Агенцијата за заштита на личните податоци утврди повеќе повреди на прописите за заштита на личните податоци од страна на Државната изборна комисија, при вонредната супервизија поради хакирањето на веб-страницата на ДИК на денот на одржување на изборите, 15 јули.
АЗЛП утврдила дека ДИК не применила соодветни технички и организациски мерки во однос на заштитата на веб-страниците и информатичката инфраструктура за да обезбеди ниво на безбедност соодветно на ризикот.
Исто така, ДИК не извршила тестирање на софтверскиот систем за спроведување на Парламентарните избори 2020 година на „Дуна“ ДОО Скопје пред неговото имплементирање или по извршените промени со цел да се провери дали системот обезбедува безбедност на личните податоци согласно прописите за заштита на личните податоци.
Во извештајот на Агенцијата, исто така, се наведува дека ДИК при ангажирање на „Дуна“ ДОО Скопје како обработувач, постапила спротивно на прописите за заштита на личните податоци.
„ДИК при користење нови технологии за некој вид обработка (во конкретниот случај софтверскиот систем за спроведување на Парламентарните избори 2020 година на Дуна ДОО Скопје), не извршила проценка на влијанието на предвидените операции на обработката во однос на заштитата на личните податоци. ДИК поставува документи со лични податоци на Google Drive и истите ги објавува на своите веб-страници, со што врши пренос на личните податоци. Воедно, ДИК ги користи услугите на CloudFlare, чија главна инфраструктура е лоцирана надвор од територијата на Република Северна Македонија. Оттука, ДИК постапила спротивно од општото правило за пренос на личните податоци“, се наведува во извештајот.
Исто така, АЗЛП утврдила дека ДИК (како контролор) и „Дуна“ ДОО Скопје (како обработувач) не ја исполниле обврската за известување за нарушување на безбедноста на обработката на личните податоци до АЗЛП.
ДИК не ги документирала нарушувањата на безбедноста на личните податоци и немала воспоставено внатрешен процес на евидентирање на нарушувањата на безбедноста на личните податоци, а не ја исполнила ниту обврската за определување на офицер за заштита на личните податоци и не определила администратор на информацискиот систем.
„За извршената вонредна супервизија АЗЛП донесе решение со мерки за отстранување на утврдените повреди и рокови во кои ДИК треба да постапи и да го усогласи своето работење со прописите за заштита на личните податоци“, соопшти Агенцијата