(Foto: BOBO, N1)
Sredi decembra lani je večina državljanov prejela osebno naslovljena pisma nekdanjega predsednika vlade Janeza Janše. V pismu je takratni premier državljane pozval k cepljenju proti covidu-19 in enotnosti pri zajezitvi epidemije covida-19.
Zaradi precejšnjega razburjenja javnosti je kmalu zatem informacijska pooblaščenka Mojca Prelesnik uvedla inšpekcijski postopek. Kabinet predsednika vlade je pozvala, naj pojasni namen in pravno podlago za obdelavo osebnih podatkov naslovnikov, merila za pošiljanje in ali so se v pripravi seznama obdelovale tudi posebne vrste osebnih podatkov, na primer podatki o zdravstvenem stanju.
V inšpekcijskem postopku dokazov, da bi se z osebnimi podatki prejemnikov pisma seznanil nekdanji premier Janez Janša ali njegov kabinet, pri IP niso našli. Ugotovljenih pa je bilo več nepravilnosti glede varnosti osebnih podatkov, zato je IP uvedel prekrškovni postopek.
153 prijav zaradi sumov nezakonite obdelave osebnih podatkov
Pri Informacijskem pooblaščencu pojasnjujejo, da so decembra lani, zaradi Janševih pisem s pozivi na cepljenje proti covidu-19, prejeli 153 prijav suma nezakonite obdelave osebnih podatkov. Inšpekcijski postopek je bil sprva uveden zoper kabinet vlade. Podatki naslovnikov so bili pridobljeni iz Centralnega registra podatkov o pacientih (CRPP), ki ga upravlja NIJZ, zato je postopek sprožen tudi zoper NIJZ. Na podlagi pridobljenih dokazov in informacij, pa so inšpektorji pozneje preiskovali še podjetje EPPS in Pošto Slovenije.
NIJZ: Personalizirana pisma premierja naj bi imela večjo težo
NIJZ je v inšpekcijskem postopku pojasnil, da so bile konec lanskega leta razmere zaradi covida-19 zelo slabe. Na NIJZ so se trudili zvišati stopnjo precepljenosti. Zato so se odločili, da vse polnoletne ponovno povabijo k cepljenju s personaliziranim pismom predsednika vlade, zaradi podpisnika pa bi naj imelo večjo težo.
Za pošiljanje pisem so uporabili podatke polnoletnih uporabnikov zdravstvenih storitev s stalnim ali začasnim prebivališčem v Sloveniji iz CRPP-ja. Za obdelavo teh podatkov je NIJZ imel ustrezno pravno podlago.
Kljub temu pa so pri inšpekcijskem postopku ugotovili kar nekaj nepravilnosti glede varnosti osebnih podatkov.
Po prejemu izpisa iz CRPP-ja je pogodbeni obdelovalec NIJZ osebne podatke odložil v spletno odložišče WeTransfer. Uporabil je brezplačno verzijo, ki pa praktično ne omogoča nobene sledljivosti dostopov do podatkov. Datoteka na spletni povezavi WeTransfer, ki je vsebovala osebne podatke naslovnikov pisma (ime, priimek, naslov), je bila zaščitena z geslom. Povezava in geslo za dostop pa sta bila poslana več osebam. Tudi uslužbencu Pošte Slovenije, ki v dogovoru o posredovanju podatkov, sklenjenim med NIJZ-jem in kabinetom predsednika vlade in EPPS-jem, ni bil določen kot prejemnik povezave in gesla, je pojasnil IP.
Ker je družba WeTransfer ustanovljena na Nizozemskem, je IP za pomoč zaprosil nizozemske kolege. Ti so ugotovili, da je do datoteke dostopal le uslužbenec podjetja EPPS-ja, ki je podatke prenesel zaradi priprave za tisk.
Domnevno nepooblaščeni dostopi do datoteke z osebnimi podatki naslovnikov preko spletne povezave WeTransfer torej niso bili potrjeni. Odločitev upravljavca, da za prenos baze vseh polnoletnih uporabnikov zdravstvenih storitev izbere tujega spletnega ponudnika storitev preko brezplačne verzije, pa se zdi vsaj nenavadna. Uporabnikom v javni upravi je namreč za prenos velikih datotek na voljo storitev odložišča velikih datotek (SOVD), ki jo ponuja MJU. EPPS pa je, denimo, osebne podatke hranil prek roka, določenega v dogovoru o posredovanju podatkov, saj jih je izbrisal šele letos marca.
Izmikanje Milana Kreka
Informacijski pooblaščenec je navedel še, da so se posamezni zavezanci pri inšpekcijskih postopkih zavajali s prilaganjem antedatirane dokumentacije. Poskušali so prikrivati prejemnike povezave za dostop do datoteke z osebnimi podatki naslovnikov pisma. Direktor NIJZ-ja pa se je postopku ves čas izmikal.
Zaradi ugotovljenih nepravilnosti, neustreznega zavarovanja osebnih podatkov in nezagotavljanja sledljivosti. Pa tudi prekoračitve roka hrambe so zoper odgovorne osebe že uvedli prekrškovni postopek.
Vir: MMC RTV Slovenija
