NPC warnt Unternehmen vor der Sicherung von Kopien der Personalausweise von Gästen und Kunden

Manila – Die National Privacy Commission (NPC) warnt Unternehmen vor der Sicherung von Kopien der Personalausweise von Gästen und Kunden, da sie die Privatsphäre deren Besitzer gefährden. – klajoo.com – Dies erklärte die NPC in einer Stellungnahme zu Geschäftspraktiken und -aktivitäten, die ein Sicherheitsrisiko für die personenbezogenen Daten der Öffentlichkeit darstellen.

In dem Beitrag vom 8. August ging die NPC auf Unternehmen und Verbände ein, die gemäß dem Datenschutzgesetz von 2012 als Verantwortliche für personenbezogene Daten und Verarbeiter personenbezogener Daten gelten.

Nach dem Gesetz ist ein Personal Information Controller (PIC), eine Person oder Organisation, die die Erhebung, Speicherung, Verarbeitung oder Nutzung personenbezogener Daten kontrolliert, einschließlich einer Person oder Organisation, die eine andere Person oder Organisation mit der Erhebung, Speicherung, Verarbeitung oder Nutzung beauftragt, dafür verantwortlich keine Name und personenbezogene Daten offen zu legen oder zu übermitteln. oder offenlegen.

Unter einem Personal Information Processor (PIP) versteht man jede natürliche oder juristische Person, die gemäß diesem Gesetz dazu befugt ist, als solche zu handeln, und an die ein für die Verarbeitung personenbezogener Daten Verantwortlicher die Verarbeitung personenbezogener Daten einer betroffenen Person auslagern kann.

Die NPC listete gängige Geschäftsrichtlinien und -praktiken auf, bei denen personenbezogene Daten von Personen ohne Einwilligung und angemessene Schutzmaßnahmen verarbeitet werden, diese sind:

• Hotelrezeptionisten fotografieren Gästeausweise mit ihren persönlichen Smartphones statt mit Firmenhandys
• Autoverkäufer machen zu Überprüfungszwecken Fotokopien des Personalausweises eines potenziellen Kunden
• Vertreter von Telekommunikationsunternehmen fordern einen potenziellen Kunden auf, über private Kommunikation wie Viber, WhatsApp oder Facebook Messenger ein Foto seines Ausweises zu senden
• Hausbesitzer und Wohnungseigentümergemeinschaften nehmen Kopien an und verlangen die Hinterlegung physischer Ausweise mit sensiblen persönlichen Daten, ohne dass ihre PIP-Sicherheitsbehörde entsprechende Richtlinien und Sicherheitsmaßnahmen umsetzen kann

Die NPC wies darauf hin, dass diese Aktivitäten, obwohl weit verbreitet, ein großes Sicherheitsrisiko bergen.
„Die Kommission betont, dass diese Art von Aktivitäten ein großes Risiko bergen, unter anderem zu Sicherheitsvorfällen, Datenschutzverletzungen, unbefugter Nutzung, unzureichender Entsorgung, mangelnder Einwilligung nach Aufklärung und Profiling oder Diskriminierung zu führen“, hieß es.

„PICs und PIPs müssen vor der Erhebung und Verarbeitung ihrer personenbezogenen Daten die Einwilligung der betroffenen Personen einholen, vorbehaltlich der im Data Privacy Act (DPA) und anderen geltenden Gesetzen und Vorschriften vorgesehenen Ausnahmen. Es ist die Pflicht der PICs sowie ihrer Mitarbeiter oder Vertreter, die Vertraulichkeit und den Datenschutz der von ihnen verarbeiteten personenbezogenen Daten zu wahren“, heißt es weiter.

Die NPC betonte die Verantwortung von Unternehmen, Organisationen und Arbeitgebern im Umgang mit personenbezogenen Daten ihrer Gäste, Kunden und Arbeitnehmern.

Die Kommission listete die folgenden Richtlinien auf, um die Datensicherheit in ihrem regulären Betrieb zu gewährleisten:

• Ausdrückliche Zustimmung von Einzelpersonen zur Erfassung und Verarbeitung ihrer Ausweisfotos und -daten
• Ein klarer, verständlicher und transparenter Datenschutzhinweis vor dem Fotografieren von Ausweisen
• Erstellen und implementieren sie Richtlinien, die eine ordnungsgemäße Speicherung personenbezogener Daten gewährleisten und somit den Bestimmungen des DPA entsprechen
• Erstellen und implementieren sie Richtlinien, um die ordnungsgemäße Entsorgung und Löschung von Fotos und anderen sensiblen Informationen nach Erfüllung ihres Zwecks sicherzustellen.

Verstöße gegen Bestimmungen des DPA werden mit Strafen und Bußgeldern geahndet, erklärte die NPC.

„Wir bekräftigen, dass die Verarbeitung personenbezogener Daten, die gegen das DPA von 2012 und damit verbundene Erlasse der NPC verstößt, mit Strafen und Verwaltungsverfahren geahndet wird“, betonte die NPC. – KFR