ID-validering ifm. anmodninger om udøvelse af registreredes rettigheder

Publiceret 25-10-2019
Afgørelse Private virksomheder

En borger klagede over, at en virksomhed bad ham indsende fx pas eller kørekort, før den ville tage stilling til hans anmodning om sletning. Datatilsynet fandt, at den generelle procedure for ID-validering ikke var i overensstemmelse med reglerne, da den dataansvarlige har pligt til at foretage en konkret vurdering af, om der hersker rimelig tvivl om identiteten på den fysiske person.

Journalnummer: 2018-7320-0166

Resume

Datatilsynet har truffet afgørelse i en sag, hvor en britisk borger klagede over, at Pandora A/S havde bedt ham om at indsende legitimation i form af pas, kørekort eller et nationalt identitetskort, før Pandora ville tage stilling til hans anmodning om sletning.

Pandora oplyste, at virksomheden af sikkerhedsmæssige grunde havde etableret en generel procedure om indsendelse af legitimation i forbindelse med anmodninger om udøvelse af registreredes rettigheder.

Datatilsynet fandt, at Pandoras generelle procedure, hvorefter der uden undtagelse blev stillet krav om ID-validering i forbindelse med behandling af anmodninger om udøvelse af registreredes rettigheder, ikke var i overensstemmelse med databeskyttelsesforordningen.

Datatilsynet lagde blandt andet vægt på, at den dataansvarlige har pligt til at foretage en konkret vurdering af, om der hersker rimelig tvivl om identiteten på den fysiske person, i forbindelse med modtagelse af anmodninger om udøvelse af registreredes rettigheder.

Sagen er den første sag, hvor Datatilsynet har truffet afgørelse som ledende tilsynsmyndighed efter ”one-stop shop-mekanismen” i forbindelse med grænseoverskridende behandling af personoplysninger.

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor herefter klager den 30. maj 2018 har klaget til The Information Commissioner's Office (ICO) over, at Pandora A/S (herefter Pandora) har afslået at slette hans personoplysninger i Pandoras systemer/databaser. Datatilsynet er i overensstemmelse med artikel 56 i databeskyttelsesforordningen[1] blevet udpeget som værende den ledende tilsynsmyndighed i sagen.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at Pandoras behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 12, stk. 6, og artikel 5, stk. 1, litra c.

Datatilsynet finder endvidere grundlag for at meddele Pandora påbud om at tage stilling til og over for klager at træffe afgørelse om, hvorvidt betingelserne for at foretage sletning efter databeskyttelsesforordningens artikel 17 er opfyldt, og i givet fald foretage sletning af de personoplysninger, der behandles om klager. Afgørelsen skal træffes snarest muligt og senest to uger fra dags dato. Påbuddet gives i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra c.

Datatilsynet gør opmærksom på, at det efter databeskyttelseslovens[2] § 41, stk. 2, nr. 5, er strafbart at undlade at efterkomme et påbud meddelt af Datatilsynet i medfør af forordningens artikel 58, stk. 2, litra c.

Pandora bedes give tilsynet underretning, når der er truffet afgørelse.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Det fremgår af sagen, at klager den 23. maj 2018 via e-mail kontaktede Pandora og anmodede om at blive slettet fra virksomhedens database.

Pandora anmodede i e-mail af 29. maj 2018 klager om at indgive sin anmodning om sletning via virksomhedens onlineformular.

Klager udfyldte herefter samme dag onlineformularen, men på grund af tekniske problemer tog klager screenshots af den udfyldte formular og sendte billederne af den udfyldte formular til Pandora via e-mail.

Pandora meddelte den 30. maj 2018 klager, at han til brug for Pandoras behandling af anmodningen om sletning – i overensstemmelse med kravene i onlineformularen på hjemmesiden – skulle indsende legitimation i form af f.eks. pas, kørekort eller et nationalt identitetskort med henblik på, at virksomheden kunne få bekræftet hans identitet.

Klager ønskede imidlertid ikke at sende legitimation til Pandora, hvorfor Pandora ikke imødekom klagers anmodning om sletning, da Pandora efter egen opfattelse ikke med sikkerhed kunne identificere klager uden legitimationen.

2.1. Pandoras bemærkninger

Pandora har oplyst, at den registrerede udfylder formularen på Pandoras hjemmeside, som sendes krypteret til Pandora, hvorefter den gemmes i Pandoras interne systemer og håndteres og besvares af en udpeget medarbejder. Eftersom den registrerede kan indtaste en hvilken som helst e-mailadresse i formularen – også én, som ikke er registreret i Pandoras systemer – modtager den registrerede umiddelbart efter at have indsendt anmodningen en bekræftelsesmail fra Pandora med et link, som den pågældende skal benytte for at bekræfte anmodningen.

Pandora har videre oplyst, at hvis den registrerede indtaster en e-mailadresse, som ikke er registreret i virksomhedens systemer, eller hvis der er andre usikkerheder i forbindelse med anmodningen, retter Pandoras kundeserviceafdeling henvendelse til den registrerede med henblik på afklaring.

Når anmodningen er besvaret, bekræfter Pandora dette over for den registrerede, og den legitimation, som var vedhæftet til formularen, slettes straks efter, at anmodningen er håndteret. Legitimationen opbevares således ikke længere end 30 dage, medmindre anmodningsproceduren forlænges i medfør af databeskyttelsesforordningen art. 12, stk. 3.

Pandora har understreget, at den registreredes legitimation udelukkende anvendes til identitetsformål, og at Pandora aldrig beder om legitimation i forbindelse med anmodninger, som alene vedrører den registreredes ønske om at blive afmeldt som modtager af et Pandora-nyhedsbrev (som vedkommende har tilmeldt sig).

Pandora har anført, at ID-validering udgør en vigtig del af Pandoras ”DSR procedure” (forkortelse for data subject rights procedure). Efter Pandoras opfattelse er virksomheden forpligtet til at verificere den registreredes identitet, før en DSR-anmodning fra den pågældende håndteres. Pandora har bl.a. henvist til betragtning 64 i databeskyttelsesforordningen, Datatilsynets vejledning om de registreredes rettigheder afsnit 2.6 og betænkning nr. 1565 om databeskyttelsesforordningen pkt. 4.2.2.4 (s. 269 ff.).

Pandora har anført, at virksomheden har ca. 9,7 mio. registrerede kunder, og at Pandora ikke har en unik identifikator (f.eks. et kunde- eller ID-nummer) for hver enkelt kunde, som kan bruges til at validere kundens identitet. De eventuelle personoplysninger, som Pandora har registreret i virksomhedens systemer (f.eks. navn, adresse, e-mailadresse og telefonnummer), er ifølge Pandora nemme at fremsøge på f.eks. sociale medier og i et vist omfang offentligt tilgængelige. Det er Pandoras vurdering, at en procedure, hvor Pandora ikke beder om legitimation, vil indebære en betydelig risiko for Pandoras kunder.

Pandora har anført, at virksomhedens procedure efter Pandoras opfattelse opfylder betingelsen om, at vurderingen af, hvorvidt legitimation skal anses for at være nødvendig, skal vurderes konkret i forhold til den enkelte anmodning. Pandora har i den forbindelse gjort gældende, at fordi Pandoras forhold til virksomhedens kunder primært er et online-forhold, hvor virksomheden ikke kender den fysiske person bag anmodningen, vil den konkrete vurdering i hvert enkelt tilfælde derfor blive den samme. Efter Pandoras opfattelse vil der derfor enten altid være rimelig tvivl og en generel risiko, eller også vil der aldrig være rimelig tvivl eller nogen generel risiko.

På baggrund af denne kompleksitet foretog Pandora oprindelig en risikovurdering af virksomhedens eksisterende setup og etablerede på denne baggrund en procedure, der efter Pandoras opfattelse både imødekommer datasubjekternes rettigheder på en nem og sikker måde, samtidig med at Pandora iagttager virksomhedens forpligtelser efter databeskyttelsesforordningen, herunder kravene i artikel 12, stk. 2 og 6, samt virksomhedens pligt til at sikre datasubjekternes identitet og ikke uberettiget udlevere eller slette personoplysninger.

Pandora har anført, at en nærmere konkret vurdering ikke er mulig i den foreliggende sag, fordi der ikke foreligger nogen konkrete oplysninger i sagen, der kan anvendes som validt holdepunkt for at antage, at datasubjektet er den person, som han giver sig ud for at være. Pandora har gjort gældende, at anmodningen om legitimation i den konkrete sag er nødvendig og samlet set proportional.

Pandora har desuden henvist til, at ICO den 4. december 2018 traf afgørelse i en sag materielt identisk med nærværende. ICO fandt i den pågældende sag ikke grundlag for at kritisere, at Pandora havde anmodet en kunde om at fremsende legitimation med henblik på at validere vedkommendes identitet forud for imødekommelse af kundens anmodning om sletning. ICO vurderede, at anmodningen om legitimation var proportional.

2.2. Klagers bemærkninger

Klager har overordnet anført, at han ikke ønskede at supplere Pandora med yderligere personlige oplysninger for at få imødekommet anmodningen om sletning. Klager gør også gældende, at Pandora kunne have kontaktet ham via e-mail eller telefon for at få bekræftet hans identitet.

3. Begrundelse for Datatilsynets afgørelse

Det følger af databeskyttelsesforordningens artikel 12, stk. 2, at den dataansvarlige skal lette udøvelsen af den registreredes rettigheder i henhold til bl.a. artikel 17 om sletning.

Efter databeskyttelsesforordningens artikel 12, stk. 6, kan en dataansvarlig, hvis der hersker rimelig tvivl om identiteten af den fysiske person, der fremsætter en anmodning om f.eks. sletning, anmode om yderligere oplysninger, der er nødvendige for at bekræfte den registreredes identitet.

Videre følger det af databeskyttelsesforordningens principper for behandling af personoplysninger, at personoplysninger bl.a. skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles, jf. artikel 5, stk. 1, litra c.

Datatilsynet henviser endvidere til Artikel 29-gruppens retningslinjer vedrørende retten til dataportabilitet WP242 rev.01[3], side 14 f., hvoraf bl.a. følgende fremgår:

”Der findes ingen foreskrevne krav i databeskyttelsesforordningen om, hvordan den registrerede kan autentificeres. (…) Desuden fastsætter artikel 12, stk. 6, at hvis en dataansvarlig har begrundet mistanke om identiteten af en registreret, kan denne anmode om yderligere oplysninger for at bekræfte den registreredes identitet. (…) Hvis oplysninger og data, der er indsamlet online, forbindes til pseudonymer eller unikke identifikatorer, kan dataansvarlige gennemføre passende procedurer, der sætter en fysisk person i stand til at anmode om dataportabilitet og modtage oplysninger, der vedrører ham eller hende. I alle tilfælde skal den dataansvarlige etablere en procedure for bekræftelse på ægthed for med sikkerhed at kunne fastslå identiteten af den registrerede, som anmoder om sine personlige oplysninger eller mere generelt udøver de rettigheder, som databeskyttelsesforordningen indrømmer.

Disse procedurer eksisterer ofte allerede. De registrerede er ofte allerede autentificeret af den dataansvarlige før indgåelse af en kontrakt eller indhentning af samtykke til behandling. Som følge heraf kan de personoplysninger, der bruges til registrering af den pågældende fysiske person ved behandlingen, også bruges som bevis for at autentificere den registrerede til portabilitetsformål.

I disse tilfælde kræves der måske en anmodning om bevis for de registreredes juridiske identitet, mens verificering muligvis er relevant for at vurdere forbindelsen mellem oplysningerne og den pågældende fysiske person, eftersom en sådan forbindelse ikke vedrører den officielle eller juridiske identitet. I det væsentlige kan den dataansvarliges mulighed for at anmode om yderligere oplysninger for at identificere en persons identitet ikke føre til overdrevne krav og til indhentning af personoplysninger, som ikke er relevante eller nødvendige for at styrke forbindelsen mellem den fysiske person og de personoplysninger, der anmodes om.

I mange tilfælde er sådanne bekræftelsesprocedurer allerede iværksat. Der anvendes f.eks. ofte brugernavne og adgangskoder for at give fysiske personer adgang til data på e-mailkonti, sociale netværkskonti og konti til forskellige andre tjenester, hvor fysiske personer vælger at bruge nogle af disse uden at afsløre deres fulde navn og identitet.”

Datatilsynet lægger til grund, at Pandora altid anmoder om legitimation i forbindelse med en anmodning fra en registreret, der ønsker at gøre brug af sine rettigheder.

Efter en gennemgang af sagen er det Datatilsynets vurdering, at Pandoras generelle procedure, hvorefter der uden undtagelse stilles krav om ID-validering i forbindelse med behandling af anmodninger om udøvelse af registreredes rettigheder, ikke er i overensstemmelse med databeskyttelsesforordningens artikel 12, stk. 6, og artikel 5, stk. 1, litra c.

Datatilsynet har herved lagt vægt på, at databeskyttelsesforordningens artikel 12, stk. 6, indebærer, at den dataansvarlige har pligt til at foretage en konkret vurdering af, om der hersker rimelig tvivl om identiteten på den fysiske person, i forbindelse med den enkelte anmodning om udøvelse af registreredes rettigheder. Datatilsynet finder i den forbindelse, at den omstændighed, at der er tale om online-kundeforhold, ikke kan medføre, at der altid vil herske rimelig tvivl om den fysiske persons identitet.

Datatilsynet har også lagt vægt på, at en anmodning om yderligere oplysninger med henblik på at identificere den fysiske person skal være proportional, jf. artikel 5, stk. 1, litra c, og den dataansvarlige må derfor ikke kræve flere oplysninger, end hvad der er nødvendigt for at kunne identificere den fysiske person. Datatilsynet finder, at det ikke er i overensstemmelse med artikel 12, stk. 2, at Pandora har tilrettelagt en procedure, hvorefter den registrerede skal afgive flere oplysninger, end der oprindeligt blev indsamlet, for at få behandlet en anmodning om udøvelse af registreredes rettigheder.

Det forhold, at Pandora har indrettet sine systemer på en sådan måde, at der f.eks. ikke er knyttet unikke identifikatorer til de registrerede, kan efter Datatilsynets vurdering ikke føre til, at det er berettiget, at Pandora i alle tilfælde stiller krav om, at den registrerede skal legitimere sig for at kunne udøve sine rettigheder efter forordningen. Efter Datatilsynets opfattelse går Pandoras generelle procedure om ID-validering videre end påkrævet og besværliggør unødigt den registreredes mulighed for at udøve sine rettigheder.

På baggrund af ovenstående finder Datatilsynet således grundlag for at udtale kritik af, at Pandoras behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 12, stk. 6, og artikel 5, stk. 1, litra c.

Datatilsynet finder endvidere grundlag for at meddele Pandora påbud om at tage stilling til og over for klager at træffe afgørelse om, hvorvidt betingelserne for at foretage sletning efter databeskyttelsesforordningens artikel 17 er opfyldt, og i givet fald foretage sletning af de personoplysninger, der behandles om klager.

Datatilsynet bemærker, at tilsynet i forbindelse med sin behandling af klagesager altid vil foretage en konkret vurdering af forholdene. En henvisning til en afgørelse truffet i et andet europæisk land kan efter Datatilsynets opfattelse ikke nødvendigvis føre til, at tilsynet træffer en tilsvarende afgørelse.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

[3] Det Europæiske Databeskyttelsesråd har på sit første møde den 25. maj 2018 bekræftet at dette også er et udtryk for rådets holdning.