IP: 13.491 EUR zaradi nepooblaščenega dostopa
Informacijski pooblaščenec je izrekel globo upravljavcu, ki je kršil člen 32 GDPR s tem, ko ni izpolnil svojih obveznosti glede zagotavljanja varnosti obdelave osebnih podatkov.
Odločitev je bila sprejeta 27. 3. 2026.
V obravnavanem primeru je nadzorni organ presojal ravnanje pravne osebe, ki je prek spletnega portala omogočala dostop do zdravstvenih izvidov pacientov. Ti izvidi so vsebovali širok nabor osebnih podatkov, vključno z identifikacijskimi podatki ter podatki o zdravju, ki sodijo med posebne vrste osebnih podatkov v smislu Splošne uredbe o varstvu podatkov.
Dostop do izvidov je bil omogočen preko unikatnih URL povezav, ki naj bi bile na voljo zgolj posameznim uporabnikom po predhodni prijavi v sistem. Ključna pomanjkljivost sistema se je pokazala v načinu generiranja teh povezav. Uporabljeni identifikatorji niso zagotavljali zadostne stopnje entropije, kar pomeni, da so bili predvidljivi. Posledično je bilo mogoče z enostavnim ugibanjem zaporednih šestmestnih števil v URL naslovu dostopati do dokumentov drugih pacientov.
Pomembno je, da takšen dostop ni zahteval posebnega tehničnega znanja ali uporabe naprednih orodij. Povprečen uporabnik je lahko zgolj z vnosom različnih kombinacij v spletni brskalnik prišel do občutljivih podatkov tretjih oseb in jih tudi prenesel. S tem je prišlo do očitne kršitve načela zaupnosti in celovitosti ter obveznosti upravljavca, da zagotovi ustrezno raven varnosti obdelave.
Pojavilo se je vprašanje ustreznosti implementiranih tehničnih in organizacijskih ukrepov, zlasti v kontekstu zaščite pred nepooblaščenim dostopom, ki bi moral biti eden temeljnih elementov varnosti obdelave po 32. členu GDPR.
Odločitev nadzornega organa
Informacijski pooblaščenec je ugotovil, da pravna oseba ni izpolnila svojih obveznosti glede zagotavljanja varnosti obdelave osebnih podatkov. Ključni očitek se nanaša na neustrezno zasnovo sistema za generiranje dostopnih povezav, ki ni zagotavljal zadostne nepredvidljivosti in s tem ni preprečeval nepooblaščenega dostopa.
IP RS je poudaril, da mora upravljavec pri določanju varnostnih ukrepov upoštevati tveganja, povezana z obdelavo, zlasti kadar gre za občutljive podatke, kot so zdravstveni podatki. V konkretnem primeru bi moral upravljavec predvideti možnost zlorabe enostavno generiranih URL naslovov ter uvesti ustrezne mehanizme za zaščito, kot so zahtevnejši identifikatorji, dodatne avtentikacijske kontrole ali omejitve dostopa.
Ker je bila kršitev storjena v okviru opravljanja dejavnosti in z uporabo sredstev pravne osebe, je bila odgovornost pripisana pravni osebi kot odgovornemu subjektu. Nadzorni organ je ravnanje opredelil kot prekršek po ZVOP-2 v povezavi s kršitvijo 32. člena GDPR ter določbami o upravnih globah iz 83. člena GDPR.
Pri odmeri sankcije je organ upošteval relevantne kriterije, vključno z naravo kršitve, obsegom prizadetih podatkov in stopnjo malomarnosti. Pravna oseba je bila sankcionirana z globo v višini 13.491 EUR, poleg tega pa ji je bila naložena tudi obveznost plačila sodne takse.
Odločitev ponovno potrjuje, da pomanjkljivosti na ravni osnovne arhitekture informacijskih sistemov lahko predstavljajo resno kršitev obveznosti upravljavca. Varnost obdelave ni zgolj formalna zahteva, temveč zahteva dejansko in učinkovito implementacijo ukrepov, ki preprečujejo tudi enostavne oblike zlorab.
Odločitev nadzornega organa je dostopna tukaj (Odločba št. 0609-10/2026/7)
Vir: IP RS
Naslovna fotografija: Unsplash
