Na te osobliwe pytanie musiał odpowiedzieć hiszpański organ nadzoru (Agencia Española de Protección de Datos) w sprawie, gdzie duplikat karty SIM został wydany osobom nieuprawnionym.
Okoliczności sprawy
Digi Spain Telecom (administrator) jest spółką świadczącą usługi telekomunikacyjne w Hiszpanii. Osoba, której dane dotyczą, jeden z klientów administratora, zauważył, że nagle, w tajemniczy sposób, jego telefon komórkowy utracił połączenie z siecią. Jeszcze tego samego dnia klient otrzymał wiadomości e-mail z dwóch banków informujące o próbach dostępu do jego kont i podejrzanych transakcjach za pośrednictwem Bizum (powszechnie stosowanego systemu płatności mobilnych w Hiszpanii). Kontaktując się z Telecomem, klient, został poinformowany, że wydano duplikat jego karty SIM i że takie komunikaty mogły zostać wygenerowane w wyniku oszustwa z jego wykorzystaniem. W związku z tym klient złożył skargę do hiszpańskiego organu nadzoru.
W odpowiedzi na skargę, administrator wyjaśnił, że duplikat karty SIM został wydany w jednym z punktów autoryzowanych przedstawicieli, gdzie aby uzyskać duplikat, należy zjawić się osobiście i przedstawić dokument tożsamości. Spółka wskazywała, że kopia karty SIM została wydana w wyniku podszycia się przestępców pod dane klienta. Ponadto administrator nie podał żadnych nowych danych osobowych osobom nieuprawnionym, innych niż te które już znali.
Duplikat karty SIM to dane osobowe
Organ ochrony danych stwierdził, że duplikat karty SIM umożliwia identyfikację jej właściciela, a zatem mieści się w definicji danych osobowych zawartej w art. 4 ust. 1 RODO. Podkreślił też, że gdy osoba trzecia podszywa się pod tę osobę, której dane dotyczą, a priori dochodzi do nielegalnego przetwarzania danych osobowych, ponieważ może ona na przykład uzyskać dostęp do jego kont bankowych i z nich korzystać.
Organ przypomniał, że administrator ma obowiązek wdrożenia odpowiednich środków zapewniających zgodność z RODO oraz w ramach zasady rozliczalności, wykazać taką zgodność. W przedmiotowej sprawie przekazanie duplikatu karty SIM osobie trzeciej z pewnością naruszyło prawa klientów do ochrony danych. Ponadto zdaniem organu nadzoru administrator nie był w stanie udowodnić, że postępował zgodnie z własną procedurą uwierzytelniania. Gdyby ta procedura w pełni została zastosowana, to nie doszłoby do wydania duplikatu kary SIM.
Organ podkreślił, że co do zasady operatorzy telekomunikacyjni przetwarzają dane swoich klientów na podstawie art. 6 ust. 1 lit. b RODO. W celu świadczenia swoich usług, w tym powielania kart SIM, operatorzy ci posiadają sieć autoryzowanych przedstawicieli, którzy działają jako podmioty przetwarzające. Operatorzy pozostają jednak administratorami, ponieważ to oni ustalają sposoby i cele przetwarzania. Z tego powodu ponoszą odpowiedzialność za ewentualne naruszenia.
Organ nadzoru stwierdził, że administrator nie wdrożył odpowiednich zabezpieczeń technicznych i organizacyjnych mających na celu zapobieżenie przed dostępem osób nieuprawnionych do danych osobowych klienta. W ocenie organu wiązało się to z przetwarzaniem niezgodnym z prawem, gdyż osoba trzecia miała dostęp do danych osobowych bez podstawy prawnej. W rezultacie organ ochrony danych nałożył na administratora grzywnę w wysokości 70 000 euro za naruszenie art. 6 ust. 1 RODO. Ustalając wysokość kary, organ odrzucił prawie wszystkie okoliczności łagodzące, na które powoływał się administrator, z wyjątkiem działań podjętych po powzięciu informacji o oszustwie, które uznano za skuteczne.
Procedury nie tylko na papierze
Powyższa sprawa dobrze pokazuje, jak ważne jest odpowiednie przygotowanie i wdrożenie procedur. Podszywanie się pod klientów i kradzież ich tożsamości to zagrożenie, które w nadchodzących latach, będzie wzrastać. W związku z tym organizacje będą musiały położyć większy nacisk na przeszkolenie pracowników i przestrzeganie procedur.
