Bank som försvårat utövandet av de registrerades rättigheter får reprimand
Integritetsskyddsmyndigheten konstaterar att en bank har behandlat personuppgifter i strid med artikel 12.2 i dataskyddsförordningen. Detta eftersom banken krävt att klagandena vid begäran om tillgång skulle skicka in uppgifter för att styrka sina identiteter via vanlig postgång, trots att den haft en digital tjänst för övrig kundkommunikation som krävt identifiering. Banken har därmed inte i tillräcklig mån underlättat utövandet av de registrerades rättigheter.
Bakgrund
Med anledning av två klagomål inledde Integritetsskyddsmyndigheten (IMY) tillsyn beträffande en bank. Klagomålen innehöll beskrivningar av hur de båda klagandena hade varit i kontakt med banken gällande begäran om tillgång enligt artikel 15 i dataskyddsförordningen. Banken ska då ha krävt i det ena fallet att klaganden via e-post skickade in kopia på ID-handling, och i det andra fallet att klaganden via post skickade in en begäran i skriftlig form tillsammans med en kopia av giltig ID-handling. Klagandena upplevde att bolaget försvårade utövande av rätten till tillgång.
Banken menade att för att inte riskera att bryta mot banksekretessen, som innebär att bolaget inte får röja eller lämna ut uppgifter om en kund eller ett kundförhållande till någon annan än kunden själv, behövde den tillämpa strikta regler beträffande identifiering.
Rättslig reglering
Enligt artikel 5.1 c i dataskyddsförordningen ska personuppgifterna vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (principen om uppgiftsminimering). Enligt artikel 11.2 gäller att om den personuppgiftsansvarige kan visa att denne inte kan identifiera den registrerade ska den personuppgiftsansvarige informera den registrerade om detta. I sådana fall ska artiklarna 15–20 om bland annat rätt till tillgång och radering inte gälla, förutom när den registrerade för utövande av sina rättigheter i enlighet med dessa artiklar ger in ytterligare information som gör identifieringen möjlig.
Enligt artikel 12.2 ska den personuppgiftsansvarige underlätta utövandet av den registrerades rättigheter i enlighet med artiklarna 15–22. I de fall som avses i artikel 11.2 får den personuppgiftsansvarige inte vägra att tillmötesgå den registrerades begäran om att utöva sina rättigheter enligt artiklarna 15–22, om inte den personuppgiftsansvarige visar att han eller hon inte kan identifiera den registrerade. I artikel 12.6 anges att utan att det påverkar tillämpningen av artikel 11 får den personuppgiftsansvarige, om denne har rimliga skäl att ifrågasätta identiteten hos den fysiska person som lämnar in en begäran enligt artiklarna 15–21, begära att ytterligare information som är nödvändig för att bekräfta den registrerades identitet ges in.
Integritetsskyddsmyndighetens bedömning
IMY har med utgångspunkt i de aktuella klagomålen i ärendet granskat bolagets agerande i dessa enskilda fall.
IMY konstaterar först att en allmän utgångspunkt är att den personuppgiftsansvarige, i syfte att identifiera en registrerad, får begära ytterligare information som är nödvändig i de fall den personuppgiftsansvarige har rimliga skäl att betvivla identiteten hos den person som lämnar in en begäran. Dataskyddsförordningen reglerar inte uttryckligen vilka uppgifter som får efterfrågas. Den personuppgiftsansvarige måste göra en proportionalitetsbedömning för att fastställa vad som är lämpligt med hänsyn till förordningens krav. Här måste faktorer så som säkerhet vägas mot kravet i artikel 12.2 om att den personuppgiftsansvarige ska underlätta utövandet av den registrerades rättigheter. Att slentrianmässigt kräva uppgifter för identifiering utan hänsyn till huruvida uppgifterna är nödvändiga strider enligt IMY bland annat mot principen om uppgiftsminimering i artikel 5.1.c.
Frågan är då om de uppgifter som bolaget krävt dels har varit nödvändiga för att identifiera respektive klaganden, dels om det tillvägagångssätt för att lämna in uppgifterna som bolaget erbjudit har varit i enlighet med dataskyddsförordningen.
Vid bedömningen av om de uppgifter bolaget begärt för identifiering varit nödvändiga beaktar IMY att vikten av en säker identifiering är särskilt viktiga när enskilda vänder sig till en bank med en begäran om tillgång. Mot denna bakgrund, och att det rör sig om relativt sett få personuppgifter inklusive ID-kopia, kan de begärda uppgifterna inte anses ha varit omotiverade. Banken har därmed inte agerat i strid med artikel 5.1.c eller artikel 12.6 i dataskyddförordningen.
Enligt IMY har det dock inte framkommit några omständigheter som gjort det försvarbart att kräva att klaganden skulle skicka de begärda uppgifterna till bolaget via vanlig postgång. Vid en sammantagen bedömning av alla omständigheter, bland annat att bolaget vid tidpunkten för klagomålen hade en digital tjänst genom en meddelandecentral för övrig kundkommunikation med krav på identifiering, anser IMY att banken agerat i strid med artikel 12.2 i dataskyddsförordningen genom att kräva av de registrerade att de skulle posta uppgifterna till bolaget vid utövande av rätten till tillgång. Banken har därmed inte i tillräcklig mån underlättat utövandet av de registrerades rättigheter.
Mot denna bakgrund ger IMY banken en reprimand enligt artikel 58.2 b i dataskyddsförordningen för överträdelse av artikel 12.2 i dataskyddsförordningen.
Linn Dedorson, redaktör och jurist på JP Infonet.
Ursprungligen publicerad i JP ITnet.
Publicerad 11 apr 2022
Redaktör, jurist