IP: Kopija osebne izkaznice
Informacijski pooblaščenec je v mnenju zapisal, da zahteva za kopijo osebnega dokumenta pri oddaji zahtevka po pravici posameznika praviloma predstavlja prekomeren ukrep za avtentikacijo posameznika.
Mnenje je bilo objavljeno 19.07.2024
Za zagotovitev varnosti obdelave in zmanjšanje tveganja nepooblaščenega razkritja osebnih podatkov mora biti upravljavec zmožen ugotoviti, kateri podatki se nanašajo na posameznika (identifikacija) in potrditi njegovo identiteto (avtentikacija). Če ima upravljavec utemeljene razloge za dvom o identiteti vlagatelja zahteve za dostop do osebnih podatkov, lahko od njega zahteva dodatne informacije za potrditev identitete, vendar mora hkrati zagotoviti, da ne zbere več osebnih podatkov, kot je potrebno za avtentikacijo. Zato mora izvesti oceno sorazmernosti, pri kateri je treba upoštevati vrsto osebnih podatkov, ki se obdelujejo, naravo zahteve, okoliščine, v katerih je zahteva predložena, in škodo, ki bi lahko nastala zaradi nepooblaščenega razkritja. Metoda, ki se uporablja za avtentikacijo, mora biti ustrezna, primerna, sorazmerna in v skladu z načelom najmanjšega obsega podatkov (točka c prvega odstavka 5. člena Splošne uredbe). Če upravljavec za avtentikacijo zahteva dodatne ukrepe, mora to ustrezno utemeljiti in zagotoviti skladnost z vsemi temeljnimi načeli varstva osebnih podatkov ter z obveznostjo olajšanja uresničevanja pravic posameznikov (drugi odstavek 12. člena Splošne uredbe).
Če je upravljavec posameznika, ki je vložil zahtevo, že avtenticiral, je zahteva za predložitev kopije osebnega dokumenta nesorazmerna. To namreč povzroči še dodatno tveganje za varnost osebnih podatkov in lahko privede do nepooblaščene ali nezakonite obdelave. Avtentikacija na podlagi osebnega dokumenta je v določenih okoliščinah sicer lahko povsem upravičen in sorazmeren ukrep, vendar pa mora biti res nujno potrebna in ustrezna, kar mora skladno z načelom odgovornosti izkazati upravljavec. V praksi pa je zahteva za kopijo osebne izkaznice v številnih primerih pretirana, saj za preverjanje identitete posameznika pogosto obstajajo blažji ukrepi. Namesto tega lahko upravljavec na primer zgolj vpogleda v osebno izkaznico ter si to zabeleži. IP v mnenju sicer ne sme presojati ustreznosti načina preverjana identitete s strani upravljavca v konkretni situaciji, saj v primeru uveljavljanja kršitve pravice do dostopa nastopa kot nadzorni organ, vendar pa glede na to, da je posameznik z upravljavcem v delovnem razmerju, močno dvomi v potrebnost predložitve kopije osebne izkaznice njegovemu pooblaščencu.
Glede roka za odgovor na zahtevo je IP zapisal, da ob upravljavčevi zahtevi za predložitev kopije osebne izkaznice zaradi preverjanja identitete posameznika, rok za odgovor praviloma začasno preneha teči, dokler posameznik ne dopolni svoje zahteve za dostop. To pa seveda velja le, če je upravljavčeva zahteva za dopolnitev upravičena.
Celotno mnenje je dostopno tukaj
Vir: IP RS
