RAZKRITO: Slovenija je v šoku! Poglejte kaj naj bi počel Milan Krek: Hude obtožbe na račun prvega moža NIJZ…
Informacijski pooblaščenec (IP) je po zaključku inšpekcijskega postopka, glede obdelovanja osebnih podatkov prejemnikov pisma predsednika vlade v povezavi s cepljenjem proti covidu 19, sporočil:
”Ugotovljenih je več nepravilnosti glede varnosti osebnih podatkov, zato je IP že uvedel prekrškovni postopek. IP pa ni našel dokazov, da bi se z osebnimi podatki prejemnikov pisma seznanil predsednik vlade oziroma njegov kabinet.”
Že decembra so prejeli kar 153 prijav suma nezakonite obdelave osebnih podatkov pri pošiljanju omenjenega pisma.
Najprej so inšpekcijski postopek uvedli zoper kabiner predsednika vlade RS.
Podatki naslovnikov so bili pridobljeni iz Centralnega registra podatkov o pacientih, katerega upravljalec je NIJZ.
Na podlagi pridobljenih dokazov in informacij je bil nato postopek uveden še zoper podjetji EPPS in Pošto Slovenije.
”Obdelovali so se osebni podatki polnoletnih uporabnikov zdravstvenih storitev s stalnim ali začasnim prebivališčem v Sloveniji na dan 19. 12. 2021, ki so bili pridobljeni iz CRPP in katerih upravljavec je NIJZ. NIJZ je za obdelavo izkazal pravno podlago iz člena 6(1)(e) Splošne uredbe o varstvu podatkov (GDPR). Pojasnil je, da je bila situacija zaradi bolezni COVID-19 takrat zelo slaba, zato se je trudil zvišati stopnjo precepljenosti, kar je vodilo v odločitev, da se vse polnoletne ponovno povabi k cepljenju s personaliziranim pismom predsednika Vlade RS, ki naj bi zaradi podpisnika imelo večjo težo.”
IP pa v postopku ni našel dokazov, da bi bili osebni podatki naslovnikov pisma kadarkoli posredovani kabinetu predsednika vlade RS.
”Ne glede na izkazano pravno podlago pa je postopek pokazal, da ni bilo ustrezno poskrbljeno za varnost osebnih podatkov. Po prejemu izpisa iz CRPP je namreč pogodbeni obdelovalec NIJZ osebne podatke odložil v spletno odložišče WeTransfer in pri tem uporabil brezplačno verzijo, ki pa praktično ne omogoča nobene sledljivosti dostopov do podatkov. Datoteka na spletni povezavi WeTransfer, ki je vsebovala osebne podatke naslovnikov pisma (ime, priimek, naslov), je sicer bila zaščitena z geslom, a sta bila povezava in geslo za dostop poslana več osebam, med drugim tudi uslužbencu Pošte Slovenije d.o.o., ki v dogovoru o posredovanju podatkov, sklenjenim med NIJZ, KPV in EPPS d.o.o., sploh ni bil določen kot prejemnik povezave in gesla. Ker je družba WeTransfer ustanovljena na Nizozemskem, je IP v okviru mehanizma sodelovanja na podlagi GDPR za pomoč zaprosil nizozemski nadzorni organ in ugotovil, da je do datoteke dostopal le uslužbenec podjetja EPPS d.o.o., ki je podatke prenesel zaradi priprave za tisk. Domnevno nepooblaščeni dostopi do datoteke z osebnimi podatki naslovnikov preko spletne povezave WeTransfer torej niso bili potrjeni, vseeno pa se odločitev upravljavca, da za prenos baze vseh polnoletnih uporabnikov zdravstvenih storitev izbere tujega spletnega ponudnika storitev preko brezplačne verzije, zdi vsaj nenavadna. Uporabnikom v javni upravi je namreč za prenos velikih datotek na voljo storitev odložišča velikih datotek (SOVD), ki jo ponuja MJU.”
Ugotovili pa so tudi, da je podjetje EPPS osebne podatke hranilo prek roka, določenega v dogovoru o posredovanju podatkov.
Ti pa bi morali biti uničeni takoj po njihovi uporabi za tisk.
Izbrisani pa so bili šele prvega marca letos.
”Številne prejete prijave so se tako izkazale kot upravičene, saj upravljavci niso izvajali ukrepov za varnost obdelave, posamezniki pa o obdelavi niso bili ustrezno (pošteno in pregledno) obveščeni kot to določa člen 14 GDPR. Prav nepravočasno in nepravilno informiranje prejemnikov pisma o obdelavi njihovih osebnih podatkov, je pri njih upravičeno vzpostavilo dvom v zakonitost obdelave, kar je vodilo v večje število prijav in odklonilen odnos posameznikov do pisma.”
Prvi mož NIJZ Milan Krek naj bi se postopku ves čas izmikal.
”V postopku je IP na zavezance naslovil kar 11 pozivov in opravil štiri inšpekcijske oglede. Posamezni zavezanci so zavajali s prilaganjem antidatirane dokumentacije ter poskušali prikrivati prejemnike povezave za dostop do datoteke z osebnimi podatki naslovnikov pisma, direktor NIJZ pa se je postopku ves čas izmikal. Zaradi ugotovljenih nepravilnosti – torej neustreznega zavarovanja osebnih podatkov in nezagotavljanja sledljivosti ter prekoračitve roka hrambe, je IP zoper odgovorne osebe že uvedel prekrškovni postopek.”
Slovenske novice poročajo o odzivu iz Nacionalnega inštituta za javno zdravje.
Pravijo, da se direktor NIJZ postopku ni izmikal:
”Zaposleni in pristojne službe NIJZ so ves čas postopka (od januarja do maja 2022), tako kot vedno, tvorno sodelovali z Informacijskim pooblaščencem (IP) in tudi pojasnili okoliščine postopka. Poleg tega je IP ugotovil, da pravna podlaga za pošiljanje vabila na cepljenje ni sporna. NIJZ se je odzval na vse pozive, ki jih je prejel od IP.”
Dodali so še, da je Krek udeležbo na sestanku, na katerem so sodelovali tudi ostali zaposleni, vključeni v postopek, moral zaradi drugih neodložljivih obveznosti odpovedati.
