Behandling af personoplysninger i e-handelsløsning

Publiceret 09-11-2015
Historisk afgørelse Private virksomheder

Journalnummer: 2014-212-0278

Datatilsynet vender hermed tilbage til sagen, hvor klager K har klaget over behandling af personoplysninger hos Stylepit.com A/S (herefter: ”Stylepit”).

Datatilsynet har forstået klagers henvendelse således, at han ønsker at klage over Stylepits videregivelse af personoplysninger via www.stylepit.dk

Efter en gennemgang af sagen ses Stylepit ikke at have anført hjemmel til behandlingen, hvorfor Datatilsynet lægger til grund, at videregivelsen af personoplysninger er sket i strid med persondataloven1. Datatilsynet finder det skete beklageligt.

Datatilsynet kan efter besøg på www.stylepit.dk konstatere, at der ikke længere sker videregivelse af kundeoplysninger som beskrevet i klagen.

Nedenfor følger en gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

1. Stylepits behandling af klagers personoplysninger

1.1. Sagens omstændigheder

Det fremgår af sagen, at hvis klagers e-mailadresse, som tidligere har været brugt ved handel hos Stylepit (tidligere Smartguy), indtastes, fremkommer oplysninger om klagers navn, telefonnummer og adresse.

1.2. Klagers argumenter

Klager har anført, at han i flere omgange har gjort Smartguy/Stylepit opmærksom på, at man ved at indtaste en e-mailadresse, som tidligere har været brugt ved køb hos Smartguy/Stylepit, får adgang til oplysninger om bl.a. adresse og telefonnummer.

Endvidere har klager anført, at han finder det kritisabelt, at alle kan se hans e-mail, navn, adresse og telefonnummer. Klager har i den forbindelse anført, at han har frabedt sig, at sådanne oplysninger er tilgængelige hos Krak.

1.3. Stylepits argumenter

Stylpepit har anført, at det i mange år har været et stort ønske fra deres kunder, at en handel kan gennemføres hurtigst muligt. Et tiltag for at imødekomme dette er, at kunden ved indtastning af sin e-mailadresse får indføjet en korrekt leveringsadresse.

Endvidere har Stylepit anført, at det fremgår af Stylepits hjemmeside, at der ikke videregives kundeoplysninger til tredjemand.

1.4. Datatilsynets udtalelse

På baggrund af sagens omstændigheder, herunder at behandlingen af personoplysninger sker elektronisk, lægger Datatilsynet til grund, at persondataloven finder anvendelse.

Datatilsynet skal indledningsvis bemærke, at tilsynet – på baggrund af det til sagen oplyste – ikke er enig med Stylepit i, at Stylepit ikke videregiver kundeoplysninger til tredjemand. Efter Datatilsynets opfattelse videregiver Stylepit oplysninger, når tredjemand ved at indtaste en kundes e-mailadresse får adgang til oplysninger om kundens navn, adresse og telefonnummer.

Behandling af almindelige ikke-følsomme oplysninger, herunder f.eks. oplysninger om navn, adresse og telefonnummer, skal ske i overensstemmelse med persondatalovens § 6, stk. 1.

Efter persondatalovens § 6, stk. 1, kan behandling af oplysninger bl.a. finde sted, hvis den registrerede har givet sit udtrykkelige samtykke hertil, jf. § 6, stk. 1, nr. 1, eller hvis behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse, jf. § 6, stk. 1, nr. 7.

Stylepit har ved brev af 28. januar 2015 besvaret en række spørgsmål, som Datatilsynet havde stillet med henblik på sagens oplysning. Stylepit ses imidlertid ikke at have oplyst, med hvilken hjemmel Stylepit videregiver oplysninger om klager, ligesom det ikke fremgår, om Stylepit har undersøgt, om kunderne har beskyttet adresse og/eller hemmeligt telefonnummer.

Datatilsynet lægger derfor til grund, at videregivelsen af personoplysninger er sket i strid med persondataloven § 6. Datatilsynet finder det skete for beklageligt.

2. Sikkerheden ved adgang til personoplysninger via e-handelsløsninger

Generelt om sikkerhed ved adgang til personoplysninger i e-handelsløsninger kan Datatilsynet oplyste, at det følger af persondatalovens § 41, stk. 3, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.

Datatilsynet skal endvidere henvise til bilag til tilsynets brev til Stylepit af 18. december 2014 vedrørende udtalelse om sikkerhed ved adgang til oplysninger i e-handelsløsninger2.

Heraf fremgår bl.a.:

”Oplysninger om personer – herunder kunder i netbutikker – er omfattet af persondatalovens krav om, at personoplysninger – herunder også almindelige oplysninger som navn, adresse, telefonnummer og eventuelt e-postadresse – skal være beskyttet med de fornødne sikkerhedsforanstaltninger. Det forhold, at oplysninger for en del af kundernes vedkommende kan findes via oplysningstjenester, kan ikke føre til, at der generelt ikke skal være sikkerhed. Der er også borgere, som har beskyttelse af navn og adresse og/eller hemmeligt telefonnummer, samt borgere, som ønsker at beskytte deres e-mail-adresse.

Når der i forbindelse med visse e-handelsløsninger er mulighed for at få adgang til personoplysninger ved indtastning af blot et telefonnummer eller en e-postadresse, er der en potentiel risiko for, at uvedkommende får adgang til personoplysningerne.

Datatilsynet har som sådan intet imod, at der anvendes løsninger, som gør det nemmere og hurtige for kunderne at handle hos virksomhederne. Men det bør også være muligt at bruge løsningerne uden at skulle udsættes for en risiko for, at uvedkommende skaffer sig adgang til ens oplysninger.

Datatilsynet skal derfor generelt opfordre til, at der stiles efter at forbedre sikkerheden i de anvendte løsninger. Datatilsynet finder endvidere, at løsningerne – indtil en generelt højere sikkerhed kan implementeres – bør indrettes således, at muligheden for, at personoplysninger kan tilgås alene ved indtastning af telefonnummer eller e-postadresse, kun anvendes, hvis den enkelte kunde selv aktivt har valgt, at dette skal være muligt.

[…] Datatilsynet vil gerne opfordre til, at der anvendes en lignende praksis, der hindrer automatisk høstning af kundeoplysninger.”

Datatilsynet har konstateret, at Stylepit nu har indrettet sit online handelssystem i overensstemmelse med ovenstående.

3. Afsluttende bemærkninger

Datatilsynet skal beklage den lange sagsbehandlingstid, som skyldes stor travlhed i tilsynet.

Klager er ved brev af dags dato orienteret om Datatilsynets afgørelse.

Datatilsynet forventer at offentliggøre nærværende afgørelse på tilsynets hjemmeside3.

Datatilsynet anser hermed sagen for afsluttet og foretager sig ikke yderligere i anledning af klagers henvendelse.

 

1 Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.

2 Datatilsynets udtalelse til e-handelsfonden af 27. juni 2012.
3 www.datatilsynet.dk