Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) förelägger ett medieföretag att ändra företagets policy för inlämnande av en begäran om tillgång enligt dataskyddsförordningen (GDPR).
Av beslutet framgår att Dataombudsmannens byrå underrättats om att ett medieföretag begärt att den registrerade skulle lämna in en undertecknad blankett till medieföretagets lokaler för att utöva rätten till tillgång. Den registrerade gjorde en begäran om tillgång via e-post men lämnade ingen annan information för att bekräfta sin identitet. Medieföretaget gav därför inte tillgång till personuppgifterna.
Dataombudsmannens byrå har begärt att medieföretaget skulle förklara varför företaget vägrat att tillmötesgå den registrerades begäran och hur de underlättat utövandet av den registrerades rättigheter. Som svar på begäran klargjorde medieföretaget att de inte kunde tillmötesgå den registrerades begäran eftersom den registrerade inte lämnat ytterligare information för att bekräfta sin identitet. Medieföretaget angav att den registrerade måste identifiera sig med hjälp av ett formulär som innehåller den registrerades namn, personnummer, adress, telefonnummer och e-postadress. Medieföretaget påpekade också att formuläret måste undertecknas och lämnas personligen till medieföretagets lokaler, där den registrerade måste identifiera sig med en statligt utfärdad legitimation.
På grundval av den information som lämnats av medieföretaget ansåg Dataombudsmannens byrå att medieföretagets metod för att identifiera den registrerade inte grundat sig på en bedömning från fall till fall. I strid med principen om uppgiftsminimering har medieföretaget därför behandlat ett större antal personuppgifter än vad som var nödvändigt för att identifiera den registrerade, särskilt som medieföretaget inte angett skälen till varför det inte var möjligt att identifiera den registrerade.
Dataombudsmannens byrå betonade också att det var oproportionerligt att kräva att de registrerade personligen skulle lämna in en undertecknad blankett till medieföretagets lokaler och identifiera sig med legitimation, särskilt för registrerade som inte bor i närheten av medieföretagets lokaler.
På grundval av den information som samlats in ansåg Dataombudsmannens byrå att medieföretaget brutit mot artikel 5.1 (c) GDPR, artikel 12.2 GDPR och artikel 12.6 GDPR. Till följd av detta, och i enlighet med artikel 58.2 (d) GDPR, beordrade Dataombudsmannens byrå medieföretaget att ändra sin policy för begäran om tillgång och identitetskontroll så att den överensstämmer med ovannämnda bestämmelser i GDPR.