Det er tilladt for virksomheder at anmode om flere oplysninger for at bevise identitet, når registrerede ønsker at udøve en rettighed i henhold til GDPR. GDPR præciserer ikke præcist, hvordan en virksomhed skal foretage identifikationen. Virksomheden skal i stedet foretage sin egen vurdering på grundlag af omstændighederne i den enkelte sag.
Bevis for identitet når registrerede ønsker at udøve en rettighed i henhold til GDPR
Når en virksomhed har rimelig grund til at betvivle nøjagtigheden af identiteten, når en person anmoder om at få en af sine rettigheder i henhold til GDPR, har virksomheden ret til at anmode om yderligere oplysninger. Et eksempel på, hvornår en virksomhed kan betvivle identiteten, er, hvis en person har en brugerkonto til virksomhedstjenesten med en registreret e-mailadresse, men sender anmodningen fra en anden e-mailadresse.
Minimere risikoen for uautoriseret adgang til personoplysninger
Hvis en virksomhed videregiver personoplysninger efter anmodning, men til en anden person end den, som personoplysningerne tilhører, udgør det et brud på persondatasikkerheden. Virksomhederne skal forebygge brud på persondatasikkerheden ved hjælp af forskellige tekniske og organisatoriske foranstaltninger. Det kan derfor være hensigtsmæssigt først at bevise identiteten af den person, der fremsætter anmodningen om videregivelse.
Den skal være forholdsmæssig:
Bemærk, at virksomhederne ikke må behandle flere personoplysninger end nødvendigt til formålet. Den skal være forholdsmæssig. Den kræver derfor ikke nødvendigvis, at et selskab anmoder om en kopi af et pas for at kunne identificere en person. Det skyldes, at det kan udgøre en sikkerhedsrisiko. Det kan dog være hensigtsmæssigt i visse tilfælde. Virksomhederne skal kunne begrunde deres beslutninger, hvis de er byrdefulde. Med andre ord f.eks. begrunde, hvorfor det er strengt nødvendigt at anmode om et identitetsdokument.
Foretage en proportionalitetsvurdering
For at gøre det muligt for en enhed at vide, hvilke oplysninger der er nødvendige med henblik på identifikation, skal enheden først foretage en proportionalitetsvurdering. Den vil bl.a. analysere de mulige konsekvenser af behandlingen for den registrerede. Desuden skal virksomheden tage hensyn til de typer personoplysninger, som behandlingen vedrører. Hvis behandlingen vedrører følsomme personoplysninger, kan virksomheden være nødt til at træffe flere foranstaltninger for at sikre modtagerens identitet, således at oplysningerne ikke deles med nogen uautoriseret person.
Kræve et identitetsdokument til identifikation af en registreret
I nogle tilfælde har virksomheder ret til at kræve en kopi af et ID-dokument efter identifikation, når den registrerede ønsker at opnå en rettighed. Det er dog ikke altid tilladt, da det kan udgøre en sikkerhedsrisiko. For at være tilladt bør den være både strengt nødvendig og understøttet af en lov.
