Tillbaka till frågor och svar

Identifiering genom BankID

18 maj 2022

Fråga: En anställd hos vår kund kommer att fylla i ett beställningsformulär på vår webbplats. Beställningen ska då signeras med BankID. Kan man i samma ”köpeavtal” lägga med text om hantering av personuppgifter så att när beställaren signerar med BankID så ger de även sitt samtycke?

Problemet med samtycke är att det måste vara frivilligt för att gälla (alltså att det ska gå att beställa utan att samtycka och utan att det får någon påverkan på möjligheten att beställa).

Så om vi gör något i (eller hela) avtalet beroende av att de samtycker, eller hävdar att de samtycker genom avtalet, så får det ingen effekt (annat än att ni troligen bryter mot GDPR vad gäller felaktig laglig grund).

För att backa ett steg och ta det (kanske överdrivet pedagogiskt men det är bra att komma in i rätt tänk tycker vi) i tur och ordning:

Del ”0” – vem är personuppgiftsansvarig här

Rent praktiskt är utgivande bank personuppgiftsansvarig för sin behandling av personuppgifter och ni är personuppgiftsansvarig för er behandling (enskilt personuppgiftsansvariga för era respektive behandlingar). Det sker alltså en överföring av personuppgifter från en personuppgiftsansvarig (banken) till en annan personuppgiftsansvarig (er) varje gång en registrerad väljer att använda sitt BankID i en e-tjänst, som identifiering vid beställning, hos er. Personuppgifter som behandlas är namn, personnummer men även namnet på utgivande bank finns med i ett BankID.

– Så sammanfattningsvis är ni personuppgiftsansvarig för inhämtande av personuppgifterna (där det följer att ni måste bestämma laglig grund (del 1), välja medel för behandlingen (del 2), och informera de registrerade/användarna (del 3) både om er behandling och att uppgifterna förs över till annan personuppgiftsansvarig (banken).

Del 1 – val av laglig grund

Det behövs inte något samtycke för att kräva att de identifierar sig inför en beställning, så länge vi kan hävda att identifieringen är ett nödvändigt moment.

– Exempelvis för att de beställer på faktura eller genom ställningsfullmakt åt någon annan, så att ni inte kan garantera att ni får betalt i slutändan om ni inte kan verifiera vem som beställt.

Förutsatt att det är nödvändigt för att sluta avtal passar den lagliga grunden ”berättigat intresse” bättre.

– Den lagliga grunden berättigat intresse kräver att ni gjort en så kallad ”intresseavvägning”, vilket innebär att ni tagit i beaktande vilka problem och vilken integritetsförlust som det kan betyda för användaren och ansett att dessa faktorer inte väger tyngre än ert intresse av en korrekt identifiering.

  • Kan vara på sin plats att, mycket kortfattat, förklara varför den lagliga grunden ”avtal” inte heller fungerar. Avtalet som det är fråga om här gäller mellan er och personens arbetsgivare, och är inte ett avtal direkt mellan er och den som identifierar sig, vilket krävs för att den lagliga grunden ska vara tillämplig.

Del 2 – val av tillvägagångssätt/medel för behandlingen

Förutsatt att det är ett nödvändigt moment så blir följdfrågan på vilket sätt de ska identifieras. Vad som gäller för det är att man ska använda det medel som innebär lägst integritetsrisk/påverkan, så länge det är jämförbart och rimligt – för uppgiften och med tillåten hänsyn till ekonomi och effektivitet. Med ”medel” avses både tekniska hjälpmedel och vilka faktiska personuppgifter som inhämtas.

– Behöver inte gå på djupet här men med tanke på att det är viktigt med en korrekt identifiering och att BankID anses rätt säkert  ifrågasätter vi inte det valet. Enligt dataskyddslagen, som kompletterar GDPR i Sverige, får personnummer behandlas utan samtycke ”endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.” –  vilket vi bör kunna hävda är fallet här.

Ett exempel där det hade varit överdrivet och svårt att därför försvara, vore att inhämta personnummer och använda BankID för att delta i en prenumeration för ett vanligt nyhetsbrev.

Del 3 – informationsplikt

Ni behöver se till att det antingen är uppenbart varför uppgifterna behövs eller (ännu hellre) rakt ut berätta varför de behöver identifiera sig med BankID för att beställa (exempelvis på samma ställe som där de ombes identifiera sig). Det är alltså, som vi förstår det här, nödvändigt för att identifiera dem, vilket i sin tur är nödvändigt för att ni ska kunna ta betalt från deras arbets-/uppdragsgivare.

Del 4 – gallring

Så fort uppgifterna inte längre behövs bör ni radera dem.

Mycket mera kortfattat och praktiskt:

– Stöd behandlingen på berättigat intresse med det uttalade syftet att identifiera dem för att få betalt från deras uppdragsgivare (det ni ska berätta om där ni ber dem identifiera sig och om de ställer frågor). Bäst hade varit om ni hade någon skrivelse i avtalet mellan er och er kund där det står att deras anställda/beställare måste identifiera sig för att de ska få betala genom faktura.

– Tänk över hur länge ni behöver dessa uppgifter och upphör att behandla dem sen.

Övrigt:

  • En underskrift med BankID faller under betrodda tjänster i eIDAS-förordningen (EU 910/2014) som en avancerad elektronisk underskrift. Förordningen ger en BankID-underskrift en rättslig verkan inom hela EU enligt artikel 25.
  • För finansiella tjänster som faller under andra betaltjänstdirektivet PSD2 (EU 2015/2366), så finns en delegerad förordning med tekniska krav på bl.a. stark kundautentisering (SCA) (EU 2018/389). En BankID-identifiering uppfyller kraven på en stark kundautentisering och en BankID-underskrift uppfyller kraven på dynamisk länkning.
  • Dataskyddslagen (lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning) 10 §: ”Personnummer och samordningsnummer får behandlas utan samtycke endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.”
Svaret på frågan är allmänt beskrivet och ska inte betraktas som rådgivning.

Andra besvarade frågor

Personuppgiftshantering i bokföringen

Fråga: Hur gör man med digital bokföring som finns i SPCS Administration som är äldre än 7 år? Skall de också raderas eller är de bara papperskopior? Om ni stödjer er behandling av personuppgifter som förekommer i bokföringen på den rättsliga förpliktelsen som finns i...

läs mer

Vad säger GDPR om fotografier på kontoret?

Fråga: Vi vill ta bilder på våra medarbetare för att sätta upp på kontoret. Där ska framgå namn och funktion, och var och en blir upplyst om syftet vid fotograferingen. Vad säger lagen om printade fotografier i kontorsytan? GDPR reglerar inte bilder/foton på något...

läs mer

Skicka in din fråga till oss

Ställ fråga - fråga och svar-funktionen på hemsidan
Var vänlig och ange inte personuppgifter i din fråga utan ställ den så anonymiserad som det bara går. Tack!
Information om personuppgiftsbehandling *