Imali smo prilike vidjeti u RH slučajeve kad je organizacija kao voditelj obrade tražila kopiju osobne iskaznice pojedinca koji je tražio svoje pravo na pristup svojim osobnim podacima koje je organizacija imala, iako nijedan podatak s osobne iskaznice nije bio relevantan za identifikaciju tog pojedinca.
Ali, eto, tako se sjetio netko. Naravno, to je nezakonito i prekomjerno.
Zašto?
Zato je Članak 12. GDPR-a daje pravo voditelju obrade da zatraži od nas dodatne informacije neophodne za provjeru našeg identiteta prilikom postupanja po našim zahtjevima za pristupom osobnim podacima, brisanjem, izmjenama, podnošenjem prigovora i sl., ali samo pod uvjetom da voditelj obrade ima opravdane i dokazive sumnje u pogledu identiteta pojedinca koji podnosi zahtjev.
Pri tom se smije tražiti samo nužan i ograničen skup dodatnih osobnih podataka u skladu s načelom minimiziranja opsega osobnih podataka iz članka 5. GDPR-a.
Osobna iskaznica sadrži niz osobnih podataka, od OIB-a, do fotografije i potpisa.
Ovo je ključno.
I ako postoje takve sumnje u identitet pojedinca, trebaju se tražiti dodatni osobni podaci u najužem opsegu bez pretjerivanja koji organizaciji zaista mogu pomoći u izbjegavanju sumnje u identitet podnositelja.
Naravno, sve to ovisi od slučaja do slučaja.
Koristan slučaj za razumijevanje dolazi nam s Malte, gdje se organizacija sjetila tražiti kopiju osobne iskaznice pojedinca koji ima otvoren online račun pri toj organizaciji.
Nadzorno tijelo je tijekom inspekcije utvrdilo da nisu postojali objektivni razlozi u sumnju u identitet pojedinca s obzirom da je pojedinac imao otvoren račun pri organizaciji i da se temeljem do tada već prikupljenih osobnih podataka moglo izvršiti provjeru, npr. podaci u kupnjama ili plaćenim računima za usluge ili pretplate, datum rođenja, adresa prebivališta, datum i vrijeme zadnje prijave na račun i sl.
Kopija osobne iskaznice je bila u ovakvom slučaju prekomjerna.
Više o slučaju s Malte:
https://gdprhub.eu/index.php?title=IDPC_(Malta)_-_EDPBI:MT:OSS:D:2022:341&mtc=today
#gdprcroatia
