Privatni podaci građana Srbije su „značajno ugroženi“ zbog novih informacionih sistema, navodi se u godišnjim izvještajima od 2020. do 2022. godine Povjerenika za informacije od javnog značaja i zaštitu ličnih podataka.

Period od 2020. do 2022. godine na koji se odnose izvještaji poklapa se sa daljim razvojem niza novih digitalnih rješenja u javnom sektoru, poput „esDnevnika“ za školske ocjene i Integrisanog zdravstvenog informacionog sistema (IZIS), koji prikuplja razne zdravstvene podatke.

Godinama raste zabrinutost zbog načina na koji država štiti takve podatke kako od hakera tako i od političkih zloupotreba. Mada su srpski zakoni koji se odnose na zaštitu podataka slični onima u Evropskoj uniji, njihova implementcija nije zadovoljavajuća.

Godišnji izvještaji Povjerenika pokazuju da povrede bezbjednosti ličnih podataka predstavljaju sve veći udio u slučajevima koje istražuje, sa 19 procenata u 2019. na 41 procenat prošle godine.

„Bezbjednost ličnih podataka je značajno ugrožena, naročito uspostavljanjem novih informacionih sistema kroz koje se obrađuje veliki broj osjetljivih podataka o građanima“, navodi Povjerenik u svakom izvještaju od 2020. do 2022 .godine.

U pisanom odgovoru BIRN-u, iz Kancelarije Povjerenika su naveli: „Imajući u vidu intenzivni razvoj novih tehnologija, ubrzanu digitalizaciju u potencijalne rizike koje predstavlja upotreba vještačke inteligencije, Povjerenik svake godine daje takvu kvalifikaciju u godišnjim izvještajima, kako bi ukazao na važnost zaštite ličnih podataka tokom uspostavljanja i upotrebe svakog novog informacionog sistema.“

Ni u izvještajima ni u odgovoru Kancelarije za BIRN nije precizirano o kojim informacionim sistemima je riječ.

Ana Tošković Cvetinović, izvršna direktorka NVO „Partneri za demokratsku promjenu“ sa sjedištem u Beogradu, kazala je da takvi sistemu „sadrže najveće količine podataka, kao i oni koji obrađuju takozvane specijalne kategorije podataka, odnosno najosjetljivije podatke, poput podataka koji se tiču zdravlja, biometričkih podataka, podataka o seksualnoj orijentaciji, itd.“

Tošković Cvetinović je za BIRN kazala da je u posljednjih nekoliko godina „digitalizacija ubrzana, naročito od početka kovid pandemije, a da prilikom postavljanja sistema nijesu dovoljno razmotrene ne samo mjere o zaštiti podataka, već takođe ni principi privatnosti po dizajnu i privatnosti po podrazumijevanju, što implicira da je neophodno uzeti u obzir zaštitu ličnih podataka tokom samog kreiranja sistema i da zaštita podataka mora biti integrisana tokom cijelog procesa primjene.“

Nedostatak tehničkih kapaciteta

Povjerenik nije jedini koji izražava zabrinutost.

Drugo nezavisno tijelo, Državna revizorska institucija (DRI), ukazala je na ranjivosti u određenim informacionim sistemima.

U maju prošle godine, DRI je istakla da su dvije kompanije – državni „Telekom Srbija“ i hrvatska privatna kompanija „Tesla“ – imale administratorski pristup podacima u aplikaciji „esDnevnik“, koju su kompanije razvile za školske ocjene.

„Ugovor o nabavci sistema „esDnevnik“ nije u skladu sa navedenim pravilnikom (o jedinstvenom informacionom sistemu za obrazovanje), budući da je u ugovoru navedeno da će pružalac usluga obavljati poslove upravljanja sistemom, dok prema pravilniku te poslove treba da obavlja odgovorno lice ministarstva“, navela je DRI.

Rizici takvog rješenja postali su jasni 2020. godine kada su pojedini roditelji prijavili da im, prilikom prijavljivanja na esDnevnik, nude upotrebu plaćenog programa – My e-School, sa već popunjenim pristupnim podacima i podacima njihove djece.

DRI je takođe izrazila zabrinutost povodom IZIS-a, koji između ostalog sadrži medicinske podatke pacijenata, podatke koji se tiču medicinskih radnika i saradnika, medicinskih institucija, medicinskih procedura i usluga, i elektronske ljekarske recepte.

Pored IZIS-a, zdravstvene institucije takođe koriste druge informacione sisteme koje su same nabavile i, u pojedinim slučajevima, kompanije od kojih su nabavljene i dalje imaju pristup podacima koji su sadržani u njima.

„Prema riječima predstavnika institucija, ili zaposlenih u IT sektoru, razlog zbog kojeg pružalac usluge pristupa bazi jeste taj što je povremeno potrebno ispraviti unijete podatke, a zaposleni u instituciji ne znaju kako to da urade“, navodi se u izvještaju DRI-a iz februara 2021. godine.

U mnogim slučajevima takve institucije imaju samo jednog zaposlenog, ili čak nijednog, sa potrebnim kvalifikacijama da izvršava takve zadatke, navodi se.

Iz kabineta Povjerenika, u komentarima za BIRN, istakli su isti problem – „očigledni nedostatak tehničkih kapaciteta za što je moguće efikasniju zaštitu podataka procesuiranih na gorepomenuti način.“

U postrevizorskim izvještajima za 2021. i 2022. godinu, DRI je navela da su za oba pomenuta informaciona sistema nadležna ministarstva, Ministarstvo obrazovanja i Ministarstvo zdravlja, preduzela „zadovoljavajuće“ mjere kako bi se pozabavila pitanjima na koja je ukazala DRI.

Međutim, Toškić Cvetinović je kazala da, generalno, ta oblast pati od izrazitog nedostatka odgovornosti.

Ona je za BIRN kazala da se i javni sektori drugih država suočavaju sa sličnim problemima, ali da Srbiju „karakteriše apsolutni nedostatak utvrđivanja odgovornosti za kršenja prava bilo greškom ili namjerno. Novčane kazne se izuzetno rijetko izriču, a kada se to i desi one nemaju odvraćajući efekat.“

Zabrinutost zbog novog zakona

Ministarstvo informisanja i telekomunikacija Srbije 7. avgusta je pokrenulo javnu raspravu o novom Zakonu o informacionoj bezbjednosti, obećavajući „najmodernija evropska regulatorna rješenja“.

U predlogu zakona zaista se nude nova rješenja, poput Kancelarije za informacionu bezbjednost, ali Toškić Cvetinović tvrdi da je „ključno pitanje kapaciteta, tehničkih i ljudskih, koje će ta Kancelarija imati na raspolaganju“.

Toškić Cvetinović je više zabrinuta zbog drugog predloženog tijela.

„Predviđeno je formiranje posebnog koordinacionog tijela vlade – Tijela za koordinaciju poslova informacione bezbjednosti, u kojem bi trebalo da budu prisutni predstavnici relevantnih ministarstava i drugih tijela (kao što je Narodna banka Srbije), ali nije predviđeno da Povjerenik za informacije od javnog značaja i zaštitu ličnih podataka bude uključen u stalni sastav ovog tijela“, rekla je Toškić Cvetinović.

„To je propust kakav ne bi trebalo da postoji u konačnoj verziji testa zakona, ukoliko je namjera predlagača da zaista pruži sveobuhvatnu zaštitu informacionih sistema, imajući na umu da u većini slučajeva oni takođe sadrže lične podatke građana.“