Janševo pismo državljanom: zaposleni osebne podatke poslal kar prek WeTransferja

Ugotovil je več nepravilnosti glede varnosti osebnih podatkov, zato je uvedel prekrškovni postopek. Ni pa našel dokazov, da bi se z osebnimi podatki prejemnikov seznanil predsednik vlade oz. njegov kabinet.

Zaradi ugotovljenih nepravilnosti - neustreznega zavarovanja osebnih podatkov in nezagotavljanja sledljivosti ter prekoračitve roka hrambe - je informacijski pooblaščenec zoper odgovorne osebe že uvedel prekrškovni postopek.

Informacijski pooblaščenec je decembra lani prejel 153 prijav suma nezakonite obdelave osebnih podatkov pri pošiljanju pisma, v katerem je predsednik vlade pozival k odločitvi za cepljenje proti covidu-19.

Inšpekcijski postopek so sprva uvedli zoper kabinet predsednika vlade, ker pa so bili podatki naslovnikov pridobljeni iz centralnega registra podatkov o pacientih, upravljavec katerega je Nacionalni inštitut za javno zdravje (NIJZ), pa tudi zoper tega. Na podlagi pridobljenih dokazov so postopek nato uvedli še zoper podjetji EPPS in Pošto Slovenije.

nisem prebral pisma. a če je to prošnja / poziv k odgovornemu ravnanju potem #leftard-ska falanga le promovira antivirusno #propagando? Po številnih prijavah državljanov informacijska pooblaščenka uvedla postopek glede pisma Janše https://t.co/js7SHCmd1y

— Primoz D (@lightning_si) December 20, 2021

V postopku so ugotovili, da so se obdelovali osebni podatki iz centralnega registra podatkov o pacientih. NIJZ je za obdelavo izkazal pravno podlago iz splošne uredbe o varstvu podatkov (GDPR). "Pojasnil je, da je bila situacija zaradi covida-19 takrat zelo slaba, zato se je trudil zvišati stopnjo precepljenosti, kar je vodilo v odločitev, da se vse polnoletne ponovno povabi k cepljenju s personaliziranim pismom predsednika vlade, ki naj bi zaradi podpisnika imelo večjo težo," so povzeli v uradu informacijskega pooblaščenca.

Informacijskih pooblaščenec v postopku sicer ni našel dokazov, da bi bili osebni podatki naslovnikov pisma kadarkoli posredovani kabinetu predsednika vlade.

Uslužbenec ni uporabil programa ministrstva za javno upravo

Postopek je pokazal, da ni bilo ustrezno poskrbljeno za varnost osebnih podatkov, saj so osebne podatke odložili v spletno odložišče WeTransfer in pri tem uporabil brezplačno verzijo, ki ne omogoča nobene sledljivosti dostopov do podatkov. Datoteka na WeTransfer, ki je vsebovala osebne podatke naslovnikov pisma, je sicer bila zaščitena z geslom, a sta bila povezava in geslo za dostop poslana več osebam, med drugim tudi uslužbencu Pošte Slovenije, ki sploh ni bil določen kot prejemnik.

Nadzorni organ je ugotovil, da je do datoteke dostopal le uslužbenec podjetja EPPS, ki je podatke prenesel zaradi priprave za tisk. Domnevno nepooblaščeni dostopi do datoteke z osebnimi podatki naslovnikov prek spletne povezave WeTransfer torej niso bili potrjeni, je pa nenavadno, da se niso odločili uporabiti storitve za prenos velikih datotek, ki jo ponuja ministrstvo za javno upravo.

Podatke hranili predolgo

Podjetje EPPS pa je osebne podatke hranilo preko roka, določenega v dogovoru o posredovanju podatkov, saj bi ti morali biti uničeni takoj po njihovi uporabi za tisk, a so bili izbrisani šele 1. marca letos.

Informacijski pooblaščenec prišel do informacij kljub izmikanjem

Številne prijave so se po ugotovitvah informacijskega pooblaščenca tako izkazale kot upravičene, saj upravljavci niso izvajali ukrepov za varnost obdelave, posamezniki pa o obdelavi niso bili ustrezno obveščeni, kot to določa uredba o varstvu podatkov.

V postopku je informacijski pooblaščenec na zavezance naslovil 11 pozivov in opravil štiri inšpekcijske oglede. "Posamezni zavezanci so zavajali s prilaganjem antidatirane dokumentacije ter poskušali prikrivati prejemnike povezave za dostop do datoteke z osebnimi podatki naslovnikov pisma, direktor NIJZ pa se je postopku ves čas izmikal," so izpostavili.

Novo na Metroplay: Nik Škrlec iskreno o tem, zakaj mu je ušel Guinnessov rekord