Imali smo prilike vidjeti u RH slučajeve kad je organizacija kao voditelj obrade tražila kopiju osobne iskaznice pojedinca koji je tražio svoje GDPR pravo na pristup svojim osobnim podacima koje je organizacija imala, iako nijedan podatak s osobne iskaznice nije bio relevantan za identifikaciju tog pojedinca.

Ali, eto, tako se sjetio netko, tako im je lakše 😉 Naravno, to je nezakonito i prekomjerno.

Zašto?

Zato jer članak 12. GDPR-a daje pravo voditelju obrade da zatraži od nas dodatne informacije neophodne za provjeru našeg identiteta prilikom postupanja po našim GDPR zahtjevima za pristupom svojim osobnim podacima, brisanjem, izmjenama, podnošenjem prigovora i sl., ali samo pod uvjetom da voditelj obrade ima opravdane i dokazive sumnje u pogledu identiteta pojedinca koji podnosi zahtjev.

Pri tom se smije tražiti samo nužan i ograničen skup dodatnih osobnih podataka u skladu s načelom minimiziranja opsega osobnih podataka iz članka 5. GDPR-a.

Osobna iskaznica sadrži niz osobnih podataka, od OIB-a, broja iskaznice, datuma izdavanja, datuma rođenja pa sve do fotografije i potpisa.

Ovo je ključno.

I ako postoje takve sumnje u identitet pojedinca, trebaju se tražiti dodatni osobni podaci u najužem opsegu bez pretjerivanja koji organizaciji zaista mogu pomoći u izbjegavanju sumnje u identitet podnositelja.

Također, pri tom, u slučaju sumnje, treba tražiti samo one kategorije osobnih podataka koje ima samo organizacija i pojedinac.

Naravno, sve to ovisi od slučaja do slučaja.

 

Takav slučaj dogodio se i u Švedskoj gdje je jedan pojedinac iz Finske tražio brisanje svojih osobnih podataka a voditelj obrade ga je tražio kopiju osobne iskaznice.

Naravno, Finac je odbio dati kopiju osobne iskaznice i prijavio slučaj nadzornom tijelu.

Istovremeno je jedan Danac također podnio zahtjev za brisanjem, i on je zahtijevan dostaviti kopiju osobne iskaznice.

Štoviše, zatražio je objašnjenje zašto im treba kopija osobne iskaznice s obzirom da je po njemu bilo dovoljno da mu pošalju poruku na njegovu registriranu email adresu.

Švedsko nadzorno tijelo je preuzelo istragu i jasno utvrdilo da se dodatni osobni podaci smiju tražiti u svrhu identifikacije kada za istu postoje utemeljene sumnje.

Ali, iz konkretnih slučajeva ja bilo vidljivo da je voditelj obrade mogao bez dvojbi utvrditi identitet podnositelja GDPR zahtjeva i da nije imao dokazane sumnje.

Jednostavno su tražili kopije osobnih iskaznica jer „im je tako bilo lakše“.

Nadzorno tijelo je potvrdilo da je traženje kopije osobne iskaznice prekomjerno i previše invazivno s obzirom na svrhu.

Praktično, oba su se podnositelja zahtjeva mogla lako identificirati putem otvorenih računa na platformi voditelja obrade, bez ikakve kopije osobne iskaznice.

 

Više o slučajevima:

https://gdprhub.eu/index.php?title=IMY_(Sweden)_-_2022-1032&mtc=today

#gdprcroatia