Datatilsynet kritiserer webshops autofill-funktion

02-2016

Et stigende antal webshops tilbyder, at kunden automatisk kan få udfyldt kontaktinformationsfelterne i forbindelse med en handel ved blot at indtaste enten sit telefonnummer eller sin e-mail. Men ifølge en ny afgørelse fra Datatilsynet kræver dette udtrykkeligt samtykke fra kunden.

Stylepit, tidligere Smartguy, var en af de webshops, der havde integreret den pågældende autofill-funktion. En borger fandt dette kritisabelt og anmeldte Stylepit til Datatilsynet.

Borgeren klagede over, at man ved at indtaste et telefonnummer eller en e-mailadresse på en kunde hos Stylepit automatisk fik udfyldt felterne med kundens navn, adresse, alder, køn, osv. – alt sammen oplysninger hentet fra Stylepits egen kundedatabase.

Funktionen var ifølge Stylepit introduceret som følge af et behov hos kunderne for at kunne gennemføre deres handler hurtigst muligt. Stylepit anførte desuden, at oplysningerne ikke blev videregivet til tredjemand.

Datatilsynets afgørelse

Datatilsynet var dog ikke enig med Stylepit i det sidstnævnte, idet Stylepit efter Datatilsynets opfattelse videregav oplysningerne til tredjemand ved at stille den pågældende funktion til rådighed. Alle besøgende kunne indtaste et telefonnummer eller en e-mailadresse og på den måde skaffe sig adgang til den pågældendes personlige oplysninger.

Datatilsynet udtalte: "Datatilsynet finder […], at muligheden for, at personoplysninger kan tilgås alene ved indtastning af telefonnummer eller e-postadresse, kun anvendes, hvis den enkelte kunde selv aktivt har valgt, at dette skal være muligt."

Det gjorde ingen forskel, at oplysningerne ofte kan findes via Krak, degulesider.dk og lignende tjenester.

Konsekvenser for webshops

Afgørelsen betyder: hvis du som webshop har implementeret den ovennævnte autofill-funktion, skal du sikre dig, at kunden udtrykkeligt har samtykket til denne funktionalitet. Dette kan sikres fx gennem en "un-checked" tick-boks i forbindelse med registrering af kunden eller dennes første køb, hvoraf det klart og tydeligt fremgår, at du anvender kundens personlige oplysninger til netop dette formål. Samtidig skal du naturligvis sikre dig, at kunder, der ikke har samtykket, ikke dukker op, når besøgende anvender funktionen.

Det skal bemærkes, at overtrædelse af persondatalovgivningen efter persondataforordningens ikrafttræden i starten af 2018 er behæftet med særdeles store bøder.