Identifiering när den registrerade utövar sina rättigheter
Hur identifieringen ska gå till är inget som regleras i dataskyddsförordningen, utan det är en bedömning ni som personuppgiftsansvariga måste göra i varje enskilt fall.
Proportionerlig insamling
Samtidigt som ni har en skyldighet att underlätta för den som utövar sina rättigheter har ni en skyldighet att skydda de personuppgifter ni behandlar så att de inte hamnar i orätta händer. När ni begär in kompletterande information i syfte att identifiera den registrerade får ni inte samla in fler personuppgifter än vad som är nödvändigt för identifieringen, i enlighet med artikel 12.6 i dataskyddsförordningen. Att slentrianmässigt kräva uppgifter för identifiering utan hänsyn till ifall uppgifterna är nödvändiga strider mot både nämnda bestämmelse i artikel 12.6, och mot principen om uppgiftsminimering i artikel 5.1.c i dataskyddsförordningen.
Insamlingen måste med andra ord vara proportionerlig så att den inte leder till en ny, onödig insamling av personuppgifter. För att kunna avgöra vilken kompletterande information som behövs för att fastställa identiteten i det enskilda fallet behöver ni göra en proportionalitetsbedömning med bland annat hänsyn till vilka risker eller konsekvenser ett obehörigt utnyttjande av rättigheten skulle medföra för den registrerade, exempelvis den skada som kan uppstå om uppgifter lämnas ut till fel person eller om uppgifterna rättas eller raderas felaktigt. Vilka kategorier av personuppgifter som begäran avser ska också vägas in i bedömning exempelvis om begäran avser känsliga personuppgifter men även begärans art och det sammanhanhang inom vilken begäran görs. Vilken typ av verksamhet den registrerade gör sin begäran hos kan också vara av relevans.
Banker
ExempelOm den personuppgiftsansvariga är en bank behöver verksamheten tillämpa mer strikta regler beträffande identifiering än andra verksamheter, bland annat på grund av den lagstadgade banksekretessen som innebär att bolaget inte får röja eller lämna ut uppgifter om en kund eller ett kundförhållande till någon annan än kunden själv. I sådana fall kan det anses mer motiverat att kräva fler uppgifter för en säker identifiering, än vad som hade ansetts nödvändigt för andra verksamheter.
För vägledning i er proportionalitetsbedömning kan ni ta del av EDPB:s riktlinje om rätten till tillgång. Särskilt avsnitt 3.3. (Riktlinjen har varit ute för publik konsultation och kan därför möjligen komma att ändras, men gäller i nuvarande version tillsvidare.)
Riktlinje om rätten till tillgång
När får ni kräva id-handlingar?
Det är sällan nödvändigt att kräva att de registrerade uppvisar id-handling för att ni ska kunna identifiera dem. Att kräva uppvisande av id-handling kan innebära en säkerhetsrisk och det bör därför endast krävas om det är strikt nödvändigt och har stöd i lag.
Kräv inte mer personuppgifter än nödvändigt
ExempelEn kund begär tillgång till sina personuppgifter enligt artikel 15 i dataskyddsförordningen. Om den personuppgiftsansvariga inte verifierade den registrerades riktiga identitet när kundförhållandet etablerades är en identifiering med id-handling inte nödvändig när den registrerade vill tillvarata sina rättigheter. Det är bara i de fall när den faktiska identiteten är av betydelse som det skulle kunna vara relevant. Om den personuppgiftsansvariga ansåg att det räckte att en kund exempelvis angav en e-post utan sitt riktiga namn när kundförhållandet etablerades ska den personuppgiftsansvariga inte kräva mer personuppgifter när kunden sedan vill utöva sina rättigheter.
Ni måste underlätta för de registrerade
Det är också viktigt att komma ihåg att ni som personuppgiftsansvariga har ett ansvar att underlätta för de registrerade när de vill utöva sina rättigheter, enligt artikel 12.2 i dataskyddsförordningen. Vidare, om ni inför metoder för identifiering som är betungande för de registrerade måste metoderna vara motiverade.