Drastična je to kazna, ali i oštra opomena svima koji nesmiljeno traže kopiju osobne iskaznice bez prave argumentacije i pravnog temelja iz GDPR-a.
 
Konkretno se radilo o medijskoj kompaniji u Nizozemskoj koja je odbijala dati pravo pristupa osobnim podacima i njihovo brisanje bez prethodno uploadane kopije osobne iskaznice.
 
Osobnu su iskaznicu tražili radi osiguranja identifikacije podnositelja zahtjeva za pristupom ili brisanjem podataka, iako tu istu osobnu iskaznicu nisu tražili prilikom registracije ili su je tražili od neregistriranih korisnika.
 
Svi smo već više-manje upoznati s našim pravima iz GDPR-a, kao što su:
 
- pravo na pristup i uvid u svoje osobne podatke i pojašnjenje zašto se i kako, te u koju svrhu obrađuju, na koji rok i kome prosljeđuju te dobiti kopiju svojih podataka
 
- pravo na ispravak netočnih osobnih podataka
 
- pravo na brisanje dijela osobnih podataka ili npr. brisanje linkova u online tražilicama
 
- pravo na prigovor kada je u pitanju legitimni interes voditelja obrade ili njegova službena ovlast ili kada se radi o profiliranju temeljem automatiziranog donošenja odluka
 
- pravo na ograničenje obrade kada su osobni podaci nezakonito obrađivani ili kad ih voditelj više ne bi smio obrađivati ali je u interesu obrađivane osobe da se podaci sačuvaju ili ako je podnio prigovor
 
- pravo na prenosivost podataka ako su podaci prikupljani elektroničkim putem i mogu se kopirati i dati pojedincu da ih preda nekom drugom pružatelju usporedive usluge
 
- pravo na povlačenje privole u svakom trenutku bez posljedica i bez ograničenja na korištenje usluga.
 
Prethodno opisana prava pripadaju svakom od nas, ali da bismo ih ostvarili nužno je dokazati da smo upravo mi podnositelji takvog zahtjeva.
 
No za tu svrhu nije nužna kopija osobne iskaznice, naprotiv.
 
Uzimanje kopije osobne iskaznice u svrhu identifikacije pojedinca koji želi pristup svojim osobnim podacima može dovesti do rizika za tog pojedinca, krađe identiteta i smatra se neprimjerenim osim slučajeva kada je to neophodno ili u skladu s nekim propisom.
 
To vrijedi posebno za banke, hotele, rent-a-car...
 
Također, nisu svi podaci s osobne iskaznice neophodni za online identifikaciju. Oni koji to nisu (npr. fotografija, nacionalnost, broj OI, posebni kodovi), trebaju se zacrniti.
 
Recept je jednostavan - identitet podnositelja zahtjeva možemo utvrditi provjerom podataka koje već imamo o njemu, npr. broj osobne iskaznice, a da pri tom nitko treći ne zna taj podatak.
 
Za identifikaciju se mogu koristiti i informacije o korištenoj usluzi, iznosima zadnjih računa ili kupljenih artikala ili pak email adresi, i nikako nam ne treba kopija cijele osobne iskaznice.
 
Više o slučaju iz Nizozemske:
 
https://gdprhub.eu/index.php?title=AP_(The_Netherlands)_-_DPG_Media_fined_for_unnecessarily_requesting_proof_of_identity&mtc=today