Kam (para)država izvaža vaše osebne finančne podatke
Modra zavarovalnica mi je poslala geslo, za dostop do mojega računa, ki ga imam pri njih. To, da imam račun pri njih je bolj kot ne stvar naključja. Preko PIDovskih delnic, sem dobil neke pokojninske bone, ki so na koncu rezultirali v sredstvih v Prvem Pokojninskem Skladu (PPS). Za 125 EURov je tega sedaj na mojem računu. Te podatke z veseljem delim z vami, saj, če jih lahko imajo v San Franciscu, zakaj jih ne bi imel še na svojem blogu?
Jup, Modra zavarovalnica, zavarovalnica v lasti Kapitalske družbe, ki je v 100% lasti naše države, podatke izvaža in obdeluje na drugi, nekateri pravijo hudobni, strani sveta. Morda zavarovalnica poleg PPS upravlja tudi Zaprti pokojninski sklad za javne uslužbence, Kapitalski vzajemni pokojninski sklad in Kritni sklad PPS. Skratka, Modra zavarovalnica ima podatke o velikem številu javnih uslužbencev. Koliko od teh podatkov, poleg podatkov o PPS hrani v ZDA, je jasno le njim.
No, kako sem prišel do tega, da so podatki tam, čez lužo?
Enostavno, že prijava na Modri e-račun, na osnovni strani Modre zavarovalnice, nas pripelje na naslov: https://e-modra.secure.force.com/. Po prijavi pa končamo na https://e-modra.secure.force.com/MojePolice_tab. Se pravi na spletnem mestu FORCE.COM, ki je sicer znan ponudnik oblačnih storitev.
Poglejmo natančneje. Naslov https://e-modra.secure.force.com se preslika v IP: 96.43.144.42. Le ta pa se po podatkih WhatIsMyipaddress.com nahaja v San Franciscu. Tudi IPlocation.net nam postreže z enako informacijo. Tam je pa registriran tudi certifikat, ki zagotavlja, da je vse skupaj varno.
Zdaj, ali je to kaj spornega? Če bi bili podatki v EU, ne bi bilo problema. Do tretjih držav pa je zakonodaja malce bolj stroga. In sicer mora upravljalec zbirke pridobiti odločbo državnega nadzornega organa, pred tem pa izkazati pravni interes. Kakšen pravni interes, bi imela Modra zavarovalnica, razen recimo optimizacije stroškov, mi ni jasno. Ampak ali je to res pravi razlog? ZDA se sicer nahajajo na spisku držav, ki imajo ustrezno zakonodajo glede tega, ampak je mnenje pogojno pozitivno. Force.com verjetno zadošča vsem potrebnim načelom Safe harbor, kar pomeni, da je ravnanje Modre zavarovalnice verjento zakonito.
Varovanje osebnih podatkov se zelo poudarja zadnje čase. Vemo, da je naša pooblaščenka imela posebne pogoje pred dovoljenjem za google street view. Tukaj gre pa za še bistveno bolj občutljive podatke. Le kaj Nataša Pirc Musar poreče na vse to?
Zasledili smo vaša razmišljanja glede varnosti osebnih finančnih podatkov pri Modri zavarovalnici, do katerih lahko dostopate z uporabo spletne storitve Modri e-račun.
Storitev Modri e-račun je podprta z vodilno informacijsko rešitvijo Salesforce za podporo upravljanju odnosov s strankami, ki jo uporabljajo tudi velike mednarodne korporacije s sedeži v Evropski uniji. V celoti zadostuje smernicam Varstva osebnih podatkov in računalništva v oblaku, ki jih je izdal Informacijski pooblaščenec Republike Slovenije dne 15. 6. 2012 in zahtevam Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07 UPB; v nadaljevanju ZVOP-1).
Na seznamu tretjih držav, za katere je Informacijski pooblaščenec ugotovil, da imajo zagotovljeno raven varstva osebnih podatkov, so tudi ZDA, saj zagotavljajo ustrezno raven varstva osebnih podatkov v delu, ko gre za iznos osebnih podatkov organizacijam, ki delujejo po načelih varnega pristana, uveljavljenih v skladu z najpogosteje zastavljenimi vprašanji (FAQ), ki jih je 21. julija 2000 izdalo Ministrstvo za trgovino ZDA; Odločba št. 0601-2/2010/5 z dne 26.11.2010.
Informacijski pooblaščenec je glede dogovora Varni pristan odločil, da ZDA zagotavljajo ustrezno raven varstva osebnih podatkov v delu, ko gre za iznos osebnih podatkov organizacijam, ki delujejo po načelih Varnega pristana (med katerimi je tudi Salesforce*). V primeru iznosa podatkov v ZDA se namreč po odločbi Evropske Komisije 2000/520/ES zavezanost organizacije načelom Varni pristan šteje kot zagotovilo, da organizacija ustrezno varuje osebne podatke
Salesforce.com je udeleženec v programu Varnega pristana* in ima logično ločene podatkovne centre, ki strežejo strankam v Evropski Uniji (med drugi tudi bankam kot so Deutsche Bank in Schroders ter zavarovalnicam, kot so: Alianz, AON in ING). Informacijsko rešitev Salesforce za svoje evropske operacije uporabljajo tudi švicarske zavarovalnice: Credit Suisse, Zurich in Swiss Re. Informacijska rešitev Salesforce ima varnostne certifikate ISO 27001, SAS 70 Type II, SysTrust by Ernst&Young.
Informacijska rešitev Salesforce zagotavlja poleg Varnega pristana tudi ostale mehanizme varnosti in zaupnosti, kot je zahtevano v določbah ZVOP-1 saj ima zagotovljen še strožji režim zavarovanja osebnih podatkov, kot ga določa 24. člen ZVOP-1). Bolj podroben seznam ukrepov za zagotavljanje zavarovanja osebnih podatkov Salesforce (privacy, security) je dostopen na http://trust.salesforce.com/trust/security/.
Modra zavarovalnica je za svojo storitev Modri e-račun izbrala informacijsko rešitev, ki jo prav zaradi preizkušenih in testiranih mehanizmov** varnosti in zaupnosti varovanja osebnih podatkov uporabljajo tudi druge organizacije iz finančnega sektorja ter velike korporacije, ki upravljajo z osebnimi podatki. Pomembno pri tem je, da ima Modra zavarovalnica enak nivo varnosti in zasebnosti pri zavarovanju osebnih podatkov, kot vse naštete organizacije, ki uporabljajo Informacijsko rešitev Salesforce.
Izbrali smo maksimalno varno, zanesljivo in zmogljivo rešitev, ki je globalno preverjena.
Modra zavarovalnica, d. d.
*Seznam podjetij, ki so certificirana po programu Varnega pristana (US-EU Safe Harbour), je na voljo na
http://export.gov/safeharbor/eu/eg_main_018365.asp (seznam vzdržuje ameriško Ministrstvo za trgovino) oz. link http://export.gov/safeharbor/eu/eg_main_018365.asp
**Seznam neodvisnih certifikacij je na voljo na http://trust.salesforce.com/ (na dnu). Med drugim:
• Neodvisna potrditev skladnosti z načeli varnega pristana:
http://clicktoverify.truste.com/pvr.php?page=validate&url=www.salesforce.com&sealid=102
• Nemška certifikacija TUV (za mnogo področji, med drugim tudi področje varovanja podatkov)
http://www.tuev-saar.net/de/geschaeftsfelder/zertifizierungen
• Ernst & Young
http://trust.salesforce.com/pdf/misc_systrust.pdf