Številka: 0603-51/2022/11
Datum: 25. 1. 2023
Informacijski pooblaščenec (v nadaljevanju: prekrškovni organ) izdaja po pooblaščeni uradni osebi …, po uradni dolžnosti na podlagi drugega odstavka 51. člena in 46. člena Zakona o prekrških (Uradni list RS, št. 29/2011-UPB8, s spr., v nadaljevanju: ZP-1) ter 2. in 8. člena Zakona o Informacijskem pooblaščencu (Uradni list RS, št. 113/2005 in 51/2007 – ZUstS-A), v postopku o prekršku zoper kršitelja pravno osebo …, matična številka: … (v nadaljevanju: pravna oseba, …) in njeno odgovorno osebo …, zaradi prekrška po prvem in drugem odstavku 93. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07 – uradno prečiščeno besedilo in 177/20, v nadaljevanju: ZVOP-1), naslednjo
ODLOČBO O PREKRŠKU
Kršitelja:
1. odgovorna oseba:
…, EMŠO: …, državljanka Republike Slovenije, v času storitve prekrška zaposlena na …, kot …, …,
je odgovorna za prekršek
po drugem odstavku 93. člena ZVOP-1, v povezavi s prvim odstavkom 93. člena ZVOP-1,
ki ga je storila s tem, da kot odgovorna oseba pravne osebe …, pri kateri je bila pooblaščena opravljati dela in naloge …, v …, od dne … do dne …, ni izvajala organizacijskih, tehničnih in logično-tehničnih ukrepov za zavarovanje osebnih podatkov v elektronsko vodenih zbirkah pravne osebe …, s tem, ko je preko enega izmed stalno nezaklenjenih računalnikov v nevarovani učilnici v času trajanja vsake njene odsotnosti ali odsotnosti drugega zadolženega delavca za delo z osebnimi podatki, dostopala do aplikativno programske opreme … (v nadaljevanju: dostop do …) na način, da je svoje uporabniško ime in geslo za dostop vnesla v prijavni obrazec na domeni … v upravljanju neznane tretje osebe, namesto na domeni … v upravljanju pogodbenega (pod)obdelovalca v imenu pravne osebe, s čimer svojega dostopa do … ni skrbno varovala na način, ki bi nepooblaščenim osebam onemogočil dostop do osebnih podatkov v elektronsko vodenih zbirkah pravne osebe …, kar je imelo za posledico, da je neznana tretja oseba z uporabo njenega uporabniškega imena in gesla za dostop do …, nepooblaščeno in nezakonito obdelovala (najmanj priklicala, vpogledala, izbrisala in vpisala oziroma spremenila) osebne podatke … dne … (ime, priimek, ocene, izostanke, vzgojne ukrepe) in najmanj vpogledala v osebne podatke ostalih vpisanih … na dneve njegovega izostanka (imena, priimke, izostanke, vpise v dnevnik s strani učiteljev, ter ali so o njih bili obveščeni starši), s čimer je kršila določbe 1. in 2. točke 1. odstavka 24. člena ter 1. odstavek 25. člena ZVOP-1.
… je zgoraj očitani prekršek storila pri opravljanju dejavnosti ter v imenu in s sredstvi pravne osebe …, pri kateri je v času storitve prekrška bila pooblaščena opravljati delo in naloge … ter je za namene izvajanja svojih delovnih nalog bila dolžna skrbeti tudi za ustrezno zavarovanje osebnih podatkov … v elektronsko vodenih zbirkah pravne osebe …, zaradi česar na podlagi prvega odstavka 15. člena ZP-1 in prvega odstavka 15.a člena ZP-1, za prekršek odgovarja kot odgovorna oseba pravne osebe ….
2. odgovorna pravna oseba:
… (matična številka: …)
je odgovorna za prekršek
po prvem odstavku 93. člena ZVOP-1,
ki ga je … storila s tem, da kot odgovorna oseba pravne osebe …, pri kateri je bila pooblaščena opravljati dela in naloge …, v …, od dne … do dne …, ni izvajala organizacijskih, tehničnih in logično-tehničnih ukrepov za zavarovanje osebnih podatkov v elektronsko vodenih zbirkah pravne osebe …, s tem, ko je preko enega izmed stalno nezaklenjenih računalnikov v nevarovani učilnici v času trajanja vsake njene odsotnosti ali odsotnosti drugega zadolženega delavca za delo z osebnimi podatki, dostopala do aplikativno programske opreme … (v nadaljevanju: dostop do …) na način, da je svoje uporabniško ime in geslo za dostop vnesla v prijavni obrazec na domeni … v upravljanju neznane tretje osebe, namesto na domeni … v upravljanju pogodbenega (pod)obdelovalca v imenu pravne osebe, s čimer svojega dostopa do eAsistenta ni skrbno varovala na način, ki bi nepooblaščenim osebam onemogočil dostop do osebnih podatkov v elektronsko vodenih zbirkah pravne osebe …, kar je imelo za posledico, da je neznana tretja oseba z uporabo njenega uporabniškega imena in gesla za dostop do …, nepooblaščeno in nezakonito obdelovala (najmanj priklicala, vpogledala, izbrisala in vpisala oziroma spremenila) osebne podatke … dne … (ime, priimek, ocene, izostanke, vzgojne ukrepe) in najmanj vpogledala v osebne podatke ostalih vpisanih … na dneve njegovega izostanka (imena, priimke, izostanke, vpise v dnevnik s strani učiteljev, ter ali so o njih bili obveščeni starši), s čimer je kršila določbe 1. in 2. točke 1. odstavka 24. člena ter 1. odstavek 25. člena ZVOP-1.
… je zgoraj opisani prekršek storila pri opravljanju dejavnosti ter v imenu in s sredstvi pravne osebe …, pri kateri je v času storitve prekrška bila pooblaščena opravljati delo in naloge … ter je za namene izvajanja svojih delovnih nalog bila dolžna skrbeti tudi za ustrezno zavarovanje osebnih podatkov … v elektronsko vodenih zbirkah pravne osebe …, zaradi česar pravna oseba …, za navedeni prekršek v skladu s 1. odstavkom 14. člena ZP-1 odgovarja kot odgovorna pravna oseba.
Odgovorni osebi se zato na podlagi drugega odstavka 93. člena ZVOP-1 v povezavi s prvim odstavkom 91. člena ZVOP-1, odgovorni pravni osebi pa na podlagi prvega odstavka 93. člena ZVOP-1 ter ob uporabi drugega odstavka 26. člena in prvega odstavka 21. člena ZP-1
i z r e č e
1. odgovorni osebi …: OPOMIN;
2. odgovorni pravni osebi …: OPOMIN.
Kršitelja morata na podlagi prvega odstavka 143. člena v zvezi s prvim odstavkom 144. člena in drugim odstavkom 58. člena ZP-1 v 15 dneh po pravnomočnosti odločbe o prekršku plačati sodno takso. Če kršitelja sodne takse ne bosta plačala v določenem roku, se bo izterjala prisilno. Sodno takso, ki je kršiteljema za izrečeni opomin odmerjena po tarifni številki 8112 Zakona o sodnih taksah (Uradni list RS, št. 37/2008, s spremembami in dopolnitvami) morata kršitelja plačati na transakcijski račun št. 01100-8450162502 (po priloženem UPN - univerzalnem plačilnem nalogu), in sicer:
1. odgovorna oseba …: v znesku 30 EUR;
2. odgovorna pravna oseba …: v znesku 30 EUR.
PRAVNI POUK: Zoper odločbo o prekršku je dovoljena zahteva za sodno varstvo. Zahtevo je treba pisno napovedati v roku osmih (8) dni od prejema te odločbe pri Informacijskem pooblaščencu, Dunajska cesta 22, 1000 Ljubljana, sicer se šteje, da se je upravičenec do zahteve (kršitelj samostojni podjetnik posameznik, zakoniti zastopnik oziroma zagovornik) odpovedal pravici do zahteve za sodno varstvo. Napoved zahteve se pošlje po pošti ali izroči neposredno v dveh izvodih in velja za pravočasno, če je oddana zadnji dan roka za vložitev napovedi zahteve priporočeno po pošti ali neposredno pri organu, ki je izdal odločbo. Napovedana vložitev zahteve za sodno varstvo se lahko umakne do poteka roka za vložitev napovedi te zahteve.
Če upravičenec do zahteve za sodno varstvo v zakonskem roku vložitve te zahteve ne napove ali napoved umakne, se šteje, da se je odpovedal pravici do zahteve za sodno varstvo.
Če nihče od upravičencev do zahteve za sodno varstvo te zahteve ne napove, prekrškovni organ ne izdela odločbe o prekršku z obrazložitvijo, ampak se šteje, da je z dnem vročitve odločbe brez obrazložitve vročena končna odločba, ki z iztekom roka za napoved zahteve za sodno varstvo postane pravnomočna.
Kadar vsaj eden od upravičencev do zahteve za sodno varstvo napove vložitev te zahteve, se pisna odločba o prekršku z obrazložitvijo izdela in odpošlje najpozneje v tridesetih (30) dneh po prejeti napovedi vložitve zahteve za sodno varstvo. Odločba z obrazložitvijo se v tem primeru vroči vsem upravičencem do zahteve za sodno varstvo.
Pod pogoji in v skladu s predpisi, ki urejajo finančno poslovanje prekrškovnega organa, lahko kršitelj plača stroške postopka tudi z negotovinskim plačilnim sredstvom.
