Neavtorizirana uporaba gesla za glasovanje

Datum

18.10.2024

Številka

07121-1/2024/1285

Kategorije

Elektronska pošta, Varnost osebnih podatkov, Inšpekcijski postopki

Pri Informacijskem pooblaščencu (IP) smo dne 13. 10. 2024 prejeli vaše zaprosilo za mnenje o možnem ravnanju v zvezi z dogodkom v visokošolski izobraževalni organizaciji. Prek e-pošte ste prejeli vabilo na glasovanje na seji senata prek informacijske rešitve tujega ponudnika, naslednji dan pa potrditveno e-pošto, da ste glasovali, čeprav tega v resnici niste izvedli. Menite, da je nekdo glasoval namesto vas. Preverili ste vaš gmail račun, kjer ni bilo vdora. Od izobraževalne organizacije ste dobili le obvestilo, da gre za napako. Od upravljavca aplikacije pa še niste prejeli dokončnega odgovora, ker se izobraževalna organizacija ni odzvala na njihovo poizvedovanje. Ne želite osebnega izpostavljanja.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno s 5. točko prvega odstavka 55. člena Zakona o varstvu osebnih podatkov (Uradni list RS, št. 163/22, ZVOP-2), 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (Splošna uredba), 76. člena Zakona o varstvu osebnih podatkov na področju obravnavanja kaznivih dejanj (ZVOPOKD) ter 2. členom Zakona o informacijskem pooblaščencu (ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašim vprašanjem.

Ker v konkretnem primeru ni jasno, kaj je bil konkretni vzrok (npr. tehnična napaka, vdor v sistem, zloraba gesla, odgovornost na strani ponudnika, na strani naročnika ali na strani tretje osebe) za nepooblaščeno glasovanje ali za prejem obvestila o glasovanju, kako se je to zgodilo ter kakšni so bili učinki dogodka, se IP ne more konkretno in dokončno opredeliti niti do tega, ali gre sploh za problematiko varstva osebnih podatkov in ali bi IP lahko bil pristojen za nadzor.

Tudi sicer se lahko IP opredeljuje do konkretnih primerov obdelave osebnih podatkov le v nadzornem postopku. Če se boste dokopali do konkretnih podrobnosti dogodka in boste mnenja, da je prišlo do nezakonite obdelave vaših osebnih podatkov, lahko pri IP vložite prijavo.

Obrazložitev

Pri vložitvi prijave si lahko pomagate z enotno vlogo (obrazec VOP prijava) na tej povezavi: https://www.ip-rs.si/obrazci/varstvo-osebnih-podatkov/.

Opozarjamo tudi:

-da usmerjenega nadzora glede konkretnega dogodka ni možno izvesti brez, da bi bili v določeni meri izpostavljeni tudi vi oziroma vaš primer;

-da je upravljavec konkretne informacijske rešitve iz Kanade, kar lahko predstavlja oviro pri realizaciji ter učinkih nadzora, kljub določbi drugega odstavka 3. člena Splošne uredbe, ki se nanaša na ozemeljsko veljavnost Splošne uredbe.

Če gre za incident, ki je imel dejanske in pomembne posledice na vaše pravice, bi moral odgovorni upravljavec obvezno in avtomatično poročati o dogodku tudi IP, in sicer na podlagi 33. člena Splošne uredbe. Upravljavca lahko tudi vprašate, ali je o tem že poročal.

Prijazen pozdrav.

Pripravil

dr. Urban Brulc, univ. dipl. prav., samostojni svetovalec IP

dr. Jelena Virant Burnik, informacijska pooblaščenka