Journalnummer: 2020-31-3611
Resumé
Rito Aps anvender på hjemmesiden www.rito.dk en funktion, hvor der ved indtastning af en allerede kendt e-mailadresse, automatisk udfyldes en række felter med personoplysninger, herunder navn, adresse og telefonnummer, der tidligere er blevet anvendt i tilknytning til e-mailadressen. Brugen af automatisk udfyldning forudsætter ikke, at man har logget ind forinden eller på anden måde identificeret sig.
Ved at indtaste e-mailadresser på tidligere kunder kunne andre uvedkommende brugere således potentielt tilgå oplysninger om disse.
Efter at sagen havde været forelagt Datarådet, udtalte Datatilsynet, at Rito ApS ved at anvende en funktionalitet, hvorved oplysninger om tidligere kunder potentielt kunne tilgås af andre uvedkommende brugere, ikke levede op til kravene om et passende sikkerhedsniveau i databeskyttelsesforordningens artikel 32.
Tilsynet lagde bl.a. vægt på, at en eventuel videregivelse af personoplysninger om tidligere kunder til andre brugere af hjemmesiden som udgangspunkt ikke var tilsigtet – dvs. at det ikke var formålet med løsningen, at brugere skulle have adgang til informationer om andre kunder.
Datatilsynet fandt endvidere, at Rito ApS’ nye løsning, hvor kunder skulle acceptere, at virksomheden gemte oplysningerne til senere automatisk adresseudfyldelse fortsat ikke levede op til kravene om et passende sikkerhedsniveau, da man, efter tilsynets opfattelse, ikke kan give afkald på fornøden sikkerhed ved at give samtykke.
På den baggrund fandt Datatilsynet grundlag for at udtale kritik af, at Rito ApS’ behandling af personoplysninger ikke var sket i overensstemmelse med reglerne i databeskyttelsesforordningen.
Datatilsynet meddelte endvidere Rito ApS påbud om at ophøre med at anvende automatisk udfyldning af personoplysninger om kunder ved køb på virksomhedens hjemmeside - uanset, om der var indhentet en form for accept fra kundernes side eller ej.
Autoudfyldning kan ske inden for reglerne
Datatilsynet fandt i forlængelse af sagen anledning til at overveje, hvorvidt det – inden for rammerne af databeskyttelsesforordningens artikel 32 – er muligt for virksomheder at anvende en løsning, der autoudfylder oplysninger om brugere på en hjemmeside.
Det er i den forbindelse Datatilsynets umiddelbare vurdering, at løsninger med autoudfyldning af oplysninger, hvor den registrerede på forhånd har verificeret sig tilstrækkeligt på anden måde, eksempelvis via et unikt log-in på hjemmesiden, vil leve op til kravene om sikkerhed i databeskyttelsesforordningens artikel 32.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet – efter at sagen har været forelagt Datarådet – at der er grundlag for at udtale kritik af, at Rito ApS’ behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32.
2. Påbud
Datatilsynet meddeler endvidere Rito ApS påbud om at ophøre med at anvende den af Rito ApS beskrevne autoudfyldningsfunktionalitet, hvilket gør sig gældende uanset, om der er indhentet en form for accept fra kundernes side eller ej.
Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.
Fristen for efterlevelse af påbuddet er 3 uger fra dags dato.
Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet.
Datatilsynet gør opmærksom på, at det efter databeskyttelseslovens § 41, stk. 2, nr. 5, er strafbart at undlade at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
3. Sagsfremstilling
Det fremgår af sagen, at Rito ApS på hjemmesiden, www.rito.dk, anvender en funktionalitet, hvor der ved indtastning af – en for løsningen allerede kendt – e-mailadresse automatisk udfyldes en række felter med oplysninger om navn, adresse og telefonnummer, der tidligere har været anvendt i tilknytning til den pågældende e-mailadresse. Brugen af automatisk udfyldning forudsætter ikke, at man har logget ind forinden eller på anden måde identificeret sig.
Det fremgår endvidere af sagen, at Rito ApS under behandlingen af nærværende sag har tilføjet en mulighed for, at nye kunder kan til- og fravælge funktionaliteten. Således fravælges funktionaliteten med automatisk udfyldning ved at klikke på en – på forhånd afkrydset – tjekboks med følgeteksten:
”Jeg accepterer at anvende automatisk adresseudfyldelse på mine fremtidige ordrer.
På denne måde hentes mine personlige oplysninger via e-mailadressen jeg har indtastet på min seneste ordre. Oplysningerne der hentes er følgende: fulde navn, adresse og telefonnummer. Vær opmærksom på at hvis andre kender din e-mailadresse, vil de via denne funktion også få adgang til de ovenstående oplysninger. Du kan altid trække dit samtykke tilbage igen.”
3.1. Klagers bemærkninger
Klager har overordnet henvist til, at siden www.rito.dk autoudfylder oplysninger om navn, adresse og telefonnummer, når man indtaster en for hjemmesideløsningen allerede kendt e-mailadresse i forbindelse med handel på siden. Klager har i den forbindelse anført, at det således er muligt at udtrække oplysninger om navn, adresse og telefonnummer på enhver kunde alene ved at indtaste den pågældendes e-mailadresse.
3.2. Rito ApS’ bemærkninger
Rito ApS har overordnet anført, at den omhandlede procedure, hvorved eventuelle oplysninger om navn, adresse og telefonnummer fremfindes automatisk, følger en helt almindelig branchestandard, som bruges af mange webbutikker i hele Danmark, Norden og resten af Europa. Informationerne indsamles på baggrund af tidligere gennemførte handler på hjemmesiden.
Rito ApS har ligeledes oplyst, at man skal have kendskab til en persons e-mailadresse for, at man kan tilgå øvrige informationer knyttet til den pågældende e-mailadresse, og at der alene kan foretages ti opslag fra samme ip-adresse inden for 24 timer. Herudover har Rito ApS anført, at virksomhedens system overvåger uregelmæssig adfærd, som herefter blokeres.
Rito ApS har oplyst, at løsningen er risikovurderet, dog ikke skriftligt, og at virksomheden anser det for højst usandsynligt, at oplysningerne kan komme til uvedkommendes kendskab i forbindelse med løsningen, idet Rito ApS kun behandler almindelige personoplysninger, som ifølge Rito ApS oftest kan hentes på andre sider, hvis man kender en persons e-mailadresse.
Endvidere har Rito ApS anført, at virksomheden på baggrund af nærværende henvendelse har genovervejet den automatiserede løsning og besluttet at lade den køre i sin nuværende form, om end med den ændring, at den enkelte kunde skal acceptere, at virksomheden gemmer oplysningerne til senere automatisk adresseudfyldelse.
4. Begrundelse for Datatilsynets afgørelse
4.1. Datatilsynet lægger til grund, at den behandling af personoplysninger om navne, adresser og telefonnumre, som sker via den omhandlede automatiske udfyldning, foretages med henblik på at tilvejebringe en nemmere og hurtigere købsproces for de enkelte kunder hos Rito ApS.
Endvidere lægger Datatilsynet til grund, at en eventuel videregivelse af personoplysninger om tidligere kunder til andre brugere af hjemmesiden som udgangspunkt ikke er tilsigtet – dvs. at det ikke er formålet med løsningen, at brugere skal have adgang til informationer om andre kunder. Tilsynet har i den forbindelse noteret sig, at Rito ApS efter det oplyste har implementeret visse foranstaltninger med henblik på at forbygge misbrug af adgangen til autoudfyldte oplysninger, herunder en begrænsning til at foretage maksimalt ti opslag fra samme ip-adresse inden for 24 timer og overvågning af uregelmæssig adfærd.
Databeskyttelsesforordningens artikel 32, stk. 1, fastslår, at den dataansvarlige, under hensynstagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici. Det følger endvidere af artikel 32, stk. 1, litra b, at den dataansvarlige, alt efter hvad der er relevant, bl.a. skal sikre vedvarende fortrolighed af behandlingssystemer og -tjenester.
Endvidere følger det af databeskyttelsesforordningens artikel 32, stk. 2, at den dataansvarlige ved vurderingen af hvilket sikkerhedsniveau, der er passende, skal tage hensyn til de risici, som en behandling udgør, ved f.eks. uautoriseret videregivelse af personoplysninger.
Det er Datatilsynets opfattelse, at det følger af kravet om passende sikkerhed, jf. artikel 32, at en virksomhed ved anvendelsen af en automatisk udfyldningsfunktionalitet har pligt til at sikre fortroligheden af kundeoplysninger – dvs. sikre sig, at oplysninger om kunder ikke kommer til uvedkommendes kendskab. Dette gør sig gældende uanset, om personoplysningerne er af de særlige kategorier eller ej.
Datatilsynet finder i forlængelse heraf, at Rito ApS, ved at anvende den pågældende funktionalitet, hvorved oplysninger om tidligere kunder potentielt vil kunne tilgås af andre uvedkommende, ikke har levet op til kravene om et passende sikkerhedsniveau i databeskyttelsesforordningens artikel 32.
Datatilsynet skal i den forbindelse bemærke, at man ved indtastning af en e-mailadresse på www.rito.dk efter omstændighederne vil kunne tilgå oplysninger om personer med navne- og adressebeskyttelse, ligesom det vil være muligt at tilvejebringe oplysninger, som potentielt kan anvendes til målrettet phishing. Uvedkommendes adgang til flere data medfører blandt andet, at sandsynligheden for succesfuld phishing øges, f.eks. ved brug af navn, adresse og oplysninger om, at kunden har handlet via hjemmesiden.
4.2. Datatilsynet har noteret sig, at Rito ApS på baggrund af Datatilsynets henvendelse i sagen har genovervejet løsningen og besluttet at lade den køre i sin nuværende form dog med den ændring, at den enkelte kunde skal acceptere, at virksomheden gemmer oplysningerne til senere automatisk adresseudfyldelse.
På baggrund af det oplyste er det imidlertid Datatilsynets opfattelse, at den pågældende information til kunderne og deres eventuelle accept ikke øger sikkerheden for behandlingen af de registreredes oplysninger. Efter tilsynets opfattelse kan en registreret ikke give afkald på, at en behandling foregår med den fornødne sikkerhed og derfor ikke ved samtykke tillade et sikkerhedsniveau, der ikke lever op til kravene i databeskyttelsesforordningens artikel 32. Datatilsynet finder på den baggrund, at Rito ApS fortsat ikke lever op til kravene om et passende sikkerhedsniveau i databeskyttelsesforordningens artikel 32.
Det er tværtimod Datatilsynets opfattelse, at Rito ApS’ nye løsning for indhentelse af accept kan være medvirkende til at øge opmærksomheden på den manglende sikkerhed, hvilket i sig selv kan føre til, at risikoen for misbrug øges.
Det er herefter Datatilsynets opfattelse, at Rito ApS’ nuværende løsning ligeledes er i strid med databeskyttelsesforordningens artikel 32.
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at Rito ApS’ behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32.
Datatilsynet meddeler endvidere Rito ApS påbud om at ophøre med at anvende den af Rito ApS beskrevne autoudfyldningsfunktionalitet, hvilket gør sig gældende uanset, om der er indhentet en form for accept fra kundernes side eller ej.
4.3. Datatilsynet har i forlængelse af ovenstående fundet anledning til at overveje, hvorvidt det – inden for rammerne af databeskyttelsesforordningens artikel 32 – er muligt for virksomheder at anvende en løsning, der autoudfylder oplysninger om brugere på den dataansvarliges hjemmeside.
Datatilsynet er opmærksom på, at autoudfyldning af oplysninger på en hjemmeside kan være en brugervenlig og forretningseffektiv måde at håndtere f.eks. formularudfyldelse på.
Det er i den forbindelse Datatilsynets umiddelbare vurdering, at løsninger med autoudfyldning af oplysninger, hvor oplysningerne først tilføres efter den registrerede har verificeret sig tilstrækkeligt på anden måde, eksempelvis via et unikt log-in på hjemmesiden, brug af certifikat, eller anden form for entydig identifikation, vil kunne leve op til kravene om sikkerhed i databeskyttelsesforordningens artikel 32.
Datatilsynet kan ikke udelukke, at der vil kunne etableres andre former for løsninger, hvor der anvendes autoudfyldning uden forudgående log-in eller anden form for verifikation af den registrerede. Tilsynet skal imidlertid bemærke, at den dataansvarlige er ansvarlig for og skal kunne påvise og dokumentere, at personoplysninger behandles på en måde, der sikrer en tilstrækkelig sikkerhed for de pågældende personoplysninger. Det er således den dataansvarliges ansvar at leve op til kravene om passende sikkerhed efter artikel 32, og det er som nævnt Datatilsynets opfattelse, at kravene om passende sikkerhed ikke kan fraviges med den registreredes samtykke.
Ved vurderingen af hvad der er passende sikkerhed, skal den dataansvarlige være særligt opmærksom på risici for den registrerede, særligt hvis adgangen til autoudfyldning af yderligere oplysninger er en alment kendt eller let tilgængelig oplysning, f.eks. en e-mailadresse eller telefonnummer. En sådan alment kendt eller en let tilgængelig oplysning, vil for det første gøre det nemmere for uvedkommende at tilgå de autoudfyldte oplysninger, ligesom at der – efter omstændighederne via simple søgninger på internettet – kan skabes grundlag for, at de autoudfyldte oplysninger vil kunne sammenstilles med andre offentligt tilgængelige oplysninger om den registrerede, hvilket vil kunne øge risikoen for den registrerede.
Den dataansvarlige skal endvidere gøre sig overvejelser om, hvorvidt de oplysninger, der gives adgang til via autoudfyldning, er oplysninger, som må betegnes for særligt beskyttelsesværdige, f.eks. oplysninger om navne- og adressebeskyttelse, eller indkøb der i sig selv vil kunne afsløre oplysninger af fortrolig karakter om kunden.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).