Značaj Agencije za privatizaciju, ugašene nakon 14 godina rada na “promovisanju, iniciranju, sprovođenju i kontroli postupka privatizacije”, najvažnijeg mehanizma tranzicije, procenjivaće se, verovatno, tek u godinama koje slede. Zahvaljujući samo jednom slučaju, međutim, Agencija će ući u istoriju i u onim krugovima koji se ne bave privrednim modelima državne administracije.
Novembra 2014. društvenim mrežama je počeo da kruži link na fajl težak više od 19 gigabajta, sačinjen od preko 4000 finansijskih dokumenata i beskrajnih spiskova ljudi, s njihovim ličnim podacima. Tekstualni deo fajla težio je nešto preko jednog gigabajta, što znači da je spisak bio poprilično dugačak. Sadržao je podatke o ravno 5.190.396 građana Srbije.
U postupku nadzora, služba Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti utvrdila je da se sporni dokument nalazio na javno dostupnoj stranici sajta Agencije, od neutvrđenog dana februara 2014, dakle nešto više od deset meseci, sve dok nisu počeli da ga po svetu razvlače već i dokoni forumaši.
Bio je to najmasovniji prodor u privatnost građana Srbije još od začetka ovog prava, ugrađenog u prvi ustav nezavisne države 1888. godine.
Jedno od osnovnih načela ljudskih prava i sloboda, u međuvremenu je evoluiralo u složenu granu ustavnog prava, pa je samo zaštiti podataka o ličnosti posvećen čitav član važećeg Ustava Srbije. Ukratko, članom 42 Ustav jemči zaštitu ličnih podataka i izričito zabranjuje upotrebu “podataka o ličnosti izvan svrhe za koju su prikupljeni”, garantujući građanima pravo na sudsku zaštitu zbog njihove zloupotrebe.
U skladu sa Ustavom, prikupljanje, držanje, obrada i korišćenje podataka o ličnosti uređeni su odgovarajućim zakonom koji je na snazi od 2009. godine. Kazne predviđene za kršenje zakonskih odredbi kreću se od 5.000 do milion dinara. Ukoliko se ova dela, naravno, utvrde sudskom presudom.
Dakle, kako je Agencija za privatizaciju uopšte prikupila lične podatke gotovo svih punoletnih građana Srbije? S obzirom na njene nadležnosti, teško da bi mogla biti ovlašćena za prikupljanje takve količine makar i ličnih imena, a kamoli jedinstvenih matičnih brojeva i drugih podataka. Međutim, Agencija je posebnim zakonom 2007. dobila zaduženje da prima prijave građana za besplatne akcije, u postupku privatizacije velikih javnih preduzeća kakva su NIS i EPS. Uredbom o postupku i načinu evidencije građana koji imaju pravo na besplatne akcije 2008. je regulisana i procedura prikupljanja podataka.
Evidencija nosilaca prava na besplatne akcije i novčanu naknadu, kako glasi pun naziv ove zbrike podataka, uspostavljena je radi kontrole “provere ispunjenosti zakonom propisanih uslova koje moraju ispuniti građani i zaposleni i bivši zaposleni privrednih društava predviđenih zakonom, a da bi stekli pravo na besplatne akcije i novčanu naknadu”. Od ličnih podataka građana koji su se prijavili za besplatne akcije evidencija je obuhvatala, redom: ime, ime roditelja, prezime, datum rođenja, JMBG, prebivalište i adresu stana, šifru opštine, broj dinarskog računa i kontakt telefon, kao i podatke o radnom stažu ostvarenom u privrednim društvima.
Prema opisu iz Centralnog registra koji vodi Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti, ove podatke je Agencija prikupljala na osnovu dobrovoljnog upisa građana prilikom popunjavanja prijave, a preko mreže pošta, Nacionalne službe za zapošljavanje i diplomatsko-konzularnih predstavništava. U Poverenikovom registru može se naći i napomena da je predviđeno da se ovi podaci čuvaju trajno do okončanja postupka privatizacije, “jer služe kao osnov za kontrolu ostvarenih prava na besplatne akcije u daljem postupku privatizacije, iz razloga što lica koja su upisana u evidenciju nosilaca prava na novčanu naknadu i besplatne akcije kao građani, nemaju pravo na sticanje akcija bez naknade u postupcima privatizacije shodno odredbama Zakona o privatizaciji”.
Podatke iz ove evidencije trebalo je da koriste sama Agencija za privatizaciju kao i Centralni registar hartija od vrednosti i privredna društva ovlašćena zakonom, a nisu bili predviđeni za iznošenje iz zemlje.
U opisu preduzetih mera zaštite podataka, stoji sledeće: “Elektronska zbirka podataka se nalazi u posebnom računaru u okviru Agencije za privatizaciju. Zbirka je osigurana sistemom lozinki za autorizaciju i identifikaciju korisnika podataka, a pristup imaju samo ovlašćena lica.”
Ova zbirka je, prema podacima iz Centralnog registra Poverenika, uspostavljena 1. avgusta 2008. međutim odgovarajući obrazac za upis u registar podnet je tek 22. decembra 2014. godine, čitavih 76 meseci i 7 dana nakon roka koji je propisan Zakonom o zaštiti podataka o ličnosti (član 51).
Zakonska obaveza upisa u Centralni registar izvršena je, naime, nakon pokretanja procedure za utvrđivanje odgovornosti u slučaju teškog kršenja privatnosti.
Nije to bilo prvi put da Agencija za privatizaciju javno objavljuje podatke o ličnosti građana, ali za razliku od slučaja iz 2008, koji je obuhvatao “samo” nekoliko desetina hiljada ljudi, ovog puta je zaštita podataka bila i formalno uređena zakonom.
Prema zakonskim ovlašćenjima, pošto je od SHARE Fondacije primio prijavu i detaljan opis kršenja privatnosti, Poverenik je po službenoj dužnosti preduzeo postupak nadzora u Agenciji za privatizaciju. Tadašnja vd. direktorka Agencije obavestila je Poverenika da je dokument, koji se protivno zakonu našao u javno dostupnom delu sajta, predstavljao pomoćni fajl pod nazivom “dump_web_prijave_10062013”, za sukcesivno prebacivanje podataka iz unutrašnje baze za učitavanje u MySQL bazu, s obzirom da je bio namenjen za pretragu na vebsajtu Agencije. U ovom dopisu, vd. direktorka je napomenula da se do interne adrese fajla moglo doći samo neovlašćenim pristupom veb serveru Agencije, te da će kod nadležnih organa biti preduzeti odgovarajući postupci.
I zaista, Agencija je 16. decembra 2014. podnela krivičnu prijavu nadležnom tužilaštvu, protiv NN lica, zbog neovlašćenog prikupljanja ličnih podataka (KZ, član 146) i neovlašćenog pristupa zaštićenom računaru (KZ, član 302).
Po okončanom nadzoru, već sledećeg dana, služba Poverenika dostavila je zapisnik upravi Agencije za privatizaciju. Prema analizi spornih izmena konfiguracije veb servera, utvrđeno je da je integralni dokument bio javno dostupan od februara 2014. i da je preuzet “više puta”. Sadržaj fajla trebalo je da bude javan samo kroz rezultate pretrage na sajtu Agencije, pri čemu je pristup trebalo da bude ograničen na rezultate pojedinačne pretrage, uz unošenje ličnih podataka i slučajno generisanog koda, tako da bi građani mogli da provere status svog zahteva za besplatne akcije. Konstatovano je i da će evidencija koju vodi Agencija za privatizaciju, o građanima koji su ostvarili pravo na besplatne akcije, biti javna. Međutim, u spornom dokumentu objavljeni su i podaci građana koji nisu ostvarili ovo pravo, odnosno svih koji su podneli prijavu.
Više javno tužilaštvo u Beogradu u međuvremenu se obratilo službi Poverenika i samoj Agenciji za privatizaciju, zahtevima za pružanje potrebnih obaveštenja u predistražnom postupku protiv NN lica, u skladu sa prijavom Agencije.
Početkom januara 2015. godine služba Poverenika uputila je upozorenje Agenciji za privatizaciju u kom se navodi da Agencija nije preduzela odgovarajuće tehničke, kadrovske i organizacione mere zaštite podataka o ličnosti, što je dovelo do teške povrede prava na zaštitu podataka o ličnosti građana Srbije. U upozorenju se konstatuje i da je ovim, kvantitativno najvećim probojem u privatnost građana Srbije, “apsolutno relativizovan značaj JMBG kao individualne i neponovljive oznake identifikacionih podataka o građanima”.
Krajem istog meseca, Poverenik je nadležnom sudu za prekršaje podneo zahtev za pokretanje postupka protiv Agencije za privatizaciju, kao pravnog lica, i dve direktorke koje su konsekutivno vršile dužnost direktora Agencije tokom 2014, kao odgovornih lica. U zahtevu se ukazuje na otežavajuću okolnost da ovaj prekršaj, usled nepreduzimanja mera zaštite, predstavlja “jedinstven slučaj kompromitovanja podataka o ličnosti skoro svih građana jedne države”.
Jedinstven je, međutim, i po nekim karakteristikama koje se tiču pravosudnog epiloga.
Sredinom aprila, Poverenik se ponovo obratio prekršajnom sudu, s obzirom da u međuvremenu nije obavešten o ishodu postupka po zahtevu. Ispostavilo se da je postupak pokrenut odmah nakon Poverenikove prijave, te da je održano i ročište kojem, iz opravdanih razloga, nisu prisustvovala odgovorna lica. Sledeće ročište bilo je zakazano za 5. maj 2015.
O slučaju više nema pisanih tragova. Na osnovu postojećih, građani se bar mogu upoznati sa nadležnostima Poverenika i procedurama koje su im na raspolaganju u slučaju kršenja Zakona o zaštiti podataka o ličnosti.
Glavni akter ove afere više ne postoji i teško da će priča ikada dobiti zakonom predviđeni kraj. Odgovornost nije locirana, nadležni pravosudni organi nisu preduzeli sve mere na koje su obavezani zakonima a za posledice, čije su razmere nesagledive, nažalost ni šira javnost nije pokazala interes. U kratkoj ali već kontroverznoj istoriji zaštite podataka o ličnosti u Srbiji, slučaj Agencije za privatizaciju mogao bi poslužiti kao konačan argument u zagovaranju napuštanja JMBG, kao podatka o ličnosti čija je zaštita potpuno obesmišljena.
Izrada ovog teksta omogućena je uz podršku američkog naroda putem Američke agencije za međunarodni razvoj (USAID). Za sadržaj ovog teksta odgovorna je SHARE Fondacija i on ne mora nužno odražavati stavove USAID-a ili Vlade Sjedinjenih Američkih Država.