Η αποστολή αστυνομικής ταυτότητας ως προϋπόθεση για την εξέταση αιτήματος του υποκειμένου των δεδομένων
Μια πρακτική αρκετά συνηθισμένη και πολύ προβληματική
12/05/2022
12/05/2022
Ένα από τα ζητήματα που εξετάστηκαν στην πρόσφατη υπ’ αριθμ. 19/2022 απόφαση της Αρχής Προστασίας Δεδομένων ήταν και εκείνο του αιτήματος του υπευθύνου επεξεργασίας προς την καταγγέλλουσα για αποστολή αντιγράφου της αστυνομικής της ταυτότητας. Το αίτημα αυτό αποτελούσε προϋπόθεση για την ικανοποίηση του αιτήματος πρόσβασης που αυτή είχε ασκήσει.
Σύμφωνα με το ιστορικό της υπόθεσης (οι επισημάνσεις από τον συντάκτη του παρόντος):
«Ανεξαρτήτως των ανωτέρω, σύμφωνα με την καταγγελλόμενη, σε συνέχεια του αιτήματος πρόσβασης της καταγγέλλουσας, στις … ζήτησε από την καταγγέλλουσα να συμπληρώσει τη σχετική έντυπη φόρμα άσκησης του δικαιώματος πρόσβασης καθώς και να αποστείλει τα σχετικά έγγραφα της ταυτότητάς της για τον έλεγχο της ταυτοπροσωπίας. Εν συνεχεία, στις … με σχετική επιστολή που απέστειλε στην καταγγέλλουσα την ενημέρωνε ότι, α) επεξεργάζεται εν γένει τα δεδομένα των υπαλλήλων σύμφωνα με τη Δήλωση Προστασίας Προσωπικών Δεδομένων Υπαλλήλων, β) αναφορικά με το ασκηθέν δικαίωμα πρόσβασης, επειδή η αναζήτηση και η ανάληψη του σχετικού φυσικού αρχείου καθίστατο δυσχερής λόγω των έκτακτων μέτρων αντιμετώπισης του κορωνοϊού και της τηλεργασίας, η καταγγελλόμενη είχε δρομολογήσει τις απαιτούμενες ενέργειες επί του αιτήματος μέχρι το τέλος …, ενώ επαναλάμβανε ότι για να της χορηγήσει αντίγραφα των δεδομένων που αιτείτο θα χρειάζονταν σε κάθε περίπτωση έγγραφο αποδεικτικό της ταυτότητάς της. Κατέληγε δε αναφέροντας ότι ανταποκρίθηκε εμπροθέσμως και προσηκόντως στο αίτημα της καταγγέλλουσας, δεδομένου ότι στις … ζητήθηκε από την καταγγέλλουσα να συμπληρώσει τη σχετική αίτηση πρώην υπαλλήλου για πρόσβαση σε προσωπικές πληροφορίες και να επισυνάψει αποδεικτικά έγγραφα ταυτότητας για τον έλεγχο της ταυτοπροσωπίας, εντούτοις η καταγγέλλουσα αρνήθηκε, αποστέλλοντας την απάντησή της από, άγνωστη στην καταγγελλόμενη, διεύθυνση ηλεκτρονικού ταχυδρομείου.»
Επί των ανωτέρω, η Αρχή έκρινε ότι:
«Ως προς τον ισχυρισμό της καταγγελλόμενης ότι το αίτημα της καταγγέλλουσας κατέστη πλήρες μόλις έλαβε αντίγραφο της ταυτότητάς της, αυτός τυγχάνει απορριπτέος, διότι στην προκείμενη περίπτωση κρίνεται ότι δεν ήταν απαραίτητη η προσκόμιση αντιγράφου εγγράφου ταυτοποίησης της καταγγέλλουσας λαμβανομένου υπόψη του γεγονότος ότι η τελευταία ήταν πρόσωπο γνωστό στην καταγγελλόμενη και εργάσθηκε στη … της ως … σε συνδυασμό με το γεγονός ότι η εξακρίβωση της ταυτότητάς της θα μπορούσε να επιτευχθεί μέσω τηλεφωνικής επικοινωνίας (δεδομένου ότι ο αριθμός κινητού τηλεφώνου της καταγγέλλουσας αναγράφονταν στην αίτηση με την οποία ασκήθηκε το δικαίωμα πρόσβασης και συνεπώς ήταν γνωστός στην καταγγελλόμενη)»[1].
Η περίπτωση αυτή παρουσιάζει ενδιαφέρον, καθώς αναδεικνύει την πρακτική αρκετών υπευθύνων επεξεργασίας να θέτουν ως προϋπόθεση για την εξέταση οποιουδήποτε αιτήματος των υποκειμένων των δεδομένων την αποστολή αντιγράφου της αστυνομικής ταυτότητάς τους, σχεδόν πάντοτε σε πλήρη μορφή, ενίοτε δε και επικυρωμένου. Στην ίδια κατηγορία εντάσσονται και περιπτώσεις όπου το υποκείμενο καλείται αορίστως να επισυνάψει «αποδεικτικά» ή «έγγραφα ταυτοποίησης»
Πρόκειται για μια πρακτική, που τυπικά έχει ως σκοπό την προστασία τόσο του υπευθύνου επεξεργασίας από περιστατικά παραβίασης (μη εξουσιοδοτημένη πρόσβαση, μη ζητηθείσα διαγραφή κοκ) σε δεδομένα προσωπικού χαρακτήρα που αυτός τηρεί, όσο και του ίδιου του υποκειμένου από παράνομες ενέργειες τρίτων προσώπων. Η πρακτική όμως αυτή εν τέλει καταλήγει (αν όχι αποσκοπεί ουσιαστικά εξαρχής) στο να λειτουργεί αποτρεπτικά για τα ίδια τα υποκείμενα των δεδομένων.
Μια τέτοια απαίτηση - εκ προοιμίου προβαλλόμενη και πριν εξεταστούν τα ειδικά χαρακτηριστικά του αιτήματος[2] - είναι βέβαιο ότι αποθαρρύνει πολλά υποκείμενα που δεν θέλουν να διαβιβάζουν την ταυτότητά τους. Αυτό φυσικά συνιστά σαφή παραβίαση των υποχρεώσεων του άρθρου 12 ΓΚΠΔ, ειδικά της υποχρέωσης διευκόλυνσης της παρ.2.
Παράλληλα, η χωρίς εξαιρέσεις και προϋποθέσεις συλλογή πλήρων αντιγράφων δελτίων ταυτότητας και εγγράφων ταυτοποίησης παραβιάζει και την αρχή της ελαχιστοποίησης των δεδομένων[3]. Δύσκολα θα μπορούσε κανείς να εξηγήσει το γιατί ένας συνδρομητής ή πελάτης εταιρείας, που έχει θέσει σε γνώση της όλες τις προσωπικές του πληροφορίες και τα στοιχεία επικοινωνίας του, πρέπει να της στείλει την αστυνομική του ταυτότητα προκειμένου να αποδείξει ότι είναι αυτός που ισχυρίζεται.
Κατά τρίτον, η πρακτική αυτή συχνά χρησιμοποιείται ως πρόφαση ή ως ευκαιρία για τη μη εξέταση των αιτημάτων που υποβάλλονται. Με τον τρόπο αυτό, οι υπεύθυνοι επεξεργασίας θεωρούν ότι οι προθεσμίες του άρθρου 12 παρ.3 παρατείνονται ή αναστέλλονται, μέχρι να ικανοποιηθεί η απαίτηση αυτή. Τούτο δεν είναι ορθό, όπως άλλωστε κατέστησε σαφές και η ΑΠΔΠΧ 19/2022: Εφόσον κριθεί ότι ένα τέτοιο αίτημα προβλήθηκε χωρίς αυτό να είναι αναγκαίο, ο υπεύθυνος επεξεργασίας δεν μπορεί να ισχυριστεί ότι το αίτημα δεν ήταν πλήρες λόγω της έλλειψης αυτής[4].
Η πρακτική αυτή έχει καταδικαστεί κατ’ επανάληψιν από εποπτικές αρχές του ΓΚΠΔ, ενώ εξετάζεται και στο σχέδιο Κατευθυντηρίων Γραμμών του ΕΣΠΔ για το δικαίωμα πρόσβασης, με τρόπο μάλλον αντιφατικό και ασαφή.
Σκοπός του παρόντος δεν είναι να εκθέσει τις απόψεις του συντάκτη, αλλά να αποτυπώσει ενδεικτικά αποσπάσματα από τα κείμενα αυτά, προς τον σκοπό της ανάδειξης των σχετικών νομικών ζητημάτων.
Στο πλαίσιο αυτό, παρουσιάζεται συνοπτικά η γνώμη του ΕΣΠΔ και στη συνέχεια παρατίθεται ενδεικτική νομολογία εποπτικών αρχών.
Σημαντικότερη από τις αποφάσεις αυτές είναι εκείνη της ιρλανδικής αρχής DPC στην υπόθεση Groupon.
Στο τέλος του κειμένου παρατίθενται και οι συμβουλές του ICO επί του αιτήματος πρόσβασης, τα κείμενα του οποίου έχουν πάντοτε μεγάλο ενδιαφέρον.
1) Τι λέει το ΕΣΠΔ για την πρακτική αυτή.
Το ζήτημα της αποστολής αστυνομικής ταυτότητας εξετάζεται από το Συμβούλιο στις Κατευθυντήριες Γραμμές 1/2022 για το δικαίωμα πρόσβασης, υπό το πνεύμα που χαρακτηρίζει ολόκληρο το κείμενο: με ασάφειες και αντιφάσεις.
Σύμφωνα με τις Κατευθυντήριες, η χρήση εγγράφου ταυτότητας, ως μέρος της διαδικασίας ταυτοποίησης, δημιουργεί κινδύνους για την ασφάλεια των προσωπικών δεδομένων και μπορεί να οδηγήσει σε παράνομη επεξεργασία. Ως εκ τούτου πρέπει να θεωρηθεί ως μη κατάλληλη, εκτός εάν αυτή είναι απολύτως αναγκαία και σύμφωνη με τις διατάξεις του εθνικού δικαίου. Το ΕΣΠΔ επισημαίνει πως η ταυτοποίηση μέσω αστυνομικής ταυτότητα δεν είναι κατ’ ανάγκην χρήσιμη στο επιγραμμικό περιβάλλον (πχ. με τη χρήση ψευδωνύμων), όταν το πρόσωπο δεν μπορεί να προσκομίσει άλλα στοιχεία για αντιστοίχιση με τον λογαριασμό του.
Σε κάθε περίπτωση όμως, επισημαίνει το ΕΣΠΔ, ακόμη και αν γίνει δεκτό ότι η συλλογή αντιγράφου ταυτότητας είναι αναγκαία για την αναγνώριση του υποκειμένου των δεδομένων, δεν μπορούμε να δεχθούμε ότι όλες οι πληροφορίες επί του εγγράφου είναι χρήσιμες και συναφείς. Στην κατηγορία των πληροφοριών που είναι πραγματικά αναγκαίες, το Συμβούλιο κατατάσσει την ημερομηνία έκδοσης, την εκδούσα αρχή και το πλήρες ονοματεπώνυμο, ενώ σε κάποιες περιπτώσεις μπορεί να απαιτείται και η ημερομηνία γέννησης. Αντίθετα, πληροφορίες όπως ο Αριθμός Δελτίου Ταυτότητας, η εθνικότητα, το ύψος, το χρώμα ματιών και η φωτογραφία πρέπει να αποκρύπτονται από το υποκείμενο, πριν την αποστολή τους στον υπεύθυνο επεξεργασίας.
Στο πλαίσιο αυτό και προς τον σκοπό της εκπλήρωσης της αρχής της ελαχιστοποίησης, ο υπεύθυνος επεξεργασίας οφείλει να ενημερώνει το υποκείμενο σχετικά με τις πληροφορίες που δεν είναι αναγκαίες, καθώς και για τη δυνατότητά του να τις αποκρύψει πριν διαβιβάσει το έγγραφο. Εάν μάλιστα το υποκείμενο δεν είναι σε θέση να κάνει την απόκρυψη αυτή, ως καλή πρακτική προτείνεται η διενέργειά της από τον ίδιο τον υπεύθυνο επεξεργασίας αμέσως μετά τη λήψη του εγγράφου.
Τέλος, το Συμβούλιο διαπιστώνει ότι υπάρχουν περιπτώσεις όπου η ταυτοποίηση μέσω δελτίου ταυτότητας μπορεί να είναι αναγκαία, όπως πχ. στην περίπτωση επεξεργασίας που περιλαμβάνει δεδομένα ειδικών κατηγοριών ή που ενδέχεται να επιφέρει κίνδυνο. Παράλληλα, προτείνεται η λήψη των κατάλληλων τεχνικών και οργανωτικών μέτρων για την ασφάλεια των δεδομένων που συλλέγονται, πχ. μέσω της καταστροφής του αποσταλέντος δελτίου ταυτότητας.[5]
2) Τι έχουν κρίνει οι εποπτικές αρχές του ΓΚΠΔ.
Σε αντίθεση με τις μάλλον ασαφείς παρατηρήσεις του ΕΣΠΔ, οι εποπτικές αρχές έχουν θέσει πολύ σαφέστερους κανόνες ως προς τις προϋποθέσεις συλλογής αστυνομικών ταυτοτήτων και αποδεικτικών ταυτοποίησης προς τον σκοπό της επιβεβαίωσης της ταυτότητας του υποκειμένου των δεδομένων. Οι κανόνες αυτοί ξεκινούν με αφετηρία την υποχρεωτική επίκληση και απόδειξη των προϋποθέσεων του άρθρου 12 παρ.6 ΓΚΠΔ, χωρίς την οποία ένα τέτοιο αίτημα δεν είναι νόμιμο.
Επισημαίνεται ότι τα κείμενα που ακολουθούν αποτελούν ελεύθερη απόδοση των πρωτοτύπων από του συντάκτη του παρόντος, με σκοπό την παρουσίασή τους κατά τρόπο συνοπτικό και εύληπτο. Το πλήρες κείμενο των αποφάσεων μπορεί να εντοπιστεί στους αντίστοιχους υπερσυνδέσμους που παρατίθενται.
Η γαλλική αρχή [CNIL]:
Στην απόφαση EDPBI:FR:OSS:D:2019:3 του αρχείου αποφάσεων του άρθρου 60 η CNIL έκρινε ότι[6]:
«Καθόλη τη διάρκεια άσκησης των δικαιωμάτων, ο υπεύθυνος επεξεργασίας είναι αυτός που έχει την υποχρέωση να βεβαιώσει πως το πρόσωπο που υποβάλλει το αίτημα είναι το υποκείμενο των δεδομένων.
Στην περίπτωση ευλόγων αμφιβολιών, αυτός μπορεί να ζητήσει την απόδειξη της ταυτότητας του αιτούντος (Άρθρο 12.6 ΓΚΠΔ). Ωστόσο, ένα τέτοια αίτημα δεν μπορεί να οδηγεί το υποκείμενο στην παροχή περισσότερων δεδομένων από όσα είναι αναγκαία, κατ’ εφαρμογή της αρχής της ελαχιστοποίησης, ενώ το υλικό και τα έγγραφα που ζητούνται πρέπει να είναι συναφή και αναλογικά εν όψει του επιδιωκόμενου σκοπού.
Το επίπεδο της ταυτοποίησης που διενεργείται αποτελεί συνάρτηση της φύσης του αιτήματος, της ευαισθησίας των διαβιβαζόμενων πληροφοριών και του πλαισίου, εντός του οποίου έχει το αίτημα υποβληθεί. Για παράδειγμα, είναι δυσανάλογο να ζητείται το αντίγραφο δελτίου ταυτότητας όταν ο αιτών έχει υποβάλει το αίτημά του μέσα σε περιβάλλον, στο οποίο αυτός είναι ήδη ταυτοποιημένος. Ένα δελτίο ταυτότητας μπορεί, για παράδειγμα, να ζητείται εάν υπάρχει υποψία για identity theft ή για παραβίαση λογαριασμού. […]
Υπό τα δεδομένα αυτά, η καταγγελλόμενη εταιρεία δεν έπρεπε να έχει ζητήσει από το υποκείμενο την αποστολή αντιγράφου δελτίου ταυτότητας, αμέσως μετά την υποβολή του αιτήματος, χωρίς πρώτα να ελέγξει εάν υπάρχουν εύλογες αμφιβολίες ή εάν το έγγραφο αυτό ήταν συναφές και αναλογικό».
Η δανική αρχή [Datatilsynet]:
Στην απόφαση EDPBI:DK:OSS:D:2019:69, η Datatilsynet έκρινε ότι:
«Σύμφωνα με το Άρθρο 12(6) ΓΚΠΔ, όταν ο υπεύθυνος επεξεργασίας έχει εύλογες αμφιβολίες σχετικά με την ταυτότητα του φυσικού προσώπου, που υποβάλλει το αίτημα που αναφέρεται στα άρθρα 15 έως 21, μπορεί να ζητήσει την παροχή πρόσθετων πληροφοριών αναγκαίων για την επιβεβαίωση της ταυτότητας του υποκειμένου των δεδομένων.
Επίσης, από τις αρχές που διέπουν την επεξεργασία προσωπικών δεδομένων του ΓΚΠΔ προκύπτει ότι τα προσωπικά δεδομένα πρέπει να είναι κατάλληλα, συναφή και να περιορίζονται στο αναγκαίο για τους σκοπούς για τους οποίους υποβάλλονται σε επεξεργασία, σύμφωνα με το Άρθρο 5(1)(γ). […]
Κατά την εξέταση της υπόθεσης, η Datatilsynet διαπιστώνει πως η γενική πρακτική της εταιρείας, σύμφωνα με την οποία, η ταυτοποίηση μέσω δελτίου ταυτότητας απαιτείται χωρίς εξαιρέσεις για την επεξεργασία αιτημάτων των υποκειμένων των δεδομένων, δεν είναι σύμφωνη με τα Άρθρα 12(6) και 5(1)(γ) ΓΚΠΔ.
Η Datatilsynet επισημαίνει πως το Άρθρο 12(6) ΓΚΠΔ απαιτεί από τον υπεύθυνο επεξεργασίας να διενεργήσει ειδική αξιολόγηση ως προς το αν υπάρχουν ή όχι εύλογες αμφιβολίες σχετικά με την ταυτότητα του προσώπου που ασκεί το δικαίωμα του υποκειμένου. Η Datatilsynet εκτιμά ότι στο πλαίσιο αυτό, το γεγονός της ύπαρξης επιγραμμικής συναλλακτικής σχέσης δεν σημαίνει ότι πάντοτε θα υπάρχουν εύλογες αμφιβολίες ως προς την ταυτότητα του προσώπου.
Παράλληλα, η Datatilsynet δίνει έμφαση στο ότι ένα αίτημα παροχής πρόσθετων πληροφοριών προς τον σκοπό της ταυτοποίησης του προσώπου πρέπει να είναι αναλογικό, σύμφωνα με το Άρθρο 5(1)(γ), ως εκ τούτου ο υπεύθυνος επεξεργασίας δεν πρέπει να ζητά περισσότερες πληροφορίες από εκείνες που είναι αναγκαίες για την ταυτοποίηση. Η Datatilsynet κρίνει ότι ο οργάνωση μιας διαδικασίας, σύμφωνα με την οποία το υποκείμενο πρέπει να παρέχει περισσότερες πληροφορίες από εκείνες που είχαν αρχικά συλλεγεί, προκειμένου να ασκήσει τα δικαιώματα του υποκειμένου, δεν είναι σύμφωνη με το Άρθρο 12(2) ΓΚΠΔ.
Το γεγονός ότι η εταιρεία δεν κατάφερε να διαμορφώσει τα συστήματά της με τέτοιο τρόπο ώστε, για παράδειγμα, να αποδίδονται σε υποκείμενα μοναδικά αναγνωριστικά, δεν μπορεί να δικαιολογήσει το ότι η εταιρεία ζητά ανεξαιρέτως από όλα τα υποκείμενα να παράσχουν απόδειξη της ταυτότητάς τους, προκειμένου να ασκήσουν τα δικαιώματά τους από τον Κανονισμό. Κατά τη γνώμη της Datatilsynet, η γενική διαδικασία αναγνώρισης ταυτότητας υπερβαίνει το αναγκαίο και δυσχεραίνει το υποκείμενο στην άσκηση των δικαιωμάτων του.»
Η εποπτική αρχή του Βερολίνου [BInBDI]:
Στην απόφαση EDPBI:DEBE:OSS:D:2020:87, ο Επίτροπος Προστασίας Προσωπικών Δεδομένων του Βερολίνου έκρινε ότι ακόμη και η σε δεύτερο χρόνο προβαλλόμενη απαίτηση για χορήγηση πρόσθετων πληροφοριών μπορεί να είναι προβληματική, ειδικά σε ένα επιγραμμικό περιβάλλον:
«Στην παρούσα υπόθεση, ο καταγγέλλων υπέβαλε αίτημα διαγραφής των προσωπικών δεδομένων του στις 14 Ιανουαρίου 2019. Στις 27-1-2019 του ζητήθηκε να υποβάλει πρόσθετες πληροφορίες, καθώς η εταιρεία σας δεν μπορούσε να επιβεβαιώσει πως αυτός ήταν ο ιδιοκτήτης του λογαριασμού. Εξαιτίας του αιτήματος αυτού, καμία διαγραφή δεδομένων δεν διενεργήθηκε.
Σύμφωνα με το Άρθρο 12(6) ΓΚΠΔ, ο υπεύθυνος επεξεργασίας δύναται να ζητήσει πρόσθετες πληροφορίες μόνον εφόσον έχει εύλογες αμφιβολίες ως προς την ταυτότητα του προσώπου. Στην περίπτωση αυτή πρέπει να τηρείται η αρχή της ελαχιστοποίησης, σύμφωνα με το άρθρο 5 παρ.1γ’ ΓΚΠΔ.
Ο καταγγέλλων υπέβαλε το αίτημα διαγραφής δεδομένων του μέσα από την υπηρεσία εξυπηρέτησης διαχείρισης λογαριασμών, κατόπιν εισόδου του με τη χρήση των δηλωθέντων στοιχείων του. Το αίτημα για πρόσθετα δεδομένα δεν ικανοποιεί την ελαχιστοποίηση δεδομένων προς τον σκοπό της ταυτοποίησης, κατά την έννοια του άρθρου 5 παρ.1γ’ ΓΚΠΔ. Το αίτημα για τόσο πολλά δεδομένα ήταν μη αναγκαίο και δυσχέραινε την άσκηση του δικαιώματος διαγραφής του υποκειμένου».
Το ίδιο ζήτημα εξετάστηκε από τη γερμανική εποπτική αρχή και στην Ετήσια Έκθεση του 2020:
«Μολονότι ο ΓΚΠΔ προβλέπει τον έλεγχο της ταυτότητας μόνο σε περιπτώσεις ευλόγων αμφιβολιών, έχουμε δεχθεί μεγάλο αριθμό καταγγελιών εξαιτίας του αιτήματος υπευθύνων επεξεργασίας για πρόσθετες πληροφορίες, αποδεικτικά στοιχεία και ενέργειες, ως προϋπόθεση για την εξέταση αιτημάτων των υποκειμένων (ειδικά αιτημάτων διαγραφής)»
[…] Ορισμένες εταιρίες ζητούσαν μέχρι και αντίγραφα δελτίων ταυτότητας για τη διαγραφή λογαριασμών, μολονότι καμία επιβεβαίωση δεδομένων δεν είχε προηγηθεί κατά τη δημιουργία των λογαριασμών, ενώ στην περίπτωση των δωρεάν λογαριασμών είχαν συλλεγεί μόνο το όνομα και η διεύθυνση ηλεκτρονικού ταχυδρομείου. Ειδικά η απαίτηση μιας εταιρείας για επικυρωμένο φωτοαντίγραφο δελτίου ταυτότητας που θα αποστελλόταν σκαναρισμένο μέσω email ήταν παράδοξη.
Οι υπεύθυνοι επεξεργασίας μπορούν να ζητούν πρόσθετες πληροφορίες στην περίπτωση ευλόγων αμφιβολιών. Ωστόσο, πρέπει να τηρούν την αρχή της ελαχιστοποίησης. Ο απλώς αφηρημένος κίνδυνος της παραποίησης της διεύθυνσης αλληλογραφίας του αποστολέα δεν μπορεί να έχει ως αποτέλεσμα την αρχική απόρριψη των αιτημάτων για λόγους περαιτέρω σύγκρισης και επιβεβαίωσης δεδομένων ή την καθυστέρηση στην εξέταση αυτών. Στις περιπτώσεις που ετέθησαν σε γνώση μας, δεν υπήρχε καμία ένδειξη ότι υπήρχε το ενδεχόμενο οι διευθύνσεις email να έχουν χρησιμοποιηθεί από τρίτους. […]
Ειδικότερα, ο ΓΚΠΔ προβλέπει την υποχρέωση των υπευθύνων επεξεργασίας να διευκολύνουν την άσκηση των δικαιωμάτων των υποκειμένων. […] Το αίτημα για πρόσθετες πληροφορίες, αποδεικτικά στοιχεία και επιβεβαίωση χωρίς εύλογες αμφιβολίες ως προς την ταυτότητα δημιουργεί ένα πρόσθετο εμπόδιο για τα υποκείμενα των δεδομένων και μπορεί να τα αποθαρρύνει από την άσκηση των δικαιωμάτων τους. Η άσκηση των δικαιωμάτων όμως πρέπει να είναι όσο πιο απλή γίνεται. Κατά συνέπεια, το αίτημα για πρόσθετες πληροφορίες πρέπει να υιοθετείται μόνο σε περιπτώσεις ευλόγων αμφιβολιών ως προς την ταυτότητα των υποκειμένων».
Η σουηδική αρχή [IMY]:
Στην απόφαση EDPBI:SE:OSS:D:2021:178, η IMY δέχθηκε πως η υποβολή αιτήματος από διεύθυνση email διαφορετική από τη δηλωθείσα, δικαιολογεί την επίκληση του άρθρου 12 παρ.6 ΓΚΠΔ:
«Η εταιρεία δέχθηκε αίτημα διαγραφής του λογαριασμού του καταγγέλλοντος στις 29 Νοεμβρίου 2018 (πρώτο αίτημα). Επειδή το αίτημα προερχόταν από διεύθυνση e-mail διαφορετική από εκείνη που είχε συνδεθεί με τον λογαριασμό, η εταιρεία ζήτησε από τον καταγγέλλοντα να αποδείξει την ταυτότητά του, κάτι το οποίο αυτός δεν έκανε.
Στις 29 Μαΐου 2019 υποβλήθηκε νέο αίτημα διαγραφής, αυτή τη φορά μέσω ταχυδρομείου και συνοδεία όλων των αναγκαίων αποδεικτικών για την ταυτότητα του καταγγέλλοντος (δεύτερο αίτημα). Η εταιρεία διέγραψε τα δεδομένα του καταγγέλλοντος, εκτός από τις πληροφορίες που ήταν αναγκαίες για την απόδειξη της διαχείρισης του αιτήματος. […]
Σχετικά με το πρώτο αίτημα, η IMY κρίνει ότι η εταιρεία είχε εύλογες αμφιβολίες για την ταυτότητα του καταγγέλλοντος και άρα δικαίωμα να ζητήσει από αυτόν πρόσθετες αποδείξεις, τις οποίες αυτός δεν παρέσχε. Υπό το πλαίσιο αυτό, η IMY έχει τη γνώμη ότι η εταιρεία δεν ήταν υποχρεωμένη να προχωρήσει σε περαιτέρω ενέργειες επί του αιτήματος».
Η βελγική αρχή [APD]
Πριν από 2 μήνες η βελγική αρχή προστασίας δεδομένων δημοσίευσε την απόφαση DOS-2020-05314, όπου και δεν έχασε την ευκαιρία να αναδείξει παρεμπιπτόντως τη σημασία του ζητήματος:
«Σύμφωνα με την καταγγελία, η καταγγελλόμενη επίσης απαιτεί από το υποκείμενο να υποβάλει αντίγραφο του δελτίου ταυτότητάς του. Η αρχή δεν έχει στοιχεία επί του ζητήματος, πέραν των ισχυρισμών του καταγγέλλοντος. Ωστόσο, επιθυμεί να υπενθυμίσει στην καταγγελλόμενη πως, σύμφωνα με το άρθρο 12.6 ΓΚΠΔ, ο υπεύθυνος επεξεργασίας μπορεί να ζητά πρόσθετες πληροφορίες μόνον όταν αυτός έχει εύλογες αμφιβολίες σχετικά με την ταυτότητα του φυσικού προσώπου που υποβάλλει το αίτημα. Κατά συνέπεια, το συστηματικό αίτημα για φωτοαντίγραφο ή σαρωμένο αντίγραφο της ταυτότητας του υποκειμένου υπερβαίνει την αναλογικότητα.
Η αρχή επισημαίνει στο πλαίσιο αυτό ότι μόνο σε συγκεκριμένες περιπτώσεις όπου, σύμφωνα με το άρθρο 5.2 ΓΚΠΔ, ο υπεύθυνος επεξεργασίας μπορεί να αποδείξει πως δεν είναι σε θέση να αναγνωρίσει το υποκείμενο (άρθρο 11.2 ΓΚΠΔ) ή/και έχει εύλογες αμφιβολίες ως προς την ταυτότητα του αιτούντος (άρθρο 12.6 ΓΚΠΔ), μπορεί αυτός να ζητήσει τις πρόσθετες πληροφορίες που είναι αναγκαίες για την επιβεβαίωση της ταυτότητας του υποκειμένου. Τα πρόσθετα αυτά δεδομένα μπορούν, για παράδειγμα, να συνίστανται σε αντίγραφο της εμπρόσθιας όψης του δελτίου ταυτότητας ή άλλου εγγράφου ταυτοποίησης. Τα υπόλοιπα δεδομένα, τα οποία δεν είναι αναγκαία για την ταυτοποίηση πρέπει προηγουμένως να έχουν καταστεί μη αναγνώσιμα από το υποκείμενο».
3) Η απόφαση της ιρλανδικής αρχής στην υπόθεση Groupon.
Άλλη μια απόφαση που έχει αναρτηθεί στο αρχείο αποφάσεων του άρθρου 60 είναι η EDPBI:IE:OSS:D:2020:166 στην υπόθεση Groupon.
Η απόφαση αυτή παρουσιάζει ιδιαίτερο ενδιαφέρον, καθώς εξετάζει αποκλειστικά το ζήτημα της συλλογής πρόσθετων πληροφοριών για τον σκοπό της ταυτοποίησης. Στην υπόθεση εκείνη, το υποκείμενο επέμεινε μέχρι τέλους στην άρνησή του να στείλει την ταυτότητά του και κατήγγειλε την εταιρεία στην εποπτική αρχή της χώρας του.
Η ιρλανδική DPC, εξετάζοντας την καταγγελία, ως επικεφαλής εποπτική αρχή, απέστειλε σχέδιο απόφασης στις ενδιαφερόμενες εποπτικές αρχές, δύο εκ των οποίων (Βερολίνο και Πολωνία) υπέβαλαν σχετικές και αιτιολογημένες ενστάσεις ζητώντας την άσκηση διορθωτικών εξουσιών, αλλά και την εξέταση τυχόν παραβίασης περισσότερων διατάξεων.
Σύμφωνα με το αρχικό σχέδιο της DPC, η πολιτική της εταιρείας να υποχρεώνει τα υποκείμενα στην αποστολή δελτίων ταυτότητας, ως προϋπόθεση για να εξετάσει τα αιτήματά τους ήταν αντίθετη με τις διατάξεις του Γενικού Κανονισμού[7].
«Η Groupon δεν απέδειξε πως είχε εύλογες αμφιβολίες ως προς την ταυτότητα του καταγγέλλοντος. Στην πραγματικότητα, η τυποποιημένη διαδικασία που ακολουθείτο, την εποχή που ο καταγγέλλων υπέβαλε το αίτημα διαγραφής, απαιτούσε εξαρχής την υποβολή αντιγράφου δελτίου ταυτότητας. Σε περιπτώσεις όπου δεν απαιτείται αντίγραφο δελτίου ταυτότητας για το άνοιγμα ενός λογαριασμού, δεν θα μπορούσε να γίνει αντιληπτό το πώς η υποβολή ενός τέτοιου αντιγράφου θα αντιμετώπιζε αποτελεσματικά τις επιφυλάξεις της εταιρείας ως προς την ταυτότητα του καταγγέλλοντος (καθώς η Groupon δεν τηρούσε ήδη αντίγραφο του δελτίου ταυτότητας, σε σχέση με το οποίο θα μπορούσε να συγκρίνει το υποβληθέν). Τούτο θέτει υπό αμφισβήτηση τη συνάφεια και την αναλογικότητα του αιτήματος για δελτίο ταυτότητας, ακόμη και αν υπάρχουν εύλογες αμφιβολίες ως προς την ταυτότητα του αιτούντος.
[…] Η Groupon ουσιαστικά απαιτούσε από τα υποκείμενα την υποβολή αντιγράφου δελτίου ταυτότητας, προκειμένου να επεξεργαστεί το αίτημα διαγραφής, μολονότι η προσκόμιση ενός τέτοιου αντιγράφου δεν ήταν απαιτούμενη κατά το στάδιο δημιουργίας λογαριασμού, ως εκ τούτου η Groupon δεν είχε τα μέσα για να ελέγξει την εγκυρότητα του όποιου δελτίου ταυτότητας θα υπέβαλε το υποκείμενο.
Λαμβάνοντας υπόψιν τα ανωτέρω, η DPC καταλήγει πως η Groupon έχει παραβιάσει το Άρθρο 5(1)(γ), δια της μη τήρησης της αρχής της ελαχιστοποίησης. Ειδικότερα, η παραβίαση αυτή τελέστηκε όταν η Groupon απαίτησε την υποβολή αντιγράφου δελτίου ταυτότητας, προκειμένου να επιβεβαιώσει τον κάτοχο του λογαριασμού με σκοπό την επεξεργασία αιτήματος διαγραφής, σε περιστάσεις όπου αντίστοιχη ταυτοποίηση δεν λαμβανόταν, ούτε ζητείτο κατά το αρχικό άνοιγμα του λογαριασμού. Είναι σαφές ότι μέσα ταυτοποίησης λιγότερο δεδομενο-κεντρικά (για παράδειγμα η επιβεβαίωση μέσω διεύθυνσης email) ήταν στη διάθεση της Groupon, γεγονός που προκύπτει από την επακολουθήσασα αλλαγή στην πολιτική ιδιωτικότητας της Groupon, όταν και η απαίτηση υποβολής ταυτότητας διακόπηκε.
Περαιτέρω, η Groupon δεν απέδειξε πως είχε εύλογες αμφιβολίες ως προς την ταυτότητα του καταγγέλλοντος, κάτι το οποίο θα μπορούσε να δικαιολογήσει το αίτημα για παροχή πρόσθετων πληροφοριών για την επιβεβαίωση της ταυτότητάς του (υπό τη μορφή του αντιγράφου δελτίου ταυτότητας), σύμφωνα με το Άρθρο 12(6) ΓΚΠΔ. Το γεγονός πως η Groupon τελικά ικανοποίησε το αίτημα διαγραφής χωρίς την υποβολή δελτίου ταυτότητας αποδεικνύει ότι δεν υπήρχαν εύλογες αμφιβολίες ως προς την ταυτότητα του καταγγέλλοντος. Κατά συνέπεια, το αίτημα για πρόσθετες πληροφορίες αποτέλεσε παραβίαση του Άρθρου 12(2) ΓΚΠΔ.»
Το σχέδιο αυτό τέθηκε στη γνώση των ενδιαφερόμενων εποπτικών αρχών, δύο εκ των οποίων προέβαλαν ενστάσεις, ζητώντας από την ιρλανδική αρχή να αναγνωρίσει όλες τις παραβάσεις που τελέστηκαν και να ασκήσει τις διορθωτικές εξουσίες της.
Η αρχή του Βερολίνου πρότεινε την εξέταση της παραβίασης των άρθρων 6 παρ.1, 17 παρ.1α και 12 παρ.3 ΓΚΠΔ, με την DPC να δέχεται τα δύο πρώτα: Η μη εξέταση αιτήματος διαγραφής λόγω μη υποβολής δελτίου ταυτότητας συνιστά παραβίαση της υποχρέωσης που θέτει το άρθρο 17 παρ.1α στον υπεύθυνο επεξεργασίας, ενώ παράλληλα η συνέχιση της επεξεργασίας των δεδομένων, παρά την υποβολή σχετικού αιτήματος διαγραφής, καθιστά αυτή μια επεξεργασία χωρίς νομική βάση. Κατά συνέπεια, η Groupon είχε παραβιάσει τα άρθρα 17 και 6 ΓΚΠΔ.
Το Βερολίνο έθεσε και μια ακόμη παράμετρο στα ζητήματα νομιμότητας της πρακτικής αυτής, εκείνη της ασφάλειας του άρθρου 32 ΓΚΠΔ. Ζήτησε από την ιρλανδική αρχή να εξετάσει το κατά πόσον η απαίτηση ενός υπευθύνου επεξεργασίας για την αποστολή δελτίων ταυτότητας των υποκειμένων μέσω απλών μηνυμάτων email είναι σύμφωνη τις απαιτήσεις ασφάλειας που θέτει ο Γενικός Κανονισμός. Το αίτημα αυτό απορρίφθηκε από την ιρλανδική αρχή, καθώς η προηγηθείσα έρευνα και διαδικασία δεν είχε επεκταθεί στα ζητήματα αυτά.
Η εποπτική αρχή της Πολωνίας πρότεινε την εξέταση της τυχόν παραβίασης των άρθρων 17 παρ.1β, 5 παρ.1ε-στ, 24 και 25 ΓΚΠΔ, ενώ επίσης έθεσε τα ζητήματα νομιμότητας του άρθρου 32. Η DPC δεν υιοθέτησε καμία από τις προτάσεις της.
Το τελικό σχέδιο κατέληξε στο ότι η απαίτηση της Groupon για υποβολή αντιγράφου δελτίου αστυνομικής ταυτότητας, προκειμένου να εξετάσει αίτημα του υποκειμένου, παραβίαζε τέσσερις διατάξεις του Γενικού Κανονισμού:
την αρχή της ελαχιστοποίησης (άρθρο 5 παρ.1γ), την υποχρέωση διευκόλυνσης στην άσκηση δικαιωμάτων του υποκειμένου (άρθρο 12 παρ.2), την υποχρέωση διαγραφής των δεδομένων (άρθρο 17 παρ.1α) και την ίδια τη νομιμότητα της περαιτέρω επεξεργασίας των δεδομένων αυτών (άρθρο 6 ΓΚΠΔ).
4) Οι Κατευθύνσεις του ICO.
Στα τέλη του 2020, η βρετανική αρχή εξέδωσε αναλυτικό κείμενο για τον τρόπο χειρισμού των αιτημάτων πρόσβασης, στο πλαίσιο του οποίου εξέτασε εκτενώς τις προϋποθέσεις υπό τις οποίες μπορεί ο υπεύθυνος επεξεργασίας να ζητά ταυτότητα ή έγγραφα ταυτοποίησης.
«Μπορούμε να ζητήσουμε ταυτότητα;
Ναι. Προκειμένου να αποφύγετε την αποστολή προσωπικών δεδομένων κάποιου σε άλλο πρόσωπο, είτε κατά λάθος ή ως αποτέλεσμα εξαπάτησης, πρέπει να έχετε διασφαλίσει ότι:
- γνωρίζετε την ταυτότητα του αιτούντος (ή του προσώπου για λογαριασμό του οποίου υποβάλλεται το αίτημα) και
- τα δεδομένα που τηρείτε αφορούν στο εν λόγω πρόσωπο (πχ. όταν ένα πρόσωπο έχει παρόμοια στοιχεία με κάποιο άλλο).
Μπορείτε να ζητήσετε αρκετές πληροφορίες, προκειμένου να κρίνετε εάν ο αιτών (ή το πρόσωπο για λογαριασμό του οποίου υποβάλλεται το αίτημα) είναι το πρόσωπο στο οποίο αφορούν τα προσωπικά δεδομένα. Το κρίσιμο ζήτημα είναι ότι πρέπει αυτό που ζητάτε να είναι εύλογο και αναλογικό. Δεν πρέπει να ζητάτε πρόσθετες πληροφορίες όταν η ταυτότητα του αιτούντος είναι προφανής. Αυτό ισχύει ιδιαίτερα σε περιπτώσεις όπου έχετε μια διαρκή σχέση με το πρόσωπο.
Παράδειγμα
Έχετε δεχθεί γραπτό αίτημα πρόσβασης από υπάλληλο. Γνωρίζετε τον/την υπάλληλο προσωπικά και συνομιλήσατε μαζί του/της τηλεφωνικά σχετικά με το αίτημά του/της. Μολονότι η πολιτική της εταιρείας σας είναι να επιβεβαιώνει την ταυτότητα ζητώντας ένα αντίγραφο λογαριασμού, στην περίπτωση αυτή δεν είναι εύλογο να κάνετε κάτι τέτοιο, δεδομένου ότι γνωρίζετε το πρόσωπο που έχει υποβάλει το αίτημα.
Επίσης, δεν πρέπει να ζητάτε επίσημα έγγραφα ταυτοποίησης, εκτός αν αυτό είναι αναγκαίο. Πρέπει πρώτα να εξετάζετε άλλα εύλογα και αναλογικά μέσα για την εξακρίβωση της ταυτότητας του προσώπου. Μπορείτε να αξιοποιήσετε μέσα ταυτοποίησης που έχετε ήδη στη διάθεσή σας, όπως για παράδειγμα το όνομα χρήστη και το password.
Ωστόσο, δεν πρέπει να υποθέτετε ότι σε κάθε περίπτωση ο αιτών είναι αυτός που ισχυρίζεται πως είναι. Σε κάποιες περιπτώσεις είναι εύλογο να του ζητήσετε να βεβαιώσει την ταυτότητά του, πριν του αποστείλετε τις πληροφορίες.
Ο τρόπος με τον οποίο σας υποβάλλεται το αίτημα πρόσβασης ενδέχεται να επηρεάσει την απόφασή σας ως προς το αν πρέπει να επιβεβαιώσετε την ταυτότητα του αιτούντος.
Παράδειγμα
Ένα κατάστημα ηλεκτρονικών πωλήσεων λαμβάνει αίτημα πρόσβασης από πελάτη μέσω email. Ο πελάτης έχει καιρό να χρησιμοποιήσει τον ιστότοπο και, μολονότι η διεύθυνση email ταιριάζει με εκείνη που τηρείται στα αρχεία της εταιρείας, η ταχυδρομική διεύθυνση που έχει δοθεί από τον πελάτη δεν είναι η ίδια. Σε μια τέτοια περίπτωση, πριν απαντήσετε στο αίτημα είναι εύλογο να συγκεντρώσετε πρόσθετες πληροφορίες, οι οποίες θα μπορούσαν απλώς να συνίστανται στο να ζητήσετε από τον πελάτη να επιβεβαιώσει ορισμένες πληροφορίες του λογαριασμού του, όπως ο αριθμός πελάτη.
Το επίπεδο των ελέγχων που θα κάνετε μπορεί να διαφέρει ανάλογα με τον ενδεχόμενο κίνδυνο και τη ζημία που θα μπορούσε να προκαλέσει το πρόσωπο η εσφαλμένη κοινολόγηση δεδομένων.
Παράδειγμα
Ένας ιατρός δέχεται αίτημα πρόσβασης από κάποιον που ισχυρίζεται ότι ήταν ασθενής του. Το όνομα στην αίτηση ταιριάζει με αυτό που τηρείται στο αρχείο, ωστόσο τίποτε άλλο δεν επιβεβαιώνει πως ο αιτών είναι ο ασθενής αυτός. Σε μια τέτοια περίπτωση είναι εύλογο να ζητήσετε πρόσθετες πληροφορίες πριν απαντήσετε το αίτημα. Ο ενδεχόμενος κίνδυνος της αποστολής δεδομένων υγείας ενός ασθενούς σε λάθος πρόσωπο είναι υψηλός, συνεπώς ο ιατρός πρέπει να είναι προσεκτικός. Μπορεί να ζητήσει από τον αιτούντα να παράσχει περισσότερες πληροφορίες, όπως διαβατήριο, άδεια οδήγησης ή άλλο έγγραφο που βεβαιώνει την ταυτότητά του.
Όταν λαμβάνετε ένα αίτημα πρόσβασης, πρέπει να καθορίζετε ποιες πληροφορίες χρειάζεστε προκειμένου να εξακριβώσετε την ταυτότητα και να εξηγείτε στον αιτούντα τι πρέπει να προσκομίσει. Ορισμένες φορές θα χρειαστεί να ζητήσετε περισσότερες πληροφορίες από το σύνηθες, ανάλογα με τις περιστάσεις. Δεν πρέπει να ζητάτε έγγραφα ταυτότητας, εάν γνωρίζετε πως αυτό δεν είναι αρκετό ή εάν πιστεύετε ότι σε επόμενο στάδιο θα χρειαστείτε ακόμη περισσότερες πληροφορίες.
Παράδειγμα
Μια τοπική αρχή γνωρίζει πως πατέρας και γιος κατοικούν στην ίδια διεύθυνση και έχουν το ίδιο όνομα – John Smith. Όταν λαμβάνει αίτημα από κάποιον John Smith που κατοικεί στη διεύθυνση αυτή, είναι εύλογο να ζητήσει κάποιο αποδεικτικό ταυτότητας που να αποκαλύπτει την ημερομηνία γέννησης του αιτούντος, ακόμη και αν κανονικά δεν θα ζητούσε κάτι τέτοιο.
Η προθεσμία για την απάντηση σε αίτημα πρόσβασης δεν ξεκινά μέχρι να λάβετε τις πληροφορίες που έχετε ζητήσει. Ωστόσο πρέπει να ζητάτε έγγραφα ταυτοποίησης άμεσα. Αυτό σημαίνει ότι πρέπει να ζητάτε τα έγγραφα το συντομότερο δυνατόν. Δεν πρέπει να καθυστερείτε χωρίς λόγο το αίτημα για έγγραφα μέχρι τη λήξη της διορίας του ενός μήνα.
Εάν οι πληροφορίες που έχετε ζητήσει δεν είναι επαρκείς και χρειάζεστε πρόσθετες ενέργειες για την εξακρίβωση της ταυτότητας του προσώπου, η προθεσμία απάντησης ξεκινά μετά την ολοκλήρωση της εξακρίβωσης. Ωστόσο, αυτό ισχύει μόνο σε ειδικές περιπτώσεις, ενώ γενικά το περιθώριο για να απαντήσετε αρχίζει από τη στιγμή που έχετε λάβει τις πληροφορίες που ζητήσατε.
Παράδειγμα
Μετά τη λήψη αιτήματος πρόσβασης, η εταιρεία ζητά απόδειξη ταυτότητας. Ωστόσο, όταν αυτή αποστέλλεται, το όνομα στο έγγραφο είναι διαφορετικό από εκείνο που τηρείται στο αρχείο της εταιρείας, με αποτέλεσμα να μην είναι σίγουρη πως πρόκειται για το ίδιο πρόσωπο. Στην περίπτωση αυτή είναι εύλογο για την εταιρεία να ζητήσει εναλλακτικό έγγραφο ταυτοποίησης ή αποδεικτικά στοιχεία ως προς τη διαφοροποίηση των ονομάτων. Η προθεσμία δεν αρχίζει μέχρι να λάβουν πληροφορίες που να είναι επαρκείς για την εξακρίβωση της ταυτότητας του αιτούντος.
Μολονότι δεν χρειάζεται να τηρείτε τα αντίγραφα των εγγράφων ταυτότητας, ίσως είναι χρήσιμο να καταγράφετε:
- ποια έγγραφα ταυτότητας υποβλήθηκαν από το πρόσωπο,
- την ημερομηνία εξακρίβωσης,
- στοιχεία του προσώπου που έκανε την εξακρίβωση.
Πριν απαντήσετε στο αίτημα πρόσβασης, παρέχοντας τις πληροφορίες, πρέπει επίσης να ελέγχετε ότι έχετε τις σωστά στοιχεία για να στείλετε την απάντηση (πχ. τη σωστή διεύθυνση email).»
[1] Η κρίση αυτή της Αρχής θυμίζει σχετικό παράδειγμα στις Κατευθύνσεις του ICO για το δικαίωμα πρόσβασης: You have received a written SAR from a current employee. You know this employee personally and have even had a phone conversation with them about the request. Although your organisation’s policy is to verify identity by asking for a copy of a utility bill, it is unreasonable to do so in this case since you know the person making the request.
[2] Ενδεικτικά, η ποσότητα και η φύση των δεδομένων που τηρούνται, η σχέση με το υποκείμενο των δεδομένων, οι διαδικασίες που είχαν ακολουθηθεί κατά τη συλλογή των δεδομένων, το μέσο υποβολής του αιτήματος.
[3] Θα μπορούσε να γίνει λόγος και για παραβίαση της αρχής της νομιμότητας και της διαφάνειας, δεδομένου ότι πρόκειται για μια νέα πράξη επεξεργασίας – συλλογής δεδομένων για διαφορετικό σκοπό (αυτόν της εξέτασης αιτήματος), χωρίς όμως καμία ενημέρωση του υποκειμένου για τις ειδικές παραμέτρους αυτής. Για παράδειγμα, το υποκείμενο δεν ενημερώνεται ως προς το εάν η ταυτότητα που θα διαγραφεί ή θα διατηρηθεί μετά την εξέταση του αιτήματός του.
[4] Κατά την πάγια άποψη του ICO, οι προθεσμίες για την ικανοποίηση του δικαιώματος πρόσβασης δεν εκκινούν παρά μόνο μετά τη λήψη των πρόσθετων πληροφοριών ταυτοποίησης που έχουν ζητηθεί. Η ερμηνεία αυτή είναι σαφώς προβληματική, καθώς δεν κάνει διακρίσεις μεταξύ των περιπτώσεων όπου η υποβολή ταυτότητας έχει τον σκοπό της τυπικής επιβεβαίωσης και των περιπτώσεων όπου η ταυτοποίηση είναι αναγκαία για τον εντοπισμό των προσωπικών δεδομένων του υποκειμένου. Περαιτέρω, δεν αποτρέπει καταχρηστικές εφαρμογές της, όπως την αποστολή αιτήματος για πρόσθετες πληροφορίες την τελευταία ημέρα της προθεσμίας για απάντηση, για την οποία ο ICO κάνει απλώς συστάσεις να αποφεύγεται.
[5] Συναφείς και οι Κατευθυντήριες Γραμμές της Ομάδας Εργασίας του Άρθρου 29 σχετικά με το δικαίωμα στη φορητότητα των δεδομένων [WP 242 rev.01], σελ. 17: «Πώς μπορεί ο υπεύθυνος δεδομένων να ταυτοποιήσει το υποκείμενο των δεδομένων πριν απαντήσει στο αίτημά του;»
[6] Επί του ιδίου ζητήματος έκρινε και η EDPBI:DK:OSS:D:2021:332
[7] Επισημαίνεται ότι η τακτική αυτή είχε εφαρμοστεί τους πρώτους τέσσερις μήνες από την έναρξη εφαρμογής του ΓΚΠΔ, ενώ στη συνέχεια καταργήθηκε.
