0609-20-2024-6 Odločba po ZP-1 opomin 95. in 96. člen ZVOP-2 28.3.2024

0609-20-2024-6 Odločba po ZP-1 opomin 95. in 96. člen ZVOP-2 28.3.2024
28. 03. 2024 objavil/a Info Hiša
83. člen GDPR
95. člen ZVOP-2
96. člen ZVOP-2
opomin
varnost podatkov

Številka: 0609-20/2024/6

Datum: 28.3.2024

Informacijski pooblaščenec (v nadaljevanju: prekrškovni organ) izdaja po pooblaščeni uradni osebi …, državni nadzornici za varstvo osebnih podatkov, po uradni dolžnosti na podlagi drugega odstavka 51. člena in 46. člena Zakona o prekrških (Uradni list RS, št. 29/11-UPB8, 21/13, 111/13, 74/14 – odl. US, 92/14 – odl. US, 32/16, 15/17 – odl. US, 73/19 – odl. US, 175/20 – ZIUOPDVE in 5/21 – odl. US; v nadaljevanju: ZP-1), 2. in 8. člena Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, v nadaljevanju: ZInfP) ter 95. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22; v nadaljevanju ZVOP-2), v postopku o prekršku zoper pravno osebo … in njeno odgovorno osebo …, zaradi prekrška po prvem odstavku 95. člena ZVOP-2 v povezavi z a) točko četrtega odstavka 83. člena Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov, v nadaljevanju: Splošna uredba) in prekrška po 1. točki prvega odstavka 96. člena ZVOP-2 v povezavi z a) točko četrtega odstavka 83. člena Splošne uredbe, naslednjo

ODLOČBO O PREKRŠKU

Kršitelja:

1. odgovorna oseba:

…, … državljan, EMŠO: …, v času storitve prekrška zaposlen pri …, kot …, je

odgovoren za prekršek
po 1. točki prvega odstavka 96. člena ZVOP-2
v povezavi z (a) točko četrtega odstavka 83. člena Splošne uredbe,

ki ga je storil s tem, da kot odgovorna oseba pravne osebe ..., v obdobju od … do …, v …, ni poskrbel za izvajanje postopkov rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave osebnih podatkov kreditojemalcev v procesu izterjave plačil obveznosti do … po sklenjenih kreditnih pogodbah ter ni zagotovil posodobitve pisnih delovnih navodil in aplikativne podpore za izvajanje procesa opominjanja na način, da se pisni opomini z vsebovanimi (identifikacijskimi, finančnimi in ekonomskimi) osebnimi podatki kreditojemalcev ne bi posredovali in razkrivali njihovim delodajalcem, saj za tako posredovanje in razkrivanje ni bil izpolnjen noben od pogojev za zakonitost obdelave osebnih podatkov iz prvega odstavka 6. člena Splošne uredbe v povezavi s 6. členom ZVOP-2, kar je imelo za posledico, da je … pri izvajanju procesa opominjanja kreditojemalcev v opredeljenem obdobju s pošiljanjem pisnih opominov delodajalcem nepooblaščeno razkrila zgoraj navedene vrste osebnih podatkov … kreditojemalcev … delodajalcem,

s čimer je kršil obveznost upravljavca za zagotavljanje varnosti obdelave, kot je določena v 32. členu Splošne uredbe, saj ni izvajal ustreznih tehničnih in organizacijskih ukrepov, s katerimi bi zagotavljal ustrezno raven varnosti osebnih podatkov kreditojemalcev … .

… je zgoraj očitani prekršek storil s svojim dejanjem (opustitvijo) pri opravljanju dejavnosti ter v imenu in s sredstvi pravne osebe ... , pri kateri je v času storitve prekrška bil pooblaščen opravljati delo direktorja upravljanja tveganj z občani, zaradi česar na podlagi prvega odstavka 15. člena ZP-1 in prvega odstavka 15.a člena ZP-1, za prekršek odgovarja kot odgovorna oseba pravne osebe … .


2. odgovorna pravna oseba:

…, matična številka: … , je

odgovorna za prekršek
po prvem odstavku 95. člena ZVOP-2
v povezavi z a) točko četrtega odstavka 83. člena Splošne uredbe,

ki ga je storil … s tem, da kot odgovorna oseba pravne osebe ..., v obdobju od … do …, v …, ni poskrbel za izvajanje postopkov rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave osebnih podatkov kreditojemalcev v procesu izterjave plačil obveznosti do ... po sklenjenih kreditnih pogodbah ter ni zagotovil posodobitve pisnih delovnih navodil in aplikativne podpore za izvajanje procesa opominjanja na način, da se pisni opomini z vsebovanimi (identifikacijskimi, finančnimi in ekonomskimi) osebnimi podatki kreditojemalcev ne bi posredovali in razkrivali njihovim delodajalcem, saj za tako posredovanje in razkrivanje ni bil izpolnjen noben od pogojev za zakonitost obdelave osebnih podatkov iz prvega odstavka 6. člena Splošne uredbe v povezavi s 6. členom ZVOP-2, kar je imelo za posledico, da je … pri izvajanju procesa opominjanja kreditojemalcev v opredeljenem obdobju s pošiljanjem pisnih opominov delodajalcem nepooblaščeno razkrila zgoraj navedene vrste osebnih podatkov … kreditojemalcev … delodajalcem,

s čimer je kršil obveznost upravljavca za zagotavljanje varnosti obdelave, kot je določena v 32. členu Splošne uredbe, saj ni izvajal ustreznih tehničnih in organizacijskih ukrepov, s katerimi bi zagotavljal ustrezno raven varnosti osebnih podatkov kreditojemalcev ... .

… je zgoraj očitani prekršek storil s svojim dejanjem (opustitvijo) pri opravljanju dejavnosti ter v imenu in s sredstvi pravne osebe ..., pri kateri je v času storitve prekrška bil pooblaščen opravljati delo direktorja upravljanja tveganj z občani, zaradi česar pravna oseba … za navedeni prekršek v skladu s prvim odstavkom 14. člena ZP-1 odgovarja kot odgovorna pravna oseba.


Kršitelju odgovorni osebi se zato na podlagi 1. točke prvega odstavka 96. člena ZVOP-2 v povezavi z (a) točko četrtega odstavka 83. člena Splošne uredbe, kršitelju odgovorni pravni osebi pa na podlagi prvega odstavka 95. člena ZVOP-2 v povezavi z a) točko četrtega odstavka 83. člena Splošne uredbe ter ob uporabi 114. člena ZVOP-2, drugega odstavka 26. člena in prvega odstavka 21. člena ZP-1

za prekršek
i z r e č e

1. kršitelju odgovorni osebi … : OPOMIN;

2. kršitelju odgovorni pravni osebi ... : OPOMIN.

Kršitelj odgovorna oseba … mora na podlagi prvega odstavka 143. člena v zvezi s prvim odstavkom 144. člena in drugim odstavkom 58. člena ZP-1 plačati sodno takso v znesku 30,00 EUR. Sodno takso, ki je kršitelju za izrečeni opomin odmerjena po tarifni številki 8112 Zakona o sodnih taksah (Uradni list RS, št. 37/08, s spr., v nadaljevanju ZST-1), mora kršitelj odgovorna oseba plačati na račun prejemnika: Informacijski pooblaščenec, IBAN prejemnika: SI56 0110 0845 0162 502, BIC koda banke prejemnika: BSLJSI2X, koda namena: GOVT, namen plačila: 0609-20/2024/6 sodna taksa, referenca: SI11 12157-7120087- ….

Kršitelj odgovorna pravna oseba ... mora na podlagi prvega odstavka 143. člena v zvezi s prvim odstavkom 144. člena in drugim odstavkom 58. člena ZP-1 plačati sodno takso v znesku 30,00 EUR. Sodno takso, ki je kršitelju za izrečeni opomin odmerjena po tarifni številki 8112 ZST-1, mora kršitelj odgovorna pravna oseba plačati na račun prejemnika: Informacijski pooblaščenec, IBAN prejemnika: SI56 0110 0845 0162 502, BIC koda banke prejemnika: BSLJSI2X, koda namena: GOVT, namen plačila: 0609-20/2024/6 sodna taksa, referenca: SI11 12157-7120087-….
Kršitelja morata plačati sodno takso v petnajstih (15) dneh po pravnomočnosti odločbe o prekršku. Če kršitelja v določenem roku sodne takse ne bosta plačala, se neplačana sodna taksa izterja prisilno.


PRAVNI POUK: Zoper odločbo o prekršku je dovoljena zahteva za sodno varstvo. Zahtevo je treba pisno napovedati v roku osmih (8) dni od prejema te odločbe pri Informacijskem pooblaščencu, Dunajska cesta 22, 1000 Ljubljana, sicer se šteje, da se je upravičenec do zahteve (kršitelj, zakoniti zastopnik oziroma zagovornik) odpovedal pravici do zahteve za sodno varstvo. Napoved zahteve se pošlje po pošti ali izroči neposredno v dveh izvodih in velja za pravočasno, če je oddana zadnji dan roka za vložitev napovedi zahteve priporočeno po pošti ali neposredno pri organu, ki je izdal odločbo. Napovedana vložitev zahteve za sodno varstvo se lahko umakne do poteka roka za vložitev napovedi te zahteve.

Če upravičenec do zahteve za sodno varstvo v zakonskem roku vložitve te zahteve ne napove ali napoved umakne, se šteje, da se je odpovedal pravici do zahteve za sodno varstvo.

Če nihče od upravičencev do zahteve za sodno varstvo te zahteve ne napove, prekrškovni organ ne izdela odločbe o prekršku z obrazložitvijo, ampak se šteje, da je z dnem vročitve odločbe brez obrazložitve vročena končna odločba, ki z iztekom roka za napoved zahteve za sodno varstvo postane pravnomočna.

Kadar vsaj eden od upravičencev do zahteve za sodno varstvo napove vložitev te zahteve, se pisna odločba o prekršku z obrazložitvijo izdela in odpošlje najpozneje v tridesetih (30) dneh po prejeti napovedi vložitve zahteve za sodno varstvo. Odločba z obrazložitvijo se v tem primeru vroči vsem upravičencem do zahteve za sodno varstvo.

Pod pogoji in v skladu s predpisi, ki urejajo finančno poslovanje prekrškovnega organa, lahko kršitelj plača stroške postopka (sodno takso) tudi z negotovinskim plačilnim sredstvom.