Datatilsynet anser att det finns skäl att framföra allvarlig kritik mot att Sports Connection ApS behandling av personuppgifter inte har skett i enlighet med reglerna i dataskyddsförordningen (GDPR).
Av beslutet framgår att Datatilsynet fått ett meddelande från Sports Connection om att det förekommit obehörig åtkomst till företagets webbshop, vilket resulterat i en personuppgiftsincident, varvid kundernas betalningsinformation nåtts. Sports Connection fick kännedom om den obehöriga åtkomsten när företaget upptäckte att ett fält lagts till i varukorgen på webbshoppen som inte tidigare funnits där.
Sports Connections webbshop är baserad på e-handelsprogrammet Magento. Den 26 september 2021 injicerades en skadlig programkod via ett säkerhetshål i Magento som gjorde det möjligt att ladda upp en fil till webbshoppen, vilket gjorde att webbshopens utcheckningssida kunde manipuleras. Själva åtkomsten utifrån varade i 17 sekunder, när den externa filen laddades upp till företagets webbshop.
Datatilsynet anser att kravet på adekvat säkerhet normalt kommer att innebära att den personuppgiftsansvarige har en skyldighet att se till att de personuppgifter som behandlas av den personuppgiftsansvarige inte kommer till obehörigas kännedom. Enligt Datatilsynets uppfattning innebär detta bland annat att den personuppgiftsansvarige ska se till att kunder vid användning av den personuppgiftsansvariges webbshop inte oavsiktligt vidarebefordrar information till obehöriga, till exempel genom att säkerställa att kunder inte vidarebefordras till en betalningssida där kundens betalningsinformation fångas upp av obehöriga.
Datatilsynet anser generellt att det för webbutiker och betallösningar som görs tillgängliga via öppna tillgängliga webbplatser måste finnas rutiner och kontroller som säkerställer att administrativa användarkonton hålls åtskilda från enskilda användarkonton, att dessa generellt sett måste säkras med multifaktorautentisering. Dessutom ska i möjligaste mån olika användarnamn och nyckelord användas för modulerna och delarna av lösningen. Det är ett känt riskscenario att de ofta använda e-handelsplattformarna och deras tilläggsprodukter försöker äventyras av inbyggda svagheter, det är därför viktigt att patchar görs så snart leverantören släpper en säkerhetskorrigering, både de som korrigerar specifika hot, men också de som helt enkelt anger att åtgärda allmänna sårbarheter.
Datatilsynet anser i detta sammanhang att den personuppgiftsansvarige, som ett led i utveckling och anpassning av IT-lösningar för behandling av personuppgifter, ska se till att IT-systemen regelbundet uppdateras och kontrolleras i syfte att identifiera förhållanden som kan leda till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt röjande av eller tillgång till personuppgifter.
Utifrån ovanstående finner Datatilsynet att Sports Connection, genom att inte ha uppdaterat e-handelsprogrammet Magento till den senaste versionen vid tidpunkten för attacken, inte har vidtagit lämpliga organisatoriska och tekniska åtgärder för att säkerställa en nivå av säkerhet som är lämplig för de risker som finns i företagets behandling av personuppgifter.
Sports Connection har uppgett att det inte har varit möjligt att få tag på en loggfil med patchar för e-handelsprogrammet Magento, då loggfilen antingen har raderats, eller till följd av att loggfilen uppdaterats i ett tidigare utvecklingssamarbete.
Det följer av artikel 24.1 GPDR att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen är i enlighet med denna förordning. Datatilsynet finner på denna grund att Sports Connection generellt sett inte har kunnat visa efterlevnad av förordningen genom att inte kunna dokumentera när systemet har patchats, eftersom det inte har varit möjligt att få fram en loggfil på pågående uppdateringar i Magento. Genom att inte kunna göra detta har Sports Connection inte uppfyllt kravet på att den personuppgiftsansvarige ska kunna visa tillräcklig säkerhet vid behandling av personuppgifter.
Datatilsynet finner därför att det finns skäl att framföra allvarlig kritik mot att Sports Connections behandling av personuppgifter inte har skett i enlighet med reglerna i artiklarna 24.1 och 32.1 GPDR.
Vid val av svar betonade Datatilsynet att det är ett känt riskscenario att frekvent använda e-handelsplattformar försöker äventyras genom inbyggda svagheter. Dessutom har Datatilsynet framhållit att kundernas betalningsuppgifter är inblandade, samt att Sports Connection inte har säkerställt nödvändig dokumentation, och därmed inte kunnat dokumentera att Magento e-handelsprogrammet regelbundet har uppdaterats tillräckligt för säkerheten.