Informacijska pooblaščenka Mojca Prelesnik je zaključila inšpekcijski postopek glede obdelave osebnih podatkov prejemnikov pisma predsednika Vlade RS v povezavi s cepljenjem proti covid-19. Ugotovljenih je bilo več nepravilnosti glede varnosti osebnih podatkov, zato je prekrškovni postopek že bil uveden. ''Informacijski pooblaščenec ni našel dokazov, da bi se z osebnimi podatki prejemnikov pisma seznanil predsednik vlade oziroma njegov kabinet,'' so zapisali v sporočilu za javnost.
Urad informacijskega pooblaščenca je decembra lani prejel 153 prijav suma nezakonite obdelave osebnih podatkov pri pošiljanju pisma predsednika Vlade RS. Inšpekcijski postopek je bil sprva uveden zoper Kabinet predsednika Vlade RS, ker pa so bili podatki naslovnikov pridobljeni iz Centralnega registra podatkov o pacientih (CRPP), katerega upravljavec je NIJZ, pa tudi zoper tega. Na podlagi pridobljenih dokazov in informacij, je bil nato postopek uveden še zoper podjetji EPPS d.o.o. in Pošto Slovenije d.o.o.
NIJZ je pravno podlago za obdelavo izkazal
V inšpekcijskem postopku se je ugotovilo, da so se obdelovali osebni podatki polnoletnih uporabnikov zdravstvenih storitev s stalnim ali začasnim prebivališčem v Sloveniji na dan 19. decembra 2021, ki so bili pridobljeni iz CRPP in katerih upravljavec je NIJZ. NIJZ je za obdelavo izkazal pravno podlago, je ugotovil informacijski pooblaščenec. ''Pojasnil je, da je bila situacija zaradi bolezni covid-19 takrat zelo slaba, zato se je trudil zvišati stopnjo precepljenosti, kar je vodilo v odločitev, da se vse polnoletne ponovno povabi k cepljenju s personaliziranim pismom predsednika Vlade RS, ki naj bi zaradi podpisnika imelo večjo težo,'' ugotavlja informacijski pooblaščenec.
Nadalje je bilo ugotovljeno, da v postopku niso bili najdeni dokazi, da bi bili osebni podatki naslovnikov pisma kadarkoli posredovani Kabinetu predsednika Vlade RS.
Za varnost osebnih podatkov ni bilo ustrezno poskrbljeno
''Ne glede na izkazano pravno podlago pa je postopek pokazal, da ni bilo ustrezno poskrbljeno za varnost osebnih podatkov. Po prejemu izpisa iz CRPP je namreč pogodbeni obdelovalec NIJZ osebne podatke odložil v spletno odložišče WeTransfer in pri tem uporabil brezplačno verzijo, ki pa praktično ne omogoča nobene sledljivosti dostopov do podatkov. Datoteka na spletni povezavi WeTransfer, ki je vsebovala osebne podatke naslovnikov pisma (ime, priimek, naslov), je sicer bila zaščitena z geslom, a sta bila povezava in geslo za dostop poslana več osebam, med drugim tudi uslužbencu Pošte Slovenije d.o.o., ki v dogovoru o posredovanju podatkov, sklenjenim med NIJZ, KPV in EPPS d.o.o., sploh ni bil določen kot prejemnik povezave in gesla,'' ugotavlja informacijska pooblaščenka.
S pomočjo nizozemskega nadzornega organa so v postopku ugotovili, da je do datoteke dostopal le uslužbenec podjetja EPPS d.o.o., ki je podatke prenesel zaradi priprave za tisk. ''Domnevno nepooblaščeni dostopi do datoteke z osebnimi podatki naslovnikov preko spletne povezave WeTransfer torej niso bili potrjeni, vseeno pa se odločitev upravljavca, da za prenos baze vseh polnoletnih uporabnikov zdravstvenih storitev izbere tujega spletnega ponudnika storitev preko brezplačne verzije, zdi vsaj nenavadna,'' je zapisano v ugotovitvah inšpekcijskega postopka.
Uporabnikom v javni upravi je namreč za prenos velikih datotek na voljo storitev odložišča velikih datotek (SOVD), ki jo ponuja MJU.
Podatke hranili preko določenega roka
Informacijska pooblaščenka je ugotovila, da je podjetje EPPS d.o.o. osebne podatke hranilo preko roka, določenega v dogovoru o posredovanju podatkov, saj bi ti morali biti uničeni takoj po njihovi uporabi za tisk, a so bili izbrisani šele 1. 3. 2022.
''Številne prejete prijave so se tako izkazale kot upravičene, saj upravljavci niso izvajali ukrepov za varnost obdelave, posamezniki pa o obdelavi niso bili ustrezno (pošteno in pregledno) obveščeni, kot to določa člen 14 GDPR. Prav nepravočasno in nepravilno informiranje prejemnikov pisma o obdelavi njihovih osebnih podatkov, je pri njih upravičeno vzpostavilo dvom v zakonitost obdelave, kar je vodilo v večje število prijav in odklonilen odnos posameznikov do pisma,'' še dodaja informacijska pooblaščenka.
V postopku je IP na zavezance naslovil 11 pozivov in opravil štiri inšpekcijske oglede. Posamezni zavezanci so zavajali s prilaganjem antidatirane dokumentacije ter poskušali prikrivati prejemnike povezave za dostop do datoteke z osebnimi podatki naslovnikov pisma, direktor NIJZ pa se je postopku ves čas izmikal. Zaradi ugotovljenih nepravilnosti - torej neustreznega zavarovanja osebnih podatkov in nezagotavljanja sledljivosti ter prekoračitve roka hrambe, je IP zoper odgovorne osebe že uvedel prekrškovni postopek.
Nehajte se že ukvarjat s temi osebnimi podatki. Na tisoče ljudi pusti vse mogoče sledi na spletu, to pa niso …
tole si vsi dobro prebereite in se zamislite. bljitva pravi tole : "nekaj je narobe s tistimi, ki so dali …
Jaz fašistovega pisma niti odpiral nisem. Direktno v peč sem ga vrgel, kot vržem vsako janšistično navlako.