Jak sprawdzić że osoba, której udostępniamy dane osobowe jest tą, za którą się podaje?
Sposób weryfikacji powinien oczywiście zostać dobrany do okoliczności – nie chcemy przerostu formy nad treścią. Wybierając metodę weryfikacji należy wziąć pod uwagę przede wszystkim:
- Ilość danych i ich rodzaj – na innych zasadach będzie udostępniać informacje związane z pytaniem „Ile mam punktów na karcie lojalnościowej drogerii?” (tak, to też są dane osobowe), a na innych jeśli były pracownik będzie chciał uzyskać szczegółowe dane o swoim zatrudnieniu,
- Kanał komunikacji – jeśli wniosek o udostępnienie danych przyjdzie z adresu e-mail, który widnieje w naszej bazie, wszystko wskazuje na to, że korespondujemy z właściwą osobą. Jeśli napisała z innej skrzynki (np. nowo założonej) – bądźmy czujni.
W praktyce, weryfikacja najczęściej odbywa się poprzez odpytanie osoby składającej wniosek o podanie swoich danych, takich jak np. nazwisko, adres email, pesel, unikalny identyfikator (np. numer klienta), ewentualnie podania innych informacji takich jak np. informacja o aktywnościach (np. rodzaj zamówionych usług).
Weryfikując prawidłowość danych, pamiętaj żeby:
Nie zbierać dodatkowych danych, a bazować na tym, czym już dysponujesz.
Przykładowo, jeśli kontaktuje się z Tobą klient i żąda dostępu do swoich danych osobowych (a na gruncie RODO przecież takie prawo mu przysługuje), zanim mu je udostępnisz, zadaj parę pytań kontrolnych w oparciu o dane, które uzyskałeś na etapie zawierania umowy (np. nr dokumentu tożsamości czy data urodzenia).
(W uzasadnionych sytuacjach) prosić o wgląd do dokumentu tożsamości - ale o nic więcej.
O ile prośbę o okazanie dokumentu potwierdzającego tożsamość przy wpuszczaniu gości na teren naszej organizacji należy uznać za nawet wskazaną, o tyle wykonywanie kopii takich dokumentów jest zabronione.
W ostatnim miesiącu hiszpański organ nadzorczy nałożył karę w wysokości prawie 1 miliona euro (!) na bank, który nie weryfikował należycie tożsamości klientów podczas połączeń telefonicznych z infolinią. Bank podczas połączenia z infolinią wymagał jedynie podania numeru dokumentu tożsamości i nie pytał w procesie weryfikacji tożsamości o inne dane, aby potwierdzić, czy osoba wnioskująca o udzielenie informacji jest właścicielem dowodu. Nie pozwól, żeby Twoja organizacja była następna!