Integritetsskyddsmyndigheten (IMY) utfärdar en reprimand mot Lensway Group AB för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att två registrerade haft en kundrelation med Lensway (den personuppgiftsansvarige). I februari och juni 2020 begärde de registrerade radering av sina uppgifter. För att tillmötesgå begäran krävde den personuppgiftsansvarige att de registrerade, via vanlig post, skulle tillhandahålla en kopia av en identitetshandling och ett skriftligt och undertecknat formulär. I ett fall även den registrerades personnummer.
De registrerade lämnade in klagomål till tillsynsmyndigheterna i Finland och Danmark, som överlämnade klagomålen till Integritetsskyddsmyndigheten (IMY) i enlighet med artikel 56 GDPR i egenskap av ledande tillsynsmyndighet.
I sitt försvar uppgav den personuppgiftsansvarige att företaget inte kunde identifiera de registrerade på annat sätt. Att begära identitetshandlingar var därför nödvändigt för att uppfylla begäran om radering. Den personuppgiftsansvarige tillade att användningen av vanlig post var nödvändig för att säkerställa att de fick den skriftliga originaldokumentationen.
Eftersom klagomålen var riktade mot samma personuppgiftsansvarig förenade IMY dessa. IMY började med att påminna om att den personuppgiftsansvarige enligt artikel 12.2 GDPR måste underlätta utövandet av den registrerades rättigheter och att den personuppgiftsansvarige enligt artikel 12.6 GDPR kan begära ytterligare information för att bekräfta den registrerades identitet om den har rimliga tvivel.
IMY bedömde först om den personuppgiftsansvarige i dessa två fall hade rimliga skäl att tvivla på de registrerades identitet. IMY ansåg att det inte var helt klart vilken information de registrerade hade lämnat i sin begäran. Företagets tvivel om de registrerades identitet var därför rimliga.
För det andra undersökte IMY sedan nödvändigheten av den ytterligare information som den personuppgiftsansvarige begärt för att undanröja sådana tvivel. Med hänsyn till kundrelationen mellan de registrerade och den personuppgiftsansvarige ansåg IMY att den personuppgiftsansvarige i detta fall inte kunde kräva fler personuppgifter än de som efterfrågades när kundrelationen upprättades. IMY hänvisade också till EDPB:s riktlinjer om rätten till tillgång som anger att användningen av en identitetshandling som en del av en autentiseringsprocess bör anses vara olämplig om den inte är absolut nödvändig enligt nationell lag. I detta fall ansåg IMY att andra mindre ingripande metoder kunde ha varit tillräckliga för att identifiera de registrerade. Till exempel att använda kontrollfrågor eller att kräva att den registrerade loggar in på den personuppgiftsansvariges webbplats.
Slutligen analyserade IMY huruvida det var förenligt med artikel 12.2 GDPR att begära att de registrerade skulle skicka sin information med vanlig post. IMY ansåg att användningen av vanlig post kan vara motiverad av säkerhetsskäl. I detta fall, förutsatt att identitetshandlingarna inte var nödvändiga, drog IMY emellertid slutsatsen att den personuppgiftsansvarige inte underlättade utövandet av de registrerades rättigheter.
Med hänsyn till att överträdelserna inträffade långt tillbaka i tiden, endast påverkade två registrerade och att den personuppgiftsansvarige under tiden slutade att begära kopior av identitetshandlingar och skriftliga formulär, ansåg IMY att detta utgjorde en mindre överträdelse och utfärdade en reprimand.