OPŠTI PODACI
Podaci o osnovnoj delatnosti, sedištu, pravnim aktima, veb sajtu i slično
Centralni registar osnovan je 2010. godine, Zakonom o Centralnom registru obaveznog socijalnog osiguranja, kao mehanizam efikasnije kontrole naplate doprinosa od kojeg se očekuje redovna mesečna analiza i usaglašavanje podataka. Takođe, registar treba da poveže institucije u sistemu socijalnog osiguranja, kao što su Republički fond za penzijsko i invalidsko osiguranje, Republički fond za zdravstveno osiguranje, Nacionalna služba za zapošljavanje i Poreska uprava. Povezanost ovih institucija preko Centralnog registra ogleda se pre svega u razmeni podataka o ličnosti obveznika odnosno osiguranika.
Centralni registar je s radom počeo 2013. godine.
Politika privatnosti ne tretira se kao zasebna tema na sajtu, niti se zaštita podataka o ličnosti pominje u Statutu Centralnog registra. U sekciji ’Pravni aspekti’, odeljak ’Najčešća pitanja’, zaštita podataka nalazi se u odgovoru na pitanje broj 16, gde se navodi da je Centralni registar „odgovoran za sigurnost, zaštitu i obezbeđenje tajnosti podataka“, te da je obavezan da preduzima “mere protiv neovlašćenog ili slučajnog pristupa Jedinstvenoj bazi, menjanja, uništavanja ili gubitka podataka, neovlašćenog prenosa i drugih oblika nezakonite obrade podataka, kao i mere protiv zloupotrebe ličnih podataka, u skladu sa propisima koji uređuju zaštitu elektronskog dokumenta”.
Adresa: Omladinskih Brigada 1, 11000 Beograd
E-mail: [email protected]
Internet sajt: http://www.croso.gov.rs
Portal: http://www.portal.croso.gov.rs
Informator o radu: http://www.croso.gov.rs/cir/Informator_o_radu/index.php
PRAVNI ASPEKTI OBRADE PODATAKA
Zbirke podataka o ličnosti
Centralni registar obaveznog socijalnog osiguranja registrovao je 6 zbirki podataka o ličnosti u Centralni registar zbirki podataka koji vodi Poverenik.
Od toga 5 zbirki podataka se odnosi podatke o ličnosti osoba koje su zaposlene u Centralnom registru ili obavaljaju poslove u Centralnom registru po drugom osnovu, a to su su kadrovska evidencija, evidencija o platama, evidencija o prisunosti na radu, evidencija rešenja o godišnjim odmorima i evidencija o isplatama naknada za prevoz.
Najvažniju zbirku podataka o ličnosti koju vodi Centralni registar predstavlja Jedinstvena baza podataka osiguranika i osiguranih lica (u daljem tekstu ‘’Jedinstvena baza’’). Ova zbirka podataka predstavlja samu svrhu postojanja Centralnog registra i sadrži podatke o ličnosti svih osiguranika i osiguranih lica u Srbiji, a uspostavljena je u avgustu 2013. godine u skladu sa Zakonom o Centralnom registru obaveznog socijalnog osiguranja.
Iz tih razloga odlučili smo se da Jedinstvenu bazu uzmemo kao reprezentativnu, te se dalja analiza svih aspekata obrade podataka o ličnosti odnosi samo na Jedinstvenu bazu.
Pravni osnov
Pravni osnov za vođenje Jedinstvene baze utvrđen je članom 29a Zakona o Centralnom registru obaveznog socijalnog osiguranja, gde se navodi da Centralni registar vodi Jedinstvenu bazu. Dalje se u istom članu ističe na koji način se podaci pribavljaju te se precizno navode podaci o ličnosti koji se vode u Jedinstvenoj bazi.
Treba istaći da je član 29a unešen u tekst Zakona tek izmenama i dopunama iz 2014. godine, te da je razlog za njegovo donošenje bilo usklađivanje sa odredbom člana 42 stav 2 Ustava Republike Srbije, kojom je utvrđeno da se prikupljanje, držanje, obrada i korišćenje podataka o ličnosti uređuje zakonom, kao i usklađivanje sa Zakonom o zaštiti podataka o ličnosti iz koga jasno proizlazi da osnov obrade podataka o ličnosti mora biti zakon ili pristanak lica čiji se podaci obrađuju.
Dakle, iako je Odredbama Zakona o Centralnom registru definisan pravni okvir za početak funkcionisanja Centralnog registra te da je saglasno odredbama tog zakona doneto više podzakonskih akata kojima se reguliše materija prikupljanja, držanja, obrade i korišćenja podataka o ličnosti, zakonodavac je smatrao da se Zakonom moraju precizno definisati podaci o ličnosti koji se vode u Jedinstvenoj bazi.
Podaci o ličnosti
U Jedinstvenoj bazi se vode i obrađuju podaci o ličnosti:
- Osiguranika, odnosno fizičkih lica koja su obavezno osigurana prema zakonima koji uređuju sistem obaveznog socijalnog osiguranja i to:
- jedinstveni matični broj građana – lični broj osiguranika;
- prezime i ime;
- pol;
- ime jednog roditelja;
- evidencioni broj za strane državljane;
- jedinstveni broj dodeljen od strane Centralnog registra;
- dan, mesec i godina rođenja;
- opština, mesto i adresa prebivališta;
- državljanstvo;
- zanimanje, prema klasifikaciji zanimanja, koje se zahteva za radno angažovanje na određenim poslovima, odnosno radnom mestu;
- vrsta i stepen stručne spreme, odnosno obrazovanja koji su uslovi za radno angažovanje na određenim poslovima, odnosno radnom mestu;
- vrsta i stepen stručne spreme, odnosno obrazovanja koje lice ima;
- datum početka osiguranja;
- osnov osiguranja;
- radno vreme (puno, nepuno ili skraćeno);
- broj časova provedenih na radu nedeljno;
- vrsta radnog angažovanja (radni odnos i rad van radnog odnosa);
- podatak o zaposlenju kod više poslodavaca;
- podaci o stažu osiguranja sa uvećanim trajanjem, o vremenu provedenom na tim poslovima i stepenu uvećanja staža;
- datum i osnov promene u toku osiguranja;
- datum i osnov prestanka osiguranja;
- posebni podaci o osiguraniku;
- da li je osiguranik korisnik prava iz penzijskog i invalidskog osiguranja;
- prekid osiguranja zbog mirovanja;
- osnovice doprinosa za obavezno socijalno osiguranje, visina uplaćenih doprinosa za obavezno socijalno osiguranje i period na koji se ta uplata odnosi;
- podaci o uplati doprinosa po osnovu ugovorene naknade;
2 . Osiguranih lica, to jest osiguranika i članova porodica osiguranika koji ostvaruju prava iz obaveznog socijalnog osiguranja u skladu sa zakonima koji uređuju zdravstveno osiguranje, penzijsko i invalidsko osiguranje i osiguranje za slučaj nezaposlenosti i to:
- prezime i ime;
- jedinstveni matični broj građana – lični broj osiguranika
- pol;
- dan, mesec i godina rođenja
- srodstvo sa osiguranikom
- adresa prebivališta
Jedinstvna baza koju vodi Centralni registar predstavlja najsveobuhvatniju bazu podataka o ličnosti koja se odnosi obavezno socijalno osiguranje u Srbiji. U njoj se nalaze podaci svih građana Republike Srbije, kao i stranaca koji su po nekom osnovu socijalno osigurani u našoj zemlji, bilo da je u pitanju zdravstveno, penzijsko invalidsko ili osiguranje za slučaj nezaposlenosti, tako da se u ovoj bazi ne nalaze samo podaci onih lica koja ni po jednom od ovih osnova nisu osigurani, niti su bili osigurani.
Obzirom da je Centralni registar uspostavljen upravo radi razmene podataka sa drugim institucijama, svi podaci koji se nalaze u Jedinstvenoj bazi se razmenjuju sa drugim državnim institucijama u skladu sa članom 18 Zakona o centralnom registru, u kome se navodi da organizacije obaveznog socijalnog osiguranja preuzimaju iz Jedinstvene baze podatke neophodne za vođenje matične evidencije, odnosno druge evidencije propisane zakonom koji uređuje penzijsko i invalidsko osiguranje, zdravstveno osiguranje i osiguranje za slučaj nezaposlenosti.
Tako se osnovni podaci o osiguranicima nalaze i u RFZO-u, PIO fondu, Nacionalnoj službi za zapošljavanje i Poreskoj upravi, dok se ostali podaci razmenjuju sa ovim institucijama u skladu sa njihovim nadležnostima. Od Poreske uprave se dobijaju podaci o plaćenim doprinosima za socijalno osiguranje, te se iznosi plaćenih doprinosa za zdravstveno osiguranje razmenjuju sa RFZO-om a iznosi plaćenih doprinosa za penzijsko invalidsko osiguranje sa PIO fondom.
Načini prikupljanja podataka o ličnosti
Podaci koji se vode u Jedinstvenoj bazi inicijalno su prikupljeni preuzimanjem podataka iz postojećih baza koje vode RFZO, PIO fond, Nacionalna služba za zapošljavanje i Poreska uprava. Ova migracija je započeta krajem 2011. godine, u skladu sa Uredbom Vlade Srbije koja detaljno definiše postupak preuzimanja podataka, te utvrđuje 31.12.2019. godine kao krajnji rok za migraciju podataka. Doduše, ovaj rok se odnosi samo na iznose osnovica doprinosa za penzijsko invalidsko osiguranje i periode na koje se ta uplata odnosi, dok je migracija ostalih podataka već izvršena.
Nakon inicijalnog pikupljanja podataka i uspostavljanja Jedinstvene baze, podaci se prikupljaju podnošenjem jedinstvene elektronske prijave, isključivo u elektronskom obliku preko portala Centralnog registra. Ove jedinstvene prijave u većini slučajeva podnose poslodavci za svoje zaposlene, ili sama fizička lica. U oba slučaja mora postojati kvalifikovani elektronski sertifikat kako bi mogla da se podnese jedinstvena prijava. Izuzetno za fizička lica koja nemaju tehničke mogućnosti za prijavu u elektronskom obliku, prijavu može podneti neka od organizacija obaveznog socijalnog osiguranja (RFZO, PIO fond). Tada fizička lica na šalteru predaju potrebne dokaze o statusu osiguranika, a ovlašćeni službenik na šalteru za njih popunjava jedinstvenu elektronsku prijavu i podnosi je Centralnom registru.
Forma jedinstvene elektronske prijave je propisana Uredbom o sadržini, obrascu i načinu podnošenja jedinstvene prijave na obavezno socijalno osiguranje, jedinstvenim metodološkim principima i jedinstvenom kodeksu šifara za unos podataka u jedinstvenu bazu centralnog registra obaveznog socijalnog osiguranja („Službeni glasnik RS”, br. 54/10, 124/12 и 119/13) i data je na Obrascu M koje odštampan uz ovu uredbu i čini njen sastavni deo.
Takođe u skladu sa članom 15 Zakona o Centralnom registru, organi i organizacije nadležni za registraciju pravnih i fizičkih lica koja obavljaju određenu delatnost (Agencija za privredne registre, privredni sudovi, advokatske komore) dostavljaju Centralnom registru podatke o obveznicima doprinosa – poslodavcima i isplatiocima prihoda. Iako ovo nisu podaci o osiguranicima ili osiguranim licima koje smo do sada analizirali, oni mogu sadržati neke podatke o ličnosti (npr. lično ime i JMBG zastupnika obveznika doprinosa, ili isti podaci preduzetnika). Ipak, kod APR-a situacija u izvesnoj meri odstupa od ovog pravila. Naime, u slučaju preduzetnika APR dostavlja Centralnom registru sve podatke koji su potrebni za prijavu na obavezno socijalno osiguranje, a na osnovu podataka iz registracione prijave preduzetnika u APR-u. Samim tim, preduzetnik nema obavezu da samostalno podnosi jedinstvenu regsitracionu prijavu.
Dodatno, u skladu sa članom 16 Zakona o Centralnom registru, Poreska uprava dostavlja Centralnom registru podatke o iznosima obračunatih i naplaćenih doprinosa za obavezno socijalno osiguranje, i to pojedinačne podatke za svakog osiguranika. U razgovoru sa direktorkom Centralnog registra, obavešteni smo da se ovi podaci dostavljaju jednom nedeljno.
Centralni registar
Jedinstvena baza je registrovana kao zbirka podataka o ličnosti u Centralnom registru koji vodi Poverenik od aprila 2015. godine. Pored ove, Centralni registar je registrovao još 5 zbirki podataka o ličnosti.
Podaci i informacije koji su registrovani u vezi Jedinstvene baze su ažurni i u svemu u skladu sa zakonima i uredbama koje uređuju ovo pitanje.
Interni akti
Zaposleni u Centralnom registru su upoznati sa svojim pravima i nadležnostima u vezi obrade podataka o ličnosti, i to internim aktom o zaštiti podataka i bezbednosti sistema koji su svi potpisali.
Imajući u vidu da Centralni registar ima svega 24 zaposlena, dok pristup Jedinstvenom registru ima daleko veći broj lica, od mnogo većeg značaja su akti koji regulišu pristup bazi i korišćenje i obradu podataka od strane brojnih korisnika ove baze, i to:
- Uredba o načinu dodeljivanja korisničkih dozvola, metodologiji unosa i ažuriranja podataka i načinu pristupa i korišćenja podataka iz jedinstvene baze centralnog registra obaveznog socijalnog osiguranja, kojuje donela Vlada Republike Srbije 2013. godine i od tada je na snazi. Uredbom je regulisano da osiguranici i osigurana lica imaju pravo pristupa samo svojim podacima o ličnosti koji su sadržani u jedinstvenoj prijavi. Sa druge strane obveznici doprinosa (poslodavci) mogu pregledati podatke samo za svoje zaposlene i samo za period osiguranja koji je zaposleni ostvario kod tog poslodavca. Takođe, definisana je i odgovornost Centralnog registra za obezbeđenje zaštite ličnih podataka, prilikom omogućavanja prava pristupa podacima registrovanim u Jedinstvenoj bazi. Zaštita ličnih podataka se obezbeđuje primenom mera zaštite od neovlašćenog pristupa i čuvanja podataka u skladu sa propisima kojima se uređuje čuvanje, zaštita i sigurnost podataka u okviru Informacionog sistema Centralnog registra.
- Pravilnik o čuvanju, zaštiti i sigurnosti podataka u okviru informacionog sistema centralnog registra obaveznog socijalnog osiguranja koji je doneo Ministar rada, zapošljavanja i socijalne politike 2013. godine i od tada je na snazi. Pravilnik uređuje procedure čuvanja, zaštite i sigurnosti podataka informacionog sistema Centralnog registra.
- Uredba o sadržini, obrascu i načinu podnošenja jedinstvene prijave na obavezno socijalno osiguranje kojuje donela Vlada Republike Srbije 2010. godine i od tada je dva puta izmenjena i dopunjena, poslednji put 2013. godine. Ovom uredbom propisani su sadržina i obrazac jedinstvene prijave, način podnošenja jedinstvene prijave, dokazi koji se uz prijavu podnose, jedinstveni metodološki principi i jedinstveni kodeks šifara za unos podataka u Jedinstvenu bazu.
Zahtev za ostvarivanje prava
Tokom istraživačkog procesa, član našeg tima je u skladu sa članom 19 ZZPL-a pisanim putem od Centralnog registra tražio obaveštenje o obradi svojih podataka o ličnosti i to:
- Koje podatke o meni obrađujete?
- Koje vrste obrade podataka sprovodite?
- Od koga su prikupljeni podaci o meni, odnosno ko je izvor podataka?
- U koje svrhe se podaci obrađuju?
- U kojim zbirkama podataka se nalaze podaci o meni?
- Ko su korisnici podataka o meni? Koji podaci o meni se koriste? Po kom pravnom osnovu i u koje svrhe se podaci o meni koriste?
- Da li se moji podaci prenose (ustupaju) drugim licima, i koja su to lica? Po kom pravnom osnovu i za koje potrebe se ti podaci prenose?
- U kom vremenskom periodu se podaci obrađuju, odnosno da li je predviđena obustava obrade mojih podataka u određenom trenutku?
Centralni registar je odgovorio na zahtev za ostvarivanje prava u zakonom predviđenom roku, na sva pitanja i u skladu sa ZZPL i Zakonom o centralnom registru obaveznog socijalnog osiguranja.
Nabrojani su svi podaci koje obrađuje, pojedinačno za osiguranike, osigurana lica i obveznike doprinosa koji se vode u Jedinstvenoj bazi. Konstatovano je da su obrade vezane za obavezno socijalno osiguranje i da se podaci prikupljaju podnošenjem jedinstvene prijave i ažuriranjem podataka iz postojećih nadležnih registara, baza podataka i službenih evidencija, koje se vode u Srbiji. Navedeno je da se podaci obrađuju u svrhu ostvarivanja osnovnih delatnosti Centralnog registra i nabrojan je veliki broj delatnosti, kao što su uspostavljanje i vođenje Jedinstvene baze, registracija osiguranika i osiguranih lica, dodeljivanje jedinstvenog broja, itd. Što se korisnika podataka Jedinstvene baze tiče, organizacije obaveznog socijalnog osiguranja – RFZO, PIO fond, Nacionalna služba za zapošljavanje, organ nadležan za poslove javnih prihoda, Republički zavod za statistiku – razmenjuju podatke sa Centralnim registrom. Podaci uneti u Jedinstvenu bazu ne mogu se brisati i čuvaju se trajno.
Zaključak
Regulisanje obaveze vođenja Jedinstvene baze kao i precizno definisanje podataka o ličnosti koji se vode u Jedinstvenoj bazi zakonskom odredbom, u ovom slučaju članom 29a Zakona o Centralnom registru, predstavlja izuzetno dobro rešenje, čime je u potpunosti poštovana odredba člana 42 stav 2 Ustava Republike Srbije, kojom je utvrđeno da se obrada podataka uređuje zakonom. Značajno je napomenuti da ovo nije bio slučaj u vreme kada je Zakon o centralnom registru donet, već da je zakonodavac tek naknadno uvideo neophodnost kako bi obrada podataka o ličnosti u Centralnom registru bila u potpunosti zakonita. Ovo iskustvo bi moglo poslužiti kao primer i drugim institucijama da utiču na donosioce odluka kako bi se propisi iz njihove nadležnosti dopunili, u cilju obezbeđeivanja pravnog okvira koji će im omogućiti da obrada podataka o ličnosti bude u potpunosti zakonita.
ORGANIZACIONI ASPEKTI OBRADE PODATAKA
Lice za zaštitu podataka o ličnosti
Postojeće stanje: U Centralnom registru obaveznog socijalnog osiguranja, za zaštitu podataka o ličnosti zaduženo je lice koje je ovlašćeno lice za postupanje po zahtevima za pristup informacijama u Centralnom registru.
Preporuka: Uzimajući u obzir model organizacione strukture Centralnog registra kao visoko centralizovanog sistema bez teritorijalno dislociranih organizacionih jedinica, kao i broj zaposlenih, sasvim je dovoljno da postoji jedno lice zaduženo za zaštitu podataka o ličnosti. Obim posla u ovom domenu ne zahteva formiranje posebnog radnog mesta za ove potrebe, tako da je postojeća organizacija, koja predviđa da ovo lice obavlja i druge poslove u Centralnom registru, a da mu je zaštita podataka o ličnosti samo jedno od zaduženja, potpuno pogodna.
Kako u slučaju kršenja Zakona o zaštiti podataka o ličnosti postoji odgovornost i fizičkog lica, i odgovornog lica kod pravnog lica, i odgovornost samog pravnog lica, neophodno je da ovo lice ima organizacionu odgovornost, na primer, za:
- sprovođenje određene politike o zaštiti podataka o ličnosti među zaposlenima;
- promovisanje zaštite podataka o ličnosti među zaposlenima radi razumevanja vlastite uloge u zaštiti podataka
- organizovanje edukacije iz oblasti zaštite podataka o ličnosti za zaposlene;
- izveštavanje rukovodstva o nivou zaštite podataka i predlaganje mera za podizanje nivoa zaštite i dr.
S obzirom na navedene odgovornosti, jasno je da bi lice zaduženo za zaštitu podataka u ovom smislu trebalo da bude lice koje se nalazi na pozicijama višeg hijerarhijskog nivoa. U kompanijama je praksa pokazala da bi to lice trebalo da bude deo najvišeg menadžmenta.
Takođe, preporuka je i da se opisu posla ovog lica dodaju aktivnosti edukacije ostalih zaposlenih u Centralnom registru o zaštiti podataka o ličnosti.
Edukacija
Postojeće stanje: Zaposleni u Centralnom registru su upoznati sa svojim nadležnostima i pravima, koja su regulisana internim aktom o zaštiti podataka i bezbednosti sistema koji su svi potpisali. Ne sprovode se obuke zaposlenih o postojećoj regulativi (Zakon; standardi) iz oblasti zaštite podataka.
Preporuka: Svoju osnovnu delatnost Centralni registar obavlja kroz prikupljanje i obradu najosetljivijih podataka o ličnosti, zbog čega je izuzetno važno što postoji interni akt o zaštiti podataka i bezbednosti sistema koji su potpisali svi zaposleni. Međutim, poželjno bi bilo uvesti kontinuiranu edukaciju zaposlenih iz oblasti zaštite podataka o ličnosti, radi podizanja svesti o osetljivosti ovih podataka i konstantnom usaglašavanju sa važećim propisima iz ove oblasti. Takođe, trebalo bi definisati vremenske intervale u kojima bi trebalo organizovati testiranja znanja zaposlenih iz ove oblasti, kako bi Centralni registar konstantno imao uvid u stanje sistema u pogledu zaštite podataka o ličnosti.
Pristup zaposlenih reprezentativnoj evidenciji
Postojeće stanje: Pristup elektronskoj bazi podataka “Evidencija podataka osiguranika, osiguranih lica i evidenciju obveznika doprinosa” koja je u nadležnosti Centralnog registra imaju tri kategorije korisnika:zobveznici,
- fizička lica,
- zaposleni u Centralnom registru.
Svi korisnici pristupaju bazi podataka preko kvalifikovanog elektronskog sertifikata. Za svaku od kategorija korisnika postoje različita ovlašćenja. Takođe, za zaposlene u Centralnom registru definisan je sistem rola, koji im omogućava ograničen pristup podacima u zavisnosti od poslova koje obavljaju. Jedino određeni zaposleni u Odelјenju za informacione tehnologije mogu pristupiti podacima bez kvalifikovanog elektronskog sertifikata.
Svaki pristup bazi pomoću kvalifikovanog elektronskog sertifikata se beleži kroz logove. Pritom, logovi sadrže informaciju o osnovu pristupa, pošto svaki korisnik mora odabrati neku od mogućih akcija u sistemu koju želi da sprovede. Logovi se čuvaju godinu dana.
Preporuka: Zaštita podataka o ličnosti koje prikuplja i obrađuje Centralni registar je na izuzetno visokom nivou, s obzirom da ne postoje dokumenta u papirnoj formi, a da se elektronskoj bazi podataka pristupa isključivo preko kvalifikovanog elektronskog sertifikata, osim u slučaju fizičkih lica, o čemu će kasnije biti više reči.
Zaposleni u Centralnom registru imaju odgovarajuće pravo pristupa u zavisnosti od posla koji obavljaju. Tu se pre svega misli na zaposlene u Odelјenju za rad sa osiguranicima, obveznicima i registrom, koji rade sa ovim podacima. Sistem rola je takav da se svakom zaposlenom definišu odgovarajuća prava pristupa. Ovaj sistem je trenutno održiv zbog malog broja zaposlenih u Centralnom registru. On je istovremeno i najpogodniji za zaštitu, i trebalo bi ga zadržati sve dok organizacioni sistem može da podnese taj nivo detaljnosti bez negativnog uticaja na efikasnost sistema. Ukoliko broj zaposlenih u Centralnom registru bude značajno porastao, preporuka je da se role dodeljuju radnom mestu, u skladu sa opisom posla, umesto konkretnom zaposlenom, radi čuvanja efikasnosti. Kako se bazi pristupa isključivo preko elektronskog sertifikata, beleži se i pohranjuje svaki pristup, uključujući i osnov pristupa.
Međutim, dva zaposlena u Odelјenju za informacione tehnologije mogu direktno pristupiti podacima bez upotrebe elektronskog sertifikata, pošto podaci u bazi podataka nisu maskirani. Ovo predstavlja problem, iako trenutno može delovati beznačajno zbog malog broja zaposlenih sa takvim mogućnostima, ali već sada treba razmišljati o njegovom rešavanju. Preporuka je da se izvrši maskiranje podataka, kako administratori baze podataka koji mogu direktno da joj pristupe ne bi imali uvid u podatke koji se u njoj nalaze bez odgovarajućeg logovanja preko elektronskog sertifikata.
Fizička lica mogu pristupiti bazi podataka i videti isključivo svoje podatke, ali prethodno moraju da dobiju odgovarajući mehanizam pristupa od Centralnog registra. Kako je JMBG kompromitovan, ne može se omogućiti pristup bazi podataka fizičkim licima samo njegovim unošenjem, tako da je ovo dobar sistem zaštite. Fizička lica trenutno mogu pristupiti bazi na tri načina:
- preko kvalifikovanog elektronskog sertifikata,
- pomoću lične karte,
- unošenjem korisničkog imena i lozinke.
U sva tri slučaja prethodno moraju na neki način zatražiti od Centralnog registra pravo pristupa. Problem je što se korisničko ime i lozinka, nakon podnetog zahteva u Centralnom registru, fizičkim licima šalju putem mejla, što može dovesti do kompromitovanja pristupnih parametara, samim tim i podataka o ličnosti. Zato je preporuka ili da se uvede neka vrsta direktnog izdavanja pristupnih parametara, poput PIN koda u bankama, ili da se pristup bazi omogućuje isključivo izdavanjem elektronskih sertifikata ili pomoću lične karte.
Obveznici mogu preko elektronskog sertifikata pristupiti elektronskoj bazi podataka i sprovoditi različite akcije u sistemu, poput prijave i odjave zaposlenih. Obveznik doprinosa, odnosno njegov zakonski zastupnik ili ovlašćeno lice, može uneti nove i izmeniti postojeće podatke koji se odnose na korisnički nalog, pregledati podatke za svoje zaposlene samo za period osiguranja kod njega i na portalu Centralnog registra vršiti predaju prijave, odjave, odnosno promene na obavezno socijalno osiguranje. Međutim, prijava i odjava se vrše preko JMBG-a, koji je kompromitovan podatak. Problem je što bilo koji obveznik može videti različite podatke o ličnosti bilo kog fizičkog lica za koje u sistem unese JMBG. Ovaj problem se može rešiti izdavanjem posebnih identifikacionih podataka koji će se koristiti za potrebe Centralnog registra, što nije efikasno rešenje, pošto bi morale da ih primene i sve institucije sa kojima Centralni registar razmenjuje podatke. Problem koji se tiče JMBG ne može se rešiti interno, već se mora rešavati na državnom nivou. Zbog toga preporuka u ovom domenu može da bude da fizička lica na svom nalogu, nakon što se uloguju, mogu da vide ko je sve pristupao njihovim podacima i da u slučaju eventualnih neosnovanih pristupa obaveste Centralni registar.
Trenutno se svaki pristup bazi podataka beleži, i svi logovi se čuvaju godinu dana. Preporuka je da se razmotri mogućnost čuvanja logova duže od godinu dana, kako bi se u slučaju potrebe mogle izvršiti sve odgovarajuće identifikacije u dužem vremenskom periodu.
Sektor za održavanje informacionog sistema
Postojeće stanje: U Centralnom registru jedna od tri organizacione jedinice jeste Odelјenje za informacione tehnologije, koje obavlјa poslove koji se odnose na: održavanje nivoa kvaliteta IT sistema; rad informacionog sistema Centralnog registra; dodelјivanje jedinstvenog broja; usaglašavanje podataka o obveznicima doprinosa i osiguranim licima kojima raspolažu Poreska uprava, organizacije za obavezno socijalno osiguranje i drugi organi i organizacije; organizovanje i nadzor održavanja i unapređenja baze podataka i postojećih programa u saradnji sa dobavlјačima softvera i zahtevima ili potrebama Centralnog registra; obezbeđivanje tehničkih uslova za međusobno povezivanje i usklađivanje rada subjekata povezanih u sistem Centralnog registra u vezi sa dostavlјanjem podataka; obezbeđivanje elektronske povezanosti sa drugim registrima i bazama podataka koje se vode u Republici Srbiji, a imaju značaja za obveznike doprinosa i osigurana lica; evidentiranje hardverskih i softverskih resursa Centralnog registra; organizovanje programiranja ili prilagođavanja aplikacija i programskih modula; definisanje zahteva, projektovanje, realizaciju i testiranje programa; kompleksnu i sveobuhvatnu analizu unetih i obrađenih podataka u rokovima predviđenim zakonom i ukazivanje nadležnim organima na uočene nepravilnosti.
U postojećem pravilniku sistematizovano je 8 različitih radnih mesta, sa ukupno 9 izvršilaca, kao što se može videti na sledećoj slici.
Nisu sva sistematizovana radna mesta popunjena. Tokom istraživanja, u Centralnom registru je bio zaposlen Načelnik Odeljenja za informacione tehnologije i još jedan izvršilac u Odeljenju.
Preporuka: Usled popularnosti i traženosti stručnjaka iz ove oblasti na tržištu rada sa jedne strane, i relativno niskim platama na ovim pozicijama u Centralnom registru u odnosu na privatni sektor sa druge strane, Centralnom registru je izuzetno teško da zadrži stručnjake iz ove oblasti. Ovo će predstavljati potencijalni problem u poslovanju, ali on ne može biti rešen interno, već po ovom pitanju nešto treba biti preduzeto na državnom nivou.
Osnovna preporuka za interna unapređenja u ovom domenu je da se izvrši maskiranje podataka, kako administratori sistema ne bi imali pristup “živim” već maskiranim podacima, čime bi značajno bila unapređena zaštita podataka o ličnosti. S obzirom na delatnost koju obavlja Centralni registar i osetljivost podataka o ličnosti koji se prikupljaju i obrađuju, svaki pristup podacima bi morao biti evidentiran, i to je na izuzetno dobar način već urađeno u Centralnom registru, ali postoji prostor za unapređenje pošto dva zaposlena na informatičkim poslovima mogu pristupiti direktno podacima bez ikakve evidencije tog pristupa. Preporuka je i da se uvedu procedure koje regulišu pristup i upravljanje podacima iz elektronske baze.
Evidencija u papirnoj formi
Postojeće stanje: Centralni registar ne čuva podatke u papirnoj formi.
ISO standardi
Postojeće stanje: Prema podacima dostupnim u Registru sertifikovanih privrednih društava koji vodi Privredna komora Srbije, u Centralnom registru nije primenjen nijedan standard iz ISO serije standarda.
Preporuka: U narednom periodu trebalo bi primeniti standard ISO 9001 – Sistem upravljanja kvalitetom, kao bazni standard, dok bi u sledećoj iteraciji trebalo težiti uvođenju standarda ISO 27001 Sistem upravljanja bezbednošću informacija, koji s obzirom na delatnost Centralnog registra predstavlja najbitniji standard ISO serije. Standardima bi trebalo formalno regulisati pristup i upravljanje podacima u elektronskoj formi.
Zaključak
Centralni registar je institucija koja je najviše učinila u pogledu zaštite podataka o ličnosti od svih institucija koje su analizirane u okviru projekta. Uzimajući u obzir da su analizirane najreprezentativnije institucije iz javnog sektora u Srbiji, može se pretpostaviti da je ovo jedan od najuređenijih sistema u državi u ovom pogledu, ako ne i najuređeniji. Kako Centralni registar predstavlja sistem koji objedinjuje podatke koje prikupljaju i obrađuju Republički fond za penzijsko i invalidsko osiguranje, Republički fond za zdravstveno osiguranje, Nacionalna služba za zapošljavanje i Poreska uprava, uvođenje elektronskih sertifikata u ovoj instituciji je izuzetno bitan faktor koji je učinjen u cilju zaštite podataka, između ostalih i podataka o ličnosti. Upravo zbog toga bi trebalo raditi na dodatnom unapređenju sistema zaštite i uklanjanju nedostataka koji su uočeni tokom analize.
Što se tiče maskiranja podataka u bazi, to je problem koji je poznat rukovodiocima u Centralnom registru i na čijem rešavanju bi trebalo započeti rad čim budu obezbeđena odgovarajuća finansijska sredstva.
Takođe treba raditi i na rešavanju opšteg problema koji se odnosi na JMBG, a koji potencijalno može stvoriti dosta problema. Centralni registar, kao institucija koja prikuplja najviše podataka o ličnosti, ali i kao institucija koja je najviše uradila po pitanju zaštite podataka u elektronskoj bazi, treba da preduzima inicijative u cilju unapređenja čitavog sistema i povećanja zaštite podataka o ličnosti. Rešavanje problema sa JMBG može rešiti i nedostatke koji su uočeni kod pristupa fizičkih lica, gde je onemogućeno njihovo logovanje pomoću nekih parametara koje imaju već moraju tražiti pristupne podatke, dok obveznici mogu pretraživati podatke o bilo kom fizičkom licu ukoliko znaju njegov JMBG.
Preporuka je i da se uvede edukacija zaposlenih u cilju podizanja znanja i svesti iz oblasti zaštite podataka o ličnosti, ali i o posebnoj važnosti te zaštite u Centralnom registru, usled delatnosti koju obavlja i obima podataka koje prikuplja i obrađuje.
Takođe je preporuka i da se uvede sistem upravljanja kvalitetom ISO 9001 kojim će biti definisane procedure sa jasno preciziranim nadležnostima pristupa i obrade podataka o ličnosti koje poseduje Poreska uprava. Njima bi takođe trebalo predvideti osnove pristupa i obrade podataka, i potom to primeniti na korisničke role u informacionom sistemu.
Centralni registar je implementirao izuzetno visok nivo zaštite elektronske baze podataka, u smislu prava i evidencije pristupa. Međutim, s obzirom na obim, važnost i osetljivost podataka koji se prikupljaju i obrađuju u Centralnom registru, preporuka je da se standardizuje način na koji se obezbeđuje bezbednost podataka, i to kroz ISO 27001 sistem upravljanja bezbednošću informacija.
TEHNIČKI ASPEKTI OBRADE PODATAKA
Opšte tehničke informacije i struktura sistema
Ceo informacioni sistem (IS) Centralnog registra izrađen je interno, a u saradnji sa drugim organizacijama i državnim organima. U okviru IS postoje dva databaza servera za prikupljanje, obradu i skladištenje podataka o ličnosti, veb i bezbednosni serveri. Svi serveri se nalaze u server sali u prostorijama Centralnog registra, i u vlasništvu su Centralnog registra. Centralni registar nije distribuiran, već je sistem centralizovan na jednom mestu. Reprezentativna evidencija, Jedinstvena baza Centralnog registra, nalazi se na databaza serverima. Cela platforma Centralnog registra izrađena je na Oracle bazi podataka (objektno-orijentisana baza koja predstavlja identifikator alfanumeričkog sistema).
Pristup internetu
Internet servis provajder Centralnog registra je kompanija Orion Telekom koji takođe pruža usluge hostinga za statični deo internet prezentacije (http://www.croso.gov.rs/). Sve ove usluge Centralni registar ugovara samostalno, uz fiksni opseg IP adresa.
OPŠTE INFORMACIJE | |
Naziv ustanove | Centralni registar obaveznog socijalnog osiguranja |
URL | http://www.croso.gov.rs/ |
Datum vršenja analize | 22.02.2016.. |
WHOIS pretraga | |
Ime i Prezime | RNIDS |
Adresa | Žorža Klemansoa 18a, Beograd |
Provider | UZZPRO |
URL Provajdera | www.uzzpro.gov.rs |
Registrator | RNIDS |
URL Registratora | https://www.rnids.rs |
Država | Srbija |
Nmap | |
Broj otvorenih portova | 2 |
Broj filtriranih portova | 998 |
Broj zatvorenih portova | 0 |
OS | Linux 2.4.20 |
Bezbedan (Nmap) | Da |
IP v4 | 195.222.96.163. |
IP v6 | / |
MAC | / |
VPN i Cloud usluge
Prema sadašnjoj infrastrukturi sistema, Centralni registar ne koristi Cloud usluge a kako se navodi u odgovorima na FOI zahtev, to se u budućnosti neće menjati. Cela infrastruktura postavljena je interno i planiranim proširenjem sistema Centralnog registra eksponiranje na Cloud neće postojati.
Komunikacija Centralnog registra sa organima i organizacijama koji su uključeni u razmenu podataka sa Centralnim registrom (RFZO, PIO fond, Nacionalna služba za zapošljavanje, APR, Poreska uprava, MUP, PTT) odvija se putem VPN-a, maksimalno zaštićenim mehanizmima za elektronsku razmenu podataka dostupnim u entitetima koji razmenjuju podatke i vrši se putem Web, odnosno FTP servisa. VPN veza između svih institucija je deo mreže Uprave za zajedničke poslove republičkih organa (UZZPRO).
Serverska podešavanja
Zaposleni u Centralnom registru pristupaju Jedinstvenoj bazi podataka osiguranika i osiguranih lica putem Portala Centralnog registra i putem specijazovanih aplikacija uz obavezno korišćenje kvalifikovanih elektronskih sertifikata, na osnovu dodeljenih rola i privilegija. Broj pristupa bazi smanjen je time što su svakom zaposlenom dodeljenje pojedinačne privilegije. Dodeljivanje privilegija vrši se prema odluci direktora Centralnog registra.
U prostorijama Centralnog registra postoji posebna server sala u kojoj se nalaze svi serveri, sinhronizacija između njih vrši se u realnom vremenu. Na serverima na kojima se nalaze evidencije čuvaju se sistemski logovi, u kojima se evidentira svaki pojedinačni pristup sistemu. Imajući u vidu važnost podataka kojima se pristupa, za njihov pregled neophodno je posedovati kvalifikovani elektronski sertifikat. Pristup ovoj kategoriji zaposlenih je omogućen isključivo putem namenske aplikacije i putem portala Centralnog registra. U oba slučaja neophodno je posedovanje kvalifikovanog elektronskog sertifikata, a sami sertifikati se odnose isljučivo na pojedinca, dok se sistemom rola i privilegija definišu prava pristupa sistemu, odnosno podacima. Pristup spoljnih korisnika se uredno loguje i beleži, kao i pristup bazi sistemskih korisnika.
Prema važećim pravilima u organizaciji niko ne može izbrisati podatke, a periodično se pravi rezervna kopija svih podataka u sistemu. Podaci u Jedinstvenoj bazi u ovom trenutku nisu enkriptovani, ali je planiranom izmenom infrastrukture predviđeno da se to promeni.
U Centralnom registru Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti, navedene su sledeće mere zaštite podataka: Zaštita podataka obezbeđuje se kroz zaštitu pristupa računarskoj opremi i mreži putem specijalizovanih hardverskih komponenti uz upotrebu definisanog protokola zaštite. Zaštita IT sistema bazirana je na arhitekturi javnih ključeva i podrazumeva obaveznu primenu kvalifikovanih elektronskih sertifikata, digitalno potpisivanje transakcija kao i autentifikaciju pristupa sistemu.
Pravilnik o čuvanju, zaštiti i sigurnosti podataka u okviru informacionog sistema Centralnog registra obaveznog socijalnog osiguranja, propisuje sledeće mere zaštite pristupa informacionom sistemu Centralnog registra:
1) autentifikacija – koja predstavlja proces utvrđivanja identiteta osobe koja želi da pristupi informacionom sistemu Centralnog registra;
2) autorizaciju – koja predstavlja pravo pristupa i dozvoljenih operacija za autentifikovano lice;
3) zaštita tajnosti – što podrazumeva šifrovanje podataka u cilju sprečavanja neovlašćenog uvida;
4) neporicanje odgovornosti – što podrazumeva obezbeđenje dokaza da je neko izvršio određenu radnju, odnosno transakciju.
Autentifikacija pristupa servisima od strane državnih organa i organizacija, sa kojima Centralni registar vrši razmenu podataka podrazumeva i obaveznu primenu serverskih sertifikata.
Radi obezbeđenja neprekidnog funkcionisanja informacionog sistema, Centralni registar obezbeđuje fizičku zaštitu podataka primarnog informacionog sistema, formiranjem sekundarne baze podataka i sekundarnog računarskog sistema. Sekundarna baza podataka i sekundarni računarski sistem moraju biti udaljeni od mesta na kome se nalazi primarni informacioni sistem.
Centralni registar obezbeđuje održavanje računarske opreme za informacioni sistem a, u slučaju popravki, prethodno sprema bezbednosne kopije podataka, kako bi se sprečio gubitak podataka. U slučaju povlačenja računarske opreme iz informacionog sistema, svi podaci prethodno moraju biti trajno i sigurno izbrisani.
Preporuka: Smatramo da se enkriptovanjem baze podataka, podaci štite od zloupotreba u slučaju krađe ili curenja.
Pristup Trećih lica
Pristup evidenciji definiše se Zakonom o Centralnom registru, a pristup se ostvaruje uz posedovanje kvalifikovanih elektronskih sertifikata.
Kada je reč o održavanju sistema, Centralni registar ima ugovor sa izvođačem koji je zadužen za tehničko održavanje sistema. Za manje tehničke kvarove zaduženi su zaposleni iz Centralnog registra kojima su te aktivnosti u nadležnosti. Centralni registar poseduje autorska prava na softver. Svaki pristup servisu se beleži i čuva godinu dana, a ostvaruje se isključivo po potrebi preko namenskog računara ili zvaničnog zahteva putem kvalifikovanog elektronskog sertifikata. Neophodno je doći u Centralni registar da bi se ostvario pristup sistemu. Lica koja održavaju sistem nemaju pristup celom sistemu, već samo određenim delovima, odnosno isključivo testnom sistemu. Obaveze koje ostvaruju su regulisane ugovorom o poverljivosti.
Uredbom o načinu dodeljivanja korisničkih dozvola, metodologiji unosa i ažuriranja podataka i načinu pristupa i korišćenja podataka iz jedinstvene baze Centralnog registra obaveznog socijalnog osiguranjadefinisana je komunikacija između Centralnog registra i organa i organizacija, koji su uključeni u razmenu podataka sa Centralnim registrom, maksimalno je zaštićena mogućim mehanizmima za elektronsku razmenu podataka dostupnim u entitetima koji razmenjuju podatke i vrši se putem Veb, odnosno FTP servisa, koji su svrstani u tri grupe, zavisno od namene:
1) servisi za prijem podataka o registraciji osiguranika i osiguranih lica;
2) servisi za ažuriranje podataka u Jedinstvenoj bazi, na osnovu podataka dobijenih iz postojećih registara i baza podataka i službenih evidencija o ličnom stanju građana koji se vode u Republici Srbiji;
3) servisi kojima se pristupa, vrši prenos i koriste podaci iz Jedinstvene baze Centralnog registra.
Takođe, servisi kojima se vrši prijem podataka o registraciji osiguranika, odnosno osiguranih lica, slanje poruke o grešci, slanje digitalno potpisanog dokumenta jedinstvene prijave i slanje potvrde o uspešnoj registraciji su: veb servis S01REG, kojim se prihvataju podaci o registraciji osiguranika i osiguranih lica u Informacioni sistem Centralnog registra; veb servis S02POT, kojim se šalju podaci iz jedinstvene prijave nakon uspešne registracije.
Servisi za ažuriranje podataka u Jedinstvenoj bazi Centralnog registra na osnovu podataka dobijenih iz postojećih registara, služe za ažuriranje podataka o obveznicima doprinosa – poslodavcima i osiguranicima, kao i o osiguranim licima. Podaci o obveznicima plaćanja doprinosa se ažuriraju više puta u toku dana od strane nadležnih registara APR i Poreske uprave, servisima posebno razvijenim za ove namene, i to:
1) Veb servisom S13APR se vrši prijem podataka o obveznicima plaćanja doprinosa iz baze APR preuzimanjem informacije o svim novim obveznicima registrovanim u APR, kao i sve promene podataka nad postojećim, čime se omogućava ažuriranje evidencije obveznika plaćanja doprinosa u Jedinstvenoj bazi Centralnog registra iz baze APR-a;
2) Veb servisom S13APR PPush APR će dostavljati Centralnom registru jednom dnevno odmah po dobijanju PIB-a iz Poreske uprave podatke o novoosnovanim preduzetnicima;
3) FTP servisom S14PU se vrši prijem podataka o obveznicima plaćanja doprinosa iz baze Poreske uprave, a njime se od Poreske uprave preuzimaju informacije o svim novim obveznicima registrovanim u Poreskoj upravi, koji nisu registrovani u APR-u, kao i sve promene podataka nad ovim skupom podataka;
4) Veb servisom S15FL se vrši provera podataka od Ministarstva unutrašnjih poslova preko jedinstvenog matičnog broja građana (u daljem tekstu: JMBG) ili evidencionog broja, a Ministarstvo unutrašnjih poslova za poslati JMBG odnosno evidencioni broj može dati informaciju da isti ne postoji, da je zamenjen drugim i dostaviti zamenjen JMBG, odnosno evidencioni broj;
5) FTP servisom S16PTT se vrši redovno ažuriranje baze adresa Centralnog registra. Baza adresa Centralnog registra se redovno usklađuje sa šifarnikom adresa iz baze PTT-a, a on će obuhvatiti podatke o ulici, naselju, opštini, okrugu, PAK-u, poštanskom broju i vezama između njih;
6) Veb servisom S18PEN se dobijaju podaci o vrsti priznatog prava iz penzijskog i invalidskog osiguranja, koja osiguranik uživa, na osnovu rešenja RFPIO. U procesu registracije ovim servisom se u bazi RFPIO proverava da li osiguranik, za koga se podnosi jedinstvena prijava, ostvaruje neko pravo iz penzijskog i invalidskog osiguranja osiguranika;
7) Veb servisom S22LBO vrši se ažuriranje ličnog broja osiguranika (u daljem tekstu: LBO) koji je osiguraniku dodeljen od strane RFZO. RFZO šalje informacije o promenama nastalim na već postojećim vezama JMBG – LBO kao i novoformiranim vezama JMBG – LBO;
8) FTP servisom S23UL se preuzimaju podaci o upisanoj činjenici smrti, kao i svakoj naknadnoj zabelešci ili ispravci greške od Ministarstva pravde i državne uprave, a podatak koji se preuzima je JMBG umrlog – dan, mesec, godina i čas smrti.
Zaključak
Podaci u sistemu Centralnog registra su koncentrisani u jednoj server sali. Pristup trećih lica, odnosno unos podataka vrši se kroz VPN UZZPRO-a. Da bi se pristup ostvario, neophodno je korišćenje elektronskog sertifikata. Politike logovanja su detaljne čime se smanjuje rizik od zloupotrebe, odnosno olakšava se monitoring aktivnosti u okviru sistema.
Potencijalnom bezbednosnom pretnjom može se smatrati neenkriptovanost baze podataka.
MEDIJSKA POKRIVENOST
Uvodna napomena
Pregled novinskih izveštaja o pojedinačnim institucijama obuhvaćenih analizom, odnosi se na period od početka 2000-tih do 2015. godine, na osnovu pretraživih digitalnih arhiva celovitog teksta članaka štampanih dnevnih i nedeljnih izdanja, posebno iz perspektive zaštite ličnih podataka.
Domaća regulativa ove oblasti relativno je nova – zakon iz 1998. nudio je nedovoljna i prevaziđena rešenja, da bi nestankom saveznih instanci praktično postao nesprovodiv. Novijeg datuma je i pažnja globalne javnosti za aspekte privatnosti u digitalnom okruženju. Stoga je očekivano da interes štampe za zaštitu podataka o ličnosti u organima državne uprave, tokom proteklih petnaestak godina, bude oskudan i gotovo po pravilu vođen incidentima, odnosno događajima koji svedoče o kršenju prava građana što je, konačno, i suštinska uloga medija u savremenim demokratijama.
Sa druge strane, aktivno učešće institucija državne uprave u javnom dijalogu posvećenom zaštiti privatnosti i ličnih podataka koje prikupljaju i obrađuju, moglo bi se pokazati kao ključni doprinos daljem uređenju ove oblasti ali i sopstvenoj promociji kao značajnog aktera u zaštiti interesa građana.
CROSO – Istorijski pregled
U godini osnivanja, mediji uglavnom ukratko i kroz izjave nadležnih najavljuju usvajanje zakona i uspostavljanje sistema Centralnog registra koji će „omogućiti bolji uvid građana, ali i poreskih organa, u to da li poslodavci redovno uplaćuju doprinose“. Od Centralnog registra se očekuje efikasna kontrola naplate doprinosa, dok zakon predviđa postojanje zbirne poreske prijave o obračunatim i naplaćenim doprinosima, ali i pojedinačne podatke za svakog osiguranika po svim osnovama. U medijskim izveštajima se napominje da će Poreska uprava imati obavezu da pojedinačne podatke svakog osiguranika dostavlja Centralnom registru koji kontroliše podatke i njihovu usaglašenost s podacima iz Jedinstvene baze.
Medije posebno zanima broj socijalnog osiguranja, koji se najavljuje kao „nevidljivi broj“ koji neće moći da pročita niko osim ovlašćenih lica, jer neće biti zapisan nigde u dokumentima građana.
Registar počinje s radom tri godine nakon donošenja zakona, a u medijskim izveštajima težište se ponovo stavlja na obećanje lakog uvida građana u svoj bilans doprinosa, ali i lakši nadzor poslodavaca koji krše zakon.
Ukrštanje baza podataka različitih institucija u Centralnom registru posmatra se isključivo u kontekstu bolje kontrole obveznika i efikasnijeg popunjavanja budžeta. Tajnost podataka i zaštita privatnosti nisu teme od interesa.
Početkom 2015. godine, mediji su izvestili da Centralni registar još nije u potpunosti operativan, usled procesa usaglašavanja baza podataka sa Poreskom upravom.
Najavljeno je da će inspektori inspekcije rada na terenu koristiti posebnu aplikaciju preko koje će moći da utvrde da li su zaposleni prijavljeni a njihovi doprinosi redovno plaćani. I ova vest se prati iz ugla funkcionalnosti, dok se pitanje zaštite podataka ni ne otvara.
DOKUMENTACIJA DOBIJENA OD POVERENIKA
Razni dopisi
Centralni registar je dopisom broj 021-02-2/2012-01 od 12.01.2012. godine Povereniku uputio zahtev za mišljenje povodom pitanja da li podnosiocu elektronske prijave mogu biti dostupni svi podaci jedinstvene prijave, odnosno koji je set podataka o osiguraniku/osiguranom licu koji mu može biti dostupan i da li se na taj način krše odredbe ZZPL-A, a takođe, kako će Centralni registar po uspostavljenoj bazi biti i elektronski servis za građane, mogu li razmotriti mogućnost da se za identifikaciju korisnika za pristup sistemu koristi JMBG ili LBO uz određene kontrole. Poverenik je dopisom broj 011-00-00059/2012-05 od 02.02.2012. godineistakao da je potrebno da se poslodavcima omogući pristum svim podacima o ličnosti, a povodom pitanja korišćenja elektronskog servisa za građane, istaknuto je da je potrebno onemogućiti pristup tuđim podacima i to već prilikom prijavljivanja konektovanja u Centralni registar te da je nužno da se sprovedu i druge, oštrije kontrole, pored korišćenja JMBG i/ili LBO.
Centralni registar je dopisom broj 011-00-2/2012-01 od 30.05.2012. godine Povereniku izneo zatev Poreske uprave da joj se omogući upit u Jedinstvenu bazu, a koji se odnosi na fizčko lice, odnosno osiguranika. Postavljeno je pitanje da li je Centralnom registru obaveznog socijalnog osiguranja dozvoljeno da ovlašćenim licima Poreske uprave omoguće korišćenje podataka o ličnosti zaposleni u svrhu izvršenja zakonske obaveze Poreske Uprave da proveri da li poslodavci tih lica redovno izmiruju obavezu uplate doprinosa za socijalno osiguranje i poreza iz zarade zaposlenih, obzirom na zakonsku obavezu da se kontrola vrši preko od Poreske Uprave određenog poreskog identifikacionog broja poslodavca, a ne preko podataka o ličnosti zaposleni, kao i da li bi uvidom u tražene podatke došlo do povrede Ustavom zagarantovanog ljudskog prava na zaštitu podataka o ličnosti. Poverenik je dopisom broj 011-00-00427/2012-05 od 20.06.2012. godineistakao davanje navedenih podataka na korišćenje ovlašćenim licima Poreske Uprave ne predstavlja povredu prava na zaštitu podataka o ličnosti.
Centralni registar se dopisom broj 030-03-4/2013-01 od 24.01.2013. godine obratio Povereniku sa zahtevom za mišljenje o tome da li postoje pravne smetnje i povreda prava na zaštitu podataka o ličnosti ukoliko se izvrši elektronsko povezivanje Centralnog registra sa registrom Ministarstva pravde i državne uprave u pogledu korišćenja podataka iz matične knjige umrlih, odnosno činjenice smrti, a kako bi se obezbedila tačnost jedinstvene baze Centralnog registra. Poverenik je dopisom broj 011-00-00063/2013-05 od 11.02.2013. godine izneo stav da u obavljanju svojih poslova Centralni registar može potrebne podatke od značaja za osiguranike i osigurana lica, pa samim tim i podatke o činjenici smrti iz matični knjiga umrlih, da prikupljla iz registara i baza podataka koje vode drugi organi, što bi u konkretnom slučaju bio drugi primerak matičnih knjiga umrlih. Međutim, moraju se imati u vidu i druga načela iz člana 8. ZZPL- načelo svrsishodnosti i načelo srazmernosti obrade. U slučaju povezivanja Centralnog registra sa drugim registrima i bazama podataka, to znači da se iz njih mogu preuzimati samo oni podaci o obveznicama doprinosa i osiguranim licima koji su neopodni za opavljanje poslova Centralnog registra. U protivnom postojala bi prekomerna obrada podataka o ličnosti, a to je nedozvoljena obrada prema članu 8. ZZPL-a.
Centralni registar se dopisom broj 011-00-1/2015-01 od 26.01.2015. godine obratio Povereniku sa zahtevom za mišljenje u vezi sa dozvoljenošću dostavljanja podataka iz Jedinstvene baze podataka iz oblasti socijalnog osiguranja organima i organizacijama, a konkretno Ministarstvu pravde Republike Srbije i Komunalnoj policiji Grada Beograda. Poverenik je dopisom broj 011-00-00100/2015-02 od 10.02.2015. godine izneo stav da jedino ako postoji zakonska odredba, sadržana u Zakonu o Centralnom registru obaveznog socijalnog osiguranja ili drugom zakonu, koja mu to izričito nalaže ili omogućava ili pak ako samo fizičko lice na koje se podaci odnose za to da svoj pristanak, Centralni registar bi mogao da omogući Ministarstvu pravde, odnosno Gradu Beogradu opisano korišćenje podataka.