Ett svenskt bolag som tillhandahåller placeringstjänster har brutit mot dataskyddsförordningen (GDPR) när bolaget inte underlättade användningen av de registrerades rättigheter tillräckligt. Bolaget har enligt Tietosuojavaltuutetun toimisto (Dataombudsmannens byrå) bett sina kunder att skicka uppgifter som verifierar deras identitet per post trots att bolaget även hade en digital kanal som var lämplig för ändamålet.
Bakgrunden till ärendet är två klagomål som Dataskyddsombudsmannens byrå tagit emot över bolagets identifieringspraxis. Ärendet behandlades av europeiska dataskyddsmyndigheter i gränsöverskridande samarbete där den finska dataombudsmannens byrå deltog som en deltagande tillsynsmyndighet.
Beslutet gavs av den svenska dataskyddsmyndigheten (Integritetsskyddsmyndigheten, IMY) i egenskap av ledande tillsynsmyndighet. Även den norska och den danska tillsynsmyndigheten deltog i ärendets behandling.
Enligt beslutet kan den personuppgiftsansvarige endast i undantagsfall erbjuda vanlig post som den enda kontaktkanalen för att lämna in uppgifter som behövs för verifiering av identitet. Detta kan vara motiverat till exempel av säkerhetsskäl. I regel bör den personuppgiftsansvarige erbjuda alternativa sätt att lämna in uppgifter.
För övriga kundkontakter hade bolaget i det aktuella ärendet haft en digital tjänst med identifieringsfunktioner. Dataskyddsmyndigheterna ansåg att om den personuppgiftsansvarige har en digital kontaktkanal där identiteten kan verifieras ska man inte utan särskild grund kräva att kunden ska använda ett svårare sätt för att tillgodose sina dataskyddsrättigheter.
Enligt beslutet har det inte kommit fram något sådant bevis i ärendet på grund av vilket bolaget skulle ha rätt att be kunderna att skicka uppgifterna per post. IMY gav bolaget en anmärkning för förfarande i strid med dataskyddsförordningen.
Bolaget har meddelat att uppgifterna nuförtiden tas emot via kundtjänstkanalen på webben på samma sätt som andra kundkommunikationer som kräver identifiering.