Uvod
SHARE Fondacija je u aprilu 2015. godine, započela obimno istraživanje o vrstama obrade i načinima zaštite podataka o ličnosti u javnom sektoru koje je obuhvatilo 6 institucija:
- Republički fond za zdravstveno osiguranje,
- Republički fond za penzijsko i invalidsko osiguranje,
- Centralni registar obaveznog socijalnog osiguranja,
- Poreska uprava,
- Agencija za privredne registre i
- Gradski centrar za socijalni rad Beograd.
Metodološki istraživanju se pristupilo sa uzimajući u obzir tri aspekta obrade podataka o ličnosti: 1) pravni, 2) organizacioni i 3) tehnički aspekt. Istraživački tim je na samom početku podatke prikupljao na osnovu javno dostupnih dokumenata, propisa i registara, a zatim se pristupilo prikupljanju podataka putem zahteva za pristup informacijama od javnog značaja kao i zahtva za obaveštenje o obradi iz Zakona o zaštiti podataka o ličnosti. Na našu sreću i institucije su bile spremne na saradnju, te je na kraju istraživačkog proces sa predstavnicima organa vlasti održan niz sastanaka zahvaljujući kojima su istraživači bolje upoznavali i razumevali procese rukovanja podacima građana u javnom sektoru. Nakon istraživačkog procesa izrađeni su pojedničani izveštaji o obradi podataka za svaku od 6 Projetkom obuhvaćenih institucija.
Metodologija koju ovde predstavljamo ne obuhvata celokupan istraživački rad na ovom Projektu, imajući u vidu da ga je sprovodio tim eksperata iz ove oblasti i to u periodu od više meseci. Ipak ova metodologija obuhvata suštinu istraživačkog procesa kojim se može doći do odgovora na suštinska pitanja:
- Koje podatke o ličnosti organ vlasti obrađuje i zašto?
- Koje organizacione mere za zaštitu podataka je preduzeo organ vlasti?
- Koje tehničke mere za zaštitu podataka je preduzeo organ vlasti?
Metodologija za izradu izveštaja o obradi podataka u organima vlasti je primenjiva na sve organe vlasti u Republici Srbiji i prvenstveno namenjena istraživačima koji se bave pitanjima privatnosti i zaštite podataka o ličnosti ali može poslužiti kao praktično sredstvo nadležnim državnim organima a na samom kraju i samim građanima koji se interesuju za ova pitanja.
SHARE Fondacija
Mart 2016.
Metodologija
Koje zbirke podataka vodi Organ vlasti?
– Izvori: Centralni registar Poverenika; Relevantne zakonske odredbe; Zahtev za pristup informacijama od javnog značaja; Zahtev za ostvarivanje prava iz ZZPL-a.
Koje podatke o ličnosti obrađuje Organ vlasti?
– Izvori: Centralni registar Poverenika; Relevantne zakonske odredbe; Zahtev za pristup informacijama od javnog značaja; Zahtev za ostvarivanje prava iz ZZPL-a.
Na koji način Organ vlasti prikuplja podatke o ličnosti?
– Izvori: Centralni registar Poverenika; Relevantne zakonske odredbe; Zahtev za pristup informacijama od javnog značaja; Zahtev za ostvarivanje prava iz ZZPL-a.
Koji je pravni osnov za obradu podataka o ličnosti?
– Izvori: Centralni registar Poverenika; relevantne zakonske odredbe; Zahtev za ostvarivanje prava iz ZZPL-a.
Koji je naziv organizacione jedinica koja je zadužena za održavanje i implementaciju Informacionog Sistema organa vlasti? Koji je broj zaposlenih i koje profesionalne kvalifikacije poseduju?
– Izvori: Zahtev za pristup informacijama od javnog značaja; Informator o radu;
Sistematizacija radnih mesta organa vlasti.
Da li postoje interni akti koji regulišu pristup i upravljanje podacima koji se nalaze u zbirkama koje vodi organ vlasti? Koji su to akti? Na koji način regulišu ova pitanja?
– Izvori: Zahtev za pristup informacijama od javnog značaja; Veb stranica organa vlasti;
Informator o radu organ vlasti.
Da li u organu vlasti postoji lice koje je zaduženo za zaštitu podataka o ličnosti? Koja su ovlašćenja i nadležnosti ovog lica?
– Izvori: Zahtev za pristup informacijama od javnog značaja; Informator o radu organa vlasti; Pravilnik o unutrašnjoj organizaciji i sistematizaciji radnih mesta; opisi poslova.
Da li su organu vlasti sprovedene obuke zaposlenih u vezi sa relevantnim odredbama Zakona o zaštiti podataka o ličnosti? Na koji način?
– Izvori: Zahtev za pristup informacijama od javnog značaja; Veb sajt organa vlasti.
Na koji način je uređen elektronski pristup zaposlenih zbirkama podataka koje vodi organ vlasti? Da li postoji sistem rola koji određuje prava pristupa svakog pojedinačnog zaposlenog? Da li je sistem rola vezan za radna mesta?
– Izvori: Zahtev za pristup informacijama od javnog značaja; Pravilnik o unutrašnjoj organizaciji i sistematizaciji radnih mesta; Opisi poslova; Matrica rola (privilegija) u informacionom sistemu organa vlasti.
Da li treća lica (lica koja nisu zaposlena u organu vlasti) imaju pristup informacionom
sistemu i serverima na kojma se nalaze podaci o ličnosti? Koja su to lica? Kakvu vrstu pristupa ova lica poseduju i na koji način je taj pristup uređen?
– Izvori: Centralni registar Poverenika; Relevantne zakonske odredbe, Zahtev za pristup
informacijama od javnog značaja
Da li organ vlasti vodi zbirke podataka u papirnoj formi? Da li postoje procedure za pristup zbirkama podataka koje se vode u papirnoj formi?
– Izvori: Zahtev za pristup informacijama od javnog značaja.
Da li je organ vlasti implementirao ISO standarde? Koje? Kada?
– Izvori: Zahtev za pristup informacijama od javnog značaja; Uvid u Registar sertifikovanih privrednih društava koji vodi Privredna komora Srbije; Veb sajt organa vlasti.
Koji je broj servera (fizičkih i virtuelnih) u okviru Informacionog sistema organa vlasti koji se koriste za obradu podataka o ličnosti? U čijem vlasništvu su serveri i gde se fizički nalazi svaki od servera? Ukoliko serveri nisu centralizovani na jednom mestu, na koji način su povezani međusobno?
– Izvori: Zahtev za pristup informacijama od javnog značaja.
Da li se na serverima na kojima se nalaze podaci o ličnosti čuvaju logovi? Koji? Koliko dugo?
– Izvori: Zahtev za pristup informacijama od javnog značaja.
Gde je hostovan sajt organa vlasti? Da li organ vlasti samostalno ugovara hosting ili to ide preko nekog drugog državnog organa Ko je interner provajder organa vlasti?
– Izvori: Zahtev za pristup informacijama od javnog značaja; WHOIS i who is hosting this pretraga (www.whoishostingthis.com ; www.whois.icann.org)