Det är tillåtet för företag att begära mer information för att styrka identiteten när registrerade vill utöva en rättighet enligt GDPR. I GDPR står det inte exakt hur ett företag ska utföra identifieringen. Istället ska företaget göra en egen bedömning utifrån omständigheterna i det enskilda fallet.
Att styrka identiteten när registrerade vill utöva en rättighet enligt GDPR
När ett företag har ett rimligt skäl för att tvivla på om identiteten är korrekt när en person begär att få en av sina rättigheter enligt GDPR tillgodosedd, har företaget rätt att begära kompletterande information. Ett exempel på när ett företag kan tvivla på identiteten är om en person har ett användarkonto till företagets tjänst med en registrerad e-postadress, men skickar in begäran från en annan e-postadress.
Minimera risken för att någon obehörig får tillgång till personuppgifter
Om ett företag utlämnar personuppgifter på en begäran, men till en annan person än den personuppgifterna tillhör, utgör det en personuppgiftsincident. Företag ska förebygga personuppgiftsincidenter genom olika tekniska och organisatoriska åtgärder. Därför kan det vara lämpligt att först styrka identiteten på den som gör begäran om utlämnande.
Det ska vara proportionerligt
Observera att företag inte får behandla fler personuppgifter än nödvändigt för ändamålet. Det måste vara proportionerligt. Därför behöver det inte innebära att ett företag måste begära en kopia på ett pass för att identifiera en person. Detta eftersom det kan innebära en säkerhetsrisk. Däremot kan det vara lämpligt i vissa fall. Företag måste tänka på att kunna motivera sina beslut om de är betungande. Med andra ord, motivera till exempel varför det är strikt nödvändigt att begära en ID-handling.
Utför en proportionalitetsbedömning
För att ett företag ska kunna veta vilken information som är nödvändig för syftet gällande identifieringen, ska företaget först göra en proportionalitetsbedömning. Där ska företaget bland annat analysera vilka konsekvenser som behandlingen kan få för den registrerade. Dessutom ska företaget väga in vilka typer av personuppgifter som behandlingen avser. Om behandlingen rör känsliga personuppgifter, kan företaget behöva vidta fler åtgärder för att säkerställa identiteten hos mottagaren, så att informationen inte delges till någon obehörig.
Kräva ID-handling för identifiering av en registrerad
I vissa fall har företag rätt att kräva en kopia av en ID-handling vid identifiering, när den registrerade vill få en rättighet tillgodosedd. Däremot är det inte alltid tillåtet, eftersom det kan utgöra en säkerhetsrisk. För att vara tillåtet, bör det både vara strikt nödvändigt och ha stöd i en lag.