S obzirom na količinu poziva poslovnih subjekata iz raznih industrija u Hrvatskoj koje primamo unatrag dvije godine, naše interne analize pokazuju značajno povećanje projekata revizije GDPR usklađenosti i ponovne GDPR implementacije, u kojima nam sami poslovni subjekti priznaju da nisu baš sigurni jesu li 2018. godine to napravili kako treba.
Iako je GDPR u punoj primjeni skoro 5 godina, primijetili smo u neočekivanom broju poslovnih subjekata da se od 2018. i dalje za određene slučajeve traže obostrane kopije osobne iskaznice.
Na pitanje zašto to rade, odgovor je često - "jer nam je tako lakše".
To je pogrešan odgovor, zar ne?
Takav pravni temelj u članku 6. GDPR-a ne postoji.
Koliko takva postupanja mogu biti vrlo izložena kaznama pokazuje nam slučaj iz Španjolske, gdje je pojedinac kupio mobilni telefon od telefonske kompanije Orange putem interneta.
Sa svoje strane, Orange, kao voditelj obrade, je isporuku mobitela prepustio tvrtki General Logistics Systems Spain kao izvršitelju obrade, odredivši ugovorom da se u svrhu provjere napravi fotografija prednje i stražnje strane identifikacijskog dokumenta potrošača.
Kupac mobitela je podnio pritužbu nadzornom tijelu za zaštitu podataka.
U postupku je Orange tvrdio da je fotografija bila neophodna za izvršenje ugovora koji je potpisao pojedinac i dostavio je email poruku u kojoj je obavijestio pojedinca da će fotografija osobne iskaznice biti zatražena u trenutku isporuke iz sigurnosnih razloga .
Naravno, vrlo je važno osigurati procedure provjere identiteta primatelja pošiljke s kupljenim mobitelom i obrada osobnih podataka u cilju sprječavanja prijevara jest legitimni interes kao valjani pravni temelj, posebno u slučaju online kupnji.
Međutim, nadzorno tijelo je dalo do znanja da skup osobnih podataka mora biti ograničen na način da su primjereni, relevantni i ograničeni na ono što je nužno u odnosu na svrhe u koje se obrađuju, prema članku 5. GDPR-a.
U ovom slučaju, fotografiranjem prednje i stražnje strane osobne iskaznice osim imena i prezimena primatelja, prikuplja se i njegov potpis, adresa, mjesto i datum rođenja, fotografija, datum izdavanja i rok valjanosti dokumenta, kao i dodatni kodovi.
Ti podaci nisu primjereni niti relevantni za svrhu isporuke kupljenog mobitela.
Nadalje, postoje manje invazivna sredstva koja osiguravaju da se mobitel isporučuje pravoj osobi, ma dovoljan je samo uvid u osobnu iskaznicu. Može se osigurati i procedura da se prilikom kupnje mobitela online kupcu dostavi i poseban jedinstveni kod, kojeg mora pokazati prilikom preuzimanja uređaja.
S točke gledišta nadzornog tijela, ako je cijeli postupak prodaje ispravno obavljen, ne bi trebalo biti poteškoća u dokazivanju da je primatelj proizvoda isti koji je sklopio ugovor.
Stoga je nadzorno tijelo očekivano zaključilo da je metoda fotografiranja prednje i stražnje strane osobne iskaznice u trenutku dostave neprimjerena i pretjerano zadire u privatnost pojedinca, čime se krši članak 5. stavak 1. točke (c) GDPR-a i izrečena je kazna od čak 100.000 EUR.
Možemo se sad zapitati zašto iznajmljivači apartmana ili neki hoteli uzimaju skenove ili kopije osobne iskaznice, ako im je za upis u eVisitor potreban manji opseg osobnih podataka gosta?
Imamo i primjere hotela u kojima povremeno boravimo zbog projekata, u kojima nas uopće ne traže osobnu iskaznicu na uvid, dovoljno je reći da imamo rezervaciju i predstaviti se, ionako se uzme predautorizacija plaćanja bankovnom karticom.
Čemu kopija osobne iskaznice?
"Jer nam je tako lakše..."
Više o slučaju iz Španjolske:
https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_PS/00413/2021&mtc=today
#gdprcroatia