IP: 5.600 EUR zaradi prevelikega obsega osebnih podatkov
IP RS je v obravnaval ravnanje posameznice, ki je samostojno opravljala dejavnost in je v okviru svoje profesionalne vloge po e-pošti posredovala podatke, ki niso bili potrebni za potek postopka.
Odločba je bila izdana 6. 1. 2026.
V konkretnem primeru je bil predmet prekrškovnega postopka dokument v zadevi, ki se je vodila pred sodiščem, pri čemer je bil ta dokument posredovan dvema prejemnikoma, ki nista bila upravičena do seznanitve z vsemi vsebovanimi osebnimi podatki.
V predmetni listini so bili navedeni osebni podatki določenih oseb, in sicer njihovo ime in priimek ter podatek, da so oškodovanke v konkretni zadevi. Ti podatki niso bili relevantni za obravnavo prošnje za preložitev razpisanega naroka, zaradi katere je bila komunikacija posredovana. Prav tako niso bili omejeni na to, kar je bilo potrebno za presojo navedene prošnje.
Posredovanje listine z vsebovanimi osebnimi podatki tretjim osebam, ki teh podatkov za obravnavo konkretnega procesnega vprašanja niso potrebovale, pomeni preseganje načela najmanjšega obsega podatkov iz točke c prvega odstavka 5. člena Splošne uredbe. Upravljavec mora zagotoviti, da so osebni podatki ustrezni, relevantni in omejeni na to, kar je potrebno glede na namene, za katere se obdelujejo.
V obravnavanem primeru namen obdelave ni zahteval razkritja identitete oškodovank niti njihovega procesnega statusa. S tem je bila kršena temeljna zahteva po sorazmernosti obdelave in po t. i. data minimisation, ki predstavlja eno izmed ključnih vsebinskih omejitev zakonite obdelave osebnih podatkov.
Odločitev nadzornega organa
Informacijski pooblaščenec je ugotovil, da je bila storjena kršitev po prvem odstavku 95. člena ZVOP 2 v povezavi s točko a petega odstavka 83. člena Splošne uredbe. Prekršek je bil kvalificiran kot kršitev temeljnih načel obdelave osebnih podatkov, konkretno načela najmanjšega obsega podatkov iz člena 5 1 c Splošne uredbe.
Ker je storilka medtem prenehala opravljati dejavnost v statusni obliki posameznika, ki samostojno opravlja dejavnost, je bila sankcija v skladu z določbami ZP-1 izrečena fizični osebi, ki je bila nosilec te statusne oblike. Organ je izrekel globo v višini 5600 EUR. Ob tem je bila odmerjena tudi sodna taksa v višini 560 EUR ter možnost povrnitve morebitnih dodatnih stroškov postopka.
Primer ponovno potrjuje, da nadzorni organ načelo najmanjšega obsega podatkov obravnava kot vsebinsko in ne zgolj formalno zahtevo. Tudi v procesnih situacijah, kjer se obdelujejo sodni dokumenti, mora upravljavec presoditi, kateri osebni podatki so za konkreten namen resnično nujni. Vsako razkritje presežnih podatkov, četudi v okviru sicer legitimne komunikacije, lahko pomeni kršitev temeljnih načel obdelave in posledično vodi v prekrškovno odgovornost.
Odločitev nadzornega organa je dostopna tukaj.
Vir: IP RS
Naslovna fotografija: Unsplash
