Har en virksomhet rett til å kontrollere legitimasjonen min?
Hvis en butikk/et utested selger varer som har aldersgrense, kan butikken/utestedet ha både en rett og plikt til å undersøke legitimasjon for å sikre at varene ikke selges til mindreårige.
I andre sammenhenger trenger virksomheten å vite hvem du er, for eksempel når et apotek trenger å vite at de leverer reseptbelagte varer til rett person.
Når gjelder personvernregelverket ved kontroll av legitimasjon?
Personvernregelverket gjelder bare helt eller delvis automatisert behandling av personopplysninger eller ved ikke-automatisert behandling av personopplysninger som skal inngå i et register.
Det vil si at personvernregelverket ikke gjelder når det gjøres en ren visuell sjekk av legitimasjonen, med mindre opplysningene registreres eller legitimasjonskontrollen er helt eller delvis automatisert.
Et eksempel på automatisert behandling vil være scanning av pass på flyplassen. I denne sammenhengen vil personvernregelverket gjelde.
Kan virksomheten registrere og/eller lagre personopplysningene fra legitimasjonen?
Selv om en virksomhet har rett til å gjennomføre legitimasjonskontroll, betyr ikke det at de nødvendigvis har rett til å registrere og/eller lagre personopplysningene også.
For at en virksomhet skal kunne registrere og eventuelt lagre personopplysningene, må det skje på en lovlig måte og ha et lovlig formål.
Det finnes imidlertid noen tilfeller hvor virksomheten kan ha plikt til å registrere personopplysningene fra legitimasjonskontrollen. Eksempler på dette kan være:
- I særskilte tilfeller kan Posten scanne legitimasjonen din i forbindelse med såkalte PUM-sendinger. Dette er en tjeneste som banken eller andre aktører underlagt hvitvaskingsregelverket kan benytte seg av, for eksempel i forbindelse med sending av kodebrikke til BankID.
- Etter hvitvaskingsregelverket er bankene pålagt å lagre en kopi av eventuelle fremlagte legitimasjonsdokumenter. En slik lovpålagt plikt gir da banken et behandlingsgrunnlag etter personvernforordningen.
Hvis virksomheten ikke har en plikt til å lagre opplysningene, skal det mye til før en registrering/lagring av legitimasjon vil være lovlig.
Et eksempel på behandling som i utgangspunktet vil være i strid med personvernreglene, er dersom en ansatt tar bilde av legitimasjonen din selv om virksomheten ikke har plikt til å lagre opplysningene.
Hva kan personopplysningene fra kontrollen brukes til?
Dersom personopplysninger skal registreres og brukes, må virksomheten som nevnt over ha et formål. Uten et spesifikt, uttrykkelig angitt og legitimt formål, kan personopplysningene som hovedregel ikke registreres og brukes.
En ansatt i virksomhet som selger aldersbegrensede varer, kan derfor bare sjekke legitimasjonen for å sikre at aldersbegrensede varer ikke selges til mindreårige. Opplysningene i legitimasjonen kan derimot ikke brukes videre til noe annet.
Alle virksomheter som håndterer kunde- og medlemsopplysninger må derfor ha rutiner for håndteringen av opplysningene, blant annet hvordan ansatte skal bruke (og ikke bruke) opplysninger de får tilgang til.
Les om virksomhetenes plikter
Hva gjør jeg hvis personopplysningene er kommet på avveier og jeg er redd for at de misbrukes?
Vi anbefaler deg å først ta kontakt med virksomheten for å høre om hvordan de behandler personopplysningene dine. Dersom du mistenker brudd på personvernregelverket, kan du starte med å kontakte veiledningstjenesten vår.
Vi har også en egen side om ID-tyveri du kan lese mer på dersom du er redd du har blitt utsatt for det.