Obvestilo o dogodku v zvezi z varstvom osebnih podatkov

Obveščamo vas, da smo dne 13. 2. 2026 zaznali dogodek, pri katerem je bila v omejenem številu dopisov pomotoma navedena napačna registrska številka vozila. Posledično je bila posamezna registrska številka razkrita prejemniku, ki je dopis prejel po pomoti.

Dopisi, na katere je dogodek vplival, so bili poslani v zvezi s parkirnino, obračunano med dnevi 26.11.2025 in 3.12.2025 v zvezi s parkiranjem na naslovu PE Lidl Koper, Cesta Mareiganskega upora 2a, in PE Lidl Kranj, Koroöka cesta 55a..

Dogodek smo nemudoma obravnavali in ga prijavili Informacijski pooblaščenec Republike Slovenije, ki v zvezi s tem vodi postopek. Po naših ugotovitvah podatki niso bili razkriti širšemu krogu nepooblaščenih oseb, temveč omejenemu številu prejemnikov napačnih dopisov.

V razkritju je bila lahko prejemnikova registrska tablica vidna drugemu naslovniku, ki jo je prejel pomotoma v našem dopisu. Drugim nepooblaščenim osebam podatki niso bili razkriti. 

Ob zaznavi dogodka smo izvedli notranjo presojo tveganja za pravice in svoboščine posameznikov ter ocenili, da gre za dogodek, ki skladno z uredbo GDPR in smernicami Informacijskega pooblaščenca predstavlja dogodek z omejenim tveganjem. Po naši oceni namreč ni prišlo do razkritja posebnih vrst osebnih podatkov, do sistematičnega razkritja širšemu krogu oseb ali do okoliščin, ki bi lahko povzročile znatne negativne posledice za posameznike.

Skladno s Splošno uredbo o varstvu podatkov je obveznost neposrednega obveščanja posameznikov o kršitvi varnosti osebnih podatkov vezana na prag velikega tveganja za pravice in svoboščine posameznikov. Ta prag je višji od praga, ki velja za obvestilo nadzornemu organu. Upravljavec mora v vsakem konkretnem primeru opraviti oceno tveganja, pri čemer se upoštevata verjetnost nastanka posledic in resnost morebitnih posledic za posameznike. Tudi zato v popravku nismo izrecno komunicirali o nastanku kršitve oz. o razkritju podatkov širšemu naboru tretjih oseb.

V obravnavanem primeru smo ocenili, da do velikega tveganja za pravice in svoboščine posameznikov ni prišlo. Dogodek je bil enkraten in tehnične narave, napaka je bila takoj odpravljena, prizadetim posameznikom pa so bila poslana popravljena obvestila s pojasnilom. Podatki niso bili razkriti širšemu krogu nepooblaščenih oseb, temveč omejenemu krogu prejemnikov napačnih obvestil (skupaj 128 oseb), prav tako pa niso vključevali občutljivih ali posebej varovanih osebnih podatkov. S pridobljenim podatkom (tujo registrsko številko) bi posameznik teoretično lahko poskušal priti do podatkov o osebi, ki je lastnik oziroma uporabnik vozila iz evidence registriranih vozil, ter ta podatek povezati s podatkom, da je bilo določeno vozilo ob določenem času na parkirišču, ki ga nadzoruje naš sistem (kljub temu, da je registrska številka vozila kot taka praviloma javno zaznaven podatek, saj je vidna vsakomur, ki vozilo opazi na parkirišču).

Poleg tega posameznik na podlagi zgolj registrske številke praviloma ne more pridobiti osebnih podatkov lastnika ali uporabnika vozila iz evidence registriranih vozil. Za posredovanje takšnih podatkov mora biti podana ena izmed pravnih podlag iz 6. člena Splošne uredbe o varstvu podatkov (npr. izpolnitev zakonske obveznosti upravljavca evidence) in plačano nadomestilo. Zato tudi sami te podatke pridobivamo s pomočjo odvetnika, kadar za takšno pridobivanje obstaja pravna podlaga, torej terjatev v zvezi z neplačano parkirnino. Posameznik, ki bi želel na podlagi registrske številke pridobiti identiteto lastnika vozila, bi moral upravljavcu evidence izkazati ustrezno pravno podlago, ki je v takšnih okoliščinah praviloma ne bi imel.

Za nastalo situacijo se prizadetim posameznikom iskreno opravičujemo.

S spoštovanjem,

Nexobility Solutions, digitalno upravljanje parkirišč, d.o.o.