Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Ny afgørelse om ID-validering stiller krav om konkret vurdering

Bech Bruun
17/12/2019
Ny afgørelse om ID-validering stiller krav om konkret vurdering
Bech Bruun logo
Datatilsynet har i en ny afgørelse om ID-validering taget stilling til brugen af de procedurer, der som udgangspunkt følges ved indsamling af oplysninger om pas, kørekort eller nationalt identifikationskort, før en persons anmodning om udøvelse af sine rettigheder håndteres.

På baggrund af databeskyttelsesforordningens krav om at der ikke må være tvivl om den registreredes identitet, i forbindelse med at anmodninger om udøvelse af registreredes rettigheder håndteres, anvendte Pandora en procedure, hvor registrerede skulle indgive sådanne anmodninger via en formular på Pandoras hjemmeside. I forbindelse med udfyldelse af denne formular blev den registrerede blandt andet bedt om at uploade legitimation i form af fx pas, kørekort eller nationalt identitetskort. Dette fandt Pandora nødvendigt, idet registrerede kunder ikke blev forsynet med en unik identifikator som fx kunde- eller ID-nummer.

Datatilsynet fandt, at denne praksis var i strid med databeskyttelsesforordningen. Datatilsynet lagde i den forbindelse særligt vægt på, at der altid skal foretages en konkret vurdering af, om der hersker rimelig tvivl om identiteten på den person, der ønsker at udøve sine rettigheder, som fx retten til indsigt. Det forhold, at der er tale om oplysninger, der behandles i relation til online-kundeforhold, kan ifølge Datatilsynet ikke i sig selv medføre, at der hersker rimelig tvivl om den registreredes identitet. Det er dermed ikke muligt at drage en generel konklusion om, at der hersker tvivl om identiteten på samtlige personer, der anmoder om udøvelse af registreredes rettigheder.

Datatilsynet udtalte derudover også, at i tilfælde, hvor der hersker rimelig tvivl om identiteten på en person, der henvender sig med henblik på udøvelse af sine rettigheder, skal identifikationen af ved-kommende ske i overensstemmelse med proportionalitetsprincippet. Indsamlingen af oplysninger om pas, kørekort eller nationalt identitetskort, som var oplysninger, Pandora ikke allerede var i besiddelse af, var ikke i overensstemmelse med proportionalitetsprincippet, blandt andet fordi Datatilsynet vurderede, at det ville være muligt for Pandora at identificere den pågældende person uden at indsamle yderligere oplysninger. Datatilsynet fandt derfor, at Pandoras procedure for ID-validering i forbindelse med udøvelse af registreredes rettigheder gik videre end påkrævet, og at Pandora derfor, i strid med databeskyttelsesforordningen, unødigt besværliggjorde den registreredes mulighed for at udøve sine rettigheder i henhold til forordningen. Datatilsynet udtalte på den baggrund kritik.

Den britiske tilsynsmyndighed, ICO, har tidligere taget stilling til en tilsvarende sag vedrørende Pandoras håndtering af anmodninger om udøvelse af registreredes rettigheder. ICO fandt i den konkrete sag, at Pandora var berettiget til at bede en person, der anmodede om udøvelse af registreredes rettigheder, fremsende oplysninger om pas, kørekort eller nationalt identifikationskort med henblik på at sikre identifikation af den pågældende. Datatilsynet har dog, i modsætning til ICO, ikke alene taget stilling til håndteringen af anmodningen om sletning i det konkrete tilfælde, men også til Pandoras generelle procedure for håndtering af registreredes rettigheder.


Flere nye afgørelser om registreredes rettigheder


Afgørelsen om Pandoras ID-validering er én blandt flere nye afgørelser fra Datatilsynet om registreredes rettigheder. I en anden afgørelse fandt Datatilsynet, at det var berettiget, at en idrætsforening havde givet afslag på en fars anmodning om indsigt i oplysninger om sin datter, fordi datterens mor kunne varetage datterens databeskyttelsesretlige rettigheder, og faderen ikke havde en selvstændig ret til indsigt i behandlingen af oplysninger om sin datter.

Tilsvarende fandt Datatilsynet i afgørelsen af en klage over DSB, at det var berettiget, at DSB ikke havde givet indsigt i, hvilke oplysninger der blev indsamlet gennem cookies, fordi det ikke var muligt at identificere den registrerede ud fra de oplysninger, der blev indsamlet og behandlet via cookies. DSB var derfor ikke forpligtet til at indsamle yderligere oplysninger med det formål at kunne identificere de personer, der blev indsamlet oplysninger om via cookies. Datatilsynet udtalte dog samtidig alvorlig kritik, fordi DSB var mere end en måned om at besvare den registreredes indsigtsanmodning, og fordi DSB ikke på baggrund af den registreredes anmodning besvarede den registreredes indsigtsanmodning i det fulde omfang, det var muligt. DSB havde derved ikke givet den registrerede tilstrækkelig mulighed for at udøve sine rettigheder.


Bech-Bruuns kommentarer


Af Datatilsynets seneste afgørelser om registreredes rettigheder kan udledes følgende:

  • Procedurer for håndtering af registreredes rettigheder skal være indrettet sådan, at de muliggør en konkret vurdering af, om det er nødvendigt at indsamle yderligere oplysninger med henblik på at identificere vedkommende, der har anmodet om udøvelse af registreredes rettigheder.

  • At der ikke knyttes unikke identifikatorer til de registrerede kan ikke i sig selv føre til, at en dataansvarlig altid er berettiget til at stille krav om, at registrerede, der udøver deres rettigheder, altid skal legitimere sig.

  • Er det ikke muligt på baggrund af de oplysninger, der behandles, at identificere den registrerede, uden at den registrerede afgiver yderligere oplysninger, er den dataansvarlige ikke forpligtet til at give indsigt på den registreredes anmodning.

  • Forældre har ikke alene i kraft af sin rolle som forældremyndighedsindehaver en selvstændig ret til at udøve sine børns rettigheder som registrerede.


Datatilsynets afgørelse om Pandoras procedure for ID-validering  medfører ikke, at håndteringen af registreredes rettigheder ikke bør være beskrevet i interne procedurer. Det er imidlertid afgørende, at procedurerne giver mulighed for at foretage en konkret vurdering af, om det er nødvendigt at foretage nærmere undersøgelser med henblik på at sikre tilstrækkelig identifikation af den person, der anmoder om udøvelse af rettighederne. Procedurer må derfor ikke være indrettet sådan, at registrerede som udgangspunkt altid skal legitimere sig, når de anmoder om at udøve deres rettigheder.

Afgørelsen indebærer særligt udfordringer for dataansvarlige, der behandler oplysninger om online-kunder i stort omfang. Det skyldes, at der for disse er en betydelig højere risiko forbundet med at efterkomme anmodninger om udøvelse af registreredes rettigheder uden at foretage ID-validering, fordi den dataansvarlige ikke kender eller ikke har mulighed for at foretage en reel vurdering af identiteten af den fysiske person bag anmodningen. Uden vished for identiteten af personen bag anmodningen risikerer man som dataansvarlig at begå sikkerhedsbrud. Med andre ord er afgørelsen ”bad news” for mange organisationer, herunder særligt online virksomheder, hvor det i den praktiske virkelighed typisk er uforholdsmæssigt ressourcekrævende at lave en konkret vurdering fra kunde til kunde.

Hos Bech-Bruun har vi stor erfaring med den praktiske implementering  af GDPR, og hvordan man i den løbende drift sikrer overholdelse af de strenge krav i GDPR. Du er derfor meget velkommen til at kontakte os, hvis du har spørgsmål eller ønsker vores input på en konkret problemstilling, herunder hvad man kan kræve af den registrerede med henblik på at sikre vedkommendes identitet.

 

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Fagligt indhold, der kunne være relevante for dig
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Artikler, der kunne være relevante for dig
Hvornår har I sidst ført tilsyn med jeres databehandlere?
Hvornår har I sidst ført tilsyn med jeres databehandlere?
20/02/2024
Persondata
Implementeringen af NIS2-direktivet bliver forsinket
Implementeringen af NIS2-direktivet bliver forsinket
20/02/2024
Compliance, EU-ret, Persondata
Manglende open source policy udgør en risiko for softwarevirksomheder
Manglende open source policy udgør en risiko for softwarevirksomheder
01/03/2024
Persondata, Compliance, IT- og telekommunikation
Chromebook-sagens relevans – herunder når du udleverer en computer eller mobiltelefon som arbejdsredskab
Chromebook-sagens relevans – herunder når du udleverer en computer eller mobiltelefon som arbejdsredskab
08/03/2024
Persondata, IT- og telekommunikation
Datatilsynet og Digitaliseringsstyrelsen etablerer AI-sandkasse
Datatilsynet og Digitaliseringsstyrelsen etablerer AI-sandkasse
11/03/2024
Persondata, IT- og telekommunikation, Compliance
AI Act vedtaget af Europa-Parlamentet
AI Act vedtaget af Europa-Parlamentet
22/03/2024
Persondata, EU-ret
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted