Številka: 0603-138/2019/4
Datum: 4. 2. 2022
Informacijski pooblaščenec (v nadaljevanju: prekrškovni organ) po pooblaščeni uradni osebi ... po uradni dolžnosti izdaja na podlagi drugega odstavka 51. člena in 46. člena Zakona o prekrških (Uradni list RS, št. 29/11-UPB8, s spr.; v nadaljevanju: ZP-1) ter 2. in 8. člena Zakona o Informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07), v postopku o prekršku zoper kršiteljico pravno osebo ... (v nadaljevanju: ...) in njeno odgovorno osebo ..., v času kršitve direktor pravne osebe, zaradi prekrška po prvem in drugem odstavku 93. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1 in 177/20; v nadaljevanju: ZVOP-1), naslednjo
ODLOČBO O PREKRŠKU
Kršiteljici:
I. odgovorna oseba: ..., EMŠO ..., slovenski državljan, v času storitve prekrška direktor pravne osebe ..., je
odgovorna za prekršek
po drugem odstavku 93. člena ZVOP-1 v povezavi s prvim odstavkom 93. člena ZVOP-1,
ki ga je storil s tem, da kot odgovorna oseba pravne osebe ..., pri kateri je bila pooblaščen opravljati delo direktorja, pri opravljanju dejavnosti pravne osebe ter v njenem imenu in z njenimi sredstvi, v Ljubljani, nedvoumno ugotovljeno vsaj v dneh od vključno 11. do vključno 12.4.2019, ni zagotovil organizacijskih, tehničnih in logično-tehničnih ukrepov za zavarovanje osebnih podatkov na spletni strani ..., na kateri je bilo na naslovu:
...dostopnih 5 datotek oz. obrazcev »Zahtevek za podatke iz kazenske evidence fizičnih oseb«, ki so vsebovali osebne podatke 8 posameznikov: EMŠO, ime in priimek, datum, kraj in občina rojstva, naslov stalnega/začasnega bivališča ter državljanstvo, s tem, ko dostopa do navedenih datotek in na njih vsebovanih osebnih podatkov posameznikov ni omejil na način, da bi bil dostop do datotek in na njih vsebovanih osebnih podatkov mogoč izključno pooblaščenim osebam na podlagi dvostopenjske avtentikacije (uporabniškega imena in gesla ter v obliki prejetega enkratnega SMS gesla kot to določajo Splošni pogoji ..., verzija 1.1 z dne 9.7.2018) ter z ustreznim tehničnim zavarovanjem, ki bi brskalniku Chrome onemogočil indeksacijo izvorne kode spletne strani, kar je imelo za posledico nepooblaščen dostop in obdelavo (tj. brez uporabe dvostopenjske avtentikacije) osebnih podatkov posameznikov, ki so jih vsebovale navedene datoteke, saj so bili njihovi osebni podatki zaradi opustitve navedenih ukrepov zavarovanja vsaj v času od 11. in 12.4.2019 dostopni vsem uporabnikom svetovnega spletna na način, da je vnos url povezave: ... v spletni brskalnik kateremukoli uporabniku spleta omogočal prost dostop do obrazcev »Zahtevek za podatke iz kazenske evidence fizičnih oseb«, ki so vsebovali prej navedene osebne podatke posameznikov, s čimer je kršil določbe 1. in 2. točke prvega odstavka 24. člena in prvega odstavka 25. člena ZVOP-1.
... je očitani prekršek storil pri opravljanju dejavnosti ter v imenu in s sredstvi pravne osebe ..., pri kateri je bil kot direktor pooblaščen in dolžan zagotoviti postopke in ukrepe za zavarovanje osebnih podatkov posameznikov, zaradi česar na podlagi 1. odstavka 15. člena ZP-1 in 1. odstavka 15.a člena ZP-1 za prekršek odgovarja kot odgovorna oseba pravne osebe ....
II. odgovorna pravna oseba: ..., matična številka ..., je
odgovorna za prekršek
po prvem odstavku 93. člena ZVOP-1,
ki ga je ... storil s tem, da kot odgovorna oseba pravne osebe ..., ki je bil pri navedeni pravni osebi pooblaščen opravljati delo direktorja, pri opravljanju dejavnosti pravne osebe ter v njenem imenu in z njenimi sredstvi, v Ljubljani, nedvoumno ugotovljeno vsaj v dneh od vključno 11. do vključno 12.4.2019, ni zagotovil organizacijskih, tehničnih in logično-tehničnih ukrepov za zavarovanje osebnih podatkov na spletni strani ..., na kateri je bilo na spletnem naslovu: ... dostopnih 5 datotek oz. obrazcev »Zahtevek za podatke iz kazenske evidence fizičnih oseb«, ki so vsebovali osebne podatke 8 posameznikov: EMŠO, ime in priimek, datum, kraj in občina rojstva, naslov stalnega/začasnega bivališča ter državljanstvo, s tem, ko dostopa do navedenih datotek in na njih vsebovanih osebnih podatkov posameznikov ni omejil na način, da bi bil dostop do datotek in na njih vsebovanih osebnih podatkov mogoč izključno pooblaščenim osebam na podlagi dvostopenjske avtentikacije (uporabniškega imena in gesla ter v obliki prejetega enkratnega SMS gesla kot to določajo ..., verzija 1.1 z dne 9.7.2018) ter z ustreznim tehničnim zavarovanjem, ki bi brskalniku Chrome onemogočil indeksacijo izvorne kode spletne strani, kar je imelo za posledico nepooblaščen dostop in obdelavo (tj. brez uporabe dvostopenjske avtentikacije) osebnih podatkov posameznikov, ki so jih vsebovale navedene datoteke, saj so bili njihovi osebni podatki zaradi opustitve navedenih ukrepov zavarovanja vsaj v času od 11. in 12.4.2019 dostopni vsem uporabnikom svetovnega spletna na način, da je vnos url povezave: ... v spletni brskalnik kateremukoli uporabniku spleta omogočal prost dostop do obrazcev »Zahtevek za podatke iz kazenske evidence fizičnih oseb«, ki so vsebovali prej navedene osebne podatke posameznikov, s čimer je kršil določbe 1. in 2. točke prvega odstavka 24. člena in prvega odstavka 25. člena ZVOP-1.
... je očitani prekršek storil pri opravljanju dejavnosti ter v imenu in s sredstvi pravne osebe ..., pri kateri je bil kot direktor pooblaščen in dolžan zagotoviti postopke in ukrepe za zavarovanje osebnih podatkov posameznikov, zaradi česar na podlagi 1. odstavka 15. člena ZP-1 in 1. odstavka 15.a člena ZP-1 za prekršek odgovarja kot odgovorna oseba pravne osebe ....
Odgovorni osebi pravne osebe se zato na podlagi drugega odstavka 93. člena ZVOP-1, odgovorni pravni osebi pa na podlagi prvega odstavka 93. člena ZVOP-1 ter ob uporabi drugega odstavka 26. člena in prvega odstavka 21. člena ZP-1
za prekršek
i z r e č e
1. odgovorni osebi ...: OPOMIN,
2. odgovorni pravni osebi ...: OPOMIN.
Kršiteljici odgovorna oseba in odgovorna pravna oseba morata na podlagi prvega odstavka 143. člena v zvezi s prvim odstavkom 144. člena in drugim odstavkom 58. člena ZP-1 v 15 dneh po pravnomočnosti odločbe o prekršku plačati sodno takso. Če kršiteljici sodne takse ne bosta plačali v določenem roku, se bo izterjala prisilno. Sodno takso, ki je kršiteljicama za izrečeni opomin odmerjena po tarifni številki 8112 Zakona o sodnih taksah (Uradni list RS, št. 37/08, s spr.), morata kršiteljici plačati na transakcijski račun št. 01100-8450162502 (po priloženem UPN), in sicer:
1. odgovorna oseba ...: v znesku 30 EUR,
2. odgovorna pravna oseba ...: v znesku 30 EUR.
PRAVNI POUK: Zoper odločbo o prekršku je dovoljena zahteva za sodno varstvo. Zahtevo je treba pisno napovedati v roku osmih dni od prejema odločbe pri Informacijskem pooblaščencu, Dunajska cesta 22, 1000 Ljubljana, sicer se šteje, da se je upravičenec do zahteve (kršiteljici pravna in odgovorna oseba, zakoniti zastopnik oziroma zagovornik) odpovedal pravici do zahteve za sodno varstvo. Napoved zahteve se pošlje po pošti ali izroči neposredno v dveh izvodih in velja za pravočasno, če je oddana zadnji dan roka za vložitev napovedi zahteve priporočeno po pošti ali neposredno pri organu, ki je izdal odločbo. Napovedana vložitev zahteve za sodno varstvo se lahko umakne do poteka roka za vložitev napovedi te zahteve.
Če upravičenec do zahteve za sodno varstvo v zakonskem roku vložitve te zahteve ne napove ali napoved umakne, se šteje, da se je odpovedal pravici do zahteve za sodno varstvo.
Če nihče od upravičencev do zahteve za sodno varstvo te zahteve ne napove, prekrškovni organ ne izdela odločbe o prekršku z obrazložitvijo, ampak se šteje, da je z dnem vročitve odločbe brez obrazložitve vročena končna odločba, ki z iztekom roka za napoved zahteve za sodno varstvo postane pravnomočna.
Kadar vsaj eden od upravičencev do zahteve za sodno varstvo napove vložitev te zahteve, se pisna odločba o prekršku z obrazložitvijo izdela in odpošlje najpozneje v 30 dneh po prejeti napovedi vložitve zahteve za sodno varstvo. Odločba z obrazložitvijo se v tem primeru vroči vsem upravičencem do zahteve za sodno varstvo.
Pod pogoji in v skladu s predpisi, ki urejajo finančno poslovanje prekrškovnega organa, lahko kršiteljici stroške postopka plačata tudi z negotovinskim plačilnim sredstvom.
