Ny afgørelse fra Datatilsynet: Eksterne komponenter i danske apps kan være i strid med GDPR

Annonceindlæg tema

Identity & Access Management er blevet rygraden i digital sikkerhed

Denne side indeholder artikler med forskellige perspektiver på Identity & Access Management i private og offentlige organisationer. Artiklerne behandler aktuelle IAM-emner og leveres af producenter, rådgivere og implementeringspartnere.

Datatilsynet har afgjort en sag mod Dansk Retursystems ’Pant’-app og udtaler alvorlig kritik for manglende overholdelse af GDPR-reglerne.

Appen, som bruges til at udbetale pantbeløb ved at indhente brugerens kontooplysninger, har en indbygget komponent fra en tredjepart, der også kan indsamle oplysninger om brugernes konti, identitetsoplysninger, saldi og transaktioner.

Disse oplysninger sendes dog ikke videre til Dansk Retursystem, men alligevel vurderer Datatilsynet, at appens design og datahåndtering ikke lever op til GDPR's krav om dataminimering og gennemsigtighed.

Det oplyser tilsynet i en meddelelse.

Læs også: Datatilsynet åbner sag mod pant-app: "Noget tyder på, at appen indhenter en del flere oplysninger, end den behøver"

Hvad betyder det for virksomheder, der har udviklet apps?

Sagen, der blev indledt af Datatilsynet i 2022, får dog ikke kun konsekvenser for Dansk Retursystem.

Også andre dataansvarlige, der har fået udviklet apps, bør tage sagen alvorligt, da Datatilsynet har udstedt en advarsel om, at brug af API’er og eksterne komponenter, som indsamler flere oplysninger end nødvendigt, kan være i strid med reglerne.

Datatilsynet har også udstedt et påbud om, at Dansk Retursystem skal bringe appen i overensstemmelse med databeskyttelsesreglerne senest 2. januar 2025.

Ifølge Allan Frank, der er it-sikkerhedsspecialist og jurist hos Datatilsynet, er afgørelsen en klar påmindelse til virksomheder om, at de altid bærer det fulde ansvar for, at deres apps overholder GDPR-reglerne – også selvom de anvender kodebiblioteker og API’er fra eksterne leverandører.

“Inden en app udvikles og sættes i drift, skal den dataansvarlige gennemgå alle de behandlinger af personoplysninger, som et valgt design medfører,” forklarer Allan Frank og understreger, at dette ansvar ikke kan fraskrives, blot fordi en komponent er udbredt eller populær.

Virksomheder skal ifølge tilsynet altid selv vurdere, om en komponent opfylder deres specifikke formål og overholder GDPR.

Datatilsynet opfordrer også organisationer til at udvikle adfærdskodekser, der kan hjælpe med at sikre overholdelse af GDPR.

Hvis disse kodekser ikke følges, vil det blive tillagt vægt ved fremtidige sanktionsafgørelser, særligt for offentlige institutioner og større private aktører, hvor brugerne ofte har begrænsede valgmuligheder, lyder det fra tilsynet.

Du kan læse mere om sagen her.