Det var inte tillåtet att begära ID-handling för att verifiera användare enligt den Nederländska dataskyddsmyndigheten. Användare hade begärt att få veta vilka personuppgifter som företaget behandlade om dem, vilket är en rättighet enligt GDPR. Företaget begärde därför att få en kopia på ID-handling för att kunna verifiera att det är korrekt person som begär åtgärden ifråga. Användarna hade tidigare fått annonser från företaget eller var prenumeranter.
Ett företag har rätt att verifiera personer som begär att få veta vilken information företaget behandlar om personen eller få information raderat. Men i detta fall ansåg dataskyddsmyndigheten att företaget hade begärt kopior av ID-handlingar i onödan.
Inte tillåtet att företaget begärde ID-handling för att verifiera användare
Företaget kunde ha informerat om att användarna ifråga kunde redigera bilden på ID-handlingen, så att oväsentlig information inte skulle framgå. Företag bör inte begära ID-handlingar för en sådan verifikation, eftersom det inte brukar vara nödvändigt. Med andra ord kan det innebära att företaget begär för mycket personuppgifter, i förhållande till syftet. Dessutom var det för komplicerat för användarna att få sina personuppgifter raderade, som är en rättighet enligt GDPR.
Företaget som detta ärendet handlar om har numera ändrat sina rutiner och begär ett verifikationsmejl istället för att begära ID-handling vid förfrågan om radering av personuppgifter. Därför bryter de inte längre mot GDPR. Konsekvensen för överträdelsen mot GDPR blev en sanktionsavgift som uppgick till 525 000 euro. Däremot har företaget överklagat beslutet.
