IP: Skoraj 35.000 EUR zaradi manjkajočih informacij za posameznike
Informacijski pooblaščenec je izrekel globo zoper pravno osebo in njeno odgovorno osebo zaradi kršitve informacijske dolžnosti iz 13. člena GDPR.
Odločba je bila izdana 23. 12. 2025.
Primer se je nanašal na organizacijo dogodka, na katerega so se posamezniki prijavljali prek spletnega obrazca, objavljenega na spletni strani, s katero je upravljala pravna oseba – organizator dogodka. Obrazec je vseboval vnosna polja za osebne podatke udeležencev, vendar ob tem posameznikom ni zagotavljal vseh informacij, ki jih GDPR zahteva ob pridobivanju osebnih podatkov neposredno od posameznika.
Na obrazcu je bilo navedeno zgolj, da so osebni podatki potrebni za uspešno izvedbo dogodka in da brez soglasja posameznika ne bodo uporabljeni za druge namene. Manjkale pa so vse ostale informacije, ki jih kot obvezne določa 13. člen GDPR.
Informacijski pooblaščenec je ugotovil, da posameznikom te informacije niso bile zagotovljene niti na noben drug način (npr. s povezavo na politiko zasebnosti), in sicer v celotnem obdobju, ko je bil obrazec aktiven.
Za skladnost z varstvom osebnih podatkov bi morala poskrbeti odgovorna oseba pravne osebe, ki je v relevantnem obdobju opravljala delo v okviru dejavnosti upravljavca in je bila pristojna za organizacijo dogodka ter vzpostavitev prijavnega postopka.
Odločitev nadzornega organa
Informacijski pooblaščenec je v postopku ugotovil tako osebno odgovornost odgovorne osebe kot tudi odgovornost pravne osebe kot upravljavca osebnih podatkov.
Odgovorna oseba je bila spoznana za odgovorno prekrška po 2. točki prvega odstavka 97. člena ZVOP-2 v povezavi z (b) točko petega odstavka 83. člena GDPR, ker ni zagotovila, da bi bili posamezniki ob prijavi na dogodek ustrezno obveščeni o obdelavi njihovih osebnih podatkov. Šlo je za opustitev dolžnega ravnanja pri opravljanju nalog v okviru dejavnosti pravne osebe, saj bi morala poskrbeti, da prijavni obrazec vsebuje vse zakonsko zahtevane informacije ali da so te posameznikom dostopne na drug ustrezen način.
Za storjeni prekršek je bila odgovorni osebi izrečena globa v višini 600,00 EUR.
Pravna oseba je bila hkrati spoznana za odgovorno prekrška po prvem odstavku 95. člena ZVOP-2 v povezavi z (b) točko petega odstavka 83. člena GDPR, saj je bila kršitev storjena pri opravljanju njene dejavnosti, z njenimi sredstvi in v njenem imenu. Nadzorni organ je poudaril, da se odgovornost pravne osebe vzpostavi neodvisno od osebne odgovornosti posameznika, kadar so izpolnjeni pogoji iz ZP-1.
Pri odmeri sankcije je Informacijski pooblaščenec upošteval določbe ZVOP-2 in ZP-1 ter kriterije iz 83. člena GDPR, zlasti naravo, težo in trajanje kršitve ter stopnjo odgovornosti upravljavca.
Pravni osebi je bila izrečena globa v višini 34.951,04 EUR.
Odločba nadzornega organa je dostopna tukaj .
Vir: IPRS
Naslovna fotografija: Pexels
