Ako kao voditelj obrade nismo u mogućnosti utvrditi identitet osobe koja traži pristup svojim podacima, tada ni ne smijemo dati osobne podatke, dok ne zatražimo dodatne informacije neophodne za potvrđivanje identiteta pojedinca i ne poduzmemo sve razumne mjere u utvrđivanju identiteta. Ali ih moramo zatražiti prije konačnog odbijanja zahtjeva.
To su obveze iz uvodne izjave 64. i članaka 11. i 12. GDPR-a i nužno ne znače da moramo odmah tražiti fotokopiju osobne iskaznice. Ponekad nam ni OIB nije dovoljan ako je javno dostupan, a ponekad je dovoljna samo informacija o broju osobne iskaznice jer je nitko treći nema.
Stoga je važno slijediti pravilo iz članka 12. stavka 6. GDPR-a da se mogu tražiti dodatne informacije NEOPHODNE za potvrđivanje identiteta u slučaju sumnje, ali pri tom se moramo voditi obvezom da pretjeranim zahtjevima ne otežavamo ostvarivanje prava pojedinaca sukladno članku 12. stavku 2. GDPR-a.
Kad su u pitanju zahtjevi upućeni od strane osobe ovlaštene za zastupanje pojedinca na kojeg se osobni podaci odnose, također je važno osigurati da znamo da je zakonski zastupnik zaista ovlašten ostvariti pristup, npr. ovjerenom punomoći.
i takve je slučajeve vrlo važno dokumentirati jer mogu završiti sudskim epilogom, kakav slučaj se dogodio u Nizozemskoj gdje je jedinica lokalne uprave zatražila navodnog zakonskog zastupnika osobe da dođe s osobnom iskaznicom u ured ili da podnese zahtjev nizozemskom verzijom "eGrađani".
Sud je stao na stranu jedinice lokalne uprave naglasivši da time što je povratni odgovor sa zahtjevom za dodatnim osobnim podacima radi identifikacije poslan određenoj osobi ne znači i da je ta osoba sigurno identificirana radi davanja joj pristupa osobnim podacima.
Više o slučaju na:
https://gdprhub.eu/index.php?title=RvS_(Netherlands)_-_202006082/1/A3&mtc=today
