Številka: 0603-55/2022/8
Datum: 29. 8. 2022
Informacijski pooblaščenec (v nadaljevanju: prekrškovni organ) izdaja po pooblaščeni uradni osebi …, državni nadzornici za varstvo osebnih podatkov, po uradni dolžnosti na podlagi drugega odstavka 51. člena in 46. člena Zakona o prekrških (Uradni list RS, št. 29/2011-UPB8, s spr., v nadaljevanju: ZP-1) ter 2. in 8. člena Zakona o Informacijskem pooblaščencu (Uradni list RS, št. 113/2005 in 51/2007 – ZUstS-A), v postopku o prekršku zoper kršitelja pravno osebo …, matična številka: … (v nadaljevanju: pravna oseba oz. …) in njeno odgovorno osebo, …, zaradi prekrška po prvem in drugem odstavku 93. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07 – uradno prečiščeno besedilo in 177/20, v nadaljevanju: ZVOP-1), naslednjo
ODLOČBO O PREKRŠKU
Kršitelja:
1. odgovorna oseba:
…, stan. …, EMŠO: …, državljan…, v času storitve prekrška zaposlen… na, kot …,
je odgovorna za prekršek
po drugem odstavku 93. člena ZVOP-1, v povezavi s prvim odstavkom 93. člena ZVOP-1,
ki ga je storila s tem, da kot odgovorna oseba pravne osebe …, pri kateri je bila pooblaščena opravljati delo …, pri opravljanju dejavnosti pravne osebe ter v njenem imenu in z njenimi sredstvi, (najmanj) od dne 19. 6. 2021 do dne 24. 3. 2022, v prostorih pravne osebe v Slovenski Bistrici, ni zagotovila učinkovitih organizacijskih, tehničnih in logično-tehničnih ukrepov za zavarovanje osebnih podatkov v podatkovnih zbirkah, ki jih pravna oseba vodi v informacijskem sistemu …, s tem, ko v spremenjenem načinu izvajanja pouka zaradi zasledovanja ukrepov zajezitve širjenja okužb, ki je odpravil učinkovit ukrep varovanja strojne in sistemsko programske računalniške opreme v učilnicah izven varovanih prostorov pravne osebe z zaklepanjem učilnic po zaključku ure, ni zagotovila izvajanja predpisanega ukrepa v internem aktu, da morajo nosilci osebnih podatkov, ki se nahajajo izven varovanih prostorov biti stalno zaklenjeni v omarah in ni upoštevala varnostnih tveganj za varovanje osebnih podatkov v spremenjenih okoliščinah, da bi glede na tveganja zagotovila ustrezno raven varnosti, med drugim z naslednjimi možnimi ukrepi varovanja strojne in sistemsko programske računalniške opreme v učilnicah izven varovanih prostorov, vključno z vhodno-izhodnimi enotami: s postopkom dvostopenjske avtentikacije pooblaščenih uporabnikov informacijskega sistema …, z ukrepom uporabe izključno službenih prenosnih računalnikov ali tablic za dostop do osebnih podatkov v informacijskem sistemu … namesto delovnih postaj v učilnicah, s postopkom rednega preverjanja strojne in sistemsko programske računalniške opreme v učilnicah glede potencialne prisotnosti zlonamerne sistemske ali programske opreme pred njeno uporabo za prijavo v informacijski sistem … in priklic osebnih podatkov idr. in zaposlenim o tem ni izdala jasnih in določnih navodil, zaradi česar pooblaščene osebe dodeljenih jim uporabniških imen in osebnih gesel pri vstopanju v sistemsko programsko računalniško opremo v učilnicah in ob prijavi v informacijski sistem …, niso uporabljale na varen način in s takšnim svojim ravnanjem ni onemogočila možnosti vpogleda v njihova uporabniška imena in osebna gesla (najmanj pooblaščenih uporabnic … in …) za prijavo v informacijski sistem … nepooblaščenim osebam (npr. …) ali njihovega prepisa (tudi zlonamernega v zgoraj opredeljenem obdobju z nameščanjem tuje naprave (…) pred USB-vhod tipkovnice tako, da je s posebno programsko opremo brala vse znake, ki so jih pooblaščene osebe napisale na tipkovnico), česar posledica je bila nepooblaščena in nezakonita obdelava osebnih podatkov v okviru uporabniških profilov navedenih dveh pooblaščenih uporabnic informacijskega sistema … (najmanj: nepooblaščen priklic, vpogled, izbris, spreminjanje osebnih podatkov … (ime, priimek, ocena, izostanki) dne 19. 6. 2021 in dne 9. 1. 2022), s čimer je kršila 1. in 2. točko prvega odstavka 24. člena ter 25. člen ZVOP-1.
… je zgoraj opisani prekršek storila pri opravljanju dejavnosti ter v imenu in s sredstvi pravne osebe …, pri kateri je v času storitve prekrška bila pooblaščena opravljati delo … in dolžna zagotoviti ustrezno zavarovanje osebnih podatkov ter poskrbeti, da se postopki in ukrepi za zavarovanje osebnih podatkov predpišejo v aktih pravne osebe, že predpisani pa izvajajo, zaradi česar na podlagi prvega odstavka 15. člena ZP-1 in prvega odstavka 15.a člena ZP-1, za prekršek odgovarja kot odgovorna oseba ...
2. odgovorna pravna oseba:
… (matična številka: …)
je odgovorna za prekršek
po prvem odstavku 93. člena ZVOP-1,
ki ga je … storila s tem, da kot odgovorna oseba pravne osebe …, pri kateri je bila pooblaščena opravljati delo …, pri opravljanju dejavnosti pravne osebe ter v njenem imenu in z njenimi sredstvi, (najmanj) od dne 19. 6. 2021 do dne 24. 3. 2022, v prostorih pravne osebe v Slovenski Bistrici, ni zagotovila učinkovitih organizacijskih, tehničnih in logično-tehničnih ukrepov za zavarovanje osebnih podatkov v podatkovnih zbirkah, ki jih pravna oseba vodi v informacijskem sistemu …, s tem, ko v spremenjenem načinu izvajanja pouka zaradi zasledovanja ukrepov zajezitve širjenja okužb, ki je odpravil učinkovit ukrep varovanja strojne in sistemsko programske računalniške opreme v učilnicah izven varovanih prostorov pravne osebe z zaklepanjem učilnic po zaključku ure, ni zagotovila izvajanja predpisanega ukrepa v internem aktu, da morajo nosilci osebnih podatkov, ki se nahajajo izven varovanih prostorov biti stalno zaklenjeni v omarah in ni upoštevala varnostnih tveganj za varovanje osebnih podatkov v spremenjenih okoliščinah, da bi glede na tveganja zagotovila ustrezno raven varnosti, med drugim z naslednjimi možnimi ukrepi varovanja strojne in sistemsko programske računalniške opreme v učilnicah izven varovanih prostorov, vključno z vhodno-izhodnimi enotami: s postopkom dvostopenjske avtentikacije pooblaščenih uporabnikov informacijskega sistema …, z ukrepom uporabe izključno službenih prenosnih računalnikov ali tablic za dostop do osebnih podatkov v informacijskem sistemu … namesto delovnih postaj v učilnicah, s postopkom rednega preverjanja strojne in sistemsko programske računalniške opreme v učilnicah glede potencialne prisotnosti zlonamerne sistemske ali programske opreme pred njeno uporabo za prijavo v informacijski sistem … in priklic osebnih podatkov idr. in zaposlenim o tem ni izdala jasnih in določnih navodil, zaradi česar pooblaščene osebe dodeljenih jim uporabniških imen in osebnih gesel pri vstopanju v sistemsko programsko računalniško opremo v učilnicah in ob prijavi v informacijski sistem …, niso uporabljale na varen način in s takšnim svojim ravnanjem ni onemogočila možnosti vpogleda v njihova uporabniška imena in osebna gesla (najmanj pooblaščenih uporabnic … in …) za prijavo v informacijski sistem … nepooblaščenim osebam (npr. …) ali njihovega prepisa (tudi zlonamernega v zgoraj opredeljenem obdobju z nameščanjem tuje naprave (…) pred USB-vhod tipkovnice tako, da je s posebno programsko opremo brala vse znake, ki so jih pooblaščene osebe napisale na tipkovnico), česar posledica je bila nepooblaščena in nezakonita obdelava osebnih podatkov v okviru uporabniških profilov navedenih dveh pooblaščenih uporabnic informacijskega sistema … (najmanj: nepooblaščen priklic, vpogled, izbris, spreminjanje osebnih podatkov … (ime, priimek, ocena, izostanki) dne 19. 6. 2021 in dne 9. 1. 2022), s čimer je kršila 1. in 2. točko prvega odstavka 24. člena ter 25. člen ZVOP-1.
… je zgoraj opisani prekršek storila pri opravljanju dejavnosti ter v imenu in s sredstvi pravne osebe …, pri kateri je v času storitve prekrška bila pooblaščena opravljati delo … in dolžna zagotoviti ustrezno zavarovanje osebnih podatkov ter poskrbeti, da se postopki in ukrepi za zavarovanje osebnih podatkov predpišejo v aktih pravne osebe, že predpisani pa izvajajo, zaradi česar … za navedeni prekršek v skladu s prvim odstavkom 14. člena ZP-1 odgovarja kot odgovorna pravna oseba.
Odgovorni osebi se zato na podlagi drugega odstavka 93. člena ZVOP-1 v povezavi s prvim odstavkom 91. člena ZVOP-1, odgovorni pravni osebi pa na podlagi prvega odstavka 93. člena ZVOP-1 ter ob uporabi drugega odstavka 26. člena in prvega odstavka 21. člena ZP-1
i z r e č e
1. odgovorni osebi …: OPOMIN;
2. odgovorni pravni osebi …: OPOMIN.
Kršitelja morata na podlagi prvega odstavka 143. člena v zvezi s prvim odstavkom 144. člena in drugim odstavkom 58. člena ZP-1 v 15 dneh po pravnomočnosti odločbe o prekršku plačati sodno takso. Če kršitelja sodne takse ne bosta plačala v določenem roku, se bo izterjala prisilno. Sodno takso, ki je kršiteljema za izrečeni opomin odmerjena po tarifni številki 8112 Zakona o sodnih taksah (Uradni list RS, št. 37/2008, s spremembami in dopolnitvami) morata kršitelja plačati na transakcijski račun št. 01100-8450162502 (po priloženem UPN - univerzalnem plačilnem nalogu), in sicer:
1. odgovorna oseba …: v znesku 30 EUR;
2. odgovorna pravna oseba …: v znesku 30 EUR.
PRAVNI POUK: Zoper odločbo o prekršku je dovoljena zahteva za sodno varstvo. Zahtevo je treba pisno napovedati v roku osmih (8) dni od prejema te odločbe pri Informacijskem pooblaščencu, Dunajska cesta 22, 1000 Ljubljana, sicer se šteje, da se je upravičenec do zahteve (kršitelj samostojni podjetnik posameznik, zakoniti zastopnik oziroma zagovornik) odpovedal pravici do zahteve za sodno varstvo. Napoved zahteve se pošlje po pošti ali izroči neposredno v dveh izvodih in velja za pravočasno, če je oddana zadnji dan roka za vložitev napovedi zahteve priporočeno po pošti ali neposredno pri organu, ki je izdal odločbo. Napovedana vložitev zahteve za sodno varstvo se lahko umakne do poteka roka za vložitev napovedi te zahteve.
Če upravičenec do zahteve za sodno varstvo v zakonskem roku vložitve te zahteve ne napove ali napoved umakne, se šteje, da se je odpovedal pravici do zahteve za sodno varstvo.
Če nihče od upravičencev do zahteve za sodno varstvo te zahteve ne napove, prekrškovni organ ne izdela odločbe o prekršku z obrazložitvijo, ampak se šteje, da je z dnem vročitve odločbe brez obrazložitve vročena končna odločba, ki z iztekom roka za napoved zahteve za sodno varstvo postane pravnomočna.
Kadar vsaj eden od upravičencev do zahteve za sodno varstvo napove vložitev te zahteve, se pisna odločba o prekršku z obrazložitvijo izdela in odpošlje najpozneje v tridesetih (30) dneh po prejeti napovedi vložitve zahteve za sodno varstvo. Odločba z obrazložitvijo se v tem primeru vroči vsem upravičencem do zahteve za sodno varstvo.
Pod pogoji in v skladu s predpisi, ki urejajo finančno poslovanje prekrškovnega organa, lahko kršitelj plača stroške postopka tudi z negotovinskim plačilnim sredstvom.
