Dansk Retursystems pant-app, som anvendes til udbetaling af pant, er kommet i alvorligt databeskyttelsesproblemer.
Datatilsynet har netop offentliggjort en afgørelse, hvor de retter skarp kritik mod appens behandling af personoplysninger og kræver øjeblikkelig handling.
Tilbage i juli 2022 indledte Datatilsynet en undersøgelse af appen, fordi den angiveligt behandlede følsomme oplysninger som brugernes bankkonti, saldi og transaktionshistorik. Undersøgelsen afslørede, at appen benytter et tredjeparts-API til at håndtere udbetalinger. Denne komponent kan dog også indsamle personfølsomme data, som ikke nødvendigvis er relevante for formålet. Selvom disse oplysninger ikke deles med Dansk Retursystem, overtræder appen flere grundlæggende GDPR-principper, herunder lovlighed, rimelighed og dataminimering.
I afgørelsen udtrykker Datatilsynet alvorlig kritik af Dansk Retursystem og har pålagt virksomheden at bringe deres behandling af personoplysninger i overensstemmelse med GDPR inden den 2. januar 2025. Datatilsynet advarer samtidig om, at det sandsynligvis vil være ulovligt, hvis der indsamles flere oplysninger end nødvendigt gennem tredjeparts-API’er, som det er tilfældet i denne sag.
Afgørelsen kan få store konsekvenser for andre app-udviklere, der også anvender komponenter fra eksterne leverandører. Datatilsynet understreger, at selvom apps ofte bygges op af kodebiblioteker og API’er fra tredjepart, fritager det ikke den dataansvarlige for at sikre, at al behandling af personoplysninger overholder GDPR. Derfor bør alle dataansvarlige nøje gennemgå de komponenter, der anvendes i deres apps, for at sikre fuld overensstemmelse med databeskyttelsesreglerne.
Denne sag sætter fokus på vigtigheden af klarhed og gennemsigtighed i den information, der gives til brugerne, og kan føre til øgede krav til udviklere af andre apps, der også håndterer personoplysninger gennem eksterne services.