Urad informacijskega pooblaščenca je 29. oktobra UVHVVR obvestil o nepooblaščenem dostopu do osebnih podatkov prek spletne strani, kjer je objavljen seznam registriranih fitofarmacevtskih sredstev.
Uporabljen način nepooblaščenega vstopa je omogočil dostop do osebnih podatkov 873.201 fizične osebe (ime, priimek, naslov, EMŠO in davčna številka). Gre za osebe, ki so bile v preteklosti zavezane vpisu v registre, ki jih vodi ministrstvo za kmetijstvo ter organi v sestavi ministrstva (agencija za kmetijske trge in razvoj podeželja, uprava za varno hrano, veterinarstvo in varstvo rastlin, inšpektorat za kmetijstvo, gozdarstvo, lovstvo in ribištvo) ali pa so bile predmet nadzora inšpekcij na področju kmetijstva.
To med drugim vključuje registre rejnih živali, registre kmetijskih gospodarstev, prejemnike kmetijskih subvencij, register hišnih živali itd. Gre za podatke zavezancev, ki so na podlagi Zakona o kmetijstvu in povezanih zakonov ter podzakonskih aktov vpisani v evidenco subjektov.
Z uprave sporočajo, da so ranljivost nemudoma odpravili, s čimer so onemogočili nadaljnji dostop do podatkov. "Tekoče poslovanje ni bilo ovirano, ravno tako ni bilo nobenih finančnih zahtevkov, povezanih z nepooblaščenim dostopom," so dodali.
O vdoru v sistem so obvestili skupino SIGOV-CERT, pristojno za odzivanje na kibernetske incidente v organih javne uprave, in informacijsko pooblaščenko. Podali so tudi prijavo na Policijo.
Posamezniki, ki se prepoznajo v teh zbirkah podatkov, se lahko za dodatne informacije obrnejo na elektronski naslov dpo.uvhvvr@gov.si. Sicer pa vsem posameznikom svetujejo, naj ne delijo dodatnih osebnih podatkov po telefonu ali e-pošti, če niso 100-odstotno prepričani, s kom govorijo.
Informacijski pooblaščenec vodi postopek zoper upravo
Informacijski pooblaščenec je sporočil, da zoper upravo vodi inšpekcijski postopek zaradi suma neustreznega zagotavljanja varnosti podatkov.
Kot so pojasnili, so 29. oktobra prejeli anonimno prijavo kršitve varnosti podatkov pri upravi. "Prijavitelj je navedel, da je na spletni strani zavezanca odkril ranljivost, ki omogoča pridobitev osebnih podatkov več kot 870.000 posameznikov, uparjenih s Centralnim registrom prebivalstva. IP je UVHVVR nemudoma po prejemu prijave seznanil s prijavo, uprava pa je dostop do osebnih podatkov na zadevni spletni strani onemogočila še isti dan," so zapisali.
Ker je inšpekcijski postopek še v teku, za zdaj več informacij ne morejo podati. So pa opozorili, da primer zelo nazorno kaže, kako hude posledice ima lahko omogočanje neposrednega dostopa do velikih državnih zbirk podatkov, kot je centralni register prebivalstva, ali ustvarjanje lokalnih kopij takšnih registrov, in kako pomembno je zagotavljanje ustrezne varnosti takih zbirk podatkov.
Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.