Zloraba podatkov s strani operaterja

Datum

25.10.2023

Številka

07121-1/2023/1356

Kategorije

Informiranje posameznika, Telekomunikacije in pošta, Varnost osebnih podatkov

Informacijski pooblaščenec (v nadaljevanju: IP) je po e-pošti prejel vaše zaprosilo za mnenje. Navajate, da ste klicali operaterja za pomoč pri aktiviranju kartice. Operater vas je vodil skozi aktivacijo SIM kartice in mesečno plačilo obveznosti (preko spleta). Ker se niste znašli, je operater prevzel in vas vprašal po številki bančne kartice, datumu in zadnjih treh številkah. Ugotovili ste, da bi mu zaupali podatke, ki bi jih lahko uporabil kjerkoli. Posredovali ste nam posnetek zaslonske slike zadevnega spletnega obrazca in menite, da bi lahko prišlo do zlorab.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Pojasnjujemo, da mora za vsako obdelavo osebnih podatkov obstajati ustrezna pravna podlaga skladno s prvim odstavkom 6. člena Splošne uredbe. Če želi posameznik plačati storitev preko spleta ocenjujemo, da je za izvedbo plačila treba vnesti določene podatke z bančne kartice ob plačilu in podatke posredovati zaradi izvajanja pogodbe – točka (b) prvega odstavka 6. člena Splošne uredbe.

Posameznikom priporočamo, da so previdni pri vpisovanju oz. posredovanju podatkov s svoje bančne kartice. Pri tem se naj posamezniki vedno prepričajo tako o verodostojnosti spletne strani, ki zahteva navedene podatke kakor tudi o namenu obdelave osebnih podatkov.

Obrazložitev

Uvodoma poudarjamo, da IP izven postopka inšpekcijskega nadzora oziroma drugega upravnega postopka konkretnih obdelav osebnih podatkov ne more presojati.

Pojasnjujemo, da mora biti za vsako obdelavo osebnih podatkov podana ustrezna pravna podlaga skladno s prvim odstavkom 6. člena Splošne uredbe. Za zasebni sektor so pravne podlage naslednje:

(a)posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo njegovih osebnih podatkov v enega ali več določenih namenov;

(b)obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;

(c)obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;

(d)obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;

(e)obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;

(f)obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Konkretnega primera IP v okviru nezavezujočega mnenja ne more presojati, zato vam podajamo splošna napotila. IP meni, da bi moral imeti operater za zbiranje podatkov o plačilni kartici ustrezno pravno podlago. V kolikor se uporabnik odloči, da bo npr. mesečno obveznost plačila računa plačal preko spleta z bančno kartico, je običajno treba pri spletnem plačilu skladno s splošnimi pogoji posredovati npr. številko svoje bančne kartice z datumom veljavnosti in kodo CVV (trimestna številka). V tem primeru ocenjujemo, da je za izvedbo plačila te podatke treba vnesti ob samem plačilu in podatke posredovati zaradi izvajanja pogodbe – zgoraj citirana točka (b) prvega odstavka Splošne uredbe. Opozarjamo, da mora upravljavec tudi za shranjevanje podatkov iz bančne kartice v okviru aplikacije za olajševanje prihodnjih nakupov preko spleta, pridobiti privolitev posameznika.

Zaposlena, ki vam je želela pomagati v okviru telefonskega svetovanja, je vsekakor kot osebje upravljavca dolžna varovati vaše osebne podatke. Upravljavec bi po mnenju IP moral v okviru svetovanja obdelovati podatke skladno z načelom najmanjšega obsega podatkov po (c) točki prvega odstavka 5. člena Splošne uredbe, ki določa, da morajo biti osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno za namene, za katere se obdelujejo. Obdelovati bi moral torej zgolj tiste osebne podatke, ki so za zasledovani cilj nujno potrebni. Upravljavec naj presodi, katere osebne podatke bo skladno s tem načelom obdeloval v okviru telefonskega svetovanja in ali je glede na tveganja, ki lahko pri tem nastanejo primerno, da uporabnikom svetuje na način, da namesto njih vpisuje podatke v predviden spletni obrazec. Prav tako priporočamo posameznikom, kot tudi opozarjate sami, da so previdni pri vpisovanju oz. posredovanju podatkov s svoje bančne kartice. Pri tem se naj posamezniki vedno prepričajo tako o verodostojnosti spletne strani, kakor tudi o namenu obdelave osebnih podatkov. Informacije o obdelavi osebnih podatkov mora namreč posamezniku upravljavec zagotoviti skladno s 13. členom Splošne uredbe še preden mu ta posreduje svoje osebne podatke, med drugim glede namena in pravne podlage za obdelavo osebnih podatkov, komu osebne podatke posreduje, ali jih prenaša v tretjo državo ali mednarodno organizacijo, koliko časa se bodo osebni podatki hranili, itd.

Več nasvetov o varnem nakupovanju preko spleta lahko preberete v smernicah »Informirani potrošnik – komu dajem katere osebne podatke in zakaj?«, ki so dostopne na: https://www.ip-rs.si/fileadmin/user_upload/Pdf/smernice/Informirani_potrosnik.pdf.

V upanju, da vam bodo naša napotila v pomoč, vas lepo pozdravljamo.

Mojca Prelesnik, univ. dipl. prav., informacijska pooblaščenka

Pripravila

Barbara Žurej, univ. dipl. prav., svetovalka pooblaščenca za preventivo