Nedavno prenovljeni Erar pod lupo informacijske pooblaščenke
Urad informacijske pooblaščenke Jelene Virant Burnik je prejel tri prijave, vezane na objavo osebnih podatkov v prenovljeni aplikaciji Erar, s katero upravlja Komisija za preprečevanje korupcije (KPK).
Nova aplikacija Erar, ki prinaša več podatkov o nakazilih proračunskih porabnikov, je takoj po objavi dvignila veliko prahu. Mediji so poročali o milijonskih nakazilih Gen-I fizičnim osebam, ki pa so se izkazala za sistemsko napako.
Tu povejmo, da je bilo državno energetsko podjetje ob prenovi verjetno deležno večje pozornosti “raziskovalcev” in medijev tudi zato, ker je kot edino poskušalo preprečiti objavo novega Erarja.
Gen-I je za napako z milijonskimi nakazili okrivil Komisijo za preprečevanje korupcije (KPK), ki skrbi za Erar. Na protikorupcijski komisiji pa so poudarili, da podatke črpajo iz sistema uprave za javna plačila, ki je že do zdaj vse transakcije objavljala v svoji javno dostopni aplikaciji. Uprava za javna plačila je nato sporočila, da je šlo za sistemsko napako in da je bila izvorna težava napačna klasifikacija računa v Ajpesovem poslovnem registru.
Predsednik KPK Robert Šumi je prejšnji teden dejal, da je prenovljeni Erar “nehote pokazal na pomanjkljivosti oziroma napake pri skrbnikih evidenc oziroma v bazah podatkov drugih državnih organov, ki jih prejšnja različica Erarja ni prikazovala”. Do danes še ni povsem jasno, kje točno je napaka nastala ter ali jo je mogoče pripisati enemu samemu državnemu organu. Posebna delovna skupina KPK, uprave za javna plačila (UJP) in Ajpesa naj bi izsledke predstavila v kratkem.
Tri prijave
Nova različica Erarja razkriva tudi nakazila fizičnim osebam ter nakazila v tujino, opravljena od 1. septembra 2024 dalje. V obeh primerih so razkrita nakazila, višja od mesečne bruto plače predsednice republike (trenutno okoli 6.700 evrov bruto).
V treh tednih pa je urad informacijske pooblaščenke Jelene Virant Burnik v zvezi z novo aplikacijo in objavo osebnih podatkov prejel tri prijave. Kdo jih je podal, ne razkrivajo, saj vezano na 16. člen zakona o inšpekcijskem nadzoru velja dolžnost varovanja tajnosti vira prijave. Dodali so, da so takoj po prejemu prve prijave na KPK naslovili poziv za pojasnila, postopki pa so v teku.
Zagate za espeje
Kot so nam pojasnili v uradu pooblaščenke, se z vidika varovanja osebnih podatkov v novi aplikaciji nakazujejo tri težave. Prva je vezana na zakonitost javne objave podatkov samostojnih podjetnikov posameznikov. Na uradu niso podrobneje pojasnili, za kaj gre.
O eni težavi je nedavno že poročal N1, in sicer, da so objavljeni podatki (davčna številka in naslov) o lastnikih že zaprtih espejev, ki ne bi smeli biti javno dostopni. Kot so takrat za N1 pojasnili v uradu informacijske pooblaščenke, z izbrisom podjetja ti podatki “zopet pridobijo naravo varovanih osebnih podatkov, saj gre za osebne podatke določljive fizične osebe — posameznika”. V KPK pa so za N1 dejali, da bodo “v čim krajšem času” poiskali tehnično rešitev in zapis uskladili s tistim v Ajpesu, ki osebne podatke po izbrisu prekrije.
Problem naj bi se po naših informacijah pokazal tudi pri espejih, ki nimajo ločenega osebnega in poslovnega bančnega računa, temveč skupni (tako imenovani osebno-poslovni) bančni račun. Tem se v Erarju pokažejo vsa nakazila proračunskih porabnikov, ki pa lahko vsebujejo tudi nakazila socialnih transferjev. Na KPK pravijo, da so to omejili tako, da so preventivno izločili nakazila s kodami, ki se praviloma uporabljajo za transferje.
Na KPK ob tem poudarjajo, da je – kot je že pred leti opozoril urad informacijske pooblaščenke – ključno, da banke komitenta že ob izbiri računa za espe opozorijo, da poslovni račun pomeni javno objavo podatkov.
Prekrili namen nakazila
Druga morebitna težava, ki so jo zaznali v uradu informacijske pooblaščenke, je razkrivanje osebnih podatkov pri navedbi namenov nakazil. Pri nekaterih nakazilih, ki jih vsebuje prenovljeni Erar, so (bili) namreč v namenu navedeni osebni podatki.
Kot so nam pojasnili na KPK, se je izkazalo, da imajo zaposleni pri proračunskih porabnikih, ki vnašajo podatke o transakcijah, zelo različne prakse glede vpisovanja kod namena in samega namena nakazila. Nekateri so za večjo preglednost v namen nakazila vpisovali imena prejemnikov ali druge osebne podatke. Ker tehnično objave teh podatkov ni mogoče prestreči, zdaj komisija načrtuje preventivno akcijo, s katero nameravajo zaposlene v računovodstvih podučiti o tem, da se podatek lahko prelije v Erar.
Zaenkrat pa je KPK ukrepala tako, da je prekrila zapise v namenu nakazila fizičnim osebam. To je začasen ukrep, dokler se ne ugotovi, ali je zakonodaja o varstvu osebnih podatkov nad zakonom o integriteti in preprečevanju korupcije.
Tretja težava, ki jo je zaznal urad informacijske pooblaščenke, pa je povezana z “zakonitostjo objave osebnih podatkov javnih uslužbencev v zvezi z nekaterimi njihovimi plačili iz delovnega razmerja”. Za kaj natančno gre, ni znano.
Pobude Gen-I ne vidijo kot pritisk
Spomnimo, da še vedno poteka tudi ustavna presoja zakonske podlage za novi Erar, ki jo je vložil Gen- I.
Šumi je prejšnji teden dejal, da je na KPK ne razumejo kot pritisk. “Lahko si mislimo svoje,” je dejal, a dodal, da so svoje stališče pojasnili tako ustavnemu sodišču kot državnemu zboru in vladi, ki sta KPK pritrdila. “Počakajmo na sodbo sodišča,” je sklenil.
