IP: 920 EUR kazni zaradi zlorabe dostopa
Informacijski pooblaščenec je posamezniku izrekel 920 EUR kazni zaradi nedovoljenih vpogledov v podatke 25 posameznikov.
Odločitev je bila objavljena 16.7.2024
Posameznik je bil zaposlen pri zavarovalnici, ki v okviru izvajanja poslovnih procesov obdeluje tudi osebne podatke zavarovancev. V obdobju od februarja do maja 2023 je vpogledal v osebne podatke 25 posameznikov, čeprav njihovih osebnih podatkov, ki so bili zbrani v okviru zakonitega opravljanja dejavnosti in za namene izvajanja zakonitih nalog upravljavca, ni potreboval za namen obravnave zavarovalnega primera, ki bi ga reševal, niti osebnih podatkov navedenih posameznikov ni potreboval za druge zakonite namene v okviru opravljanja svojih del in nalog, s tem pa je osebne podatke navedenih posameznikov nadalje obdeloval na način, ki ni združljiv z določenimi in zakonitimi nameni, za katere so bili ti podatki zbrani in ne, da bi bil za tako njihovo obdelavo izpolnjen vsaj eden od pogojev za zakonitost obdelave iz prvega odstavka 6. člena Splošne uredbe v povezavi s 6. členom ZVOP-2, s čimer je 25-krat (torej, z obdelavo osebnih podatkov vsakega od navedenih posameznikov na posamezen navedeni dan po enkrat) kršil temeljna načela za obdelavo osebnih podatkov, in sicer:
načelo zakonitosti, kot je določeno v točki (a) prvega odstavka 5. člena Splošne uredbe, ker za obdelavo (priklic in vpogled) osebnih podatkov navedenih posameznikov ni bil izpolnjen nobeden od pogojev za zakonito obdelavo osebnih podatkov iz prvega odstavka 6. člena Splošne uredbe;
načelo omejitve namena, kot je določeno v točki (b) prvega odstavka 5. člena Splošne uredbe, ker je osebne podatke navedenih posameznikov nadalje obdeloval na način, ki ni združljiv z določenimi in zakonitimi nameni, za katere so bili osebni podatki zbrani.
Kršitelj je navedene prekrške storil pri opravljanju dejavnosti pravne osebe, pri kateri je v času storitve prekrškov bil pooblaščen opravljati dela in naloge in z uporabo sredstev pravne osebe (njenega računalnika, njenih aplikacij in dostopnih pravic oz. podatkov za vstop v zbirke osebnih podatkov prek aplikacije pravne osebe), zaradi česar za prekrške na podlagi prvega odstavka 15. člena in prvega odstavka 15.a člena ZP-1 odgovarja kot odgovorna oseba te pravne osebe.
Kršitelju se na podlagi 1. točke prvega odstavka 97. člena ZVOP-2 in 115. člena v povezavi s 114. členom ZVOP-2, tretjim odstavkom 52. člena, prvim, drugim in tretjim odstavkom 26. člena ter prvim odstavkom 27. člena ZP-1 določi 25 posameznih nedovoljenih vpogledov, za vsako kršitev je predpisana globa 200 EUR.
Nato se kršitelju na podlagi in v skladu z drugim odstavkom 27. člena ZP-1 ob upoštevanju 114. člena ZVOP-2 ter prvega, drugega in tretjega odstavka 26. člena in četrte alineje drugega odstavka 7. člena ZP-1, za petindvajset navedenih istovrstnih prekrškov v steku namesto enotne sankcije (globe), ki v seštevku znaša 5.000 EUR, izreče enotna globa v višini 920 EUR.
Celotna odločitev je dostopna tukaj
Naslovna slika: RawPixel
