Vjerojatno se svatko od nas susreo sa zahtjevom da smo prilikom potvrde autentičnosti naše prijave na neku bankovnu ili kartičnu opciju bili zatraženi upisati zadnje 4 znamenke bankovne kartice, kakva je već unesena u neki sustav i koju koristimo.

Ili nas neki online sustav traži potvrdu naše identifikacije potvrđivanjem 4 zadnje znamenke našeg telefonskog broja. Ili 4 zadnje znamenke našeg OIB-a.

Ili popis poziva s 4 zadnje znamenke pozvanih telefonskih brojeva.

Upisivanje, obrada, usporedba i svako drugo postupanje s tih 4 zadnje znamenke ne predstavlja obradu osobnih podataka i GDPR nije primjenjiv.

Isti stav zauzelo je i nadzorno tijelo za zaštitu osobnih podataka u Litvi u slučaju kad je jedna strana poslala drugoj strani popis određenih podataka u kriptiranoj fajli zaključanoj lozinkom koja se sastojala od 4 zadnje znamenke OIB-a.

Pri tom se primatelj potužio nadzornom tijelu da je pošiljatelj koristio njegove osobne podatke bez valjanog pravnog temelja za zaključavanje poslane fajle.

Nadzorno tijelo je odbacilo takvu pritužbu iz jednostavnih razloga: 4 zadnje znamenke OIB-a nisu jedinstvene kao cijeli OIB, mogu biti sastavnim dijelom mnogih OIB-ova, njima se ne može identificirati konkretna osoba i ne spadaju u kategoriju osobnih podataka, pa time njihovo korištenje kao lozinka ne spada u područje primjene GDPR-a.

Više o slučaju iz Latvije:

https://gdprhub.eu/index.php?title=VDAI_(Lithuania)_-_3R-1078&mtc=today

Image from Freepik

#gdprcroatia