IP: 1.198 EUR za spletno trgovino

IP: 1.198 EUR za spletno trgovino
19. 06. 2026 objavil/a Simona Kidrič
32. člen GDPR
globa
informacijski pooblaščenec
piratska programska opre
spletna trgovina
tehnični in organizacijski ukrepi
vdor v informacijski sistem

Informacijski pooblaščenec je izrekel globo zaradi uporabe piratske programske opreme, ki ni omogočala rednega posodabljanja ter je vsebovala zlonamerno kodo.

Odločitev je bila sprejeta maja 2026.

Nadzorni organ je obravnaval primer spletne trgovine, pri kateri je prišlo do nepooblaščenega dostopa do strežnika in podatkovne baze s podatki strank. V postopku je bilo ugotovljeno, da je bila pri izdelavi spletne trgovine uporabljena piratska in nelicencirana programska oprema, ki ni omogočala rednega posodabljanja ter je vsebovala zlonamerno kodo.

Napadalec je navedeno ranljivost izkoristil za pridobitev dostopa do informacijskega sistema. Posledično so bili ogroženi osebni podatki posameznikov, med drugim ime in priimek, naslov prebivališča, telefonska številka, elektronski naslov ter podatki o opravljenih naročilih.

Odločitev nadzornega organa

Nadzorni organ je ugotovil, da upravljavec ni zagotovil ustreznih tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave osebnih podatkov, kot jih zahteva 32. člen GDPR.

Pri presoji je posebej izpostavil dejstvo, da je bila uporabljena piratska in nelicencirana programska oprema, ki se ni posodabljala in je vsebovala zlonamerno kodo. Takšna programska oprema ne omogoča učinkovitega obvladovanja informacijskih tveganj in ne zagotavlja ustrezne ravni zaščite osebnih podatkov pred nepooblaščenim dostopom.

Nadzorni organ je zato zaključil, da upravljavec ni zagotovil zaupnosti osebnih podatkov ter ni vzpostavil takšnega okolja obdelave, ki bi bilo skladno z zahtevami člena 32 GDPR. Zaradi ugotovljene kršitve je bila pravni osebi izrečena globa v višini 1.198 EUR.

Odločitev je pomembna predvsem zato, ker potrjuje široko razumevanje obveznosti iz člena 32 GDPR. Ustrezni tehnični in organizacijski ukrepi ne vključujejo zgolj požarnih zidov, protivirusne zaščite ali politik informacijske varnosti, temveč tudi izbiro in uporabo zakonite, vzdrževane ter varnostno podprte programske opreme.

Za upravljavce in obdelovalce osebnih podatkov odločitev predstavlja dodatno opozorilo, da lahko uporaba nelicencirane programske opreme pomeni ne le kršitev pravil intelektualne lastnine, temveč tudi samostojno kršitev GDPR, kadar zaradi takšne opreme ni zagotovljena ustrezna raven varnosti obdelave.

Odločitev nadzornega organa je dostopna tukaj.

Vir: IPRS

Naslovna fotografija: Pexels