Najčešće je indirektna identifikacija prilično intuitivna, ali ponekad može postati kontraintuitivna, posebno u početku upravljanja osobnim podacima. Blog post Identifikacija pojedinca putem osobnih podataka natjerat će vas da razmislite o osnovama identifikacije privatne osobe putem osobnih podataka i obraditi sve teme o kojima trebate razmišljati kad upravljate identificiranjem ili identifikacijom.

Osoba je indirektno identificirana putem alfanumeričkog jednostavnog identifikatora, obično dodijeljenog od strane entiteta visoke ovlasti (državna tijela, banke, telekomunikacije), a identifikatori koje izdaju su matični brojevi, telefonski brojevi, brojevi bankovnih računa i slični identifikatori. Ti jednostavni identifikatori mogu identificirati ili omogućiti identifikaciju prirodne osobe sužavanjem skupine kojoj osoba pripada. Međutim, podaci iz tih vrsta izvora nisu savršeni i uvijek pouzdani - često se događa da roditelj registrira mobilni telefon za svoju djecu, da braća to čine međusobno, da osoba koristi više od jedne banke, da djeca koriste kartice svojih roditelja, da supružnici koriste kartice jedno drugoga. Navedene situacije stvaraju buku u podacima i čine ih manje pouzdanimima od matičnog broja (ili bilo kojih drugih vladinih izdanih osobnih identifikacijskih brojeva, kodova ili oznaka).

Ako informacija koja je dostupna nije dovoljna za njihovo identificiranje, ali dostupni podaci moraju biti korišteni zajedno s drugim informacijama na koje je pojedinac sposoban i ima pravo razumno i zakonito pristupiti od treće strane ili drugog izvora dajući dostupne osobne podatke kako bi se dobili dodatni osobni podaci koji identificiraju određenu osobu.

Primjeri jednostavnih identifikatora navedeni su u obliku grafičkih točaka u nastavku:

• broj registarske oznake vozila - policija ima registar registarskih oznaka povezanih s vlasnicima vozila, tako da policija može identificirati određenu osobu (vlasnika vozila), ali to neće učiniti bez odgovarajuće pravne osnove (svrha obrade podataka, npr. prometna nesreća)
• matični broj je jedinstven za svaku osobu u zemlji i izdaje ga porezna ili druga tijela - pojedinac može zatražiti izdavačko tijelo i druge osobne podatke o određenoj osobi koja se poziva na matični broj
• broj putovnice, broj osobne iskaznice, broj vozačke dozvole ili bilo koji drugi dokument izdan od strane vlade - policija ima registar identifikacijskih dokumenata i njihovih nositelja
• broj bankovnog računa u IBAN formatu izdan od banke - pojedinac može zatražiti od banke i druge osobne podatke o određenoj osobi koja se poziva na IBAN
• telefonski broj izdan od pružatelja telekomunikacijskih usluga - pojedinac može zatražiti od telefonske tvrtke osobne podatke o određenoj osobi koja se poziva na određeni jedinstveni broj telefona
• unos alfanumeričkog koda dostavljenog osobi SMS-om od strane upravitelja podataka koji zahtijeva da pojedinac potvrdi svoj identitet, gdje kôd brzo istječe (u minutama)
• korištenje bankarskih mobilnih tokena (koji se koriste za potpisivanje bankarskih transakcija na stolnim računalima), mobilnih aplikacija koje generiraju ključ-vrijednost parove za autentifikaciju gdje je ključ konstanta koja identificira uređaj i indirektno korisnika, a slučajni broj (provjerljiv ključ-vrijednost) generira se odmah nakon unosa ispravnog PIN-a, ili se 2D barkod skenira pri čemu se unosi ispravan PIN na web aplikaciji ili čak postavlja sigurnosno pitanje. Ti m-tokeni integrirani su s aplikacijom koja zahtijeva visoku razinu povjerenja u indirektnu potvrdu identiteta od treće strane, praktički jamčeći da je ako je postupak autentifikacije uspješan, to bio očekivani specifični pojedinac koji je autentificiran. Postaje sve popularnije da su svi PIN-ovi dužine 6 umjesto 4 znamenki i unose se na tipkovnici koja podsjeća na birani broj telefona, ali svaki put pokazuje različiti redoslijed brojeva, što otežava zloupotrebu
• korištenje dvostrukog faktorskog autentifikacije s proizvodima trećih strana, poput Google Autentifikatora ili Microsoft Autentifikatora koji generiraju 8-znamenkasti numerički kod svake sekunde, a taj kod identificira pametni telefon i posljedično povećava vjerojatnost da određena osoba pokušava autentificirati se
• postupno uvođenje kvalificiranih digitalnih potpisa s kvalificiranim vremenskim žigom danima od lokalnih vlasti (u svakoj članici EU-a) i posebno onih koji su zaslužili biti navedeni na nacionalnim popisima povjerenih eIDAS-a i EU popisu povjerenih eIDAS popisima (na popisu su uglavnom specijalizirane tvrtke za upravljanje digitalnim identitetom, banke, financijske institucije, nacionalni poštanski operateri, ministarstva i druga državna tijela, poput državnih agencija koje se bave financijama, trgovinom i obranom)

Indirektno identificiranje također uključuje konzultiranje javno dostupnih izvora za mnoge vrste podataka:

• online telefonski imenici (npr. moguće je pretraživati ime, adresu i grad za telefonski broj i obratno)
• društvene mreže (npr. Facebook je imao značajku da ako se u polje za pretraživanje unese mobilni telefon, rezultat pretraživanja bio bi Facebook profil)
• vijesti (npr. pretraživanje na mreži političkih stajališta o određenim temama, vjerskih stajališta, sportskih povezanosti određenog poslovnog čovjeka kako bi se pripremio za sastanak i koristile te informacije kao sredstvo pregovora)
• blogovi određenih autora (npr. saznati njihov stav o određenoj temi ili iskustvo u određenom području, profili na društvenim mrežama, itd.)
• ostali javno dostupni online izvori (npr. prilikom provođenja dubinske analize potencijalnog zaposlenika pregledavanjem rezultata pretraživača)

Ako se neki izvorni podaci (ili skup podataka) ne mogu koristiti za identifikaciju određene osobe ili ih učiniti identificirajućima, ali kada se koriste s drugim podacima, izvorni podaci trebaju se smatrati osobnim podacima i podliježu GDPR-u i svim zaštitama koje osigurava ispitaniku podataka te svim obvezama koje nameće upravitelju podataka i obrađivaču podataka.

Nemojte griješiti, traženje od treće strane da dostavi dodatne osobne podatke pružajući im neke osobne podatke je obradna aktivnost.

Prijenos male svote novca (npr. 1,00 EUR ili 1,00 USD) uz referentni kod jedinstven za određenu osobu unesen u nalog za bankovni prijenos prilikom izvršavanja početnog malog prijenosa na internetsku banku čest je korak u postupku indirektne potvrde identiteta.

Ovaj blog post dostupan je od strane autora koji je licencirani interni auditor za ISO 27001 i ima bogato iskustvo u upravljanju privatnošću. Ovaj blog namijenjen je isključivo u edukacijske svrhe kao i za prikaz stajališta autora o tome kako poslovanje shvaća zakon, a ne za pružanje konkretnog pravnog savjeta. Koristeći ovu blog stranicu, razumijete da ne postoji odnos odvjetnika i klijenta između vas i izdavača ovog bloga. Blog ne bi trebao biti korišten kao zamjena za stručni pravni savjet od strane licenciranog profesionalnog odvjetnika. Stajališta autora ne moraju nužno predstavljati stajališta Infraneta (vidi naše podatke o osnivanju) niti predstavljaju obećanje. Fotografije: Pexels.com