Zloraba osebnih podatkov oz. kraja identitete

Datum

04.03.2025

Številka

07121-1/2025/279

Kategorije

Informiranje posameznika, Moderne tehnologije, Razno

Informacijski pooblaščenec (v nadaljevanju: IP) je po e-pošti prejel vaše vprašanje. Opisujete, da ste naložili aplikacijo v zvezi z novo kriptovaluto. Pred kratkim je bila dodana možnost prodaje kriptovalut, za kar je bila potrebna identifikacija z osebnim dokumentom. Navajate, da vas je to zavedlo in ste se na ta način identificirali, nato pa ste uporabniški račun izbrisali. Skrbi vas, kako ravnajo z vašimi osebnimi podatki. Sprašujete, kaj lahko storite, da preprečite oz. zmanjšate možnost kraje identitete.

* * *

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Predlagamo vam, da se pred posredovanjem podatkov vedno prepričate, v kateri namen jih želi upravljavec prejeti. Posamezniki morajo namreč skladno s 13. členom Splošne uredbe prejeti informacije o obdelavi osebnih podatkov, npr. o namenih ter pravni podlagi za obdelavo osebnih podatkov; uporabnikih osebnih podatkov; obdobju hrambe osebnih podatkov; pravicah posameznika, itd.

Če menite, da gre v konkretnem primeru za kršitev varstva osebnih podatkov, lahko vložite prijavo pri IP. V zvezi s konkretnimi ukrepi, ki jih lahko v opisanem primeru sprejmete, da bi zaščitili svoje podatke, vam predlagamo, da se obrnete na SI-CERT. Če je prišlo do suma storitve katerega od kaznivih dejanj, npr. zlorabe osebnih podatkov, vam predlagamo, da se obrnete na policijo ali državnega tožilca.

Obrazložitev

Uvodoma poudarjamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.

Pojasnjujemo, da mora imeti vsak upravljavec za obdelavo osebnih podatkov (npr. za zbiranje, kakor tudi za nadaljnjo obdelavo) ustrezno pravno podlago skladno s prvim odstavkom 6. člena Splošne uredbe:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Ob tem opozarjamo, da se točka (f) ne uporablja za obdelavo s strani javnih organov pri opravljanju njihovih nalog.

Pojasnjujemo tudi, da morajo biti posamezniki, preden upravljavcu posredujejo svoje osebne podatke, podrobno informirani o obdelavi osebnih podatkov, kot to določa 13. člen Splošne uredbe. Tako morajo npr. prejeti informacije o namenih ter pravni podlagi za obdelavo osebnih podatkov; uporabnikih osebnih podatkov; obdobju hrambe osebnih podatkov; pravicah posameznika, itd. Predlagamo vam, da vedno zahtevate navedene informacije od upravljavca, preden mu posredujete svoje osebne podatke in preverite, v katere namene jih želi prejeti oz. nadalje obdelovati. Več informacij glede obveščanja posameznikov je dostopnih na: https://www.ip-rs.si/zakonodaja/reforma-evropskega-zakonodajnega-okvira-za-varstvo-osebnih-podatkov/ključna-področja-uredbe/obveščanje-posameznikov-o-obdelavi-osebnih-podatkov.

Po samem posredovanju podatkov lahko tudi uveljavljate svoje pravice po Splošni uredbi, npr. do dostopa ali izbrisa. Več o tem lahko preberete na https://tiodlocas.si/zelim-vedeti-kaj-pocnejo-z-mojimi-podatki/ in https://tiodlocas.si/zelim-izbrisati-svoje-podatke/. Več nasvetov o obdelavi osebnih podatkov lahko preberete v Vodniku po varstvu osebnih podatkov za posameznike, ki je dostopen na: https://www.ip-rs.si/publikacije/priročniki-in-smernice/smernice-po-splošni-uredbi-o-varstvu-podatkov-gdpr/vodnik-po-varstvu-osebnih-podatkov-za-posameznike.

V zvezi s primernimi ukrepi, ki jih lahko v konkretnem primeru sprejmete, da bi zaščitili svoje podatke, vam predlagamo, da se obrnete na SI-CERT (nacionalni odzivni center za kibernetsko varnost), oziroma poiščete več informacij v okviru projekta Varni na internetu, ki ga izvaja SI-CERT, npr. na povezavi: https://www.varninainternetu.si/prevare/.

Če v konkretnem primeru menite, da so bili vaši osebni podatki nezakonito pridobljeni oz. nadalje obdelani, lahko podate prijavo pri IP. Pomagate si lahko z obrazcem »Enotna vloga zaradi kršitve varstva osebnih podatkov (Obrazec VOP prijava)«, ki je objavljen na povezavi: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/.

Če gre v vašem primeru za storitev katerega od kaznivih dejanj, ki jih določa Kazenski zakonik (Uradni list RS, št. 50/12 – uradno prečiščeno besedilo, 54/15, 6/16 – popr., 38/16, 27/17, 23/20, 91/20, 95/21, 186/21, 105/22 – ZZNŠPP in 16/23, KZ-1) – npr. kaznivega dejanja zlorabe osebnih podatkov (143. člen KZ-1), vam svetujemo, da se obrnete na policijo ali državnega tožilca.

V upanju, da vam bodo naša napotila v pomoč, vas lepo pozdravljamo.

dr. Jelena Virant Burnik,

informacijska pooblaščenka

Pripravila

Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo

Financira Evropska unija. Izražena stališča in mnenja so izključno mnenja avtorja in ne odražajo nujno stališč in mnenj Evropske unije ali Evropske komisije. Niti Evropska unija niti organ, ki dodeljuje sredstva, zanje ne odgovarjata.