Nyheder

En nyhed fra Danske Advokaters fagudvalg for Databeskyttelse.

Af Mathias Woetmann Uhre og Michael Hopp, Plesner.

Hvad er "auto-complete"?

Mange email-programmer bruger funktionen "auto-complete" til at hjælpe afsendere af e-mails med at finde den rette modtager. Funktionen fungerer ved, at e-mail-programmet gemmer navne og e-mailadresser på modtagere, som man tidligere har sendt mails til. På baggrund af disse oplysninger oplister mail-programmerne forslag til modtagere, når man skal sende e-mails.

Funktionen bruges af mange, men indebærer dog også en risiko for, at brugere kommer til at vælge forkerte modtagere og derved kommer til at sende e-mails til uvedkommende. Hvis disse e-mails indeholder personoplysninger, så udgør det et brud på persondatasikkerheden.

Datatilsynet skærper sin praksis

Datatilsynet har modtaget et stort antal underretninger om brud på persondatasikkerheden på grund af auto-complete funktionen.

Datatilsynet skærper derfor sin praksis og stiller krav om, at dataansvarlige, der anvender funktionen auto-complete i e-mail-programmer, hvor der også håndteres personoplysninger, skal kunne dokumentere, at man

• har foretaget en risikovurdering i forhold til de registreredes rettigheder og frihedsrettigheder,
• har vurderet behovet for at implementere (yderligere) sikkerhedsforanstaltninger for at mindske risikoen for brud på persondatasikkerheden alt afhængigt af den identificerede risiko, jf. databeskyttelsesforordningens artikel 32, stk. 1, og
• har implementeret foranstaltningerne og fører tilsyn med, at de fungerer som forventet.

Systematisk anvendelse af e-mails til at sende personoplysninger?

Dataansvarlige, der i et systematisk omfang anvender e-mails til at sende personoplysninger, herunder særligt følsomme personoplysninger, kan ikke længere nøjes med at implementere organisatoriske sikkerhedsforanstaltninger, men skal herefter også implementere en eller flere tekniske sikkerhedsforanstaltninger.

Eksempler på tekniske sikkerhedsforanstaltninger kan være:

• Anvendelse af e-mail-forsinkelse, så brugeren kan nå at slette e-mailen, eller
• Tekniske foranstaltninger, der kræver, at brugeren bekræfter modtageren af e-mailen inden afsendelse.

Datatilsynet har angivet yderligere eksempler, som kan læses her.

Frist

Dataansvarlige har indtil den 1. marts til at foretage en risikovurdering og implementere eventuelle sikkerhedsforanstaltninger.

Du kan læse Datatilsynets vejledende tekst om auto-complete her.