Kollegaer der arbejder sammen i et server-kontrolrum

Pant-app i stormvejr: Datatilsynet afslører alvorlige overtrædelser

13 nov. 2024

Relaterede emner

Ny afgørelse fastslår, at dataansvarlige ikke lovligt kan behandle personoplysninger, der ikke er nødvendige for det specifikke formål.

Opsummering:

Dansk Retursystems behandling af personoplysninger strækker sig udover hvad, der er nødvendigt for at opfylde appens formål.
Dansk Retursystem har ikke haft tilstrækkeligt fokus på tekniske og organisatoriske sikkerhedsforanstaltninger ifm. appens design.
Datatilsynet har derfor pålagt Dansk Retursystem at implementere nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger.

I juli 2022 iværksatte Datatilsynet på eget initiativ en undersøgelse mod Dansk Retursystem A/S (”Dansk Retursystem”) i forbindelse med en app, de havde udviklet med det formål at gøre det nemmere for brugerne at returnere pantflasker og modtage deres pantpenge digitalt. Til dette formål havde Dansk Retursystem behandlet oplysninger om den enkelte brugers navn, telefonnummer, e-mail, registreringsnummer og kontonummer.

Appen var designet til at indsamle brugernes kontooplysninger for at sikre korrekt udbetaling. Undersøgelsen afslørede dog, at appen også indsamlede oplysninger om brugernes saldi, identitetsoplysninger og transaktionshistorik.

Undersøgelsens resultater

Datatilsynets undersøgelse afslørede bl.a. følgende kritiske punkter i appens håndtering af personoplysninger:

Manglende dataminimering: Dansk Retursystems behandling af personoplysninger var ikke begrænset til kun at behandle de personoplysninger, som var strengt nødvendige for at opfylde formålet med appen. Det drejede sig særligt om oplysninger om andre konti, indestående saldi, kontotype, lån, renter, kreditgrænser og transaktionshistorik, der efter Datatilsynets vurdering klart gik ud over det nødvendige i forhold til formålet. Selvom disse oplysninger ikke blev delt med Dansk Retursystem, har Dansk Retursystem overtrådt princippet om dataminimering.
Utilstrækkelige sikkerhedsforanstaltninger: Dansk Retursystem havde ikke overvejet, vurderet og gennemført de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger i designet af appen. For at sikre princippet om dataminimering skulle de blandt andet have gennemført tilstrækkelige risikovurderinger, og på baggrund heraf vurderet, hvilke konkrete funktioner, der skulle have været inkluderet eller deaktiveret i it-løsningen, så alene de nødvendige personoplysninger blev behandlet. En sådan forpligtelse gælder, selv om en del af appen er udviklet og stillet til rådighed af andre end den dataansvarlige selv.
Lovlighed og gennemsigtighed: Datatilsynet slår med afgørelsen fast, at man som dataansvarlig ikke kan behandle flere personoplysninger, end der er nødvendige i forhold til de specifikke formål – ej heller i det tilfælde hvor man, som Dansk Retursystem, i brugervilkårene oplyser, at der vil blive indsamlet flere personoplysninger og indhentet samtykke hertil.

Konsekvenser og anbefalinger

Relateret artikel

Styrk arbejdet med databeskyttelse med interim assistance

Databeskyttelse kan være komplekst og ressourcekrævende. Fleksible ressourcer kan hjælpe med at skabe overblik og fremdrift.

Bodil Hald Brabæk + 1

Som følge af disse overtrædelser har Datatilsynet bl.a. pålagt Dansk Retursystem at:

Implementere de nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger for at beskytte personoplysninger, så databeskyttelsesprincipperne effektivt er implementeret i designet af appen.
Sikre at brugerne får klare og forståelige oplysninger om, hvordan deres data vil blive behandlet.

Datatilsynet vil fremover tillægge det vægt ved valg af sanktion overfor andre dataansvarlige, hvis principperne i afgørelsen ikke er fulgt - navnlig på alle de områder, hvor brugerne er begrænsede i deres valg af udbyder.

I afgørelsen udtaler Datatilsynet: ”Dette gælder ikke kun de steder, hvor der behandles oplysninger af særlige kategorier som social- og sundhedsområdet, men alle områder, hvor brugerne betjenes ved hjælp af apps.”

Kontakt

Kamilla Mondrup, Manager, Data Privacy Law, tlf. 4045 0785

Bodil Hald Brabæk, Executive Director, Head of Data Privacy Law, tlf. 2529 3268

Sammendrag

I en ny afgørelse udtaler Datatilsynet alvorlig kritik af Dansk Retursystems pant-app. Datatilsynet vurderer, at appens behandling af personoplysninger strider imod principperne i GDPR om bl.a. lovlighed, gennemsigtighed og dataminimering og understreger, at Datatilsynet fremover vil tillægge det vægt ved valg af sanktion overfor andre dataansvarlige, hvis principperne i afgørelsen ikke er fulgt.

Om denne artikel

EY refererer til den globale organisation og kan henvise til en eller flere af medlemsfirmaerne i Ernst & Young Global Limited, som hver især er en separat juridisk enhed. Ernst & Young Global Limited, som er et engelsk ‘company limited by guarantee’, yder ikke kunderådgivning.