Konstatimet nga supervizioni i realizuar në KSHZ

Më qëllim të rritjes së transparencës në punën dhe informimin e publikut me zhvillimet aktuale në lidhje me incidentin e ndodhur më 15.07.2020 në ueb faqet e internetit të Komisionit Shtetëror të Zgjedhjeve (në tekstin e mëtejmë: KSHZ), Ju informojmë se më 29 korrik 2020 Agjencia për Mbrojtjen e të Dhënave Personale (në tekstin e mëtejmë: AMDHP) realizoi supervizion të jashtëzakonshëm në KSHZ.

Supervizioni i  jashtëzakonshëm është kryer në bazë të detyrës zyrtare me qëllim që të kontrollohen dhe hetohen shkeljet e mundshme të sigurisë së të dhënave personale të përpunuara nga KSHZ, në lidhje me incidentin e ndodhur në mbrëmjen e 15.07.2020, menjëherë pas realizimit të zgjedhjeve të parakohshme parlamentare 2020.

AMDHP konstatoi disa shkelje të rregullave për mbrojtjen e të dhënave personale nga KSHZ-ja, edhe atë:

1. KSHZ nuk ka marrë masa të duhura teknike dhe organizative në lidhje me mbrojtjen e ueb  faqeve të internetit dhe infrastrukturës informatike që të siguroj nivel të sigurt të përshtatshëm për rreziqet.

2. KSHZ nuk ka testuar sistemin softuerik për realizimin e Zgjedhjeve Parlamentare 2020 të Duna Shkup para implementimit apo pas ndryshimeve të bëra me qëllim të kontrollimit nëse sistemi garanton siguri të të dhënave personale në përputhje me rregulloret për mbrojtjen e të dhënave personale.

3. KSHZ gjatë angazhimit të  Duna Shkup si përpunues i të dhënave personale veproi në kundërshtim me rregulloret për mbrojtjen e të dhënave personale.

4. KSHZ gjatë përdorimit të teknologjive të reja për disa lloje të përpunimit (në rastin konkret sistemin softuerik për realizimin e Zgjedhjeve Parlamentare 2020 të Duna Shkup), nuk ka kryer vlerësim të ndikimit të operacioneve të planifikuara të përpunimit në lidhje me mbrojtjen e të dhënave personale.

5. KSHZ  vendos dokumentet me të dhënave personale në Google Drive dhe të njëjtat i publikon në ueb faqen e sajë, me çrast  transferon të dhëna personale. Njëherit, KSHZ shfrytëzon shërbimet e CloudFlare, infrastruktura kryesore e të cilit ndodhet jashtë territorit të Republikës së Maqedonisë së  Veriut. Prandaj, KSHZ ka vepruar në kundërshtim me rregullin e përgjithshëm për transferimin e të dhënave personale.

6. KSHZ (si kontrollues) dhe Duna Shkup (si përpunues) nuk e kanë përmbushur detyrimin që të raportojnë AMDHP për shkeljen e sigurisë së përpunimit të të dhënave personale.

7. KSHZ nuk i ka dokumentuar shkeljet e sigurisë së të dhënave personale dhe nuk ka vendosur proces të brendshëm për evidentimin e shkeljeve të sigurisë së të dhënave personale.

8. KSHZ nuk e  ka përmbushur detyrimin për të caktuar oficer për mbrojtjen e të dhënave personale.

9. KSHZ nuk ka caktuar administrator të sistemit informatik.

Për realizimin e supervizionit të jashtëzakonshëm AMDHP ka sjellë Aktvedim me masa korrigjuese dhe afate për mënjanimin e shkeljeve të konstatuara.