Som ett resultat av många rapporterade personuppgiftsincidenter har Datatilsynet beslutat att klargöra och skärpa praxis i förhållande till skyldigheterna för företag och myndigheter som använder funktionen automatisk komplettering (auto-complete).
I många e-postprogram är det en standardinställning att funktionen auto-complete är aktiverad. Funktionen fungerar så att e-postprogrammen sparar namn och e-postadresser till de e-postmottagare som användaren tidigare har skickat ett e-postmeddelande till. Baserat på detta listas automatiskt förslag på mottagare när användaren börjar skriva i e-postfälten To, Cc och Bcc en andra gång. Användaren kan sedan enkelt välja en mottagare genom att klicka på det förifyllda namnet i stället för att behöva ange hela mottagarens e-postadress(er).
I vissa fall leder dock användningen av funktionen för auto-complete till att användaren väljer fel mottagare, vilket leder till att e-postmeddelandet skickas till obehöriga personer. Om e-postmeddelandet innehåller personuppgifter skulle detta vara en personuppgiftsincident.
Sedan den 25 maj 2018, då skyldigheten att rapportera personuppgiftsincidenter till Datatilsynet infördes, har myndigheten fått in ett stort antal rapporter om att uppgifter skickats till fel mottagare, varav många direkt kan tillskrivas användningen av funktionen auto-complete. Bara under 2022 inträffade över 100 överträdelser av denna typ. Felriktade e-postmeddelanden inträffar till exempel när ett e-postmeddelande är avsett att skickas internt till en viss kollega, men istället skickas till fel, helt orelaterad person. Det finns exempel på att helt obehöriga privatpersoner fått information skickad till sig som de aldrig borde ha fått. Detta har resulterat i att kontaktuppgifter, personnummer, hälsouppgifter, inklusive uppgifter om minderåriga, och uppgifter om brott har skickats till obehöriga mottagare.
Som ett resultat av de många överträdelserna har Datatilsynet beslutat att klargöra och skärpa praxis i förhållande till de skyldigheter som personuppgiftsansvarige har när funktionen auto-complete används. Hittills har Datatilsynet uppgett att personuppgiftsansvariga åtminstone måste överväga att införa tekniska och/eller organisatoriska åtgärder som kan minska risken för att använda auto-complete. I de anmälningar om personuppgiftsincidenter som Datatilsynet har mottagit har de personuppgiftsansvariga, trots denna vägledning, dock ofta endast pekat på organisatoriska åtgärder i form av ökad medvetenhet som åtgärder för att förhindra ytterligare brott.
Datatilsynet kommer därför i framtiden att anse att personuppgiftsansvariga som i viss systematisk utsträckning använder e-post för att skicka konfidentiell och/eller känslig information inte bara kan genomföra organisatoriska säkerhetsåtgärder, till exempel i form av riktlinjer om kommunikation och medvetenhet om detta. Dessa personuppgiftsansvariga måste också genomföra en eller flera tekniska åtgärder för att minimera risken för feladressering på grund av användningen av auto-complete. Om endast delar av organisationen/myndigheten använder e-post i en viss systematisk omfattning för att skicka konfidentiell och/eller känslig information, kan de tekniska åtgärderna dock begränsas till dem.
Datatilsynet har beslutat att en övergångsperiod ska gälla fram till den 1 mars 2024, där personuppgiftsansvariga kommer att ha möjlighet att bedöma risken och genomföra nödvändiga säkerhetsåtgärder i enlighet med den strängare praxisen.