Delimo informacijo, ki smo jo na prejeli na Skupnosti višjih strokovnih šol od Informacijskega pooblaščenca glede nepravilnosti pri zagotavljanju obveznosti višjih strokovnih šol kot upravljalcem osebnih podatkov študentov.

Informacijski pooblaščenec je kot pristojni nadzorni organ v okviru inšpekcijskega postopka št. 06100-107/2023 ugotovil nepravilnosti pri zagotavljanju obveznosti, ki jih Splošna uredba v členu 32 (varnost obdelave) nalaga višjim strokovnim šolam kot upravljavcem osebnih podatkov študentov. 

Informacijski pooblaščenec je dne 23.8.2023 prejel obvestilo o ranljivosti spletne aplikacije EvidencaVSS (E-Index), ki omogoča prijavo študentov na izpit na podlagi vpisne številke in osebnega gesla študenta in je povezana z zbirkami podatkov o študentih, ki jih vodijo posamezne višje strokovne šole. Zaradi ranljivosti spletne aplikacije je trenutno mogoče nepooblaščeno dostopati do osebnih podatkov študentov (ime, priimek, vpisna številka, datum rojstva, kraj rojstva, državljanstvo, naslov, številka osebnega telefona, osebni in službeni e-naslov, EMŠO) vpisanih v slovenske višje strokovne šole. Neustrezno zagotavljanje varnosti osebnih podatkov študentov, ki ima za posledico nepooblaščen dostop do osebnih podatkov v skladu z določbo člena 4(12) Splošne uredbe pomeni kršitev varnosti osebnih podatkov in s tem kršitev člena 32 Splošne uredbe.

Razvijalec spletne aplikacije je ranljivost analiziral in pripravil navodila za odpravo ranljivosti. Popravek in navodila za namestitev popravka sta dostopna na naslednji povezavi: https://sovd.gov.si/app/public/#/download/UieIU9YQhFCm73i9SYYZjaPInp7j56?prej=193553

Na voljo smo za vsa vaša vprašanja.

Sekretariat Skupnosti VSŠ