Ο καταγγέλλων ισχυρίστηκε πως μετά την επικοινωνία του με τον υπεύθυνο επεξεργασίας έλαβε SMS – απάτη
Μια ενδιαφέρουσα, αλλά και δύσκολη υπόθεση, τέθηκε ενώπιον της σλοβενικής αρχής προστασίας δεδομένων Informacijski Pooblaščenec (IP), η οποία τελικά επιλύθηκε χάρη σε μια μικρή αλλά σημαντική λεπτομέρεια: δεν είχε υπάρξει επεξεργασία προσωπικών δεδομένων.
Σύμφωνα με την καταγγελία, ο καταγγέλλων έλαβε ενημερωτικό SMS στο κινητό του από εταιρεία, σχετικά με την εξέλιξη της ταχυδρομικής παραγγελίας του. Ωστόσο, 15 λεπτά αργότερα δέχθηκε νέο SMS από άγνωστο αριθμό, το οποίο ήταν κακόβουλο και επιχειρούσε να τον εξαπατήσει.
Ο καταγγέλλων επέρριψε τις ευθύνες στον αποστολέα του αρχικού μηνύματος, η απουσία μέτρων ασφάλειας του οποίου είχε ως αποτέλεσμα να βρεθεί ο τηλεφωνικός αριθμός του σε χέρια τρίτων.
Κληθείσα από την IP, η καταγγελλόμενη εταιρεία αρνήθηκε οποιαδήποτε ευθύνη της ως προς την αποστολή του δεύτερου μηνύματος. Σύμφωνα με τους ισχυρισμούς της ενώπιον της αρχής, το δεύτερο μήνυμα δεν παρουσίαζε καμία ομοιότητα με το δικό της SMS, πλην της αποστολής αμφοτέρων στον ίδιο τηλεφωνικό αριθμό.
Η καταγγελλόμενη ισχυρίστηκε πως έλαβε από τον αποστολέα του δέματος το τηλέφωνο του παραλήπτη αυτού, ο οποίος, μάλιστα, δεν ήταν φυσικό πρόσωπο, αλλά εταιρεία. Περαιτέρω, ο επίμαχος τηλεφωνικός αριθμός δεν ήταν απόρρητος ή κρυφός, αλλά ήταν δημοσιευμένος σε σειρά ιστοτόπων, ως τηλέφωνο επικοινωνίας της εταιρείας αυτής.
Η παρατήρηση αυτή ως προς τον κάτοχο του τηλεφωνικού αριθμού ήταν αυτή που οδήγησε τη σλοβενική αρχή στην επίλυση του ζητήματος και την απόρριψη της καταγγελίας.
Σύμφωνα με την IP, ο αριθμός τηλεφώνου ενός φυσικού προσώπου συνιστά, χωρίς αμφιβολία, προσωπικό δεδομένο αυτού· αυτό όμως δεν ισχύει στην περίπτωση όπου το τηλέφωνο ανήκει σε νομικό πρόσωπο. Από τη στιγμή, συνεπώς, που αποδείχθηκε ότι ο επίμαχος αριθμός είχε δηλωθεί ως τηλέφωνο επικοινωνίας της εταιρείας που θα παρελάμβανε την ταχυδρομική παραγγελία, η συλλογή και χρήση του από την καταγγελλόμενη δεν αποτελούσε επεξεργασία προσωπικών δεδομένων και δεν εντασσόταν στο πεδίο εφαρμογής του Γενικού Κανονισμού Προστασίας Δεδομένων.
Κατά συνέπεια, καμία παραβίαση της υποχρέωσης ασφάλειας του άρθρου 32 ΓΚΠΔ δεν θα μπορούσε να διαπιστωθεί.