IP: Dostop do osebnih podatkov
Informacijski pooblaščenec je zaključil nadzorni postopek presoje vprašanja, ali mora upravljavec v celoti ugoditi zahtevi posameznika, ki je zahteval vpogled v podatke, povezane z izvedbo spornih bančnih transakcij.
Novica je bila objavljena 25. 3. 2026.
V obravnavanem primeru se je posameznik obrnil na upravljavca z zahtevo za dostop do osebnih podatkov na podlagi 15. člena Splošne uredbe o varstvu podatkov (GDPR), in sicer v povezavi s spornimi transakcijami, izvedenimi prek njegovega spletnega bančnega računa. V okviru zahteve je izrecno zahteval tudi vpogled v tehnične podatke, ki jih je sistem zabeležil ob dostopu do računa, vključno z IP-naslovi, podatki o uporabljenem operacijskem sistemu, brskalniku ter drugimi metapodatki.
Upravljavec je zahtevo delno izpolnil in posamezniku posredoval zgolj osnovni izpis revizijske sledi, ki je vseboval časovne oznake in opis dogodkov, ni pa vključil zahtevanih tehničnih podatkov. Zavrnitev posredovanja tehničnih podatkov je utemeljeval predvsem z varstvom pravic tretjih oseb, saj naj bi ti podatki lahko razkrivali informacije o storilcu. Poleg tega je izpostavil, da primer ne predstavlja kraje identitete, temveč ribarjenje podatkov, kar naj bi po njegovem mnenju vplivalo na obseg pravice do dostopa.
Odločitev nadzornega organa
Informacijski pooblaščenec je v postopku poudaril, da pravna kvalifikacija zlorabe ni relevantna za presojo pravice do dostopa. Ne glede na to, ali gre za krajo identitete, phishing ali drugo obliko zlorabe, je bistveno, da so bile transakcije izvedene v imenu posameznika in so vplivale na njegov račun. Posledično se tudi tehnični podatki, zbrani ob teh dogodkih, štejejo za njegove osebne podatke, če se nanašajo nanj.
IP je posebej izpostavil, da lahko določeni podatki hkrati predstavljajo osebne podatke več posameznikov. V takšnih primerih je treba opraviti tehtanje pravic. V obravnavanem primeru je ocenil, da morebitni interes storilca za varstvo njegovih podatkov ne more prevladati nad pravico posameznika, katerega račun je bil predmet zlorabe, da se seznani z vsemi relevantnimi podatki.
Posledično je upravljavcu naložil, da posamezniku posreduje celoten nabor osebnih podatkov, ki jih je obdeloval v povezavi s spornimi transakcijami v relevantnem časovnem obdobju. To vključuje tudi tehnične podatke, kot so IP-naslovi, podatki o operacijskem sistemu in druge informacije, zabeležene v revizijski sledi.
Odločitev dodatno utrjuje razumevanje pravice do dostopa kot široke pravice posameznika, ki lahko v določenih okoliščinah zajema tudi tehnične podatke, kadar so ti povezani z njegovim uporabniškim računom ali aktivnostmi. Za upravljavce to pomeni obveznost skrbnega tehtanja interesov in celovite presoje vsake posamezne zahteve, zlasti v primerih, kjer gre za potencialne zlorabe ali varnostne incidente.
Vir: IP RS
Naslovna fotografija: Unsplash
