Vahvan tunnistautumisen vaatiminen tarkastuspyynnön yhteydessä oli perusteltua

Rekisterinpitäjä edellytti vahvaa tunnistautumista

Tietosuojavaltuutettu hylkäsi rekisteröidyn valituksen tapauksessa, jossa pankkipalveluja tarjoava yhtiö oli pyytänyt rekisteröityä tunnistautumaan vahvasti ennen tarkastuspyynnön toteuttamista. Rekisteröity oli pyytänyt saada tutustua omiin henkilötietoihinsa sähköpostitse ja toimittanut tunnistetietoina nimensä, sähköpostiosoitteensa ja puhelinnumeronsa. Rekisterinpitäjä oli kuitenkin edellyttänyt pyynnön tekemistä turvaviestipalvelun kautta, johon kirjaudutaan vahvalla sähköisellä tunnistautumisella.

Tietosuojavaltuutettu piti tunnistautumisvaatimusta perusteltuna

Tietosuojavaltuutettu katsoi, että rekisterinpitäjällä oli GDPR:n mukainen perusteltu syy pyytää lisätietoja rekisteröidyn henkilöllisyyden varmistamiseksi, koska kyse oli pankki- ja rahoituspalveluista sekä taloudellista asemaa koskevista luottamuksellisista henkilötiedoista. Päätöksessä korostettiin, että rekisterinpitäjän tulee arvioida tunnistamisen tarvetta suhteessa käsiteltävien tietojen sensitiivisyyteen ja siihen riskiin, että tiedot voisivat päätyä ulkopuolisille henkilöille. Pelkän nimen, sähköpostiosoitteen ja puhelinnumeron ei katsottu tässä tapauksessa olevan riittävä tunnistautumiskeino.

Tietojen sensitiivisyys vaikuttaa tunnistautumisvaatimuksiin

Rekisterinpitäjien tuleekin huomioida, että rekisteröidyn oikeuksien toteuttamisen yhteydessä on arvioitava tapauskohtaisesti sekä tietojen suojaamisen että sujuvan asioinnin vaatimuksia. Erityisesti arkaluonteisia tai taloudellista asemaa koskevia tietoja käsittelevien organisaatioiden kannattaa dokumentoida selkeät käytännöt siitä, milloin vahvaa tunnistautumista edellytetään ja millä perusteilla. Jos tiedot eivät ole arkaluonteisia, ei välttämättä ole perusteltua vaatia vahvaa tunnistautumista tai henkilöllisyystodistuksen esittämistä tietopyynnön toteuttamiseksi.

Teksti: Erika Leinonen, Counsel, [email protected]