Številka: 0603-3/2022/5
Datum: 21. 2. 2022
Informacijski pooblaščenec (v nadaljevanju: prekrškovni organ) po pooblaščeni uradni osebi … po uradni dolžnosti izdaja na podlagi drugega odstavka 51. člena in 46. člena Zakona o prekrških (Uradni list RS, št. 29/11-UPB8, s spr.; v nadaljevanju: ZP-1) ter 2. in 8. člena Zakona o Informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07), v postopku o prekršku zoper kršiteljico pravno osebo … in njeno odgovorno osebo …, v času kršitve programerja pri …., zaradi prekrška po prvem in drugem odstavku 93. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1 in 177/20; v nadaljevanju: ZVOP-1), naslednjo
ODLOČBO O PREKRŠKU
Kršiteljici:
I. odgovorna oseba: …, v času storitve prekrška programer pri pravni osebi ..., je
odgovorna za prekršek
po drugem odstavku 93. člena ZVOP-1 v povezavi s prvim odstavkom 93. člena ZVOP-1,
ki ga je storil s tem, da kot odgovorna oseba pravne osebe …, pri kateri je bil v času storitve prekrška pooblaščen opravljati delo programerja pri izvedbi spletne nagradne igre, katere naročnik je bila po Pogodbi o poslovnem sodelovanju z dne … in pripadajoči Pogodbi o obdelavi osebnih podatkov z dne … družba … (v nadaljevanju: upravljavec), ob dejstvu, da je upravljavec z navedenima pogodbama izvedbo nagradne igre in odgovornost za zakonsko skladno obdelavo osebnih podatkov udeležencev nagradne igre prenesel na pravno osebo … kot obdelovalca, v …, v času od marca 2021 do dne 30. 6. 2021 ni zagotovil organizacijskih, tehničnih in logično-tehničnih ukrepov za zavarovanje osebnih podatkov udeležencev nagradne igre, ki jo je v navedenem obdobju izvajal … po pooblastilu upravljavca, s tem, ko ni poskrbel, da bi bil dostop do osebnih podatkov udeležencev, ki so bili s strani pravne osebe … izvoženi na spletno stran …, mogoč zgolj pooblaščenim osebam, in sicer z vnosom ustreznega uporabniškega imena in gesla oziroma z uporabo drugega ustreznega načina zavarovanja in avtentikacije in ni poskrbel za brisanje povezave po zaključku nagradne igre, kar je imelo za posledico možnost nepooblaščenega dostopa do osebnih podatkov (ime in priimek, naslov elektronske pošte, naslov bivališča) 502 udeležencev nagradne igre ter možnost njihovega nepooblaščenega prevzema in nadaljnjega reproduciranja, s čimer je kršil določbe 1. in 2. točke prvega odstavka 24. člena in prvega odstavka 25. člena ZVOP-1.
… je očitani prekršek storil pri opravljanju dejavnosti ter v imenu in s sredstvi pravne osebe …, pri kateri je bil v času storitve prekrška kot programer pooblaščen in dolžan poskrbeti za ustrezno zavarovanje osebnih podatkov udeležencev nagradne igre na spletni strani …, zaradi česar na podlagi 1. odstavka 15. člena ZP-1 in 1. odstavka 15.a člena ZP-1 za prekršek odgovarja kot odgovorna oseba pravne osebe ….
II. odgovorna pravna oseba: …, je
odgovorna za prekršek
po prvem odstavku 93. člena ZVOP-1,
ki ga je … storil s tem, da kot odgovorna oseba pravne osebe …, pri kateri je bil v času storitve prekrška pooblaščen opravljati delo programerja pri izvedbi spletne nagradne igre, katere naročnik je bila po Pogodbi o poslovnem sodelovanju z dne … in pripadajoči Pogodbi o obdelavi osebnih podatkov z dne … družba … (v nadaljevanju: upravljavec), ob dejstvu, da je upravljavec z navedenima pogodbama izvedbo nagradne igre in odgovornost za zakonsko skladno obdelavo osebnih podatkov udeležencev nagradne igre prenesel na pravno osebo … kot obdelovalca, v …, v času od marca 2021 do dne 30. 6. 2021 ni zagotovil organizacijskih, tehničnih in logično-tehničnih ukrepov za zavarovanje osebnih podatkov udeležencev nagradne igre, ki jo je v navedenem obdobju izvajal … po pooblastilu upravljavca, s tem, ko ni poskrbel, da bi bil dostop do osebnih podatkov udeležencev, ki so bili s strani pravne osebe … izvoženi na spletno stran …, mogoč zgolj pooblaščenim osebam, in sicer z vnosom ustreznega uporabniškega imena in gesla oziroma z uporabo drugega ustreznega načina zavarovanja in avtentikacije in ni poskrbel za brisanje povezave po zaključku nagradne igre, kar je imelo za posledico možnost nepooblaščenega dostopa do osebnih podatkov (ime in priimek, naslov elektronske pošte, naslov bivališča) 502 udeležencev nagradne igre ter možnost njihovega nepooblaščenega prevzema in nadaljnjega reproduciranja, s čimer je kršil določbe 1. in 2. točke prvega odstavka 24. člena in prvega odstavka 25. člena ZVOP-1.
… je očitani prekršek storil pri opravljanju dejavnosti ter v imenu in s sredstvi pravne osebe …, pri kateri je bil v času storitve prekrška kot programer pooblaščen in dolžan poskrbeti za ustrezno zavarovanje osebnih podatkov udeležencev nagradne igre na spletni strani …, zaradi česar pravna oseba … za navedeni prekršek v skladu s prvim odstavkom 14. člena ZP-1 odgovarja kot odgovorna pravna oseba.
Odgovorni osebi pravne osebe se zato na podlagi drugega odstavka 93. člena ZVOP-1, odgovorni pravni osebi pa na podlagi prvega odstavka 93. člena ZVOP-1 ter ob uporabi drugega odstavka 26. člena in prvega in drugega odstavka 21. člena ZP-1
za prekršek
i z r e č e
1. odgovorni osebi …: OPOMIN,
2. odgovorni pravni osebi ….: OPOMIN.
Kršiteljici odgovorna oseba in odgovorna pravna oseba morata na podlagi prvega odstavka 143. člena v zvezi s prvim odstavkom 144. člena in drugim odstavkom 58. člena ZP-1 v 15 dneh po pravnomočnosti odločbe o prekršku plačati sodno takso. Če kršiteljici sodne takse ne bosta plačali v določenem roku, se bo izterjala prisilno. Sodno takso, ki je kršiteljicama za izrečeni opomin odmerjena po tarifni številki 8112 Zakona o sodnih taksah (Uradni list RS, št. 37/08, s spr.), morata kršiteljici plačati na transakcijski račun št. 01100-8450162502 (po priloženem UPN), in sicer:
1. odgovorna oseba …: v znesku 30 EUR,
2. odgovorna pravna oseba ...: v znesku 30 EUR.
PRAVNI POUK: Zoper odločbo o prekršku je dovoljena zahteva za sodno varstvo. Zahtevo je treba pisno napovedati v roku osmih dni od prejema odločbe pri Informacijskem pooblaščencu, Dunajska cesta 22, 1000 Ljubljana, sicer se šteje, da se je upravičenec do zahteve (kršiteljici pravna in odgovorna oseba, zakoniti zastopnik oziroma zagovornik) odpovedal pravici do zahteve za sodno varstvo. Napoved zahteve se pošlje po pošti ali izroči neposredno v dveh izvodih in velja za pravočasno, če je oddana zadnji dan roka za vložitev napovedi zahteve priporočeno po pošti ali neposredno pri organu, ki je izdal odločbo. Napovedana vložitev zahteve za sodno varstvo se lahko umakne do poteka roka za vložitev napovedi te zahteve.
Če upravičenec do zahteve za sodno varstvo v zakonskem roku vložitve te zahteve ne napove ali napoved umakne, se šteje, da se je odpovedal pravici do zahteve za sodno varstvo.
Če nihče od upravičencev do zahteve za sodno varstvo te zahteve ne napove, prekrškovni organ ne izdela odločbe o prekršku z obrazložitvijo, ampak se šteje, da je z dnem vročitve odločbe brez obrazložitve vročena končna odločba, ki z iztekom roka za napoved zahteve za sodno varstvo postane pravnomočna.
Kadar vsaj eden od upravičencev do zahteve za sodno varstvo napove vložitev te zahteve, se pisna odločba o prekršku z obrazložitvijo izdela in odpošlje najpozneje v 30 dneh po prejeti napovedi vložitve zahteve za sodno varstvo. Odločba z obrazložitvijo se v tem primeru vroči vsem upravičencem do zahteve za sodno varstvo.
Pod pogoji in v skladu s predpisi, ki urejajo finančno poslovanje prekrškovnega organa, lahko kršiteljici stroške postopka plačata tudi z negotovinskim plačilnim sredstvom.
Pooblaščena uradna oseba:
…,
državna nadzornica
za varstvo osebnih podatkov
Priloga:
UPN – izpolnjen univerzalni plačilni nalog za plačilo sodne takse, z napisanim zneskom 30 EUR, za vsako kršiteljico posebej.
Vročiti:
…, z vročilnico po ZUP,
…, z vročilnico po ZUP,
arhiv, tu.
