Je problem, da podatki javnih uslužbencev romajo čez lužo?

Varnostno tveganje: Opozorilo o morebitni spornosti izvoza podatkov je šlo tudi na urad vlade za varovanje tajnih podatkov

Objavljeno
05. november 2019 06.00
Posodobljeno
05. november 2019 06.00
V EU je vzpostavljen eden najbolj zaščitnih sistemov, kjer je pravica do varstva osebnih podatkov ena temeljnih pravic, v ZDA pa je to področje manj urejeno. Še več, do osebnih podatkov iz EU imajo dostop ameriški obveščevalci. FOTO: Voranc Vogel
V informacijskih krogih problematizirajo dejstvo, da so strežniki, na katerih so osebni podatki slovenskih javnih uslužbencev, torej tudi obveščevalcev, vojakov, policistov in drugih, za katere Modra zavarovalnica opravlja storitve dodatnega pokojninskega zavarovanja, v tujini. Opozarjajo tudi na problematičnost samega prenosa podatkov vse do ZDA. Kakšno varnostno tveganje je to, če velja, da so imena zaposlenih na Sovi strogo varovan podatek?

Dostopno ameriškim obveščevalcem
Nataša Pirc Musar je dovoljenje pred sedmimi leti izdala na temelju tedaj veljavnega sporazuma Varni pristan, ki ga je sodišče EU razveljavilo, saj ga je ocenilo kot neustreznega. Omenjeni sporazum med EU in ZDA je sicer nadomestil novi, ki pa z določenimi omejitvami ameriškim obveščevalnim službam z določenimi omejitvami še vedno dopušča dostop do osebnih podatkov iz EU.


Na vprašanje, ali podatke o svojih zavarovancih resnično hranijo v tujini, torej tudi na strežnikih prek Atlantika, v Modri zavarovalnici niso konkretno odgovorili. Prav tako ne, ali so jih v zadnjem času prenesli v kakšno drugo državo. »Za izvajanje storitve dodatnega pokojninskega zavarovanja javnih uslužbencev podatke hranimo v sodobnem in ustrezno zaščitenem sistemskem računalniškem prostoru naše nadrejene družbe. V ta namen imamo s Kapitalsko družbo sklenjeno pogodbo o upravljanju storitev na področju informacijske tehnologije. Predmet pogodbe so tudi vse aktivnosti vzdrževanja strojne opreme. Z izvajanjem pogodbenih storitev Kapitalske družbe smo zadovoljni, dosegamo visoko raven varnosti hrambe podatkov,« so nam sporočili.
 

Ujeta pestra izbira osebnih podatkov


275.572

zavarovancev ima Modra zavarovalnica


Z računalniškimi strokovnjaki smo sledili poti podatkov in ugotovili, da so strežniki, prek katerih hrani podatke Modra zavarovalnica, res v tujini. Ponudnik storitev, ki jih uporablja za svoj monopolni posel upravljanja pokojninskega denarja javnih uslužbencev, je tako na enem mestu »ujel« zelo pestro izbiro osebnih podatkov najbolj zanimive državotvorne strukture slovenskega državnega aparata (policistov, vojakov, Sove, pravosodnih policistov, uslužbencev finančne uprave ...) ter tudi vladnih uradnikov in uslužbencev ministrstev ter javnih agencij...

image
INFOGRAFIKA: Delo


Ti podatki so lahko zanimivi za različne obveščevalno-varnostne skupnosti. »Naša država 'žvižgačev' torej sploh ne potrebuje, saj za to poskrbi povsem nepotrebna državna zavarovalnica,« je komentiral Frančišek Verk, predsednik Sindikata državnih organov.

Boštjan Perne, nekdanji direktor Obveščevalno varnostne službe ministrstva za obrambo, se strinja, da je varnostno občutljive podatke vselej bolje hraniti doma. In še, poudarja, nobena, tudi kriptirana rešitev, ni stoodstotno varna.

image
Nataša Pirc Musar FOTO: Gorazd Kavčič
Nataša Pirc Musar
nekdanja informacijska pooblaščenka
Konkretne odločitve glede Modre zavarovalnice se ne spomnim. Varni pristan je bil na Sodišču EU razveljavljen, nadomestil ga je Zasebnostni ščit. Podjetja, ki so v njem, lahko prenašajo podatke iz Evrope družbam v ZDA, ki sprejemajo evropske standarde varstva osebnih podatkov. Če je Modra zavarovalnica dobila odločbo za iznos podatkov v tretje države po Varnem pristanu, informacijska pooblaščenka po uradni dolžnosti tega ne preverja več. Upravljalec mora skrbeti, da je podjetje zunaj EU član Zasebnostnega ščita. Če izstopi, z njim ne bi smeli več podpisovati pogodb.


Modra zavarovalnica, ki je v lasti Kapitalske družbe, ta pa v lasti države, podatke »izvaža« in obdeluje na drugem koncu sveta. Kot navajajo naši sogovorniki, so zato uradu vlade za varovanje tajnih podatkov že poslali pobudo za inšpekcijski nadzor, prek katerega bi lahko dobili odgovore na dileme, vendar se po njihovih informacijah nanjo ni nihče odzval.

»Naša država 'žvižgačev' torej sploh ne potrebuje, saj za to poskrbi povsem nepotrebna državna zavarovalnica,«
Frančišek Verk, predsednik Sindikata državni organov. 


Zakonodaja je glede varovanja osebnih podatkov razmeroma stroga. Če gre za podatke, ki ostajajo v EU, zanje velja splošna uredba o varstvu podatkov (GDPR), ki je bila implementirana lani. Glede prenosa podatkov v tretje države pa je zakonodaja malce bolj stroga – upravljalec zbirke osebnih podatkov mora pridobiti odločbo državnega nadzornega organa, pred tem pa mora izkazati pravni interes.

image
Boštjan Perne FOTO: Osebni Arhiv
Boštjan Perne
nekdanji direktor OVS
Gre za varnostno tveganje samo po sebi, je pa pomembno, kako podatki iz baz in dnevne obdelave potujejo na strežnike v tujino in nazaj. Tudi če so podatki med potjo kriptirani, noben kod ni stoodstotno varen, tudi noben strežnik. Zato je dobro imeti občutljive strežnike oziroma podatke na teh strežnikih doma. Omeniti je treba še, da je glavni ponudnik storitev telefonije za državno upravo, torej tudi vlado, Sovo in poslance pri nas družba A1, ki ima večino strežnikov v Avstriji oziroma del prometa teče prek Avstrije.


Modra zavarovalnica je junija leta 2012 od tedanje informacijske pooblaščenke Nataše Pirc Musar to dovoljenje dobila, saj je presodila, da ZDA zagotavljajo ustrezno raven varstva osebnih podatkov v delu, ko gre za prenos osebnih podatkov organizacijam, ki delujejo po načelih (zdaj že neveljavnega) sporazuma Varni pristan.

Med temi je bil tudi Salesforce, ki Modri zavarovalnici zagotavlja informacijske rešitve za podporo upravljanju odnosov s strankami. Varni pristan je bil nato razveljavljen s sodbo Sodišča EU, odločitev pa je bila pričakovan odgovor na razkritja Edwarda Snowdna o programih množičnega nadzora, ki jih uporabljajo ameriške obveščevalne službe in s katerimi lahko neovirano dostopajo do osebnih podatkov iz EU, prenesenih v podjetja na območju ZDA.

Informacijski strokovnjaki opozarjajo na izvoz osebnih podatkov v ZDA.
Zavarovalnica upravlja s podatki vseh zaposlenih v javnem sektorju.
Urad za varstvo tajnih podatkov se na pobudo za nadzor ni odzval.


Frančišek Verk iz Sindikata državnih organov Slovenije je z "izvozom" podatkov javnih uslužbencev v ZDA seznanjen na nenavaden način. "Nanj me je opozoril že pred časom kolega iz obveščevalnih krogov, ki se mu zdi to nesprejemljivo," pravi sindikalist. Ne verjame, da so vsi osebni poimenski podatki o zaposlenih v javnem sektorju, ki jih - po neuradnih podatkih kriptirane - prenašajo čez Atlantik, varni.