Häromdagen var jag med om en märklig händelse när jag handlade julklappar på nätet. Jag hade hittat en vara på Cubus.com som jag beslutade mig för att köpa och eftersom jag aldrig handlat hos webbutiken tidigare och de hade en rabattkod så beslöt jag mig för att registrera ett konto hos Cubus. Köpet gick igenom och efter en stund fick jag en bekräftelse på min mejl och det var då jag såg att någonting var väldigt konstigt med de personuppgifter som Cubus spred.
I mejlet så stod nämligen inte mitt namn som kund, utan min frus (hon som också skulle få julklappen). Det var heller inte mitt mobilnummer i bekräftelsen utan hennes. Mejladressen vad dock min. Men det var då jag började ana oråd. Hade min fru nu fått en notis om ordern på sin mobil? Då skulle ju överraskningen inför julen vara förstörd.
Orderbekräftelsen skickat till fel person
Mycket riktigt, hon hade fått en avisering via PostNords app om att en beställning från Cubus var på väg. Så nu visste hon att jag handlat där. Naturligtvis är detta ett underligt misstag från Cubus sida men också ett som absolut inte är acceptabelt. De får inte sprida personuppgifter på detta sätt.
Jag hade alltså skapat ett helt nytt konto hos Cubus, med mitt namn, mitt mobilnummer och min mejl. Jag hade gjort det på min egen dator och inloggad som mig själv på Chrome. Trots det så har Cubus någonstans fiskat upp min frus namn och mobilnummer och istället lagt in dem i ordern.
När man registerar sig hos Cubus så får man något som kallas ett VarnerID. Detta är tydligen en gemensam inloggning hos alla Varner-butiker, förutom Cubus då även tex Junkyard, Bik Bok, Carlings, Dressmann mfl. Möjligen är det här sammanblandningen uppstår, även om det fortfarande är fel och att vi dessutom inte kan minnas att vi skapat det i någon av de andra butikerna heller, men det är möjligt.
I Cubus personuppgiftspolicy anger de att ”Vi delar personuppgifter mellan Varners olika butikskedjor och förmånsprogram, för att kunna genomföra interna analyser. ” Så möjligen är det via VarnerID sammanblandningen av uppgifter har uppstått.
Personuppgifter enligt GDPR
Enligt GDPR måste ”all behandling av personuppgifter följa de grundläggande principerna som anges i dataskyddsförordningen”. Och både mobilnummer och namn är personuppgifter om de kan knytas till en person.
En personuppgiftsansvarig ska också enligt GDPR ”skydda personuppgifterna, till exempel så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs”.
Utan att vara någon expert på dataskyddsförordningen så låter det som att Cubus har orsakat en personuppgiftsincident då detta kan vara ett obehörigt röjande av eller obehörig åtkomst till personuppgifter. Dels har de spridit min frus namn och mobilnummer till mig, dels har de spridit hela min order till min fru.
Exempel på personuppgiftsincident enligt IMY.
En obehörig part får tillgång till personuppgifter, till exempel om någon skickar personuppgifter till en mottagare som inte ska ha dem.
Det allra märkligaste är alltså att de skickat leveransinformation till en annan person på ett sätt som gör att den kan hämta ut paketet.
En butikskedja med flera butiker måste naturligtvis klara av att hantera personuppgifter enligt GDPR och det anser jag inte att Cubus har gjort. Så jag har kontaktat deras personuppgiftsansvarig i Norge och bett om en förklaring. Återkommer med besked om jag får svar.