Jakiś czas temu klient jednej z hiszpańskich spółek świadczących usługi telekomunikacyjne zauważył, że nagle, w tajemniczy sposób jego telefon komórkowy utracił połączenie z siecią. Tego samego dnia klient otrzymał wiadomości z banków informujące o próbach dostępu do jego kont i podejrzanych transakcjach za pośrednictwem Bizum (powszechnie stosowanego systemu płatności mobilnych w Hiszpanii). Na skutek podejmowanych działań wyjaśniających klient został poinformowany, że wydano duplikat jego karty SIM i, że takie komunikaty mogły zostać wygenerowane w wyniku oszustwa z jego wykorzystaniem. W związku z tym klient złożył skargę do hiszpańskiego organu nadzoru Agencia Española de Protección de Datos (AEPD) – organu właściwego do spraw ochrony danych osobowych (odpowiednik polskiego Urzędu Ochrony Danych Osobowych).
W odpowiedzi na skargę, administrator danych osobowych, tj. hiszpańska spółka telekomunikacyjna wyjaśniła, że duplikat karty SIM klienta został wydany w jednym z punktów autoryzowanych przedstawicieli, gdzie aby uzyskać duplikat karty SIM, należy zjawić się osobiście i przedstawić dokument tożsamości. Spółka wskazywała, że kopia karty SIM została wydana w wyniku podszycia się przestępców pod dane klienta. Ponadto administrator danych osobowych nie podał żadnych nowych danych osobowych osobom nieuprawnionym, innych niż te które już znali.
Po przeprowadzeniu kontroli AEPD stwierdził, że dostęp do duplikatu karty SIM umożliwia identyfikację jej właściciela, a zatem mieści się w definicji danych osobowych zawartej w art. 4 ust. 1 RODO (dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej).
AEPD wskazał też, że gdy osoba trzecia podszywa się pod tę osobę, której dane dotyczą, a priori dochodzi do nielegalnego przetwarzania danych osobowych, ponieważ może ona na przykład uzyskać dostęp do jego kont bankowych i z nich korzystać.
Jednocześnie AEPD przypomniał, że administratorzy danych osobowych mają obowiązek wdrożenia odpowiednich środków zapewniających zgodność z RODO oraz, w ramach zasady rozliczalności, wykazać taką zgodność. W przedmiotowej sprawie przekazanie duplikatu karty SIM osobie trzeciej z pewnością naruszyło prawa klientów do ochrony danych. Ponadto zdaniem AEPD administrator danych osobowych nie był w stanie udowodnić, że postępował zgodnie z własną procedurą uwierzytelniania. Gdyby ta procedura w pełni została zastosowana, to nie doszłoby do wydania duplikatu kary SIM.
AEPD podkreślił, że co do zasady operatorzy telekomunikacyjni przetwarzają dane swoich klientów na podstawie art. 6 ust. 1 lit. b RODO (tj. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy). W celu świadczenia swoich usług, w tym powielania kart SIM, operatorzy ci posiadają sieć autoryzowanych przedstawicieli, którzy działają jako podmioty przetwarzające. Operatorzy telekomunikacyjni pozostają jednak administratorami, ponieważ to oni ustalają sposoby i cele przetwarzania. Z tego powodu ponoszą odpowiedzialność za ewentualne naruszenia.
W związku z tym AEPD stwierdził, że administrator nie wdrożył odpowiednich zabezpieczeń technicznych i organizacyjnych mających na celu zapobieżenie przed dostępem osób nieuprawnionych do danych osobowych klienta. W ocenie AEPD wiązało się to z przetwarzaniem niezgodnym z prawem, gdyż osoba trzecia miała dostęp do danych osobowych bez podstawy prawnej. W rezultacie hiszpański organ ochrony danych osobowych nałożył na administratora danych osobowych grzywnę w wysokości 70 000 euro za naruszenie art. 6 ust. 1 RODO.