Svi smo svjesni koliko smo ovisni o svojim pametnim telefonima u svojim privatnim i poslovnim životima i ne želimo ni zamisliti da situaciju da nam netko preuzme naš telefonski broj ili vlasništvo nad mobilnom linijom.
Ovakve situacije su moguće u slučaju da osoblje telekom operatora u poslovnici ne izvrši provjeru identiteta osobe koja zahtijeva određene promjene na mobilnom broju ili korisničkim podacima.
Imamo dva konkretna slučaja iz Belgije i Španjolske u kojima je takva provjera identiteta osobe propuštena i slučajevi su završili pred nadležnim nadzornim tijelima uz pripadajuće kazne.
U belgijskom slučaju
https://gdprhub.eu/index.php?title=APD/GBA_-_05/2021&mtc=today&mtc=today
korisnik je u poslovnici telekoma zaprimilo njegov zahtjev za promjenom mobilnog broja. I telekom je to i učinio.
No, pogreškom su tom korisniku dali broj kojeg koristi drugi korisnika i koji se požalio telekom operatoru i nadzornom tijelu nakon što su mu prestale biti dostupne mobilne usluge.
Da stvar bude gora, novi korisnik istog broja ga je krenuo koristiti i instalirao Whatsapp, Paypal, Facebook i, gle čuda, ušao u posjed poruka koje je slao prijašnji i pravi korisnik tog telefonskog broja. Mogao je vidjeti sve vrlo privatne detalje poruka i koristiti aplikacije za koje je potrebno samo unijeti stvarni i aktivni mobilni broj na mobilnom uređaju. Mogao je i bitno veću štetu napraviti pravom korisniku, prvenstveno financijske prirode i reputacijsku štetu.
Nadležno tijelo utvrdilo je da do ovog incidenta ne bi došlo da je osoblje telekoma u poslovnici ispravno utvrdilo identitet osobe koja je podnijela zahtjev i utvrdilo je da se radi o povredi osobnih podataka uzrokovanoj nepoštivanjem procedura telekom operatora koju operator nije prijavio nadzornom tijelu.
Španjolski slučaj nam pak pokazuje kako se može "zaraditi" kazna od 75.000 EUR telekom operatoru uslijed izostanka pravilne identifikacije korisnika usluga:
https://gdprhub.eu/index.php?title=AEPD_-_PS/00235/2020&mtc=today
U paketu usluga uključeno je 5 mobilnih linija i jedan od korisnika, ali ne i vlasnika paketa, zatražio je promjene na paketu usluga i promjenu imena vlasnika linije.
Telekom je ozbiljno pogriješio u poigravanju s osobnim podacima i izostanku poštivanja procedura za osiguranje zakonitosti obrade osobnih podataka osobe koja nije zapisana kao korisnik tog telekoma, provjere identiteta korisnika i time je dokazao da nije sposoban dokazati ispunjenje temeljnog načela pouzdanosti (accountability) iz članka 5. stavka 2. GDPR-a.
Vidimo da je identifikacija podnositelja zahtjeva od iznimne važnosti, da je obvezna, da osoblje treba obaviti uvid u osobnu iskaznicu, ali pri tom nema potrebe da je kopiraju ili skeniraju, kako su nekada radili...