Hvala za besedo, predsedujoča. Se pravi, informacijski pooblaščenec se s to zadevo ukvarja v okviru pravil varstva osebnih podatkov. Torej, kar nekaj vprašanj, ki ste jih izpostavili izven tega področja. Ampak kot je že bilo povedano, informacijski pooblaščenec je prejel anonimno prijavo in pač takoj ukrepal. Obvestil zavezanca glede ranljivosti, da je bila ranljivost takoj odpravljena in da seveda ni, da se ni mogla zgoditi neka nadaljnja zloraba.

Takoj, informacijski pooblaščenec je stvar takoj začel preiskovati v inšpekcijskem postopku. Zdaj, namen inšpekcijskega postopka pa je odprava nepravilnosti oziroma vseh teh uveljavitev ukrepov, ki preprečujejo, da se kakršnakoli taka nepravilnost spet pojavi, da se pojavlja naprej, da prihaja do zlorab. Inšpekcijski postopek imamo mi v teku še vedno. Skoncentriran je na preverjanje skladnosti z 32 členom splošne uredbe o varstvu podatkov in 34 členom. 32. člen govori o tem, da mora upravljavec osebnih podatkov sprejeti take ukrepe zavarovanja, da bodo podatki varni pred nepooblaščenimi dostopi in tudi celoviti in dostopni za tistega. Se pravi, to je en fokus. 34. člen pa govori o tem, da kadar pride do kršitve varstva osebnih podatkov in mora upravljavec o tem obvestiti prizadete posameznike. Se pravi, to je fokus inšpekcijskega postopka, ta še traja in zato več informacij na tej točki zaradi interesa postopka jaz ne morem podati tukaj. Obravnavamo pa to absolutno z najvišjo prioriteto in bo tudi v zelo kratkem zaključen. En del tega inšpekcijskega postopka je seveda tudi seznanitev s poročilom Urada za informacijsko varnost. S tem se še nismo mi seznanili, kjer je več informacij pač o forenzičnem delu tega primera.

Se pravi, bistvo pod črto je to, da je bistvo našega postopka ta, da se odpravijo vse pomanjkljivosti, ki so vodile v to ranljivost in v to razkritje podatkov in da se zagotovi zavarovanje teh podatkov za naprej. In ko je to zagotovljeno, ko so sprejeti vsi ukrepi s strani zavezanca, ki je tu, v našem primeru Urad za varno hrano, takrat mi postopek lahko zaključimo, ker je odpravljena, se pravi, ta neskladja, nepravilnost. Potem pa se seveda ugotavlja odgovornost za kršitev v prekrškovnem postopku. Ampak to je pa naslednja faza, o kateri tudi na tej točki zdaj ne moremo še.

Glede vašega vprašanja o tveganjih za posameznike. Se pravi, naš drugi fokus v tovrstnih primerih, je neka pomoč, svetovanje posameznikom, kaj lahko narediti, kadar pride do raznih takih razkritij podatkov. In tu smo. Na informacijskem pooblaščencu, smo objavili sporočilo za javnost, z razumljivimi navodili in pojasnili, kaj in kako se lahko posamezniki zaščitijo. Dejstvo je, da sta, zaenkrat je dejstvo, še vedno ostaja, da zaenkrat ni indicev, da bi bili ti podatki kje dostopni, na spletu, na temnem spletu, se pravi, zaenkrat še vedno ni indicev, da bi bili uporabljeni za kak drug namen, kot za se pravi prijavo ranljivosti in pomanjkljivosti pri zavarovanju, ampak ne glede na to, v to seveda ne moremo biti prepričani, na tak način, torej velja vseeno, da je dobro, da posamezniki poznajo tveganja, katerim so lahko izpostavljeni v primeru tovrstnih izpostavljenosti osebnih podatkov. Se pravi, če sta izpostavljena davčna in EMŠO, to vsekakor je neka kombinacija, ki omogoča neko ranljivost pred dodatnimi zlorabami. Se pravi, tukaj govorimo lahko o krajah identitete, lahko govorimo o tem, da se nekega posameznika premami, da se ga prevara v to smer, da posreduje še dodatne osebne podatke in se potem lahko zgodijo zlorabe.

Je pa dejstvo, kar je pa tudi treba opozoriti, da za neke pomembnejše pravne posle, se pravi sklepanje pogodb, bančni posli in tako naprej. Običajno je poleg EMŠO in davčne zahtevana še neka tretja vrsta ali identifikacija, mora človek priti osebno na mesto, mora pokazati osebni dokument, mora biti neka dvojna avtentikacija, uporabniški, email računi. Tako da predvsem je naš nasvet vsem, ki bi se našli v tem opisu te zbirke, ta, da so izjemno pazljivi pri poslih, kjer sta udeležena in davčna in EMŠO. Pa še kak drug način avtentikacije in identifikacije, da ne bi pač domnevali, da zgolj zaradi poznavanja EMŠO in davčne, bi pozabili na to, da je treba biti previden.

Glede upravljavcev raznih registrov, pa z naše strani velja enako. Treba je biti izjemno previden pri dodajanju dostopnih pravic, pri tem, da zavarovanje podatkov ni enkratna naloga, ampak je nekaj, kar se mora dogajati stalno, v vseh ciklih obdelave podatkov, da mora biti stalno posodobljena, sploh kadar gre za registre in zbirke podatkov, ki so tako široke in ki vključujejo tako veliko število posameznikov.

Tako da mogoče na tej točki z moje strani je to, to vse, več pa bomo lahko podali informacij, ko bo postopek zaključen.