Globa GDPR v višini 4,5 mln: Alarm za varstvo podatkov v Sloveniji
Znanje
• ZVOP-2 • POLITIKA ZASEBNOSTI • ZVOP • GDPR • SKLADNOST • KIBERNETSKA VARNOST •
Rekordna Globa GDPR v Višini 4,5 Milijona EUR: Alarm za Varstvo Podatkov v Sloveniji
Nadzorni organi za varstvo osebnih podatkov po Evropski uniji ohranjajo visok tempo izrekanja glob, s čimer jasno signalizirajo, da neustrezno ravnanje z osebnimi podatki ne bo tolerirano. Novembra 2025 je Hrvaška agencija za varstvo osebnih podatkov (AZOP) izrekla administracijsko globo v višini 4.500.000,00 EUR telekomunikacijskemu operaterju, kar predstavlja eno najvišjih kazni na regionalni ravni. Analiza te odločitve je ključna za slovenska podjetja, saj izpostavlja kritične pomanjkljivosti, ki so pogosto prisotne tudi v domačem poslovnem okolju.
Kritične kršitve in temeljni razlogi za sankcijo
Globa je bila izrečena po uradnem postopku in je zajemala več kršitev Splošne uredbe o varstvu podatkov (GDPR). Glavna težava je bil prenos osebnih podatkov v tretjo državo, natančneje v Republiko Srbijo, brez veljavnega pravnega instrumenta. Upravljavec je sprva prenos utemeljeval na standardnih pogodbenih klavzulah, ki pa jih po 27. decembru 2022 ni uspel obnoviti oziroma skleniti, kar pomeni, da je prenos podatkov potekal brez ustreznih zaščitnih ukrepov. Srbski obdelovalec, ki je bil del iste korporativne skupine in odgovoren za vzdrževanje programske opreme, je imel s polnimi administrativnimi pravicami dostop do celotne baze SAP CRM, ki je vsebovala 847.862 evidenc uporabnikov, vključno z imeni, OIB-ji, naslovi, IBAN-i in podatki o storitvah. Upravljavec poleg tega ni izvedel Ocene tveganja prenosa (TRA), ki je obvezna pred vsakim prenosom v tretjo državo, za katero Evropska komisija ni sprejela odločbe o ustreznosti (člen 44 v zvezi s členom 46(1) GDPR).
Poleg tega je operater kršil načelo transparentnosti, saj uporabnikov ni ustrezno informiral o tem prenosu. Pregled politike zasebnosti je razkril uporabo nejasnih in nedoločnih formulacij, kot je “podatki se lahko delijo s tretjimi državami” ali da se podatki praviloma obdelujejo znotraj EU, s čimer ni izpolnil zahteve po jasnem obveščanju v skladu s členom 13(1)(f) in 12(1) GDPR.
Dodatne kršitve so se nanašale na prekomerno obdelavo podatkov lastnih zaposlenih. Operater je neupravičeno zbiral kopije osebnih izkaznic in potrdila o nekaznovanosti, kar je v nasprotju z načeloma zakonitosti in minimalnega obsega podatkov (člen 6(1) in 5(1)(c) ter 5(1)(b) GDPR). Pri zbiranju kopij osebnih izkaznic je bila oteževalna okoliščina tudi ta, da je upravljavec ignoriral mnenje lastnega pooblaščenca za varstvo podatkov (DPO), ki je svetoval proti takšnemu zbiranju. Za konec, operater ni izvedel ustreznega predhodnega preverjanja varnostnih ukrepov obdelovalca, ki je izvajal telemarketing storitve, s čimer je prekršil člen 28(1) GDPR.
Pregled najvišjih glob v novembru 2025
Hrvaška globa je bila najvišja, sledile pa so ji sankcije, ki poudarjajo stalno pozornost nadzornikov na ključna področja. Druga najvišja globa je bila izrečena španski Universitat Internacional Valenciana v višini 750.000 EUR zaradi uporabe tehnologije za prepoznavanje obrazov in umetne inteligence za identifikacijo udeležencev izpitov brez ustrezne pravne podlage, kar je kršitev obdelave posebnih kategorij osebnih podatkov (člen 5(1)(c) in člen 9 GDPR). Sledila ji je kazen v višini 100.000 EUR španskemu podjetju Euskaltel zaradi ponavljajoče se neupoštevanja uradnih zahtev nadzornega organa (člen 58(2) GDPR). Zanimivo je, da se na četrtem in petem mestu nahajata španski podjetji Bizum, S.L. in Sending Transporte y Comunicación, S.A. z globama v višini 80.000 EUR, pri čemer je Bizum bil kaznovan zaradi nezadostnih tehničnih in organizacijskih ukrepov, ki so privedli do kršitve varnosti podatkov, Sending pa zaradi nepooblaščenega imenovanja podizvajalca s strani obdelovalca in neustrezne pogodbe o obdelavi.
Nujna revizija ZVOP-2 / GDPR Skladnosti
Opisani primeri so neposreden signal slovenskim organizacijam. Z Zakonom o varstvu osebnih podatkov (ZVOP-2), ki je okrepil pristojnosti Informacijskega pooblaščenca (IP), je tveganje visokih sankcij realno. Za zagotovitev skladnosti in preprečitev inšpekcijskih postopkov je nujno, da se slovenske organizacije aktivno in preventivno posvetijo svojim praksam. Posebej kritična je revizija politike zasebnosti, ki mora biti kristalno jasna, v celoti usklajena z dejanskimi postopki obdelave in dostopna posameznikom. Poleg tega je nujno, da se celotni dokumentirani delovni tokovi ustrezno preverijo in posodobijo, zlasti tisti, ki zadevajo kadrovske evidence, mednarodne prenose in pogodbe z zunanjimi obdelovalci, saj je ključna sposobnost organizacije, da dokumentarno dokaže svojo skladnost, preden inšpekcija sploh pride. Odgovorne osebe morajo prevzeti odgovornost za to, da so vsi ukrepi v skladu z ZVOP-2 / GDPR regulativo, s čimer se izognejo visokim administrativnim globam, ki lahko dosežejo tudi milijonske zneske.
Ponujamo strokovno in skladno pripravo politike zasebnosti ter celotne pravne dokumentacije za varstvo osebnih podatkov. Varstvo zasebnosti je področje, ki zadnja leta prejema veliko pozornosti, vendar pogosto na napačnih mestih. V hitro digitalizirani informacijski družbi predstavlja pravilno upravljanje osebnih podatkov temelj vsake pravno urejene in zaupanja vredne organizacije. Skladnost z GDPR in slovensko zakonodajo zahteva temeljit pregled vaših poslovnih procesov ter jasno opredeljene obveznosti.
Naša ekipa vam pomaga hitro prepoznati ranljivosti v organizaciji, pripraviti vso potrebno pravno dokumentacijo, vključno s politiko zasebnosti, ter izvesti izobraževanja, ki bodo okrepila varnostno kulturo in dolgoročno zaščitila vaše poslovanje.
clanke048