Slo-Tech - Ker, kot pišemo že dve leti, pisarna informacijske pooblaščenke rešuje nove ugotovitve s področja varstva osebnih podatkov od primera do primera in nikoli ne pogleda milimetra levo ali desno, je ponovno čas za nov pregled dobrih praks s področja spoštovanja relevantne procesne zakonodaje (ZDavP, ZUP in GDPR v vsakokratnem agregatnem stanju).

Tokrat si za začetek oglejmo novo dognanje FURS, kjer so napredovali iz običajnega objavljanja davčnih številk in rojstnih datumov v kvalitetno zbirko vseh mogočih podatkov.


Da četrti odstavek 85. člena ZDavP določa: "Če je potrebno opraviti vročitev tako, da se dokument objavi na oglasni deski organa in na enotnem državnem portalu e-uprava, v skladu z zakonom, ki ureja splošni upravni postopek, se v primeru, če dokument vsebuje podatke, ki se štejejo za davčno tajnost, na oglasni deski organa in na enotnem državnem portalu e-uprava, namesto dokumenta objavi zgolj obvestilo o dokumentu, ki vsebuje osnovne podatke iz dokumenta, brez podatkov,...

Slo-Tech - Medtem, ko se pisarna Informacijske pooblaščenke že skoraj štirinajst dni trudi ugotoviti, kako točno bi morali na Slo-Techu predstaviti njihovo večletno inšpekcijsko prakso (glej sliko desno), pa slovenski državni aparat seveda ne spi (topla jesen preprečuje zimsko spanje) in zato navdušeno proizvaja nove primere, ki jih lahko analiziramo.


Tako so sedaj upravne enote ugotovile, da je za skladnost s slovensko zakonodajo s področja varovanja osebnih podatkov dovolj, da se na pravno podlago sklicuješ (branje ni potrebno).

Zakon o splošnem upravnem postopku namreč v svojem 96.a členu pravi, da v kolikor so izpolnjeni določeni pogoji, se objavijo nekateri podatki iz tretjega odstavka 96. člena ZUP. Ker branje seveda škodi in ker gre za pomembne podatke z razvoja prakse uporabe GDPR (ki bo v Sloveniji skorajda že dobila zobe -- morda celo letos) si poglejmo nekaj najboljših primerov:



Datum rojstva je v javni objavi seveda pomemben, ker kup podatkov iz 96. člena ZUP ne...

Slo-Tech - Na Slo-Techu smo v letu 2021 odkrili kvaliteten vir dobrih praks s področja varstva osebnih podatkov v obliki oglasne deske državne uprave. Ker smo štiri leta in pol po uveljavitvi Splošne uredbe o varstvu podatkov (GDPR) spet tik pred tem, da bomo v Sloveniji končno sprejeli potrebno zakonsko ureditev tega področja, ki bo prinesla nezanemarljive globe, je ponovno čas, da si pogledamo, kako je z uporabo predpisa v praksi (kar najbolj natančno kaže na politiko dela nadzornega / prekrškovnega organa).

Naš obstoječi Zakon o varstvu osebnih podatkov (pa tudi trenutni predlog popravka) je malce poseben, še posebej, če ga beremo skupaj z Ustavo (kot jo trenutno na primeru COVIDnih predpisov razlaga Ustavno sodišče). Oba akta zahtevata, da so obdelave osebnih podatkov določene v zakonu. In objava podatkov na spletni oglasni deski vsekakor je obdelava, prav takšna, ki mora biti določena v zakonu. Če beremo ZVOP, hitro ugotovimo, da mora biti določeno kateri podatki se obdelujejo, za...

Slo-Tech - Dobrih štirinajst dni je minilo od naše zadnje kavč inšpekcije. Ker je popolnoma nemogoče, da bi se v Republiki Sloveniji v pol leta kaj spremenilo, si tokrat oglejmo nova dognanja s področja varstva osebnih podatkov.



Center socialno delo Celje tako ugotavlja, da mu ni znano prebivališče oseb za katere v dani odločbi posoja denar za namen plačila bivanja v domu starejših občanov.

Finančni urad Brežice je ugotovil, da podatki iz 85. člena ZDavP-2 ne zadoščajo za javni linč davčnega zavezanca. Zaradi tega je potrebno objaviti še davčno številko in antedatirati čas objave na oglasni deski na januar.


Prav tako v Sloveniji obstaja policistka, ki ne plačuje davkov, hodi v službo, vendar je FURS drugače kot z javno objavo ni sposoben izslediti. Vsekakor pohvalno.


Podobno delamo tudi s prekrškarji, davčnimi dolžniki (tudi malo večjimi), sploh če slučajno kaj plačajo.

Še vedno niso problem podatki davčnih dolžnikov, ki se enkrat znajdejo na internetu - ko pobrišemo...

ECJ - Ponudnik spletne strani, ki uporablja Facebookov gumb »Všeč mi je«, se šteje za skupnega upravljavca osebnih podatkov, ki jih ameriški spletni velikan Facebook na ta način zbere o obiskovalcih njegove spletne strani. Je namreč tisti, ki se je odločil ta gumb postaviti na svojo spletno stran in s tem Facebooku pomagati pri zbiranju podatkov o obiskovalcih. Posledično ima iz tega naslova nekatere dolžnosti po predpisih o varstvu osebnih podatkov. Tako je ta teden razsodilo Sodišče Evropske unije v primeru nemške nevladne organizacije za zaščito uporabnikov interneta Verbraucherzentrale NRW proti nemškemu modnemu portalu in zagrizenemu uporabniku Facebookovih vtičnikov Fashion ID.

Facebook kot prednost pred konkurenco
Sodišče je v omenjenem primeru ugotovilo, da...

Slo-Tech - Zdravstveni dom Kamnik svojim pacientom olajšuje zdravljenje tudi z digitalizacijo. Kamničani tako lahko prek internetov naročijo tudi recepte. Pri tem morajo v spletni obrazec zapisati podatke, kot so datum rojstva, številko mobilnika, elektronsko pošto, ter seveda podrobnosti o receptu.



Ko vnesejo zahtevane informacije pritisnejo zelen gumb Naročam. Nevedoč, da ima dostop do vaših podatkov tudi Facebook.




Spletna stran aplikacije za recepte ima namreč vtičnik...

Slo-Tech - Spomladansko čiščenje slovenskih Internetov se nadaljuje

Na konferenci Hek.si, ki je potekala konec prejšnjega meseca, je bilo predstavljenih nekaj ranljivosti, ki so bile odkrite v začetku tega leta in o katerih smo poročali tudi na tem portalu. Osnovno sporočilo predstavitve je bilo, da je z nekaj malega iskanja oz. tim. “Google hackinga” na slovenskem spletu mogoče najti številne varnostne ranljivosti, zaradi katerih so ogroženi številni osebni podatki. In to kljub temu, da je v lanskem letu okrog GDPR vladala prava histerija, ki so jo pomagale ustvarjati in jo tudi izkoriščale predvsem nekatere odvetniške družbe, ki so seveda dobro služile z urejanjem dokumentacije, pisanjem pravilnikov in pripravo soglasij za obdelavo osebnih podatkov. Podjetja so nato varstvo osebnih podatkov dodobra uredila na papirju, da bi se pravila udejanila v praksi, pa nihče ni kaj dosti razmišljal.

Tokrat tako nadaljujemo s spomladanskim čiščenjem slovenskih Internetov.

Univerza v Mariboru

Kot nas...

Slo-Tech - O Informacijskem pooblaščencu (IP-ju) zadnje čase pišemo v zelo pozitivni luči, ker je postal bistveno bolj prijazen do domačih podjetij kot je bil prej. Kot že napisano, primer njihove trenutne najboljše prakse dovoljuje rabo spletnih piškotkov tudi brez predhodne privolitve obiskovalca oz. celo v primeru, da je uporabnik shranjevanje izrecno prepovedal. S to novo dobro prakso so razveselili številne upravljavce spletnih strani (tudi na primer Policijo, ki pa si je po naši objavi premislila in odločila za malo bolj konzervativno uporabo spletne analitike). Pravzaprav smo seznanjeni s še več drugimi državnimi organi in lokalnimi skupnostmi, ki piškotke že veselo uporabljajo na ta način, o čemer nameravamo pisati v kratkem. A to lahko še malo počaka, ker moramo...

Slo-Tech - Ko smo pred kratkim razkrili, da spletišče UKC Ljubljana, namenjeno naročanju pacientov na preglede preko spleta, ni uporabljalo HTTPS šifriranja, smo opozorili tudi na 14. člen Zakona o varstvu osebnih podatkov. Ta določa, da se “pri prenosu občutljivih osebnih podatkov preko telekomunikacijskih omrežij šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom.” UKC Ljubljana je po našem opozorilu na svoje spletišče namestil HTTPS šifriranje, sicer popolnoma neustrezno, a vendarle.

Kako pa je z ostalimi zdravstvenimi ustanovami?

Problema uporabe kriptografskih metod pri...