Zbiranje podatkov o mobilnih telefonskih številkah uporabnikov portala Bolha

Pri Informacijskem pooblaščencu (IP) smo dne 9. 5. 2022 prejeli vaše zaprosilo za mnenje, v katerem sprašujete, ali lahko portal Bolha.com zbira podatke o GSM številkah uporabnikov oz. ima, vodi neko podatkovno bazo o tem. Navajate, da če hoče posameznik oddati (mali) oglas na tem spletnem portalu, mora v svoj uporabniški profil vnesti svojo mobitel številko. Slednja mora biti naknadno tudi ustrezno overjena, kar potrjuje, da je številka od uporabnika, ki je v profil tudi vnesel (verjetno da pravilne) osebne podatke oz. sploh odprl uporabniški račun. Torej dobiš neko SMS sporočilo in kodo potem vneseš v ustrezen podobrazec na Bolhi, da je sedaj tvoj uporabniški profil "ustrezno aktiviran". Torej, da lahko sploh objaviš oglas. V njihovih pravilih ne vidite ustrezne pravne podlage, da bi se lahko zbiralo toliko osebnih podatkov, kamor spada tudi GSM številka uporabnika.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1 in 177/20, v nadaljevanju ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05, v nadaljevanju ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Zaradi zagotavljanja varnosti portala in osebnih podatkov uporabnikov portala se mobilne telefonske številke uporabnikov ob registraciji zbirajo na podlagi člena 6(1)(b), torej ker je podatek potreben za izvajanje pogodbe, katere pogodbena stranka je posameznik.

O b r a z l o ž i t e v:

Obdelava osebnih podatkov (številka mobilnega telefona predstavlja osebni podatek posameznika, ki to številko uporablja) je dopustna le, če zanjo obstaja ustrezna pravna podlaga. Pravne podlage za obdelavo osebnih podatkov določa člen 6 Splošne uredbe o varstvu podatkov, in sicer se lahko ti obdelujejo le v naslednjih primerih:

1. posameznik, na katerega se nanašajo osebni podatki, je privolil v obdelavo svojih osebnih podatkov v enega ali več določenih namenov;
2. obdelava je potrebna za izvajanje pogodbe, katere pogodbena stranka je posameznik, na katerega se nanašajo osebni podatki, ali za izvajanje ukrepov na zahtevo takega posameznika pred sklenitvijo pogodbe;
3. obdelava je potrebna za izpolnitev zakonske obveznosti, ki velja za upravljavca;
4. obdelava je potrebna za zaščito življenjskih interesov posameznika, na katerega se nanašajo osebni podatki, ali druge fizične osebe;
5. obdelava je potrebna za opravljanje naloge v javnem interesu ali pri izvajanju javne oblasti, dodeljene upravljavcu;
6. obdelava je potrebna zaradi zakonitih interesov, za katere si prizadeva upravljavec ali tretja oseba, razen kadar nad takimi interesi prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, ki zahtevajo varstvo osebnih podatkov, zlasti kadar je posameznik, na katerega se nanašajo osebni podatki, otrok.

Kot izhaja iz Politike zasebnosti in varovanja osebnih podatkov upravljavca spletnega mesta bolha.com, se mobilne telefonske številke uporabnikov ob registraciji zbirajo na podlagi člena 6(1)(b), torej ker je podatek potreben za izvajanje pogodbe, katere pogodbena stranka je posameznik.

»Družba Styria digital marketplaces, d.o.o. lahko vaše osebne podatke obdeluje z namenom sklenitve pogodbe (povpraševanja, ponudbe, pogajanja) ali na podlagi že sklenjene pogodbe v obsegu, ki je potreben za izvedbo dogovorjenih storitev. Z registracijo in kreiranjem vašega profila na spletnem mestu bolha.com se strinjate, da vaše podatke uporabljamo za ponujanje storitev, ki so namenjene registriranim uporabnikom, sistemsko in tehnično obveščanje ter za komuniciranje preko različnih kanalov (elektronska pošta, telefonske ali GSM številke) kadar je to potrebno za zagotavljanje naših storitev.«

Gre za zasledovanje varnostnega vidika, torej za upravljanje portala na način, ki omogoča ustrezno zagotavljanje varnosti tako uporabnikov samih kot tudi njihovih osebnih podatkov in za preprečevanje morebitnih zlorab. Kot navajate že sami, prejme posameznik ob registraciji na svoj mobilni telefon varnostno kodo, in registracijo je mogoče dokončati le ob vnosu te kode. Gre za t.i. dvofaktorsko avtentikacijo, ki predstavlja učinkovit način zagotavljanja varnosti podatkov in preprečuje tveganja povezana z ogroženim ali ukradenim geslom. Brez drugega ključa (enkratnega gesla oz. kode, ki jo uporabnik prejeme po telefonu) je samo geslo neuporabno oz. se ne to ne aktivira. Tudi Informacijski pooblaščenec za zagotovitev večje vernosti osebnih podatkov zavezancem vedno svetuje uporabo metode dvofaktorske avtentikacije (metoda združuje nekaj, kar uporabnik ve in nekaj, kar uporabnik ima).

Uporabnik pa lahko ob registraciji (in tudi kasneje) sam izbere, ali želi, da se njegova telefonska številka tudi prikaže v oglasih in na strani profila uporabnika ali ne.

Lepo vas pozdravljamo.

Pripravila:

mag. Eva Kalan Logar,

vodja državnih nadzornikov

Mojca Prelesnik, univ. dipl. prav.,

informacijska pooblaščenka