Prenosimo članak iz medija o temi koja bi mogla sve češće biti predmetom nadzora AZOP-a kao posljedica opće digitalne transformacije donedavno uobičajenih poslovnih i korisničkih procedura.

Radi se o primjeru jedne banke koja od svojih postojećih klijenata traži širok skup dodatnih osobnih podataka u svrhe identifikacije na daljinu.

Pročitajte cijeli članak na ovom linku:

https://novac.jutarnji.hr/aktualno/addiko-od-klijenata-trazi-video-provjeru-osobne-azop-najavio-istragu/10249309/


Mi smo u svojoj praksi vođenja gotovo 90 projekata usklađivanja poslovnih subjekata u Sloveniji i Hrvatskoj nailazili i na ovakve sustave prikupljanja osobnih podataka, prvenstveno mislimo na video snimke i sigurni smo da banka iz medijskog članka nije jedina koja je krenula tim putem.

Stoga će stajalište AZOP-a biti itekako ključno za strateške odluka niza drugih poslovnih subjekata a da ne govorimo koliko bi nam široko uvođenje ovakvih načina identifikacije osoba moglo iz temelja promjeniti naše živote i ugroziti našu privatnost.

Naše je stajalište, temeljeno na informacijama iz medija, možda pogrešno, ali vidimo mogućnost da se ovdje radi o višestrukoj neusklađenosti s temeljnim postavkama GDPR-a:

1. Prekomjerna obrada osobnih podataka s obzirom na svrhu

Po nama se ovdje radi o nepoštivanju načela "smanjenja količine podataka" iz članka 5. GDPR-a, kada prikupljani osobni podaci moraju biti relevantni, ograničeni i primjereni u odnosu na svrhu.

A svrha je nužna identifikacija postojećih klijenata banke. Naglasak je na "postojećim" klijentima.

U okolnostima kada banka ima već niz prikupljenih osobnih podataka klijenta putem kojih ga može jednoznačno identificirati, a da ne govorimo da je cijela procedura mogla biti provedena i kroz aplikaciju internet bankarstva, uporabom tokena i drugih zaštitnih mjera, uzimanje obostrane snimke osobne iskaznice te video i audio snimke samog korisnika, je po nama pretjerano i upućuje nas da postoje neke druge svrhe ili razlozi.

2. Prepoznavanje lica

Nadamo se da smo potpuno u krivu, jer ne znamo više od onog što je navedeno u medijskom članku, ali kako smo i sami imali prilike vidjeti slične sustave, bojimo se da se ovdje radi o skeniranju lica, mogućem stvaranju biometrijskih podataka s daljnom uporabom za svrhe prepoznavanja lica.

Naime, medijski članak navodi, citiramo: "Ako ni nakon toga ne budu zadovoljeni kriteriji za identifikaciju klijenta udaljenim putem .... od Vas će biti zatraženo da ponovite postupak ili će zahtjev biti odbijen”.

Ukoliko će se raditi o biometrijskim podacima, tada nam članak 9. GDPR-a i članak 22. Zakona o provedbi Opće uredbe o zaštiti podataka jednostavno kaže - klijent mora dati svoju izričitu privolu za uzimanje takvih podataka.

A privola ne smije biti uvjetovana na način da se u slučaju njezinog izostanka onemogući ostvarivanje zahtjeva ili dobivanje usluge. Privola mora biti slobodna.

Privola mora biti i informirana, klijent mora znati u koju svrhu će je dati, i mora imati pravo bez ikakvih posljedica odbiti davanje privole ili je naknadno u svakom trenutku povući.

3. Ograničenje roka zadržavanja podataka

Moramo napomenuti, s obzirom na svrhu identifikacije postojećeg klijenta prilikom podnošenja specifičnog zahtjeva za moratorijem otplate kredita, dok se istovremeno druge usluge navodno dobivaju po standardnim procedurama, vjerojatno putem internetskog bankarstva, ne vidimo svrhu pohrane video i audio snimki, pa smo samim time mišljenja da bi po izvršenoj identifikaciji klijenta trebalo tako prikupljene video i audio snimke izbrisati, u skladu s načelom "ograničenja pohrane" iz članka 5. GDPR-a.

Zadržavanje snimki, o čemu ne nalazimo detalje u medijskom članku, bi nas prilično uvjerilo u postojanje namjera koje smo obradili u točki 2.