Banka u Nizozemskoj uvela je online identifikaciju klijenata koja obuhvaća dostavu kopije osobne iskaznice i selfija same fizičke osobe, temeljem obveza iz propisa u području sprječavanja pranja novca.

No, jedan je klijent tvrdoglavo odbijao identificirati se na opisan način tvrdeći da je ovakva identifikacija nezakonita, zauzevši stav da ovakva obrada osobnih podataka predstavlja obradu biometrijskih podataka i da se takva ne smije provoditi s obzirom na članak 9. stavak 1. GDPR-a.

Tu je klijent poprilično „zabrijao“ jer se ovdje ne radi o obradi biometrijskih podataka.

Naime, banka je potvrdila da se usporedba kopije osobne iskaznice i selfija provodi ručno, a ne softverski, što je od ključnog značaja s obzirom na definiciju iz članka 4. GDPR-a:

„biometrijski podaci” znači osobni podaci dobiveni posebnom tehničkom obradom u vezi s fizičkim obilježjima, fiziološkim obilježjima ili obilježjima ponašanja pojedinca koja omogućuju ili potvrđuju jedinstvenu identifikaciju tog pojedinca, kao što su fotografije lica ili daktiloskopski podaci;“

Primjećujemo ključni dio definicije da se obradom biometrijskih podataka trebaju smatrati samo postupci isključivo tehničke prirode, drugim riječima - tehničkim sredstvima.

Uvodna izjava (51) je još bolje primjenjiva na ovaj slučaj:

„Obradu fotografija ne bi trebalo sustavno smatrati obradom posebnih kategorija osobnih podataka jer su one biti obuhvaćene samo definicijom biometrijskih podataka pri obradi posebnim tehničkim sredstvima kojima se omogućuje jedinstvena identifikacija ili autentifikacija pojedinca.“

Slučaj iz Nizozemske je ovdje:

https://gdprhub.eu/index.php?title=Hoge_Raad_-_24/02161&mtc=today

Image from FreePik

#gdprcroatia