06110-3472022 Sklep o ustavitivi ukrep po ZP-1

06110-3472022 Sklep o ustavitivi ukrep po ZP-1
30. 11. 2022 objavil/a Info Hiša
hotel
informacijski pooblaščenec
neustrezni tehnični ukrepi
neustrezno zavarovanje
zavarovanje OP

 

Številka: 06110-347/2022/9

Datum:   25. 10. 2022

 

Informacijski pooblaščenec (v nadaljevanju: IP) po državni nadzornici za varstvo osebnih podatkov … na podlagi 2. in 8. člena Zakona o informacijskem pooblaščencu (UL RS, št. 113/05 in 51/07 – ZUstS-A), 50. člena Zakona o varstvu osebnih podatkov (UL RS, št. 94/07 – UPB1 in 177/20; v nadaljevanju: ZVOP-1), člena 57 in 58 Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov) ter četrtega odstavka 135. člena Zakona o splošnem upravnem postopku (UL RS, št. 24/06 – UPB2, s spremembami, v nadaljevanju: ZUP), v povezavi z drugim odstavkom 3. člena Zakona o inšpekcijskem nadzoru (UL RS, št. 43/2007 - UPB1 in 40/14, v nadaljevanju: ZIN), v zadevi opravljanja inšpekcijskega nadzora pri zavezancu ..., po uradni dolžnosti izdaja naslednji

 

 

 

S K L E P

 

 

1.     Postopek inšpekcijskega nadzora, ki ga IP vodi zoper zavezanca …, pod št.06110-347/2022, se ustavi.

 

2.      Organu posebni stroški postopka niso nastali.

 

 

 

 

Obrazložitev

 

IP je po uradni dolžnosti zoper zavezanca začel postopek inšpekcijskega nadzora nad izvajanjem določb 24. in 25. člena ZVOP-1 in Splošne uredbe o varstvu podatkov, in sicer zaradi suma neustreznega zavarovanja osebnih podatkov gostov ter s tem povezane kršitve ZVOP-1 in Splošne uredbe o varstvu podatkov. Kot je razvidno iz pridobljene dokumentacije, dne 15. 7. 2022 v prostorih zavezanca ni bilo zagotovljenih organizacijskih, tehničnih in logično-tehničnih ukrepov za zavarovanje osebnih podatkov hotelskih gostov, saj je bil v baru hotela nezavarovano puščen seznam gostov z nazivom »Obroki po sobah«, iz katerega so razvidni ime in priimek gosta, številka sobe, državljanstvo gosta, število oseb, ki bivajo v sobi, TCG, datumi gostovega prihoda in odhoda, ter število in vrsta obrokov, kar je imelo za posledico nepooblaščen dostop in obdelavo osebnih podatkov, saj so bili njihovi osebni podatki zaradi opustitve ukrepov zavarovanja dne 15. 7. 2022 prosto dostopni vsem, ki so vstopili v prostore bara hotela. Iz pridobljene dokumentacije tudi izhaja, da dne 15. 7. 2022 v prostorih hotela ni bilo zagotovljenih organizacijskih, tehničnih in logično-tehničnih ukrepov za zavarovanje osebnih podatkov hotelskih gostov, saj je bil na recepciji hotela na eni izmed miz (pultov), nezavarovano puščen »seznam prevoza gostov oziroma posameznikov«, iz katerega so razvidni ime in priimek gosta oziroma stranke, ki so rezervirali prevoz, kraj, datum oziroma ura njihovega odhoda ter datum, ura, in cilj njihovega potovanja oziroma prevoza, kar je imelo za posledico nepooblaščen dostop in obdelavo osebnih podatkov, saj so bili njihovi osebni podatki zaradi opustitve ukrepov zavarovanja dne 15. 7. 2022 prosto dostopni vsem, ki so vstopili v prostore recepcije hotela.

 

                                                                                    ****

Zaradi potrebe po razjasnitvi dejanskega stanja se je državna nadzornica odločila, da dne 1. 9. 2022 izvede  inšpekcijski nadzor v prostorih zavezanca, kjer je sledil pregled prostorov, dokumentacije ter računalniške in druge opreme, ki služi za shranjevanje in obdelavo osebnih podatkov.

 

UGOTOVITVE IP:

 

-         Na recepciji ni stalno prisotna zaposlena, čeprav so bili na njeni mizi prosto dostopni osebni podatki »gosti hotela« in korespondenca z gosti preko elektronske pošte. Ob odhodu receptorke je bil računalnik nezaklenjen, čeprav je preko njega omogočen dostop do programa hotelico.net, v katerem se vodijo osebni podatki gostov, prav tako pa se je ob mizi nahajal koš, ki je vseboval nerazrezano listinsko dokumentacijo gostov oziroma njihovih osebnih podatkov, na primer izpis iz POS terminala. Tako površina mize kot tudi sam zaslon ekrana sta bila vidna vsakemu obiskovalcu hotela, tako iz jedilnice kot tudi iz recepcije. Koš za smeti (nepokrita kartonska škatla) z napisom odpadni papir ter tiskalnik na recepciji sta bila v odsotnosti receptorke prosto dostopna vsem. Na recepciji omare niso bile zaklenjene v celoti, nekatere omare in predali so bili brez ključavnic, na primer tudi omara, v  kateri se hranijo fascikli s preteklimi rezervacijami; ob ogledu je bilo ugotovljeno tudi, da se v omari, ki vsebuje ključe od sob gostov ter njihove rezervacije z osebnimi podatki, tudi ob odhodu receptorke nahaja prosto dostopen razmajan ključ, s čimer je bil dostop do osebnih podatkov gostov prosto dostopen tudi nepooblaščenim osebam.

-         V notranjih prostorih jedilnice in bara v kleti niso bili vidni nikakršni seznami ali obrazci.

-        Akti, v katerih ima zavezanec predpisane tehnične in organizacijske postopke in ukrepe za varnost osebnih podatkov gostov ter pojasnila na kakšen način so bili zaposleni z akti seznanjeni, so bili posredovani naknadno, in sicer zaradi odsotnosti izvršne direktorice, ki pokriva omenjeno področje.

-        Kritični »seznam prevozov« ni zavezančev, kreiran je s strani prevoznika, ki v primeru pomanjkljivih informacij glede podatkov o stranki prevoza, z njim pride na recepcijo z namenom uskladitve oziroma pridobitve potrebnih podatkov za izvedbo storitve, po mnenju zavezanca je v konkretnem primeru voznik podjetja pustil nezavarovani seznam pri zavezancu na mizi v recepciji.

-        V kuhinji razpolagajo s kritičnim seznamom »Obroki po sobah« z namenom pravilne postrežbe obrokov, navedeni seznam gostov se tiska na recepciji oziroma, popoldanska recepcija predmetni seznam izroči nočni kuhinji, ki na podlagi tega pripravi pogrinjke za naslednji dan. Natisnjen je zgolj en seznam, ki se ga izroči kuhinji, ta pa poskrbi za njegovo uničenje, na način, da ga kjerkoli zavrže v koš, tudi v kuhinji. Glede kategorije državljanstva gostov na omenjenem sezamu je bilo pojasnjeno, da gre za tiskanje standardnega obrazca iz programa oziroma aplikacije hotelinco.net, do katerega ima dostop vsak receptor preko svojega uporabniškega imena in gesla, zaposleni pa imajo zadnji dve leti enako geslo. Državljanstvo se vodi zaradi prilagoditve jedilnika oziroma hrane in osebnega pristopa. Do kritičnega  dogodka pa je prišlo zaradi napake osebe, ki je razpolagala z omenjenim obrazcem. Obrazec »Obroki po sobah« se ni mogel nahajati v baru temveč kvečjemu v restavraciji na pultu, ki je nasproti gostinskim mizam, seznam je namenjen za kuhinjo in ne za strežbo in zato se ne bi smel nahajati v tem prostoru oziroma na pultu jedilnice.

-        Zavezancu ni znano, ali je v zvezi z uporabo prej omenjene aplikacije oziroma osebnih podatkov gostov ter tiskanjem dokumentov v recepciji zagotovljena revizijska sled.

-        Za uničenje dokumentacije z osebnimi podatki gostov, ki se nahaja v košu pri recepciji, ne razpolagajo z rezalnikom papirja, posamezne papirje sicer raztrgajo z rokami, nato pa vsebino koša stresejo v rdeč zabojnik.

-        Do sedaj niso obravnavali tovrstnega incidenta.

-        Zavezanec ozavešča zaposlene z vidika pravilne uporabe osebnih podatkov gostov oziroma zagotavljanja njihove varnosti sproti ter bo o tem zavezanec posredoval podatke naknadno zaradi odsotnosti izvršne direktorice, ki pokriva omenjeno področje.

-        Na območju recepcije ter bara hotela se v zvezi z dostopom posameznikom izvaja celovit nadzor nad obiskovalci.

-        Zavezanec bo z namenom, da v prihodnje do tovrstnih kršitev varnosti osebnih podatkov gostov ne bo več prihajalo, sprejel naslednje vrste ukrepov, in sicer je zavezanec že tekom ogleda oziroma inšpekcijskega nadzora naročil napravo za razrez dokumentacije, ki naj bi bila že naslednjega dne dobavljena in vgrajena, poskrbel bo za spremembo lokacije ekrana računalnika v recepciji, namestil bo ključavnico na vratih omare, kjer se nahajajo fascikli z preteklimi rezervacijami gostov, izdano bo navodilo recepciji glede zaklepanja zaslona računalnika, spremembe gesel se bodo izvajale na tri mesece, glede uničevanja dokumentarnega gradiva – listin bo izdano navodilo kuhinji o izročitvi seznama »Obroki po sobah«, ki bo vrnjen na recepcijo, kjer bo posrbljeno za njegovo pravilno uničenje, izdano bo navodilo, da se po zapustitvi recepcije pospravi miza, da se na njej ne smejo nahajati dokumenti ter da se pospravijo ključi od predhodno zaklenjene omare.

-        Zavezanec ni podal vedenja o tem, katera pooblaščena oseba je odgovorna, da je dne 15. 7. 2022 v prostorih zavezanca prišlo do predhodno opisane kritične opustitve zavarovanja osebnih podatkov gostov hotela oziroma posameznikov s seznama »Obroki po sobah«.

 

Nadzornica je v okviru inšpekcijskega nadzora zavezanca na podlagi drugega odstavka 29. člena ZIN v povezavi s 50., 53. in 54. členom ZVOP-1 pozvala, da do 13. 9. 2022 posreduje dodatno pisno pojasnilo, dokumentacijo in izjavo, iz katere bo razvidno:

-        postopek izdelave kritičnega seznama »Obroki so sobah«, njegovo uporabo ter hrambo ter v zvezi z njim organizacijske, tehnične in logično-tehničnih ukrepe za zavarovanje osebnih podatkov z seznama, vključno z dostopnimi pravicami;

-        v katerih notranjih aktih ima zavezanec predpisane tehnične in organizacijske postopke in ukrepe za varnost osebnih podatkov gostov ter na kakšen način so bili zaposleni z akti seznanjeni, ter poziv k predložitvi navedenih aktov in ukrepov oziroma dokazil.

 

Zavezanec je IP pravočasno, in sicer dne 12. 9. 2022, v zvezi s predmetom nadzora poslal pisno pojasnilo, dokumentacijo in izjavo in sicer:

-        da ima zavezanec predpisane tehnične in organizacijske postopke in ukrepe za varnost osebnih podatkov gostov v Pravilniku o varstvu osebnih podatkov z dne 20. 5. 2018, sprejetim na podlagi 39. člena Pravilnika s strani vodstva zavezanca in se prilaga;

-        da omenjeni Pravilnik določa postopke in ukrepe vezane na varnost osebnih podatkov gostov in med drugim določa način izvajanja teh ukrepov s strani sodelavcev družbe, zato se prilagata še dve podpisani izjavi s strani sodelavcev družbe o varovanju osebnih podatkov z dne 27. 9. 2018 in z dne 1. 6. 2022;

-        da so bili sodelavci s Pravilnikom z dne 20. 5. 2018 seznanjeni o njegovem sprejemu oziroma kasneje ob sklenitvi Pogodbe o zaposlitvi in so dolžni upoštevati njegova določila, z njihove strani so tudi podpisane v ta namen Izjave o varovanju osebnih podatkov ter so s tem dolžni zagotavljati varnost osebnih podatkov gostov. O tem so ozaveščeni in se tudi dobro zavedajo, da so v primeru kakršnihkoli kršitev določb Pravilnik disciplinsko, odškodninsko in kazensko odgovorni. Vodstvo družbe opravlja nadzore nad upoštevanjem določil Pravilnika;

-        zavezanec je vezano na inšpekcijski nadzor z dne 1. 9. 2022 v povezavi s seznamom »Obroki po sobah« še istega dne sprejel odločitev, da se ta seznam ne vodi več na opisan način in se nadomesti z seznamom: »Napoved obrokov po dnevih«, ki se IP prilaga kot dokaz, iz njega pa razvidno, da ta ne vsebuje osebnih podatkov gostov;

-        vezano na inšpekcijski nadzor je zavezanec ukrepal tudi v zvezi z namestitvijo naprave za razrez dokumentacije, spremembo lokacije ekrana računalnika in namestitvijo ključavnic v vratih omare, kjer se nahajajo fascikli s preteklimi rezervacijami gostov. Prav tako je vodstvo izdalo navodila recepciji in kuhinji glede ugašanja zaslona računalnika v recepciji v primeru odsotnosti receptorja, glede spremembe gesel receptorjev na tri mesece, uničevanja dokumentarnega gradiva, stanja receptorske mize v primeru odsotnosti receptorja, omare s fascikli in ključi sob, kar se prilaga kot dokaz;

-        zavezanec je v zvezi s podano izjavo in pojasnilom priložil naslednje dokaze: Pravilnik o varstvu osebnih podatkov z dne 20. 5. 2018; Izjavi družbe o varovanju osebnih podatkov z dne 27. 9. 2018 in 1. 6. 2020; Obrazec »Napoved obrokov po dnevih«; Fotografija nameščene naprave za razred dokumentacije v recepciji; Fotografija spremembe lokacije ekrana računalnika; Fotografija nameščene ključavnice na vratih omare, kjer se nahajajo fascikli s preteklimi rezervacijami gostov; Navodilo poslovodstva recepciji z dne 3. 9. 2022; Navodilo poslovodstva kuhinji z dne 3. 9. 2022.

 

 

ODLOČITEV IP:

 

IP je v inšpekcijskem postopku ugotovil, da dne 15. 7. 2022 v prostorih zavezanca ni bilo zagotovljenih organizacijskih, tehničnih in logično-tehničnih ukrepov za zavarovanje osebnih podatkov hotelskih gostov, saj je bil v prostorih zavezanca nezavarovano puščen seznam gostov z nazivom »Obroki po sobah«, iz katerega so razvidni ime in priimek gosta, številka sobe, državljanstvo gosta, število oseb, ki bivajo v sobi, TCG, datumi gostovega prihoda in odhoda, ter število in vrsta obrokov, kar je imelo za posledico nepooblaščen dostop in obdelavo osebnih podatkov, saj so bili njihovi osebni podatki zaradi opustitve ukrepov zavarovanja dne 15. 7. 2022 prosto dostopni vsem, ki so vstopili v prostore zavezanca. Prav tako pa je IP tekom inšpekcijskega nadzora ugotovil, da zavezanec ne izvaja organizacijskih, tehničnih in logično-tehničnih ukrepov za zavarovanje osebnih podatkov hotelskih gostov na več načinov, in sicer zavezanec ni poskrbel za pravilno uničenje dokumentacije z osebnimi podatki posameznikov, na recepciji zavezanca so bili ob odsotnosti zaposlenih prosto dostopni osebni podatki posameznikov, gesla za vstop v računalnik so se menjevala v dvoletnem časovnem intervalu, na recepciji pa omare niso bile zaklenjene v celoti, nekatere omare in predali so bili brez ključavnic, oziroma se je ob odhodu receptorke nahajal prosto dostopen razmajan ključ, s čimer je bil dostop do osebnih podatkov gostov prosto dostopen tudi nepooblaščenim osebam. IP je v postopku ugotovil, da je šlo pri navedeni nepravilnosti za enkratno ravnanje zavezanca v preteklosti, ki ga zaradi njegove narave s postopki in ukrepi, ki jih ima IP na voljo v inšpekcijskem postopku, za nazaj ni več mogoče odpraviti, zavezanec pa je že tekom inšpekcijskega nadzora v zvezi s predočenim kritičnim ravnanjem zavezanca sprejel korektivne ukrepe oziroma saniral predočene nepravilnosti ter o tem z ustreznimi obvestili obvestil tudi inšpekcijski organ. Ker IP ni odkril drugih nepravilnosti, ki bi v času tega postopka še trajale in bi jih kot take bilo mogoče odpraviti, je IP zaključil, da je treba postopek inšpekcijskega nadzora pri zavezancu na podlagi četrtega odstavka 135. člena ZUP v povezavi 50. členom ZVOP-1, drugim odstavkom 3. člena ZIN ter 2. členom ZInfP, ustaviti.

 

IP pa bo proti zavezancu in njegovi odgovorni osebi zaradi kršitev 24. in 25. člena ZVOP-1 in Splošne uredbe o varstvu podatkov ukrepal v skladu z določbami Zakona o prekrških (Uradni list RS, št. 29/11 – UPB, 21/13, 111/13, 74/14 – odl. US, 92/14 – odl. US, 32/16 in 15/17 – odl. US, v nadaljevanju: ZP-1).

 

Z navedenim je utemeljena 1. točka izreka.

 

Po tretjem odstavku 118. člena ZUP se odloči o stroških postopka v sklepu, s katerim se postopek konča. V tem postopku posebni stroški niso nastali, kot to izhaja iz 2. točke izreka tega sklepa. Zavezanec trpi svoje stroške postopka.

 

Ta sklep je izdan po uradni dolžnosti in je na podlagi 22. člena Zakona o upravnih taksah (Uradni list RS, št. 106/10 – uradno prečiščeno besedilo, 14/15 – ZUUJFO, 84/15 – ZZelP-J in 32/16) takse prost.

 

Pouk o pravnem sredstvu: Zoper ta sklep ni pritožbe, dovoljen pa je upravni spor. Upravni spor se sproži s tožbo, ki se vloži v 30 dneh od vročitve sklepa na Upravno sodišče Republike Slovenije, Fajfarjeva 33, 1000 Ljubljana. Tožba se pošlje priporočeno po pošti na navedeno sodišče. Tožba z morebitnimi prilogami se vloži najmanj v treh izvodih. Tožbi je treba priložiti tudi ta sklep v izvirniku ali prepisu.        

 

 

  

…,

državna nadzornica za

varstvo osebnih podatkov

 

 

                                                                                                                            

 

Vročiti:  

-        … - z vročilnico;