En kunde hos elektronik-forhandleren Elgiganten oplevede i forbindelse med en klage over et fjernsyn at ende med at få lækket sin browserhistorik samt oplysninger om diverse streaming-tjenester, som kunden benyttede.
I juni 2021 afleverede kunden sit fjernsyn til retur hos Elgiganten. Mens fjernsynet ventede på at blive nulstillet, blev det placeret i butikkens varegård grundet pladsmangel og "en stresset situation" i varehuset.
Varegården, som det ellers kun er butikkens ansatte, der har adgang til, blev i samme tidsrum, hvor fjernsynet stod ude, udsat for indbrud, hvor blandt andet fjernsynet blev stjålet.
Dermed fik tyvene adgang til kundens førnævnte oplysninger.
Sådan beskriver Datatilsynet i en nylig afgørelse den situation, der nu har udløst alvorlig kritik fra tilsynets side af Elgiganten.
Mangelfuld risikovurdering
Selv om indbruddet måske af mange nok vil betragtes som en uforudset hændelse, der kan være svær at gardere sig imod med andet end de låse, som til at starte med skulle holde uvedkommende ude, så mener Datatilsynet, at Elgigantens risikovurdering burde have taget højde for risikoen.
I afgørelsen skriver tilsynet:
"Datatilsynet fastslog i sagen, at den dataansvarlige skal sikre sig, at produkter opbevares med tilstrækkelig sikkerhed og underlægges foranstaltninger, der matcher risikoen for forskellige misbrugsscenarier."
I Elgigantens risikovurdering har elektronik-forhandleren selv vurderet risikoen for indbrud som "høj". Og ud fra denne betragtning, skriver Datatilsynet, at der mangler noget væsentligt i dokumentet:
"Da Elgiganten vurderede, at risikoen for tyveri af produkter var høj, og da det er alment kendt, at medarbejdere ikke altid efterlever interne procedurer, burde risikoscenarier som et stort arbejdspres og pladsmangel have indgået i risikovurderingen," lyder det i afgørelsen.
"Elgiganten skulle med andre ord have taget højde for, at medarbejdere kan afvige de fastsatte procedurer – f.eks. i tilfælde af pladsmangel og stort arbejdspres."
Kunden har efterfølgende klaget over, at Elgiganten ikke slettede indhold på fjernsynet ved modtagelsen.
Dette har altså udløst "alvorlig kritik" fra tilsynets side, som vurderer, at den manglende sletning er et brud på den europæiske persondataforordning (GDPR).
"Klager opdager efterfølgende, at en uautoriseret tredjemand anvender hans streamingtjenester via det indleverede fjernsyn, der skulle være sendt til destruktion. Klager har hertil bemærket, at fjernsynet fortsat indeholder data fra gratistjenester samt browserhistorik," skriver Datatilsynet.
