DPG Media fined by the Dutch DPA because of unnecessary requests for IDs of data subjects

The Dutch DPA decided to impose a fine of EUR 525.000 on DPG Media after it became clear that the organisation required data subjects to upload their IDs prior to executing their rights under the GDPR.

DPG Media is a media company that publishes books and magazines. Between May 2018 and January 2019, the Dutch DPA received various complaints about the way DPG Media handled requests from data subjects. Research done by the Dutch DPA showed that DPG media used personal data of customers to develop a digital database of its customers. The company offered two options for data subjects to file requests to access or to have their personal data erased. The common option was for a customer to log in and to file such request through their personal account. There were no complaints filed about this option. All complaints related to the second option. In case customers did not have a personal account then they needed to file requests through an online form, per email or per letter. DPG media required the data subjects to upload their IDs before DPG media would respond to such requests.
 
Legal framework

Recitals 59 and 63 of the GDPR state that a controller should implement measures that enable data subjects to effectively execute their rights. A controller may not make it unnecessarily difficult for a data subject to file requests in order to obtain access to or erase their personal data. Controllers may only act upon request if there are no reasonable doubts concerning the identity of a data subject, article 12(2) GDPR. The verification process must be structured in such a way that a controller only processes personal data that is adequate, relevant and limited to what is necessary in order to complete the verification. Furthermore, a controller must implement all necessary technical and organisational security measures in order to comply with article 32 GDPR.
 
Findings Dutch DPA

The Dutch DPA is of the opinion that requesting IDs is unnecessary if there are other ways in which a controller is able to verify the identity of a data subject. Processing IDs is risky as IDs contain sensitive pieces of personal data. Furthermore, this verification could easily be bypassed if someone were to upload or send an ID belonging to someone else. The Dutch DPA acknowledges that a controller may ask for additional information if there are concerns about the identity of the data subject. However, controllers should always consider whether the additional information is relevant and necessary with regard to the purpose of the processing.
 
It was standard practice to ask for IDs. Not only in cases where DPG Media had reasonable doubts concerning the identity of data subjects. The Dutch DPA reproaches DPG Media that it did not investigate whether other identifiers were available at hand. Only if the personal data in the customer database did prove to be insufficient, asking for additional documents or information would be deemed allowable. The main issue was that the verification process did not justify the processing of IDs as the latter contain sensitive categories of personal data. In case organisations decide to process IDs, they must inform the data subject on how to cover up parts of the ID that contain these sensitive categories of personal data.
 
The infringement of article 12 GDPR amounts to a fine of category III of the Dutch DPA fining policy rules. This means that the Dutch DPA is allowed to impose a fine of at least EUR 300.000 or at most EUR 750.000. In this case, the fine amounted to EUR 525.00. As of now, DPG media has stopped this infringement of the GDPR. Data subjects now receive an email that verifies the identity of the data subject. The Dutch DPA is of the opinion that DPG Media has adequately resolved this matter.
 
Conclusion

Organisations need to make sure that the personal data processed is adequate, relevant and limited to what is necessary with regard to the purpose of the processing. Be aware that asking for IDs, passports or driving licenses cannot be standard practice. It is only allowed if the data subject is informed about covering up parts of the documentation and if the processing is necessary to verify the data subject. There must be no other means available, that are less intrusive, to effectively verify the identity of a data subject.

Dutch

DPG Media krijgt boete opgelegd van de AP vanwege onnodig verwerken identiteitsbewijzen

De Autoriteit Persoonsgegevens ("AP") heeft een boete opgelegd van EUR 525.000 aan DPG Media. Uit onderzoek bleek dat betrokkenen hun identiteitsbewijzen moesten uploaden of versturen voordat hun verzoek om inzage of verzoek tot verwijdering in behandeling werd genomen.
 
DPG media is een mediahuis en publiceert onder andere boeken en magazines. Het bedrijf stelde een database samen van al haar klanten. Vanaf mei 2018 tot en met januari 2019 ontving de AP verschillende klachten over de gegevensverwerking van DPG Media. Betrokkenen klaagden vooral over de verplichting om een kopie van een identiteitsbewijs te uploaden of te versturen naar DPG Media voordat ze hun rechten konden uitoefenen. Betrokkenen konden op twee manieren hun rechten uitoefenen. Een mogelijkheid bestond uit het inloggen in de online omgeving van DPG Media waarna een betrokkene een verzoek tot inzage of verwijdering kon indienen. De andere mogelijkheid bestond eruit om zonder account dergelijke verzoeken via een online formulier, per e-mail of per brief in te dienen. Meerdere betrokkenen beklaagden zich over deze tweede mogelijkheid.
 
Juridisch kader

Overwegingen 59 en 63 AVG schrijven voor dat een verwerkingsverantwoordelijke betrokkenen de mogelijkheden moet bieden om hun rechten uit te oefenen. Hij mag het niet onnodig moeilijk maken voor betrokkenen om hun rechten uit te oefenen. In artikel 12(2) AVG staat dat verwerkingsverantwoordelijke de identiteit van een betrokkene moet kunnen vaststellen voordat inzage kan worden verleend of gegevens verwijderd kunnen worden. Het verificatieproces moet zo zijn ingericht dat de verwerkte persoonsgegevens daadwerkelijk relevant en beperkt zijn tot wat strikt noodzakelijk is voor de doeleinden waarvoor de gegevens worden gebruikt. Hiervoor geldt dat de verwerkingsverantwoordelijke ook adequate beveiligingsmaatregelen moet instellen om te voldoen aan de beveiligingsverplichting uit artikel 32 AVG.
 
Bevindingen van de AP

De AP is van mening dat het verzamelen van identiteitsbewijzen niet noodzakelijk is wanneer een verwerkingsverantwoordelijke andere mogelijkheden heeft om de identiteit van betrokkenen te verifiëren. Bovendien kon het proces gemakkelijk omzeild worden door een identiteitsbewijs van een ander person te uploaden. De AP erkende dat verwerkingsverantwoordelijken om extra informatie mogen vragen als ze twijfels hebben over de identiteit van een betrokkene. Hierbij moeten verwerkingsverantwoordelijken wel altijd goed nagaan of de persoonsgegevens noodzakelijk zijn voor het verificatieproces.
 
DPG Media vroeg standaard om identiteitsbewijzen en niet alleen wanneer redenen bestonden om te twijfelen aan de identiteit van een betrokkene. De AP verwijt DPG Media dat het bedrijf geen gebruik maakte van andere identifiers, zoals e-mailadressen of telefoonnummers. Doordat er minder ingrijpende mogelijkheden bestonden om het verificatieproces uit te voeren, kon het door DPG Media ingerichte proces niet door de beugel. Identiteitsbewijzen bevatten gevoelige persoonsgegevens. Vandaar dat veel organisaties betrokkenen erop wijzen om hun identiteitsbewijzen alleen afgeschermd te verstrekken.
 
De overtreding van artikel 12 AVG valt in categorie III van de boetebeleidsregels van de AP. Dat betekent dat de AP een boete kan opleggen tussen EUR 300.000 en EUR 750.000. Uiteindelijk werd een boete van EUR 525.000 opgelegd. Momenteel heeft DPG Media het beleid aangepast en handelt nu in overeenstemming met de AVG.
 
Conclusie

Organisaties moeten altijd nagaan of persoonsgegevens noodzakelijk en relevant zijn met het oog op het verwerkingsdoeleinde. Mocht een organisatie ervoor kiezen om identiteitsbewijzen, paspoorten en rijbewijzen te verwerken dan mag dat niet zomaar de standaardprocedure zijn. Er mogen geen andere minder ingrijpende maatregelen beschikbaar zijn om een betrokkene te identificeren. Bovendien moeten deze documenten gedeeltelijk worden afgeschermd, zodat alleen de benodigde persoonsgegevens verwerkt worden.