Številka: 0603-81/2021/10
Datum: 14. 6. 2022
Informacijski pooblaščenec (v nadaljevanju: prekrškovni organ) izdaja po pooblaščeni uradni osebi …, po uradni dolžnosti na podlagi drugega odstavka 51. člena in 46. člena Zakona o prekrških (Uradni list RS, št. 29/2011-UPB8, s spr., v nadaljevanju: ZP-1) ter 2. in 8. člena Zakona o Informacijskem pooblaščencu (Uradni list RS, št. 113/2005 in 51/2007 – ZUstS-A), v postopku o prekršku zoper kršiteljico pravno osebo … (matična številka: …) in njeni odgovorni osebi, … , v času kršitve … in … , v času kršitve …, zaradi prekrška po prvem in drugem odstavku 93. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07-UPB1 in 177/20; v nadaljevanju: ZVOP-1), naslednjo
ODLOČBO O PREKRŠKU
Kršitelji:
1. odgovorna oseba: …, EMŠO: …, slovenski državljan, v času storitve prekrška zaposlen pri pravni osebi …, kot …,
je odgovoren za prekršek
po drugem odstavku 93. člena ZVOP-1 v zvezi s prvim odstavkom 93. člena ZVOP-1,
ki ga je storil s tem, da kot odgovorna oseba pravne osebe ..., pri kateri je bil pooblaščen opravljati dela in naloge …, v Ljubljani, od neugotovljivega dne v preteklosti do dne 15. 1. 2021, ni zagotovil celovitih, zadostnih in učinkovitih organizacijskih, tehničnih in logično-tehničnih ukrepov za zavarovanje osebnih podatkov strank (pooblastiteljev), ki so na (vsaj) enem od svojih računov / produktov kdaj v obdobju od leta 2014 do 15. 1. 2021 imele pooblaščeno drugo osebo (pooblaščenca, zakonitega zastopnika, skrbnika), pa so pooblastilo preklicale ali je to zakonsko ali drugače izteklo, in sicer s tem, ko:
- ni zagotovil postopkov rednega testiranja, ocenjevanja in vrednotenja učinkovitosti ukrepov zavarovanja osebnih podatkov strank pri delovanju sistemsko programske opreme …, ki aplikacijam (…, … idr.) omogoča dostop do shranjenih dokumentov v dokumentarnem sistemu in v sistemsko aplikativni programski opremi ni zagotovil logično-tehničnih postopkov in procesov na način, da bi pooblaščencem prikazoval le njihove dokumente, dokumente računov / produktov pooblastiteljev pa izključno ob izpolnjenem pogoju sistemske zaznave posamičnih dodanih računov (npr. kartičnih, depozitnih, kreditnih, …) v spletni / mobilni banki (kot npr. v primeru izpiskov prometa na transakcijskih računih, kadar je ta bil dodan v spletni / mobilni banki), zaradi česar je prihajalo do nepooblaščenega razkrivanja osebnih podatkov strank v (kartičnih, depozitnih, kreditnih) računih in z njimi povezanih dokumentih osebam (npr. obrazec podatki o stranki, kreditna pogodba, depozitna pogodba, opomin, vloga za spremembo kreditnih pogojev, izjava o dobrem zdravstvenem stanju pri zavarovalni pogodbi, stanje vzajemnih skladov ipd.), ki za obdelavo teh osebnih podatkov niso (več) bile pooblaščene,
- v sistemsko aplikativni programski opremi ni zagotovil učinkovitih sistemskih ukrepov zavarovanja osebnih podatkov strank ob preklicu (zapadlosti, izteku, umiku, spremembi ipd.) pooblastil pooblaščencem (npr. učinkovitih sistemskih opozoril ali avtomatskih kontrol / zapor ob polnoletnosti strank (kot npr. »signalov« iz … v točki ...), ob ukinitvi pravic dostopov do spletne / mobilne banke, ob preklicu bančnih kartic pooblaščencem ipd.) oziroma v priročnikih, pravilih, (vsakodnevnih delovnih) navodilih za oddelke v sodelovanju ni zagotovil postopka vseh potrebnih ročnih aktivnosti za učinkovit način preklica pooblastil s sočasno ukinitvijo vseh vrst relacij (npr. aktivnosti ročnega odstranjevanja računov iz pooblaščenčeve spletne / mobilne banke), zaradi česar je preko spletne / mobilne banke prihajalo do nepooblaščenega razkrivanja osebnih podatkov strank osebam, ki za obdelavo teh osebnih podatkov niso (več) bile pooblaščene,
s čimer je kršil določbe 2. in 3. točke prvega odstavka 24. člena, drugi in tretji odstavek 24. člena in 25. člen ZVOP-1.
Kršitelj … je zgoraj navedeni prekršek storil pri opravljanju dejavnosti ter v imenu in s sredstvi pravne osebe ...., pri kateri je v času storitve prekrška kot … bil odgovoren za področje … in pooblaščen za … ter predlaganje zakonitosti dela in poslovanja, ki vključuje tudi zakonito delovanje skladno z veljavnimi pravili in zakoni s področja varstva podatkov in s tem odgovoren za zavarovanje osebnih podatkov, zaradi česar na podlagi 1. odstavka 15. člena ZP-1 in 1. odstavka 15.a člena ZP-1 za prekršek odgovarja kot odgovorna oseba pravne osebe …
2. odgovorna oseba: …, EMŠO: …, slovenska državljanka, v času storitve prekrška zaposlena pri pravni osebi …, kot …,
je odgovorna za prekršek
po drugem odstavku 93. člena ZVOP-1 v zvezi s prvim odstavkom 93. člena ZVOP-1,
ki ga je storila s tem, da kot odgovorna oseba pravne osebe ..., pri kateri je bila pooblaščena opravljati dela in naloge…, v Ljubljani, od neugotovljivega dne v preteklosti do dne 15. 1. 2021, ni zagotovila celovitih, zadostnih in učinkovitih organizacijskih, tehničnih in logično-tehničnih ukrepov za zavarovanje osebnih podatkov strank (pooblastiteljev), ki so na (vsaj) enem od svojih računov / produktov kdaj v obdobju od leta 2014 do 15. 1. 2021 imele pooblaščeno drugo osebo (pooblaščenca, zakonitega zastopnika, skrbnika), pa so pooblastilo preklicale ali je to zakonsko ali drugače izteklo, in sicer s tem, ko:
- ni zagotovila postopkov rednega testiranja, ocenjevanja in vrednotenja učinkovitosti ukrepov zavarovanja osebnih podatkov strank in učinkovitih kontrol nad izvajanjem internih navodil glede vnosa predpisanih podatkov / dokumentov v informacijski sistem za zaznavo nastopa polnoletnosti / pridobitve poslovne sposobnosti strank s strani svetovalcev koordiniranih članov skupine in njihovega izvajanja predpisanih postopkov urejanja ali obnove ustreznih statusov strank in podatkov (v aplikaciji …) oziroma v zadevni aplikaciji v sodelovanju z drugimi oddelki ni zagotovila učinkovitih sistemskih ukrepov zavarovanja osebnih podatkov strank (npr. učinkovitih sistemskih opozoril ali avtomatskih kontrol / zapor ob polnoletnosti strank (kot npr. »signalov« iz … v točki ...), kadar svetovalci v določenem času niso izvedli vseh predpisanih postopkov urejanja ali obnove statusov strank in podatkov, da bi preprečila nepooblaščene dostope do osebnih podatkov strank, zaradi česar je prihajalo do nepooblaščenega razkrivanja osebnih podatkov polnoletnih strank / strank s pridobljeno poslovno sposobnostjo osebam, ki za obdelavo njihovih osebnih podatkov niso (več) bile pooblaščene,
- ni zagotovila postopkov rednega testiranja, ocenjevanja in vrednotenja učinkovitosti ukrepov zavarovanja osebnih podatkov strank in vzpostavila učinkovitih kontrol nad izvajanjem internih navodil glede ukinitve vzpostavljenih relacij med strankami kot imetniki računov (pooblastitelji) in pooblaščenimi osebami za upravljanje posameznih računov (pooblaščenec, zakoniti zastopnik, skrbnik) v informacijskem sistemu s strani svetovalcev koordiniranih članov skupine, izključno na podlagi izpolnjenega pogoja razpolaganja in hrambe ustreznih (podpisanih obrazcev) dovolil za posamične račune / produkte strank (pooblastiteljev) oziroma v informacijskem sistemu v sodelovanju z drugimi oddelki ni zagotovila učinkovitih sistemskih ukrepov zavarovanja osebnih podatkov strank (npr. učinkovitih sistemskih opozoril ali avtomatskih kontrol / zapor ob polnoletnosti strank (kot npr. »signalov« iz … v točki …) kadar pogoj za vzpostavitev relacij ni (več) bil izpolnjen, zaradi česar je prihajalo do nepooblaščenega razkrivanja osebnih podatkov strank osebam, ki za obdelavo njihovih osebnih podatkov niso (več) bile pooblaščene,
- ni zagotovila učinkovitih ukrepov zavarovanja osebnih podatkov strank ob preklicu (zapadlosti, izteku, umiku, spremembi ipd.) pooblastil pooblaščencem s tem, ko v internih navodilih članom skupine ni zagotovila postopka vseh potrebnih ročnih aktivnosti svetovalcev članov skupine za učinkovit način preklica pooblastil s sočasno ukinitvijo vseh vrst relacij med strankami kot imetniki računov (pooblastitelji) in pooblaščenimi osebami (pooblaščenec, zakoniti zastopnik, skrbnik) in ni vzpostavila učinkovitih kontrolnih mehanizmov nad izvajanjem postopka preklica pooblastil, zaradi česar so se v informacijskem sistemu ukinjale zgolj relacije, ne pa hkrati tudi dostopi do podatkov pooblastiteljev preko spletne / mobilne banke ali z uporabo nepreklicanih bančnih kartic na transakcijskih računih in drugih bančnih paketih pooblastiteljev, zaradi česar je prihajalo do nepooblaščenega razkrivanja osebnih podatkov strank osebam, ki za obdelavo njihovih osebnih podatkov niso (več) bile pooblaščene,
s čimer je kršila določbe 2. in 3. točke prvega odstavka 24. člena, drugi in tretji odstavek 24. člena in 25. člen ZVOP-1.
Kršiteljica … je zgoraj navedeni prekršek storila pri opravljanju dejavnosti ter v imenu in s sredstvi pravne osebe ..., pri kateri je v času storitve prekrška kot … bila pooblaščena za …, nadzor in kontrolo delovnih procesov skladno s predpisi, vključujoč predpise varstva podatkov ter predlaganje sprememb in izboljšav, dopolnjevanje, izdajo in upravljanje delovnih navodil ter s tem odgovorna za zavarovanje osebnih podatkov, zaradi česar na podlagi 1. odstavka 15. člena ZP-1 in 1. odstavka 15.a člena ZP-1 za prekršek odgovarja kot odgovorna oseba pravne osebe …
3. odgovorna pravna oseba: … (matična številka: …)
odgovorna za prekršek
po prvem odstavku 93. člena ZVOP-1,
ki sta ga storila … in … s tem, da kot odgovorni osebi pravne osebe ..., pri kateri sta bila pooblaščena opravljati dela in naloge … (… kot … in … kot …), v Ljubljani, od neugotovljivega dne v preteklosti do dne 15. 1. 2021, nista zagotovila celovitih, zadostnih in učinkovitih organizacijskih, tehničnih in logično-tehničnih ukrepov za zavarovanje osebnih podatkov strank (pooblastiteljev), ki so na (vsaj) enem od svojih računov / produktov kdaj v obdobju od leta 2014 do 15. 1. 2021 imele pooblaščeno drugo osebo (pooblaščenca, zakonitega zastopnika, skrbnika), pa so pooblastilo preklicale ali je to zakonsko ali drugače izteklo, in sicer s tem, ko:
3.1 odgovorna oseba … :
- ni zagotovil postopkov rednega testiranja, ocenjevanja in vrednotenja učinkovitosti ukrepov zavarovanja osebnih podatkov strank pri delovanju sistemsko programske opreme …, ki aplikacijam (…, … idr.) omogoča dostop do shranjenih dokumentov v dokumentarnem sistemu in v sistemsko aplikativni programski opremi ni zagotovil logično-tehničnih postopkov in procesov na način, da bi pooblaščencem prikazoval le njihove dokumente, dokumente računov / produktov pooblastiteljev pa izključno ob izpolnjenem pogoju sistemske zaznave posamičnih dodanih računov (npr. kartičnih, depozitnih, kreditnih, …) v spletni / mobilni banki (kot npr. v primeru izpiskov prometa na transakcijskih računih, kadar je ta bil dodan v spletni / mobilni banki), zaradi česar je prihajalo do nepooblaščenega razkrivanja osebnih podatkov strank v (kartičnih, depozitnih, kreditnih) računih in z njimi povezanih dokumentih osebam (npr. obrazec podatki o stranki, kreditna pogodba, depozitna pogodba, opomin, vloga za spremembo kreditnih pogojev, izjava o dobrem zdravstvenem stanju pri zavarovalni pogodbi, stanje vzajemnih skladov ipd.), ki za obdelavo teh osebnih podatkov niso (več) bile pooblaščene,
- v sistemsko aplikativni programski opremi ni zagotovil učinkovitih sistemskih ukrepov zavarovanja osebnih podatkov strank ob preklicu (zapadlosti, izteku, umiku, spremembi ipd.) pooblastil pooblaščencem (npr. učinkovitih sistemskih opozoril ali avtomatskih kontrol / zapor ob polnoletnosti strank (kot npr. »signalov« iz … v točki …), ob ukinitvi pravic dostopov do spletne / mobilne banke, ob preklicu bančnih kartic pooblaščencem ipd.) oziroma v priročnikih, pravilih, (vsakodnevnih delovnih) navodilih za oddelke v sodelovanju ni zagotovil postopka vseh potrebnih ročnih aktivnosti za učinkovit način preklica pooblastil s sočasno ukinitvijo vseh vrst relacij (npr. aktivnosti ročnega odstranjevanja računov iz pooblaščenčeve spletne / mobilne banke), zaradi česar je preko spletne / mobilne banke prihajalo do nepooblaščenega razkrivanja osebnih podatkov strank osebam, ki za obdelavo teh osebnih podatkov niso (več) bile pooblaščene,
3.2 odgovorna oseba … :
- ni zagotovila postopkov rednega testiranja, ocenjevanja in vrednotenja učinkovitosti ukrepov zavarovanja osebnih podatkov strank in učinkovitih kontrol nad izvajanjem internih navodil glede vnosa predpisanih podatkov / dokumentov v informacijski sistem za zaznavo nastopa polnoletnosti / pridobitve poslovne sposobnosti strank s strani svetovalcev koordiniranih članov skupine in njihovega izvajanja predpisanih postopkov urejanja ali obnove ustreznih statusov strank in podatkov (v aplikaciji …) oziroma v zadevni aplikaciji v sodelovanju z drugimi oddelki ni zagotovila učinkovitih sistemskih ukrepov zavarovanja osebnih podatkov strank (npr. učinkovitih sistemskih opozoril ali avtomatskih kontrol / zapor ob polnoletnosti strank (kot npr. »signalov« iz … v točki …), kadar svetovalci v določenem času niso izvedli vseh predpisanih postopkov urejanja ali obnove statusov strank in podatkov, da bi preprečila nepooblaščene dostope do osebnih podatkov strank, zaradi česar je prihajalo do nepooblaščenega razkrivanja osebnih podatkov polnoletnih strank / strank s pridobljeno poslovno sposobnostjo osebam, ki za obdelavo njihovih osebnih podatkov niso (več) bile pooblaščene,
- ni zagotovila postopkov rednega testiranja, ocenjevanja in vrednotenja učinkovitosti ukrepov zavarovanja osebnih podatkov strank in vzpostavila učinkovitih kontrol nad izvajanjem internih navodil glede ukinitve vzpostavljenih relacij med strankami kot imetniki računov (pooblastitelji) in pooblaščenimi osebami za upravljanje posameznih računov (pooblaščenec, zakoniti zastopnik, skrbnik) v informacijskem sistemu s strani svetovalcev koordiniranih članov skupine, izključno na podlagi izpolnjenega pogoja razpolaganja in hrambe ustreznih (podpisanih obrazcev) dovolil za posamične račune / produkte strank (pooblastiteljev) oziroma v informacijskem sistemu v sodelovanju z drugimi oddelki ni zagotovila učinkovitih sistemskih ukrepov zavarovanja osebnih podatkov strank (npr. učinkovitih sistemskih opozoril ali avtomatskih kontrol / zapor ob polnoletnosti strank (kot npr. »signalov« iz … v točki ...) kadar pogoj za vzpostavitev relacij ni (več) bil izpolnjen, zaradi česar je prihajalo do nepooblaščenega razkrivanja osebnih podatkov strank osebam, ki za obdelavo njihovih osebnih podatkov niso (več) bile pooblaščene,
- ni zagotovila učinkovitih ukrepov zavarovanja osebnih podatkov strank ob preklicu (zapadlosti, izteku, umiku, spremembi ipd.) pooblastil pooblaščencem s tem, ko v internih navodilih članom skupine ni zagotovila postopka vseh potrebnih ročnih aktivnosti svetovalcev članov skupine za učinkovit način preklica pooblastil s sočasno ukinitvijo vseh vrst relacij med strankami kot imetniki računov (pooblastitelji) in pooblaščenimi osebami (pooblaščenec, zakoniti zastopnik, skrbnik) in ni vzpostavila učinkovitih kontrolnih mehanizmov nad izvajanjem postopka preklica pooblastil, zaradi česar so se v informacijskem sistemu ukinjale zgolj relacije, ne pa hkrati tudi dostopi do podatkov pooblastiteljev preko spletne / mobilne banke ali z uporabo nepreklicanih bančnih kartic na transakcijskih računih in drugih bančnih paketih pooblastiteljev, zaradi česar je prihajalo do nepooblaščenega razkrivanja osebnih podatkov strank osebam, ki za obdelavo njihovih osebnih podatkov niso (več) bile pooblaščene,
s čimer sta kršila določbe 2. in 3. točke prvega odstavka 24. člena, drugi in tretji odstavek 24. člena in 25. člen ZVOP-1.
… in … sta zgoraj navedeni prekršek storila pri opravljanju dejavnosti ter v imenu in s sredstvi pravne osebe ..., pri kateri sta bila kot … (… kot …; … kot …), dolžna zagotavljati zakonito delovanje na področju varovanja osebnih podatkov, vključujoč učinkovite organizacijske, tehnične in logično-tehnične ukrepe in postopke za zavarovanje osebnih podatkov strank pravne osebe, zaradi česar pravna oseba ..., za navedeni prekršek v skladu s prvim odstavkom 14. člena ZP-1 odgovarja kot odgovorna pravna oseba.
Odgovornima osebama pravne osebe se zato na podlagi drugega odstavka 93. člena ZVOP-1 v zvezi s prvim odstavkom 93. člena ZVOP-1 ob uporabi prvega odstavka 21. člena ZP-1, odgovorni pravni osebi pa na podlagi prvega odstavka 93. člena ZVOP-1 ob uporabi tretjega odstavka 52. člena ZP-1,
1.1.1.1. za prekršek izreče
1.1.1.2.
1.1.1.3. SANKCIJA
1. odgovorni osebi … : OPOMIN,
2. odgovorni osebi … : OPOMIN,
3. odgovorni pravni osebi ... : GLOBA v znesku 4.170,00 eurov.
Kršiteljica odgovorna pravna oseba mora plačati globo na transakcijski račun št. 01100-8450051825 (po priloženem UPN – univerzalnem plačilnem nalogu).
Kršitelji odgovorni osebi in odgovorna pravna oseba morajo na podlagi prvega odstavka 143. člena v zvezi s prvim odstavkom 144. člena in drugim odstavkom 58. člena ZP-1 plačati sodno takso. Sodno takso, ki je kršiteljem za izrečeni opomin oziroma globo odmerjena po tarifni številki 8112 in 8111 Zakona o sodnih taksah (Uradni list RS, št. 37/08, s spr., v nadaljevanju: ZST-1), morajo kršitelji plačati na transakcijski račun št. 01100-8450162502 (po priloženem UPN - univerzalnem plačilnem nalogu), in sicer:
1. odgovorna oseba … : v znesku 30,00 eurov;
2. odgovorna oseba … : v znesku 30,00 eurov;
3. odgovorna pravna oseba ... : v znesku 417,00 eurov.
Kršitelji morajo plačati celotni znesek izrečene globe in sodno takso v 15 dneh po pravnomočnosti odločbe o prekršku. Po preteku roka za plačilo lahko kršitelji pri organu, pristojnem za prisilno izterjavo (Finančna uprava Republike Slovenije), zaprosijo za plačilo globe in stroškov postopka (sodne takse) v obrokih.
Če kršitelji pravna in odgovorni osebi v določenem roku globe in stroškov postopka (sodne takse) ne bodo plačali, se bodo neplačana globa in stroški postopka (sodne takse) izterjali prisilno.
PRAVNI POUK:
Zoper odločbo o prekršku je dovoljena zahteva za sodno varstvo. Zahtevo je treba pisno napovedati v roku osmih (8) dni od prejema te odločbe pri Informacijskem pooblaščencu, Dunajska cesta 22, 1000 Ljubljana, sicer se šteje, da se je upravičenec do zahteve (kršitelji pravna in odgovorni osebi, zakoniti zastopnik oziroma zagovornik) odpovedal pravici do zahteve za sodno varstvo. Napoved zahteve se pošlje po pošti ali izroči neposredno v dveh izvodih in velja za pravočasno, če je oddana zadnji dan roka za vložitev napovedi zahteve priporočeno po pošti ali neposredno pri organu, ki je izdal odločbo. Napovedana vložitev zahteve za sodno varstvo se lahko umakne do poteka roka za vložitev napovedi te zahteve.
Če upravičenec do zahteve za sodno varstvo v zakonskem roku vložitve te zahteve ne napove ali napoved umakne, se šteje, da se je odpovedal pravici do zahteve za sodno varstvo.
Če nihče od upravičencev do zahteve za sodno varstvo te zahteve ne napove, prekrškovni organ ne izdela odločbe o prekršku z obrazložitvijo, ampak se šteje, da je z dnem vročitve odločbe brez obrazložitve vročena končna odločba, ki z iztekom roka za napoved zahteve za sodno varstvo postane pravnomočna.
Kadar vsaj eden od upravičencev do zahteve za sodno varstvo napove vložitev te zahteve, se pisna odločba o prekršku z obrazložitvijo izdela in odpošlje najpozneje v tridesetih (30) dneh po prejeti napovedi vložitve zahteve za sodno varstvo. Odločba z obrazložitvijo se v tem primeru vroči vsem upravičencem do zahteve za sodno varstvo.
Kršitelj, ki mu je izrečena globa in ne napove zahteve za sodno varstvo zoper odločbo o prekršku, plača polovični znesek globe v roku osmih dni po izteku roka za napoved zahteve za sodno varstvo, sicer mora plačati celoten znesek globe v roku, ki je določen v izreku te odločbe. V istem roku, ki je določen v izreku odločbe, mora plačati celoten znesek izrečene globe tudi kršitelj, ki napove zahtevo za sodno varstvo zoper odločbo, nato pa zahteve zoper odločbo z obrazložitvijo ne vloži. Če kršitelj plača polovično globo pred iztekom roka za napoved zahteve za sodno varstvo, zahteva za sodno varstvo zoper odločbo ni dovoljena, razen v primeru, če je moral kršitelj plačati globo pred iztekom roka za napoved zahteve v skladu z določbami ZP-1.
Pod pogoji in v skladu s predpisi, ki urejajo finančno poslovanje prekrškovnega organa, lahko kršitelji plačajo globo oziroma stroške postopka tudi z negotovinskim plačilnim sredstvom.
Pooblaščena uradna oseba:
