NIJZ je z osebnimi podatki ravnal skrajno malomarno!
Decembra 2021 je večina polnoletnih državljanov na dom prejela pismo, v katerem jih je premier Janez Janša pozval k cepljenju proti Covidu-19.
Informacijski pooblaščenec je v inšpekcijskem postopku ugotovil, da Nacionalni inštitut za javno zdravje, ki je upravljal z osebnimi podatki državljanov (imena, priimki in naslovi), ni poskrbel za ustrezno varnost osebnih podatkov ter ni pregledno in pošteno obveščal državljanov o obdelavi njihovih podatkov, kot to nareka GDPR.
Podatke o imenih in naslovih polnoletnih državljanov je NIJZ na zakonit način pridobil iz centralnega registra prebivalstva.
Kljub temu, da je Ministrstvo za javno upravo vzpostavilo lastno varno spletno odložišče velikih datotek (sovd.gov.si), ki ga lahko uporabljajo državne institucije, so pri NIJZ podatke v tisk poslali kar prek odložišča WeTransfer – zasebne družbe, registrirane na Nizozemskem, pri tem pa so uporabili brezplačno verzijo, ki ne omogoča nobene sledljivosti dostopov do podatkov.
Geslo in povezava za dostop do datotek s podatki sta bila posredovana uslužbencu pošte, ki za dostop do podatkov ni bil pooblaščen, podjetje, ki je izvedlo tisk, pa je podatke hranilo dlje od predvidenega roka.
Kljub številnemu kadru, finančnih sredstvih in že vzpostavljeni infrastrukturi pri NIJZ niso uspeli poskrbeti za najbolj osnovno varnost pri ravnanju z osebnimi podatki. V procesu pošiljanja pisem bi se lahko podatki zlahka znašli v napačnih rokah. Gre za skrajno malomarno početje.
Dotično pismo je v javnosti dvignilo veliko prahu, predvsem zaradi pošiljatelja in vsebine, posledično je Informacijskemu pooblaščencu bilo poslanih 153 prijav, ki so bile povod za uvedbo inšpekcijskega nadzora.
Koliko takšnih primerov malomarnega ravnanja z osebnimi podatki ostane nerazkritih, lahko le ugibamo. V svojem volilnem programu smo ravno zaradi pogostosti takšnih primerov predlagali tudi okrepitev urada Informacijskega pooblaščenca.
Vir: prt.si/ipnijz