Številka: 0603-88/2022/14
Datum: 19. 1. 2023
Informacijski pooblaščenec (v nadaljevanju: prekrškovni organ) po pooblaščeni uradni osebi …., po uradni dolžnosti izdaja na podlagi drugega odstavka 51. člena in 46. člena Zakona o prekrških (Uradni list RS, št. 29/2011-UPB8, s spr., v nadaljevanju: ZP-1) ter 2. in 8. člena Zakona o Informacijskem pooblaščencu (Uradni list RS, št. 113/2005 in 51/2007 – ZUstS-A), v postopku o prekršku zoper kršitelja pravno osebo …, matična številka: … (v nadaljevanju: … oz. pravna oseba) in njeno odgovorno osebo, …, zaradi prekrška po prvem in drugem odstavku 93. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07 – uradno prečiščeno besedilo in 177/20, v nadaljevanju: ZVOP-1), naslednjo
ODLOČBO O PREKRŠKU
Kršitelja:
1. odgovorna oseba:
…, EMŠO: … , državljan Republike Slovenije, v času storitve prekrška zaposlen pri …, kot …,
je odgovoren za prekršek
po drugem odstavku 93. člena ZVOP-1, v povezavi s prvim odstavkom 93. člena ZVOP-1,
ki ga je storil s tem, da kot odgovorna oseba pravne osebe …, pri kateri je bil pooblaščen opravljati dela in naloge …, vključujoč področje izvedbe nadgradenj informacijskega sistema …, pri opravljanju dejavnosti pravne osebe … ter v njenem imenu in z njenimi sredstvi, kateri je banka … (s Pogodbo o tehnični pomoči in pogarancijskem vzdrževanju programske opreme … z dne …. in njej pripadajočo Pogodbo o obdelavi osebnih podatkov z dne …) predala v izvajanje posodobitev, razvoj in vzdrževanje programske opreme …, v …, od dne … do dne …, ni zagotovil organizacijskih, tehničnih in logično-tehničnih ukrepov za zavarovanje osebnih podatkov strank ... s tem, ko pri izvajanju nadgradnje na … in ob njenem nameščanju na produkcijsko okolje ..., ni poskrbel za vgradnjo … funkcionalnosti za ločevanje dokumentov v postopku distribucije izpisov (npr. z implementacijo pravilnega klica spletne storitve za kreiranje razčlenjenih PDF izpiskov …) in s tem, ko glede na tveganje, ki ga predstavlja obdelava in narava finančnih podatkov strank banke, … ni zagotovil informacij o vseh posegih in spremembah pri nadgradnji na …, potrebnih za izvedbo ustreznega preizkusa pravilnosti delovanja vseh funkcionalnosti (npr. regresijskega testiranja) oziroma ni izdal pisnih navodil za obvezno izvajanje priporočenih organizacijskih varnostnih mehanizmov najkasneje ob izvajanju prvega postopka distribucije izpisov (npr. izvajanje smernic parametrizacije procesa, ločevanje map za hrambo začasnih in distribucijskih datotek, ustrezno poimenovanje datotek skladno z nomenklaturo, izkustveno spremljanje poimenovanja in velikosti datotek s strani operaterja ipd.) ali drugače poskrbel za njihovo privzeto logično-tehnično izvajanje, kar je imelo za posledico razkritje osebnih in finančnih podatkov enaindevetdesetih (91) strank storitve ..., s posredovanjem njim naslovljenih izpiskov varčevalnih računov po pošti trinajstim (13) napačnim strankam, nepooblaščenim za obdelavo vsebovanih osebnih podatkov, s čimer je kršil določbe 1. in 2. točke prvega odstavka 24. člena, tretjega odstavka 24. člena in prvega odstavka 25. člena ZVOP-1.
… je zgoraj opisani prekršek storil pri opravljanju dejavnosti ter v imenu in s sredstvi pravne osebe ..., pri kateri je v času storitve prekrška bil pooblaščen opravljati delo …, vključujoč področje izvedbe nadgradenj informacijskega sistema …, zaradi česar na podlagi prvega odstavka 15. člena ZP-1 in prvega odstavka 15.a člena ZP-1, za prekršek odgovarja kot odgovorna oseba pravne osebe ...
2. odgovorna pravna oseba:
… (matična številka: …)
je odgovorna za prekršek
po prvem odstavku 93. člena ZVOP-1,
ki ga je … storil s tem, da kot odgovorna oseba pravne osebe …, pri kateri je bil pooblaščen opravljati dela in naloge …, vključujoč področje izvedbe nadgradenj informacijskega sistema …, pri opravljanju dejavnosti pravne osebe ... ter v njenem imenu in z njenimi sredstvi, kateri je banka … (s Pogodbo o tehnični pomoči in pogarancijskem vzdrževanju programske opreme … z dne … in njej pripadajočo Pogodbo o obdelavi osebnih podatkov z dne …) predala v izvajanje posodobitev, razvoj in vzdrževanje programske opreme …, v …, od dne … do dne …, ni zagotovil organizacijskih, tehničnih in logično-tehničnih ukrepov za zavarovanje osebnih podatkov strank ... s tem, ko pri izvajanju nadgradnje na … in ob njenem nameščanju na produkcijsko okolje …, ni poskrbel za vgradnjo … funkcionalnosti za ločevanje dokumentov v postopku distribucije izpisov (npr. z implementacijo pravilnega klica spletne storitve za kreiranje razčlenjenih PDF izpiskov …) in s tem, ko glede na tveganje, ki ga predstavlja obdelava in narava finančnih podatkov strank banke, … ni zagotovil informacij o vseh posegih in spremembah pri nadgradnji na …, potrebnih za izvedbo ustreznega preizkusa pravilnosti delovanja vseh funkcionalnosti (npr. regresijskega testiranja) oziroma ni izdal pisnih navodil za obvezno izvajanje priporočenih organizacijskih varnostnih mehanizmov najkasneje ob izvajanju prvega postopka distribucije izpisov (npr. izvajanje smernic parametrizacije procesa, ločevanje map za hrambo začasnih in distribucijskih datotek, ustrezno poimenovanje datotek skladno z nomenklaturo, izkustveno spremljanje poimenovanja in velikosti datotek s strani operaterja ipd.) ali drugače poskrbel za njihovo privzeto logično-tehnično izvajanje, kar je imelo za posledico razkritje osebnih in finančnih podatkov enaindevetdesetih (91) strank storitve …, s posredovanjem njim naslovljenih izpiskov varčevalnih računov po pošti trinajstim (13) napačnim strankam, nepooblaščenim za obdelavo vsebovanih osebnih podatkov, s čimer je kršil določbe 1. in 2. točke prvega odstavka 24. člena, tretjega odstavka 24. člena in prvega odstavka 25. člena ZVOP-1.
… je zgoraj opisani prekršek storil pri opravljanju dejavnosti ter v imenu in s sredstvi pravne osebe ..., pri kateri je v času storitve prekrška bil pooblaščen opravljati delo …, vključujoč področje izvedbe nadgradenj informacijskega sistema …, zaradi česar ..., za navedeni prekršek, skladno s prvim odstavkom 14. člena ZP-1, odgovarja kot odgovorna pravna oseba.
Odgovorni osebi se zato na podlagi drugega odstavka 93. člena ZVOP-1 v povezavi s prvim odstavkom 91. člena ZVOP-1, odgovorni pravni osebi pa na podlagi prvega odstavka 93. člena ZVOP-1 ter ob uporabi drugega odstavka 26. člena in prvega odstavka 21. člena ZP-1
i z r e č e
1. odgovorni osebi …: OPOMIN;
2. odgovorni pravni osebi ...: OPOMIN.
Kršitelja morata na podlagi prvega odstavka 143. člena v zvezi s prvim odstavkom 144. člena in drugim odstavkom 58. člena ZP-1 v 15 dneh po pravnomočnosti odločbe o prekršku plačati sodno takso. Če kršitelja sodne takse ne bosta plačala v določenem roku, se bo izterjala prisilno. Sodno takso, ki je kršiteljema za izrečeni opomin odmerjena po tarifni številki 8112 Zakona o sodnih taksah (Uradni list RS, št. 37/2008, s spremembami in dopolnitvami) morata kršitelja plačati na transakcijski račun št. 01100-8450162502 (po priloženem UPN - univerzalnem plačilnem nalogu), in sicer:
1. odgovorna oseba …: v znesku 30 EUR;
2. odgovorna pravna oseba ...: v znesku 30 EUR.
PRAVNI POUK: Zoper odločbo o prekršku je dovoljena zahteva za sodno varstvo. Zahtevo je treba pisno napovedati v roku osmih (8) dni od prejema te odločbe pri Informacijskem pooblaščencu, Dunajska cesta 22, 1000 Ljubljana, sicer se šteje, da se je upravičenec do zahteve (kršitelj, zakoniti zastopnik oziroma zagovornik) odpovedal pravici do zahteve za sodno varstvo. Napoved zahteve se pošlje po pošti ali izroči neposredno v dveh izvodih in velja za pravočasno, če je oddana zadnji dan roka za vložitev napovedi zahteve priporočeno po pošti ali neposredno pri organu, ki je izdal odločbo. Napovedana vložitev zahteve za sodno varstvo se lahko umakne do poteka roka za vložitev napovedi te zahteve.
Če upravičenec do zahteve za sodno varstvo v zakonskem roku vložitve te zahteve ne napove ali napoved umakne, se šteje, da se je odpovedal pravici do zahteve za sodno varstvo.
Če nihče od upravičencev do zahteve za sodno varstvo te zahteve ne napove, prekrškovni organ ne izdela odločbe o prekršku z obrazložitvijo, ampak se šteje, da je z dnem vročitve odločbe brez obrazložitve vročena končna odločba, ki z iztekom roka za napoved zahteve za sodno varstvo postane pravnomočna.
Kadar vsaj eden od upravičencev do zahteve za sodno varstvo napove vložitev te zahteve, se pisna odločba o prekršku z obrazložitvijo izdela in odpošlje najpozneje v tridesetih (30) dneh po prejeti napovedi vložitve zahteve za sodno varstvo. Odločba z obrazložitvijo se v tem primeru vroči vsem upravičencem do zahteve za sodno varstvo.
Pod pogoji in v skladu s predpisi, ki urejajo finančno poslovanje prekrškovnega organa, lahko kršitelj plača stroške postopka tudi z negotovinskim plačilnim sredstvom.
