Агенцијата за заштита на личните податоци (АЗЛП) во врска со инцидентот што се случи на 15 јули 2020, за денот на изборите кога беше хакирана веб страницата на Државната изборна комисија (ДИК) извршила вонредна супервизија во ДИК, соопшти Агенцијата.
– Вонредната супервизија беше извршена по службена должност со цел да се провери и истражи евентуалното нарушување на безбедноста на личните податоци кои ги обработува ДИК, поврзано со инцидентот што се случи вечерта на 15 јули 2020 година, непосредно по одржувањето на вонредните парламентарни избори 2020 година, велат во соопштението.
АЗЛП утврдила повеќе повреди на прописите за заштита на личните податоци од страна на ДИК, бидејќи не применила соодветни технички и организациски мерки во однос на заштитата на веб страниците и информатичката инфраструктура за да обезбеди ниво на безбедност соодветно на ризикот.
– ДИК не извршила тестирање на софтверскиот систем за спроведување на парламентарните избори 2020 година на Дуна ДОО Скопје пред неговото имплементирање или по извршените промени со цел да се провери дали системот обезбедува безбедност на личните податоци согласно прописите за заштита на личните податоци. ДИК при ангажирање на Дуна ДОО Скопје како обработувач, постапила спротивно на прописите за заштита на личните податоци. ДИК при користење на нови технологии за некој вид на обработка (во конкретниот случај софтверскиот систем за спроведување на Парламентарните избори 2020 година на Дуна ДОО Скопје), не извршила проценка на влијанието на предвидените операции на обработката во однос на заштитата на личните податоци, наведуваат од АЗЛП.
ДИК, додаваат, поставува документи со лични податоци на Google Drive и истите ги објавува на своите веб страници, со што врши пренос на личните податоци. Воедно, како што наведуваат од Агенцијата, ДИК ги користи услугите на CloudFlare чија главна инфраструктура е лоцирана надвор од територијата на Република Северна Македонија. Оттука, посочуваат, ДИК постапила спротивно од општото правило за пренос на личните податоци.
– ДИК (како контролор) и Дуна ДОО Скопје (како обработувач) не ја исполниле обврската за известување за нарушување на безбедноста на обработката на личните податоци до АЗЛП. ДИК не ги документирала нарушувањата на безбедноста на личните податоци и немала воспоставено внатрешен процес на евидентирање на нарушувањата на безбедноста на личните податоци. ДИК не ја исполнила обврската за определување на офицер за заштита на личните податоци. ДИК не определила администратор на информацискиот систем, наведуваат од АЗЛП како дел од утврдените повреди од страна на ДИК.
За извршената вонредна супервизија АЗЛП донела решение со мерки за отстранување на утврдените повреди и рокови во кои ДИК треба да постапи и да го усогласи своето работење со прописите за заштита на личните податоци.