Četrtek, 26. 5. 2022, 10.58
2 leti, 6 mesecev
Informacijska pooblaščenka o pismu Janše za cepljenje
Informacijska pooblaščenka je zaključila inšpekcijski postopek glede pisma, s katerim je premier Janez Janša pozval k cepljenju. Ugotovila je več nepravilnosti glede varnosti osebnih podatkov, zato je uvedla prekrškovni postopek. Ni pa našla dokazov, da bi se z osebnimi podatki prejemnikov seznanil predsednik vlade oz. njegov kabinet.
Kot so spomnili v današnjem sporočilu za javnost, je informacijska pooblaščenka decembra lani prejela 153 prijav suma nezakonite obdelave osebnih podatkov pri pošiljanju pisma, v katerem je predsednik vlade pozival k odločitvi za cepljenje proti covid-19. Inšpekcijski postopek so sprva uvedli zoper kabinet predsednika vlade, ker pa so bili podatki naslovnikov pridobljeni iz centralnega registra podatkov o pacientih, upravljavec katerega je Nacionalni inštitut za javno zdravje (NIJZ), pa tudi zoper tega. Na podlagi pridobljenih dokazov in informacij so postopek nato uvedli še zoper podjetji EPPS in Pošto Slovenije.
V inšpekcijskem postopku so ugotovili, da so se obdelovali osebni podatki polnoletnih uporabnikov zdravstvenih storitev s stalnim ali začasnim prebivališčem v Sloveniji iz centralnega registra podatkov o pacientih. NIJZ je za obdelavo izkazal pravno podlago iz splošne uredbe o varstvu podatkov (GDPR).
Ni bilo dokazov o posredovanju osebnih podatkov v kabinet predsednika vlade
"Pojasnila je, da je bila situacija zaradi covid-19 takrat zelo slaba, zato se je trudil zvišati stopnjo precepljenosti, kar je vodilo v odločitev, da se vse polnoletne ponovno povabi k cepljenju s personaliziranim pismom predsednika vlade, ki naj bi zaradi podpisnika imelo večjo težo," so povzeli v uradu informacijskega pooblaščenca.
Informacijska pooblaščenka v postopku sicer ni našla dokazov, da bi bili osebni podatki naslovnikov pisma kadarkoli posredovani kabinetu predsednika vlade.
Ne glede na izkazano pravno podlago pa je postopek pokazal, da ni bilo ustrezno poskrbljeno za varnost osebnih podatkov. Kot so pojasnili, je po prejemu izpisa iz registra pogodbeni obdelovalec NIJZ osebne podatke odložil v spletno odložišče WeTransfer in pri tem uporabil brezplačno verzijo, ki pa praktično ne omogoča nobene sledljivosti dostopov do podatkov. Datoteka na spletni povezavi WeTransfer, ki je vsebovala osebne podatke naslovnikov pisma, je sicer bila zaščitena z geslom, a sta bila povezava in geslo za dostop poslana več osebam, med drugim tudi uslužbencu Pošte Slovenije, ki v dogovoru o posredovanju podatkov, sklenjenem med NIJZ, kabinetom predsednika vlade in EPPS, sploh ni bil določen kot prejemnik povezave in gesla.
Ker je družba WeTransfer ustanovljena na Nizozemskem, je informacijska pooblaščenka v okviru mehanizma sodelovanja na podlagi GDPR za pomoč zaprosila nizozemski nadzorni organ in ugotovila, da je do datoteke dostopal le uslužbenec podjetja EPPS, ki je podatke prenesel zaradi priprave za tisk.
Številne prijave po ugotovitvah informacijske pooblaščenke upravičene
Domnevno nepooblaščeni dostopi do datoteke z osebnimi podatki naslovnikov prek spletne povezave WeTransfer torej niso bili potrjeni, "vseeno pa se odločitev upravljavca, da za prenos baze vseh polnoletnih uporabnikov zdravstvenih storitev izbere tujega spletnega ponudnika storitev prek brezplačne verzije, zdi vsaj nenavadna". Uporabnikom v javni upravi je namreč za prenos velikih datotek na voljo storitev odložišča velikih datotek, ki jo ponuja ministrstvo za javno upravo, so opomnili.
Podjetje EPPS pa je osebne podatke hranilo preko roka, določenega v dogovoru o posredovanju podatkov, saj bi ti morali biti uničeni takoj po njihovi uporabi za tisk, a so bili izbrisani šele 1. marca letos.
Številne prijave so se po ugotovitvah informacijske pooblaščenke tako izkazale kot upravičene, saj upravljavci niso izvajali ukrepov za varnost obdelave, posamezniki pa o obdelavi niso bili ustrezno (pošteno in pregledno) obveščeni, kot to določa uredba o varstvu podatkov. "Prav nepravočasno in nepravilno informiranje prejemnikov pisma o obdelavi njihovih osebnih podatkov je pri njih upravičeno vzpostavilo dvom v zakonitost obdelave, kar je vodilo v večje število prijav in odklonilen odnos posameznikov do pisma," so dodali.
V postopku je informacijska pooblaščenka na zavezance naslovila 11 pozivov in opravila štiri inšpekcijske oglede. "Posamezni zavezanci so zavajali s prilaganjem antidatirane dokumentacije ter poskušali prikrivati prejemnike povezave za dostop do datoteke z osebnimi podatki naslovnikov pisma, direktor NIJZ pa se je postopku ves čas izmikal," so izpostavili.
Zaradi ugotovljenih nepravilnosti − neustreznega zavarovanja osebnih podatkov in nezagotavljanja sledljivosti ter prekoračitve roka hrambe − je informacijska pooblaščenka zoper odgovorne osebe že uvedla prekrškovni postopek.
24