Ny afgørelse om ID-validering stiller krav om konkret vurdering

Datatilsynet har i en ny afgørelse om ID-validering taget stilling til brugen af de procedurer, der som udgangspunkt følges ved indsamling af oplysninger om pas, kørekort eller nationalt identifikationskort, før en persons anmodning om udøvelse af sine rettigheder håndteres.

På baggrund af databeskyttelsesforordningens krav om at der ikke må være tvivl om den registreredes identitet, i forbindelse med at anmodninger om udøvelse af registreredes rettigheder håndteres, anvendte Pandora en procedure, hvor registrerede skulle indgive sådanne anmodninger via en formular på Pandoras hjemmeside. I forbindelse med udfyldelse af denne formular blev den registrerede blandt andet bedt om at uploade legitimation i form af fx pas, kørekort eller nationalt identitetskort. Dette fandt Pandora nødvendigt, idet registrerede kunder ikke blev forsynet med en unik identifikator som fx kunde- eller ID-nummer.

Datatilsynet fandt, at denne praksis var i strid med databeskyttelsesforordningen. Datatilsynet lagde i den forbindelse særligt vægt på, at der altid skal foretages en konkret vurdering af, om der hersker rimelig tvivl om identiteten på den person, der ønsker at udøve sine rettigheder, som fx retten til indsigt. Det forhold, at der er tale om oplysninger, der behandles i relation til online-kundeforhold, kan ifølge Datatilsynet ikke i sig selv medføre, at der hersker rimelig tvivl om den registreredes identitet. Det er dermed ikke muligt at drage en generel konklusion om, at der hersker tvivl om identiteten på samtlige personer, der anmoder om udøvelse af registreredes rettigheder.

Datatilsynet udtalte derudover også, at i tilfælde, hvor der hersker rimelig tvivl om identiteten på en person, der henvender sig med henblik på udøvelse af sine rettigheder, skal identifikationen af ved-kommende ske i overensstemmelse med proportionalitetsprincippet. Indsamlingen af oplysninger om pas, kørekort eller nationalt identitetskort, som var oplysninger, Pandora ikke allerede var i besiddelse af, var ikke i overensstemmelse med proportionalitetsprincippet, blandt andet fordi Datatilsynet vurderede, at det ville være muligt for Pandora at identificere den pågældende person uden at indsamle yderligere oplysninger. Datatilsynet fandt derfor, at Pandoras procedure for ID-validering i forbindelse med udøvelse af registreredes rettigheder gik videre end påkrævet, og at Pandora derfor, i strid med databeskyttelsesforordningen, unødigt besværliggjorde den registreredes mulighed for at udøve sine rettigheder i henhold til forordningen. Datatilsynet udtalte på den baggrund kritik.

Den britiske tilsynsmyndighed, ICO, har tidligere taget stilling til en tilsvarende sag vedrørende Pandoras håndtering af anmodninger om udøvelse af registreredes rettigheder. ICO fandt i den konkrete sag, at Pandora var berettiget til at bede en person, der anmodede om udøvelse af registreredes rettigheder, fremsende oplysninger om pas, kørekort eller nationalt identifikationskort med henblik på at sikre identifikation af den pågældende. Datatilsynet har dog, i modsætning til ICO, ikke alene taget stilling til håndteringen af anmodningen om sletning i det konkrete tilfælde, men også til Pandoras generelle procedure for håndtering af registreredes rettigheder.


Flere nye afgørelser om registreredes rettigheder

Afgørelsen om Pandoras ID-validering er én blandt flere nye afgørelser fra Datatilsynet om registreredes rettigheder. I en anden afgørelse fandt Datatilsynet, at det var berettiget, at en idrætsforening havde givet afslag på en fars anmodning om indsigt i oplysninger om sin datter, fordi datterens mor kunne varetage datterens databeskyttelsesretlige rettigheder, og faderen ikke havde en selvstændig ret til indsigt i behandlingen af oplysninger om sin datter.

Tilsvarende fandt Datatilsynet i afgørelsen af en klage over DSB, at det var berettiget, at DSB ikke havde givet indsigt i, hvilke oplysninger der blev indsamlet gennem cookies, fordi det ikke var muligt at identificere den registrerede ud fra de oplysninger, der blev indsamlet og behandlet via cookies. DSB var derfor ikke forpligtet til at indsamle yderligere oplysninger med det formål at kunne identificere de personer, der blev indsamlet oplysninger om via cookies. Datatilsynet udtalte dog samtidig alvorlig kritik, fordi DSB var mere end en måned om at besvare den registreredes indsigtsanmodning, og fordi DSB ikke på baggrund af den registreredes anmodning besvarede den registreredes indsigtsanmodning i det fulde omfang, det var muligt. DSB havde derved ikke givet den registrerede tilstrækkelig mulighed for at udøve sine rettigheder.


Bech-Bruuns kommentarer

Af Datatilsynets seneste afgørelser om registreredes rettigheder kan udledes følgende:

• Procedurer for håndtering af registreredes rettigheder skal være indrettet sådan, at de muliggør en konkret vurdering af, om det er nødvendigt at indsamle yderligere oplysninger med henblik på at identificere vedkommende, der har anmodet om udøvelse af registreredes rettigheder.


• At der ikke knyttes unikke identifikatorer til de registrerede kan ikke i sig selv føre til, at en dataansvarlig altid er berettiget til at stille krav om, at registrerede, der udøver deres rettigheder, altid skal legitimere sig.


• Er det ikke muligt på baggrund af de oplysninger, der behandles, at identificere den registrerede, uden at den registrerede afgiver yderligere oplysninger, er den dataansvarlige ikke forpligtet til at give indsigt på den registreredes anmodning.


• Forældre har ikke alene i kraft af sin rolle som forældremyndighedsindehaver en selvstændig ret til at udøve sine børns rettigheder som registrerede.

Datatilsynets afgørelse om Pandoras procedure for ID-validering  medfører ikke, at håndteringen af registreredes rettigheder ikke bør være beskrevet i interne procedurer. Det er imidlertid afgørende, at procedurerne giver mulighed for at foretage en konkret vurdering af, om det er nødvendigt at foretage nærmere undersøgelser med henblik på at sikre tilstrækkelig identifikation af den person, der anmoder om udøvelse af rettighederne. Procedurer må derfor ikke være indrettet sådan, at registrerede som udgangspunkt altid skal legitimere sig, når de anmoder om at udøve deres rettigheder.

Afgørelsen indebærer særligt udfordringer for dataansvarlige, der behandler oplysninger om online-kunder i stort omfang. Det skyldes, at der for disse er en betydelig højere risiko forbundet med at efterkomme anmodninger om udøvelse af registreredes rettigheder uden at foretage ID-validering, fordi den dataansvarlige ikke kender eller ikke har mulighed for at foretage en reel vurdering af identiteten af den fysiske person bag anmodningen. Uden vished for identiteten af personen bag anmodningen risikerer man som dataansvarlig at begå sikkerhedsbrud. Med andre ord er afgørelsen ”bad news” for mange organisationer, herunder særligt online virksomheder, hvor det i den praktiske virkelighed typisk er uforholdsmæssigt ressourcekrævende at lave en konkret vurdering fra kunde til kunde.

Hos Bech-Bruun har vi stor erfaring med den praktiske implementering  af GDPR, og hvordan man i den løbende drift sikrer overholdelse af de strenge krav i GDPR. Du er derfor meget velkommen til at kontakte os, hvis du har spørgsmål eller ønsker vores input på en konkret problemstilling, herunder hvad man kan kræve af den registrerede med henblik på at sikre vedkommendes identitet.