Datatilsynet udtaler alvorlig kritik i en sag, hvor Elgiganten A/S ved indbrud i deres varegård fik stjålet et returneret fjernsyn, der ikke var nulstillet for klagers personoplysninger.
Elgiganten A/S tog i juni 2021 klagers ibrugtagne fjernsyn retur. Imens fjernsynet var under behandling for nulstilling, blev det midlertidigt placeret i butikkens varegård. Placeringen udenfor skete på grund af pladsmangel og en hektisk situation inde i butikken, hvor produkter ellers normalt stilles i et område, som kun ansatte har adgang til. Varegården blev i mellemtiden udsat for et indbrud. Dette betød, at tredjemand fik adgang til klagers fjernsyn og dermed til oplysninger fra diverse streaming-tjenester, som klager var logget ind på, samt klagers browserhistorik.
Elgiganten havde inden indbruddet foretaget en risikovurdering for tyveri af deres produkter og vurderet risikoen til at være høj. Derfor blev varegården sikret ved aflåsning, en høj væg, overvågningskameraer og bevægelsescensorer. Indbrudstyven fik dog adgang ved at slå hul i den høje væg.
Risikovurderingen skal også rumme scenarier som f.eks. stort arbejdspres Datatilsynet fastslog i sagen, at den dataansvarlige skal sikre sig, at produkter opbevares med tilstrækkelig sikkerhed og underlægges foranstaltninger, der matcher risikoen for forskellige misbrugsscenarier. Da Elgiganten vurderede, at risikoen for tyveri af produkter var høj, og da det er alment kendt, at medarbejdere ikke altid efterlever interne procedurer, burde risikoscenarier som et stort arbejdspres og pladsmangel have indgået i risikovurderingen. Elgiganten skulle med andre ord have taget højde for, at medarbejdere kan afvige de fastsatte procedurer – f.eks. i tilfælde af pladsmangel og stort arbejdspres.
Vil du vide mere? Læs afgørelsen her. Læs mere om risikovurderinger her. Læs mere om behandlingssikkerhed her.
Klide: datatilsynet.dk
Comments