Podaci građana u javnom sektoru – Kako država rukuje podacima

14-03-2016

Novembra 2014. društvenim mrežama je počeo da kruži link na fajl težak više od 19 gigabajta, sačinjen od preko 4000 finansijskih dokumenata i beskrajnih spiskova ljudi, s njihovim ličnim podacima. Tekstualni deo fajla težio je nešto preko jednog gigabajta, što znači da je spisak bio poprilično dugačak. Sadržao je podatke o ravno 5.190.396 građana Srbije. U postupku nadzora, služba Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti utvrdila je da se sporni dokument nalazio na javno dostupnoj stranici sajta Agencije, od neutvrđenog dana februara 2014, dakle nešto više od deset meseci, sve dok nisu počeli da ga po svetu razvlače već i dokoni forumaši. Evidencija nosilaca prava na besplatne akcije i novčanu naknadu, kako glasi pun naziv ove zbrike podataka, uspostavljena je radi kontrole  “prava na besplatne akcije i novčanu naknadu”. Od ličnih podataka građana koji su se prijavili za besplatne akcije evidencija je obuhvatala, redom: ime, ime roditelja, prezime, datum rođenja, JMBG, prebivalište i adresu stana, šifru opštine, broj dinarskog računa i kontakt telefon, kao i podatke o radnom stažu ostvarenom u privrednim društvima.

Imajući na umu da je JMBG široko korišćen i suštinski deo svake baze podataka u Srbiji, i dalje je teško razumeti koje su prave posledice ovog slučaja. Pa ipak, posebno je zabrinjavajuće da različiti rukovaoci podataka i dalje koriste JMBG kao vrstu identifikatora. Na primer, Registar neplaćenih kazni je online baza podataka svih državljana Srbije, gde da bi proverili da li li neka osoba ima neke neplaćene račune, potrebno je znati ime i prezime i JMBG te osobe. Ironično, ovo su upravo informacije koje je Agencija za Privatizaciju učinila javno dostupnim.

Evidencija koja je bila javno dostupna na sajtu Agencije za privatizaciju
Sajt Registra neplaćenih kazni

Gotovo 3 godine nakon pomenutog incidenta i dalje ne znamo šta se zapravo desilo i kako su lični podaci građana završili na internetu, a posebno je zanimljivo da je prekršani postupak prema Agenciji za privatizaciji i odgovornim licima zastareo o čemu više možete pročitati ovde.

Slučaj Agencije za privatizaciju otkrio je razmere rizika kom su izloženi naši podaci, ali je ukazao i na nedostatak pouzdanih saznanja o praktičnim i tehničkim uslovima u kojima su podaci građana prikupljaju, obrađuju i čuvaju. SHARE Fondacija je stoga rešila da istraži koji podaci o ličnosti građana se prikupljaju u javnom sektoru, gde se čuvaju, kako se obrađuju, ko ima pristup našim podacima i koje su organizacione i tehničke mere zaštite podataka implementirane.

Kako smo istraživali?

Naše istraživanje je obavljeno tokom  2015. i 2016. godine i njime je obuhvaćeno je šest javnih institucija:

  • Agencija za privredne registre;
  • Centar za socijalni rad u Beogradu,
  • Centralni registar obaveznog socijalnog osiguranja,
  • Republički fond za zdravstveno osiguranje,
  • Republički fond za penzijsko i invalidsko osiguranje i
  • Poreska uprava.

Sve ove institucije su veoma značajne obzirom da imaju ogromne baze podataka, a neki od njih poseduju i naročito osetljive podatke kao što su zdravstveni podaci, podaci o usvojenoj deci itd.

U početnim fazama istraživanja, glavni izvori su bile javno dostupne baze podataka kao i pravni okvir, te smo analizirali brojne zakone, podzakonske akte, propise i različite dokumente koji regulišu obradu podataka u pomenutim institucijama. Ovo je bilo praćeno brojnim zahtevima za pristup informacijama od javnog značaja te smo poslali 20 formalnih zahteva sa više od 200 relevantnih pitanja. Takođe, od Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti smo dobili 52 različita dokumenta od izabranih institucija sa više od 250 strana. Za vreme istraživanja, održali smo 15 različitih sastanaka sa predstavnicima institucija i kancelarije Poverenika. U međuvremenu, naši novinari su pretraživali arhive štampanih medija od 2003. godine, tražeći članke koij se odnose na privatnosti i zaštiti podataka u ovim institucijama.

Odgovori državnih organa na zahteve za pristup informacijama od javnog značaja

Koje podatke o nama poseduju i zašto?

Svakog dana, često da i toga nismo svesni, javne institucije prikupljau veliku količinu naših ličnih podataka. Kada se zaposlimo, naš poslodavac sve podatke od značaja (naše obrazovanje, vrstu zaposlenja, radno vreme, podatke o našoj deci) šalje u Centralni registar obaveznog socijalnog osiguranja, koji predstavlja svojevrsno čvorište za ove podatke obzirom da se oni dalje dele sa brojnim drugim institucijama preko posebne mreže državnih organa. Kad odemo kod lekara, naši podaci ne završe samo u našem zdravstvenom kartonu, već se dostavljaju i Republičkom fondu za zdravstveno osiguranje.

Podaci koji ove institucije poseduju o nama

Ipak naš opšti utisak je da se lični podaci državljana Srbije bespotrebno umnožavaju, tj. da identične podatke poseduje više institucija. Primera radi, podatak o prebivalištu ili osnovicama za plaćanje doprinosa (plati) se nalazi u bazi 4 od 6 institucija. Na ovaj način raste rizik da podaci budu netačni i neažurni što može otežati rad državnih institucija ili uticati na prava građana. Primera radi možemo navesti nemogućnost dostvaljanja podnesaka građanima usled neažurne adese prebivališta ili pogrešno utvrđen porez kao posledica netačnih podataka o primanjima. Ono što je možda i bitnije, ovakvo umnožavanje podataka povećava rizik da se ugrozi bezbednost naših podataka, obzirom da se identični podaci čuvaju na različitim serverima, pod potpuno drugačijim tehničkim i organizacionim merama zaštite. To znači da ugrožavanje bezbednosti podataka unutar samo jedne instituciije može uticati i na sve ostale, što se i desilo u slučaju Agencije za privatizaciju, te je danas JMBG kompomitovan podatak koji se nalazi u gotovo svim bazama podataka koje vode javne institucije.

Gde se čuvaju naši podaci?

Osim što se naši podaci nalaze na brojnim formularima, zahtevima, kartonima, u prašnjavim fasciklama, na stolovima državnih službenika, kancelarijama glavnih arhivatora, te nepreglednim arhivama (u arhivi Agencije za privredne registre koja se nalazi u Rakovici je smešteno preko 20 kilometara arhivske građe), naši podaci se sve češće čuvaju i u elektronskoj formi. To znači da se naši podaci nalaze na stotinama personalnih kompjutera, servera (RFZO za obradu podataka koristi 237 servera rasprostranjenih po celoj Srbiji), virtuelnih mašina, mašina za skladištenje (Storage Machines) i drugih elektronskih uređaja koji služe za obradu podataka. Ono što je naše istraživanje pokazalao i što je dobro je da sve navedene institucije imaju u svom vlasništvu servere  i druge uređaje koji služe za čuvanje podataka, te da se svi ovi uređaji nalaze u Srbijii, uglavnom sedištima institucija. To znači da ove institucije ne iznose naše podatke iz Srbije i da imaju osnovne preduslove za kontrolom nad podacima. Sa druge strane to znači da se mogu osloniti samo na svoje kapacitete kada su mere zaštite podataka u pitanju, što će u mnogome zavisiti od resursa sa kojima institucija raspolaže.

Koje su tehničke mere za zaštitu naših podataka?

Sve institucije osim Centra za socijalni rad u Beogradu, imaju centralizovan informacioni sistem što znači da svi uređaji za obradu podataka (serveri, kompjuteri itd) unutar jedne institucije predstvaljaju jedinstven sistem, što znatno olakšava uspostavljane sigurnosnih mehanizama. Ono što nekim institucijama i dalje predstavlja izazov je čuvanje svih događaja u okviru sistema, takozvano čuvanje logova. Logovi nam govore ko je pristupao našim podacima i šta je sa njima radio. Tokom istraživanja naišli smo na više slučajeva da su izvodi iz elektronskih baza sa ličnim podacima neovlašćeno završavali na sudu ili na internetu a da nije bilo moguće utvrditi koji je zaposleni iz neke od institucija zloupotrebio svoja ovlašćenja i neovlašćeno izneo podatke.

Infrastruktura za čuvanje i obradu podataka

Dodatni izazov za javne institucije je i zadržavanje kvalitetnog kadra koje radi na razvoju i održavanju informacionih sistema. Naime softverski inženjeri i drugi tehnički eksperti predstavljaju deficitarno zanimanje u Srbiji, te finansijski i drugi uslovi koje mogu da dobiju u privatnim kompanijama daleko prevazilaze one u javnom sektoru. Iz tog razloga institucije često angažuju treća lica za održavanje informacionih sistema, a u našem istraživanju je primećeno da je ponekad moguć nezavisan i nendagledan pristup sistemu i ličnim podacima od strane ovih lica, što predstavlja dodatni rizik za sigurnost podatka naročito obzirom na simptomatično nepostojanje klauzula o poverljivosti.

Koje su organizacione mere za zaštitu naših podataka?

Organizacione mere za zaštitu podataka bi značile da postoji jasan sistem odgovornosti kada je zaštita podataka o ličnosti u pitanju. Jedan od preduslova za tako nešto je i imenovanje lica koje je zaduženo za zaštitu podataka (data officer), što već postaje standard u praksi, a uskoro će sasvim izvesno biti i zakonska obaveza. Ipak tokom našeg istraživanja, nijedna od institucija nije imala u svojoj organizacionoj strukturi ovakvo lice. Edukacija zaposlenih na temu zaštite podataka o ličnosti i dalje nije na zadovoljavajućem nivou te je teško očekivati od državnih službenika da predano čuvaju  naše podatke ako ni sami nemaju znanja o osnovnim principa i svojim obavezama kada je privatnost građana u pitanju.

Veoma bitno pitanje je i postojanje sistema uloga (rola) u informacionom sistemu u kome se nalaze lični podaci. Sistem uloga zapravo znači da bi svaki zaposleni trebalo da ima ovlašćenja za pristup samo onim delovima sistema i onim podacima koji su mu neophodni za obavljanje posla, čime se značajno smanjuje rizik za zloupotrebu podataka. Zanimljiv je slučaj kada je nakon ‘’okršaja’’ sa policijom jedne estradne pevačice, informacionom sistemu MUP-a i podacima o njoj pristupilo desetine zaposlenih u MUP-u, što je utvrđeno u nadzoru Poverenika. Naše istraživanje je utvrdilo da većina institucija ima neki vid sistema.

Mere koje su ove institucije primenile za zaštitu podataka

Kako institucije međusobno razmenjuju naše podatke?

Ukoliko ste se zaposlili do sredine 2013. godine, vi ili vaš poslodavac morali ste da posetite dve institucije (RFZO i PIO) i podneste dva različita formulara kako biste bili prijavljeni na zdravstveno i penziono osiguranje. Ipak, avgusta 2013. godine počeo je sa radom Centralni registar obaveznog socijalnog osiguranja (CROSO) sa ciljem da poveže institucije u sistemu socijalnog osiguranja i od tada je dovoljno podneti samo 1 elektronsku prijavu, a podaci se dalje dostavljaju drugim institucijama kao što su npr. RFZO kako biste mogli da overite zdravstvenu knjižicui, ili u PIO fond kako biste jednog dana mogli da ostvarite pravo na penziju. Slično se desilo i u okviru Agencije za privredne registre gde je uspostavljanjem jednošalterskog sistema, prilikom registrovanja preduzetnika dovoljno podneti samo jedan zahtev APR-u a potrebni podaci se dalje dostavljaju nadležnim institucijama, pa će vam tako Poreska Uprava dodeliti PIB a da i ne morate da joj se direktno obraćate. U tom smislu možemo reći da danas CROSO i APR predstavljaju glavne tačke za prikupljanje podataka, što utiče na kvalitet podataka ali i građanima olakšava brojne procedure.

Ono što je značajno napomenuti je da se razmena podataka između ovih organa vrši preko infrastrukture Uprave za zajedničke poslove republičkih organa (UZZPRO), i to preko VPN-a, tako da ne ide preko uobičajenih kanala internet komunikacije što je izuzetno značajno kada je bezbednost podataka u pitanju.

 Tok naših podataka u Agenciji za privredne registre
Tok naših podataka u Centralnom registru obaveznog socijalnog osiguranja

Naše istraživanje je pokazalo da javni sektor poseduje velike količine ličnih podataka svojih građana a da načini na koji se pojedini državni organi ophode prema istim i kao i mere zaštite variraju od organa do organa i da u mnogome zavise od raspoloživih resursa, te da je neophodno imati sistematski pristup od strane države kako bi zaštita podataka bila delotvorna.

Dodatni iako su uočene određene pozitivne tendencije, potrebno je istaći da je ovo istraživanje samo vrh ledenog brega obzirom da su institucija koje su bile predmet straživanja zapravo među najboljim u Srbiji obzirom da imaju značajne resurse, dok u našoj zemlji postoji više od 11.000 javnih istitucija koji imaju znatno manje kapacitete te je za očekivati da je u njima situacija znatno lošija negi što u institucijama koje su bile predmet istraživanja.

Dodatna literatura

Ukoliko vas naše istraživanje interesuje znatno više podataka možete pronaći na sajtu mojipodaci.rs gde između ostalog možete pronaći:

  • Sveobuhvatne izveštaje o obradi podataka za svaku od pomenutih institucija koji se sastoje iz 5 glavnih delova: 1) pravni aspekt obrađivanja podataka (saglasnost sa zakonom), 2) organizacioni aspekt obrađivanja podataka (koje su organizacione mere za zaštitu podataka), 3) tehnički aspekt obrađivanja podataka (koje su tehhničke mere za zaštitu podataka), 4) medijsko izveštavanje zaštite podataka u institucijama i 5) dokumenti dobijeni od strane Poverenika.
  • ‘’Vodič za organe vlasti – Zaštita podataka o ličnosti’’  koji sadrži najbolje prakse i procedure zaštite podataka koje su primenjene u analiziranim institucijama, ali takođe i dugo iskustvo Poverenika u ovoj oblasti, kao i znanje i inovacije SHARE Fondacije, koja se specifično bavi pitanjima privatnosti u digitalnom okruženju. Vodič je dostupan za slobodno korišćenje i može biti korišćen pod Creative Commons licencom.
  • Metodologiju istraživanja za pripremanje izveštaja o obrađivanju ličnih podataka u javnim organima primenljivu bilo kom javnom organui u Srbiji. Ova metodologija obuhvata suštinu procesa istraživanja i kada se implementira, može dati odgovore na suštinska pitanja: koji lični podaci su obrađivani od strane javne vlasti i zašto; koje su organizacione i tehničke mere za zaštitu podataka. Mogu je koristiti drugi istraživači koji se bavi pitanjem privatnosti i zaštitom podataka o ličnosti, ali takođe i nadležni državni organi i, naravno, građani koji su zainteresovani o ovim pitanjima.
  • Ostale tekstove i izveštaje u vezi sa ovim istraživanjem.