Slo-Tech - Tudi te dni smo, kot že nekaj tednov pregledovali oglasno desko eUprave. Današnji zapis je še en v seriji našega raziskovanja prakse pri uporabi Splošne uredbe o varstvu podatkov pri nas. GDPR je takšna zanimiva uredba, ki je posegla v vse pore upravnega poslovanja naše države. Kot kažejo naši članki, ni z objavami osebnih podatkov popolnoma nič narobe, dokler se objavlja osebne podatke epsilonov in gam.

Informacijski pooblaščenec te lapsuse potihoma, brez uvedbe inšpekcijskega postopka, odpravlja. Enostavno pokliče institucijo in ji predlaga, da sama, prostovoljno, pobriše objave, seveda pod grožnjo uvedbe postopka. Če je stvar res ekscesna, naš nadzorni organ morda objavi kakšen poziv preostali javni upravi, naj pri svojem delovanju ne bo tako zelo očitna.

Pa si na primeru hitro opravljene kavč inšpekcije oglejmo nekaj primerov razredov posameznikov, za katere se GDPR ne uporablja:

• brezposelni, ki se ponesreči uspejo zaposliti - pri tovrstnih primerih je pomembno, da se...

Slo-Tech - Tudi te dni smo, kot že nekaj tednov pregledovali oglasno desko eUprave. Današnji zapis je še en v seriji našega raziskovanja prakse pri uporabi Splošne uredbe o varstvu podatkov pri nas. GDPR je takšna zanimiva uredba, ki je posegla v vse pore upravnega poslovanja naše države. Kot kažejo naši članki, si jo več ali manj vsi razlagajo nekoliko drugače od organa, ki je pri nas zadolžen za varstvo osebnih podatkov - Informacijskega pooblaščenca.

Primerom, ki smo jih opisali v naših člankih je skupno to, da so različni upravni organi na elektronski oglasni deski na spletnih straneh eUprave objavili celotne odločbe. Objava na oglasni deski je nadomestilo za osebno vročitev, ki je iz kakšnega razloga ni mogoče izvesti. Najpogostejši razlog je v tem, da se oseba preseli, pri tem pa upravnemu organu ne sporoči novega naslova. Ko pošta pošiljko vrne s pripisom “preseljen”, organ opravi nadomestno vročitev z nabitjem na fizično oglasno desko in z obvestilom o objavi na spletni oglasni...

Slo-Tech - V prejšnjih nekaj člankih v seriji smo se učili o uporabi Splošne uredbe o varstvu podatkov v praksi na primeru spletne oglasne deske eUprave. Naleteli smo namreč na nekaj primerov objav, ki na prvi pogled izgledajo povsem normalne za oglasno desko državne uprave, vendar nas je Informacijska pooblaščenka skozi svoje nadzore in ukrepe (brisanje objav) poučila o bolj finih niansah zakonitosti obdelav osebnih podatkov.

Skozi članke smo se naučili nekaj malega o splošnem upravnem postopku, predvsem o tako imenovani nadomestni vročitvi; zdaj tako razlikujemo med objavo obvestila o dokumentu in objavi celotnega dokumenta. Načeloma naj bi se po ZUP na spletni oglasni deski objavilo le obvestilo, enako tudi v davčnem postopku po ZDavP-2, pa se tega vsaj nekateri organi niso držali.

No, po nekaj naših vprašanjih in objavah je IP opravil temeljit inšpekcijski nadzor in počistil oglasno desko. To je naredil vsaj trikrat. In zdaj je oglasna deska čista, ostale so le zakonite objave. A ne?...

Slo-Tech - Vse dosedaj smo mislili, da so določila GDPR "all inclusive" - da pravica do varstva osebnih podatkov pripada vsakemu posamezniku, ne glede na njegovo državljanstvo (ali pomanjkanje tega). Tak vtis vsaj daje branje uvodnih stavkov uredbe, kjer denimo piše, da bi »načela in pravila o varstvu posameznikov pri obdelavi njihovih osebnih podatkov morala ne glede na njihovo državljanstvo ali prebivališče zagotavljati spoštovanje temeljnih pravic in svoboščin posameznikov« in da naj bi se »varstvo, zagotovljeno s to uredbo, moralo uporabiti za obdelavo osebnih podatkov posameznikov, ne glede na njihovo državljanstvo ali prebivališče«.

Zato smo bili toliko bolj presenečeni nad praksami nekaterih državnih organov, ki očitno mislijo, da beguncem ta pravica ne pripada, tako da lahko nadaljujejo z masovnim objavljanjem njihovih osebnih podatkov na oglasni deski e-uprave.

Spomnimo: v nedavnem nizu člankov smo večkrat opozorili na zanimive prakse nekaterih državnih organov, ki so se v primeru...

Slo-Tech - Finančna uprava Republike Slovenije (FURS) se očitno ni zadovoljila s pojasnili Informacijske pooblaščenke, da pri nadomestnem vročanju ni dovoljeno objaviti kar celih odločb, z imeni, davčnimi številkami, opisi kršitve in vsem ostalim kar gre zraven.

Včeraj sta tako kar dve izpostavi FURS na oglasni deski e-Uprave objavili svoja sklepa o davčni izvršbi zoper isto osebo - Aneliyo E. S., ki je očitno pred časom živela v Slovenski Bistrici. Izpostava v Murski Soboti bi od nje rada 270€ + stroške, Mariborska pa kar 5335€.

Ko FURSovi uradniki pripravljajo objave teh podatkov pogledajo v Zakon o davčnem postopku in Splošno uredbo o varstvu podatkov. Zakon o davčnem postopku v 85. členu določa, da se namesto dokumenta objavi zgolj obvestilo o dokumentu, ki vsebuje osnovne podatke iz dokumenta, brez podatkov, ki se štejejo za davčno tajnost. V obvestilu se navede osebno ime, letnico rojstva, oziroma firmo zavezanca za davek, njegov naslov, opravilno številko in datum...

Slo-Tech - Da slovenski državni organi bistveno premalo, oziroma praktično nič, ne vlagajo v informacijsko varnost, vemo že dolgo časa. To priznavajo tudi strokovnjaki iz državne uprave sami.

Včasih se na dobronamerna opozorila organi (napol) odzovejo šele čez leta, včasih pa tistega, ki jih opozori na lastne napake kar ovadijo. Tako je bilo zgolj vprašanje časa, kdaj bo sledila kakšna večja katastrofa epskih razsežnosti.

In ta se je tokrat pripetila AJPESu. AJPES, ali Agencija RS za javnopravne evidence in storitve, ima namreč na nedavno prenovljeni spletni strani varnostno ranljivost z resnimi posledicami. Gre za ranljivost, kjer je s pomočjo SQL vrivanja iz zalednih podatkovnih baz mogoče pridobiti tudi tiste podatke, ki preko strani sicer niso dosegljivi. Kot kaže,...