No, może nie do końca, ale z pewnością nie będzie to forma rekomendowana przez Prezesa UODO. W tym wpisie poruszę temat weryfikacji tożsamości i jednego z komunikatów Prezesa UODO na ten temat.
Weryfikacja tożsamości
Weryfikacja tożsamości to istotny element ochrony danych osobowych. W końcu trzeba wiedzieć z kim się rozmawia. Nieprawidłowości w tym obszarze mogą spowodować ujawnienie danych nieuprawnionej do tego osobie. Może to być zwykła pomyłka, ale mogą na tym skorzystać również przestępcy, którzy podszywają się pod ofiarę.
Weryfikacja tożsamości może odbywać się zarówno twarzą w twarz, jak i na odległość. W tym pierwszym przypadku jest to o tyle prostsze, że wystarczy okazanie dowodu tożsamości. Większym wyzwaniem może okazać się prawidłowe zidentyfikowanie osoby, której nie nie ma na miejscu. W tym przypadku pomocne są np. pytania skierowane do tej osoby, które są oparte na danych, które administrator już posiada. Choć możliwości jest oczywiście znacznie więcej, by wspomnieć choćby o aplikacjach mobilnych.
Numer ewidencyjny PESEL jako weryfikacja tożsamości
Jedną z danych osobowych najczęściej wykorzystywanych do weryfikacji tożsamości jest numer ewidencyjny PESEL. Umożliwia on jednoznaczną identyfikację osoby, przez co jest do tego powszechnie wykorzystywany. Próbują z niego korzystać także przestępcy. Z tego powodu ustawodawca przewidział możliwość zastrzeżenia numeru PESEL, np. w aplikacji mObywatel.
Jak pytać, by prawidłowo zweryfikować tożsamość?
Wracając do pytań, które pomagają potwierdzić tożsamość. O co pytać? A może – przede wszystkim – jak pytać? Jeżeli chcesz zweryfikować czyjąś tożsamość zapytaj tę osobę o dane, które już posiadasz. To istotne, abyś posiadał odpowiedź na zadane pytanie. Po pierwsze, co oczywiste, aby móc porównać przekazane przez weryfikowaną osobę informacje z już wcześniej potwierdzonymi. Po drugie, co mniej oczywiste, aby nie pozyskiwać dodatkowych danych, co do których niekoniecznie posiadasz akurat przesłankę przetwarzania.
Ważne, abyś to Ty zadał pytanie. Weryfikacja tożsamości oparta o informacje wyrecytowane przez rozmówcę może nie doprowadzić do spodziewanego rezultatu. Może się zdarzyć, że oszuści, którzy wcześniej pozyskali dane osobowe z ataku hakerskiego lub wycieku, którego wynik został udostępniony w Darknecie, będą próbowali zbudować zaufanie przez zasypanie Cię wiarygodnymi informacjami na temat osoby, pod którą się podszywają.
Pytania powinny pozostać na poziomie podstawowym. Im prostsze dane, tym lepiej. Unikniesz w ten sposób przekazania niechcianej informacji niepowołanej osobie. W zależności od tego, jakimi danymi dysponujesz, możesz zapytać o imię i nazwisko, datę urodzenia, numer PESEL (a najlepiej jego konkretną część, na wypadek gdyby ktoś podsłuchiwał rozmowę😉), serię i numer dowodu osobistego, dane adresowe. Często spotykałem też pytanie o imię ojca i nazwisko panieńskie matki, ale…
Komunikat Prezesa UODO
Wygląda na to, że weryfikacja tożsamości oparta o imię ojca przechodzi już do lamusa. Prezes UODO wydał komunikat, w którym stwierdził, że nie ma potrzeby potwierdzania tożsamości w oparciu o dane osoby trzeciej. I w sumie trudno się z tym nie zgodzić. Tak jak wskazuje Prezes UODO jest wystarczająco dużo innych danych, które mogą doprowadzić do tego samego rezultatu.
Jak pisze UODO: Identyfikacja osoby poprzez dane jej rodzica jest reliktem, wobec innych możliwości ustanowionych w systemie prawnym na przestrzeni ostatnich dekad. Taka praktyka nie znajduje też uzasadnienia z punktu widzenia zasad dotyczących przetwarzania danych osobowych, zwłaszcza zasady minimalizacji.
Wiadomo więc już oficjalnie, że imię ojca do weryfikacji tożsamości się już nie przyda. Pozostaje pytanie, co z nazwiskiem panieńskim matki. Czy podzieli los małżonka?