Prema GDPR-u svatko od nas ima niz besplatnih prava kojima može zaštititi vlastite interese i upravljati postupanjem s našim osobnim podacima, a definitivno nam iskustvo pokazuje da su nam najzanimljivija slijedeća prava:

- pravo na pristup našim osobnim podacima i dobivanje kopije istih

- pravo na brisanje naših osobnih podataka


Voditelj obrade, odnosno, organizacija kojoj šaljemo naš zahtjev za svojim GDPR pravima MORA prije izvršenja zahtjeva osigurati našu sigurnu identifikaciju, kako previdom ili pogreškom ne bi otkrili ili izbrisali osobne podatke druge osobe.

A kako izvršiti pravilnu identifikaciju podnositelja zahtjeva kako bismo bili sigurni o kojoj se osobi radi?

Jel se mora uvijek uzimati osobna iskaznica?

Ne mora se, posebice ako ista nije bila uzimana prilikom inicijalnog uzimanja osobnih podataka ili registracije ili ako podaci s osobne iskaznice ne služe voditelju obrade da putem njih identificira osobu.

Članak 12. GDPR-a daje pravo voditelju obrade da zatraži od nas dodatne informacije neophodne za provjeru našeg identiteta, ali samo pod uvjetom da voditelj obrade ima opravdane i dokazive sumnje u pogledu identiteta pojedinca koji podnosi zahtjev.

 

Nije tajna da neke organizacije ili po defaultu redovito traže kopiju osobne iskaznice jer im je "procedura takva", bez provjere imaju li mogućnost identifikacije i bez osobne iskaznice, s dostupnim i provjerljivim osobnim podacima.

I autor ovog članka se susreo s takvim slučajem pa smo prijavili sve AZOP-u, koji je brzo reagirao.


Da takvo postupanje može rezultirati ozbiljnim kaznama pokazuje nam slučaj iz Španjolske gdje je agencija za zapošljavanje kažnjena zbog prekomjernog uzimanja osobnih podataka za svrhe provjere identiteta pojedinca prilikom realizacije njegovih GDPR prava.

Nadzorno tijelo je utvrdilo da agencija za zapošljavanje uopće nije trebala tražiti osobnu iskaznicu, s obzirom da je čovjek poslao svoj zahtjev za pristupom svojim podacima s iste email adrese putem koje se otvorio svoj račun i registrirao se na web portal agencije za zapošljavanje.

https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_PS/00003/2021&mtc=today


Drugi slučaj dolazi nam iz Belgije, gdje je osoba zatražila pristup svojim osobnim podacima, kojeg je voditelj obrade izvršio bez traženja dodatnih podataka, ali je za izvršenje zahtjeva za brisanje osobnih podataka istog pojedinca, odnosno brisanje email adrese iz liste primatelja newslettera tražio i kopiju osobne iskaznice. To je definitivno bilo nepotrebno i prekomjerno.

https://gdprhub.eu/index.php?title=APD/GBA_(Belgium)_-_145/2022&mtc=today


#gdprcroatia