Datatilsynet udtaler alvorlig kritik af Elgiganten A/S

Dato: 20-06-2022
Afgørelse Private virksomheder Alvorlig kritik Klage Behandlingssikkerhed Uautoriseret adgang Risikovurdering og konsekvensanalyse

Datatilsynet udtaler alvorlig kritik i en sag, hvor Elgiganten A/S ved indbrud i deres varegård fik stjålet et returneret fjernsyn, der ikke var nulstillet for klagers personoplysninger.

Journalnummer: 2021-31-5743

Resume

Elgiganten A/S tog i juni 2021 klagers ibrugtagne fjernsyn retur. Imens fjernsynet var under behandling for nulstilling, blev det midlertidigt placeret i butikkens varegård. Placeringen udenfor skete på grund af pladsmangel og en hektisk situation inde i butikken, hvor produkter ellers normalt stilles i et område, som kun ansatte har adgang til. Varegården blev i mellemtiden udsat for et indbrud. Dette betød, at tredjemand fik adgang til klagers fjernsyn og dermed til oplysninger fra diverse streaming-tjenester, som klager var logget ind på, samt klagers browserhistorik.

Elgiganten havde inden indbruddet foretaget en risikovurdering for tyveri af deres produkter og vurderet risikoen til at være høj. Derfor blev varegården sikret ved aflåsning, en høj væg, overvågningskameraer og bevægelsescensorer. Indbrudstyven fik dog adgang ved at slå hul i den høje væg.

Risikovurderingen skal også rumme scenarier som f.eks. stort arbejdspres

Datatilsynet fastslog i sagen, at den dataansvarlige skal sikre sig, at produkter opbevares med tilstrækkelig sikkerhed og underlægges foranstaltninger, der matcher risikoen for forskellige misbrugsscenarier. Da Elgiganten vurderede, at risikoen for tyveri af produkter var høj, og da det er alment kendt, at medarbejdere ikke altid efterlever interne procedurer, burde risikoscenarier som et stort arbejdspres og pladsmangel have indgået i risikovurderingen. Elgiganten skulle med andre ord have taget højde for, at medarbejdere kan afvige de fastsatte procedurer – f.eks. i tilfælde af pladsmangel og stort arbejdspres.

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor [klager] den 10. november 2021 har klaget til tilsynet over, at Elgiganten A/S ikke ved klagers returnering af et købt fjernsyn har slettet indholdet på fjernsynet, hvormed tredjemand fik adgang til klagers streaming-tjenester, herunder indsigt i data fra klagers anvendte tjenester samt browserhistorik.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Elgiganten A/S’ behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Det fremgår af sagen, at Elgiganten A/S modtog klagers fjernsyn den 19. juli 2021. Fjernsynet blev stillet i butikkens varegård, hvorefter det ved indbrud blev stjålet. Fjernsynet var ikke blevet nulstillet efter gældende procedurer endnu, hvorfor klagers personoplysninger stadig var opbevaret i fjernsynet.

2.1. Klagers bemærkninger

Klager har anført, at han i forbindelse med en reklamationssag har indleveret sit fjernsyn til Elgiganten. Klager opdager efterfølgende, at en uautoriseret tredjemand anvender hans streamingtjenester via det indleverede fjernsyn, der skulle være sendt til destruktion. Klager har hertil bemærket, at fjernsynet fortsat indeholder data fra gratistjenester samt browserhistorik.

2.2. Elgiganten A/S’ bemærkninger

Elgiganten A/S har anført, at de har modtaget klagers fjernsyn den 19. juli 2021.

Ifølge Elgiganten A/S er årsagen til hændelsen, at en medarbejder i butikken – på grund af pladsmangel inde i butikken og en stresset situation – har stillet fjernsynet i butikkens varegård. Her er der sket et indbrud, hvormed fjernsynet blev stjålet.

Elgiganten A/S har oplyst, at gården er sikret ved; at den er aflåst, der er en høj væg omkring samt installeret overvågningskameraer og bevægelsescensorer. Disse foranstaltninger er iværksat på baggrund af Elgigantens høje risikovurdering for tyveri af såvel nye som ibrugtagne produkter. Det fremgår, at det er denne høje væg, indbrudstyven har slået hul i og herved fået adgang til fjernsynet.

Elgiganten A/S har oplyst, at det er normal procedure, at personoplysninger slettes uafhængigt af, om et produkt skal videresælges eller destrueres. Det er driftsteamet ved butikken, herunder serviceafdelingen, der har ansvaret for nulstilling til fabrikationsindstillinger af indleverede fjernsyn. Fjernsynet var under behandling, hvorfor sletningen ikke var sket endnu.

Elgiganten A/S har om deres forudgående foranstaltninger oplyst, at det ikke er normal procedure, at produkter der er under behandling og skal nulstilles, stilles udenfor. Den normale procedure er, at produkterne stilles på et område, hvor kun ansatte har adgang til, og at persondata slettes, inden det sendes til destruktion.

Elgiganten A/S har videre oplyst, at de på baggrund af hændelsen agter at montere et tag på varegården. Herudover vil de indskærpe de fastlagte rutiner over for de ansatte, herunder at varer ikke må stilles i varegården, selvom den er sikret og et tag er blevet fastmonteret.

Endeligt har Elgiganten A/S oplyst, at de har retningslinjer for håndteringen af sikkerhedsbrud. Dette kommer til udtryk ved oplæringen af nye medarbejder. De ansatte vurderer ikke selv alvorligheden af et potentielt brud, men bliver – efter oprettelse i sagsbehandlingssystemet – tildelt en specifik ansat, der har ansvaret for håndteringen af sikkerhedsbrud i Elgiganten eller Elkjøp Nordic. På baggrund af hændelsen vil Elgiganten fremadrettet skærpe og evaluere rutinerne.

3. Begrundelse for Datatilsynets afgørelse

Datatilsynet lægger til grund, at Elgiganten A/S – på tidspunktet for tilbageleveringen af fjernsynet – er blevet dataansvarlig for eventuelle oplysninger, der måtte være gemt på enheden, jf. databeskyttelsesforordningens artikel 4, nr. 7.

Datatilsynet lægger på baggrund af det af Elgiganten A/S oplyste til grund, at der har været uautoriseret adgang til klagers personoplysninger, hvorfor tilsynet finder, at der er sket et brud på persondatasikkerheden, jf. databeskyttelsesforordningens artikel 4, nr. 12.

3.1. Databeskyttelsesforordningens artikel 32

Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.

Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.

Kravet i artikel 32 om passende sikkerhed vil normalt indebære, at man som dataansvarlig skal sikre, at oplysninger om registrerede ikke kommer til uvedkommendes kendskab.

Ved vurderingen af risikoen skal det indgå heri, at oplysninger om en registreredes browserhistorik kan udgøre personoplysninger af særlige kategorier. Herudover kan der ved uautoriseret adgang til enheden skabes adgang til økonomiske oplysninger, herunder kreditkortinformation, hvis den registreredes streaming-konti og tv-abonnementer er tilknyttet samme enhed.

Den dataansvarlige skal sikre, at opbevaring sker med en tilstrækkelig sikkerhed, hvori risikoen for forskellige misbrugsscenarier skal afspejles i foranstaltninger, der er tilpasset hertil.

Enheder som computere, telefoner og tv har en særlig høj risikoprofil for f.eks. tyveri. De pågældende enheder indeholder typisk også en flerhed af personoplysninger.

Det er generelt Datatilsynets opfattelse, at persondata på bærbare enheder eller enheder med en højere tyveririsiko skal krypteres, eller data slettes på en uigenkaldelig måde, inden enhederne sættes til opbevaring.

Det er endvidere Datatilsynets opfattelse, at den dataansvarlige skal sikre sig, at alle medarbejdere i virksomheden i nødvendigt omfang er bekendt med eventuelle interne procedurer for håndtering af personoplysninger, herunder i relation til sletningen af personoplysninger ved kunders returnering af brugte varer, og at procedurer, retningslinjer mv. samt arbejdsgange løbende opdateres.

Datatilsynet finder på ovenstående baggrund, at Elgiganten A/S – ved ikke at have sikret, at returnerede ibrugtagne produkter med personoplysninger blev slettet eller opbevaret tilstrækkelig sikkert under behandlingen – ikke har truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved virksomhedens behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Elgiganten A/S’ behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1.

Datatilsynet har ved valg af reaktion lagt vægt på, at Elgigantens A/S’ foranstaltninger i denne sag ikke var fornødne, henset til den iboende risiko for indbrud og tyveri af produkter, der kan indeholde personoplysninger. Dette var kendt af Elgiganten A/S’ og udtrykt i risikovurderingen. Det er Datatilsynets opfattelse, at medarbejderes manglende efterlevelse af interne procedurer er en kendt fejl, og kontrolforanstaltninger skulle have været inkorporeret i Elgiganten A/S’ forretningsgange, henset til at risikoscenarier – på grund af et stort arbejdspres og pladsmangel – burde have indgået i vurderingen.

Herudover har Datatilsynet lagt vægt på, at utilstrækkelig sletning konkret øger risikoen for, at den registreredes personoplysninger kommer til kendskab for uvedkommende.

Datatilsynet har noteret sig, at Elgiganten A/S har indskærpet procedurerne for behandling af personoplysninger til de ansatte samt suppleret varegårdens indbrudsforebyggende foranstaltninger ved montering af et tag. Datatilsynet skal indskærpe, at Elgiganten A/S sikrer, at de gældende procedurer efterleves og de løbende fører kontrol med dette.

3.2. Sammenfatning

Datatilsynet finder, at der er grundlag for at udtale alvorlig kritik af, at Elgiganten A/S’ behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningen artikel 32, stk. 1.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).