Številka: 06111-1/2023/8
Datum: 6. 6. 2023
Informacijski pooblaščenec (v nadaljevanju: IP) po državni nadzornici za varstvo osebnih podatkov na podlagi 2. in 8. člena Zakona o Informacijskem pooblaščencu (v nadaljevanju: ZInfP), 2. točke prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (v nadaljevanju: ZVOP‑2), in členov 55 ter 57(1)(f) Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov; v nadaljevanju: Splošna uredba) v postopku, ki ga vodi na podlagi zahteve posameznika: … (v nadaljevanju: posameznik), z dne 17. 2. 2023 (v nadaljevanju: pritožba) za nadzor zakonitosti obdelave njegovih osebnih podatkov, ki jo izvaja: … (v nadaljevanju: nadzorovani subjekt), izdaja naslednjo
ODLOČBO
1. Ugotovi se, da nadzorovani subjekt v trenutku vložitve pritožbe posameznika z dne 17. 2. 2023 pri obdelavi podatkov v okviru dostave pošiljke s sprejemno številko … ni kršil člena 32 Splošne uredbe in drugih zakonov, ki urejajo obdelavo in varstvo osebnih podatkov, na način, da ni zagotovil varnosti osebnih podatkov posameznika.
2. Nadzorovanemu subjektu se ne odredijo ukrepi glede obdelave osebnih podatkov, ki se nanašajo na posameznika.
3. Posamezniku se ne določijo omejitve glede pregledovanja spisa zadeve, ki se vodi pod št. 06111‑1/2023.
4. V tem postopku organu posebni stroški niso nastali, vsaka stranka pa krije svoje stroške postopka.
Obrazložitev
I. Dosedanji potek postopka in relevantne navedbe
1. IP je postopek nadzora zoper nadzorovani subjekt uvedel na podlagi zahteve za nadzor zakonitosti obdelave osebnih podatkov z dne 26. 1. 2023 in njene dopolnitve z dne 17. 2. 2023 (v nadaljevanju: pritožba), ki jo je vložil posameznik. Iz pritožbe izhaja, da posameznik meni, da nadzorovani subjekt njegovih osebnih podatkov ni ustrezno zavaroval in ne izvaja vseh ukrepov za preprečitev njihove zlonamerne uporabe, zaradi česar naj bi ob pošiljanju SMS sporočila o pošiljki dne 17. 1. 2023 ob 17:15 (v nadaljevanju: pristno SMS sporočilo) na posameznikovo telefonsko številko … (v nadaljevanju: sporna telefonska številka) prišlo do zlorabe posameznikovih osebnih podatkov, v posledici česar je istega dne ob 17:30 na navedeno telefonsko številko s strani neznanega pošiljatelja, ki je bil z alfanumeričnimi znaki označen kot »…«, prejel SMS sporočilo s poskusom prevare (v nadaljevanju: lažno SMS sporočilo).
2. IP je nadzorovanemu subjektu dne 10. 3. 2023 posredoval poziv za izjasnitev glede navedb posameznika v pritožbi. Nadzorovani subjekt je v odgovoru na poziv, ki ga je IP prejel 24. 3. 2023, pojasnil, da podatke o pošiljkah skrbno varuje in svoje sisteme skrbno nadzoruje, medtem ko je sporna telefonska številka na več spletnih mestih javno objavljena, med drugim tudi kot kontaktni podatek pri več poslovnih subjektih. Navedel je tudi, da mu je sporno telefonsko številko posredovala družba … (v nadaljevanju: …), ki je bila pošiljatelj pošiljke s sprejemno številko … (v nadaljevanju: konkretna pošiljka). Konkretna pošiljka je bila naslovljena na družbo … (v nadaljevanju: …) in ne na posameznika. Glede na to, da je pošiljatelj upravljavec spletne trgovine, obstaja možnost, da je do iztekanja podatkov prišlo na njegovi strani, saj je v preteklosti nadzorovani subjekt že zaznal primere, ko je spletna trgovina delovala normalno, v ozadju sistema pa je na istem spletnem strežniku delovala lažna spletna stran, namenjena prevaram. Nadzorovani subjekt je v odgovoru izpostavil tudi, da posameznik nadzorovanemu subjektu neustrezno zavarovanje očita zgolj na podlagi časovne bližine lažnega in pristnega SMS sporočila, pri čemer je sporna telefonska številka edini podatek, ki ga posameznik navaja kot predmet zlorabe, čeprav je pristno SMS sporočilo vsebovalo tudi druge podatke o konkretni pošiljki. Če bi pošiljatelj lažnega SMS sporočila pridobil podatke od nadzorovanega subjekta, bi v lažnem SMS sporočilu uporabil tudi podatek o naslovniku, pošiljatelju in številki pošiljke, prav tako pa bi se posledično povečala uspešnost prevare, zaradi česar bi nadzorovani subjekt prejel večje število sporočil strank in policije. Pojasnil je, da je v preteklosti že obravnaval primere očitkov na podlagi časovne bližine lažnih in pristnih sporočil, pri katerih je bilo prav tako ujemanje zgolj v kontaktnem podatku, ne pa tudi v drugih podatkih o pošiljki, vsakokrat je dodatno preveril morebitne sledi na sistemih, ki bi kazale na nepooblaščen dostop, vendar v nobenem primeru nepooblaščen dostop ni bil ugotovljen. Do časovnega ujemanja sicer pride redko, vendar verjetnost časovnega ujemanja glede na število dnevno dostavljenih pošiljk s strani nadzorovanega subjekta (več kot …) in običajno število odposlanih lažnih sporočil v posameznih primerih (tudi nekaj 10.000) ni zanemarljivo nizka.
3. IP je relevantna dejstva v tej zadevi ugotovil na podlagi listinskih dokazov, in sicer dopisa Agencije za komunikacijska omrežja Republike Slovenije št. 06106-10/2023/2 z dne 25. 1. 2023, posnetka zaslona pristnega SMS sporočila, posnetka zaslona lažnega SMS sporočila, povzetka relevantnih rezultatov poizvedb z iskalnikom … (v nadaljevanju: povzetek rezultatov …) in izpisa iz Poslovnega registra Slovenije (v nadaljevanju: PRS) za družbo …
4. Posamezniku in nadzorovanemu subjektu so bile v dopisu št. 06111-1/2023/7 z dne 17. 5. 2023 v skladu z drugim odstavkom 32. člena in drugim odstavkom 33. člena ZVOP‑2 predstavljene ugotovitve, bistvene za odločitev v predmetni zadevi, obenem pa sta bila pozvana, da se v roku 10 dni od vročitve dopisa o njih izjavita. Posameznik in nadzorovani subjekt se do predstavljenih ugotovitev v postopku nista opredelila.
I. Navedba določb predpisov, na katere se opira odločba
5. Skladno s členom 32(1) Splošne uredbe mora upravljavec ob upoštevanju najnovejšega tehnološkega razvoja in stroškov izvajanja ter narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotoviti ustrezno raven varnosti glede na tveganje. Pri določanju ustrezne ravni varnosti se na podlagi člena 32(2) Splošne uredbe upoštevajo zlasti tveganja, ki jih pomeni obdelava, zlasti zaradi nenamernega ali nezakonitega uničenja, izgube, spremembe, nepooblaščenega razkritja ali dostopa do osebnih podatkov, ki so poslani, shranjeni ali kako drugače obdelani.
6. Splošna uredba se na podlagi člena 2(1) uporablja za obdelavo osebnih podatkov, ki se v celoti ali delno izvaja z avtomatiziranimi sredstvi, in za obdelavo osebnih podatkov, ki so del zbirke ali so namenjeni oblikovanju dela zbirke, ki se ne izvaja z avtomatiziranimi sredstvi.
7. V členu 4(1) Splošna uredba opredeljuje »osebni podatek« kot katero koli informacijo v zvezi z določenim ali določljivim posameznikom; določljiv posameznik je tisti, ki ga je mogoče neposredno ali posredno določiti, zlasti z navedbo identifikatorja, kot je ime, identifikacijska številka, podatki o lokaciji, spletni identifikator, ali z navedbo enega ali več dejavnikov, ki so značilni za fizično, fiziološko, genetsko, duševno, gospodarsko, kulturno ali družbeno identiteto tega posameznika.
I. Ugotovljeno dejansko stanje in razlogi, ki narekujejo ugotovitev neobstoja zatrjevanih kršitev
8. Med strankama ni sporno, da je nadzorovana oseba dne 17. 1. 2023 ob 17:15 na sporno telefonsko številko poslala pristno SMS sporočilo. Pristno SMS sporočilo je poleg podatka o sporni telefonski številki, na katero je bilo poslano, vsebovalo tudi podatke o konkretni pošiljki, in sicer podatek o številki pošiljke (…), podatek o pošiljatelju (...), kar je razvidno iz posnetka zaslona pristnega SMS sporočila.
9. Iz skladnih navedb obeh strank in posnetka zaslona lažnega SMS sporočila izhaja, da naj bi bil predmet zlorabe le podatek o sporni telefonski številki. IP ugotavlja, da je povzetek rezultatov … potrjuje navedbe nadzorovane osebe, da je sporna telefonska številka na več spletnih mestih navedena kot kontaktni podatek več podjetij, ki se ukvarjajo z logistično dejavnostjo. Iz navedb nadzorovane osebe, ki jim posameznik ni nasprotoval, izhaja, da je nadzorovana oseba podatek o sporni telefonski številki prejela s strani pošiljatelja ..., in sicer kot kontaktni podatek v zvezi s konkretno pošiljko, ki je bila naslovljena na družbo … (in ne na posameznika). Da je podatek o sporni telefonski številki za potrebe dostave posredoval pošiljatelju ... je navedel tudi posameznik. IP je na podlagi podatkov, ki so v PRS objavljeni za …, je IP ugotovil, da je med kontakti družbe ... navedena sporna telefonska številka. Glede na navedeno je IP ugotovil, da sporna telefonska številka predstavlja kontaktno telefonsko številko pravne osebe ...
10. Iz skladnih navedb obeh strank izhaja, da je nadzorovana oseba sporno telefonsko številko obdelovala v zvezi s konkretno pošiljko s sprejemno številko …, kar izhaja tudi iz posnetkov zaslona pristnega SMS sporočila. Posameznik v pritožbi ni navedel, na koga je bila naslovljena konkretna pošiljka, iz navedb nadzorovane osebe pa izhaja, da je bila naslovljena na pravno osebo ... Ob odsotnosti drugačnih navedb posameznika (in dokazov) o naslovniku konkretne pošiljke je IP sledil navedbam nadzorovane osebe, da je sporno telefonsko številko obdelovala v zvezi s konkretno pošiljko, in sicer kot kontaktni podatek naslovnika pošiljke - pravne osebe ...
11. Kot izhaja definicije osebnega podatka, predstavljene v 7. točki te obrazložitve, je telefonska številka fizične osebe (z vidika predpisov varstva osebnih podatkov) nedvomno osebni podatek, navedeno pa ne velja za kontaktno telefonsko številko pravne osebe. Za opredelitev neke informacije kot osebnega podatka v skladu s členom 4(1) Splošne uredbe morata biti kumulativno izpolnjena dva pogoja, in sicer se mora informacija nanašati na posameznika (fizično osebo), ki mora biti določena ali določljiva.
12. Ker je nadzorovana oseba sporno telefonsko številko obdelovala v zvezi s pravno osebo … in se sporna telefonska številka tudi dejansko nanaša na pravno osebo, IP zaključuje, da sporna telefonska številka v konkretnem primeru ne predstavlja osebnega podatka iz člena 4(1) Splošne uredbe, posledično pa se v skladu s členom 2(1) Splošne uredbe za obdelavo sporne telefonske številke Splošna uredba, vključno z obveznostmi iz člena 32 Splošne uredbe, ne uporablja.
13. Upoštevajoč vse navedeno, IP ugotavlja, da nadzorovani subjekt pri obdelavi sporne telefonske številke v okviru dostave pošiljke s sprejemno številko … ni kršil člena 32 Splošne uredbe, saj ni dokazov, da bi obdeloval osebne podatke posameznika. Posledično IP ugotavlja, da tudi v trenutku vložitve pritožbe z dne 17. 2. 2023 nadzorovani subjekt pri obdelavi podatkov v okviru dostave pošiljke s sprejemno številko … ni kršil člena 32 Splošne uredbe, kot izhaja iz 1. točke izreka te odločbe.
14. Ker je IP ugotovil, da nadzorovani subjekt v obravnavani zadevi ni ravnal v nasprotju s členom 32 Splošne uredbe, ker ni obdeloval osebnih podatkov, ki se nanašajo na posameznika, mu tudi ni odredil ukrepov glede njihove obdelave.
15. Na podlagi 3. točke prvega odstavka 34. člena ZVOP‑2 odločba v postopku nadzora po določbah tega oddelka poleg sestavin, ki jih določa zakon, ki ureja splošni upravni postopek, vsebuje tudi dovoljen obseg pregleda spisa zadeve za prijavitelja s posebnim položajem (tj. posameznika). IP je, upoštevaje določbi 15. in 18. člena ZVOP‑2, odločil, da se posamezniku ne določijo omejitve glede pregledovanja spisa predmetne zadeve.
I. Stroški
16. Po prvem in tretjem odstavku 118. člena ZUP organ v odločbi in sklepu, s katerim se postopek konča, odloči o stroških postopka, kdo trpi stroške postopka, koliko znašajo ter komu in v katerem roku jih je treba plačati. V tem nadzornem postopku organu posebni stroški niso nastali, na podlagi drugega odstavka 30. člena ZVOP‑2 v zvezi s četrtim odstavkom 114. člena ZUP pa vsaka stranka v tem postopku krije svoje stroške.
17. Ta odločba je takse prosta na podlagi člena 57(3) Splošne uredbe in drugega odstavka 55. člena ZVOP-2 v zvezi s četrtim odstavkom 3. člena Zakona o upravnih taksah (v nadaljevanju: ZUT).
II. POUK O PRAVNEM SREDSTVU:
Zoper to odločbo ni pritožbe, dopustno pa je sprožiti upravni spor. Upravni spor se sproži z vložitvijo tožbe pri Upravnem sodišču, Fajfarjeva 33, 1000 Ljubljana. Tožbo je treba vložiti v tridesetih (30) dneh od vročitve te odločbe. Tožba se vloži neposredno pisno pri navedenem sodišču ali se mu pošlje po pošti. Šteje se, da je bila tožba vložena pri sodišču tisti dan, ko je bila priporočeno oddana na pošto Tožbi je treba poleg izvirnika, prepisa ali kopije te odločbe priložiti tudi po en prepis ali kopijo tožbe in prilog za toženca, če je kdo prizadet z odločbo, pa tudi zanj.
…,
državna nadzornica za varstvo osebnih podatkov
Poslati:
1. posamezniku ‑ osebno po ZUP;
2. nadzorovanemu subjektu ‑ osebno po ZUP.
[1] Uradni list RS, št. 113/05 in 51/07.
[2] Uradni list RS, št. 163/22.
[3] Uradni list RS, št. 106/10 – UPB5, 14/15 ‑ ZUUJFO, 84/15 – ZZ/elP‑J, 32/16, 30/18 ‑ ZKZaš in 189/20 – ZFRO.
