Datatilsynet udtaler alvorlig kritik af Elgiganten A/S

Tilbage i juni 2021 tog Elgiganten A/S et fjernsyn retur, som allerede var taget i brug af kunden og dermed indeholdte kundens indtastede personoplysninger. Imens fjernsynet var under behandling for nulstilling, blev det grundet travlhed i butikken placeret i butikkens varegård. Ifølge Elgiganten A/S blev sådanne returnerede produkter ellers normalt placeret inde i butikken i et område, som kun ansatte har adgang til. Varegården blev i mellemtiden udsat for et indbrud.

Dette betød, at tredjemand fik adgang til kundens fjernsyn og dermed til personoplysninger fra diverse streaming-tjenester, som kunden var logget ind på, samt kundens browserhistorik.

Ifølge Datatilsynet havde Elgiganten A/S inden indbruddet foretaget en risikovurdering for tyveri af deres produkter og vurderet risikoen til at være høj. Derfor var varegården blevet sikret med både aflåsning, en høj væg, overvågningskameraer og bevægelsescensorer. På trods heraf, fik Indbrudstyven adgang til produktet ved at slå hul i den høje væg.

Risikovurderingen skal også rumme scenarier som f.eks. stort arbejdspres

Datatilsynet fastslog i sagen, at den dataansvarlige skal sikre sig, at produkter opbevares med tilstrækkelig sikkerhed og underlægges foranstaltninger, der matcher risikoen for forskellige misbrugsscenarier. Da Elgiganten vurderede, at risikoen for tyveri af produkter var høj, og da det er alment kendt, at medarbejdere ikke altid efterlever interne procedurer, burde risikoscenarier som et stort arbejdspres og pladsmangel have indgået i risikovurderingen. Elgiganten skulle med andre ord have taget højde for, at medarbejdere kan afvige de fastsatte procedurer – f.eks. i tilfælde af pladsmangel og stort arbejdspres. Det skriver Datatilsynet på deres hjemmeside.

Læs hele afgørelsen fra Datatilsynet her