Kršitev varnostni na platformi za športne stave

Datum

08.04.2025

Številka

07121-1/2025/437

Kategorije

Svetovni splet, Varnost osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je prejel vaše zaprosilo za mnenje. Pojasnjujete, da ste kot uporabnik platforme za športne stave ugotovili, da je lani novembra prišlo do objave osebnih podatkov 96 milijonov uporabnikov na temnem spletu. Razkriti so bili sledeči osebni podatki: e-poštni naslov, šifrirano geslo, IP naslov, telefonska številka, datum rojstva, država in geolokacija. Spletni ponudnik se nahaja izven EU, vendar ponuja storitve tudi na EU trgu.  Zanima vas, ali je ponudnik dolžan spoštovati Splošno uredbo o varstvu podatkov in ali je dolžan obvestiti prizadete posameznike. Prosite za napotke, kako postopati naprej.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju: ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, 51/07 – ZUstS-A; ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Pomembno je, da: zamenjate gesla, vklopite večfaktorsko avtentikacijo in ste pozorni na morebitne prevare.

Splošna uredba se uporablja za obdelavo osebnih podatkov v okviru dejavnosti ustanovitve upravljavca ali obdelovalca, ne glede na to, ali obdelava poteka v EU ali ne. Splošna uredba se tudi uporablja za obdelavo osebnih podatkov s strani upravljavca in obdelovalca, ki nima ustanovitve v EU, kadar so dejavnosti obdelave povezane: (a) z nudenjem blaga ali storitev posameznikom v EU, ne glede na to, ali je potrebno plačilo posameznika, ali (b) s spremljanjem vedenja posameznikov v EU (gre za t.i. izven ozemeljsko veljavnost uredbe).

Če Splošna uredba upravljavca zavezuje, potem lahko nadzorni organi za varstvo podatkov zoper zavezanca vodijo postopke nadzora. Svetujemo vam, da preverite, kje je upravljavec ustanovljen – predvsem, ali ima v EU sedež ali podružnico. Če zanj velja Splošna uredba, lahko podate prijavo nadzornemu organu.

O kršitvi varnosti morajo upravljavci (ki jih zavezuje Splošna uredba) brez nepotrebnega odlašanja oziroma najkasneje v 72 urah po kršitvi obvestiti nadzorni organ. Tega jim ni treba storiti le, če ni verjetno da bi bile s kršitvijo ogrožene pravice in svoboščine posameznikov. Če je verjetno, da kršitev varstva osebnih podatkov lahko povzroči veliko tveganje za pravice in svoboščine posameznikov, mora tak upravljavec brez nepotrebnega odlašanja o tem obvestiti posameznike, katerih podatki so bili predmet kršitve varnosti.  

Obrazložitev

IP uvodoma poudarja, da lahko podaja neobvezujoča mnenja in pojasnila, ne sme pa izven konkretnih inšpekcijskih postopkov presojati skladnosti konkretnega ravnanja, ki ste ga opisali v vašem zaprosilu za mnenje, s predpisi s področja varstva osebnih podatkov.

IP svetuje, da zamenjate vsa gesla, vklopite večfaktorsko aventikacijo uporabniških računov in ste pozorni na morebitne prevare.

Veljavnost Splošne uredbe je določena v 3. členu, ki določa da se uporablja za obdelavo osebnih podatkov v okviru dejavnosti ustanovitve upravljavca ali obdelovalca v EU, ne glede na to, ali obdelava poteka v EU ali ne. Pri čemer je pojem ustanovitve širok pojem.

V drugem odstavku pa je določeno, da se Splošna uredba uporablja za obdelavo osebnih podatkov posameznikov s strani upravljavca ali obdelovalca, ki nima ustanovitve v EU

(gre za t.i. izven ozemeljsko veljavnost uredbe), kadar so dejavnosti obdelave povezane:

z nudenjem blaga ali storitev posameznikom v EU, ne glede na to, ali je potrebno plačilo posameznika, na katerega se nanašajo osebni podatki, ali

s spremljanjem vedenja posameznikov v EU.

IP v konkretni situaciji nima dovolj informacij, da bi presodil, ali ima ponudnik platforme za športne stave ustanovitev v EU, oziroma ali nudi blago in storitve posameznikom v EU. To praviloma preveri šele v okviru konkretnega postopka, kjer razpolaga z več informacijami, ne pa v okviru neobvezujočega mnenja. Če ima ustanovitev v EU, ga Splošna uredba zavezuje že po prvem odstavku 3. člena. Četudi te nima, ga Splošna uredba lahko zavezuje na podlagi drugega odstavka 3. člena, če ponuja storitve (tj. športne stave) posameznikom v EU.

V prvi situaciji – torej, če ima upravljavec osebnih podatkov ustanovitev v EU – bi se zadevo lahko obravnavalo v postopku čezmejnega postopka sodelovanja med nadzornimi organi v EU. V kolikor ustanovitve v EU ni, Splošna uredba pa velja na podlagi drugega odstavka 3. člena, postopka sodelovanja v okviru mehanizma sodelovanja, ne glede na to, da gre za obdelavo, ki se nanaša na posameznike v EU, ni mogoče izvesti. V takšnem primeru lahko vodijo nadzorni organi držav članic EU postopke samostojno in posamično, v skladu s svojimi (tudi teritorialnimi) pristojnostmi. IP lahko v takšnih situacijah samostojno izvede postopek nadzora nad upravljavcem v skladu s pooblastili na podlagi člena 58 Splošne uredbe in drugega odstavka 4. člena ZVOP-2. Kljub temu je treba opozoriti, da je v praksi težko zagotoviti izvršljivosti odločb zoper subjekte, ki imajo ustanovitev le v tretjih državah.

IP zato svetuje, da preverite, kje je ustanovljen konkretni upravljavec – predvsem, ali ima sedež ali podružnico v EU. Pomagate si lahko z izjavo o zasebnosti oziroma Privacy policy.

V kolikor menite, da upravljavca zavezuje Splošna uredba, lahko podate prijavo nadzornemu organu (predložiti je treba čim več informacij glede kršitve).

O kršitvi varnosti morajo upravljavci (ki jih zavezuje Splošna uredba) v skladu s 33. členom Splošne uredbe brez nepotrebnega odlašanja oziroma najkasneje v 72 urah po kršitvi obvestiti nadzorni organ. Tega jim ni treba storiti le, če ni verjetno da bi bile s kršitvijo ogrožene pravice in svoboščine posameznikov. Če je verjetno, da kršitev varstva osebnih podatkov lahko povzroči veliko tveganje za pravice in svoboščine posameznikov, mora tak upravljavec brez nepotrebnega odlašanja o tem obvestiti posameznike, katerih podatki so bili predmet kršitve varnosti (tako določa 34. člena Splošne uredbe).

Lepo vas pozdravljamo,

Pripravila

Neja Domnik,

Državna nadzornica za varstvo osebnih podatkov

dr. Jelena Virant Burnik,

Informacijska pooblaščenka