Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 100 000 euro mot Orange Espagne för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade köpt en mobiltelefon från telefonbolaget Orange via internet. Orange (den personuppgiftsansvarige) lade å sin sida ut leveransen av produkten på entreprenad till företaget General Logistics Systems Spain (personuppgiftsbiträdet) och bestämde genom avtal att ett foto av fram- och baksidan av konsumentens identitetshandling skulle tas i kontrollsyfte. Efter att den registrerade tagit emot produkten och lämnat en kopia av sin legitimation till en anställd hos General Logistics, skickade den registrerade in ett klagomål till AEPD mot Orange. Som svar hävdade Orange att fotot var nödvändigt för att fullgöra det avtal som den registrerade ingått med företaget. Orange skickade också ett e-postmeddelande till den registrerade där företaget informerade den registrerade om att fotot av dokumentet skulle begäras vid leveranstillfället av säkerhetsskäl.
AEPD betraktade General Logistics som personuppgiftsbiträde och Orange som personuppgiftsansvarig, eftersom Orange anlitade General Logistics för att leverera mobiltelefoner och fotografera kundernas ID-handlingar, vilket fastställde för vilka ändamål och på vilket sätt personuppgifterna behandlades. AEPD ansåg att Orange haft ett behov av att garantera att mottagaren av produkten är samma person som köpte den, och konstaterade också att kampen mot bedrägerier är ett legitimt intresse, särskilt när det gäller transaktioner på nätet. AEPD påminde dock om att det enligt dataskyddsförordningen krävs att varje ingrepp i den grundläggande rätten till dataskydd ska vara adekvat, nödvändigt, relevant och begränsat till vad som är nödvändigt för att uppnå det syfte för vilket personuppgifterna samlades in.
I det aktuella fallet avslöjar ett foto av ID-handlingens fram- och baksida inte bara mottagarens för- och efternamn, utan även dennes underskrift, adress, födelseort och födelsedatum, foto, handlingens utfärdande- och giltighetsdatum samt dess alfanumeriska kod. Enligt AEPD är dessa uppgifter varken adekvata eller relevanta för syftet med leveransen av varorna. Dessutom finns det mindre invasiva metoder för att se till att produkten levereras till rätt person. Dataskyddsförordningen skiljer mellan tidpunkten för leverans av produkten och tidpunkten för ingående av avtalet, då den personuppgiftsansvarige måste kunna bekräfta identiteten hos den person som ingår avtalet. Om transaktionen är korrekt utförd bör det enligt AEPD inte vara några svårigheter att bevisa att mottagaren av produkten är samma person som ingick avtalet. Mot denna bakgrund ansåg AEPD att Orange agerat i strid med principen om uppgiftsminimering i artikel 5.1 (c) GDPR och krav på rättslig grund enligt artikel 6.1 (b) GDPR.
TechLaw bistår verksamheter i frågor som rör identitetskontroll, registrerades rättigheter och dataskydd. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.
Källa: AEPD.