Informacijski pooblaščenec odločbe o prekrških že izreka po ZVOP-2, v povezavi z 83. členom Splošne uredbe, ki omogoča izrek globe v znesku do 20.000.000 EUR oz. do 4 % skupnega svetovnega letnega prometa v preteklem proračunskem letu.

V zadevi pod številko 0609-42/2024/7 je Informacijski pooblaščenec ugotovil kršitev načela najmanjšega obsega podatkov. 

V skladu s petim odstavkom Zakona o šolski prehrani lahko šola “drugemu vzgojno-izobraževalnemu zavodu oziroma zunanjemu izvajalcu za evidentiranje prevzema obrokov posreduje ime in priimek prijavljenih učencev oziroma dijakov”. V navedenem primeru pa je upravljavec za namen evidentiranja prevzema obrokov zunanjemu izvajalcu s Pogodbo o obdelavi osebnih podatkov in z dodelitvijo profila z dostopnimi pravicami omogočil obdelavo večjega nabora osebnih podatkov, in sicer: naslov stalnega prebivališča dijaka, podatek o višini subvencije, oddelek izobraževalnega programa, datum (ne)prijave na vrsto obroka, število in datum prevzetih in odjavljenih obrokov ter stanje dobroimetja. Zunanji ponudnik je lahko navedene podatke obdeloval (do njih dostopal, jih prilagajal in spreminjal), čeprav taka obdelava navedenih osebnih podatkov prijavljenih dijakov na malico zunanjemu izvajalcu za namen evidentiranja prevzema obrokov ni bila potrebna. Za ta prekršek je bil izrečen opomin.

Vse odločbe Informacijskega pooblaščenca so na voljo na tej povezavi.

Svetujemo vam, da pogodbenim obdelovalcem posredujete le tiste osebne podatke, ki jih za opravljanje svoje storitve nujno potrebujejo (načelo najmanjšega obsega podatkov).