Informacijska pooblaščenka Mojca Prelesnik je zaključila postopek glede naslovljenih pisem, v katerih je takratni predsednik vlade Janez Janša prebivalce pozival k cepljenju. Ker so bila pisma naslovljena, so se številni spraševali, od kje so bili naslovi pridobljeni in ali so bili osebni podatki ustrezno obdelani. Inšpekcijski postopek je potrdil, da je podatke Nacionalni inštitut za javno zdravje posredoval EPPS Elektronsko pismo Pošte Slovenije. A podatki niso bili poslani ustrezno. Pogodbeni obdelovalec jih je namreč naložil na WeTransfer in jih poslal tudi osebam, ki ni dostopa ne bi smele imeti. EPPS je podatke hranil tudi predolgo, direktor NIJZ Milan Krek pa se je postopku ves čas izmikal. Zoper odgovorne je informacijska pooblaščenka uvedla prekrškovni postopek.
Informacijski pooblaščenec je zaključil postopek glede naslovljenih pisem, ki jih je kabinet predsednika vlade lanskega decembra poslal na naslove prebivalcev. V njih je takratni premier Janez Janša, ki zdaj opravlja tekoče posle, podrobno opisal potek epidemije, cepljenim proti koronavirusu se je zahvalil, ostale pa pozval, naj razmislijo o cepljenju.
Naslovljena pisma so razburila del javnosti, ki se je spraševala, kje je kabinet predsednika vlade dobil naslove državljanov, kako so bili podatki obdelani in ali je imel kabinet predsednika vlade za to ustrezno pravno podlago. Številni so se obrnili tudi na informacijsko pooblaščenko Mojco Prelesnik, njen urad pa je kmalu začel inšpekcijski postopek.
Zdaj je informacijski pooblaščenec postopek zaključil. Ugotovili so več nepravilnosti glede varnosti osebnih podatkov in uvedli prekrškovni postopek zoper odgovorne osebe. Informacijski pooblaščenec v postopku ni našel dokazov, da bi se z osebnimi podatki prejemnikov pisma seznanil takratni premier Janša ali njegov kabinet.
Kako so pravzaprav lahko poslali naslovljena pisma?
Kot smo že poročali, so pisma prejeli polnoletni uporabniki zdravstvenih storitev s stalnim ali začasnim prebivališčem v Sloveniji. Podatke so dobili iz Centralnega registra podatkov o pacientih (CRPP), katerega upravljavec je Nacionalni inštitut za javno zdravje (NIJZ). “Seznam naslovnikov je na podlagi kriterija starosti pripravil zunanji izvajalec NIJZ za področje upravljanja s CRPP (s katerim ima NIJZ sklenjeno tudi pogodbo o obdelavi osebnih podatkov) in jih posredoval na varen način neposredno izvajalcu tiska,” so takrat pojasnili na Inštitutu. Gre za EPPS Elektronsko pismo Pošte Slovenije.
Ko se je na urad informacijskega pooblaščenca zaradi suma nezakonite obdelave osebnih podatkov obrnilo 153 ljudi, je urad postopek sprva uvedel zoper kabinet predsednika vlade, nato pa tudi zoper NIJZ. Na podlagi dokazov je nato informacijski pooblaščenec postopke uvedel še zoper EPPS in Pošto Slovenije.
NIJZ je v postopku dokazal pravno podlago, to je utemeljil na 6(1)(e) Splošne uredbe o varstvu podatkov (GDPR). Inštitut je pojasnil, da je bila epidemiološka situacija takrat slaba in se je zato trudil zvišati stopnjo precepljenosti. To je vodilo v odločitev, da se vse polnoletne ponovno povabi k cepljenju s personaliziranim pismom predsednika vlade, ki naj bi zaradi podpisnika imelo večjo težo, je zapisala Prelesnik. V postopku informacijski pooblaščenec ni našel dokazov, da bi bili osebni podatki naslovnikov pisma kadarkoli posredovani kabinetu predsednika vlade.
O tem, na kakšni pravni podlagi sta KPV in NIJZ utemeljila pošiljanje pisem in kako jo je komentirala pravnica Nataša Pirc Musar, smo pisali tukaj.
A za varnost podatkov ni bilo ustrezno poskrbljeno
Ne glede na to, da je pravna podlaga obstajala, pa za varnost osebnih podatkov ni bilo ustrezno poskrbljeno. Pogodbeni obdelovalec je namreč osebne podatke odložil v spletno odložišče WeTransfer. Uporabil je brezplačno verzijo odložišča, ki praktično ne omogoča nobene sledljivosti dostopov do podatkov.
“Datoteka na spletni povezavi WeTransfer, ki je vsebovala osebne podatke naslovnikov pisma (ime, priimek, naslov), je sicer bila zaščitena z geslom, a sta bila povezava in geslo za dostop poslana več osebam, med drugim tudi uslužbencu Pošte Slovenije, ki v dogovoru o posredovanju podatkov, sklenjenim med NIJZ, KPV in EPPS, sploh ni bil določen kot prejemnik povezave in gesla,” je zapisal urad informacijskega pooblaščenca.
Ker je bila družba WeTransfer ustanovljena na Nizozemskem, je informacijski pooblaščenec za pomoč zaprosil nizozemski nadzorni organ. Izkazalo se je, da je do datoteke dostopal le uslužbenec podjetja EPPS, ki je podatke prenesel zaradi priprave za tisk.
“Domnevno nepooblaščeni dostopi do datoteke z osebnimi podatki naslovnikov preko spletne povezave WeTransfer torej niso bili potrjeni, vseeno pa se odločitev upravljavca, da za prenos baze vseh polnoletnih uporabnikov zdravstvenih storitev izbere tujega spletnega ponudnika storitev preko brezplačne verzije, zdi vsaj nenavadna. Uporabnikom v javni upravi je namreč za prenos velikih datotek na voljo storitev odložišča velikih datotek (SOVD), ki jo ponuja ministrstvo za javno upravo,” je zapisala Prelesnik.
V postopku pa se je izkazalo, da je EPPS osebne podatke hranil prek roka, določenega v dogovoru o posredovanju podatkov. Namreč uničiti bi jih morali takoj po njihovi uporabi za tisk, a so bili izbrisani šele 1. marca 2022.
Nepravočasno komuniciranje je vodilo v odklonilen odnos do pisma
“Številne prejete prijave so se tako izkazale kot upravičene, saj upravljavci niso izvajali ukrepov za varnost obdelave, posamezniki pa o obdelavi niso bili ustrezno (pošteno in pregledno) obveščeni, kot to določa člen 14 GDPR. Prav nepravočasno in nepravilno informiranje prejemnikov pisma o obdelavi njihovih osebnih podatkov je pri njih upravičeno vzpostavilo dvom v zakonitost obdelave, kar je vodilo v večje število prijav in odklonilen odnos posameznikov do pisma,” ob koncu postopka ugotavlja Prelesnik.
Prva pisma so prebivalci prejeli 17. decembra. Od kod so bili pridobljeni naslovi in kakšno pravno podlago so uporabili za pošiljanje, pa sta tako NIJZ kot KPV pojasnila šele konec januarja. Na novinarska vprašanja je KPV večkrat odgovarjal z nepopolnimi odgovori, tako so med drugim 20. decembra zapisali, da so razlogi za Janševo odločitev “vsem dobronamernim popolnoma pojasnjeni v pismu samem”.
“Direktor NIJZ se je postopku ves čas izmikal”
V postopku je urad informacijskega pooblaščenca na zavezance naslovil kar 11 pozivov in opravil štiri inšpekcijske oglede. “Posamezni zavezanci so zavajali s prilaganjem antidatirane dokumentacije ter poskušali prikrivati prejemnike povezave za dostop do datoteke z osebnimi podatki naslovnikov pisma, direktor NIJZ Milan Krek pa se je postopku ves čas izmikal,” so zapisali v uradu. Zaradi ugotovljenih nepravilnosti – neustreznega zavarovanja osebnih podatkov in nezagotavljanja sledljivosti ter prekoračitve roka hrambe – je informacijski pooblaščenec zoper odgovorne osebe že uvedel prekrškovni postopek.
Spremljajte N1 na družbenih omrežjih Facebook, Instagram in Twitter.
Kakšno je tvoje mnenje o tem?
Sodeluj v razpravi ali preberi komentarje