Journalnummer: 2015-631-0140
Datatilsynet vender hermed tilbage til sagen, hvor tilsynet på baggrund af en henvendelse fra en borger blev bekendt med, at oplysninger om navne, adresser og e-mailadresser på kunder, samt oplysninger om kundernes ordrer er offentligt tilgængelige på en række internetadresser under domænet connerydeal.dk.
Efter anmodning fra Datatilsynet er Connery ApS ved e-mail af 8. december 2015, 29. september 2016 og 18. april 2017 fremkommet med udtalelser til sagen.
Datatilsynet finder det meget beklageligt, at oplysninger om kunderne og deres ordrer har været tilgængelige på internettet. Connery ApS’ behandling af personoplysninger har efter Datatilsynets opfattelse ikke levet op til kravet om fornødne sikkerhedsforanstaltninger i persondatalovens § 41, stk. 3.
Datatilsynet har noteret sig det oplyste om, at sikkerhedsbristen skyldtes fejl hos samarbejdspartneren Dealfighter, at Connery ApS reagerede omgående, da virksomheden hørte om fejlen, at der også blev taget skridt til at fjene oplysningerne hos Google, og at Connery ApS fremover vil få dokumentation fra lignende samarbejdspartner på, at de har styr på deres datasikkerhed.
Connery ApS har vedrørende orientering af de berørte personer bl.a. oplyst, at dataene ikke er i virksomhedens hænder, og at den derfor har bedt DealFighter om at tage stilling til, hvordan dette kan gøres.
Datatilsynet skal i den forbindelse indskærpe, at det følger at tilsynets praksis, at i tilfælde, hvor personoplysninger er kommet til uvedkommendes kendskab eller har været i risiko herfor som følge af en sikkerhedsbrist – afhængigt af de konkrete omstændigheder – følger det af persondatalovens grundregel om god databehandlingsskik1, at den ansvarlige myndighed eller virksomhed skal underrette de berørte personer.
Hvis de berørte personer ikke allerede ved, at deres oplysninger har været gjort tilgængelige ved en fejl, bør de efter Datatilsynets opfattelse underrettes.
Afslutningsvist skal Datatilsynet beklage den lange sagsbehandlingstid, som skyldes stor travlhed i tilsynet.
Datatilsynet forventer at offentliggøre denne udtalelse på sin hjemmeside.
_________________________________________
1Det følger således af § 5, stk. 1, at oplysninger skal behandles i overensstemmelse med god databehandlingsskik. Det betyder ifølge lovens forarbejder, at behandlingen skal være rimelig og lovlig. Endvidere fremgår det, at en rimelig behandling bl.a. forudsætter, at registrerede personer kan få kendskab til en behandlings eksistens og, når der indsamles oplysninger hos dem, kan få nøjagtige og fyldestgørende oplysninger med hensyn til de nærmere omstændigheder ved indsamlingen, jf. lovens §§ 28 og 29 om oplysningspligt.