Osebni podatki prebivalcev za Janševo pismo kar prek WeTransferja

Ko je Janez Janša lani decembra vsem polnoletnim prebivalcem poslal pismo s pozivom k cepljenju, je med nekaterimi prejemniki završalo, ker ni bilo jasno, od kod so bili pridobljeni osebni podatki prejemnikov in kako se je z njimi ravnalo. Inšpekcijski nadzor, ki ga je sedaj zaključil Informacijski pooblaščenec, je dognal malomarno ravnanje, saj so osebne podatke pošiljati kar prek WeTransferja.

Inšpekcijski nadzor je spričo 153 prijav sprva tekel zoper Kabinet predsednika vlade, kasneje pa tudi zoper Nacionalni inštitut za javno zdravje (NIJZ), Pošto Slovenije in Elektronsko pismo Pošte Slovenije (EPPS). Podatke o polnoletnih prebivalcih Slovenije so črpali iz Centralnega registra podatkov o pacientih (CRPP), ki ga upravlja Nacionalni inštitut za javno zdravje (NIJZ).

V nadzoru niso odkrili, da bi bili podatki kadarkoli poslani v Kabinet. Pravna podlaga za obdelavo podatkov je obstajala – epidemiološke razmere so tudi po GDPR dovoljena uporaba – a je bila obdelava neustrezno varovana. Med drugim je EPPS podatke poslal kar prek WeTransferja, in sicer prek brezplačne različice. Ta ne omogoča sledljivosti dostopa, med prejemniki povezave da dostop pa so bili uslužbenci Pošte Slovenije, ki v dogovoru sploh ni bil upravičen do podatkov.

Iz Nizozemske, kjer ima WeTransfer sedež, so sporočili, da nepooblaščenega dostopa do podatkov ni bilo, saj je datoteko snel le uslužbenec, ki je podatke pripravil za tisk. Vseeno je uporaba WeTransferja neprimerna, sploh ker že imamo ustrezno rešitev, ki se imenuje Storitev odložišča velikih datotek (SOVD). EPPS podatkov tudi ni pravočasno pobrisal. Prav tako pošiljatelj ni pravočasno obvestil ljudi, kako se njihovi osebni podatki obdelujejo. Tudi na novinarska vprašanja je Kabinet sprva odgovarjal neinformativno. Direktor NIJZ se je postopku ves čas izmikal, drugi preiskovanci pa so zavajali z antedatiranjem dokumentov ter prikrivanjem dokumentacije, je še odkril Informacijski pooblaščenec.