IP: 4.650 EUR zaradi kršitev varstva OP v testnem okolju
Informacijski pooblaščenec je izrekel globo zaradi neustrezne uporabe produkcijskih podatkov v testnem okolju in zaradi neustreznih tehničnih in organizacijskih ukrepov.
Odločitev je bila sprejeta 20. 1. 2026.
V obravnavanem primeru je nadzorni organ po uradni dolžnosti vodil prekrškovni postopek zoper pravno osebo in njeno odgovorno osebo zaradi neskladnosti z zahtevami varstva osebnih podatkov.
Jedro kršitve izhaja iz ravnanja v okviru razvoja in testiranja aplikacije, kjer bi moral upravljavec zagotoviti jasno ločitev med produkcijskim in testnim okoljem. Namesto uporabe anonimiziranih ali umetno generiranih podatkov so se v testni aplikaciji obdelovali dejanski osebni podatki posameznikov. Ti so vključevali širok nabor identifikacijskih in kontaktnih podatkov ter celo podatke, kot so davčna številka in podatki o zdravstvenih pregledih.
Posebej problematično je bilo, da je bil dostop do testnega okolja omogočen z javno dostopnimi prijavnimi podatki, kar pomeni, da je bil dostop potencialno odprt neomejenemu krogu oseb. Takšna ureditev je ustvarila realno tveganje nepooblaščenega dostopa in razkritja osebnih podatkov.
Odločitev nadzornega organa
Nadzorni organ je ugotovil, da tako pravna oseba kot njena odgovorna oseba nista izpolnili svojih obveznosti glede izvajanja ustreznih tehničnih in organizacijskih ukrepov.
V konkretnem primeru je bila odgovorni osebi očitana kršitev, ker ni zagotovila, da bi se v testnem okolju uporabljali izključno testni podatki. S tem ni bila zagotovljena skladnost z načelom najmanjšega obsega podatkov, prav tako pa niso bili implementirani mehanizmi vgrajenega varstva podatkov iz 25. člena GDPR.
Pravna oseba je odgovarjala za isto ravnanje v okviru svoje organizacijske odgovornosti. Organ je poudaril, da mora upravljavec zagotoviti učinkovito implementacijo varnostnih ukrepov tako v fazi načrtovanja kot tudi v fazi dejanske obdelave osebnih podatkov. Nezadostna kontrola nad testnimi okolji predstavlja resno tveganje, saj lahko vodi do nepooblaščenega razkritja podatkov, tudi če primarni namen okolja ni produkcijska uporaba.
Za ugotovljene kršitve je bila odgovorni osebi izrečena globa v višini 200 EUR, pravni osebi pa globa v višini 4.650 EUR. Poleg glob so bili odmerjeni tudi stroški postopka v obliki sodnih taks.
Odločitev potrjuje ustaljeno regulatorno prakso, da so testna okolja pogosto podcenjen vir tveganj in da uporaba realnih osebnih podatkov v takšnih okoljih praviloma ni dopustna, razen če so izpolnjeni strogi pogoji varstva in minimizacije.
Odločitev nadzornega organa je dostopna tukaj.
Vir: IPRS
Naslovna fotografija: Pexels
