Danmark: Rito kritiseras för automatiskt ifyllande av information vid köp på webbplats

Datatilsynet anser att det finns skäl att framföra kritik mot att Rito ApS behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 i dataskyddsförordningen (GDPR).

Av ärendet framgår att Rito använder en funktion på webbplatsen www.rito.dk där det vid inmatning av en redan känd e-postadress automatiskt fylls i ett antal fält med personuppgifter, som bland annat namn, adress och telefonnummer som tidigare använts i anslutning till e-postadressen. Användningen av automatisk ifyllning förutsätter enligt Datatilsynet inte att en användare har loggat in tidigare eller på annat sätt identifierat sig. Genom att ange tidigare kunders e-postadresser kan andra obehöriga användare enligt Datatilsynet därmed potentiellt komma åt information om dem.

Efter en granskning av ärendet konstaterade Datatilsynet att Rito genom att använda en funktionalitet där information om tidigare kunder potentiellt skulle kunna nås av andra obehöriga användare inte uppfyllde kraven på en lämplig säkerhetsnivå i artikel 32 GDPR.

Datatilsynet ansåg också att Ritos nya lösning, där kunderna fått samtycka till att bolaget sparade informationen för senare automatisk adressfyllning, inte ökade säkerheten för behandlingen av de registrerades uppgifter. Enligt Datatilsynets uppfattning kan en registrerad inte avstå från att en behandling sker med nödvändig säkerhet och tillåter därför inte genom samtycke en säkerhetsnivå som inte lever upp till kraven i artikel 32 GDPR. Datatilsynets uppfattning var tvärtom att Ritos nya lösning för att få ett samtycke kan bidra till att öka medvetenheten om bristen på säkerhet, vilket i sig kan leda till en ökad risk för missbruk.

Efter en genomgång av ärendet ansåg Datatilsynet därför att det finns skäl att framföra kritik mot att Ritos behandling av personuppgifter inte har skett enligt reglerna i artikel 32 GDPR. Datatilsynet gav också ett föreläggande till Rito att sluta använda automatisk ifyllning av personuppgifter om kunder vid köp på företagets webbplats, oavsett om någon form av samtycke inhämtats från kunderna eller inte.

 

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 32 GDPR

Sanktionsavgift: N/A

Mottagare: Rito ApS

Beslutsnummer: 2020-31-3611

Beslutsdatum: 2021-12-13

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

14 MAR

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.

11 APR

Introduktion till Cyber Resilience Act

En genomgång av Cyber Resilience Act och hur du kan tillverka, distribuera och sälja produkter med digitala element på ett lagenligt sätt.