Szwedzki organ nadzoru (Integritetsskyddsmyndigheten) wydał ostatnio decyzję w sprawie stosowania uciążliwej metody weryfikacji tożsamości, w sytuacji gdy osoby, których dane dotyczą, żądały usunięcia danych.
Kontekst sprawy
Siedem osób skontaktowało się indywidualnie z szwedzką firmą CDON AB („administrator”), w celu złożenia wniosku o usunięcie danych. Administrator odpowiedział, że do rozpatrzenia wniosku potrzebne są szczegółowe informacje, takie jak: data urodzenia, adres, numer klienta, szczegóły dotyczące ostatnich zakupów, np. numer zamówienia, oraz szczegóły dotyczące metody płatności, w tym ostatnie cztery cyfry numeru karty kredytowej w przypadku płatności kartą. Kilka osób, których dane były objęte wnioskiem, zgłosiło, że nie mogły dostarczyć wszystkich żądanych informacji, ponieważ ich zakupy miały miejsce dawno temu. W związku z tym te 7 osób niezależnie złożyło skargi do szwedzkiego organu nadzorczego.
Argumenty administratora
Administrator w odpowiedzi na skargi argumentował, że imiona i nazwiska oraz adresy e-mail osób, których dane dotyczą, nie były wystarczające do zapewnienia rzetelnej weryfikacji tożsamości osoby, której dane dotyczą. W związku z tym zażądał dodatkowych informacji od osób, których dane dotyczą, zgodnie z art. 12 ust. 6 RODO. Administrator oświadczył również, że potraktował skargi bardzo poważnie i od tego czasu dokonał przeglądu i ułatwił proces identyfikacji, tak aby osoby, których dane dotyczą, musiały odpowiedzieć tylko na jedno z dwóch pytań zabezpieczających, oraz zaoferował osobie, której dane dotyczą, skontaktowanie się z obsługą klienta i zadanie alternatywnych pytań zabezpieczających w celu weryfikacji tożsamości w przypadku, gdy osoba, której dane dotyczą, nie chce lub nie może odpowiedzieć na pytania podstawowe. Ponadto administrator oświadczył, że automatycznie usuwa profile klientów w zależności od obowiązków wynikających z prawa konsumenckiego w różnych krajach, na przykład w Szwecji po trzech latach. Administrator potwierdził tym samym, że wszystkie dane osobowe osób, których dane dotyczą, zostały usunięte.
Stanowisko organu nadzorczego
Organ ochrony danych nie rozpatrzył dwóch z siedmiu skarg. Administrator nie mógł bowiem zweryfikować daty otrzymania lub przetworzenia tych wniosków o usunięcie danych, ponieważ od złożenia skarg minęło kilka lat. Ponadto, ponieważ administrator potwierdził, że nie przetwarza już danych osobowych tych dwóch osób, których dane dotyczą, organ ochrony danych nie znalazł powodu do dalszego badania tych skarg.
W odniesieniu do pozostałych pięciu skarg organ ochrony danych najpierw ocenił, czy administrator miał uzasadnione podstawy, aby wątpić w tożsamość osób, których dane dotyczą. Organ ochrony danych wskazał, że zgodnie z art. 12 ust. 6 RODO można zażądać dodatkowych informacji, jeżeli administrator ma uzasadnione podstawy, aby wątpić w tożsamość osób których dane dotyczą, ale najpierw musi przeprowadzić ocenę proporcjonalności. Organ ochrony danych stwierdził, że losowe żądanie danych do celów identyfikacji bez oceny czy dane te są niezbędne, narusza art. 12 ust. 6 RODO oraz zasadę minimalizacji danych na mocy art. 5 ust. 1 lit. c) RODO.
Następnie organ nadzorczy zbadał, czy żądane informacje były niezbędne do potwierdzenia tożsamości osób, których dane dotyczą. Organ stwierdził, że administrator nie dostarczył wystarczających wyjaśnień, aby stwierdzić, że dodatkowe informacje, których zażądał, były niezbędne do takiego potwierdzenia. W związku z tym organ ochrony danych skonstatowano, że administrator naruszył art. 5 ust. 1 lit. c) RODO i art. 12 ust. 6 RODO. Ponadto stwierdził, że administrator zastosował uciążliwą metodę weryfikacji, żądając podania danych bez uzasadnienia, na przykład prosząc o podanie numeru i ceny ostatniego zamówienia, nawet gdy miało ono miejsce dawno temu. Organ ochrony danych uznał, że administrator nie ułatwił wykonywania praw osób, których dane dotyczą, naruszając tym samym art. 12 ust. 2 RODO.
W dalszym kroku zbadano obecną praktykę administratora w zakresie rozpatrywania wniosków o usunięcie danych, ponieważ administrator dokonał przeglądu swoich procedur od 2018 r., kiedy to wpłynęły skargi. Organ uznał, że istniejąca procedura nie jest nieproporcjonalna, a tym samym nie narusza RODO.
Biorąc powyższe pod uwagę, organ ochrony danych stwierdził, że incydenty stanowiły drobne naruszenie RODO zgodnie z motywem 148, ponieważ:
- administrator podjął środki w celu ułatwienia wykonywania praw osób, których dane dotyczą, wynikających z RODO i zmienił swoją praktykę w celu zapewnienia zgodności z RODO,
- stwierdzone naruszenia miały miejsce stosunkowo dawno temu i
- administrator nie naruszał wcześniej RODO.
W związku z tym organ ochrony danych udzielił administratorowi upomnienia za naruszenie art. 5 ust. 1 lit. c) RODO, art. 12 ust. 2 RODO i art. 12 ust. 6 RODO.
Jaka powinna wyglądać procedura weryfikacji tożsamości?
Decyzja szwedzkiego organu nadzorczego pokazuje, że procedura realizacji praw podmiotów danych w zakresie weryfikacji ich tożsamości nie może być nazbyt uciążliwa i skomplikowana. Administrator, który weryfikuje tożsamość podmiotu danych, może żądać danych jedynie w niezbędnym i proporcjonalnym zakresie.
Źródło:
https://www.imy.se/contentassets/f39369db91244bf9a5ed651749d27fc7/beslut-tillsyn-cdon.pdf