen – ikke adgang til den dataudveksling, som sker.

Indtil den 18. juli 2022 var det kun muligt for brugerne at tilknytte en konto ved hjælp af Tinks tredjepartsløsning. Dansk Retursystem har herefter gjort det muligt for brugerne at vælge, om de – i stedet for at bruge Tink – manuelt vil tilknytte en konto til deres bruger ved at indtaste kontonavn, registreringsnummer og kontonummer direkte i Pant-appen. Denne løsning kræver hverken brug af NemID/MitID eller Tinks tredjepartsløsning. Ved denne manuelle proces sker der ingen validering, da oprettelsen ikke sker via brugerens egen bank. Dansk Retursystem har oplyst, at den manuelle indtastning blev tilføjet, for at sikre driftsstabilitet ved banknedbrud, og imødekomme forbrugere, der har ønske om en manuel tastemulighed.

Dansk Retursystem har om rollefordelingen anført, at Tink er dataansvarlig for brugernes personoplysninger fra det tidspunkt, Tink modtager disse, og indtil oplysningerne er stillet til rådighed for Dansk Retursystem. Fra det tidspunkt, hvor oplysningerne er stillet til rådighed for Dansk Retursystem, er Dansk Retursystem dataansvarlig, og Tink er databehandler.

Endvidere har Dansk Retursystem anført, at Dansk Retursystem alene indhenter og behandler de personoplysninger, som er en forudsætning for, at Dansk Retursystem kan udbetale pant til brugerne samt kommunikere med brugerne i nødvendigt omfang. 

I forbindelse med udviklingen af appen har Dansk Retursystem valgt en løsning, der indebærer, at der ikke oprettes en egentlig brugerprofil, som ville kunne tilgås fra flere enheder, og som ville kunne genskabes i tilfælde af, at enheden skulle blive mistet. Den oprettede bruger er således knyttet til den pågældende konkrete fysiske enhed, hvor appen er installeret. Dette medfører, at der er et minimum af oplysninger, som er nødvendige i brugen af appen, og at der sker en meget begrænset lagring og udveksling af oplysninger mellem IT-systemer.

Dansk Retursystem har endvidere fravalgt at behandle brugernes adresser og cpr-numre, da Dansk Retursystem har vurderet, at disse oplysninger ikke er relevante for brugen af appen eller for udbetaling af pantbeløb til brugerne.

3. Begrundelse for Datatilsynets afgørelse

3.1 Generelle bemærkninger

Datatilsynet indskærper indledningsvist, at en dataansvarlig, der ønsker at udvikle en it-løsning, hvor der sker behandling af personoplysninger, skal overveje, vurdere og gennemføre fornødne tekniske og organisatoriske foranstaltninger, så principperne for behandling af personoplysninger, såsom lovlighed, gennemsigtighed, formålsbegrænsning og dataminimering er effektivt implementeret i designet af it-løsningen, og så hele databeskyttelsesforordningen rent faktisk kan overholdes, når løsningen benyttes til den behandling af personoplysninger, som det valgte design medfører.

Dette gælder ikke kun i forhold til tilrettelæggelsen af lovligheden i forretningsprocessen, men også i forhold til den teknologiske understøttelse, som vælges til behandling af personoplysninger i it-løsningen. Det følger direkte af databeskyttelsesforordningens artikel 25, og vedrører ikke alene sikring af den fornødne sikkerhed ved behandlingen, men også, at personoplysningerne behandles lovligt og i overensstemmelse med alle regler i databeskyttelsesforordningen.

Datatilsynet har forståelse for, at udvikling af it-løsninger sker ved brug af kodebiblioteker, funktionel kode og dataudvekslingsintegrationer, der ikke nødvendigvis hidrører fra den dataansvarliges egen organisation.

Datatilsynet henleder dog opmærksomheden på, at de(t) formål med behandlingen af personoplysninger, som it-løsningen udvikles med henblik på at opfylde, som udgangspunkt er de(t) formål, principperne for behandling af personoplysninger i databeskyttelsesforordningens artikel 5, stk. 1, skal vurderes op imod. Det betyder som udgangspunkt, at den oprindelige dataansvarlige ikke ukritisk – og uden at forholde sig til de(t) oprindelige formål – kan inkludere komponenter, der medfører behandling af yderligere personoplysninger ud over det, der er nødvendigt til de(t) formål, eller hvor behandlingsaktiviteter sker på en måde, som er ugennemsigtig for de registrerede. Det betyder også, at personoplysninger alene må indsamles til de(t) angivne formål og ikke viderebehandles på en måde, der er uforeneligt med dette oprindelige formål.

Datatilsynet udelukker ikke herved, at en løsning kan varetage flere formål, endsige at disse formål kan henføres til andre dataansvarlige, både som et selvstændigt eller som et fælles dataansvar. Datatilsynet skal dog indskærpe, at der i sådanne tilfælde stilles betydelige krav til den information, der skal gives til den registrerede, så det altid er rimeligt og fremstår gennemsigtigt for den registrerede af hvem, hvordan og til hvilket formål personoplysninger indsamles og behandles.

Datatilsynet er af den opfattelse, at behandlingen af personoplysninger i den samlede applikation – uanset anvendte kodebiblioteker, API'er eller andre dataintegrationer – skal være begrænset til de personoplysninger, der kan anses som tilstrækkelige, relevante og nødvendige, i forhold til de formål, hvortil de behandles. Dette gælder, uanset om disse kodebiblioteker, API'er eller andre dataintegrationer er interne og udviklet i den dataansvarliges egen organisation eller stilles til rådighed af – eller købes fra – andre, enten databehandlere, andre dataansvarlige eller tredjemænd. Som dataansvarlig kan man ikke undlade at overholde kravene i databeskyttelsesforordningen – herunder bl.a. artikel 25 – blot ved at henvise til, at man benytter en tredjepartsløsning i sit løsningsdesign. Dette uanset hvor standardiseret og udbredt på markedet en sådan løsning måtte være. Ønsker den dataansvarlige at anvende en tredjepartsløsning som en del af sin løsning, skal den dataansvarlige derfor sikre sig, at behandlingen af personoplysninger ved brug af tredjepartsløsningen lever op til databeskyttelsesforordningen, herunder artikel 25, og kan dokumentere dette jf. også artiklerne 5, stk. 2 og 24.

3.2 Dataansvar

I databeskyttelsesforordningens artikel 4, nr. 7 er en dataansvarlig defineret som:

”en fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.”

En dataansvarlig er derfor den fysiske eller juridiske person mv., der bestemmer, til hvilke formål personoplysningerne må behandles (formålet), og hvordan personoplysningerne må behandles (hjælpemidlerne), herunder af hvem personoplysningerne må behandles.

Datatilsynet har – i overensstemmelse med det af Dansk Retursystem anførte – lagt til grund, at Dansk Retursystems formål med Pant-appen er at kunne udbetale pant via direkte pengeoverførsel til den bankkonto, som brugeren af appen har angivet, og kommunikere med brugeren.

Det lægges herudover til grund, at den behandling af personoplysninger, der sker i den udviklede Pant-app, alene er angivet til at skulle ske til dette formål.

Det er på den baggrund Datatilsynets vurdering, at Dansk Retursystem selv kunne bestemme, med hvilke hjælpemidler behandlingen af oplysninger skal ske. Det har alene været Dansk Retursystem, der kunne bestemme, at API’et fra Tink skulle inkluderes i appen, om et andet API skulle benyttes, eller om funktionaliteten skulle tilrettelægges på en helt anden måde, f.eks. ved brugerens manuelle indtastning af kontonummeret.

Datatilsynet lægger på det grundlag til grund, at bankkonto-API’et fra Tink udelukkende er inkluderet i Pant-appen, fordi Dansk Retursystem har besluttet det.

Det er Datatilsynets vurdering, at Tink er legalt bestemt dataansvarlig som kontooplysningstjeneste jf. definitionen i § 7 nr. 21, i lov nr. 652 af 8. juni 2017 om betalinger i forhold til interaktionen og de behandlinger af personoplysninger, der sker med brugers kontoførende udbyder (bank/pengeinstitut).

Det er Datatilsynets vurdering, at Dansk Retursystem som eneansvarlig for at inkludere Tinks API i Pant-appen, som bestemmende over formålet for behandlingen af personoplysninger i appen og i overensstemmelse med EU Domstolens praksis[2] – for at sikre en effektiv og fuldstændig beskyttelse af de registreredes rettigheder – skal betragtes som fælles dataansvarlig jf. databeskyttelsesforordningens artikel 26 og derfor som ansvarssubjekt for overholdelsen af principperne i artikel 5, stk. 1, og for designet efter artikel  25, i hvert fald for det formål, som der er lagt til grund for behandlingens foretagelse ved brug af Pant-appen.

Datatilsynet bemærker, at det forhold, at Dansk Retursystem ikke får kendskab til alle personoplysningerne, ikke i sig selv kan tillægges vægt i forhold til vurderingen af det fælles dataansvar – særligt når behandlingen af personoplysninger udelukkende sker som følge af et valg i designet foretaget af Dansk Retursystem, jf. også EU Domstolens bemærkninger herom i sagen C-25/17, Jehovas Vidner[3].

Det følger endvidere af EU-Domstolens dom i sag C-40/17, Fashion ID, at den omstændighed, at Dansk Retursystem ikke selv har adgang til de personoplysninger, der er indsamlet og overført til Tink, med hvem Dansk Retursystem i fællesskab fastlægger, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger, ikke er til hinder for, at Dansk Retursystem kan være dataansvarlig.[4]

3.3 Principper for behandling af personoplysninger

Behandling af personoplysninger skal – foruden at ske på baggrund af et relevant behandlingsgrundlag – altid ske i overensstemmelse med en række grundlæggende databeskyttelsesretlige principper.

Det er Datatilsynets opfattelse, at principperne for behandling af personoplysninger og reglerne i databeskyttelsesforordningen generelt skal ses som en udmøntning af de rettigheder og frihedsrettigheder, der tillægges den enkelte, set overfor de interesser, der måtte være for at behandle personoplysningerne, jf. princippet i databeskyttelsesforordningens præambelbetragning nr. 4.

Det er på den baggrund Datatilsynets opfattelse, at en fravigelse af den beskyttelse, behandlingsprincipperne er udtryk for, alene kan ske i det omfang forordningen selv eller ligestillet lovgivning muliggør dette.

Det er Datatilsynets opfattelse, at princippet om lovlighed, rimelighed og gennemsigtighed i databeskyttelsesforordningens artikel 5, stk. 1, litra a, betyder, at det blandt andet skal være tydeligt og entydigt for den registrerede, hvilke personoplysninger der behandles, til hvilke formål og af hvem, samt at dette formidles i et klart sprog og på en måde, der gør det let for den registrerede allerede tidligt i behandlingen at vurdere behandlingernes rækkevidde og de involverede aktørers rolle.

Datatilsynet konstaterer, at det fremgår af brugervilkårene for Pant-appen, at der i nogle brugstilfælde vil blive indhentet og behandlet flere personoplysninger end dem, som Dansk Retursystem benytter til formålet med behandlingerne, og endvidere fremgår det, at dette sker på baggrund af et samtykke ved brug af Tink-API'et.

Det er Datatilsynets opfattelse, at man som dataansvarlig ikke kan opfordre til eller basere egne behandlinger på brugsscenarier, hvor man er vidende om, at der vil ske behandlinger af personoplysninger ud over det, der er nødvendigt for formålet.

Ved alligevel at gøre dette i Pant-appen har Dansk Retursystem ikke overholdt databeskyttelsesforordningens artikel 5, stk. 1, litra a.

Dataminimeringsprincippet i databeskyttelsesforordningens artikel 5, stk. 1, litra c, siger, at personoplysninger altid skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles. Det skal derfor altid vurderes, hvordan de(t) forfulgte formål med rimelighed kan opfyldes ved behandling af færrest muligt oplysninger, og om muligt helt uden personoplysninger.

Datatilsynet lægger til grund, at Dansk Retursystem til det angivne formål behandler oplysninger om den enkelte brugers navn, telefonnummer, e-mail, registreringsnummer og kontonummer.

Endelig lægger Datatilsynet til grund, at Dansk Retursystem som dataansvarlig, ved at have inkluderet API'et fra Tink i Pant-appen, også i visse brugsscenarier behandler (i) bankoplysninger, som omfatter kontonumre, saldi, kontotyper, lån, renter og anden information forbundet med brugerens konti, (ii) informationer om saldi, der omfatter konto-ID, opdateret tidstempel, bogført saldo, disponibel saldo, kredit grænse og andre informationer forbundet til disse saldi, (iii) personlig information, som omfatter e-mail, brugernavn, personnummer, land og andre tilgængelige oplysninger i brugernes brugerprofil, (iv) identitetsoplysninger, der omfatter adgang til oplysninger, der kan bruges til identifikationsformål og (v) transaktionshistorik, der omfatter indbetalinger, køb og refunderinger i brugernes konti.

Det er Datatilsynets vurdering, at Dansk Retursystems behandling af personoplysninger i forbindelse med brugen af Pant-app ikke er sket i overensstemmelse med dataminimeringsprincippet i databeskyttelsesforordningens artikel 5, stk. 1, litra c.

Datatilsynet har navnlig lagt vægt på, at Dansk Retursystems behandling af personoplysninger ikke er begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil oplysningerne behandles. Det er især Dansk Retursystems behandling af oplysningerne nævnt i punkterne (i) til (v) ovenfor om bl.a. andre konti, indestående saldi, kontotype, lån, renter, kreditgrænser og transaktionshistorik, der efter Datatilsynets vurdering klart går ud over det nødvendige i forhold til formålet.

3.4  Databeskyttelse gennem design

Det følger af databeskyttelsesforordningens artikel 25, stk. 1, at den dataansvarlige – både på tidspunktet for fastlæggelsen af midlerne til behandlingen og på tidspunktet for selve behandlingen – skal træffe passende tekniske og organisatoriske foranstaltninger, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper og med henblik på sikring af de fornødne garantier i behandlingen for at opfylde kravene i databeskyttelsesforordningen og beskytte de registreredes rettigheder.

I denne sag har Datatilsynet besluttet at afgrænse undersøgelsen af Dansk Retursystems overholdelse af artikel 25, stk. 1, til den del, som vedrører passende tekniske og organisatoriske foranstaltninger, som er designet med henblik på effektiv implementering af databeskyttelsesprincipperne.

Det er Datatilsynets vurdering, at Dansk Retursystems behandling af personoplysninger i forbindelse med brugen af Pant-app ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 25, stk. 1, for så vidt angår implementering af de databeskyttelsesretlige principper.

Datatilsynet har særligt lagt vægt på, at Dansk Retursystem som dataansvarlig for den behandling af personoplysninger, som sker i forbindelse med brugen af Pant-app, ikke har gennemført fornødne tekniske og organisatoriske foranstaltninger, så princippet om dataminimeringsprincippet effektivt er implementeret i designet af it-løsningen.  

Dansk Retursystem skulle ved udviklingen af Pant-appen, herunder også i forhold til den teknologiske understøttelse og tilrettelæggelsen af appens funktioner, have gennemgået alle de behandlinger af personoplysninger, der ville ske, sådan som Pant-appen ville se ud med de valg af API'er og integrationer, der var indeholdt. Dansk Retursystem skulle herefter have efterprøvet, sikret og dokumenteret, at alle behandlingerne levede op til behandlingsprincipperne, og at hele databeskyttelsesforordningen kunne efterleves med det valgte design. Denne forpligtelse gælder, selv om et anvendt API er udviklet og stilles til rådighed af andre end den dataansvarlige selv. Uanset hvilke anvendte kodebiblioteker, API'er eller andre dataintegrationer, man vælger at benytte i en app eller i en anden form for teknologisk understøttelse, skal behandlingen af personoplysninger – i den samlede applikation – være begrænset til de personoplysninger, der kan anses som tilstrækkelige, relevante og nødvendige i forhold til de formål, hvortil de behandles, ligesom man som dataansvarlig ikke kan opfordre den registrerede til, at der behandles flere personoplysninger end det, formålet tilsiger.

I denne sag ændrer det ikke på denne vurdering, at behandlingen af personoplysninger er begrænset på en sådan måde, at videregivelsen fra bankerne til Tink foregår isoleret og uden for Dansk Retursystems domæne og kontrol. Det ændrer heller ikke denne vurdering, at Dansk Retursystem ikke selv har adgang til alle oplysningerne. Når Dansk Retursystem vælger at integrere en tredjepartsløsning i Pant-app, vil Dansk Retursystem som dataansvarlig for den behandling af oplysninger, der sker i forbindelse med brugen af appen, være ansvarlige for, at behandlingen af personoplysninger i tredjepartsløsningen, som sker med henblik på at opfylde Dansk Retursystems formål, lever op til forordningens artikel 25.

Som dataansvarlig skal man designe og vælge en løsning, der kun behandler de personoplysninger som er strengt nødvendige for at opfylde formålet. Ved benyttelse af tredjepartssoftware skal den dataansvarlige foretage en risikovurdering og sørge for, at funktioner, som ikke er forenelige med bl.a. de grundlæggende principper i databeskyttelsesforordningen, ikke inkluderes eller deaktiveres. Tilbyder tredjepartsløsningen ikke en mulighed for at tilpasse og begrænse behandlingen af personoplysninger til, hvad der er nødvendigt for opfyldelse af formålet, vil løsningen ikke lovligt kunne anvendes. En lovlig anvendelse vil i det tilfælde kræve et redesign af løsningen.

På denne baggrund finder Datatilsynet, at Dansk Retursystems behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 5, stk. 1, litra a og c, samt databeskyttelsesforordningens artikel 25, stk. 1, hvilket tilsynet finder, at der er grundlag for at udtale alvorlig kritik af.

Datatilsynet påbyder i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d, Dansk Retursystem at bringe Pant-appen i overensstemmelse med databeskyttelsesforordningen ved at gennemgå de behandlinger af persondata, der foretages i appen, og sikre, at der dels ikke behandles flere oplysninger, end formålet tilsiger, dels at de behandlinger, der foretages, sker lovligt, rimeligt og gennemsigtigt. Fristen for påbuddets overholdelse fastsættes til den 2. januar 2025.

Manglende overholdelse af påbuddet kan efter databeskyttelseslovens § 41, stk. 2, nr. 5 jf. § 41, stk. 1, straffes med bøde eller fængsel op til 6 måneder.

Datatilsynet skal efter databeskyttelsesforordningens artikel 58, stk. 2, litra a, derudover meddele Dansk Retursystem en advarsel om, at det til det angivne formål sandsynligvis vil være i strid med databeskyttelsesforordningen at benytte en tredjepartsløsning til kontooplysninger, der behandler personoplysninger ud over de nødvendige kontooplysninger for at kunne udbetale pantbeløbet ved en pengeoverførsel direkte til kontoen, og at dette gælder, uanset om der gives brugeren andre muligheder i appen end at bruge den pågældende integration.

Herudover skal Datatilsynet indskærpe, at det teknologiske design af forretningsunderstøttelsen skal ske på en måde, hvor brugeren, hvis personoplysninger bliver behandlet, sættes reelt i stand til at kunne udøve sine rettigheder efter databeskyttelsesforordningen. Det skal derfor bl.a. kunne beskrives gennemsigtigt over for brugeren både til hvilke formål, men også af hvilke dataansvarlige oplysninger indsamles og behandles, jf. databeskyttelsesforordningens artikler 12, 13 og 14.

For god ordens skyld skal Datatilsynet henlede Dansk Retursystems opmærksomhed på, at hele Pant-appen – også de behandlinger, der ikke er indgået i denne afgørelse – skal vurderes efter de kriterier, Datatilsynet har anført i denne afgørelse.    



[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Wirtschaftsakademie Schleswig-Holstein, sag C-210/16, præmis 28, 43 og 44, Jehovas vidner, sag C-25/17, præmis 66 og Fashion ID, sag C-40/17, præmis 69.
[3] Jehovas vidner C-25/17, præmis 69     
[4] Se dommens præmis 69.