Danmark: Rito kritiseras för automatiskt ifyllande av information vid köp på webbplats

Datatilsynet anser att det finns skäl att framföra kritik mot att Rito ApS behandling av personuppgifter inte har skett i enlighet med reglerna i artikel 32.1 i dataskyddsförordningen (GDPR).

Av ärendet framgår att Rito använder en funktion på webbplatsen www.rito.dk där det vid inmatning av en redan känd e-postadress automatiskt fylls i ett antal fält med personuppgifter, som bland annat namn, adress och telefonnummer som tidigare använts i anslutning till e-postadressen. Användningen av automatisk ifyllning förutsätter enligt Datatilsynet inte att en användare har loggat in tidigare eller på annat sätt identifierat sig. Genom att ange tidigare kunders e-postadresser kan andra obehöriga användare enligt Datatilsynet därmed potentiellt komma åt information om dem.

Efter en granskning av ärendet konstaterade Datatilsynet att Rito genom att använda en funktionalitet där information om tidigare kunder potentiellt skulle kunna nås av andra obehöriga användare inte uppfyllde kraven på en lämplig säkerhetsnivå i artikel 32 GDPR.

Datatilsynet ansåg också att Ritos nya lösning, där kunderna fått samtycka till att bolaget sparade informationen för senare automatisk adressfyllning, inte ökade säkerheten för behandlingen av de registrerades uppgifter. Enligt Datatilsynets uppfattning kan en registrerad inte avstå från att en behandling sker med nödvändig säkerhet och tillåter därför inte genom samtycke en säkerhetsnivå som inte lever upp till kraven i artikel 32 GDPR. Datatilsynets uppfattning var tvärtom att Ritos nya lösning för att få ett samtycke kan bidra till att öka medvetenheten om bristen på säkerhet, vilket i sig kan leda till en ökad risk för missbruk.

Efter en genomgång av ärendet ansåg Datatilsynet därför att det finns skäl att framföra kritik mot att Ritos behandling av personuppgifter inte har skett enligt reglerna i artikel 32 GDPR. Datatilsynet gav också ett föreläggande till Rito att sluta använda automatisk ifyllning av personuppgifter om kunder vid köp på företagets webbplats, oavsett om någon form av samtycke inhämtats från kunderna eller inte.

 

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 32 GDPR

Sanktionsavgift: N/A

Mottagare: Rito ApS

Beslutsnummer: 2020-31-3611

Beslutsdatum: 2021-12-13

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

30 MAR

Introduktion till AI-förordningen

Få en genomgång av de viktigaste reglerna i nya AI-förordningen och hur AI-system kan användas på ett lagenligt sätt.

20 APR

Privacy by Design & Privacy by Default

En genomgång av de viktigaste åtgärderna för inbyggt dataskydd och dataskydd som standard.

27 APR

Informationssäkerhet & personuppgifter

Få en övergripande introduktion till informationssäkerhet vid behandling av personuppgifter.