Vedtaket kommer etter at Datatilsynet behandlet en klage fra en person som prøvde å bruke retten sin til innsyn og sletting hos Norwegian Air Shuttle ASA. Virksomheten krevde at vedkommende la frem en kopi av gyldig legitimasjon for å kunne utøve rettighetene sine. Vi konkluderte med at fremgangsmåten med å alltid kreve legitimasjon, var i strid med loven, og fattet vedtak om irettesettelse til selskapet. Saken er avsluttet fra vår side.

Irettesettelse er en reaksjon som har til formål å markere kritikk av de omtalte bruddene på personvernreglene.

Verifisering av identitet må være forholdsmessig

Når noen bruker rettighetene sine etter personvernregelverket, for eksempel ber om innsyn, retting eller sletting, må virksomheter først vurdere om de har med rett person å gjøre. Dette er viktig for å for eksempel unngå at personopplysninger utleveres til feil person.

Samtidig har ikke virksomheter uten videre lov til å be om legitimasjon eller mer informasjon for å bekrefte identiteten til vedkommende. Loven sier imidlertid at virksomheten kan gjøre dette hvis de kan påvise at det rimelig tvil om hvem personen er, for eksempel hvis en person på telefon ber om innsyn og virksomheten er usikker på om den som snakker er rett person.

Ofte foreligger det allerede mekanismer som gjør en virksomhet i stand til å sikre at de kommuniserer med rett person, for eksempel gjennom egnede påloggingsløsninger. Men dersom virksomheten har rimelig tvil og trenger mer informasjon for å bekrefte noens identitet, er det viktig at de ikke ber om flere opplysninger enn det som er nødvendig og forholdsmessig. Det følger av det såkalte dataminimeringsprinsippet. 

Mangel på vurdering

I denne saken hadde ikke Norwegian Air Shuttle ASA foretatt en vurdering av hvorvidt det faktisk var rimelig tvil om personens identitet. Selskapet ba dessuten om mer informasjon enn det som var nødvendig for å bekrefte vedkommendes identitet, ved at de ba om en usladdet kopi av legitimasjonen til vedkommende, inkludert bilde. Denne praksisen innebar behandling av overskuddsinformasjon, og gjorde det unødvendig vanskelig for vedkommende å utøve rettighetene sine etter personvernforordningen.

Norwegian Air Shuttle ASA har utvist god samarbeidsvilje i behandlingen vår av klagesaken, og de har ryddet opp i problemet som ble identifisert.   

Europeisk samarbeid i saksbehandlingen

Som internasjonalt flyselskap behandler Norwegian Air Shuttle ASA personopplysninger om personer fra mange steder i Europa. Selskapet har hovedkontor i Norge, og vi har derfor behandlet saken i samarbeid med andre europeiske tilsynsmyndigheter gjennom den såkalte samarbeidsmekanismen i personvernforordningen. Som ledende tilsynsmyndighet har vi hatt hovedansvaret for å undersøke, behandle og fatte vedtak i saken.