Asmens tapatybės patikrinimo būdai BDAR kontekste

Įsibėgėjus Bendrojo duomenų apsaugos reglamento (BDAR) taikymui duomenų subjektai vis dažniau kreipiasi į duomenų valdytojus norėdami gauti informaciją apie tvarkomus asmens duomenis bei siekdami įgyvendinti savo teises, pavyzdžiui, pasinaudoti teise į duomenų perkeliamumą, teise atšaukti duotą sutikimą, apriboti asmens duomenų tvarkymą ir pan. Duomenų valdytojai, siekdami tinkamai taikyti BDAR nuostatas, turi ne tik užtikrinti duomenų subjektų teisių įgyvendinimą, bet ir apsaugoti tvarkomus asmens duomenis bei užtikrinti jų konfidencialumą, vientisumą ir prieinamumą, taip pat netvarkyti perteklinių duomenų.

Viena iš duomenų valdytojui kylančių pareigų – apsaugoti tvarkomus asmens duomenis nuo jų atskleidimo netinkamam gavėjui.  Asmens tapatybės patikrinimas yra vienas iš būdų, kuris padeda apsisaugoti nuo asmens duomenų neteisėto atskleidimo, įgyvendinant duomenų subjekto teises. Pavyzdžiui, prašymą susipažinti su tvarkomais asmens duomenimis gali pateikti ne pats duomenų subjektas, o kitas juo apsimetęs asmuo, galimas ir atsitiktinis vardo bei pavardės sutapimas. Todėl tinkamų asmens tapatybės patikrinimo priemonių naudojimas gali padėti išvengti su asmens duomenų neteisėtu atskleidimu kylančių rizikų.

Taigi, norint tinkamai įgyvendinti BDAR reikalavimus, verslui itin svarbu atrasti balansą tarp skirtingų pareigų, kurias numato BDAR. Viena vertus, svarbu efektyviai ir maksimaliai greitai įgyvendinti duomenų subjektų teises, kita vertus, būtina apsisaugoti nuo asmens duomenų atskleidimo, perdavus juos netinkamam gavėjui. Taip pat svarbu išvengti situacijų, kai dėl rizikos atskleisti asmens duomenis netinkamam gavėjui surenkamas pernelyg didelis kiekis asmens duomenų vien tam, kad būtų atliktas duomenų subjekto tapatybės patikrinimas.

Kaip atlikti duomenų subjekto tapatybės patikrinimą, kad jis atitiktų BDAR nuostatas?

Jeigu duomenų subjekto tapatybę galima nustatyti iš duomenų subjekto prašymo (atsižvelgiant į jo pateikimo būdą, formą) ar iš kartu su prašymu pateiktų dokumentų, jokių papildomų veiksmų atlikti nereikia. Patikrinti prašymą teikiančio asmens tapatybę reikėtų tada, jei dėl jos duomenų valdytojui kyla pagrįstų abejonių. BDAR numato, kad duomenų valdytojas gali paprašyti papildomos informacijos, reikalingos norint patvirtinti duomenų subjekto tapatybę, tačiau konkrečių būdų, kaip tai padaryti, nedetalizuoja. Kaip bus tikrinama asmens tapatybė, gali nuspręsti pats duomenų valdytojas. Svarbu, kad tapatybės patikrinimo mechanizmas neproporcingai neapsunkintų duomenų subjektui galimybės pasinaudoti jam priklausančiomis teisėmis. Pavyzdžiui, asmeniui atsisakant jam siunčiamų naujienlaiškių, būtų neproporcinga prašyti pateikti elektroniniu parašu pasirašytą prašymą.

Atsiradus poreikiui patikrinti duomenų subjekto tapatybę, rekomenduojame imtis šių priemonių:

  • Įvertinti riziką, kuri gali kilti duomenų subjektui dėl atskleidžiamų duomenų. Bendrasis principas yra toks, kad kuo jautresni duomenys bus atskleisti, tuo daugiau dėmesio turėtų būti skirta asmens tapatybės patikrinimui.

Tuo atveju, jei duomenų subjekto prašymas apima jautrius asmens duomenis, reikėtų skirti pakankamą dėmesį duomenų subjekto identifikavimui. Šiuo tikslu galima prašyti prašymą teikiančio asmens, kad jis pasirašytų prašymą elektroniniu parašu (jei prašymas teikiamas elektroninių ryšių priemonėmis) ar naudotų  mobilaus parašo arba elektroninės bankininkystės autentifikatorius, prisijungdamas prie duomenų valdytojo paskyros, jei prašymas teikiamas raštu –  atvyktų į duomenų valdytojo buveinę.

  • Vengti naujų asmens duomenų rinkimo, tikslu patikrinti asmens tapatybę. Siekiant patikrinti asmens tapatybę reikėtų vengti prašyti, kad duomenų subjektas pateiktų naujus asmens duomenis, kurių iki tol netvarkė duomenų valdytojas. Tai lemia duomenų kiekio mažinimo principas, apie tai užsimenama ir BDAR preambulės 57 skirsnyje. Tapatybės patikrinimui geriau naudoti tuos asmens duomenis, kurie buvo žinomi iki prašymo pateikimo. Kaip vienas iš būdų gali būti naudojamas klausimų – atsakymų metodas, siekiant patikrinti prašymą teikiančio asmens žinias.  Taip pat reikėtų vengti rinkti tokius asmens duomenis, kurie pagal savo pobūdį būtų jautresni, nei tie, kuriuos prašo pateikti duomenų subjektas. Pavyzdžiui, asmuo pateikia prašymą gauti informaciją apie savo pirkinių istoriją duomenų valdytojo interneto parduotuvėje. Prašymas patvirtinti savo tapatybę atsiunčiant asmens dokumento kopiją greičiausiai būtų įvertintas kaip neproporcinga priemonė, pirma, – perteklinė, antra, – kelianti didesnę grėsmę asmens privatumui nei prašomi pateikti asmens duomenys. Daugeliu atveju apsipirkimo istorija bus mažiau jautrūs duomenys, nei tie, kuriuos buvo paprašyta pateikti tapatybės patikrinimo tikslu. Duomenų subjekto prisijungimas prie asmeninės vartotojo paskyros turėtų būti vertinamas kaip pakankama priemonė asmens tapatybės patikrinimui.

Visais atvejais svarbu užtikrinti, kad asmens duomenys būtų pateikiami tinkamam adresatui: duomenų subjektui informacija turi būti pateikiama tik tuo būdu, kuris numatytas pasirašytame prašyme. Jei asmuo pageidauja gauti informaciją elektroniniu paštu – elektroninio pašto adresas turėtų būti nurodytas tame prašyme, kurį pasirašo duomenų subjektas arba kuris nurodytas vartotojo paskyroje,  jei klasikiniu paštu, turi būti naudojamasi registruoto pašto ar kurjerių paslaugomis, užtikrinant, kad laiškas su asmens duomenimis bus perduotas tik tinkamam adresatui.

Ką daryti, jei nepavyksta patvirtinti prašymą teikiančio asmens tapatybės?

Šiuo atveju taip pat svarbu įvertinti, kas yra svarbiau: ar rizikuoti ir perduoti asmens duomenis netinkamam gavėjui, ar atsisakyti tenkinti tokį duomenų subjekto prašymą. Manytina, kad daugeliu atvejų atsisakymas tenkinti prašymą sukels mažesnį pavojų asmenų privatumui, nei jų praradimas ar atskleidimas netinkamam gavėjui. Duomenų valdytojas, vykdydamas savo pareigą apsaugoti tvarkomus asmens duomenis, turėtų atsisakyti tenkinti tokį prašymą ir informuoti duomenų subjektą apie atsisakymą tenkinti jo prašymą bei tokio atsisakymo priežastis. Tuo atveju, jei prašymą teikiantis asmuo pateiks papildomą informaciją, reikalingą tapatybės patikrinimui, duomenų valdytojas prašymą turėtų patenkinti.

visos įžvalgos
Sužinokite daugiau

Prenumeruokite mūsų naujienlaiškį

El. pašto adresas *
Pateikdama(s) savo elektroninio pašto adresą sutinkate, kad Advokatų profesinė bendrija Judickienė ir partneriai JUREX, kodas 3005573017, T. Kosciuškos 24, Vilnius, jį tvarkys tiesioginės rinkodaros tikslu.