Številka: 0603-92/2020/5
Datum: 1. 9. 2022
Informacijski pooblaščenec (v nadaljevanju: prekrškovni organ) izdaja po pooblaščeni uradni osebi …, državni nadzornici za varstvo osebnih podatkov, po uradni dolžnosti na podlagi drugega odstavka 51. člena in 46. člena Zakona o prekrških (Uradni list RS, št. 29/2011-UPB8, s spr., v nadaljevanju: ZP-1) ter 2. in 8. člena Zakona o Informacijskem pooblaščencu (Uradni list RS, št. 113/2005 in 51/2007 – ZUstS-A), v postopku o prekršku zoper kršitelja pravno osebo … in njeno odgovorno osebo direktorja …, ki ju zastopa …, zaradi prekrškov po prvem in drugem odstavku 98. člena, po prvem in drugem odstavku 95. člena in po prvem in drugem odstavku 93. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07 – uradno prečiščeno besedilo in 177/20, v nadaljevanju: ZVOP-1), naslednjo
ODLOČBO O PREKRŠKU
Kršitelja:
1. odgovorna oseba:
…, EMŠO: …, državljan Republike Slovenije, v času storitve prekrška zaposlen pri …, kot direktor,
je odgovoren
1.1. za prekršek
po drugem odstavku 98. člena ZVOP-1, v povezavi s prvim odstavkom 98. člena ZVOP-1,
ki ga je storil s tem, da je kot odgovorna oseba pravne osebe …, pri kateri je bil pooblaščen opravljati delo direktorja, pri opravljanju dejavnosti pravne osebe ter v njenem imenu in z njenimi sredstvi, v obdobju od 5. 4. 2018 do 3. 8. 2020, na naslovu …, izvajal videonadzor znotraj delovnih prostorov in sicer sprejemne pisarne in dispečer prostora, kjer se nahajajo zaposleni, na način, da je prenašal živo sliko s petih kamer, po tri nameščene v dispečer prostoru in po dve v sprejemni pisarni (nad celotnim prostorom v obeh delovnih prostorih), na svoj telefon in računalnik ter računalnik …, zaposlenega pri …, s pomočjo aplikacije, za dostop do katere sta si delila isto uporabniško ime in geslo, in z … vpogledoval v živo sliko s petih kamer, pri čemer pa takšnega videonadzora v celotnih delovnih prostorih nista izvajala z namenom zagotavljanja varnosti ljudi, premoženja ali tajnih podatkov, ampak z namenom nadzora dela delavcev, poleg tega pa izvajanje takšnega videonadzora celotnih delovnih prostorov tudi ni bilo nujno potrebno za zagotavljanje varnosti ljudi in premoženja, ali za varovanje tajnih podatkov ter poslovne skrivnosti, saj bi varnost ljudi in premoženja, ki se nahaja v sprejemni pisarni in dispečer prostoru, (kjer so delovna mesta zaposlenih), lahko dosegla z milejšimi in učinkovitejšimi sredstvi kot s stalnim nadzorom nad celotnimi pisarnami in delovnimi mesti zaposlenih (npr. v sprejemni pisarni zgolj z nadzorom sprejemnega okna, z navodili delavcem, z zaklepanjem prostorov, ko v njih ni zaposlenih, ali z video nadzornim sistemom, ki bi snemal zgolj dogajanje na vhodih v prostore, alarmnim sistemom), s čimer je videonadzor v navedenih delovnih prostorih izvajal v nasprotju z določbami 1. in 2. odstavka 77. člena ZVOP-1;
1.2. za prekršek
po drugem odstavku 95. člena ZVOP-1, v povezavi z 2. točko prvega odstavka 95. člena ZVOP-1,
ki ga je storil s tem, da je kot odgovorna oseba pravne osebe …, pri kateri je bil pooblaščen opravljati delo direktorja, pri opravljanju dejavnosti pravne osebe ter v njenem imenu in z njenimi sredstvi, v obdobju od 5. 4. 2018 do 3. 7. 2020 v prostorih podjetja … na naslovu …, izvajal videonadzor in o tem ni objavil obvestila, ki bi vsebovalo vse informacije iz. 3. odstavka 74. člena ZVOP-1, saj le to ni vsebovalo pravilnih informacij o tem, kdo izvaja videonadzor in pravilne telefonske številke za pridobitev informacije, kje in koliko časa se shranjujejo posnetki iz videonadzornega sistema, s čimer je kršil določbo tretjega odstavka 74. člena ZVOP-1;
1.3. za prekršek
po drugem odstavku 93. člena ZVOP-1, v povezavi s prvim odstavkom 93. člena ZVOP-1,
ki ga je storil s tem, da kot odgovorna oseba pravne osebe …, pri kateri je bil pooblaščen opravljati delo direktorja, pri opravljanju dejavnosti pravne osebe ter v njenem imenu in z njenimi sredstvi, ni zagotovil organizacijskih, tehničnih in logično-tehničnih ukrepov za zavarovanje osebnih podatkov, s tem, ko v prostorih podjetja …, na naslovu …, v obdobju:
· od 5. 4. 2018 do 19. 6. 2020, pri obdelavi osebnih podatkov ni zagotovil zavarovanja osebnih podatkov posnetih oseb, s tem, ko do 19. 6. 2020 ni imel predpisanih postopkov in ukrepov za zavarovanje osebnih podatkov (interna akta Pravilnik o varstvu in zavarovanju osebnih podatkov in Pravilnik o izvajanju videonadzora je sprejel šele po inšpekcijskem ogledu, ki je potekal 19. 6. 2020), kot mu to nalaga 2. odstavek 25. člena ZVOP-1;
· v obdobju od 5. 4. 2018 do 11. 8. 2020 ni na ustrezen način uredil dostopnih pravic do posnetkov videonadzornega sistema, saj ni pisno določil pooblaščenih oseb za dostop do posnetkov, do posnetkov videonadzornega sistema pa je z istim uporabniškim imenom in geslom dostopal tako on kot tudi …, zaposleni pri podjetju … ter tako ni zagotovil možnosti poznejšega ugotavljanja, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov, kot mu to nalaga 5. točka 1. odstavka ter 2. odstavek 25. ZVOP-1,
s čimer je v obdobju od 5. 4. 2018 do 11. 8. 2020 kršil določbe 5. točke 1. odstavka 24. ter 1. in 2. odstavka 25. člena ZVOP-1;
… je zgoraj opisane prekrške storili pri opravljanju dejavnosti ter v imenu in s sredstvi pravne osebe …, pri kateri je bil pooblaščen opravljati naloge in dela direktorja, ki v skladu s prvim odstavkom 515. člena Zakona o gospodarskih družbah (Uradni list RS, št. 65/2009-UPB3, s spr., v nadaljevanju: ZGD-1) na lastno odgovornost vodi posle te pravne osebe in je kot direktor in vodstveni organ odgovoren za njeno zakonito poslovanje, zaradi česar na podlagi prvega odstavka 15. člena ZP-1 in prvega odstavka 15.a člena ZP-1 za navedeni prekršek odgovarja kot odgovorna oseba pravne osebe …
2. odgovorna pravna oseba:
… (matična številka: …)
je odgovorna
2.1. za prekršek
po 1. odstavku 98. člena ZVOP-1,
ki ga je … storil s tem, da je kot odgovorna oseba pravne osebe …, pri kateri je bil pooblaščen opravljati delo direktorja, pri opravljanju dejavnosti pravne osebe ter v njenem imenu in z njenimi sredstvi, v obdobju od 5. 4. 2018 do 3. 8. 2020, na naslovu …, izvajal videonadzor znotraj delovnih prostorov in sicer sprejemne pisarne in dispečer prostora, kjer se nahajajo zaposleni, na način, da prenašal živo sliko s petih kamer, po tri nameščene v dispečer prostoru in po dve v sprejemni pisarni (nad celotnim prostorom v obeh delovnih prostorih), na svoj telefon in računalnik ter računalnik …, zaposlenega pri …, s pomočjo aplikacije, za dostop do katere sta si delila isto uporabniško ime in geslo, in z … vpogledoval v živo sliko s petih kamer, pri čemer pa takšnega videonadzora v celotnih delovnih prostorih nista izvajala z namenom zagotavljanja varnosti ljudi, premoženja ali tajnih podatkov, ampak z namenom nadzora dela delavcev, poleg tega pa izvajanje takšnega videonadzora celotnih delovnih prostorov tudi ni bilo nujno potrebno za zagotavljanje varnosti ljudi in premoženja, ali za varovanje tajnih podatkov ter poslovne skrivnosti, saj bi varnost ljudi in premoženja, ki se nahaja v sprejemni pisarni in dispečer prostoru, (kjer so delovna mesta zaposlenih), lahko dosegla z milejšimi in učinkovitejšimi sredstvi kot s stalnim nadzorom nad celotnimi pisarnami in delovnimi mesti zaposlenih (npr. v sprejemni pisarni zgolj z nadzorom sprejemnega okna, z navodili delavcem, z zaklepanjem prostorov, ko v njih ni zaposlenih, ali z video nadzornim sistemom, ki bi snemal zgolj dogajanje na vhodih v prostore, alarmnim sistemom), s čimer je videonadzor v navedenih delovnih prostorih izvajal v nasprotju z določbami 1. in 2. odstavka 77. člena ZVOP-1;
2.2. za prekršek
po 2. točki. 1. odstavka 95. člena ZVOP-1,
ki ga je … storil s tem, da je kot odgovorna oseba pravne osebe …, pri kateri je bil pooblaščen opravljati delo direktorja, pri opravljanju dejavnosti pravne osebe ter v njenem imenu in z njenimi sredstvi, v obdobju od 5. 4. 2018 do 3. 7. 2020 v prostorih podjetja … na naslovu …, izvajal videonadzor in o tem ni objavil obvestila, ki bi vsebovalo vse informacije iz. 3. odstavka 74. člena ZVOP-1, saj le to ni vsebovalo pravilnih informacij o tem, kdo izvaja videonadzor in pravilne telefonske številke za pridobitev informacije, kje in koliko časa se shranjujejo posnetki iz videonadzornega sistema, s čimer je kršil določbo tretjega odstavka 74. člena ZVOP-1;
2.3. za prekršek
po 1. odstavku 93. člena ZVOP-1,
ki ga je … storil s tem, da kot odgovorna oseba pravne osebe …, pri kateri je bil pooblaščen opravljati delo direktorja, pri opravljanju dejavnosti pravne osebe ter v njenem imenu in z njenimi sredstvi, ni zagotovil organizacijskih, tehničnih in logično-tehničnih ukrepov za zavarovanje osebnih podatkov, s tem, ko v prostorih podjetja …, na naslovu …, v obdobju:
· od 5. 4. 2018 do 19. 6. 2020, pri obdelavi osebnih podatkov ni zagotovil zavarovanja osebnih podatkov posnetih oseb, s tem, ko do 19. 6. 2020 ni imel predpisanih postopkov in ukrepov za zavarovanje osebnih podatkov (interna akta Pravilnik o varstvu in zavarovanju osebnih podatkov in Pravilnik o izvajanju videonadzora je sprejel šele po inšpekcijskem ogledu, ki je potekal 19. 6. 2020), kot mu to nalaga 2. odstavek 25. člena ZVOP-1;
· v obdobju od 5. 4. 2018 do 11. 8. 2020 ni na ustrezen način uredil dostopnih pravic do posnetkov videonadzornega sistema, saj ni pisno določil pooblaščenih oseb za dostop do posnetkov, do posnetkov videonadzornega sistema pa sta z istim uporabniškim imenom in geslom dostopala tako … kot tudi …, zaposleni pri podjetju … ter tako ni zagotovil možnosti poznejšega ugotavljanja, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov, kot mu to nalaga 5. točka 1. odstavka ter 2. odstavek 25. ZVOP-1,
s čimer je v obdobju od 5. 4. 2018 do 11. 8. 2020 kršil določbe 5. točke 1. odstavka 24. ter 1. in 2. odstavka 25. člena ZVOP-1;
… je zgoraj opisane prekrške storil pri opravljanju dejavnosti ter v imenu in s sredstvi pravne osebe …, pri kateri je bila pooblaščen opravljati naloge in dela direktorja, ki v skladu s prvim odstavkom 515. člena ZGD-1 na lastno odgovornost vodi posle te pravne osebe in je kot direktor in vodstveni organ odgovoren za njeno zakonito poslovanje, zaradi česar pravna oseba … skladno s 1. odstavkom 14. člena ZP-1 za storjene prekrške odgovarja kot odgovorna pravna oseba.
Odgovorni osebi se zato na podlagi drugega odstavka 98. člena v povezavi s prvim odstavkom 98. člena, drugega odstavka 95. člena v povezavi z 2. točko prvega odstavka 95. člena ZVOP-1 in drugega odstavka 93. člena v povezavi s prvim odstavkom 93. člena ZVOP-1, odgovorni pravni osebi pa na podlagi prvega odstavka 98. člena, 2. točke prvega odstavka 95. člena in prvega odstavka 93. člena ZVOP-1, ob uporabi 1. in 2. odstavka 27. člena ter 2. odstavka 21. člena ZP-1, za vse prekrške
i z r e č e
1. odgovorni osebi …: OPOMIN;
2. odgovorni pravni osebi …: OPOMIN.
Kršitelja morata na podlagi prvega odstavka 143. člena v zvezi s prvim odstavkom 144. člena in drugim odstavkom 58. člena ZP-1 v 15 dneh po pravnomočnosti odločbe o prekršku plačati sodno takso. Če kršitelja sodne takse ne bosta plačala v določenem roku, se bo izterjala prisilno. Sodno takso, ki je kršiteljema za izrečeni opomin odmerjena po tarifni številki 8112 Zakona o sodnih taksah (Uradni list RS, št. 37/2008, s spremembami in dopolnitvami) morata kršitelja plačati na transakcijski račun št. 01100-8450162502 (po priloženem UPN - univerzalnem plačilnem nalogu), in sicer:
1. odgovorna oseba …: v znesku 30 EUR;
2. odgovorna pravna oseba …: v znesku 30 EUR.
PRAVNI POUK: Zoper odločbo o prekršku je dovoljena zahteva za sodno varstvo. Zahtevo je treba pisno napovedati v roku osmih (8) dni od prejema te odločbe pri Informacijskem pooblaščencu, Dunajska cesta 22, 1000 Ljubljana, sicer se šteje, da se je upravičenec do zahteve (kršitelja pravna in odgovorna oseba, zakoniti zastopnik oziroma zagovornik) odpovedal pravici do zahteve za sodno varstvo. Napoved zahteve se pošlje po pošti ali izroči neposredno v dveh izvodih in velja za pravočasno, če je oddana zadnji dan roka za vložitev napovedi zahteve priporočeno po pošti ali neposredno pri organu, ki je izdal odločbo. Napovedana vložitev zahteve za sodno varstvo se lahko umakne do poteka roka za vložitev napovedi te zahteve.
Če upravičenec do zahteve za sodno varstvo v zakonskem roku vložitve te zahteve ne napove ali napoved umakne, se šteje, da se je odpovedal pravici do zahteve za sodno varstvo.
Če nihče od upravičencev do zahteve za sodno varstvo te zahteve ne napove, prekrškovni organ ne izdela odločbe o prekršku z obrazložitvijo, ampak se šteje, da je z dnem vročitve odločbe brez obrazložitve vročena končna odločba, ki z iztekom roka za napoved zahteve za sodno varstvo postane pravnomočna.
Kadar vsaj eden od upravičencev do zahteve za sodno varstvo napove vložitev te zahteve, se pisna odločba o prekršku z obrazložitvijo izdela in odpošlje najpozneje v tridesetih (30) dneh po prejeti napovedi vložitve zahteve za sodno varstvo. Odločba z obrazložitvijo se v tem primeru vroči vsem upravičencem do zahteve za sodno varstvo.
Pod pogoji in v skladu s predpisi, ki urejajo finančno poslovanje prekrškovnega organa, lahko kršitelj plača stroške postopka tudi z negotovinskim plačilnim sredstvom.
…
državna nadzornica za varstvo osebnih podatkov
Priloge:
- UPN – izpolnjen univerzalni plačilni nalog za plačilo sodne takse, z napisanim zneskom 30 EUR, za …;
- UPN – izpolnjen univerzalni plačilni nalog za plačilo sodne takse, z napisanim zneskom 30 EUR, za: ..;
Vročiti:
- …, z vročilnico po ZUP;
- …, z vročilnico po ZUP;
- …, z vročilnico po ZUP;
- arhiv IP, tu.
