Přejít k obsahu Přejít k hlavnímu menu
Kontakt

Telefonní operátor

Kontrola zpracování osobních údajů telefonním operátorem

Kontrola byla provedena na základě dvou stížností. V první stěžovatel jako jednatel společnosti s ručením omezeným obdržel výrobní číslo SIM karty (ICCID) do e-mailu po vyzvednutí této SIM karty, přičemž dle jeho názoru došlo k nedodržení zabezpečení osobních údajů. Z konverzace s operátorem navíc stěžovatel nabyl dojmu, že by se mohlo jednat o standardní postup v rámci zpracování osobních údajů zákazníků kontrolované osoby. Ve druhé stížnosti stěžovatel upozornil na nesplnění povinnosti vycházející z článků 15 a 20 nařízení (EU) 2016/679. Stěžovatel uvedl, že operátora opakovaně požádal o přístup k osobním údajům. Po upozornění Úřadu byly správcem žadateli poskytnuty provozní a lokalizační údaje. Dle stěžovatele ale společnost zpracovávala i další jeho osobní údaje.

Z vyjádření kontrolované osoby k první stížnosti vyplynulo, že ICCID, neboli Integrated Circuit Card Identifier, je jednoznačný identifikátor čipové karty dle standardu ISO/IEC 7812. SIM karty pro telekomunikační zařízení jsou takovýmito čipovými kartami, SIM karty zároveň musí splňovat další požadavky definované ITU-T doporučením E.118 (jehož součástí je splnění požadavků ISO/IEC 7812). ICCID má charakter výrobního sériového čísla konkrétní čipové karty a je využíván zejména v logistických procesech pro evidenci zboží. Na čipové kartě není uvedeno telefonní číslo MSISDN a identifikátor ICCID je využíván při komunikaci se zákazníkem právě pro přesnou identifikaci konkrétní SIM karty a její spojení s MSISDN, které se k SIM kartě přiřazuje až v momentu sjednání smlouvy, a na něm aktivovanými službami (tarify). V telekomunikačním provozu není ICCID používán a jeho jakékoliv zneužití pro účely naklonování SIM karty či jiné zneužití telekomunikačního provozu je tak technicky zcela vyloučeno. K identifikaci SIM karty v telekomunikačním provozu slouží identifikátor IMSI (definovaný taktéž ITU-T doporučením E.118). Znalost tohoto identifikátoru neoprávněnou osobou může být rizikem pro držitele příslušné SIM karty. Tento identifikátor není e-mailem zasílán.

Ke druhé stížnosti kontrolovaná osoba uvedla, že jediným identifikovaným subjektem údajů v rámci smluvního vztahu založeného na poskytování služeb elektronických komunikací, je účastník služeb, se kterým má kontrolovaný uzavřenu smlouvu o poskytování služeb elektronických komunikací, případně jeho zástupce. Společnost nemá identifikovány jednotlivé uživatele služeb elektronických komunikací, a proto nelze bez další součinnosti subjektu údajů žádostem neidentifikovaných subjektů údajů o uplatnění práv dle nařízení (EU) 2016/679 vyhovět.

Stávajícím aktivním účastníkem předmětného telefonního čísla je právnická osoba, což je zřejmé ze smlouvy o poskytování služeb elektronických komunikací. Jméno stěžovatele ani jeho telefon či e-mailová adresa však na smlouvě o poskytování služeb elektronických komunikací žádným způsobem nefiguruje, a proto ne nutně všechny údaje v zákaznické databázi spojené s těmito údaji, jsou osobními údaji stěžovatele. Na předmětném zákaznickém účtu bylo dále evidováno několik dalších mobilních telefonních čísel a kontrolovaná osoba nemá u tohoto zákaznického účtu dostatečně identifikovány uživatele služeb a rovněž nemá k dispozici informaci, zda jsou čísla využívána výhradně konkrétními uživateli. Tuto situaci nelze ad hoc zpětně do historie napravit pouze tak, že žadatel v okamžiku uplatnění práva na přístup k osobním údajům dle nařízení (EU) 2016/679 prokáže, že číslo v danou chvíli užívá. Operátor v takové situaci nemůže mít jistotu, že žadatel užíval telefonní číslo i šest měsíců zpětně, což je doba, po kterou je kontrolovaná osoba dle ustanovení § 97 odst. 3 zákona č. 127/2005 Sb., o elektronických komunikacích, povinna uchovávat provozní a lokalizační údaje. Stěžovatel nebyl ve vztahu k předmětnému telefonnímu číslu osobou, která by byla oprávněna právně jednat za účastníka tohoto telefonního čísla (účastníkem je smluvní partner operátora).

Kontrolující ani v jednom případě nekonstatovali porušení nařízení (EU) 2016/679.