Finland: Svenskt bolag som tillhandahåller placeringstjänster har brutit mot GDPR gällande registrerades rättigheter

Ett svenskt bolag som tillhandahåller placeringstjänster har brutit mot dataskyddsförordningen (GDPR) när bolaget inte underlättade användningen av de registrerades rättigheter tillräckligt. Bolaget har enligt Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) bett sina kunder att skicka uppgifter som verifierar deras identitet per post trots att bolaget även hade en digital kanal som var lämplig för ändamålet.

Bakgrunden till ärendet är två klagomål som Dataskyddsombudsmannens byrå tagit emot över bolagets identifieringspraxis. Ärendet behandlades av europeiska dataskyddsmyndigheter i gränsöverskridande samarbete där den finska dataombudsmannens byrå deltog som en deltagande tillsynsmyndighet.

Beslutet gavs av den svenska dataskyddsmyndigheten (Integritetsskyddsmyndigheten, IMY) i egenskap av ledande tillsynsmyndighet. Även den norska och den danska tillsynsmyndigheten deltog i ärendets behandling.

Enligt beslutet kan den personuppgiftsansvarige endast i undantagsfall erbjuda vanlig post som den enda kontaktkanalen för att lämna in uppgifter som behövs för verifiering av identitet. Detta kan vara motiverat till exempel av säkerhetsskäl. I regel bör den personuppgiftsansvarige erbjuda alternativa sätt att lämna in uppgifter.

För övriga kundkontakter hade bolaget i det aktuella ärendet haft en digital tjänst med identifieringsfunktioner. Dataskyddsmyndigheterna ansåg att om den personuppgiftsansvarige har en digital kontaktkanal där identiteten kan verifieras ska man inte utan särskild grund kräva att kunden ska använda ett svårare sätt för att tillgodose sina dataskyddsrättigheter.

Enligt beslutet har det inte kommit fram något sådant bevis i ärendet på grund av vilket bolaget skulle ha rätt att be kunderna att skicka uppgifterna per post. IMY gav bolaget en anmärkning för förfarande i strid med dataskyddsförordningen.

Bolaget har meddelat att uppgifterna nuförtiden tas emot via kundtjänstkanalen på webben på samma sätt som andra kundkommunikationer som kräver identifiering.

Mer information

Källa: Pressmeddelande

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

09 MAR

Introduktion till dataskyddsförordningen

Lär dig om grunderna i GDPR och vad som gäller vid behandling av personuppgifter.

16 MAR

Molntjänster och tredjelandsöverföringar

Få en genomgång av reglerna för tredjelandsöverföringar vid användning av molntjänster.

23 MAR

Konsekvensbedömning avseende dataskydd

Lär dig att göra en konsekvensbedömning avseende dataskydd i praktiken.