Економскиот факултет при УКИМ не доставил известување до Агенцијата за заштита на личните податоци за случајот со погрешниот мејл кој беше испратен до повеќе од триста студенти и во кој беа откриени нивните лични електронски адреси.
Од Агенцијата за заштита на личните податоци за „Мета“ изјавија дека согласно член 37 став (1) од Законот за заштита на личните податоци, во случај на нарушување на безбедноста на личните податоци, контролорот, или во случајов Економскиот факутлет, веднаш и не подоцна од 72 часа откако дознал за истото е должен да ја извести Агенцијата за нарушувањето на безбедноста на личните податоци, освен ако не постои веројатност нарушувањето да создаде ризик за правата и слободите на физичките лица. Но, такво известување сè уште не пристигнало до нив.
„Заклучно со денес (15.12.2020 година) од страна на Економскиот факултет – УКИМ не е доставено известување со опис на природата на нарушувањето на безбедноста на личните податоци, опис на можните последници од нарушувањето на безбедноста на личните податоци, како и опис на преземените или предложените мерки од страна на Економскиот факултет за справување со нарушувањето на безбедноста на личните податоци, вклучувајќи соодветни мерки за намалување на можните негативни ефекти“, велат од Агенцијата за заштита на личните податоци.
Од таму додаваат дека конкретниот случај дава основ за претпоставка дека или не станува збор за нарушување на безбедноста на личните податоци кое може да создаде ризик за правата и слободите на студентите, или дека Економскиот факултет не доставил известување до Агенцијата во законски утврдениот рок од моментот на дознавање за нарушување на безбедноста на личните податоци.
Агенцијата за заштита на личните податоци извести дека веќе е покрената постапка на обезбедување информации за случајот и е поднесено барање за произнесување од страна на Економскиот факултет дали според нивните согледувања станува збор за нарушување на безбедноста на личните податоци.
„Врз основа на утврдената фактичка состојба Агенцијата ќе оцени дали и што ќе преземе како понатамошен чекор во рамки на законот за заштита на личните податоци“, велат од АЗЛП.
Фондацијата „Метаморфозис“, пак, вели дека во разгледување на случајот треба да се земат предвид неколку аспекти, меѓу кои и безбедносните мерки кои ги спроведува Економскиот факултет, како и неговата реакција во случај на безбедносни инциденти. Под претпоставка дека Економскиот факултет има внатрешни процедури за заштита на личните податоци и политики за безбедност на сите лични податоци кои ги обработува, треба да биде спроведена детална анализа на ризикот од настанатиот безбедносен инцидент.
„Оваа анализа треба да покаже како дошло до откривање на е-мејл адресите ако навистина секогаш до сега истите биле копирани во опцијата BCC во комуникацијата која се одвивала од факултетот кон студентите. Дополнително, анализата треба да даде и насоки кои мерки за заштита на личните податоци се слаби и каде треба да се направи ревизија и зајакнување на мерките“, вели Елена Стојановска од Метаморфозис.
Таа додава дека факултетот треба да ги вложи сите напори за да направи ревизија не само на безбедносните мерки кои во моментов се користат, туку и на степенот на познавање на основните принципи за заштита на личните податоци од страна на вработените.
„Службеникот за заштита на личните податоци на Економскиот факултет треба да направи анализа и да даде предлог дали покрај зајакнувањето на техничките мерки, има потреба за обука и надградувње на капацитетите на администрацијата и на сите оние кои реално комуницираат со студентите“, вели Стојановска.
Од „Метаморфозис“ се осврнуваат и на потребата од зголемување на свеста и знаењето на студентите за нивното право на приватност и за препознавање на ризиците. Е-мејл адресите на студентите се собираат заради легитимна цел – олеснување на комуникацијата и обезбедување навремена и точна информација до студентите. Согласно ова, мејл адресите треба да бидат собрани со претходна согласност, а истовремено на секој студент треба да му биде достапна информацијата на кој начин ќе се користи неговата адреса и да му се даде право во секое време да може да ја смени или пак да ја повлече од мејлинг листата.
„Доколку овие принципи се испочитувани, тогаш за студентите ќе биде јасно дека секоја порака која не доаѓа од службена е-мејл адреса на факултетот и/или по својата содржина не личи на сериозна службена, информација, е лажна“, додава Стојановска.
Од „Метаморфозис“ потсетуваат на поделената одговорност на факултетот, но и на студентите. За оние студенти кои сега располагаат со е-мејл адресите на повеќе од 300 свои колеги, велат дека случајот треба сам по себе да им покаже оти истите не смеат да ги злоуотребуваат понатаму. Секој од нив ја дал својата адреса за да комуницира со факултетот, па согласно тоа, секое натамошно откривање или користење на мејл адресите за други цели ќе биде спротивно на начелата за заштита на приватноста.
На 4 декември годинава, до повеќе од 300 студенти- бруцоши на Економскиот факутлет при УКИМ пристигна мејл кој погрешно ги извести дека поради настаната техничка грешка, се замениле резултатите од некој испит, па поради тоа е потребно студентите да отидат на факултетот за да ги повторат полагањата со физичко присуство. Економскиот факултет веднаш реагирал по што било испратено известување дека станува збор за лажна информација. Но, во самиот мејл беа откриени електронските мејл адреси на сите студенти до кои беше испратена пораката.