Ny afgørelse: ID-validering ved anmodning om sletning

Dato: 03-12-2019

En borger klagede over, at en virksomhed bad ham indsende fx pas eller kørekort, før den ville tage stilling til hans anmodning om sletning. Datatilsynet fandt, at den generelle procedure for ID-validering ikke var i overensstemmelse med reglerne, da den dataansvarlige har pligt til at foretage en konkret vurdering af, om der hersker rimelig tvivl om identiteten på den fysiske person.

Datatilsynet har truffet afgørelse i en sag, hvor en britisk borger klagede over, at Pandora A/S havde bedt ham om at indsende legitimation i form af pas, kørekort eller et nationalt identitetskort, før Pandora ville tage stilling til hans anmodning om sletning.

Pandora oplyste, at virksomheden af sikkerhedsmæssige grunde havde etableret en generel procedure om indsendelse af legitimation i forbindelse med anmodninger om udøvelse af registreredes rettigheder.

Datatilsynet fandt, at Pandoras generelle procedure, hvorefter der uden undtagelse blev stillet krav om ID-validering i forbindelse med behandling af anmodninger om udøvelse af registreredes rettigheder, ikke var i overensstemmelse med databeskyttelsesforordningen.

Datatilsynet lagde blandt andet vægt på, at den dataansvarlige har pligt til at foretage en konkret vurdering af, om der hersker rimelig tvivl om identiteten på den fysiske person, i forbindelse med modtagelse af anmodninger om udøvelse af registreredes rettigheder.

Sagen er den første sag, hvor Datatilsynet har truffet afgørelse som ledende tilsynsmyndighed efter ”one-stop shop-mekanismen” i forbindelse med grænseoverskridende behandling af personoplysninger.

Vil du vide mere?

Læs selve afgørelsen her.

Læs mere om retten til sletning.

Læs mere om håndhævelse af regler over for virksomheder, der opererer i flere lande.