Elektronički potpis, OIB & GDPR

13.03.2020. 09:44:00

PREKOMJERNA OBRADA OSOBNIH PODATAKA

Tijekom redovnog rada jedan od naših klijenata zatražio nas je mišljenje vezano za vizual elektroničkog potpisa i isticanje OIB-a na istom.

Elektronički potpis na svom vizualu od osobnih podataka sadrži:

ime potpisnika
prezime potpisnika
OIB potpisnika

Regulativa koja uređuje pitanje elektroničkog potpisa zahtjeva:

ime potpisnika, ili pseudonim; ako se koristi pseudonimom, on se tada mora jasno i naznačiti.

Naše mišljenje je da se u ovom slučaju radi o prekomjernoj obradi osobnih podataka a što je u svom mišljenju objavljenom na mrežnim stranicama potvrdila i Agencija za zaštitu podataka. Više: OVDJE

Naime, regulativa koja uređuje pitanje elektroničkog potpisa ne propisuje OIB kao obvezni sadržaj vizuala i stoga se ne može pozvat na obradu radi poštovanja pravnih obveza kao temelj za korištenje OIB-a.

Ne bi se moglo pozvati niti na privolu kao osnovu s obzirom da Radna skupina za zaštitu podataka u mišljenju br.249. iznosi da se vrlo vjerojatno privola ne može smatrati zakonitim pravnim temeljem za obradu osobnih podataka zaposlenika ili potencijalnih zaposlenika, osim ako isti mogu obradu odbiti bez štetnih posljedica.

Legitimni interes voditelja obrade također ne bi mogao biti valjana osnova jer obrada mora biti nužna za postizanje legitimnog interesa, a legitimni interes mora biti zakonit, stvaran i trenutačan te dovoljno jasno opisan odnosno specifičan kako bi se omogućila provedba testa ravnoteže u odnosu na interese i temeljna prava osoba čiji se podaci obrađuju.

V I Š E

Svoje mišljenje temeljili smo na činjenici da Uredba (EU) br. 910/2014 Europskog parlamenta i Vijeća od 23. srpnja 2014. o elektroničkoj identifikaciji i uslugama povjerenja za elektroničke transakcije na unutarnjem tržištu i stavljanju izvan snage Direktive 1999/93/EZ u uvodnoj Izjavi određuje se da se Uredba treba primjenjivati uz puno poštovanje načela povezanih sa zaštitom osobnih podataka predviđenih u Direktivi 95/46/EZ Europskog parlamenta i Vijeća, danas Uredba (EU) 2016/679 (GDPR) i autentikacija bi se za online uslugu trebala odnositi na obradu samo onih identifikacijskih podataka koji su odgovarajući, relevantni i nisu preopsežni, za odobravanje pristupa toj usluzi.

Istom Uredbom (čl 12. stavak 3 točka (d)) određuje se da okvir za interoperabilnost mora osiguravati obradu osobnih podataka u skladu s Direktivom 95/46/EZ, odnosno Općom uredbom (GDPR) kao jedan od kriterija te upućuje na najmanji skup osobnih identifikacijskih podataka koji na nedvojben način predstavljaju fizičku ili pravnu osobu i kojim raspolažu sustavi elektroničke identifikacije.

Uredba (EU) br. 910/2014 određuje da kvalificirani certifikati za elektroničke potpise moraju ispunjavati zahtjeve utvrđene u Prilogu I. a to su:

naznaku, barem u obliku prikladnom za automatiziranu obradu, da je certifikat izdan kao kvalificirani certifikat za elektroničke potpise;

skup podataka koji nedvojbeno predstavlja kvalificiranog pružatelja usluga povjerenja koji izdaje kvalificirane certifikate uključujući barem državu članicu u kojoj pružatelj ima poslovni nastan i
za pravnu osobu: naziv i, kada je to primjenjivo, registracijski broj kako je navedeno u službenoj evidenciji,
za fizičku osobu: ime osobe;
barem ime potpisnika, ili pseudonim; ako se koristi pseudonimom, on se mora jasno naznačiti;
podatke za validaciju elektroničkog potpisa koji odgovaraju podacima za izradu elektroničkog potpisa;
podatke o početku i završetku roka valjanosti certifikata;
identifikacijsku oznaku certifikata koja mora biti jedinstvena za kvalificiranog pružatelja usluga povjerenja;
napredan elektronički potpis ili napredan elektronički pečat kvalificiranog pružatelja usluga povjerenja koji izdaje certifikat;
lokaciju na kojoj je besplatno dostupan certifikat koji podržava napredan elektronički potpis ili napredan elektronički pečat
lokaciju usluga koje se mogu koristiti za ispitivanje statusa valjanosti kvalificiranog certifikata;
ako su podaci za izradu elektroničkog potpisa koji su povezani s podacima za validaciju elektroničkog potpisa smješteni u kvalificiranom sredstvu za izradu elektroničkog potpisa, odgovarajuću naznaku navedenog, barem u obliku prikladnom za automatiziranu obradu.

Slijedom navedenog, temeljili smo svoje stajalište da postoji prekomjerna obrada osobnih podataka u elektronskom potpisu i da je isti potrebno uskladiti s važećom regulativom koristeći samo ime potpisnika ili pseudonim a što je sada u svom mišljenju potvrdilo i nadležno nadzorno tijelo.