Objavljamo dopis, ki smo ga prejeli od Informacijskega pooblaščeneca (IP)
Informacijski pooblaščenec (IP) ugotavlja, da številni zavezanci po Uredbi (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (GDPR; v nadaljevanju: Splošna uredba), ne posvečajo dovolj pozornosti ustrezni identifikaciji posameznika pri telefonskih klicih, kjer posameznik zahteva informacije in osebne podatke po telefonu, kot npr. kakšno je stanje njegovega dela, se zanima glede izstavljenih računov ali sprašuje po drugih podatkih, ki se navezujejo nanj. Posamezniki so nas opozorili, da nekateri upravljavci za potrditev, da gre za pravo osebo, zahtevajo samo en identifikator, kot je npr. davčna številka. Pri tem velja opozoriti, da so davčne številke vsek samostojnih podjetnikov, kulturnikov, sobodajalcev in drugih, ki kot posamezniki opravljajo kako dejavnost, javno objavljene v številnih bazah podatkov in na številnih spletnih straneh.
Takšen način preverjanja identitete klicateljev po telefonu, kjer se zahteva en sam identifikator klicatelja (posameznika) za dostop do osebnih podatkov, praviloma ni ustrezen, saj omogoča krajo identitete in zlorabo osebnih podatkov ter lahko predstavlja kršitev določb Splošne uredbe o varnosti podatkov (člen 32 Splošne uredbe), razkritje davčne ali bančne tajnosti ter drugih zaupnih podatkov, kot so npr. podatki o zdravstvenem stanju.
Navedeno seveda ne velja, ko oseba ne želi pridobiti svojih osebnih podatkov, temveč kliče za splošne informacije ipd.
Glede na navedeno se je IP odločil, da določene zavezance posamezno ali prek relevantnih združenj v okviru svojih preventivnih aktivnosti na podlagi določb člena 57 Splošne uredbe sistematično pozove k preverjanju in prilagoditvi postopkov pri posredovanju osebnih podatkov po telefonu. IP priporoča, da se vedno, ko oseba po telefonu zahteva svoje osebne podatke, od nje zahteva navedba vsaj dveh identifikatorjev in ne samo davčna številka ali samo EMŠO. Drugi podatek, ki bi lahko bil zahtevan, je – odvisno od okoliščin – lahko npr. številka zadnjega računa, številka dohodninske odločbe, številka zadeve, vnaprej določeno geslo, datum zadnjega obiska ali določenega dokumenta ali podoben podatek, s katerim bi moral razpolagati posameznik.
Ključno je, da se izbere takšne podatke:
- za katere je malo verjetno, da bi lahko z njimi razpolagala tretja oseba in jih zlorabila za nepooblaščeno seznanitev z osebnimi podatki;
- ki jih lahko zavezanec preveri v svojih zbirkah podatkov.
Ponovno poudarjamo, da vse navedeno velja takrat, ko oseba po telefonu zahteva svoje osebne podatke in nikakor ne na splošno za vse klice.
Informacijski pooblaščenec:
Mojca Prelesnik, univ. dipl. prav.,
informacijska pooblaščenka
Dopis je dostopen tu>>>