GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych

Czy karta SIM jest daną osobową?

Autor: Redakcja
Udostępnij publikację:

Na te osobliwe pytanie musiał odpowiedzieć hiszpański organ nadzoru (Agencia Española de Protección de Datos) w sprawie, gdzie duplikat karty SIM został wydany osobom nieuprawnionym.

Czy karta SIM jest daną osobową?

Okoliczności sprawy

Digi Spain Telecom (administrator) jest spółką świadczącą  usługi telekomunikacyjne w Hiszpanii. Osoba, której dane dotyczą, jeden z klientów administratora, zauważył, że nagle, w tajemniczy sposób, jego telefon komórkowy utracił połączenie z siecią. Jeszcze tego samego dnia klient otrzymał wiadomości e-mail z dwóch banków informujące o próbach dostępu do jego kont i podejrzanych transakcjach za pośrednictwem Bizum (powszechnie stosowanego systemu płatności mobilnych w Hiszpanii). Kontaktując się z Telecomem, klient, został poinformowany, że wydano duplikat jego karty SIM i że takie komunikaty mogły zostać wygenerowane w wyniku oszustwa z jego wykorzystaniem. W związku z tym klient złożył skargę do hiszpańskiego organu nadzoru.

Kradzież danych osobowych u znanego operatora

W odpowiedzi na skargę, administrator wyjaśnił, że duplikat karty SIM został wydany w jednym z punktów autoryzowanych przedstawicieli, gdzie aby uzyskać duplikat, należy zjawić się osobiście i przedstawić dokument tożsamości. Spółka wskazywała, że kopia karty SIM została wydana w wyniku podszycia się przestępców pod dane klienta. Ponadto administrator nie podał żadnych nowych danych osobowych osobom nieuprawnionym, innych niż te które już znali.

Duplikat karty SIM to dane osobowe

Organ ochrony danych stwierdził, że duplikat karty SIM umożliwia identyfikację jej właściciela, a zatem mieści się w definicji danych osobowych zawartej w art. 4 ust. 1 RODO. Podkreślił też, że gdy osoba trzecia podszywa się pod tę osobę, której dane dotyczą, a priori dochodzi do nielegalnego przetwarzania danych osobowych, ponieważ może ona na przykład uzyskać dostęp do jego kont bankowych i z nich korzystać.

Akademia IOD szkolenie

Organ przypomniał, że administrator ma obowiązek wdrożenia odpowiednich środków zapewniających zgodność z RODO oraz w ramach zasady rozliczalności, wykazać taką zgodność. W przedmiotowej sprawie przekazanie duplikatu karty SIM osobie trzeciej z pewnością naruszyło prawa klientów do ochrony danych. Ponadto zdaniem organu nadzoru administrator nie był w stanie udowodnić, że postępował zgodnie z własną procedurą uwierzytelniania. Gdyby ta procedura w pełni została zastosowana, to nie doszłoby do wydania duplikatu kary SIM.

Organ podkreślił, że co do zasady operatorzy telekomunikacyjni przetwarzają dane swoich klientów na podstawie art. 6 ust. 1 lit. b RODO. W celu świadczenia swoich usług, w tym powielania kart SIM, operatorzy ci posiadają sieć autoryzowanych przedstawicieli, którzy działają jako podmioty przetwarzające. Operatorzy pozostają jednak administratorami, ponieważ to oni ustalają sposoby i cele przetwarzania. Z tego powodu ponoszą odpowiedzialność za ewentualne naruszenia.

Organ nadzoru stwierdził, że administrator nie wdrożył odpowiednich zabezpieczeń technicznych i organizacyjnych mających na celu zapobieżenie przed dostępem osób nieuprawnionych do danych osobowych klienta. W ocenie organu wiązało się to z przetwarzaniem niezgodnym z prawem, gdyż osoba trzecia miała dostęp do danych osobowych bez podstawy prawnej. W rezultacie organ ochrony danych nałożył na administratora grzywnę w wysokości 70 000 euro za naruszenie art. 6 ust. 1 RODO. Ustalając  wysokość kary, organ odrzucił prawie wszystkie okoliczności łagodzące, na które powoływał się administrator, z wyjątkiem działań podjętych po powzięciu informacji o oszustwie, które uznano za skuteczne.

Raport UODO – co Polacy wiedzą o ochronie danych osobowych?

Procedury nie tylko na papierze

Powyższa sprawa dobrze pokazuje, jak ważne jest odpowiednie przygotowanie i wdrożenie procedur. Podszywanie się pod klientów i kradzież ich tożsamości to zagrożenie, które w nadchodzących latach, będzie wzrastać. W związku z tym organizacje będą musiały położyć większy nacisk na przeszkolenie pracowników  i przestrzeganie procedur.

 

Źródło: https://www.aepd.es/es/documento/ps-00636-2022.pdf

Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach
Newsletter
Ustawienia cookies