Datatilsynet anser att det finns skäl att framföra kritik mot att Rito ApS behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 i dataskyddsförordningen (GDPR).
Av ärendet framgår att Rito använder en funktion på webbplatsen www.rito.dk där det vid inmatning av en redan känd e-postadress automatiskt fylls i ett antal fält med personuppgifter, som bland annat namn, adress och telefonnummer som tidigare använts i anslutning till e-postadressen. Användningen av automatisk ifyllning förutsätter enligt Datatilsynet inte att en användare har loggat in tidigare eller på annat sätt identifierat sig. Genom att ange tidigare kunders e-postadresser kan andra obehöriga användare enligt Datatilsynet därmed potentiellt komma åt information om dem.
Efter en granskning av ärendet konstaterade Datatilsynet att Rito genom att använda en funktionalitet där information om tidigare kunder potentiellt skulle kunna nås av andra obehöriga användare inte uppfyllde kraven på en lämplig säkerhetsnivå i artikel 32 GDPR.
Datatilsynet ansåg också att Ritos nya lösning, där kunderna fått samtycka till att bolaget sparade informationen för senare automatisk adressfyllning, inte ökade säkerheten för behandlingen av de registrerades uppgifter. Enligt Datatilsynets uppfattning kan en registrerad inte avstå från att en behandling sker med nödvändig säkerhet och tillåter därför inte genom samtycke en säkerhetsnivå som inte lever upp till kraven i artikel 32 GDPR. Datatilsynets uppfattning var tvärtom att Ritos nya lösning för att få ett samtycke kan bidra till att öka medvetenheten om bristen på säkerhet, vilket i sig kan leda till en ökad risk för missbruk.
Efter en genomgång av ärendet ansåg Datatilsynet därför att det finns skäl att framföra kritik mot att Ritos behandling av personuppgifter inte har skett enligt reglerna i artikel 32 GDPR. Datatilsynet gav också ett föreläggande till Rito att sluta använda automatisk ifyllning av personuppgifter om kunder vid köp på företagets webbplats, oavsett om någon form av samtycke inhämtats från kunderna eller inte.