SUPERVIZOR JE POTREBEN, A ZARADI NEOBSTOJEČE PRAVNE PODLAGE SE JE (ŽAL) SPREVRGEL V FARSO

Zapis Mateja Kovačiča z naslovom »Supervizor spet deluje«, zahteva kar nekaj pojasnil, ki sem jih dolžna podati kot nekdanja informacijska pooblaščenka in privrženka pravega razmerja med različnimi interesi. Mateja seveda razumem, da svojega prijatelja Primoža in njun skupni projekt brani na vse pretege. Tega dela mu ne zamerim, saj bi sama za svoje delo najbrž storila podobno. Ne razumem ga pa, da brani početje g. Štefaneca, in sicer tisto, ki si ga v času Matejevega dela na KPK niso privoščili, ker so spoštovali pravico posameznikov do varstva osebnih podatkov in načelo zakonitosti (vsaj na prvo sem jih ob zagonu aplikacije opozorila sama).

Mateja v tem delu ne razumem tudi zato, ker se je vedno zavzemal za spoštovanje človekovih pravic, predvsem v policijskih postopkih, in je vedno glasno opozarjal na nesorazmerno ali nezakonito zbiranje (osebnih) podatkov. Skupaj s Primožem sta se lotila recimo tudi varnosti GSM telefonije in zaupanja prometnim podatkom, ki se jih kot dokaze uporablja v kazenskem postopku. Zakaj to omenjam? KPK v enem delu ni nič drugega kot neke vrste policija, ki pač preiskuje korupcijo in nasprotja interesov, KPK je de facto organ pregona, za katera veljajo (oziroma bi morale veljati) zelo stroge kavtele za varstvo človekovih pravic in možnosti posegov vanje. Če smem nekoliko karikirati, so najbrž mokre sanje vsakega policista, da bi imel na razpolago takšno bazo osebnih in drugih podatkov, kot jo ima KPK, po kateri bi rudaril in iskal potencialne grešnike. Prav ste prebrali – grešnike. Ne gre namreč za kršitelje zakonskih določb, za posameznike, ki so storili ali so obtoženi storitve kaznivih dejanj oziroma storitve prekrškov. Ne. Ti ljudje, o katerih beremo v Supervizorju, štejejo za grešnike, ker so prejeli prihodek iz javnih sredstev. Ni pomembno, da so javnemu sektorju v zameno za denar nudili storitev ali dobavili blago. Preprosto se zdi, da je njihov greh »pasenja na javnem denarju« tako velik, da si »zaslužijo« viseti na spletu, kjer lahko cel svet vidi, da »so pri koritu«. Vsaj zaenkrat KPK nepravilnosti ni odkril.

In Bog ne daj, da bi pomislili, da tiste, ki so storili kaj narobe, zagovarjam v tem delu. Če so ravnali napak, naj se uvede preiskava in naj se nato ugotovitve, ko zakon to dovoljuje, tudi javno objavi. Brez dvoma pa zagovarjam in vedno bom zagovarjala načelo zakonitosti pri obdelavi osebnih podatkov, ki je izrazito poudarjeno v javnem sektorju, kamor sodi tudi KPK.

Pa poglejmo, kaj Matej očita meni. Zapisal je, da je glede same zakonitosti Supervizorja potrebno povedati, da so vsi podatki, ki so objavljeni na Supervizorju, javni. Nadalje je navedel, da je bil pred zagonom aplikacije leta 2011, Supervizor pregledan s strani tedanje Informacijske pooblaščenke Nataše Pirc Musar, ki je zapisala:

Eno od osnovnih načel funkcioniranja zdrave družbe, ko mora zagotovo biti prvi zgled država sama, je poštenost. Poštenosti kot načela pa ni mogoče preverjati brez informacij. V demokratičnih družbah mora zato biti javnosti dana možnost, da si sama ustvari mnenje o ravnanju javnih organov, njenih uslužbencev in nosilcev javnih funkcij. Pričujoča aplikacija je odlično orodje za ta namen.

Oprosti, Mario Galunič, a na tvojem primeru moram pokazati, da trditve Mateja ne držijo. Zapisal je, da so vsi podatki, ki so objavljeni v Supervizorju, javni. To ne drži in na napake opozarjam že dalj časa. Za tvoj primer, Mario, ve tudi Pooblaščenka, pa ne stori ničesar (kliknite na http://supervizor.kpk-rs.si/organ/35513/podj/581/ ter nato na »Prikaži podrobnosti o transakcijah nad 2000 eur« in videli boste, da je podatek o Mariovem stalnem prebivališču še danes objavljen – in ne samo pri njem, še pri mnogih drugih sodelavcih RTV Slovenija).

Podatek o domačem naslovu ni javen podatek, kajne Matej?

Naj vam opišem še primere, ki sem jih raziskovala sama, – gre za nakazila Zavoda za zdravstveno zavarovanje. Kar nekaj ljudi (sp-jev, izvršiteljev, odvetnikov) sem poklicala in preverila, če so za ZZZS opravljali kakšne storitve. Prav vsi so mi potrdili moje domneve, da je to namreč znesek, ki so ga prejeli kot nadomestilo za bolniški stalež. Javen podatek, Matej? In takšnih primerov je v Supervizorju precej. V ponazoritev pa naj pokažem nakazilo za gospoda Iztoka Kotnika s.p. Tudi v njegovem primeru gre za nadomestilo za bolniški stalež in z njegovim dovoljenjem ta podatek tudi objavljam. Morda lahko novinarji sami pogledate še več nakazil s strani ZZZS do posameznikov, ki so s.p.-ji, odvetniki in še bi se kdo našel (poglejte recimo nakazila za poklicnega rokometaša Nikolo Špelića – ta je zagotvo igral rokomet za ZZZS), ter ZZZS in te posameznike vprašate, kaj od zneskov, ki jih najdete v bazi, je dejansko poraba denarja za storitve in kaj so izplačila, ki jih ZZZS plača posameznikom kot nadomestilo za čas začasne nezmožnosti za delo (bolniški stalež).

Da ne govorim tudi o tem, da se je med avtorske honorarje pomešalo nadomestila za odpravo plačnih nesorazmerij, potne stroške in še kaj. Ali pa to, da se je nekomu, ki ima soimenjaka, pripisalo, da ima 4 transakcijske račune, v resnici pa ima 3.

Transakcije za Maria Galuniča, iz katerih se lepo vidi, da program potegne zapisano iz rubrike »namen« v nakaznici, česar ne Uprava za javna plačila (UJP) ne KPK ne filtrirata:

Mario

Transakcije za g. Iztoka Kotnika

sp

Matejeva trditev, da sem kot pooblaščenka pregledala supervizor leta 2011 in da to potrjuje moja navedena izjava, seveda ne drži. Tisti, ki ste izjavo prebrali, zagotovo iz nje ne razberete, da sem sistem pregledala. No, nisem ga, ker nisem imela nobene pristojnosti, saj leta 2011 v njem niso objavili nobenih osebnih podatkov, razen imen zastopnikov podjetij, ki so jih potegnili iz javno dostopnega Poslovnega registra, niti mi niso nikoli kasneje povedali, da se prek UJP od leta 2011 že pretakajo v zaledno zbirko tudi osebni podatki, tudi številke transakcijskih računov, ki so brez dvoma varovani osebni podatki in za katerih pridobitev KPK nima zakonskega pravnega temelja. Če bi vedela, bi reagirala, tako kot vedno sem v podobnih primerih oz. vseh primerih, ko sem s sodelavci posumila, da gre za zlorabo osebnih podatkov. Kar nekaj ur smo pred zagonom in izvedbo ideje sedeli skupaj z Matejem in g. Klemenčičem in se pogovarjali o tem, kaj je informacija javnega značaja in kaj ni. Kaj je torej tisto, kar je dopustno objaviti, in česa se ne sme objaviti. Vsi skupaj smo se strinjali, da ni zadržkov pri pravnih osebah, pri osebnih podatkih pa smo se vendarle ustavili. Zakaj? Najprej seveda zato, ker je nekje treba postaviti mejo in zaščititi zasebnost in osebne podatke posameznikov, pa tudi zato, ker ne KPK ne UJP nimata v bazah t.i. enoznačnih identifikatorjev (EMŠO, davčna številka), ki bi omogočali prepoznati in identificirati točno določene posameznike (beri zgoraj o številu TRR, ki naj bi bili last enega posameznika).

V konkretnem primeru samovoljne odločitve za objavo je v ozadju vrsta nerešenih vprašanj, ki dodatno prispevajo k nejasnostim, zaradi katerih objavljeni podatki niso točni, sploh ne pripadajo posamezniku, ki so mu pripisani ipd. in se na ta način še dodatno posega v pravico teh ljudi do varstva osebnih podatkov.

Uvodoma naj poudarim, da ne UJP ne KPK, kakor tudi vsi organi javnega sektorja očitno nimajo natančnih navodil, kako naj se izpiše plačilni nalog (položnica, po starem), da bodo podatki enostavno strojno berljivi in da bi se lahko sporazum med UJP in KPK, ki določa, da se lahko v zaledno zbirko prenašajo vsi podatki, razen podatkov fizičnih oseb, korektno in zakonito izvajal. Moje konkretno vprašanje kolegoma iz KPK je takrat tudi bilo, kako bo sistem ločeval med osebnimi podatki, ki se jih lahko objavi, od tistih, ki se jih nikoli ne sme. Recimo, kako bo sistem ločeval med nakazili ZZZS-ja, ki so vezani na klasično porabo javnega denarja za delovanje zdravstvenega sektorja in samega ZZZS-ja, od tistih, ki so vezani na konkretnega posameznika, njegove stroške zdravljenja ali nadomestilo za čas bolniškega staleža?! Vse to so ovire, ki zaradi neobstoječih zakonskih podlag ne morejo biti presežene s, se opravičjuem, sveto preproščino in sklicevanjem na javna sredstva. Predvsem pa pri tako pomembnem in po svoji vlogi in še bolj po načinu delovanja represivnem organu ne bi smelo biti niti trohice diskrecije in samovolje, kaj se bo objavilo in česa ne. Selektivno torej.

KPK ni nevladna organizacija, temveč organ z močnimi pooblastili, ki si ne bi smel privoščiti niti ene same samcate napake pri obdelavi osebnih podatkov. To je tudi organ, ki na področju varstva osebnih podatkov ne bi smel izvajati t.i. fishing ekspedicij po bazi, ki je nastala z masovnim, neselektivnim prenosom podatkov (t.i. bulk data) – z naknadno obrazložitvijo, da so (naknadno) uvedli sistemsko preiskavo, preiskavo, ki bo torej trajala neznano dolgo časa, na neznano veliki količini podatkov. Naj poudarim tudi to, da javna sredstva, kot jih tretira in nadzira Računsko sodišče, nikakor ne gre enačiti z informacijami javnega značaja. Če bi obveljala ta logika, lahko danes Supervizor objavi vse izdatke za posameznika in njegovo zdravljenje, ali če hočete, izdatek za gospo, ki uporablja plenice za inkontinenco, pa dajmo objaviti še vse pokojnine, ki so prav tako izplačane iz javnih sredstev. Jaz seveda trdim, da brez dvoma to niso informacije javnega značaja.

KPK danes v Supervizor pretaka podatke iz nejavnih evidenc UJP (in še mnogih drugih zbirk podatkov). Ne bom zašla v strokovno debato o tem, kaj so informacije javnega značaja in kaj ne (v tem delu se ne strinjava z novo pooblaščenko), govorim le o tem, kaj je bilo v Supervizorju leta 2011, ko sem sama sodelavala pri zagonu, in kaj je danes. Kot pooblaščenka nisem vedela, da je KPK že leta 2011 od UJP prenesel vse podatke, tudi tiste, ki jih po sporazumu med KPK in UJP ne bi smel, namreč osebne podatke. Ti podatki so se takrat in se tudi danes nahajajo v t.i. zaledni zbirki. Kakšna je odgovornost UJP, ki svojih baz ni zmogel prečistiti na ta način, da bi sporazum med KPK in njim v celoti spoštovali, se do danes ni vprašal nihče. A dejstvo je, da je od UJP na KPK naključno (pozor – NAKLJUČNO) prišlo precej osebnih podatkov, ki so Primožu omogočali podatkovno rudarjenje. Uparjal je namreč imena, ki so se slučajno znašla v rubriki »namen« na nakaznici (in tu je odgovornost UJP, ker tega niso brisali) s transakcijskimi računi, ki jih je imel v bazi oz. jih je dnevno pridobival od UJP. Dovolj je torej bilo, da se je v »namenu« enkrat pojavilo ime nekega posameznika in za vse naslednje transkacije je nato Primož (ali sistem) že vedel, za koga gre. Ali je takšna baza točna in ažurna, ali so v njej vsi, ki od javnega sektorja dobivajo avtorske honorarje? Seveda ne, saj je nastala zaradi naključnih napak preveč vestnih računovodkinj, ki so včasih v »namen« zapisale, za koga je avtorski honorar, in včasih ne. So se računovodkinje vsaj enkrat zmotile pri vseh prejemnikih, da je Primož lahko podatke uparil? Sem prepričana, da ne. In mnogih zato danes med javno objavljenimi prejemniki avtorskih honorarjev ni.

Matej, če bi to počela policija, bi že skočil – lažje pa je seveda pod prste gledati drugim kot sebi.

Če bi se vsi tako ihtavo zaleteli v zbiranje podatkov v javni upravi kot je to storil g. Štefanec z nadgradnjo Supervizorja, ki je globoko zarezal in posegel v varstvo osebnih podatkov, potem se nam ne piše nič dobrega. Spomnite se samo združevanja baz podatkov na GURS na eni vstopni točki, kar je Ustavno sodišče kljub zakonskemu temelju v ZEN prepovedalo, pomislite, kaj bi bilo, če bi kar začeli nalagati podatke v e zdravje brez zakonskih podlag in varovalk in še bi lahko naštevala. V pravni državi se z bazami osebnih podatkov pač ne igramo kot bi igrali Monopoly ali kot bi zidali gradove iz peska v peskovniku pred otroškim vrtcem, ko z eno lopatko enkrat zajamemo dovolj, enkrat preveč in včasih premalo in peščeni grad zato ni dovolj trden. Supervizor je peščeni grad, ki razpada, ker se dva (ali več njih) igrata igrico.

Razumem Matejeve pomisleke, ko razlaga, da je bilo veliko razlogov s strani odgovornih, da se to in to ne da in sem tudi zato podpirala Supervizor kot ad hoc projekt, ki je svetovni fenomen. A zadnji dogodki so pokazali, da je ta zbirka podatkov prerasla začetne entuzijazme in da je prišel čas, da se jo spravi v zakonske okvire, torej zregulira. Regulira zato, da g. Štefanec ne bo imel na razpolago igrače, ki jo bo uporabljal kot se bo njemu zahotelo, in na drugi strani regulacija zato, da državni organi ne bodo nikoli v določenem trenutku mogli reči – podatkov ne damo. Supervizor je potreben, je nujen in izklapljanje ter vklapljanje sistema, kot se komu zazdi, ne koristi nikomur, a samovolja primožev ali štefanecev v pravni državi ne more in ne sme postati standard, ki bi se ga poslužil morda lahko še kakšen državni organ.

Le načelo zakonitosti onemogoča arbitrarnost in daje jasna pravila, kaj se lahko objavi in predvsem, katere podatke nek državni organ lahko ima v svojih zbirkah osebnih podatkov. KPK pa je pri osebnih podatkih zašel v čisto polje arbitrarnosti, ko se sam odloča, kaj bo v Supervizorju objavil in česa ne, celo sam si čez palec določa mejne zneske v imenu javnega interesa. Včeraj je to bilo 200.000 eur v desetih letih, danes je 150.000 eur, jutri bo znesek v imenu tega istega javnega interesa in načela sorazmernosti (katerega vrednotenje se bo čez noč spremenilo) spet nek drug. Arbitrarnost? Da.

Nimam težav opravičiti se Primožu, ki je opravil enormno delo, z veliko entuziazma in dobre volje. Oprosti torej Primož, če sem rekla kaj, kar ne drži. Lahko ti rečem samo hvala za vse, kar si opravil za KPK in Slovenijo. Prav pa je tudi, da si se umaknil, če ne moreš sprejeti dejstva, da so v pravni državi določene omejitve potrebne in nujne. Delati za državni organ pač ni isto kot biti civilna družba.

Mateju pa sem dolžna še eno pojasnilo. Zapisal je, da me objava ostalih osebnih podatkov – o družbenikih, zastopnikih in članih nadzornih svetov, takrat, torej leta 2011 ni zmotila. Naj ti prišepnem, tudi danes me ne. Čeprav se ne maram pogovarjati o tem, kaj koga moti in koga drugega ne moti. Če se želimo kititi z atributom pravne države, je treba tako pomembne posege v človekove pravice urejati z zakoni, in ne po občutkih ljudi, ki imajo moč ali glasno izražajo svoje mnenje. Vem pa, kaj je zmotilo novo pooblaščenko – indeksiranje Googla, ki je danes veliko bolj napredno in sofisticirano, kot je bilo leta 2011, ko si pomagal zagnati Supervizor. Naj ti povem še nekaj. Tik pred iztekom mojega mandata smo na Pooblaščenca dobili prijavo nekega gospoda, za katerega je Google vrgel ven zadetek iz Supervizorja, da je na fiduciarni račun nekega odvetnika prejel dokaj visok znesek odškodnine. Javen podatek, Matej? Seveda ne. Ko smo KPK ju rekli, da bi bilo to potrebo popraviti, je Primož (ja, Primož!) rekel, da ne bo. Zgodbe torej v tem delu nisem dokončala jaz, temveč nova pooblaščenka. In da, jaz bi se odločila enako.

Za konec pa še o obtožbah glede dejstva, da je Supervizor deloval na zasebnem strežniku ter da naj bi KPK, kot si zapisal ti, Matej, pod bivšim vodstvom s Primožem Brataničem ne imela sklenjene ustrezne pogodbe. To je dejstvo, ki ga je ugotovila sedanja pooblaščenka. Z vidika določil Zakona o varstvu osebnih podatkov pač Primož ni imel ustrezne pogodbe in opravičevati njegovo delo s členom 16.a Zakona o integriteti in preprečevanju korupcije, je neresno. Ta člen govori o pripravi strokovnih mnenj za KPK in prepovedi njihove javne objave. Vzdrževanje baze in obdelava osebnih podatkov v to pač ne sodita.

Matej, če si mislil mene, ko si zapisal, da so si tisti, ki ne želijo neprijetnih vprašanj, pričeli nadvse intenzivno truditi, da bi projekt onemogočili, ti pa lahko mirno povem, da nisem ena tistih, ki projekt želi rušiti. Želim si le, da bi ga zapeljali v zakonite vode, z dvobojem dveh šerifov, kot ju je poimenovala Alma Sedlar, pa nimam nič. Aplikacija zame ni bila moteča do objave osebnih podatkov. Na tem segmentu se je zgodil preskok, ko stvari pač niso več tako preproste, da bi jih lahko pustili takšne kot so. Predvsem zaradi zgoraj opisanih napak, ki sem jih lahko odkrila od zunaj. Pri avtorskih honorarjih zagotovo ni vse, kot bi morali biti, način, ki so ga na KPK ubrali za preiskavo, predvsem pa za pridobitev vseh teh podatkov, je pa žal izrazito sporen – najprej objavi (raje preveč kot premalo) in nato preiskuj? Jaz pravim takole – preiskuj (z ravno prav podatki) in nato, če zakon to dovoljuje, objavi.

O nespodobnih ponudbah g. Štefaneca Primožu pa tudi jaz ne bom izgubljala besed. Pravzaprav je Primož še dolgo zdržal.

Me prav zanima, kaj bi UJP rekel, če bi kakšna nevladna organizacija zahtevala točno te podatke (prosto po Mateju itak javne), kot jih na podlagi sporazuma (in ne na podlagi zakona) dobiva KPK?

In ja, transparentnost je vedno lažje zagovarjati kot zasebnost. Vem iz lastnih izkušenj.

Nataša Pirc Musar