Weryfikacja tożsamości osoby
jako niezbędne zabezpieczenie

Pierwszym skojarzeniem, gdy słyszymy o obowiązkach związanych z przetwarzaniem danych osobowych, jest ich ochrona przed osobami z zewnątrz. Przykładamy wagę do tego, aby dobrze zaadresować wiadomość e-mail czy zweryfikować tożsamość osoby, która domaga się dostępu do danych, czyli zabezpieczamy dane przed ujawnieniem ich osobom nieuprawnionym.

Trudno wyobrazić sobie stanowisko pracy, które na jakimś z jej etapów nie wymagałoby konieczności sprawdzenia tożsamości drugiej osoby – niezależnie od tego, czy mamy do czynienia z klientem, kontrahentem, czy pracownikiem banku dzwoniącym do działu HR w celu potwierdzenia zdolności kredytowej Twojej koleżanki z pracy.

Droga komunikacji

Upewnienie się, z kim mamy do czynienia po drugiej stronie – bez znaczenia, czy rozmawiamy przez telefon, wymieniamy korespondencję mailową, czy mamy z kimś osobistą styczność – staje się kluczowe, gdy wymiana wiadomości, pozornie mało istotna i niedotykająca tematyki RODO, może doprowadzić do incydentu ochrony danych w organizacji.

Umiar przede wszystkim

Nie chodzi o to, aby teraz każda osoba musiała wylegitymować się przed uzyskaniem nawet najbardziej podstawowych danych. Tak samo jak do bezpieczeństwa danych w Twojej organizacji nie przyczyni się weryfikowanie tożsamości osób, co do których personaliów nie masz wątpliwości (bo np. wielokrotnie już je spotykałeś). Natomiast w sytuacji, gdy istnieje choć margines błędu, warto dmuchać na zimne i dla pewności poprosić osobę trzecią o potwierdzenie, że jest tą, za kogo się podaje. Przy weryfikacji należy pamiętać o rzech złotych zasadach:

Nie zbieraj dodatkowych danych – bazuj na tym, czym już dysponujesz.
Przykładowo: jeśli kontaktuje się z Tobą klient i żąda dostępu do swoich danych osobowych (a na gruncie RODO takie prawo mu przecież przysługuje), zanim mu je udostępnisz, zadaj parę pytań kontrolnych na podstawie danych, które uzyskałeś na etapie zawierania umowy (np. nr dokumentu tożsamości czy data urodzenia).

Masz prawo poprosić o wgląd do dokumentu tożsamości – ale o nic więcej.
Nie ulega wątpliwości, że informacje zawarte w dokumencie tożsamości to najlepsza gwarancja, że dana osoba jest tą, za kogo się podaje. o ile prośbę o okazanie dokumentu potwierdzającego tożsamość przy wpuszczaniu gości na teren organizacji czy przed wydaniem dokumentu przedstawicielowi naszego kontrahenta należy uznać za wskazaną, o tyle wykonywanie skanów czy kserokopii takich dokumentów jest niemal bezwzględnie zabronione.

Upewnij się, że osoba trzecia faktycznie działa z upoważnienia i zgodnie z wolą osoby. Przykładowo: jeśli do działu HR po odbiór zaświadczenia o zarobkach pracownika zatrudnianego przez naszą organizację zgłasza się jego małżonek, który nie dysponuje pisemnym upoważnieniem, poprośmy go o okazanie dokumentu tożsamości i upewnijmy się, że odbywa się to zgodnie z wolą tego pracownika – wykonanie szybkiego telefonu potwierdzającego na pewno nie zaszkodzi.

Pamiętaj! To na Tobie – jako osobie działającej z upoważnienia administratora danych – spoczywa obowiązek właściwego obchodzenia się z danymi osobowymi i niedopuszczenia do sytuacji, w której trafiłyby one w niepowołane ręce. Mamy nadzieję, że powyższe rady Ci w tym pomogą.