Janë 515 kosovarë që janë prekur nga skandali me të dhënat private që u ekspozuan në publik nga kompania e sigurimeve “Sigal” në Kosovë. Të dhënat e klientëve të “Sigal” u ekspozuan edhe te platforma që ka 650 miliardë faqe të arkivuara.
“SIGAL UNIQA Group AUSTRIA në Kosovë është simbol i besueshmërisë”. Kështu thuhet në njoftimin e kësaj kompanie sigurimesh tek pjesa e blerjeve online. E për ironi, një skandal me publikimin e të dhënave personale të klientëve të kësaj kompanie ishte shfaqur bash tek blerjet e tilla.
Në fillim të nëntorit të këtij viti Agjencia për Informim dhe Privatësi (AIP) e gjeti fajtor dhe e gjobiti kompaninë ‘‘Sigal Uniqa Group Austria’’. 50 mijë euro ishte dënimi kundër kompanisë për, siç thuhet në vendim, shkeljen e dispozitave për sigurinë e të dhënave personale.
Sipas vendimit, ‘‘Sigal’’ që për President të Bordit mbikëqyrës për Shqipëri, Maqedoninë e Veriut e Kosovë e ka Avni Ponarin, skandali me publikimin e të dhënave private u zbulua nga një ankesë e vetme. Një klient i kompanisë që bleu një policë sigurimi të shëndetit për udhëtim dhe gjeti më vonë se të dhënat personale iu publikuan hic më pak se sa ne Google.
Hetimi i AIP-së pastaj do ta zbardhte krejt skandalin. Skandali? Nuk bëhej më fjalë për vetëm një klient. Numri i klientëve të prekur nga kjo rrjedhe e informatave nga klientët e “Sigal” e të qasshme nga kushdo në Google doli që të ishte 515 persona. Aty do të dilnin krejt të dhënat, përfshirë edhe numri i pasaportës.
‘‘Në kohën e inspektimit të web faqes së kontrolluesit, nuk është gjetur ndonjë publikim i të dhënave personale. Por, në momentin që është kërkuar në motorët e kërkimit (shfletuesit) “Google.com” dhe “Bing.com”, përmes një kërkimi të thjeshtë, duke shënuar “Porosia Shu – sigal-ks.com”, kanë filluar të shfaqen edhe të 3 dhëna të subjekteve tjera, duke bërë publike kategoritë e të dhënave, si: emri, mbiemri, data e lindjes, mosha, numri i telefonit, numri i letërnjoftimit (i cili paraqet numrin unik identifikues – numrin personal), numri i pasaportës, data e nisjes, data e kthimit dhe shuma e pagesës’’, thuhet në arsyetim të vendimit nga AIP.
Insajderi ka më shumë se dy javë që ka dërguar pyetje në kompaninë e sigurimeve “Sigal” në lidhje me skandalin e rrjedhjes në publik të të dhënave private të klientëve të saj, por në këtë kompani deri tash nuk janë përgjigjur edhe pse janë kontaktuar më shumë se një herë.
Insajderi i ka pyetur se pos pagesës së dënimit prej 50 mijë eurosh të AIP-ja, cilët kanë qenë hapat tjerë që kompania ka marrë karshi këtij rasti. A është shkarkuar, ose suspenduar dikush nga menaxhmenti. Kompania është pyetur se cili ka qenë vendimi i Bordit ndaj menaxhmentit, pas skandalit dhe se a janë kontaktuar secili veç e veç 515 personat e prekur nga rrjedhja e të dhënave nga “Sigal” e në Google. “Sigal” është pyetur nga Insajderi edhe nëse këta 515 persona të prekur nga kjo rrjedhje e informacioneve të tyre private në publik, a janë dëmshpërblyer dhe nëse po ne çfarë forme dhe sa ka qenë vlera e dëmshpërblimit. Në “Sigal” nuk janë përgjigjur as nëse pas vendimit të IAP-së janë kontaktuar nga Prokuroria.
Çka gjeti IAP të “Sigal”-i pas skandalit me të dhënat private?
AIP shqiptoi një gjobë prej 20 mijë euro kundër “Sigal Uniqa Group Austria” Sh. A., në cilësinë e kontrolluesit, për shkeljen e përgjithshme të dispozitave të Ligjit Nr. 06/L-082 për Mbrojtjen e të Dhënave Personale, duke ia besuar përpunimin e të dhënave personale një personi tjetër, pa lidhur kontratë me shkrim, siç parashihet në paragrafin 2 të nenit 32 të LMDhP-së.
Të njëjtit me vendim janë urdhëruar, të ndalojnë përkohësisht përpunimin e të dhënave personale përmes shitjes së produkteve në internet (online) deri në marrjen e masave dhe procedurave të nevojshme për sigurimin e të dhënave personale.
Po ashtu, shumën e përcaktuar si më sipër të njëjtit janë obliguar që ta paguajnë në afat prej 30 ditësh si dhe brenda 30 ditësh ta njoftojnë AIP-në me veprimet e ndërmarra për zbatimin e këtij vendimi.
Nuk dihet nëse kompania e ka njoftuar AOP-në, pasi që e njëjta nuk ka pranuar as të përgjigjet në pyetjeve Insajderit.
Si u zbulua skandali i “Sigal”?
Në pjesën arsyetuese të vendimit thuhet se AIP, më 20 tetor 2022, përmes postës elektronike (e-mail), ka pranuar një ankesë nga subjekti i të dhënave znj. A.A, që mbanë numrin e protokollit 647.
‘‘Në ankesë, subjekti i të dhënave ka shpjeguar se: “pas blerjes online, Kompania ‘Sigal’ ka bërë publikimin e të dhënave të mia në platformën Google. Të njëjtit kanë larguar të dhënat e mia nga vegëza (linku), por këto të dhëna figurojnë në faqen kryesore të Google sapo të kërkohet emri im në atë platformë. Ka dy javë që këto të dhëna janë publikuar në platformën online dhe në faqe të Kompanisë ‘Sigal’”, thuhet në vendim.
Në vazhdim thuhet se AIP fillimisht, ka mbledhur informacione lidhur me veprimtarinë e Kompanisë “Sigal Uniqa Group Austria” Sh. A. si dhe është kontaktuar subjekti i të dhënave për shpjegime më të detajuara.
Sipas vendimit, përmes zyrtarëve të inspektimit, më 25 tetor 2022, AIP ka filluar procedurën e inspektimit për të vërtetuar pretendimet e ankueses, ku fillimisht kanë kontrolluar web faqen zyrtare të “Sigal” https://www.sigal-ks.com, e që sipas tyre gjatë inspektimit të web faqes, është konstatuar se “Sigal” nuk informon subjektet e të dhënave dhe nuk ka ndonjë modalitet për ushtrimin e të drejtave të subjektit, ashtu siç parashihet në nenin 11 dhe 12 të LMDHP-së.
‘‘Në kohën e inspektimit të web faqes së kontrolluesit, nuk është gjetur ndonjë publikim i të dhënave personale. Por, në momentin që është kërkuar në motorët e kërkimit (shfletuesit) “Google.com” dhe “Bing.com”, përmes një kërkimi të thjeshtë, duke shënuar “Porosia Shu – sigal-ks.com”, kanë filluar të shfaqen edhe të 3 dhëna të subjekteve tjera, duke bërë publike kategoritë e të dhënave, si: emri, mbiemri, data e lindjes, mosha, numri i telefonit, numri i letërnjoftimit (i cili paraqet numrin unik identifikues – numrin personal), numri i pasaportës, data e nisjes, data e kthimit dhe shuma e pagesës’’, thuhet në arsyetim të vendimit nga AIP.
Po ashtu, thuhet se AIP kanë zhvilluar inspektimin në selinë e “Sigal”-it me ç’rast është hartuar edhe procesverbal si dhe në vazhdimin e procesit të inspektimit thuhet se kanë kërkuar nga “Sigal” informacione shtesë lidhur me trajtimin e çështjes së publikimit të të dhënave personale në internet.
Gjithnjë sipas vendimit thuhet se “Sigal” ka kthyer përgjigje më 31 tetor 2022, po ndër të tjera përfshihet se ‘‘….Për rrjedhjen e të dhënave kemi kuptuar me rastin e pranimit të ankesës nga klientja A.A, me datën 19.10.2022, në ora 16:25. Klientja e ka adresuar ankesën e saj në adresën info@uniqa-ks.com, e cila kontrollohet nga Departamenti i Administratës – Recepsioni.
Në mungesë të informacionit, zyrtarja përgjegjëse e ka drejtuar ankesën te zyrtarët e Departamentin e TI-së dhe përgjegjësja e produktit, që do të thotë se në mungesë të informacionit dhe adresimit të duhur nuk është njoftuar Agjencia për Informim dhe Privatësi brenda 72 orëve për ankesën. Numri i personave të prekur: 515. Parashtruesja e ankesës ka qenë e informuar nga fillimi për procesin e fshirjes së të dhënave nga ‘search engine’ “Google”.
“Sigal”-it iu kërkua ta ndalte shitjen online
Pas paraqitjes se ankesës nga klientja, është kontaktuar menjëherë BBB (kompani, e cila mirëmbajnë ‘website’ e kompanisë tonë) për fshirjen e të dhënave të të gjithë klientëve, të cilat 4 janë publikuar. BBB, menjëherë, ka fshirë të dhënat e publikuara në’ Google search engine’, thuhet në vendimin e AIP.
“Sigal” kishte dërguar një përgjigje pastaj.
“Deri në momentin që kemi pasur inspektim nga ana juaj, ne nuk kemi qenë të informuar që të dhënat janë gjithashtu të publikuara edhe në ‘Yahoo’ dhe ‘Bing search engine’. Sapo kemi marr këtë informacion, menjëherë kemi kontaktuar BBB më datën 25-10-2022 dhe me urgjencë kemi kërkuar edhe nga ata që t’i fshijnë të gjitha të dhënat e publikuara në ‘search engines’ tjera. Më datën 26-10-2022 kemi pranuar konfirmimin nga BBB që të dhënat e klientëve janë fshirë edhe në ‘search engines’ tjera. Gjithashtu, kemi kërkuar që menjëherë të ndërpritet moduli i shitjes ‘online’ për të gjitha produktet. Politika për mbrojtjen e te dhënave personale është aprovuar me datën 03-06-2019 dhe është ne disponueshmëri në ‘server’ për të gjithë punonjësit e kompanisë….’’, shkruhet në vendim.
Ndërkaq, në pjesën e vendimit të analizës ligjore dhe të gjetura, thuhet se Ligji Nr. 06/L-082 për Mbrojtjen e të Dhënave Personale (LMDhP) përcakton të drejtat, përgjegjësitë, parimet dhe masat ndëshkuese lidhur me mbrojtjen e të dhënave personale dhe privatësinë e individit, e po ashtu në nenin 4, ka përcaktuar parimet themelore për përpunimin e të dhënave personale që duhen respektuar me rastin e përpunimit të të dhënave personale, siç janë: parimi i ligjshmërisë, parimi i kufizimit të qëllimit, parimi i minimizimit të të dhënave, parimi i saktësisë, parimi i kufizimit të ruajtjes, parimi i paprekshmërisë dhe konfidencialitetit dhe në fund, parimi i llogaridhënies, i cili përcakton se kontrolluesi duhet të jetë përgjegjës dhe në gjendje të zbatojë përputhshmërinë e të gjitha parimeve të përcaktuara si më lart.
Tutje, thuhet se “Sigal”, gjatë ofrimit të shërbimeve në internet (online), shitjes së policave, ka ndërtuar modulin e shitjes, i cili, përmes plotësimit të fushave me të dhëna personale, nga subjekti i të dhënave ka pranuar të dhënat personale, por që nuk ka njoftuar subjektin e të dhënave sipas 8 nenit 12 të LMDhP-së.
‘‘Ndërsa, sipas dokumentit “Politika për Mbrojtjen e të Dhënave Personale”, në pikën 4.3.4, vet kontrolluesi ka përcaktuar se çdo web faqe e jashtme e ofruar nga kontrolluesi do të përfshijë një “Njoftim Privatësie/Privacy Notice” në internet dhe një linjë interneti “Njoftimi i Cookies/Cookies Notification” që përmbushë kërkesat ligjore. Pas inspektimit të bërë nga ana e Agjencisë, është konstatuar se edhe pse kjo është paraparë në këtë dokument, kontrolluesi në praktikë nuk ka zbatuar këtë pikë të politikës, të cilën vet e ka miratuar më datë 03.06.2019’’, sqarohet tutje në vendim.
Të dhënat e klientëve të “Sigal” u ekspozuan tek platforma që ka 650 miliardë faqe të arkivuara
Tutje sipas AIP-së, shkaku i shkeljes së të dhënave personale është bërë si pasojë e zhvillimit të modulit të shitjeve në internet (online), i cili, të gjitha porositë që gjenerohen nga shtija në internet, i gjeneron në kuadër të ‘wordpress Page’ dhe statusin e shitjeve apo porosive, e ka ruajtur si publik dhe ka lejuar qasje në të dhënat personale të blerësit apo porosisë së policës, si dhe ka mundësuar që motorët e kërkimit-shfletuesit (si Google, Bing, etj.), të mbledhin këto të dhëna për të shërbyer gjatë kërkimeve.
Në vendim thuhet se sipas të dhënave që AIP ka siguruar nga web faqja https://ëeb.archive.org, e cila arkivon faqe të internetit dhe deri më tani ka mbi 650 miliardë faqe të arkivuara, në të cilën gjendet edhe faqja e kontrolluesit, shërbimi i blerjes së policave të sigurimit për shëndetin në udhëtim është lansuar të paktën dy vite më herët, që do të thotë se shkelja e të dhënave ka ndodhur që nga zhvillimi dhe lansimi i këtij moduli të blerjes.
Sipas AIP-së, “Sigal” nuk ka marrë masat e duhura teknike dhe organizative për të siguruar një nivel sigurie të përshtatshëm ndaj rreziqeve të përfshira në përpunimin e të dhënave personale nga kontrolluesi i të dhënave.
Ndërkaq thuhet se “Sigal” ka pranuar faktin se mirëmbajtjen së web-faqes së internetit ia ka besuar një kompanie të jashtme dhe se dokumenti “Ofertë për Sigal Uniqa Group Austria – Kosovë”, si dhe marrëveshja për moszbulim dhe konfidencialitet (NDA), sipas AIP-së nuk përmbushin kriteret e përcaktuara në ligj për përpunimin e kontraktuar të të dhënave.
Po ashtu thuhet se kontrolluesi, edhe pse ka ardhur në dijeni se përveç parashtruesit të ankesës, në këtë shkelje janë të përfshirë edhe persona të tjerë, i njëjti nuk ka përmbushur detyrimin e tij për të ndërmarrë veprime, ashtu siç është përcaktuar në nenin 34 të LMDhP-së, pra nuk ka njoftuar subjektet e të dhënave lidhur me shkeljen e ndodhur.
Në vazhdimin e arsyetimit të vendimit thuhet se AIP ka konstatuar se kontrolluesi, me rastin e ofrimit të shërbimit të shitjeve përmes internetit (online), fillimisht nuk ka njoftuar subjektet e të dhënave me rastin e grumbullimit të të dhënave personale, siç përcaktohet në nenin 4, paragrafi 1, nenin 11, nenin 12 të LMDhP-së.
Po ashtu, thuhet se gjatë përpunimit të të dhënave personale nuk ka ndërmarrë masat e duhura të sigurisë së përpunimit të të dhënave personale, siç përcaktohet në nenin 31 të LMDhP-së.
Kurse, me rastin e delegimit të mirëmbajtjes së shërbimeve të web faqes së kontrolluesit, thuhet se të njëjtit nuk kanë lidhur kontratë për përpunimin e të dhënave personale, siç përcaktohet në nenin 32.
Dhe se pas marrjes së informacionit lidhur me shkeljen e të dhënave personale, brenda afatit ligjor nuk ka njoftuar Agjencinë si dhe subjektet e të dhënave personale, ashtu siç përcaktohet në nenin 33 dhe nenin 34 të LMDhP-së.
Kundër këtij vendimi nuk lejohet ankesa, por që pala e pakënaqur mund të iniciojë konflikt administrativ në Gjykatën Themelore në Prishtinë, Departamenti për Çështje Administrative, brenda afatit prej 30 ditësh.
Nga “Sigal” nuk kanë njoftuar deri tash publikisht nëse e kanë çuar rastin në Gjyq./Reporteri.net/
Reporteri.net është gazetë online e lajmeve nga vendi dhe bota. Qëllim kryesor ka informimin e drejtë, të paanshëm dhe të shpejtë. Reporteri.net, në pronësi të “R Media L.L.C.”, është themeluar në mars të vitit 2019 dhe drejtohet nga gazetarët Bekim Kabashi dhe Mentor Gjergjaj.
E-Mail: info@reporteri.net
Marketing: marketing@reporteri.net
Adresa: Rr. UÇK, Nr. 102/11 10000 Prishtinë, Kosovë
