Varuh ДЌlovekovih pravic

Varuh

ČP

Sum nezakonitega zajemanja podatkov z bančne kartice kupca

Blagajničarka v trgovskem centru v Ljubljani naj bi brez privoljenja pobudnika prek čitalnika prebrala podatke z njegove bančne kartice v računalniški sistem podjetja.

Inšpektoratu za varstvo osebnih podatkov smo predlagali, naj v obravnavani zadevi opravi inšpekcijski nadzor. Inšpektorat je v postopku ugotovil, da vsebujejo plačilne in kreditne kartice (v nadaljnjem besedilu kartice) na magnetnem zapisu več vrst podatkov. Vendar se pri poslovanju prek terminalov POS odčitavajo zgolj podatki, ki so potrebni za izvedbo avtorizacije in kasnejšo obdelavo finančne transakcije. To sta številka kartice (PAN) in datum zapadlosti kartice. Ime in priimek imetnika kartice se lahko uporabita za njegovo dodatno avtorizacijo. Trgovec, ki uporablja terminal POS, ima dostop zgolj do tistih podatkov o imetniku kartice, ki se izpišejo na potrdilu transakcije (SLIP), in sicer do številke kartice in datuma zapadlosti kartice. Določeni terminali POS izpisujejo tudi ime in priimek imetnika kartice. Potrdilo transakcije vsebuje tudi druge podatke, kot na primer naziv in šifro trgovca, datum in uro transakcije, tip transakcije ipd.

Merkur - trgovina in storitve, d. d., je v primeru plačila s karticami poleg terminala POS odčitaval določene podatke s kartice tudi prek svojega sistema. Za namen morebitnih reklamacij in nepravilnosti je poleg potrdil transakcij (SLIPOV) vodil tudi dodatno računalniško zbirko podatkov, ki je vsebovala podatke o vrsti kartice, številki računa, datumu računa, številki kartice, vrednosti računa, vrednosti kartice in številu posameznih vrst kartice.

Inšpektorat je ugotovil, da Merkur - trgovina in storitve, d. d., tako nezakonito obdeluje osebne podatke imetnikov kartic, saj za slednje nima zakonske podlage oziroma pisne privolitve slednjih. Hkrati je tudi ugotovil, da za razreševanje morebitnih nepravilnosti glede plačevanja s karticami zadostuje zgolj potrdilo transakcije (SLIP), ki ga podpiše kupec in ki se hrani pri prodajalcu. Zato mu je inšpektorat odredil, da v 45 dneh po vročitvi odločbe preneha obdelavo osebnih podatkov na podlagi odčitavanja vsebine plačilnih ali kreditnih kartic na vseh prodajnih mestih. Iz istih razlogov je inšpektorat zoper odgovorno pravno osebo in odgovorno osebo pravne osebe podal predlog za uvedbo postopka o prekršku. S spremljanjem tega primera nadaljujemo tudi v letu 2004. 10.1-11/2003

Natisni: