Rito Aps anvender på hjemmesiden www.rito.dk en funktion, hvor der ved indtastning af en allerede kendt e-mailadresse, automatisk udfyldes en række felter med personoplysninger, herunder navn, adresse og telefonnummer, der tidligere er blevet anvendt i tilknytning til e-mailadressen. Brugen af automatisk udfyldning forudsætter ikke, at man har logget ind forinden eller på anden måde identificeret sig.
Ved at indtaste e-mailadresser på tidligere kunder kunne andre uvedkommende brugere således potentielt tilgå oplysninger om disse.
Efter at sagen havde været forelagt Datarådet, udtalte Datatilsynet, at Rito ApS ved at anvende en funktionalitet, hvorved oplysninger om tidligere kunder potentielt kunne tilgås af andre uvedkommende brugere, ikke levede op til kravene om et passende sikkerhedsniveau i databeskyttelsesforordningens artikel 32.
Tilsynet lagde bl.a. vægt på, at en eventuel videregivelse af personoplysninger om tidligere kunder til andre brugere af hjemmesiden som udgangspunkt ikke var tilsigtet – dvs. at det ikke var formålet med løsningen, at brugere skulle have adgang til informationer om andre kunder.
Datatilsynet fandt endvidere, at Rito ApS’ nye løsning, hvor kunder skulle acceptere, at virksomheden gemte oplysningerne til senere automatisk adresseudfyldelse fortsat ikke levede op til kravene om et passende sikkerhedsniveau, da man, efter tilsynets opfattelse, ikke kan give afkald på fornøden sikkerhed ved at give samtykke.
På den baggrund fandt Datatilsynet grundlag for at udtale kritik af, at Rito ApS’ behandling af personoplysninger ikke var sket i overensstemmelse med reglerne i databeskyttelsesforordningen.
Datatilsynet meddelte endvidere Rito ApS påbud om at ophøre med at anvende automatisk udfyldning af personoplysninger om kunder ved køb på virksomhedens hjemmeside - uanset, om der var indhentet en form for accept fra kundernes side eller ej.
Autoudfyldning kan ske inden for reglerne
Datatilsynet fandt i forlængelse af sagen anledning til at overveje, hvorvidt det – inden for rammerne af databeskyttelsesforordningens artikel 32 – er muligt for virksomheder at anvende en løsning, der autoudfylder oplysninger om brugere på en hjemmeside.
Det er i den forbindelse Datatilsynets umiddelbare vurdering, at løsninger med autoudfyldning af oplysninger, hvor den registrerede på forhånd har verificeret sig tilstrækkeligt på anden måde, eksempelvis via et unikt log-in på hjemmesiden, vil leve op til kravene om sikkerhed i databeskyttelsesforordningens artikel 32.
Vil du vide mere?
Læs afgørelsen her.
Læs Datatilsynets vejledning om behandlingssikkerhed og databeskyttelse gennem design og standardindstillinger.
Journalister kan kontakte presseansvarlig Anders Due på tlf. 29 49 32 83.