V današnjem sporočilu za javnost je informacijski pooblaščenec najprej spomnil na 153 prijav suma nezakonite obdelave osebnih podatkov, ki jih je njegov urad prejel decembra lani. Predmet prijav je bilo pismo, v katerem je predsednik vlade pozival k odločitvi za cepljenje proti covidu-19. Inšpekcijski postopek so sprva uvedli zoper kabinet predsednika vlade, kasneje pa tudi zoper Nacionalni inštitut za javno zdravje (NIJZ), kasneje pa tudi podjetji EPPS in Pošto Slovenije. Podatke naslovnikov pisma je vlada namreč pridobila iz centralnega registra podatkov o pacientih, ki pa ga upravlja NIJZ.
V inšpekcijskem postopku so ugotovili, da so se obdelovali osebni podatki polnoletnih uporabnikov zdravstvenih storitev s stalnim ali začasnim prebivališčem v Sloveniji iz centralnega registra podatkov o pacientih. NIJZ je za obdelavo izkazal pravno podlago iz splošne uredbe o varstvu podatkov (GDPR). Informacijskih pooblaščenec v postopku sicer ni našel dokazov, da bi bili osebni podatki naslovnikov pisma kadarkoli posredovani kabinetu predsednika vlade.
Osebne podatke so hranili kar na povezav WeTransfer
Ne glede na izkazano pravno podlago pa ni bilo ustrezno poskrbljeno za varnost osebnih podatkov, so sporočili z urada. Po prejemu izpisa iz registra je namreč pogodbeni obdelovalec NIJZ osebne podatke odložil v spletno odložišče WeTransfer in pri tem uporabil brezplačno verzijo, ki pa praktično ne omogoča nobene sledljivosti dostopov do podatkov.
Datoteka na spletni povezavi WeTransfer, ki je vsebovala osebne podatke naslovnikov pisma, je sicer bila zaščitena z geslom, a sta bila povezava in geslo za dostop poslana več osebam, med drugim tudi uslužbencu Pošte Slovenije, ki v dogovoru o posredovanju podatkov, sklenjenim med NIJZ, kabinetom predsednika vlade in EPPS, sploh ni bil določen kot prejemnik povezave in gesla.
Ker je družba WeTransfer ustanovljena na Nizozemskem, je informacijski pooblaščenec v okviru mehanizma sodelovanja na podlagi GDPR za pomoč zaprosil nizozemski nadzorni organ in ugotovil, da je do datoteke dostopal le uslužbenec podjetja EPPS, ki je podatke prenesel zaradi priprave za tisk.
Nepooblaščeni dostopi do datoteke z osebnimi podatki naslovnikov preko spletne povezave WeTransfer tako niso bili potrjeni, »vseeno pa se odločitev upravljavca, da za prenos baze vseh polnoletnih uporabnikov zdravstvenih storitev izbere tujega spletnega ponudnika storitev preko brezplačne verzije, zdi vsaj nenavadna,« menijo. Uporabnikom v javni upravi je namreč za prenos velikih datotek na voljo storitev odložišča velikih datotek, ki jo ponuja ministrstvo za javno upravo.
Podatke so predolgo hranili
Podjetje EPPS je osebne podatke hranilo preko roka, določenega v dogovoru o posredovanju podatkov, saj bi ti morali biti uničeni takoj po njihovi uporabi za tisk, a so bili izbrisani šele 1. marca letos.
Številne prijave so se po ugotovitvah informacijskega pooblaščenca tako izkazale kot upravičene, saj upravljavci niso izvajali ukrepov za varnost obdelave, posamezniki pa o obdelavi niso bili ustrezno (pošteno in pregledno) obveščeni, kot to določa uredba o varstvu podatkov.
NIJZ se je izmikal postopku
V postopku je informacijski pooblaščenec na zavezance naslovil 11 pozivov in opravil štiri inšpekcijske oglede. »Posamezni zavezanci so zavajali s prilaganjem antidatirane dokumentacije ter poskušali prikrivati prejemnike povezave za dostop do datoteke z osebnimi podatki naslovnikov pisma, direktor NIJZ pa se je postopku ves čas izmikal,« so izpostavili.
Zaradi ugotovljenih nepravilnosti - torej neustreznega zavarovanja osebnih podatkov in nezagotavljanja sledljivosti ter prekoračitve roka hrambe - je informacijski pooblaščenec zoper odgovorne osebe že uvedel prekrškovni postopek.
