Tech Blog

Brott mot GDPR att kräva av en individ att denne ska posta uppgifter vid utövande av rätten till tillgång

En av de grundläggande rättigheterna som individer har enligt GDPR är att få tillgång till sina personuppgifter. Detta kallas ibland för registerutdrag.

Den 16 februari 2022 fattade Integritetsskyddsmyndigheten (IMY) beslut i ett tillsynsärende på temat. IMY ansåg att Nordnet behandlat personuppgifter i strid med GDPR. Nordnet hade krävt att personer vid begäran om tillgång skulle skicka in uppgifter för att styrka sina identiteter genom vanlig postgång.

Enligt GDPR artikel 12.2 ska den personuppgiftsansvarige underlätta utövandet av den registrerades rättigheter. IMY konstaterar att den personuppgiftsansvarige får begära ytterligare information som är nödvändig, om den personuppgiftsansvarige har rimliga skäl att betvivla identiteten hos den person som lämnar in en begäran. Vidare skriver IMY att det endast i undantagsfall kan godtas att en personuppgiftsansvarig som enda kontaktväg hänvisar enskilda till vanlig postgång om de måste lämna in uppgifter för att deras identiteter ska kunna säkerställas.

Utgångspunkten bör enligt IMY vara att alternativa sätt att skicka in begärda uppgifter ska erbjudas. Om den personuppgiftsansvarige exempelvis redan har digitala kontaktvägar som innebär verifiering – såsom många personuppgiftsansvariga har i form av exempelvis kundportaler, meddelandecentraler eller s.k. ”Mina sidor” etc. för annan kundkommunikation – kan det ifrågasättas varför de enskilda utan särskild motivering ska mötas av en mer otymplig hantering när de utövar sina rättigheter enligt GDPR.

Enligt IMY har det i Nordnets fall inte framkommit några omständigheter som gjort det försvarbart att kräva att klaganden skulle skicka de begärda uppgifterna till bolaget via vanlig postgång. Vid en sammantagen bedömning av alla omständigheter, bl.a. att bolaget vid tidpunkten för klagomålen hade en digital tjänst genom en meddelandecentral för övrig kundkommunikation med krav på identifiering, anser IMY att Nordnet agerat i strid med GDPR artikel 12 genom att kräva av de registrerade att de ska posta uppgifterna till bolaget vid utövande av rätten till tillgång.

IMY gav Nordnet en reprimand enligt GDPR artikel 58.2 b för överträdelse av artikel 12.2. Tillräckligt allvarligt för att besluta om sanktionsavgifter ansåg IMY alltså inte att brottet mot GDPR var.