Datatilsynet anser att det finns skäl att framföra allvarlig kritik mot att Elgiganten A/S behandling av personuppgifter inte har skett i enlighet med reglerna i dataskyddsförordningen (GDPR).
Av beslutet framgår att Elgiganten den 19 juli 2021 tagit emot den klagandens tv. Tv:n placerades i butikens lager, varefter den stals genom inbrott. Tv:n hade ännu inte återställts i enlighet med gällande förfaranden, så klagandens personuppgifter lagrades fortfarande på tv:n.
Enligt Elgiganten är orsaken till händelsen att en anställd i butiken, på grund av platsbrist inne i butiken och en stressig situation, placerat tv:n i butikens lager. Elgiganten har vidare uppgett att det är normal rutin att personuppgifter raderas oavsett om en produkt ska säljas vidare eller förstöras. Driftteamet i butiken, inklusive serviceavdelningen, ansvarar för att återställa tillverkningsinställningar för inlämnade tv-apparater. Tv:n var enligt Elgiganten under övervägande, varför raderingen inte utförts vid inbrottet.
Enligt Datatilsynet följer det av artikel 32.1 GDPR att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig med hänsyn till de risker som är förenade med den personuppgiftsansvariges behandling av personuppgifter. Den personuppgiftsansvarige är således enligt Datatilsynet skyldig att identifiera de risker som den personuppgiftsansvariges behandling medför för de registrerade och att se till att lämpliga skyddsåtgärder vidtas för att skydda de registrerade från dessa risker.
Datatilsynet anser att kravet i artikel 32 GDPR på tillräcklig säkerhet normalt innebär att den som är personuppgiftsansvarig måste se till att information om registrerade inte kommer till obehöriga personers kännedom. Vid riskbedömningen ska hänsyn tas till att uppgifter om en registrerads webbhistorik kan utgöra personuppgifter av särskilda kategorier. Dessutom kan obehörig åtkomst till enheten ge tillgång till finansiell information, inklusive kreditkortsinformation, om den registrerades streamingkonton och tv-prenumerationer är länkade till samma enhet.
Den personuppgiftsansvarige ska enligt Datatilsynet se till att lagringen sker med tillräcklig säkerhet, där risken för olika missbruksscenarier ska återspeglas i åtgärder som anpassas i enlighet med detta. Enheter som datorer, telefoner och tv-apparater har till exempel en särskilt hög riskprofil för stöld. Enheterna i fråga innehåller vanligtvis också ett flertal personuppgifter.
Enligt Datatilsynet är det i allmänhet myndighetens uppfattning att personuppgifter på bärbara enheter eller enheter med högre stöldrisk måste krypteras eller data raderas på ett oåterkalleligt sätt innan enheterna lagras. Datatilsynet anser vidare att den personuppgiftsansvarige måste se till att alla anställda i företaget, i den utsträckning det är nödvändigt, känner till eventuella interna rutiner för hantering av personuppgifter, inklusive i samband med radering av personuppgifter i samband med kunders retur av begagnade varor, och att rutiner, riktlinjer med mera och arbetsflöden kontinuerligt uppdateras.
Mot bakgrund av ovanstående finner Datatilsynet att Elgiganten, genom att inte säkerställa att returnerade produkter med personuppgifter raderats eller lagrats tillräckligt säkert under behandlingen, inte har vidtagit lämpliga organisatoriska och tekniska åtgärder för att säkerställa en säkerhetsnivå som är lämplig för de risker som är förknippade med företagets behandling av personuppgifter. Datatilsynet anser därför att det finns anledning att framföra allvarlig kritik mot att Elgigantens behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 GDPR.
Vid valet av svar har Datatilsynet betonat att de åtgärder som Elgiganten vidtagit i detta fall inte varit tillräckliga med tanke på den inneboende risken för inbrott och stöld av produkter som kan innehålla personuppgifter. Elgiganten kände enligt Datatilsynet till detta och det framgick av riskbedömningen. Datatilsynet anser att de anställdas bristande efterlevnad av interna förfaranden är ett känt fel och att kontrollåtgärder borde ha införlivats i Elgigantens affärsprocesser, med tanke på att riskscenarier, på grund av högt arbetstryck och platsbrist, borde ha ingått i bedömningen. Dessutom betonade Datatilsynet att otillräcklig radering särskilt ökar risken för att den registrerades personuppgifter blir kända för obehöriga personer.