I juli 2022 indledte Datatilsynet en sag af egen drift mod Dansk Retursystem, der har udviklet en app, som kan bruges i forbindelse med pantning, fordi appen angiveligt behandler oplysninger om bl.a. brugernes konti, saldi og lån i banken.
Undersøgelsen viste, at appen har en indbygget komponent, der indhenter brugerens kontooplysninger for at kunne udbetale penge til den rigtige konto. Men komponenten, som stilles til rådighed af en tredjepart, kan også indsamle oplysninger om bl.a. brugerens saldi, identitetsoplysninger og transaktionshistorik. Disse oplysninger gives dog ikke videre til Dansk Retursystem.
Nu har Datatilsynet truffet en afgørelse i sagen og har undervejs afgrænset sagen til at vedrøre overholdelsen af principperne i GPDR om bl.a. lovlighed, rimelighed og genemsigtighed, princippet om dataminimering samt bestemmelsen om databeskyttelse gennem design. I afgørelsen udtaler Datatilsynet alvorlig kritik af Dansk Retursystem for ikke at leve op til reglerne på disse områder.
Samtidig har Dansk Retursystem fået et påbud om senest 2. januar 2025 at bringe sine behandlinger af personoplysninger i overensstemmelse med databeskyttelsesforordningen.
Afslutningsvis udsteder tilsynet en advarsel om, at det sandsynligvis vil være i strid med reglerne, hvis der kan behandles flere personoplysninger, end formålet tilsiger, gennem de API'er, som appen gør brug af.
Afgørelsen tager derudover stilling til spørgsmålet om dataansvar i en konstruktion, hvor der bliver benyttet API'er og services fra en ekstern leverandør. Her er der tale om et API, som er indbygget i appen, og som er indkøbt hos en udbyder, som er lovbestemt dataansvarlig for den bagvedliggende behandling. Men afgørelsens betragtninger gælder også for andre indsamlinger og behandlinger af personoplysninger, som sker i andre servicebaserede arkitekturer.
“Datatilsynet har forståelse for, at mange applikationer i dag er sammensat af kodebiblioteker, funktionel kode, API'er og systemintegrationer, der ikke hidrører fra den dataansvarliges egen organisation. Når man får udviklet en app, fritager det dog ikke den dataansvarlige for det grundlæggende ansvar for at overholde reglerne i GDPR,” siger Allan Frank, it-sikkerhedsspecialist og jurist i Datatilsynet, og fortsætter:
“Inden en app udvikles og sættes i drift, skal den dataansvarlige gennemgå alle de behandlinger af personoplysninger, som et valgt design medfører, herunder hvilke personoplysninger den indsamler og behandler. Designet af appen skal sikre hele forordningens overholdelse, uanset hvor kendte og udbredte komponenter den opbygges af."
"Lidt firkantet kan man sige, at selv om din nabo bruger en komponent til sit formål, så er det for det første ikke sikkert, at naboen bruger den lovligt, og for det andet skal du altid selv vurdere den konkret op imod dit eget formål,” uddyber Allan Frank.
Datatilsynet skal endvidere endnu en gang tilskynde til, at der i organisationer og sammenslutninger af dataansvarlige med samme typer af behandlinger og enslydende formål arbejdes med brugen af adfærdskodekser.
Datatilsynet vil fremover tillægge det vægt ved sanktionsvalget, hvis principperne i denne afgørelse ikke er fulgt - navnlig på alle de områder, hvor det offentlige og de institutionelle aktører i den private sektor udfører opgaver, hvor brugerne er begrænsede i deres valg af udbyder. Dette gælder ikke kun de steder, hvor der behandles oplysninger af særlige kategorier som social- og sundhedsområdet, men alle områder, hvor brugernes betjenes ved hjælp af apps.
Datatilsynet understreger afslutningsvis, at den information, den dataansvarlige giver til de registrerede, altid skal leve op til kravene i reglerne om især klarhed og gennemsigtighed.
Vil du vide mere?
Læs selve afgørelsen her.
Læs mere om de grundlæggende principper.
Læs mere om databeskyttelse gennem design.