ACRESIA

Jedním z problémů, s nimiž se lze pravidelně setkat, je nespokojenost fyzických osob v situaci, kdy má dojít ke kontaktování správce jménem někoho jiného. Běžnou reakcí, se kterou se může subjekt údajů setkat, je sdělení, že správce bude jednat pouze přímo s majitelem účtu, nebo správce požaduje poskytnutí velmi vysokých standardů prokazujících, že jednají jménem držitele účtu. I když zde existuje celá řada faktorů, jak v oblasti povinností ochrany osobních údajů (jako je bezpečnost a důvěrnost), tak i dalších možných zákonných povinností, může organizace v pozici správce k takové situaci zaujmout rozumný a odpovídající přístup.

Správce obvykle požádá volajícího, aby se nějakým způsobem identifikoval, a to ze zřejmých důvodů. Jednak to správci umožní řádně reagovat na vše, co se od něj požaduje, ale také potenciálně zajistí, aby volající byl skutečně tím, kým tvrdí, že je a osobní údaje majitele účtu nebudou sděleny nikomu jinému bez řádného důvodu. Volající jsou často žádáni o jméno a / nebo číslo účtu, kromě těchto informací, také o třeba o potvrzení jejich data narození, adresy, telefonního čísla nebo podrobností k poslední provedené transakci.

Žádám o údaje svého přítele/kolegy
Může nastat situace, kdy zavolá správci někdo jménem člena rodiny, přítele, pacienta nebo někoho jiného, ​​kdo není schopen se sám dotázat nebo raději nechá někoho hovořit svým jménem. Zástupce telefonující jménem dané osoby bývá požádán, aby poskytl vyšší úroveň důkazu, že má povolení hovořit jménem majitele účtu, oproti situaci, kdyby byl skutečný držitel účtu požádán, aby prokázal svou vlastní identitu. Pokud zástupce není schopen takový důkaz poskytnout, tak mu správce sdělí, že nebude informovat o účtu někoho jiného.

Takový postup má za následek situaci, kdy je jednodušší v telefonu předstírat, že jste držitelem takového účtu, než se snažít upřímně vysvětlit, že vám držitel účtu dal svolení mluvit jeho jménem. S podobnými problémy se lze setkat také v případě, kdy lidé navazují kontakt prostřednictvím jiného média, než jsou kontaktní formuláře, e-maily nebo dopisy.

Povinnosti zabezpečení, integrity a důvěrnosti
Správci mají samozřejmě povinnost udržovat osobní údaje v bezpečí a neposkytovat je někomu, komu by neměly - v souladu se zásadou „integrity a důvěrnosti“ dle článku 5 GDPR. Tato zásada vyžaduje, aby byly osobní údaje používány pouze „způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením ("integrita a důvěrnost")“.

Obzvláště důležitý je pojem „vhodný“, což znamená, že by správci v těchto případech měli zvážit, jaká úroveň zabezpečení je vhodná v různých situacích. Měli by vzít v úvahu otázky, jako je povaha a citlivost všech dotčených osobních údajů, potenciální újma, pokud budou osobní údaje poskytnuty nesprávné osobě, a pravděpodobnost, že lidé mohou oprávněně hovořit jménem držitele účtu.

Správci by také měly zvážit akci požadovanou volajícím - přiměřené bezpečnostní kroky (jsou-li nějaké) na požadavek, jako je opětovné vystavení účtu na adresu uvedenou v účtu, mohou být mnohem méně náročné než ty, které by byly vhodné požadovat tam, kde volající požaduje odstranění nebo uvolnění citlivých informací.

Případová studie 1
Situace, kdy osoba narazila na potíže při pokusu kontaktovat poskytovatele služeb prostřednictvím tlumočníka. Přestože tlumočník správně poskytl příslušné informace k účtu a odpověděl na bezpečnostní otázky spojené s účtem, organizace nechtěla jednat s tlumočníkem, dokud nepředloží podepsaný dokument prokazující, že má povolení držitele účtu hovořit jeho jménem.

Orgán dohledu v tomto případě neviděl žádný zjevný problém s ochranou osobních údajů, který by bránil organizaci jednat se zákazníkem prostřednictvím tlumočníka. Vzhledem k tomu, že by organizace obvykle považovala správné zodpovězení bezpečnostních otázek za dostatečné bezpečnostní opatření k ověření totožnosti volajícího, tak z toho vyplývá, že správné zodpovězení bezpečnostních otázek by mělo stačit k ověření totožnosti a oprávnění tlumočníka jednajícího jménem držitele účtu.

Nebylo zřejmé, zda je rozumné nebo nutné z bezpečnostního hlediska přidat další bezpečnostní požadavek pro tlumočníka, protože se nezdá, že by existovalo zvýšené riziko neoprávněného přístupu k osobním údajům. Pokud by pro ověření tlumočníka s povolením držitele účtu bylo zapotřebí dalšího bezpečnostního kroku, pak by byla pravděpodobně prahová hodnota autorizace nepřiměřeně vysoká, když může stačit zodpovězení dalších bezpečnostních otázek nebo potvrzení podrobností vztahujících se k účtu.

Případová studie 2
Neslyšící osobě, která při práci s poskytovatelem služeb potřebovala použít tlumočníka znakového jazyka, byl odmítnut přístup ke službě, protože organizace odmítla s tlumočníkem znakového jazyka jednat. Organizace uvedla jako důvod „GDPR a obavy o ochranu osobních údajů“.

Podle názoru orgánu dohledu nařízení GDPR a zákon o ochraně osobních údajů nebrání ani nezakazuje použití tlumočníka znakového jazyka, služby textového přenosu nebo jiného podobného systému, momentem kdy tyto služby musí pro svou práci využívat hluchý nebo nedoslýchavý člověk.

Poskytovatelé služeb jsou povinni zavést vhodná bezpečnostní opatření k ochraně integrity a důvěrnosti osobních údajů zákazníků. Tato opatření však nesmí nepřiměřeně znevýhodňovat ty, kteří potřebují použít tlumočníka znakového jazyka nebo formu textové služby.

Legislativa zakazuje diskriminaci osob při poskytování zboží a služeb. Diskriminace zahrnuje odmítnutí nebo selhání poskytovatele služeb učinit vše, co je přiměřené, k vyhovění osobě se zdravotním postižením a to poskytnutím zvláštního zacházení nebo zařízení, pokud by bez takového zvláštního zacházení nebo zařízení bylo nepřiměřeně obtížné pro osobu využívat danou službu.

GDPR nebo zákon o zpracování osobních údajů obecně by neměl být poskytovatelem služeb používán jako překážka, která by bránila přístupu ke službám a diskriminovala lidi na základě jejich zdravotního postižení.

Doporučení
Mohou existovat důvody, proč organizace nechce nebo nemůže jednat s nikým jiným než s držitelem účtu - například interní zásady nebo jiné právní požadavky týkající se mlčenlivosti nebo důvěrnosti. Stanovisko orgánu dohledu je však takové, že zákon o zpracování osobních údajů zpravidla nebrání organizacím jednat s někým, kdo zastupuje majitele účtu, při přijmutí přiměřených a rozumných opatřeních k zajištění dodržování svých povinností v oblasti bezpečnosti a důvěrnosti.

Rada orgánu dohledu organizacím, zejména poskytovatelům služeb a těm, kteří mají zvýšenou roli v péči o zákazníky, při plánování a provádění „vhodných technických nebo organizačních opatření“ na ochranu osobních údajů, je zajistit vyvážený a přiměřený přístup k jejich zabezpečení a ověření identity. Organizace by měly zavést opatření, která jednotlivcům poskytují vysokou úroveň ochrany, ale která rovněž nepřiměřeně neznevýhodňují ty, kteří se těmito opatřeními nemohou jednoduše zabývat a kteří mohou potřebovat někoho, kdo by jednal jejich jménem.

Zdroj: Data Protection Comission