Suprotno temeljnom načelu GDPR-a iz naslova ovog posta je vrlo često ponašanje organizacija da uzimaju osobne podatke na način "kako su oduvijek to radile" ili "jer bi im tako bilo zgodno".
Govorimo to iz stvarnog iskustva s terena, svaki dan imamo kontakte s više pravnih subjekata koji nas mole za savjet.
Jedan takav slučaj "jer bi im tako bilo zgodno" dogodio se i u Španjolskoj.
Zabavni park s trampolinima tražio je od svojih posjetitelja da prilikom rezervacije termina daju ime i prezime, broj osobnog dokumenta, adresu, telefonski broj, email adresu, datum rođenja i fotografiju.
Stvarno previše.
Fotografiju su opravdavali olakšavanjem identifikacije pojedinca. Nadzorno je tijelo tu imalo osnovni prigovor.
Mi bismo osporili i uzimanje broja osobnog dokumenta jer ne shvaćamo potrebu za njim, kao i istovremeno uzimanje email adrese i telefonskog broja jer je dovoljan samo jedan podatak za kontakt u slučaju promjene termina.
Datum rođenja također ne bismo prihvatili, dovoljan je samo podatak o godinama kako bi se eventualno dozvolilo korištenje trampolina prilagođenog djeci.
Španjolsko nadzorno tijelo je prigovorilo samo na fotografije.
GDPR u svom članku 5. stavku 1. točki c. nalaže da s obzirom na svrhu obrade, osobni podaci moraju biti primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju.
Naglasak je na riječ "NUŽNO".
Više o slučaju:
https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_PS/00068/2021&mtc=today
Photo by Adi Perets from Pexels