Dansk pant-app møder hård kritik for brud på dataloven

Dansk Retursystems brud på datalov kan få betydning for mange, der har fået hjælp til udvikling af en app.

Det er et brud på den gældende GDPR-lovgivning, skriver Datatilsynet i en pressemeddelelse.

Sagen blev indledt i 2022, fordi appen angiveligt behandlede oplysninger om brugernes konti, saldi og lån i banken.

En undersøgelse viste, at der var en komponent i appen, som skulle indhente kontooplysningerne fra den pågældende bruger for at kunne udbetale penge til den rigtige konto.

Men den kunne altså også opfange informationer om brugerens transaktionshistorik, saldi og identitet.

Selv om Dansk Retursystem ikke selv modtog personoplysninger, er det virksomhedens ansvar, at appen handler inden for lovens rammer, lyder det i afgørelsen.

Det gælder i det hele taget for danske virksomheder, der bruger en ekstern leverandør til at udvikle konstruktionen i en app.

- Datatilsynet har forståelse for, at mange applikationer i dag er sammensat af kodebiblioteker, funktionel kode, API'er og systemintegrationer, der ikke hidrører fra den dataansvarliges egen organisation, siger Allan Frank, it-sikkerhedsspecialist og jurist i Datatilsynet, i meddelelsen.

- Når man får udviklet en app, fritager det dog ikke den dataansvarlige for det grundlæggende ansvar for at overholde reglerne i GDPR.

Den dataansvarlige - i dette tilfælde Dansk Retursystem - skal altså gennemgå en apps behandling af brugernes personoplysninger, inden den sættes i drift.

Derfor vil afgørelsen ifølge Datatilsynet også kræve handling fra andre, der ligeledes har fået udviklet en app.

Dansk Retursystem har af Datatilsynet fået et påbud om, at datalovgivningen skal overholdes senest den 2. januar 2025.

/ritzau/