01. marts 2022

Datatilsynet gav en netbutik påbud om at ophøre med at bruge en funktion til automatisk udfyldning af kundeoplysninger. Funktionen indebar nemlig en risiko for, at kundernes persondata, herunder oplysning om kunder med navne- og adressebeskyttelse, kunne komme til uvedkommendes kendskab.

Læs hele afgørelsen her

Sagen kort

En netbutik ønskede at gøre kundernes bestilling så nem og hurtig som muligt. Netbutikken etablerede derfor en funktion, der betød, at når kunden indtastede sin e-mailadresse, blev faktureringsoplysningerne (navn, adresse og telefonnummer) automatisk udfyldt, når kunden tidligere havde handlet i butikken.

En kunde klagede over netbutikken til Datatilsynet, som tog en sag op til behandling.

Under sagens behandling i Datatilsynet gav netbutikken nye kunder mulighed for at til- og fravælge løsningen, ved at klikke på en - på forhånd afkrydset – tjekboks med følgende tekst:

”Jeg accepterer at anvende automatisk adresseudfyldelse på mine fremtidige ordrer. På denne måde hentes mine personlige oplysninger via e-mailadressen jeg har indtastet på min seneste ordre. Oplysningerne, der hentes, er følgende: fulde navn, adresse og telefonnummer. Vær opmærksom på at hvis andre kender din e-mailadresse, vil de via denne funktion også få adgang til de ovenstående oplysninger. Du kan altid trække dit samtykke tilbage igen.”

Netbutikken havde vurderet, at det var højst usandsynligt, at oplysningerne ville komme til uvedkommendes kundskab, da man skulle have kendskab til en persons e-mailadresse for at få adgang til oplysninger om navn, adresse og telefonnummer, som i øvrigt var almindelige personoplysninger.

For at forhindre evt. misbrug havde netbutikken dog sikret sig, at der alene kunne foretages 10 opslag i døgnet fra samme IP-adresse, og hjemmesiden blev overvåget for at fange uregelmæssig adfærd.

Derfor kunne Datatilsynet ikke acceptere løsningen

En netbutik har pligt til at sikre, at der er et passende sikkerhedsniveau, så personoplysninger ikke kommer til uvedkommendes kendskab. Autoudfyldningsfunktionen indebar en risiko for, at uvedkommende, der kendte en kundes e-mailadresse - ville kunne søge oplysninger om personen, herunder om personer med navne- og adressebeskyttelse. Det ville også være muligt for uvedkommende at søge oplysninger, der kunne anvendes til målrettet phishing. Netbutikken havde derfor ikke etableret et passende sikkerhedsniveau, jf. databeskyttelsesforordningens art. 32.

Kundernes eventuelle samtykke havde ingen betydning

Datatilsynet udtalte, at en kunde ikke kan give afkald på, at behandling foregår med den nødvendige beskyttelse af personoplysninger. Den nye tekst ville gøre andre opmærksomme på den manglende sikkerhed, hvilket i sig selv kunne øge risikoen for misbrug. Det forhold, at netbutikken havde indhentet kundernes accept af løsningen, havde derfor ingen betydning for autoudfyldelsesfunktionens lovlighed.

Datatilsynets bud på, hvordan en autoudfyldningsfunktion lovligt kan anvendes

Datatilsynet anerkendte, at en autoudfyldningsfunktion kan være en brugervenlig og effektiv måde, at håndtere formularudfyldelse på. Lidt usædvanligt kom Datatilsynet med et bud på, hvordan det evt. kunne gøres lovligt: Virksomheder vil kunne sikre sig brugerens identitet ved, at brugeren skal anvende et unikt log-in eller bruge et certifikat eller en anden form for entydig identifikation, inden funktionen gøres tilgængelig.

Krav om passende sikkerhedsniveau – GDPR art. 32

Databeskyttelsesforordningens artikel 32, stk. 1, fastslår, at den dataansvarlige, under hensyntagen

til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. Det følger endvidere af artikel 32, stk. 1, litra b, at den dataansvarlige, alt efter hvad der er relevant, bl.a. skal sikre vedvarende fortrolighed af behandlingssystemer og -tjenester.

Endvidere følger det af databeskyttelsesforordningens artikel 32, stk. 2, at den dataansvarlige ved vurderingen af hvilket sikkerhedsniveau, der er passende, skal tage hensyn til de risici, som en behandling udgør, ved f.eks. uautoriseret videregivelse af personoplysninger.

Læs hele afgørelsen her

Læs vejledninger fra Datatilsynet om behandlingssikkerhed

 

Kontakt

Digital Handel

Carsten Rose Lundberg

Branchedirektør for digital handel
Medarbejderprofil