Danmark, Dataskydd

Danmark: Rito kritiseras för automatiskt ifyllande av information vid köp på webbplats

March 3, 2022

Datatilsynet anser att det finns skäl att framföra kritik mot att Rito ApS behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 i dataskyddsförordningen (GDPR).

Av ärendet framgår att Rito använder en funktion på webbplatsen www.rito.dk där det vid inmatning av en redan känd e-postadress automatiskt fylls i ett antal fält med personuppgifter, som bland annat namn, adress och telefonnummer som tidigare använts i anslutning till e-postadressen. Användningen av automatisk ifyllning förutsätter enligt Datatilsynet inte att en användare har loggat in tidigare eller på annat sätt identifierat sig. Genom att ange tidigare kunders e-postadresser kan andra obehöriga användare enligt Datatilsynet därmed potentiellt komma åt information om dem.

Efter en granskning av ärendet konstaterade Datatilsynet att Rito genom att använda en funktionalitet där information om tidigare kunder potentiellt skulle kunna nås av andra obehöriga användare inte uppfyllde kraven på en lämplig säkerhetsnivå i artikel 32 GDPR.

Datatilsynet ansåg också att Ritos nya lösning, där kunderna fått samtycka till att bolaget sparade informationen för senare automatisk adressfyllning, inte ökade säkerheten för behandlingen av de registrerades uppgifter. Enligt Datatilsynets uppfattning kan en registrerad inte avstå från att en behandling sker med nödvändig säkerhet och tillåter därför inte genom samtycke en säkerhetsnivå som inte lever upp till kraven i artikel 32 GDPR. Datatilsynets uppfattning var tvärtom att Ritos nya lösning för att få ett samtycke kan bidra till att öka medvetenheten om bristen på säkerhet, vilket i sig kan leda till en ökad risk för missbruk.

Efter en genomgång av ärendet ansåg Datatilsynet därför att det finns skäl att framföra kritik mot att Ritos behandling av personuppgifter inte har skett enligt reglerna i artikel 32 GDPR. Datatilsynet gav också ett föreläggande till Rito att sluta använda automatisk ifyllning av personuppgifter om kunder vid köp på företagets webbplats, oavsett om någon form av samtycke inhämtats från kunderna eller inte.

Taggar: Informationssäkerhet, Tillsyn

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 32 GDPR

Sanktionsavgift: N/A

Mottagare: Rito ApS

Beslutsnummer: 2020-31-3611

Beslutsdatum: 2021-12-13

Källa: Beslut

Danmark: Rito kritiseras för automatiskt ifyllande av information vid köp på webbplats

Mer information

Relaterade nyheter

Italien: I Model bötfälls med 10 000 euro för olaglig behandling av personuppgifter

Österrike: Läkare bötfälls med 600 euro för att ha publicerat information om sina patienter på sin personliga Facebook-sida

Spanien: Ibercaja bötfälls med 100 000 euro för att ha öppnat ett konto i minderårings namn utan förälderns samtycke

Aktuellt: Extrainsatt kurstillfälle för distanskurs om konsekvensbedömningar avseende dataskydd i praktiken

Italien: Vårdcentral bötfälls med 5 000 euro för att av misstag ha skickat en patientjournal till fel person

Italien: Ufficio Scolastico Regionale per la Lombardia bötfälls med 6 00 euro för olaglig publicering av dokument

Österrike: DSB avvisar klagomål mot ambassad på österrikiskt territorium på grund av bristande befogenheter

Spanien: Sindicato Aragonés de Transporte bötfälls med 3 000 euro för att ha publicerat personuppgifter på webbplats och i sociala medier

Italien: Giessegi Industria Mobili bötfälls med 50 000 euro för flera överträdelser av GDPR

Sverige: Kamerabevakning ska bli enklare för kommuner och regioner

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Juridik

Hitta snabbt

Kontakt

Prenumerera på vårt nyhetsbrev

Gå kurs med oss

30 MAR

Introduktion till AI-förordningen

20 APR

Privacy by Design & Privacy by Default

27 APR

Informationssäkerhet & personuppgifter