Kako so se predsedniku KPK maščevale kravje kupčije z informacijsko pooblaščenko

Predsednik protikorupcijske komisije Boris Štefanec ni pripravljen stati za svojimi dejanji. Informacijska pooblaščenka Mojca Prelesnik pa je to spretno izkoristila.

Branje tega prispevka vam bo vzelo približno deset minut.

Shod v podporo nekdanjemu senatu protikorupcijske komisije, ko ga je vodil Goran Klemenčič, decembra 2013. Na mesto predsednika KPK je leta 2014 Borut Pahor imenoval Borisa Štefaneca. Foto: MZaplotnik/Wikipedia
Shod v podporo nekdanjemu senatu protikorupcijske komisije, ko ga je vodil Goran Klemenčič, decembra 2013. Na mesto predsednika KPK je leta 2014 Borut Pahor imenoval Borisa Štefaneca. Foto: MZaplotnik/Wikipedia

Kot je znano, je konec februarja informacijski pooblaščenec bivšega in sedanjega predsednika Komisije za preprečevanje korupcije (KPK) Gorana Klemenčiča in Borisa Štefaneca ter generalno direktorico uprave za javna plačila Aleksandro Miklavčič oglobil zaradi neupravičenega posredovanja oziroma pridobivanja številk transakcijskih računov (TRR) fizičnih oseb, katerih transakcije so bile zabeležene pri upravi za javna plačila.

KPK podatke o transakcijskih računih rabi zaradi aplikacije Supervizor. S pomočjo številk TRR pravnih oseb Supervizor ločuje nakazila na navadne in fiduciarne račune odvetnikov in notarjev. Odvetniki in notarji so namreč pri svojem delu dolžni uporabljati fiduciarne račune – gre za posebne transakcijske račune, na katerem odvetniška ali notarska družba ločeno od poslovnega računa zbira sredstva svojih strank. Analiza transakcijskih računov odvetniških družb, ki jo je KPK izvedla leta 2014, je identificirala 235 odvetnikov, ki niso imeli odprtega fiduciarnega računa, niti niso poslovali preko fiduciarnega računa, kar je v nasprotju z zakonom.

Prikaz številk transakcijskih računov pravnih oseb, na katere podjetja prejemajo nakazila, je bil v Supervizorju uveden na pobudo nekaterih upnikov, ki so jih dolžniki izigravali tako, da so svoje poslovanje preusmerili na tiste transakcijske račune, ki niso bili blokirani. A uporabni niso samo transakcijski računi poslovnih subjektov, pač pa tudi transakcijski računi fizičnih oseb.

Na podlagi analize transakcijskih računov fizičnih oseb je KPK v letu 2015 aplikacijo Supervizor nadgradila tako, da je prikazovala izplačila visokih avtorskih honorarjev, kar je “odneslo” tedanjo ministrico za izobraževanje Stanislavo Setnikar Cankar (ministrica je kasneje proti KPK prek svoje pooblaščenke Nataše Pirc Musar vložila tožbo, a jo je na prvi stopnji izgubila). To je bila očitno kaplja čez rob in s to objavo so se pravzaprav začele “težave” Supervizorja z informacijskim pooblaščencem.

Dejstvo namreč je, da bi bilo s pomočjo številk transakcijskih računov fizičnih oseb mogoče odkriti še marsikatere druge sistemske nepravilnosti – na primer nepravilnosti pri izplačevanju socialnih pomoči, potnih stroškov, izplačila pokojnin mrtvim osebam itd. Pri tem je pomembno poudariti, da za tovrstne analize zadostuje samo identifikacijska številka transakcijskega računa, brez konkretnih identifikacijskih podatkov (imen, priimkov in davčnih številk) fizičnih oseb, ki so lastniki teh računov. Omenjene analize brez identifikacijskih podatkov sicer ne bi identificirale konkretnih oseb, bi pa pokazale na obseg problematike in dale osnovo za podrobnejše analize in začetek ustreznih usmerjenih preiskovalnih postopkov. Teh dodatnih analiz zdaj zaradi odločitve informacijske pooblaščenke ne bo mogoče izvesti.

Informacijski pooblaščenec je takoj po izdaji prekrškovnih sankcij za medije pohitel z izjavo, da “je šlo za neselektivno posredovanje vseh številk TRR, ki so se beležile pri UJP,” ter da je bilo ugotovljeno, “da zoper večino posameznikov, katerih številke TRR je pridobivala, KPK sploh ni bila pristojna voditi nobenih postopkov ali jih drugače obravnavati v postopkih iz svoje pristojnosti (npr. upokojenci, prejemniki odškodnine zaradi okužbe z virusom HIV)”. Informacijski pooblaščenec je nadalje še navedel, da so bili zabeleženi tudi transakcijski računi posameznikov, “ki so na račune proračunskih uporabnikov izvajali vplačila (npr. davkoplačevalci)”.

O kakovosti opravljenega inšpekcijskega nadzora informacijskega pooblaščenca sicer težko sodimo, a vsaj nekaj od navedenega zagotovo ne drži. Konkretno se iz finančnih transakcij države ne vidi prejemnikov odškodnine zaradi okužbe z virusom HIV. Izplačevanje omenjenih odškodnin, ki poteka na podlagi zakona o povrnitvi škode osebam, okuženim z virusom HIV zaradi transfuzije krvi ali krvnih pripravkov (ZPŠHIV), poteka preko ministrstva za zdravje, vendar na način, da odškodnine niso nakazane neposredno na osebne transakcijske račune prejemnikov. Vsa plačila so izvedena preko posrednika, in sicer na način, da izplačevalec oziroma računovodska služba na ministrstvu za zdravje ne ve, kdo so končni prejemniki, posrednik pa ne ve, za kakšen namen so bila finančna sredstva nakazana končnim prejemnikom. Sistem izplačevanja odškodnin zaradi okužbe z virusom HIV je nekoliko zapleten – pravzaprav gre za precej sofisticirano obliko (zakonitega!) “pranja denarja” – bistveno pa je, da je tovrstno izplačevanje izvedeno tako, da so finančne transakcije čim bolj anonimne. Podrobnosti tega sistema sicer ne bomo javno razlagali, ima pa informacijski pooblaščenec vse možnosti, da se o tovrstnem sistemu podrobno pozanima in preneha z zavajanjem javnosti.

Prav tako ne drži navedba informacijskega pooblaščenca, da so se v Supervizorju nahajali podatki o plačilih in vračilih davkov. Gre za podatke z oznako davčna tajnost in teh podatkov Supervizor nikoli ni vseboval. Podatki so bili sicer na voljo preko API vmesnika uprave za javna plačila, vendar se nikoli niso zapisovali v bazo. O tem je v času, ko je za Supervizor skrbel Primož Bratanič, obstajala tudi ustrezna revizijska sled.

Ali so bile opisane netočnosti v izjavi informacijskega pooblaščenca zgolj napaka, malomarnost ali pa morda celo namerno zavajanje javnosti, pa je vprašanje za informacijsko pooblaščenko Mojco Prelesnik osebno.

A pustimo ob strani (zaenkrat še domnevne) napake in nebuloze, ki jih je informacijski pooblaščenec zapisal v svoji odločbi – o zadevi bo presojalo sodišče, saj je Goran Klemenčič za medije potrdil, da se bo na odločbo pritožil. Posebej zanimivo bo zlasti vprašanje, ali so transakcijski računi lahko osebni podatek, čeprav niso povezani z imeni posameznikov. Uprava za javna plačila je namreč KPK v primerih fizičnih oseb posredovala le številko transakcijskega računa, proračunskega uporabnika, ki je denar nakazal na ta račun, datum transakcije ter znesek in namen plačila. Imen in priimkov prejemnikov in njihovih davčnih številk pa v primeru fizičnih oseb ni posredovala. Zato se upravičeno postavlja vprašanje, ali je lahko zgolj neka številka (!) brez kakršnihkoli drugih identifikacijskih podatkov in brez povezave s konkretno osebo, res osebni podatek, ki zahteva pravno varstvo? Kot rečeno bo o tem odločalo sodišče in sodba bo precedenčna.

Zanimiv detajl zgodbe

V tokratnem prispevku bomo raje izpostavili zanimiv detajl, ki kaže na zanimiv modus operandi aktualnega predsednika KPK Borisa Štefaneca in informacijske pooblaščenke Mojce Prelesnik.

Po objavi novice o izrečeni prekrškovni sankciji je KPK pohitela z izjavo za javnost. V relativno ostri izjavi so zapisali:

Po mnenju komisije se za skrbjo za zasebnost skriva predvsem poskus zmanjševanja transparentnosti delovanja javnega sektorja. Pri tem smo od razkritja podatkov o zaslužkih iz avtorskih in podjemnih pogodb na eni strani priča novim razkritjem nepravilnosti pri izplačevanju različnih dodatkov, na drugi strani pa pritisku posameznikov, da se ta transparentnost odpravi, tudi tako, da se komisiji omeji dostop do podatkov, ki ga sicer ves čas izvaja povsem skladno z zakonom.

Na to izjavo se je še isti dan odzval informacijski pooblaščenec, ki je na svoji spletni strani zapisal:

Da se je KPK zavedala nezakonitosti svojega ravnanja, izhaja tudi iz dejstva, da je v celoti izvršila inšpekcijsko odločbo IP in prenehala s takšnim splošnim in neselektivnim pridobivanjem transakcijskih računov ter v skladu z odločbo iz svojih baz tudi izbrisala vse nezakonito pridobljene številke transakcijskih računov. Prav v ta namen je KPK z UJP posledično tudi sklenila nov Sporazum o izmenjavi podatkov, ki pa transakcijske račune posameznikov (pravilno) iz posredovanja izvzema.

Zanimivo je, da KPK zoper inšpekcijsko odločbo, s katero ji je bilo naloženo brisanje transakcijskih računov, tudi ni sprožila upravnega spora, čeprav je to možnost imela, pač pa je inšpekcijsko odločbo informacijskega pooblaščenca v celoti izvršila in torej vse nezakonito zbrane transakcijske račune tudi izbrisala.

Povedano drugače. Informacijska pooblaščenka je Borisu Štefanecu odgovorila, da je s konkludentnimi dejanji (gre za dejanja, s katerimi sklepamo na voljo stranke, če ne izrazi pridržka) do izdaje prekrškovne sankcije KPK pod njegovim vodstvom implicitno priznavala ugotovitve njihovega inšpekcijskega nadzora. Prav tako proti inšpekcijski odločbi ni sprožila upravnega spora, čeprav je to možnost imela. Zdaj, ko je predsednik KPK dobil globo, pa se pritožuje nad taistimi ugotovitvami informacijskega pooblaščenca, ki jih prej ni problematiziral.

V intervjuju za Siol.net je Štefanec 10. marca 2016 glede odločbe, povezane s transakcijskimi računi fizičnih oseb, povedal, da gre pri tem po njegovem mnenju “za povsem napačno razlago nekih pravnih temeljev” ter da si “zakon razlagamo drugače kot ona”.

Kljub temu, da odločitev informacijske pooblaščenke po mnenju Štefaneca temelji na “napačni razlagi pravnih temeljev”, ter da si “zakon razlaga drugače kot ona”, pa tožbe ni vložil. Na naše vprašanje, zakaj KPK tožbe zoper to odločitev informacijskega pooblaščenca ni vložila, so nam iz KPK odgovorili: “Po izdaji navedene odločbe smo se po premisleku odločili, da pravnih sredstev ne uporabimo, ker v tistem trenutku podatkov o transakcijskih računih nismo potrebovali in jih lahko po potrebi načeloma vedno ponovno pridobimo.” Očitno so se torej na KPK odločili, da ne gredo v sodni spor z informacijsko pooblaščenko, pa čeprav so prepričani, da si pooblaščenka zakon razlaga napačno. Glede na to, za kakšne analize bi bilo mogoče uporabiti številke transakcijskih računov, pa se lahko tudi upravičeno vprašamo, kakšna je sploh vizija Štefaneca, če meni, da transakcijskih računov ne potrebuje. Vsekakor pa se lahko upravičeno vprašamo, ali v ozadju Štefanečeve odločitve morda ni šlo tudi za poizkus vzdrževanja “dobrih odnosov” z informacijsko pooblaščenko.

* * *

Pri tem je treba vedeti, da odločba glede transakcijskih računov ni bila edina odločba, ki jo je informacijski pooblaščenec izdal KPK. Informacijski pooblaščenec se je očitno Supervizorja lotil z vsemi topovi, saj je KPK v letu 2015 izdal en sklep, en popravni sklep in tri odločbe.

V eni od teh odločb, konkretno v odločbi št. 0612-181/2014/15 z dne 16. 6. 2015, je informacijski pooblaščenec od KPK zahteval, da spletnim iskalnikom onemogoči indeksiranje osebnih imenih družbenikov, ustanoviteljev, nadzornikov in članov uprav v Supervizorju.

KPK je nato dne 10. julija 2015 zoper omenjeno odločbo informacijskega pooblaščenca vložila tožbo na upravno sodišče. A na presenečenje vseh je KPK tožbo dne 16. 7. 2015 umaknila. Kaj se je zgodilo v vmesnem času?

V vmesnem času, konkretno 14. julija 2015, se je pri predsedniku KPK Borisu Štefanecu v njegovi pisarni oglasila informacijska pooblaščenka Mojca Prelesnik in Borisa Štefaneca prepričala, da je tožbo umaknil. Na naše poizvedovanje so nam sestanek potrdili tudi na KPK.

Več o tem je na okrogli mizi “Kako do odprte družbe? Primer Supervizor” 1. oktobra 2015 javno povedal tudi Boris Štefanec sam:

Torej glejte, Slovenci se zelo radi tožimo, takrat ko je treba in takrat ko ni treba. Ampak dejstvo je, v konkretnem primeru so nas argumenti, ki jih je imela informacijska pooblaščenka, prepričali, in smo rekli, ni razlogov, da se pritožujemo …  Ampak veste, tožbo vložiti, pa če nisi prepričan, da imaš prav, da jo vlagaš, moram reči, da se mi res ne zdi oportuno in potrebno. (posnetek od 1:41:45 dalje)

Na tej točki poslušalcem okrogle mize še ni bilo jasno, da je tožba v resnici bila vložena, saj so predhodni razpravljavci Štefanecu očitali, zakaj tožbe ni vložil. Boris Štefanec pa do tega trenutka javnosti še ni “priznal”, da je tožba v resnici bila vložena.

Zato sem avtor tega prispevka in tudi sodelujoči na omenjeni okrogli mizi to izpostavil:

“Jaz moram reči, da tožba je bila vložena, ampak je bila potem umaknjena. Mislim, da je to bistveno vprašanje. Zakaj je bila najprej vložena, potem pa umaknjena?” (posnetek od 1:42:35 dalje)

Boris Štefanec je na to vprašanje odgovoril naslednje:

Ja, tudi to bom povedal, ker ni razloga, da ne. Ampak spet je pravzaprav štos v tem, da Brataniča (avtorja aplikacije Supervizor, op. a.) ni tu. Torej, res moram povedati, da smo na pritisk Primoža (Brataniča, op. a.), na njegovo željo, ker se je seveda vedno zavzemal, in to je prav, da se je zavzemal za svoj prav, pristali tudi na to. Moram povedati, tudi pod pritiskom, da če [tožbe] ne vložimo, bo Supervizor spet ugasnjen. Torej, zdaj sem odkrit do kraja, ker tako se je dogajalo. Tako so pravzaprav zadeve potekale. In to je bil razlog. (posnetek od 1:42:47 dalje)

Skratka, KPK je tožbo zoper odločbo informacijskega pooblaščenca najprej vložila, nato pa jo je Štefanec na podlagi “argumentov, ki jih je imela informacijska pooblaščenka”, umaknil.

Naslednji dan (torej 15. julija 2015) po obisku Mojce Prelesnik pri Borisu Štefanecu je Primož Bratanič iz Supervizorja odstranil prikaz podatkov o družbenikih, nadzornikih, članih poslovodnih organov in ustanoviteljev družb. Namesto omenjenih podatkov se je v Supervizorju prikazalo obvestilo, da je “podatek odstranjen zaradi izvršitve odločbe IP”.

Supervizor_IP_odstranitev_podatkov

To pa je Mojco Prelesnik očitno spravilo v nekoliko slabo voljo. Še isti dan (konkretno 15. julija 2015 ob 13:38) je namreč Borisu Štefanecu poslala elektronsko sporočilo, v katerem je od njega zahtevala, naj odstrani “sporno” obvestilo:

Državna nadzornica za varstvo osebnih podatkov ***** **** me je pravkar opozorila, da je bil na spletni strani Supervizor pravkar izveden popravek, zaradi katerega se na podstraneh od podjetij v rubriki s podatki o ustanoviteljih in družbenikih podjetja zdaj namesto imena in priimka posameznika prikazuje “Podatek odstranjen na zahtevo IP.

Želimo jasno opozoriti, da IP takšne odstranitve nikakor ni zahteval. Zato vas prosim, da v izogib nejasnostim, navedeno spremembo nemudoma odpravite in nas o tem tudi obvestite.

Tudi tokrat so argumenti Mojce Prelesnik Borisa Štefaneca prepričali, zato je naslednji dan od svojih podrejenih zahteval, da “sporno” obvestilo odstranijo.

Elektronsko sporočilo, s katerim je Boris Štefanec od svojih podrejenih zahteval umik “spornega” obvestila, smo kot informacijo javnega značaja 21. julija 2015 zahtevali od KPK. KPK si je za odločanje vzela precej časa in čez dober mesec (27. avgusta 2015) izdala zavrnilno odločbo. Na to odločitev smo se nato pritožili in s pritožbo tudi uspeli, saj je informacijski pooblaščenec ugotovil, da je službena e-pošta predstojnika KPK informacija javnega značaja. 30. oktobra 2015 je informacijski pooblaščenec KPK naložil, da nam omenjeno elektronsko sporočilo Borisa Štefaneca v roku 31 dni posreduje v obliki fotokopije. Tudi tokrat so si na KPK vzeli precej časa, a 3. decembra 2015 smo omenjeni dokument končno tudi prejeli. Objavljamo ga v celoti.

KPK_Stefanec_navodilo_Supervizor
Navodilo Štefaneca glede umika “spornega” obvestila iz Supervizorja

* * *

Dogajanje okrog odločbe, s katero je informacijski pooblaščenec od KPK zahteval, da spletnim iskalnikom onemogoči indeksiranje osebnih imenih družbenikov, ustanoviteljev, nadzornikov in članov uprav v Supervizorju, tako kaže na skrajno nenavadno ravnanje Borisa Štefaneca. Namesto, da bi stal za odločitvami, ki jih je sprejel na podlagi dogovorov s svojimi sodelavci, je nenavadno hitro popustil pod težo argumentov informacijske pooblaščenke Mojce Prelesnik.

Očitno je bila Mojca Prelesnik precej prepričljiva. Če se je Boris Štefanec prvič vsaj pritožil (in potem sicer umaknil tožbo), se drugič, na odločbo glede transakcijskih računov fizičnih oseb, niti pritožil ni več.

Ko je inšpekcijska odločba urada informacijskega pooblaščenca postala pravnomočna, je tam stekel prekrškovni postopek in Štefanec je bil na koncu deležen prekrškovne globe.

Takrat pa so se odnosi med Štefanecom in Prelesnikovo očitno nekoliko ohladili. Šele ko mu je bila izrečena globa, je Štefanec “udaril po mizi”, in v javnost poslal razmeroma oster uradni odziv. A informacijska pooblaščenka mu je tokrat lepo odgovorila, da do trenutka izdaje prekrškovne sankcije odločitve informacijski pooblaščenec ni problematiziral, čeprav je za to imel vse formalne možnosti. Dodala je še, da KPK zoper njeno odločitev tudi ni sprožila upravnega spora, ko bi ga lahko – pri tem pa seveda prikladno zamolčala, da je v primeru ene prejšnjih odločb v umik tožbe Štefaneca prepričala kar sama.

* * *

Navedeno dogajanje je zato zelo dobra lekcija tako za Štefaneca kot za ostale vpletene v dogajanje okrog Supervizorja. Če bi se predsednik protikorupcijske komisije poslužil vseh uradnih postopkov zoper odločitev informacijskega pooblaščenca, s katero se očitno ne strinja, in ko bi stal za dogovori s svojimi sodelavci, bi mu še lahko verjeli, ko zatrjuje, da se zavzema za transparentnost delovanja javnega sektorja. Tako pa imamo žal le občutek, da ga pri celotni zadevi moti predvsem 830 evrov globe, ki jih bo moral plačati zaradi dveh storjenih prekrškov. Ob vsem navedenem zaskrbljenost OECD zaradi razmer v KPK niti ne preseneča. Presenečata pa molk in brezskrbnost predsednika republike, ki je Borisa Štefaneca imenoval na položaj. No, morda pa je Borut Pahor zgolj samo preveč zaposlen s “peko na žaru“. Konec koncev ima vsakdo svoje prioritete.

Matej Kovačič je strokovnjak za informacijsko varnost z inštituta Jožef Stefan in nekdanji uslužbenec KPK. Spremljate ga lahko na njegovem blogu Pravokator.

Nastanek tega članka ste omogočili bralci z donacijami. Podpri Pod črto

Deli zgodbo 11 komentarjev



Več iz teme: Mnenja strokovnjakov

Na podcrto.si dajemo vsakemu možnost objavljanja argumentiranih prispevkov o dogajanju v naši družbi.

13 prispevkov

Navodila za uporabo novic ali kako se obvarovati pred medijsko histerijo

Zakaj tudi vaši preudarni prijatelji ob dogodkih, kot je trenutna begunska kriza, lahko postanejo teoretiki zarote in razpihovalci sovraštva, ter …

Tema: Mediji, Mnenja strokovnjakov
Mnenje,

Slovenski mediji se na varovanje svojih digitalnih komunikacij požvižgajo

Slovenske medijske hiše za kibernetsko varnost bodisi nimajo denarja bodisi v njej ne vidijo smisla, saj »vsi vemo, da preiskovalnega …

Tema: Mediji, Mnenja strokovnjakov
Mnenje,

11 komentarjev

Martin N. 18. 3. 2016, 11.14

Šlo naj bi za mnenja "strokovnjakov"? Od avtorja knjig na področju varstva zasebnosti v informacijski družbi bi pričakovali, da poznajo vsaj osnovne definicije osebnih podatkov, zasebnosti in transparentnosti in v tej povezavi težav z ribarjenjem podatkov - fishing expediton.

A Matej Kovačič se sprašuje:

"Zato se upravičeno postavlja vprašanje, ali je lahko zgolj neka številka (!) brez kakršnihkoli drugih identifikacijskih podatkov in brez povezave s konkretno osebo, res osebni podatek, ki zahteva pravno varstvo?

Tako kot je samo EMŠO, samo davčna številka, samo številka zdravstvenega zavarovanja, tudi brez imen in priimkov osebni podatek, je tudi samo številka TRR fizične osebe osebni podatek. Ker ima povezavo s konkretno osebo. Če ne bil, ne bi imel nobenega pomena v teh zgodbah.

Se pa upravičeno postavlja vprašanje, kakšne interese ima avtor tega članka pri teh kravjih kupčijah...

Anže Voh Boštic 18. 3. 2016, 12.52

49058305
29485683
85949305
29385065
47591294

Zgoraj sem na pamet napisal pet osemmestnih številk. Morda je katera izmed teh številk davčna številka fizične osebe. Prepričan pa sem, da če bi jih napisal petsto, bi vmes zagotovo zadel davčno številko koga.

Ali me lahko torej IP oglobi, če se nekdo javi, in reče, da je zgoraj napisana njegova davčna številka?

Če gremo po tej poti, je verjetno fino, da IP ali kateri drugi uradni organ da javno opozorilo državljanom, da ne smejo na nobeno javno mesto napisati osemmestne številke. Ker se lahko zgodi, da bodo po pomoti zapisali davčno številko od nekoga.

Upam, da se iz tega primera vidi absurdnost argumenta.

Matej Kovačič 18. 3. 2016, 13.58

Kot je povedal že Anže.

Tole sta dve obstoječi davčni številki: 39846326, 98587200.

Glede na to, da sta to dva osebna podatka, predlagam, da Informacijski pooblaščenec nemudoma uvede postopek proti Podčrto, ki objavlja osebne podatke brez zakonske podlage oz. brez privolitve.

Nadalje pričakujem, da IP-RS prepove uporabo teh dveh številk tudi povsod drugod, zlasti v matematiki. Konec koncev gre za osebne podatke, ki se jih ne sme obdelovati brez privolitve. Bognedaj, da jih slučajno kdo zapiše v kakšen matematični učbenik!

Kako je pa osebo mogoče identificirati brez nesorazmernega napora zgolj iz številke SI56 XXX XXX XXX mi je pa neznanka. Tudi dejstvo, kdaj je nekdo prejel nek denar in od katerega proračunskega uporabnika ter na kateri TRR, te osebe še ne identificira.

Če pa IP-RS meni drugače, naj pa to dokaže s konkretnimi primeri. Oziroma, upam, da se bo zadeva razčistila na sodišču.

Poanta članka je sicer povsem drugje. In vpleteni to dobro vedo.

Martin N. 18. 3. 2016, 14.22

Iz tega se vidi žal samo avtorjevo in vaše nepoznavanje zakonodaje. Ta varuje osebne podatke, ki so del neke zbirke osebnih podatkov, ne pa "rekla-kazala" navedb. Pri podatkih iz neke zbirke (npr. evidenca, ki vsebuje TRR fizičnih oseb, davčni register... ) in podatkih, ki jih nekdo kar tako napiše, pač ne gre za isto zadevo. Mogoče bi se lahko najprej pozanimali, kaj so osebni podatki, kaj so varovani osebni podatki ter kdo in kdaj sme katere osebne podatke obdelovati, pa potem govoriti o absurdnosti argumentov. Gre pa za klasično mešanje vprašanja kaj je osebni podatek in kaj je dovoljeno z njimi početi. Če je nekaj osebni podatek še ne pomeni, da je vse prepovedano - je pa treba poznati pravila in izjeme, ko pravila ne veljajo. Za začetek priporočam tole: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2007/wp136_sl.pdf

Matej Kovačič 18. 3. 2016, 14.46

Kaj pa delni dostop?

Kaj ni baza finančnih transakcij države z odstranjenima stolpcema ime in priimek ter davčna številka fizične osebe že dovolj anonimizirana, da fizičnih oseb ni mogoče identificirati brez nesorazmernega truda?

Konec koncev je šlo pri tej zadevi natanko za to - Supervizor je vseboval anonimizirano bazo (delni dostop) iz katere se ni dalo identificirati fizičnih oseb. Identifikacija fizičnih oseb zgolj s TRR-jem pač ni mogoča - če na IP-RS menite drugače, pa kar na dan z besedo.

Je pa res, da je TRR dovolj enoličen identifikator (pustimo zaenkrat ob strani dejstvo, da ima oseba lahko več TRR-jev), da se da ugotoviti kdo prejema visoke prejemke, itd.

Ne vem, no, g. Martin - imam občutek, da si pri IP-RS zakonodajo včasih razlagate malce po svoje, oziroma jo včasih "nategnete" v eno, včasih pa v drugo stran.

Zato je tudi prav, da imamo pritožbene instance, ki odločijo v primeru nejasnosti. Samo to mi ni jasno zakaj se nekateri bojijo odločitev višjih stopenj - saj konec koncev imamo Upravno sodišče ravno za to, da odloči v primeru nejasnosti.

Martin 18. 3. 2016, 15.48

Iz zgoraj objavljnega linka:

"Uvodna izjava 26 Direktive posveča posebno pozornost izrazu „določljiv“, ko navaja, da „ker bi bilo treba za odločitev o tem, ali je oseba določljiva ali ne, upoštevati vsa sredstva, za katera se pričakuje, da jih bo uporabil bodisi upravljavec ali katera koli druga oseba za določitev take osebe“."

"ali kater koli druga oseba." Če jaz ne vem, na koga se nanaša, še ne pomeni da ne gre za osebni podatek. In če gre za osebni podatek še ne pomeni, da je vsaka objava kršitev zakonodaje, kot želite prikazati.

Matej Kovačič 19. 3. 2016, 06.19

No, tukaj vas pa moram spomniti na DURS dohodninske odločbe. :-)

Kolikor se spominjam, je takrat IP-RS zavzela stališče, da bi DURS moral dohodninske odločbe posameznikom pošiljati v posebej zaprtih kuvertah, ker da je obstoječe mogoče odpreti in vanje vpogledati.

Odgovor DURS-a je bil, da pri nas Ustava varuje pisemsko tajnost in da ne more IP-RS zahtevati takih ukrepov, s katerimi bi preprečil VSE nezakonite postopke posameznikov, ki bi želeli do podatkov priti s kršitvijo zakonodaje.

Skratka, dikcije, da je treba "upoštevati vsa sredstva" za katera se pričakuje, da jih bo nekdo uporabil za določitev osebe, se ne sme brati dobesedno. Ker je to preprosto nesorazmerno in neumno.

V nasprotnem primeru je treba upoštevati tudi možnost, da skupina oboroženih napadalcev zasede KPK, tam z orožjem zaposlene prisili k predaji certifikata za dostop do UJP in potem potegne dol vse transakcije, kjer gre za plačila trošarin za alkohol.

Isto lahko taka skupina ljudi naredi celo na FURS, se pravi je najbolje kar prepovedat da FURS sploh vodi evidence o pobranih davkih! Razen, če okrog svojih strežnikov postavi minsko polje. pa še takrat obstaja možnost, da bo pa nekdo z visoko vsoto podkupil kakšnega sistemca...

V glavnem, mislim, da sem lepo pokazal nesmiselnost takšnega črkobralstva.

Problem-Rešen 18. 3. 2016, 20.56

Iz transakcijskega računa se da prepoznati ime banke. Dober novinar ima polno poznanstev in lahko "prjatla" ob kavici povprašaš, če lahko pogleda v bančni informacijski sistem, kdo se skriva za TRR-jem. Torej bi se dalo lepo priti do podatka.

Sicer pa ne razumem, zakaj takšen kravalj glede TRR-ja. Če KPK meni, da je TRR dovolj anonimiziran podatek, potem lahko gredo še korak dlje in zamenjajo vsako številko TRR-ja z zaporedno številko od 1 do n. Poskrbeti je potrebno le, da ima ista TRR vedno isto zaporedno številko. Potem bi pa pod zaporedno številko objavljali vse podatke o izplačilih. Primer Janez Novak ima številko TRR SI56 XXX XXX XXX in mu dodelimo zaporedno številko 1, Jožica Novak ima številko TRR SI56 XXX XXX XXX in ji dodelimo zaporedno številko 2 itd. Potem pa zelo preprosto, vse kar je bilo izplačano na Janez Novak TRR se na portalu KPK objavi, da je bilo izplačano na TRR z zaporedno številko 1. Ta podatek je popolnoma anonimiziran, saj s klicem "prjtla" na banko, ne bo pomagalo.

Do podatka bi bilo mogoče priti le v podatkovni zbirki, kjer so zapisani ujemajoči pari TRR in zaporedne številke.

Namen bi tako bil dosežen. Kolikor razumem KPK tako ni imela namena razkriti lastnikov TRR, z zaporedno številko je to ravno tako zagotovljeno. Hkrati tudi informacijski pooblaščenec ne bi imel razloga za ugovarjanje. Volk sit in koza cela.

P.S. Kako se to naredi, pa vsak računalničar s srednješolsko izobrazbo zna narediti. Osnove poznavanja podakovnih zbirk in SQL jezika.

Matej Kovačič 19. 3. 2016, 06.09

Res je, iz TRR se da identificirati banko. Ampak postopek s prijateljem, ki ga opisujete ni zakonit. Za identificirat posameznike je vseeno potreben nesorazmeren napor. Zato dodatna anonimizacija ni potrebna.

Ker če gremo na to, da se da vsak sistem prelisičit (mogoče pa bi nekdo vdrl v Supervizor in ukradel dostopne podatke za UJP API,...), potem na koncu še tako zategnjeni ukrepi niso dovolj.

Zadevo bi se sicer dalo še bolj enostavno rešiti. KPK bi iz TRR-ja in nekega dodatnega niza znakov, ki bi ga vedeli samo oni, izračunala MD5 hash. Tako niti ne bi hranili tabele ID-jev in TRR-jev, TRR-je bi bilo pa mogoče unikatno ločiti.

Ampak to v resnici po mojem mnenju ni problem tukaj. Po mojem mnenju je bilo treba pač "nekaj najti".

Je pa dosti zgovorno zlasti zavajanje glede izplačil HIV odškodnin. Takega lapsusa si IP-RS ne bi smel privoščit. Če je bil seveda res lapsus.

Problem-Rešen 21. 3. 2016, 22.19

"Res je, iz TRR se da identificirati banko. Ampak postopek s prijateljem, ki ga opisujete ni zakonit. Za identificirat posameznike je vseeno potreben nesorazmeren napor. Zato dodatna anonimizacija ni potrebna."

Ja res je, da je nezakonito, vendar večina sistemov nima dobro narejene revizijske sledi, tako da je težko dokazati nezakonitost.

"KPK bi iz TRR-ja in nekega dodatnega niza znakov, ki bi ga vedeli samo oni, izračunala MD5 hash"

V osnovi je ideja zanimiva, vendar ne nujno najboljša. Z eno samo napako se enostavno razkrije "konstanta" in je povsem isti problem. Kot sem jaz predlagal z zaporedno številko, je nemogoče priti do izvornega TRRja. Sicer je pomembno, da zaporedna številka nastane naključno in ne po vrsti z abecedo.

"Je pa dosti zgovorno zlasti zavajanje glede izplačil HIV odškodnin. Takega lapsusa si IP-RS ne bi smel privoščit. Če je bil seveda res lapsus."

Po moje veliko več kot lapsus. Definicija lapsusa je: "nenamerna napaka", to da kdo izjavi kaj takšnega, pa že kaže na slabo poznavanje prava (vsaj iz tega področja), ker za dobro laž, moraš nekaj vedeti. Bolje bi bilo, če bi podali nek resen argument...

Kot pa sem predlagal "zaporedna številka" je enostavno rešljiv problem. Potem pa zopet na potezi IP. Torej bistvo je, da institucije "igrajo" igro. IP izda opozorilo, KPK odpravi napako, IP poda novo opozorilo in KPK ponovno odreagira in reši problem. Ko enkrat IP ne bi imela pametnega argumenta in ga ni mogoče enostavno rešiti, pa sodni boj.

Borut 20. 3. 2016, 08.17

Mislim, da je v Sloveniji ključen problem, da pretežna večina, če ne vsi, želijo imeti "odprt dostop" do javnih sredstev in hkrati imeti zagotovljeno anonimnost ali vsaj možnost, da sami odločijo, kateri njihovi podatki so tajni. Tak primer so javna naročila, kjer se je uveljavila praksa, da lahko ponudnik označi skoraj celotno ponudbo za poslovno skrivnost. Če neizbrani ponudnik želi vpogledati v izbrano ponudbo, mu je onemogočen vpogled v celoto in mu je s tem dejansko omejena ali onemogočena pravna varnost. V primeru vpogleda v ponudbo ima le neizbrani ponudnik izkazan pravni interes, saj je oddal ponudbo.
Za javna naročila in za katera koli javna sredstva bi moralo biti pravilo, da so vsi podatki javni. Če koga to moti, naj se pač ne poteguje za javna sredstva. Morebitne izjeme pa bi morale biti res vsebinsko utemeljene, a še to so lahko izjeme le v tem pomenu, da podatki niso prosto dostopni, so pa dostopni tistim, ki izkažejo pravni interes.

Dodaj odgovor

Vaš e-naslov ne bo objavljen. * označuje zahtevana polja

Zadnje objavljeno