Smartguy.dk får røffel fra Datatilsynet for automatisk udfyldning af adressefelter

Det er i strid med Persondataloven, hvis netbutikker autoudfylder navn, adresse og telefonnummer efter indtastning af emailadresse. Det giver risiko for uvedkommende adgang til de personlige oplysninger, lyder det fra tilsynet.

En udbredt praksis i netbutikker, som gør det muligt automatisk at få udfyldt felter med navn, adresse og telefonnummer, hvis man indtaster sin e-mail-adresse, er i strid med persondatareglerne - medmindre med kunden udtrykkeligt har givet samtykke.

Det fremgår af en ny afgørelse fra Datatilsynet.

Sagen udspringer af en kunde, der klagede over, at netbutikken Smartguy/Stylepit for at sikre hurtig kundebetjening netop gav adgang til automatisk udfyldelse af adresse mv.

Klageren havde i forvejen frabedt sig, at sådanne oplysninger er tilgængelige hos Krak. Og han brød sig ikke om, at alle i princippet ville kunne få adgang til oplysningerne ved at indtaste hans mailadresse.

»Datatilsynet har som sådan intet imod, at der anvendes løsninger, som gør det nemmere og hurtigere for kunderne at handle hos virksomhederne. Men det bør også være muligt at bruge løsningerne uden at skulle udsættes for en risiko for, at uvedkommende skaffer sig adgang til ens oplysninger,« skriver tilsynet i afgørelsen.

Når der i forbindelse med visse e-handelsløsninger er mulighed for at få adgang til personoplysninger ved indtastning af blot et telefonnummer eller en e-postadresse, er der en potentiel risiko for, at uvedkommende får adgang til personoplysningerne, skriver tilsynet videre.

Datatilsynet redegør for, at hvis et bestillingsflow er indrettet således, at adresseoplysninger mv. automatisk oplyses ved indtastning af e-mailadresse, sker der en såkaldt videregivelse af personoplysning.

En videregivelse af generelle personoplysninger må i denne situation kun ske, hvis personen har givet udtrykkeligt samtykke til det. Det samtykke bør typisk indhentes, når kunden handler på sitet første gang.

Oplysninger om personer, herunder kunder i netbutikker, er omfattet af persondatalovens krav om, at personoplysninger, dvs. også almindelige oplysninger som navn, adresse, telefonnummer og eventuelt e-postadresse, skal være beskyttet med de fornødne sikkerhedsforanstaltninger.

Ingen forskel at man kan findes på Krak

Det gør ingen forskel, at oplysningerne ofte kan findes via Krak, degulesider.dk og andre tjenester. Det giver ikke klar bane for, at der generelt ikke skal være sikkerhed.

Der er nemlig borgere, som har beskyttelse af navn og adresse og/eller hemmeligt telefonnummer, samt borgere, som ønsker at beskytte deres e-mail-adresse.

Datatilsynet opfordrer til, at netbutikker og lignende forbedrer sikkerheden i de anvendte løsninger.

Følg forløbet

Kommentarer (9)

Simon Toft

Hvorfor skriver i SmartGuy, når det hedder StylePit? I skriver endda selv "Smartguy/Stylepit", hvilket gør at jeg ikke forstår at titlen indeholder smartguy.

I får det derudover til at lyde som om at de får oplysningerne et eller andet magisk sted fra, selv hvis folk har navne- og adressebeskyttelse. Stylepit gemte jo blot folks info efter de havde handlet på siden en gang før, og i den forbindelse havde indtastet et tlf. nr. Jeg er enig med Datatilsynets beslutning her, men jeres dækning af det er godt nok dårlig.

Jimmy B. Carlsen

Hvorfor skriver i SmartGuy, når det hedder StylePit? I skriver endda selv "Smartguy/Stylepit", hvilket gør at jeg ikke forstår at titlen indeholder smartguy.

Måske er sagen så gammel, at den startede mens de hed SmartGuy?

Stylepit gemte jo blot folks info efter de havde handlet på siden en gang før


Men gør det det så ikke endnu værre? Hvis vi nu forestillede os at det var en webshop, der solgte lidt "pinlige" sager... så kunne man både få verificeret navn+adresse samt at pågældende var kunde i denne pinlige butik...

Henning Mølsted Journalist

Kære Simon Toft.

Tak for kommentar til artiklen.

Det kan sagtens være, at formidlingen burde have været mere præcis i forhold til at casen er, at adressedata stammer fra tidligere indkøb.

Der er altid en afvejning af, hvilken 'forklaringsgrad', der tilfredsstiller flertallets behov.

Mvh Henning Mølsted, redaktør

Patrick Moog

Tak for udspecificering.

Jeg troede først at de blot hentede data fra en ekstern service som Krak, hvilket gjorde dommen helt hul i hovedet :)

Men at de eksponerer data de selv har gemt ved tidligere køb, gør jo at det bestemt ikke er "offentlig tilgængelig" data!

Kim Henriksen

Jeg havde en email korrespondance med av-cables.dk** om lidt ala det samme for ca. et år siden.

Man kunne få auto udfyldt sine kundeoplysninger via sin email adresse, hvis man tidligere har handlet der

Det tog mig ikke ret langt tid at finde en tilfældig kundes email adresse, via http://hardwareonline.dk *** som på det tidspunkt viste brugernes email adresse på deres profil side.

** Av-cables har umiddelbart fjernet denne feature
*** hol.dk har ændret deres website så man selv bestemmer om ens email fremgår på profil siden, samt at de har indført et PM system.

Emil Stahl

Jeg havde en email korrespondance med av-cables.dk** om lidt ala det samme for ca. et år siden.

Man kunne få auto udfyldt sine kundeoplysninger via sin email adresse, hvis man tidligere har handlet der

Kom du igennem til andet end kundeservice, siden det ikke lykkedes dig at få fjernet featuren? Heldigvis kom jeg igennem til direktøren der tog min henvendelse seriøs.

Kundeservice slettede bare min bruger og troede at det var nok facepalm

Det er bestemt beklageligt at du ikke synes om den feature.
Jeg har hermed slettet din bruger, så det ikke længere er muligt at finde dine oplysninger.
Du er velkommen til at skrive igen når du har lavet en ordre, så skal jeg straks få fjernet dine oplyninger.

Men så skrev jeg:

Send venligst denne henvendelse højere op end i kundeservice. Jeg går ikke ud fra at du er dataansvarlig?

Om ikke andet må jeg gå videre til Datatilsynet, med dette brud på persondataloven.

Så fik direktøren besked, og så skete der pludseligt noget:

Tak for din e-mail, som vi tager meget alvorlig.

Vi har sat vores dataansvarlig til at fjerne funktionen fra vores site.

Leif Neland

Glemt-password funktioner skal ikke afsløre om brugernavnet eksisterer: "Hvis brugernavnet eksisterer, får du sendt et nyt password/resetlink".

Men, specielt når man bruger emailadressen som brugernavn, hvorledes håndterer man så at en bruger forsøger at oprette sig med en eksisterende emailadresse?

Hvis victoriamilan.com fortæller mig at kollega@vores.firma er optaget, når jeg prøver at oprette en bruger med det navn, så er kollegaen jo afsløret ;-)

Jeg skulle selvfølgelig prøve ;-) Der bliver sendt en bekræftelsesmail med en kode på til kollega@vores.firma, men det kunne jo også være "Nogen forsøger at oprette dig, men du er allerede medlem"

Det duer ikke ved en webshop; så går kunden bare et andet sted hen.
For år tilbage forsøgte vi at bede om svar på en mail, når man bestilte pr efterkrav, men for mange så den aldrig eller reagerede ikke. Så i stedet sløjfede vi efterkravsforsendelser...

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen