Den brittiska medborgarrättsorganisationen Privacy International avslöjade i söndags hur apputvecklare använder Facebooks utvecklingsverktyg för att skicka data om användarens aktiviteter till Facebook. Detta tycks, enligt Privacy International, ske även om appanvändaren i fråga inte har ett Facebookkonto eller är inloggad på Facebook.

I sin rapport skriver Privacy International att de är "mycket bekymrade” över hur användardata "exploateras” i back-end-systemen hos Facebook och Google.

Privacy International testade 34 Android-appar, med en användarbas mellan 10 och 500 miljoner användare, och fann att 23 av dessa appar skickade användardata till Facebook. Dessa data inkluderar bland annat när appen startas och stängs, data om mobilenheten, språk och tidszoner, och den id-kod som Google använder för att rikta reklam mot användaren. Denna id-kod gör att företag kan matcha användarprofiler med marknadsföring, skriver ZDNet.

En av de mobilappar Privacy International tittade närmare på var den populära resebokningsappen Kayak. Kayak visar sig skicka även app-interna sökdata som tidpunkt för sökningen, avrese- och destinationsorter, flygplats, avresedatum, antal biljetter och biljettklass. Privacy International understryker att dessa uppgifter skickas även om användaren av Kayak inte är inloggad på Facebook eller ens har ett facebookkonto.

Facebook skriver i ett uttalande till Privacy International att de, liksom många andra plattformsföretag, erbjuder dessa tjänster till utvecklare av appar, vilket hjälper dem att samla in aggregerad information om hur användarna använder sina appar. I detta uttalande nämner Facebook att de är i gott sällskap med företag som Amazon, Google och Twitter, och att förfarandet är helt normalt.

Utöver att analysera hur dessa appar skickar användardata gjorde Privacy International även en analys av hur detta förfarande svarar mot dataskyddsförordningen GDPR, och då speciellt förordningens princip om dataminimering.

Privacy International menar att förfarandet att skicka användardata till tredje part innan användaren hunnit interagera med appen bryter mot förordningen. "Det faktum att [Facebooks] SDK i grundinställningen och per automatik skickar data när appen startas, och att möjligheten att frivilligt hindra detta infördes först i juli 2018, ställer oss frågande till Facebooks ansvar gentemot utvecklare såväl som mot deras efterlevnad av principerna för dataskydd”, skriver Privacy International.

Facebook skriver å sin sida att de begär att apputvecklare ska på egen hand inhämta laglig grund för hantering av användardata. Detta imponerar inte på Privacy International som menar att Facebook inte kan lämpa över detta ansvar på utvecklarna. Privacy International skriver även att de testade opt-out-funktionen i Facebooks inställningar för kakor och fann att detta inte nämnvärt förändrade hur apparna skickar data.

Läs också:
Snart avgörs slaget om EU:s digitala upphovsrätt
Det svider att tumma på datasäkerheten – här är de värsta böteslapparna 2018