Tillhandahållare av placeringstjänster fick en anmärkning för förfarande i strid med dataskyddsbestämmelserna vid begäran av uppgifter som behövs för identifiering
Enligt dataskyddsmyndigheternas beslut som tagits i gränsöverskridande samarbete inom EU har ett svenskt bolag som tillhandahåller placeringstjänster brutit mot den allmänna dataskyddsförordningen när det inte underlättade användningen av de registrerades rättigheter tillräckligt. Bolaget hade bett sina kunder att skicka uppgifter som verifierar deras identitet per post trots att bolaget även hade en digital kanal som var lämplig för ändamålet.
Dataskyddsombudsmannens byrå tog emot två besvär över bolagets identifieringspraxis. Ärendet behandlades av europeiska dataskyddsmyndigheter i gränsöverskridande samarbete där den finska dataombudsmannens byrå deltog som en deltagande tillsynsmyndighet.
Beslutet gavs av den svenska dataskyddsmyndigheten (IMY) i egenskap av en ledande tillsynsmyndighet. Även den norska och den danska tillsynsmyndigheten deltog i ärendets behandling.
Enligt beslutet kan den registeransvarige endast i undantagsfall erbjuda vanlig post som den enda kontaktkanalen för att lämna in uppgifter som behövs för verifiering av identitet. Detta kan vara motiverat till exempel av säkerhetsskäl. I regel bör man erbjuda alternativa sätt att lämna in uppgifter.
För övriga kundkontakter hade tillhandahållaren av placeringstjänster haft en digital tjänst med identifieringsfunktioner. Dataskyddsmyndigheterna ansåg att om den registeransvarige har en digital kontaktkanal där identiteten kan verifieras ska man inte utan särskild grund kräva att kunden ska använda ett svårare sätt för att tillgodose sina dataskyddsrättigheter.
Enligt beslutet har det inte kommit fram något sådant bevis i ärendet på grund av vilket bolaget skulle ha rätt att be kunderna att skicka uppgifterna per post. IMY gav bolaget en anmärkning för förfarande i strid med dataskyddsförordningen.
Bolaget har meddelat att uppgifterna nuförtiden tas emot via kundtjänstkanalen på webben på samma sätt som andra kundkommunikationer som kräver identifiering.
Mer information:
Beslutet har fattats inom ramverket för samarbetsförfarande i enlighet med dataskyddsförordningen (s.k. systemet med en enda kontaktpunkt, eng. One-Stop-Shop). Inom samarbetsförfarandet bereder den ledande tillsynsmyndigheten ett beslutsförslag och arbetar tillsammans med de deltagande tillsynsmyndigheterna för att nå samförstånd.