Visoke globe zaradi kršitev varstva osebnih podatkov v Sloveniji

V Sloveniji že skoraj 8 let velja Splošna uredba EU o varstvu podatkov (GDPR). Ta upravljavcem in obdelovalcem osebnih podatkov nalaga stroge obveznosti glede zakonite, pregledne in sorazmerne obdelave podatkov. Nadzor nad spoštovanjem teh pravil izvaja Informacijski pooblaščenec. Nedavna primera iz prakse jasno kažeta, da se je politika izrekanja glob Informacijskega pooblaščenca zelo spremenila in da sedaj ob ugotovljenih kršitvah izreka tudi visoke globe, zlasti kadar gre za posege v zasebnost posameznikov ali za pomanjkljivo obveščanje o obdelavi podatkov.

Nezakonit nadzor zaposlenega je stal podjetje preko 70.000 evrov

V prvem primeru je Informacijski pooblaščenec podjetju izrekel več kot 70.000 evrov globe zaradi nezakonitega nadzora službenega računalnika enega od zaposlenih. V postopku nadzora je bilo ugotovljeno, da je bila na računalnik nameščena programska oprema, ki je dalj časa neprekinjeno snemala in shranjevala vse aktivnosti zaposlenega.

Program ni beležil zgolj službenih opravil, temveč tudi številne zasebne podatke. Med drugim je beležil dostop do elektronske pošte Gmail, komunikacijo prek družbenih omrežij, podatke o obiskanih spletnih straneh ter informacije iz uporabniških profilov. Sistem je shranjeval tudi zvočne posnetke pogovorov, kar predstavlja še posebej intenziven poseg v zasebnost posameznika.

Nadzorni organ je ugotovil, da za takšno obdelavo osebnih podatkov ni obstajala nobena ustrezna pravna podlaga. Delodajalec namreč ni izkazal zakonitega interesa ali drugega pravnega temelja, ki bi upravičeval tako obsežen in trajen nadzor zaposlenega. S tem je bilo kršeno temeljno načelo zakonitosti obdelave osebnih podatkov, ki ga določa Splošna uredba o varstvu podatkov.

Odgovorna oseba podjetja mora zaradi kršitve plačati 4.000 evrov globe in sodno takso, podjetju pa je bila izrečena globa v višini 71.474 evrov ter dodatna sodna taksa, ki presega 7.000 evrov. Primer predstavlja jasno opozorilo delodajalcem, da nadzor na delovnem mestu ni neomejen in da mora biti vsak poseg v zasebnost zaposlenih utemeljen, sorazmeren in podprt z ustrezno pravno podlago.

Pomanjkljivo obveščanje udeležencev dogodka je stalo podjetje preko 35.000 evrov

V drugem primeru je Informacijski pooblaščenec kaznoval podjetje in njegovo odgovorno osebo zaradi kršitve obveznosti obveščanja posameznikov o obdelavi njihovih osebnih podatkov. Skupna kazen v tem primeru presega 35.000 evrov.

Ugotovljeno je bilo, da so se posamezniki na dogodek prijavljali prek spletnega obrazca, pri čemer niso prejeli vseh informacij, ki jih mora upravljavec zagotoviti ob zbiranju osebnih podatkov. Obrazec je vseboval zgolj splošno navedbo, da so podatki potrebni za izvedbo prireditve in da brez soglasja ne bodo uporabljeni za druge namene.

Manjkale pa so ključne informacije, ki jih zahteva 13. člen Splošne uredbe o varstvu podatkov. Udeleženci niso bili ustrezno obveščeni o tem, kdo je upravljavec njihovih osebnih podatkov, za kakšne konkretne namene se bodo podatki obdelovali, kako dolgo se bodo hranili ter katere pravice imajo posamezniki v zvezi z obdelavo njihovih podatkov.

Po presoji Informacijskega pooblaščenca je bila s tem kršena pravica posameznikov do obveščenosti, ki predstavlja eno izmed temeljnih načel varstva osebnih podatkov. Transparentnost obdelave je namreč ključni element zaupanja med upravljavci in posamezniki.

Odgovorna oseba podjetja je bila kaznovana s 600 evri globe, podjetju pa je bila izrečena globa v višini 34.951,04 evra ter dodatna sodna taksa v višini 3.495,10 evra.

Jasno opozorilo upravljavcem osebnih podatkov

Oba primera potrjujeta, da nadzorni organi v Sloveniji dosledno izvajajo določbe zakonodaje na področju varstva osebnih podatkov. Kršitve, ki se morda na prvi pogled zdijo administrativne ali organizacijske narave, lahko vodijo do zelo visokih finančnih sankcij.

Podjetja, organizatorji dogodkov in drugi upravljavci osebnih podatkov morajo zato posebno pozornost nameniti zakonitosti obdelave, spoštovanju načela sorazmernosti ter predvsem transparentnemu obveščanju posameznikov. Samo celovit in odgovoren pristop k varstvu osebnih podatkov lahko prepreči kršitve, ki lahko poleg finančnih posledic povzročijo tudi izgubo zaupanja javnosti in poslovnih partnerjev. Če želite to področje urediti učinkovito in brez nepotrebnih zapletov, vam lahko pomagajo strokovnjaki iz DATAINFO.SI – za brezplačen posvet jih lahko pokličete na 02 620 43 00 ali pišete na info@datainfo.si. (P.R.)