Številka: 0603-28/2023/8
Datum: 17. 7. 2023
Informacijski pooblaščenec (v nadaljevanju: prekrškovni organ) po pooblaščeni uradni osebi …, državni nadzornici za varstvo osebnih podatkov, po uradni dolžnosti izdaja na podlagi drugega odstavka 51. člena in 46. člena Zakona o prekrških (Uradni list RS, št. 29/2011-UPB8, s spr., v nadaljevanju: ZP-1) ter 2. in 8. člena Zakona o Informacijskem pooblaščencu (Uradni list RS, št. 113/2005 in 51/2007 – ZUstS-A), v postopku o prekršku zoper kršiteljico pravno osebo …, matična številka: … (v nadaljevanju: odgovorna pravna oseba, …) in njeno odgovorno osebo …, zaradi prekrška po prvem in drugem odstavku 93. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07 – uradno prečiščeno besedilo in 177/20, v nadaljevanju: ZVOP-1), naslednjo
ODLOČBO O PREKRŠKU
Kršiteljici:
1. odgovorna oseba:
…, EMŠO: …, državljanka Republike Slovenije, v času storitve prekrška zaposlena na … kot …, je
odgovorna za prekršek
po drugem odstavku 93. člena ZVOP-1 v povezavi s prvim odstavkom 93. člena ZVOP-1,
ki ga je storila s tem, da kot odgovorna oseba pravne osebe …, v …, dne …, ni zagotovila organizacijskih, tehničnih in logično-tehničnih ukrepov za zavarovanje osebnih podatkov v šolskem informacijskem sistemu, s tem, ko ob zapustitvi učilnice ni zaklenila računalnika v katerem je s pomočjo brskalnika hranila podatke (uporabniško ime in osebno geslo za avtentikacijo) na vstopni spletni strani v aplikativno programsko opremo … za elektronsko vodenje šolske dokumentacije in se je tako nezavarovan nahajal v nezaklenjeni učilnici, s čimer pooblaščenega dostopa do osebnih podatkov v šolskem informacijskem sistemu ni skrbno varovala na predpisan način (skladno z II. in III. poglavjem Pravilnika o zavarovanju osebnih podatkov …), ki bi nepooblaščenim tretjim osebam (učencem) onemogočil seznanitev z njenim uporabniškim imenom in osebnim geslom za avtentikacijo in vstop v aplikativno programsko opremo …, kar je imelo za posledico, da so tretje osebe z uporabo njenih dostopnih pravic … v obdobju od … do … nepooblaščeno in nezakonito obdelovale (priklicale, vpogledale, spremenile) osebne podatke učencev … (najmanj imena, priimke in ocene štirih učencev devetega razreda v tekočem šolskem letu), s čimer je kršila določbe 1. in 2. točke prvega odstavka 24. člena ter prvi odstavek 25. člena ZVOP-1.
… je zgoraj opisani prekršek storila pri opravljanju dejavnosti ter s sredstvi (z računalnikom in z dostopnimi pravicami do aplikativne programske opreme …) pravne osebe …, pri kateri je v času storitve prekrška bila pooblaščena opravljati delo in naloge …, pri čemer je bila dolžna skrbeti tudi za izvajanje predpisanega zavarovanja osebnih podatkov učencev v šolskem informacijskem sistemu, zaradi česar na podlagi prvega odstavka 15. člena ZP-1 in prvega odstavka 15.a člena ZP-1, za prekršek odgovarja kot odgovorna oseba pravne osebe ...
2. odgovorna pravna oseba:
…, (matična številka: …), je
odgovorna za prekršek
po prvem odstavku 93. člena ZVOP-1,
ki ga je … storila s tem, da kot odgovorna oseba pravne osebe …, v …, dne …, ni zagotovila organizacijskih, tehničnih in logično-tehničnih ukrepov za zavarovanje osebnih podatkov v šolskem informacijskem sistemu, s tem, ko ob zapustitvi učilnice ni zaklenila računalnika v katerem je s pomočjo brskalnika hranila podatke (uporabniško ime in osebno geslo za avtentikacijo) na vstopni spletni strani v aplikativno programsko opremo … za elektronsko vodenje šolske dokumentacije in se je tako nezavarovan nahajal v nezaklenjeni učilnici, s čimer pooblaščenega dostopa do osebnih podatkov v šolskem informacijskem sistemu ni skrbno varovala na predpisan način (skladno z II. in III. poglavjem Pravilnika o zavarovanju osebnih podatkov …), ki bi nepooblaščenim tretjim osebam (učencem) onemogočil seznanitev z njenim uporabniškim imenom in osebnim geslom za avtentikacijo in vstop v aplikativno programsko opremo …, kar je imelo za posledico, da so tretje osebe z uporabo njenih dostopnih pravic … v obdobju od … do … nepooblaščeno in nezakonito obdelovale (priklicale, vpogledale, spremenile) osebne podatke učencev … (najmanj imena, priimke in ocene štirih učencev devetega razreda v tekočem šolskem letu), s čimer je kršila določbe 1. in 2. točke prvega odstavka 24. člena ter prvi odstavek 25. člena ZVOP-1.
… je zgoraj opisani prekršek storila pri opravljanju dejavnosti ter s sredstvi (z računalnikom in z dostopnimi pravicami do aplikativne programske opreme …) pravne osebe …, pri kateri je v času storitve prekrška bila pooblaščena opravljati delo in naloge …, pri čemer je bila dolžna skrbeti tudi za izvajanje predpisanega zavarovanja osebnih podatkov učencev v šolskem informacijskem sistemu, zaradi česar pravna oseba …, za prekršek v skladu s prvim odstavkom 14. člena ZP-1 odgovarja kot odgovorna pravna oseba.
Kršiteljici odgovorni osebi se zato na podlagi drugega odstavka 93. člena ZVOP-1 v povezavi s prvim odstavkom 91. člena ZVOP-1, kršiteljici odgovorni pravni osebi pa na podlagi prvega odstavka 93. člena ZVOP-1 ter ob uporabi drugega odstavka 26. člena in prvega odstavka 21. člena ZP-1
za prekršek
i z r e č e
1. odgovorni osebi …: OPOMIN;
2. odgovorni pravni osebi …: OPOMIN.
Kršiteljica odgovorna oseba … mora na podlagi prvega odstavka 143. člena v zvezi s prvim odstavkom 144. člena in drugim odstavkom 58. člena ZP-1 plačati sodno takso v znesku 30,00 EUR. Sodno takso, ki je kršiteljici za izrečeni opomin odmerjena po tarifni številki 8112 Zakona o sodnih taksah (Uradni list RS, št. 37/08, s spr., v nadaljevanju ZST-1), mora kršiteljica odgovorna oseba plačati na račun prejemnika: Informacijski pooblaščenec, IBAN prejemnika: SI56 0110 0845 0162 502, BIC koda banke prejemnika: BSLJSI2X, koda namena: GOVT, namen plačila: 0603-28/2023/8 sodna taksa, referenca: SI11 12157-7120087-202397.
Kršiteljica odgovorna pravna oseba … mora na podlagi prvega odstavka 143. člena v zvezi s prvim odstavkom 144. člena in drugim odstavkom 58. člena ZP-1 plačati sodno takso v znesku 30,00 EUR. Sodno takso, ki je kršiteljici za izrečeni opomin odmerjena po tarifni številki 8112 ZST-1, mora kršiteljica odgovorna pravna oseba plačati na račun prejemnika: Informacijski pooblaščenec, IBAN prejemnika: SI56 0110 0845 0162 502, BIC koda banke prejemnika: BSLJSI2X, koda namena: GOVT, namen plačila: 0603-28/2023/8 sodna taksa, referenca: SI11 12157-7120087-202398.
PRAVNI POUK: Zoper odločbo o prekršku je dovoljena zahteva za sodno varstvo. Zahtevo je treba pisno napovedati v roku osmih (8) dni od prejema te odločbe pri Informacijskem pooblaščencu, Dunajska cesta 22, 1000 Ljubljana, sicer se šteje, da se je upravičenec do zahteve (kršitelj samostojni podjetnik posameznik, zakoniti zastopnik oziroma zagovornik) odpovedal pravici do zahteve za sodno varstvo. Napoved zahteve se pošlje po pošti ali izroči neposredno v dveh izvodih in velja za pravočasno, če je oddana zadnji dan roka za vložitev napovedi zahteve priporočeno po pošti ali neposredno pri organu, ki je izdal odločbo. Napovedana vložitev zahteve za sodno varstvo se lahko umakne do poteka roka za vložitev napovedi te zahteve.
Če upravičenec do zahteve za sodno varstvo v zakonskem roku vložitve te zahteve ne napove ali napoved umakne, se šteje, da se je odpovedal pravici do zahteve za sodno varstvo.
Če nihče od upravičencev do zahteve za sodno varstvo te zahteve ne napove, prekrškovni organ ne izdela odločbe o prekršku z obrazložitvijo, ampak se šteje, da je z dnem vročitve odločbe brez obrazložitve vročena končna odločba, ki z iztekom roka za napoved zahteve za sodno varstvo postane pravnomočna.
Kadar vsaj eden od upravičencev do zahteve za sodno varstvo napove vložitev te zahteve, se pisna odločba o prekršku z obrazložitvijo izdela in odpošlje najpozneje v tridesetih (30) dneh po prejeti napovedi vložitve zahteve za sodno varstvo. Odločba z obrazložitvijo se v tem primeru vroči vsem upravičencem do zahteve za sodno varstvo.
Pod pogoji in v skladu s predpisi, ki urejajo finančno poslovanje prekrškovnega organa, lahko kršitelj plača stroške postopka tudi z negotovinskim plačilnim sredstvom.
