„Со цел обезбедување на транспарентност во работењето и запознавање на јавноста со актуелните случувања поврзани со инцидентот што се случи на 15.07.2020 година на веб страниците на Државната изборна комисија (во натамошниот текст: ДИК), Ве информираме дека на 29 јули 2020 година Агенцијата за заштита на личните податоци изврши вонредна супервизија во ДИК.

Вонредната супервизија беше извршена по службена должност со цел да се провери и истражи евентуалното нарушување на безбедноста на личните податоци кои ги обработува ДИК, поврзано со инцидентот што се случи вечерта на 15.07.2020 година, непосредно по одржувањето на вонредните парламентарни избори 2020 година“, велат од Агенцијата за заштита на личните податоци

АЗЛП, соопштуваат понатаму  од Агенцијата, утврди повеќе повреди на прописите за заштита на личните податоци од страна на ДИК и тоа:

• ДИК не применила соодветни технички и организациски мерки во однос на заштитата на веб страниците и информатичката инфраструктура за да обезбеди ниво на безбедност соодветно на ризикот.
• ДИК не извршила тестирање на софтверскиот систем за спроведување на Парламентарните избори 2020 година на Дуна ДОО Скопје пред неговото имплементирање или по извршените промени со цел да се провери дали системот обезбедува безбедност на личните податоци согласно прописите за заштита на личните податоци.
• ДИК при ангажирање на Дуна ДОО Скопје како обработувач, постапила спротивно на прописите за заштита на личните податоци.
• ДИК при користење на нови технологии за некој вид на обработка (во конкретниот случај софтверскиот систем за спроведување на Парламентарните избори 2020 година на Дуна ДОО Скопје), не извршила проценка на влијанието на предвидените операции на обработката во однос на заштитата на личните податоци.
• ДИК поставува документи со лични податоци на Google Drive и истите ги објавува на своите веб страници, со што врши пренос на личните податоци. Воедно, ДИК ги користи услугите на CloudFlare чија главна инфраструктура е лоцирана надвор од територијата на Република Северна Македонија. Оттука, ДИК постапила спротивно од општото правило за пренос на личните податоци.
• ДИК (како контролор) и Дуна ДОО Скопје (како обработувач) не ја исполниле обврската за известување за нарушување на безбедноста на обработката на личните податоци до АЗЛП.
• ДИК не ги документирала нарушувањата на безбедноста на личните податоци и немала воспоставено внатрешен процес на евидентирање на нарушувањата на безбедноста на личните податоци.
• ДИК не ја исполнила обврската за определување на офицер за заштита на личните податоци.
• ДИК не определила администратор на информацискиот систем.

За извршената вонредна супервизија АЗЛП донесе решение со корективни мерки и рокови за отстранување на утврдените повреди.

М.В