Agencija za privatizaciju – jedinstven slučaj

Značaj Agencije za privatizaciju, ugašene nakon 14 godina rada na “promovisanju, iniciranju, sprovođenju i kontroli postupka privatizacije”, najvažnijeg mehanizma tranzicije, procenjivaće se, verovatno, tek u godinama koje slede. Zahvaljujući samo jednom slučaju, međutim, Agencija će ući u istoriju i u onim krugovima koji se ne bave privrednim modelima državne administracije.

Novembra 2014. društvenim mrežama je počeo da kruži link na fajl težak više od 19 gigabajta, sačinjen od preko 4000 finansijskih dokumenata i beskrajnih spiskova ljudi, s njihovim ličnim podacima. Tekstualni deo fajla težio je nešto preko jednog gigabajta, što znači da je spisak bio poprilično dugačak. Sadržao je podatke o ravno 5.190.396 građana Srbije.

U postupku nadzora, služba Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti utvrdila je da se sporni dokument nalazio na javno dostupnoj stranici sajta Agencije, od neutvrđenog dana februara 2014, dakle nešto više od deset meseci, sve dok nisu počeli da ga po svetu razvlače već i dokoni forumaši.

Bio je to najmasovniji prodor u privatnost građana Srbije još od začetka ovog prava, ugrađenog u prvi ustav nezavisne države 1888. godine.

Jedno od osnovnih načela ljudskih prava i sloboda, u međuvremenu je evoluiralo u složenu granu ustavnog prava, pa je samo zaštiti podataka o ličnosti posvećen čitav član važećeg Ustava Srbije. Ukratko, članom 42 Ustav jemči zaštitu ličnih podataka i izričito zabranjuje upotrebu “podataka o ličnosti izvan svrhe za koju su prikupljeni”, garantujući građanima pravo na sudsku zaštitu zbog njihove zloupotrebe.

U skladu sa Ustavom, prikupljanje, držanje, obrada i korišćenje podataka o ličnosti uređeni su odgovarajućim zakonom koji je na snazi od 2009. godine. Kazne predviđene za kršenje zakonskih odredbi kreću se od 5.000 do milion dinara. Ukoliko se ova dela, naravno, utvrde sudskom presudom.

Dakle, kako je Agencija za privatizaciju uopšte prikupila lične podatke gotovo svih punoletnih građana Srbije? S obzirom na njene nadležnosti, teško da bi mogla biti ovlašćena za prikupljanje takve količine makar i ličnih imena, a kamoli jedinstvenih matičnih brojeva i drugih podataka. Međutim, Agencija je posebnim zakonom 2007. dobila zaduženje da prima prijave građana za besplatne akcije, u postupku privatizacije velikih javnih preduzeća kakva su NIS i EPS. Uredbom o postupku i načinu evidencije građana koji imaju pravo na besplatne akcije 2008. je regulisana i procedura prikupljanja podataka.

Evidencija nosilaca prava na besplatne akcije i novčanu naknadu, kako glasi pun naziv ove zbrike podataka, uspostavljena je radi kontrole “provere ispunjenosti zakonom propisanih uslova koje moraju ispuniti građani i zaposleni i bivši zaposleni privrednih društava predviđenih zakonom, a da bi stekli pravo na besplatne akcije i novčanu naknadu”. Od ličnih podataka građana koji su se prijavili za besplatne akcije evidencija je obuhvatala, redom: ime, ime roditelja, prezime, datum rođenja, JMBG, prebivalište i adresu stana, šifru opštine, broj dinarskog računa i kontakt telefon, kao i podatke o radnom stažu ostvarenom u privrednim društvima.

Prema opisu iz Centralnog registra koji vodi Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti, ove podatke je Agencija prikupljala na osnovu dobrovoljnog upisa građana prilikom popunjavanja prijave, a preko mreže pošta, Nacionalne službe za zapošljavanje i diplomatsko-konzularnih predstavništava. U Poverenikovom registru može se naći i napomena da je predviđeno da se ovi podaci čuvaju trajno do okončanja postupka privatizacije, “jer služe kao osnov za kontrolu ostvarenih prava na besplatne akcije u daljem postupku privatizacije, iz razloga što lica koja su upisana u evidenciju nosilaca prava na novčanu naknadu i besplatne akcije kao građani, nemaju pravo na sticanje akcija bez naknade u postupcima privatizacije shodno odredbama Zakona o privatizaciji”.

Podatke iz ove evidencije trebalo je da koriste sama Agencija za privatizaciju kao i Centralni registar hartija od vrednosti i privredna društva ovlašćena zakonom, a nisu bili predviđeni za iznošenje iz zemlje.

U opisu preduzetih mera zaštite podataka, stoji sledeće: “Elektronska zbirka podataka se nalazi u posebnom računaru u okviru Agencije za privatizaciju. Zbirka je osigurana sistemom lozinki za autorizaciju i identifikaciju korisnika podataka, a pristup imaju samo ovlašćena lica.”

Ova zbirka je, prema podacima iz Centralnog registra Poverenika, uspostavljena 1. avgusta 2008. međutim odgovarajući obrazac za upis u registar podnet je tek 22. decembra 2014. godine, čitavih 76 meseci i 7 dana nakon roka koji je propisan Zakonom o zaštiti podataka o ličnosti (član 51).

Zakonska obaveza upisa u Centralni registar izvršena je, naime, nakon pokretanja procedure za utvrđivanje odgovornosti u slučaju teškog kršenja privatnosti.

Nije to bilo prvi put da Agencija za privatizaciju javno objavljuje podatke o ličnosti građana, ali za razliku od slučaja iz 2008, koji je obuhvatao “samo” nekoliko desetina hiljada ljudi, ovog puta je zaštita podataka bila i formalno uređena zakonom.

Prema zakonskim ovlašćenjima, pošto je od SHARE Fondacije primio prijavu i detaljan opis kršenja privatnosti, Poverenik je po službenoj dužnosti preduzeo postupak nadzora u Agenciji za privatizaciju. Tadašnja vd. direktorka Agencije obavestila je Poverenika da je dokument, koji se protivno zakonu našao u javno dostupnom delu sajta, predstavljao pomoćni fajl pod nazivom “dump_web_prijave_10062013”, za sukcesivno prebacivanje podataka iz unutrašnje baze za učitavanje u MySQL bazu, s obzirom da je bio namenjen za pretragu na vebsajtu Agencije. U ovom dopisu, vd. direktorka je napomenula da se do interne adrese fajla moglo doći samo neovlašćenim pristupom veb serveru Agencije, te da će kod nadležnih organa biti preduzeti odgovarajući postupci.

I zaista, Agencija je 16. decembra 2014. podnela krivičnu prijavu nadležnom tužilaštvu, protiv NN lica, zbog neovlašćenog prikupljanja ličnih podataka (KZ, član 146) i neovlašćenog pristupa zaštićenom računaru (KZ, član 302).

Po okončanom nadzoru, već sledećeg dana, služba Poverenika dostavila je zapisnik upravi Agencije za privatizaciju. Prema analizi spornih izmena konfiguracije veb servera, utvrđeno je da je integralni dokument bio javno dostupan od februara 2014. i da je preuzet “više puta”. Sadržaj fajla trebalo je da bude javan samo kroz rezultate pretrage na sajtu Agencije, pri čemu je pristup trebalo da bude ograničen na rezultate pojedinačne pretrage, uz unošenje ličnih podataka i slučajno generisanog koda, tako da bi građani mogli da provere status svog zahteva za besplatne akcije. Konstatovano je i da će evidencija koju vodi Agencija za privatizaciju, o građanima koji su ostvarili pravo na besplatne akcije, biti javna. Međutim, u spornom dokumentu objavljeni su i podaci građana koji nisu ostvarili ovo pravo, odnosno svih koji su podneli prijavu.

Više javno tužilaštvo u Beogradu u međuvremenu se obratilo službi Poverenika i samoj Agenciji za privatizaciju, zahtevima za pružanje potrebnih obaveštenja u predistražnom postupku protiv NN lica, u skladu sa prijavom Agencije.

Početkom januara 2015. godine služba Poverenika uputila je upozorenje Agenciji za privatizaciju u kom se navodi da Agencija nije preduzela odgovarajuće tehničke, kadrovske i organizacione mere zaštite podataka o ličnosti, što je dovelo do teške povrede prava na zaštitu podataka o ličnosti građana Srbije. U upozorenju se konstatuje i da je ovim, kvantitativno najvećim probojem u privatnost građana Srbije, “apsolutno relativizovan značaj JMBG kao individualne i neponovljive oznake identifikacionih podataka o građanima”.

Krajem istog meseca, Poverenik je nadležnom sudu za prekršaje podneo zahtev za pokretanje postupka protiv Agencije za privatizaciju, kao pravnog lica, i dve direktorke koje su konsekutivno vršile dužnost direktora Agencije tokom 2014, kao odgovornih lica. U zahtevu se ukazuje na otežavajuću okolnost da ovaj prekršaj, usled nepreduzimanja mera zaštite, predstavlja “jedinstven slučaj kompromitovanja podataka o ličnosti skoro svih građana jedne države”.

Jedinstven je, međutim, i po nekim karakteristikama koje se tiču pravosudnog epiloga.

Sredinom aprila, Poverenik se ponovo obratio prekršajnom sudu, s obzirom da u međuvremenu nije obavešten o ishodu postupka po zahtevu. Ispostavilo se da je postupak pokrenut odmah nakon Poverenikove prijave, te da je održano i ročište kojem, iz opravdanih razloga, nisu prisustvovala odgovorna lica. Sledeće ročište bilo je zakazano za 5. maj 2015.

O slučaju više nema pisanih tragova. Na osnovu postojećih, građani se bar mogu upoznati sa nadležnostima Poverenika i procedurama koje su im na raspolaganju u slučaju kršenja Zakona o zaštiti podataka o ličnosti.

Glavni akter ove afere više ne postoji i teško da će priča ikada dobiti zakonom predviđeni kraj.  Odgovornost nije locirana, nadležni pravosudni organi nisu preduzeli sve mere na koje su obavezani zakonima a za posledice, čije su razmere nesagledive, nažalost ni šira javnost nije pokazala interes. U kratkoj ali već kontroverznoj istoriji zaštite podataka o ličnosti u Srbiji, slučaj Agencije za privatizaciju mogao bi poslužiti kao konačan argument u zagovaranju napuštanja JMBG, kao podatka o ličnosti čija je zaštita potpuno obesmišljena.

Izrada ovog teksta omogućena je uz podršku američkog naroda putem Američke agencije za međunarodni razvoj (USAID). Za sadržaj ovog teksta odgovorna je SHARE Fondacija i on ne mora nužno odražavati stavove USAID-a ili Vlade Sjedinjenih Američkih Država.

Obrađivač podataka

Obrađivač je, kao i rukovalac, lice koje obrađuje podatke. Ipak, to nije lice koje samo određuje svrhu i načine obrade podataka, niti je to ustanovljeno zakonom za njegove potrebe, već je to lice kome rukovalac podataka na osnovu zakona ili ugovora poverava određene poslove u vezi sa obradom. To znači da je obrađivač odvojeni pravni entitet od rukovaca, te da obrađivač u kontekstu obrade podataka postupa u skladu sa nalozima koje mu je dao rukovalac.

Continue reading Obrađivač podataka

Uvod

Decembra 2014. godine javnost je saznala za najmasovniju povredu privatnosti i prava na zaštitu podataka o ličnosti građana Srbije. Naime, tih dana je SHARE Fondacija utvrdila da je na sajtu Agencije za privatizaciju dostupan dokument koji sadrži lične podatke o 5.190.396 građana Srbije – njihovo ime i prezime, srednje ime i jedinstveni matični broj (JMBG). U postupku nadzora koji je potom sprovela služba Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti, ustanovljeno je da je sporni dokument 10 meseci bio javno dostupan na sajtu Agencije za privatizaciju sa kog je, po rečima nadležnih iz Agencije, preuzet “više” puta. Posledice ovog slučaja teško da se sada mogu u potpunosti sagledati i čini se da još uvek nedostaje puno razumevanje ozbiljnosti incidenta. Javnost se nije bavila ovim slučajem dalje od ponekog senzacionalističkog naslova, dok je utvrđivanje odgovornosti potpuno izostalo. Više od godinu dana kasnije i dalje se ne zna da li je reč o slučajnosti, sistemskom propustu ili zloj nameri. Posebno zabrinjava činjenica da različiti akteri koji rukuju podacima građana i dalje koriste JMBG kao vrstu identifkatora, što znači da je samo na osnovu ličnog imena i teško kompromitovanog matičnog broja moguće pristupiti podacima o ličnosti u pojedinim registrima organa vlasti, ili čak obavljati pojedine poslove u banci telefonskim putem.

Slučaj Agencije za privatizaciju otkrio je razmere rizika kom su izloženi naši podaci, ali je ukazao i na nedostatak pouzdanih saznanja o praktičnim i tehničkim uslovima u kojima se podaci građana prikupljaju, obrađuju i čuvaju. SHARE Fondacija je stoga rešila da istraži koji se podaci prikupljaju u javnom sektoru, ko i na koji način ima pristup podacima građana, te koje se mere zaštite u ovim procedurama primenjuju. Značaj istraživanja je, srećom, prepoznat u USAID-ovom Projektu za reformu pravosuđa i odgovornu vlast, pa je tako projekat SHARE Fondacije pod nazivom “Podaci o ličnosti u javnom sektoru – Mapiranje infrastrutkure obrade podataka u Srbiji” dobio neophodnu podršku.

Rad je započet u aprilu 2015. godine, obimnim istraživanjem o vrstama obrade i načinima zaštite podataka o ličnosti u javnom sektoru, čiji su procesi zatim analizirani sa pravnog, organizacionog i tehničkog aspekta, predstavljenim u ovom Vodiču. Istraživanje je obuhvatilo šest državnih institucija: Republički fond za zdravstveno osiguranje, Republički fond za penzijsko i invalidsko osiguranje, Centralni registar obaveznog socijalnog osiguranja, Poreska uprava, Agencija za privredne registre i Gradski centrar za socijalni rad Beograd. Metodološki je istraživanje zasnovano na javno dostupnim podacima, ali i podacima dobijenim putem zahteva za pristup informacijama od javnog značaja. Institucije su bile spremne na saradnju, te je sa predstavnicima održan niz sastanaka zahvaljujući kojima su istraživači bolje upoznavali i razumevali procese rukovanja podacima građana u javnom sektoru.

Tokom rada, istraživači SHARE Fondacije su imali neprocenjivu podršku službe Poverenika za pristup informacijama od javnog značaja i zaštitu podataka o ličnosti. Značajno iskustvo koje zaposleni u službi Poverenika imaju u ovoj oblasti bilo je dragoceno za rad istraživača, a posebno njihova dostupnost i spremnost za aktivnu razmenu znanja.

Kao krajnji rezultat istraživanja, Vodič obuhvata najbolje prakse i procedure zaštite podataka koje se primenjuju u analiziranim institucijama, ali i višegodišnje iskustvo službe Poverenika iz ove oblasti te znanje i inovativnost SHARE Fondacije koja se posebno bavi pitanjima privatnosti u digitalnom okruženju.

Vodič je namenjen pre svega organima vlasti, ali s obzirom na to da je zaštita podataka o ličnosti oblast uređena zakonom koji se tiče svih aktera, analize i preporuke iz istraživanja SHARE Fondacije biće od koristi i rukovaocima podataka iz privatnog sektora. Konačno, najvažnija svrha istraživanja predstavljenog u ovom Vodiču, jeste doprinos boljem razumevanju podataka o ličnosti, značaja njihove zaštite, kao i dužnosti rukovaoca i obrađivača podataka, te tehničkih i organizacionih mera koje su im na raspolaganju ili koje su u obavezi da primene kako bi zaštitili podatke o ličnosti građana Srbije.

U prvom delu Vodič razmatra osnovne pojmove ove, relativno nove oblasti. Zakon o zaštiti podataka o ličnosti pisan je u skladu sa celokupnim narativom domaćeg pravnog sistema, strukovnim jezikom neophodnim za efikasnu primenu, a koji ponekad može biti neprohodan manje upućenom čitaocu. Razjašnjenja pojedinih odredbi i termina kao što su ‘rukovalac’, ‘obrada podataka’, pa i sam ‘podatak o ličnosti’, data su kroz primere, stvarne ili hipotetičke. Bolje razumevanje smisla osnovnih pojmova i principa Zakona o zaštiti podataka o ličnosti, nužan je uslov za prepoznavanje prava na privatnost i zaštitu podataka o ličnosti kao otelotvorenja suštinske potrebe svakog građanina, a ne spoljašnjeg mehanizma nametnutog prolaznom pravnom normom.

U odeljku posvećenom organizacionim merama za zaštitu podataka izložene su analize i preporuke namenjene upravi i kadrovskoj službi organa vlasti, kao niz korisnih smernica za organizaciju zaposlenih u skladu sa načelom smanjenja rizika od povrede prava na zaštitu podataka o ličnosti. Posebno su obrađena pitanja poput odgovornosti za zaštitu podataka, lica koja se bave tim poslovima, edukacije zaposlenih, neophodnih internih akata i druga.

Tehničke mere za zaštitu podataka namenjene su prvenstveno tehničkim ekspertima u organima vlasti, a u tom delu su izložena iskustva i preporuke za adekvatnu strukturu informacionog sistema, te problemi pristupa, čuvanja i zaštite podataka u digitalnom okruženju.

Poslednji, četvrti deo Vodiča tretira praksu lica ovlašćenih da postupaju po zahtevima za ostvarivanje prava iz Zakona o zaštiti podataka o ličnosti. Tu su obrađene procedure i načini na koji organ vlasti treba da postupa po ovim zahtevima građana, uz poseban osvrt na nedoumice ili nejasnosti koje su uočene prilikom razlikovanja zahteva vezanih za zaštitu podataka od zahteva za pristup informacijama od javnog značaja.
SHARE Fondacija, mart 2016.

Kalendar društva između Dana bezbednosti i Dana privatnosti

Jubilarni deseti Evropski Dan zaštite podataka o ličnosti koji se obeležava 28. januara, Srbija je dočekala u krugu zemalja u kojima vladaju sasvim pristojni uslovi za ovu oblast osnovnih ljudskih prava. Sa ustavnom tradicijom zaštite privatnostidužom od jednog veka koja se do važećeg Ustava razvila u prilično visoke standarde, Srbija je i potpisnica ključnih međunarodnih konvencija. Odgovarajući nacionalni zakon na snazi je od 1. januara 2009. godine, dok državna i nezavisna tela, kao i nevladine organizacije, zajedno ili pojedinačno, već neko vreme rade na njegovim izmenama ili izradi potpuno novog zakona – što bi u teoriji trebalo da sugeriše dinamičan i otvoren duh regulative, osetljiv za brze izmene okruženja u kojem se lični podaci građana generišu, razmenjuju i čuvaju.

Članice Saveta Evrope, uz sve brojnije zemlje sveta koje su prihvatile “Dan privatnosti” kao značajan datum u svom javnom životu, uobičajeno ga obeležavaju prigodnim aktivnostima posvećenim informisanju svojih građana o značaju zaštite privatnosti i sve složenijim načinima njenog narušavanja. Konačno, društveni ulog je zaista veliki: manipuliše se decom, gigantske korporacije profitiraju na ličnim podacima, hakeri ih kradu za digitalne pljačke, tajne službe ih zloupotrebljavaju u ime fantazma o bezbednosti.

U Srbiji, međutim, 28. januar protekao je u senci pisma koje je nedelju dana ranije Poverenik za zaštitu podataka o ličnosti Rodoljub Šabić uputio republičkoj javnoj tužiteljki, upozoravajući na praksu pojedinih tužilaštava da bez odluke suda a uz pretnju kaznom, od telefonskih i internet kompanija zahtevaju uvid u zadržane podatke o komunikaciji građana.

Tužilaštva se pritom pozivaju na odredbe Zakonika o krivičnom postupku kojim se, za potrebe istrage, u nadležnost javnih tužilaca stavlja prikupljanje podataka i traženje obaveštenja i pomoći od pravnih lica, predviđajući novčane kazne za odbijanje ovih zahteva.

Ne bi proslava Dana privatnosti propala zbog ovog slučaja, makar i stoga što nije na odmet informisati građane Srbije o tome da institucije, čija je suštinska uloga da štite pravni poredak, godinama rutinski krše Ustav i zakonom regulisana prava. Nažalost, naša javna komunikacija ograničena je nedostatkom tačnih i pravovremenih informacija, i suženom pažnjom medija za pitanja od značaja za društvo. Još je u prvom opsežnom nadzoru nad radom telefonskih operatora koji je kancelarija Poverenika sprovela pre četiri godine, otkriveno da lakonsko naručivanje ličnih podataka građana nije samo ustaljena praksa javnih tužilaštava, već i niza drugih javnih pa i privatnih aktera. S namerom ili ne, svi oni koriste nejasne i protivrečne odredbe, čime doprinose pravnoj nesigurnosti i narušavanju ustavnog poretka. Odsustvo interesa za ove teme u medijima i široj javnosti, pogodovalo je činjenici da ovaj problem do danas nije otvoren na zakonodavnoj instanci, u parlamentu. Zakonodavac povremeno ostavlja preširoke margine za proizvoljna tumačenja, dok se usklađivanje nacionalnih zakona sa evropskim pravom odvija po hitnom postupku, s jedva nešto vremena za odgovarajući prevod stručnih termina.

Kako su pokazali zahtevi za ocenu ustavnosti odredbi Zakona o zaštiti podaka o ličnosti, ili Zakona o Vojnobezbednosnoj agenciji i Vojnoobaveštajnoj agenciji, pravni okvir, doduše ne uvek blagovremeno, uskladiće Ustavni sud čuvajući smisao ustavne garancije nepovredivosti tajnosti sredstava komunikacije odnosno podataka o ličnosti.

Ali, šta zaštita ličnih podataka uopšte znači u zemlji u kojoj jedna državna agencija danima na svom sajtu drži lične podatke gotovo celokupnog stanovništva, a da incident u javnosti ne ostavi trag dublji od ponekog senzacionalističkog naslova, dok se više od godinu dana kasnije i dalje ne zna da li je reč o slučajnosti, sistemskom propustu ili zloj nameri?

Nije li upravo inspekcijski nadzor Poverenika u telefonskim, a kasnije i internet provajderima, otkrio da nezakoniti pristupi podacima građana, koje preduzimaju razne bezbednosne službe, nisu izolovani incidenti usled vanrednih okolnosti – već sistemska, svakodnevna praksa kojom se godišnje nagomila bar milion slučajeva.

Javna rasprava o predloženom nacrtu novog zakona o zaštiti ličnih podataka prošle jeseni, otkrila je ozbiljno nerazumevanje koncepta privatnosti i smisla njene zaštite. Izostao je akcioni plan za sprovođenje Strategije za zaštitu podataka o ličnosti, pa je ovaj dokument prepušten zaboravu. Podacima građana rukuje se na oko 300.000 javnih i privatnih adresa, od čega zanemarljiv broj ispunjava zakonsku obavezu prijave u Centralni registar Poverenika.

Na sajtovima državnih institucija u čijoj je nadležnosti prikupljanje i obrada podataka o svim građanima po različitim osnovama (penzijsko i zdravstveno osiguranje, na primer), postepeno počinje primena elektronskih usluga, a da pritom često ne postoje jasne procedure za zaštitu i bezbednost podataka na portalima, dok se politici privatnosti i informisanju korisnika o pravima retko pridaje veći značaj.

Otkud tolika nesrazmera između proklamovanih načela i svakodnevice?

Da li iz formalno-pravnih nejasnoća izvire zbunjenost javnosti u pogledu sopstvenih prava i dužnosti države da joj pruži zaštitu, ili je ipak obrnuto, tek ovdašnje prilike ukazuju da konfuzija ometa vitalne interese društva. Čest sukob dve značajne potrebe zemlje u tranziciji, nalog transparentnosti odnosno javnosti rada organa uprave s jedne i pravo na privatnost života i poslova građana s druge strane, ukazuje na nedostatak promišljene, konsekventne “politike podataka”. Istorija uspostavljanja savremenog sistema zaštite privatnosti u Srbiji svedoči o stalnoj koliziji ova dva interesa, neretko na štetu željenih normi uređenog društva.

Državna administracija ubrzano umnožava registre podataka građana, prepuštajući zaposlenima na njihovom održavanju da se sami snalaze sa neujednačenim tehničkim resursima i nejasnim instrukcijama o obavezama i zakonskim ograničenjima.

Entuzijazam koji je pratio iznenadne tehničke inovacije u ustanovama koje prikupljaju i obrađuju podatke o građanima, povremeno će zaustaviti stručna procena o nedovoljnom ili pak preteranom uvidu javnosti. Vremenom, institucije su razvile zakonom propisanu naviku da se unapred obraćaju za mišljenje Povereniku, čija je kancelarija znatno proširila kapacitete u odnosu na prvobitnih šest saradnika. Od 2009. godine, kada se povereništvu za pristup informacijama od javnog značaja priključuju poslovi vezani za zaštitu podataka o ličnosti, broj predmeta sa manje od stotinu skočio je na čak 2.500 u protekloj godini, što ipak ukazuje na bolju obaveštenost građana o sopstvenim pravima i volji da se za njihovu zaštitu obrate odgovarajućoj službi.

Ipak, Poverenik će prigodom Dana privatnosti ukazati na “podanički” mentalitet i strah građana da postave pitanje “zašto mi tražite ličnu kartu”. Razumljiva je frustracija prizorom pasivne javnosti, čiji je prostor premrežen kamerama za nadzor bez odgovarajuće pravne regulative; čiji se podaci neovlašćeno prikupljaju i preprodaju u komercijalne svrhe, dok su njihovi osetljivi podaci – o porodičnim prilikama, bolestima, tragičnim događajima, intimnim opredeljenjima – po nahođenju na raspolaganju poslodavcima ili tabloidima, svejedno. Posledice po dostojanstven život su iste. Strah, međutim, nije neosnovan.

Da li je vreme da se JMBG pošalje u istoriju?

“Držimo celu Srbiju u šaci”, glasilo je upozorenje nepoznate grupe hakera koje su mediji preneli u decembru 2014: “Imamo gotovo sve podatke o stanovnicima Srbije, počevši od JMBG, pa do toga šta rade, gde žive, njihove brojeve telefona”.

Grupa je u poruci navela da se na ovaj postupak odlučila, između ostalog, da bi pokazala koliko je “privatnost u ovoj zemlji ugrožena i kako pomoću ovih podataka možemo dobiti apsolutno sve informacije” o građanima. Dokaz da su “upali u sistem” bile su tabele sa podacima građana Novog Beograda, Voždovca, Novog Sada i Jagodine, dostavljene medijima kao prilog saopštenju.

Javnost više nije čula za ovaj slučaj i do danas se ne zna kako su na kraju završili protagonisti ideje da se protiv države nadzora treba boriti daljim ugrožavanjem privatnosti građana. Nije razjašnjeno ni u čiju su bazu upali, pa konačno ni da li je uopšte reč o hakerima ili se grupa prosto poslužila bazom koja je u to vreme već skoro godinu dana, greškom ili hotimice, visila na sajtu Agencije za privatizaciju. Najmasovniji prodor u privatnost građana Srbije, podestimo, ustanovljen je novembra 2014. objavljivanjem podataka o 5.190.396 građana Srbije – njihovih imena i prezimena, srednjeg imena, jedinstvenih matičnih brojeva i statusa u evidenciji nosilaca prava na besplatne akcije.

Jedno je, međutim, uveliko jasno: jedinstveni matični broj građana, JMBG, postao je simbol ličnog podatka koji uživa pravnu zaštitu prvog reda, a o čijoj se praktičnoj zaštiti više ne može govoriti ozbiljno.

Skup brojeva koji po sebi predstavlja podatak o ličnosti, JMBG je sastavljen iz nekoliko numeričkih elemenata koji svaki za sebe bliže određuju osobu na koju se odnose. Prvih 7 cifara označavaju dan, mesec i godinu rođenja, dok su naredne dve obeležje područja registracije prema administrativnoj podeli u Jugoslaviji, u vreme uvođenja ovog sistema 1976. godine (Srbija koristi brojeve od 70 do 89, uz narednu dekadu za rođene na Kosovu). Ovaj deo JMBG na taj način doslovno preslikava osnovne činjenice o rođenju građana. Sledeće tri cifre se generišu redom u okviru definisanog opsega, od 000 do 499 za muški i od 500 do 999 za ženski pol. Poslednja, 13. cifra je kontrolna.

Kao individualna i neponovljiva oznaka identifikacionih podataka o građanima, preko koje se povezuju podaci o građanima iz svih drugih evidencija, JMBG je odštampan u ličnoj karti, zdravstvenoj knjižici, pasošu, vozačkoj dozvoli. Neophodan je podatak prilikom svake formalne komunikacije sa državom u ostvarivanju prava i izvršavanju obaveza i čini kontrolni identifikator za potvrdu identiteta prilikom školovanja, poslovanja, sklapanja ugovora, prijave boravka, otvaranja računa.

Na značaj JMBG ukazuje činjenica da nedostatak ovog broja predstavlja suštinsku prepreku za integraciju desetina hiljada Roma, dok privremena rešenja za naknadni upis u matične knjige dodatno usporavaju ionako složen proces izlaska iz začaranog kruga bede i diskriminacije. Stari zakon o jedinstvenom matičnom broju prepreka je i u rešavanju slučajeva dodele pogrešnog JMBG kojih, prema nezvaničnim procenama, ima više hiljada.

Iako još uvek nije završen proces prebacivanja papirnih registratora u elektronsku formu, ka konačnom ostvarenju sna o elektronskoj upravi, digitalne baze podataka o građanima Srbije uveliko žive na Mreži i množe se geometrijskom progresijom. Svaka od njih praktično je bezvredna bez jedinstvenog matičnog broja, ključnog identifikatora osobe na koju se odnosi, informacije na osnovu koje se nedvosmisleno utvrđuje njen identitet.

Pohranjen je u svakoj evidenciji koju država vodi o građanima, replicira se u beskrajnim nizovima dosijea, papirnim i elektronskim, objavljuje se u javno dostupnim bazama državnih organa, balansirajući na granici koju Ustav postavlja za svrsishodnost obrade ličnih podataka.

Na internet se postepeno povezuju čitavi sistemi elektronskih baza za čiju je pretragu, doduše, potrebna šifra – ali u obliku jedinstvenog matičnog broja. Čak i da nisu pušteni u promet provalom u baze Agencije za privatizaciju, stranačkih aktivista ili izbornih lista, nečiji jedinstveni matični broj nije teško otkriti. Građani ih ostavljaju putujućim trgovcima, čuvarima na prijavnicama, organizatorima igara na sreću, rečju, bilo kome ko im to zatraži – nesvesni u kojoj meri time zapravo izlažu svoj privatni život.

Naravno, za krađu identiteta nisu neophodne nove tehnologije, ali je svakako čine beskrajno lakšom. Paradoksalno, uprkos prelasku u digitalno okruženje i ukidanju fizičkog šaltera kao nepotrebne barijere za direktnu komunikaciju sa državom ili nekim privatnim akterom, celokupna razmena i dalje se odvija posredno. Danas taj posrednik više nije šalterski radnik, uslovljen ličnim raspoloženjem, znanjem i veštinom, već je čitav proces u najvećoj meri automatizovan i odvija se u deliću sekunde. Od takvih prilika, međutim, zavisi i potvrda da u razmeni učestvuju upravo one osobe kojih se ona tiče, građanin i službenik penzionog fonda ili bankarske filijale, na primer.

Lažno predstavljanje u elektronskoj komunikaciji – phishing, vishing, SmiShing, u zavisnosti od toga da li se odvija mejlom, telefonom ili sms porukama – u doba globalne umreženosti čini deo zasebne discipline socioloških i kriminoloških istraživanja, pod zajedničkim nazivom “društveni inženjering”, a koja podrazumeva lakoću stupanja u ličnu komunikaciju bez fizičkog prisustva.

Poznavanje bar jednog ličnog podatka žrtve društvenog inženjeringa biće prvi korak za prevaru zasnovanu na poverenju. Jedinstveni matični broj građana idealan je primer – predstavlja podatak koji je čvrsto asociran uz državne organe i, uopšte, ovlašćene rukovaoce ličnim podacima, a pritom je kompromitovan u meri koja obesmišljava odredbe Zakona o zaštiti podataka o ličnosti.

Upravo će stoga Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti krajem 2014. godine zatražiti hitnu izmenu odredbi kojima je propisano da jedinstveni matični broj građana istovremeno služi kao poreski identifikacioni broj poreskih obveznika. Objavljivanjem dokumenata o svom radu, lokalne poreske administracije su na taj način praktično objavile niz podataka o ličnosti građana. Primera radi, samo na internet prezentaciji Uprave javnih prihoda grada Beograda objavlјen je dokument od oko 50 hiljada jedinstvenih matičnih brojeva građana. Poverenik je konstatovao da je JMBG kompromitovan i da je, s obzirom na moguće zloupotrebe, njegova upotreba za svrhe identifikacije poreskih obveznika suviše rizična.

Iste godine državna elektrodistribucija će korisnicima poslati zahtev “za dostavu tačnog jedinstvenog matičnog broja građana”, na šta je Poverenik reagovao podsećajući da je i ovaj, kao i neki drugi zahtevi organa vlasti, javnih i privatnih preduzeća, oslonjen samo na pravilnik i slične interne papire kojima se iznova gaze ustavna i zakonska ograničenja za prikupljanje podataka o građanima i zadiranje u njihovu privatnost.

Aljkavost zakonom ovlašćenih rukovalaca ličnim podacima građana i sve brojniji digitalni predatori, od hakera do nasrtljivih oglašivača i trgovaca, ne samo što su obesmislili pravnu zaštitu JMBG, već je ovaj lični podatak praktično postao rizičan po privatnost njegovog vlasnika.

U digitalnom okruženju, takva transparentnost numeričkog ličnog podatka naprosto je neodrživa, nalik izboru niza “1234” za lozinku bankovnog računa.

Poučna su iskustva susednih zemalja. U Bosni i Hercegovini je 2013. JMBG bio u središtu političkog sukoba nakon suspenzije odredbe o registracionim područjima ove bivše jugoslovenske republike (8. i 9. broj u nizu), koja se nisu poklapala sa posleratnim entitetskim granicama. Uskoro su izbili i ulični protesti, jer deca rođena posle odluke Ustavnog suda o suspenziji nisu dobila jedinstveni matični broj, a time ni pravo na zdravstveno osiguranje i lečenje. Da matični broj nije vezan za stvarne činjenice iz života građana, problem ne bi ni nastao.

U Hrvatskoj je 2009. u upotrebu uveden osobni identifikacioni broj (OIB) kao primarni identifikator, jedinstven i nekazujući, što znači da niz od 11 brojeva ne sadrži konkretne podatke o ličnosti već se cifre generišu slučajnim izborom. Za dodelu osobnog broja zadužena je Poreska uprava Ministarstva finansija. JMBG se i dalje koristi dok za time postoji potreba na osnovu starih evidencija.

Slično rešenje moguće je i u Srbiji. Zapravo, unikatan broj sačinjen od niza nasumičnih cifara koje, za razliku od JMBG, ne otkrivaju lične podatke građana – već postoji i u širokoj je upotrebi. Dodeljen je svim državljanima i osobama sa prebivalištem na teritoriji zemlje koji su osigurani po bilo kom osnovu, kao zaposleni, deca, supružnici i slično. Prema nepotpunim podacima, poseduje ga blizu 7 miliona građana. Takođe, omogućava pristup pojedinim pravima, kao što je zdravstvena zaštita, i građanima kojima nikada nije dodeljen JMBG.

Lični broj osiguranika (LBO) dodeljuje Centralni registar za obavezno socijalno osiguranje (CROSO), najmlađi organ državne uprave koji je, kao takav, od početka građen u digitalnom okruženju. Broj sadrži 11 cifara od kojih je zadnja cifra kontrolni broj, a sve ostale cifre se dodeljuju izborom slučajnih brojeva. Određuje se svakom osiguranom licu samo jednom, trajan je i nepromenljiv, pa se može koristiti kao jedinstveni brojni identifikator osobe.

Za razliku od jedinstvenog matičnog broja, LBO nema nikakve veze sa ličnim svojstvima vlasnika, sam po sebi ne otkriva nijedan podatak o njemu, dok algoritamski izbor otklanja mogućnost pogrešnih dodela.

Relikt prošlih vremena, JMBG otkriva znatno više ličnih podataka nego što je to potrebno za svrhe evidntiranja građana. Kao takav, kompromitovan je na razne načine tokom protekle decenije, gde je slučaj Agencije za privatizaciju, odnosno slobodan pristup jedinstvenom broju većine građana Srbije na sajtu Agencije odakle su, po rečima njihovih predstavnika, preuzimani “više puta” – samo kap koja bi trebalo da prelije čašu. Po svoj prilici, više nikada nećemo moći da utvrdimo ko sve poseduje naše jedinstvene matične brojeve, kada ih i u koje svrhe može zloupotrebiti. Čini se da bi JMBG stoga konačno trebalo poslati u istoriju. Ovakvu odluku mogla bi da prate i nastojanja da se od države izdejstvuje besplatna zamena dokumenata, kao gest svojevrsnog obeštećenja građana za rizike kojima su bili izloženi.

Izrada ovog teksta omogućena je uz podršku američkog naroda putem Američke agencije za međunarodni razvoj (USAID). Za sadržaj ovog teksta odgovorna je SHARE Fondacija i on ne mora nužno odražavati stavove USAID-a ili Vlade Sjedinjenih Američkih Država.

Uvod

Decembra 2014. godine javnost je saznala za najmasovniju povredu privatnosti i prava na zaštitu podataka o ličnosti građana Srbije. Naime, tih dana je SHARE Fondacija utvrdila da je na sajtu Agencije za privatizaciju dostupan dokument koji sadrži lične podatke o 5.190.396 građana Srbije – njihovo ime i prezime, srednje ime i jedinstveni matični broj (JMBG). U postupku nadzora koji je potom sprovela služba Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti, ustanovljeno je da je sporni dokument 10 meseci bio javno dostupan na sajtu Agencije za privatizaciju sa kog je, po rečima nadležnih iz Agencije, preuzet “više” puta. Posledice ovog slučaja teško da se sada mogu u potpunosti sagledati i čini se da još uvek nedostaje puno razumevanje ozbiljnosti incidenta. Javnost se nije bavila ovim slučajem dalje od ponekog senzacionalističkog naslova, dok je utvrđivanje odgovornosti potpuno izostalo. Više od godinu dana kasnije i dalje se ne zna da li je reč o slučajnosti, sistemskom propustu ili zloj nameri. Posebno zabrinjava činjenica da različiti akteri koji rukuju podacima građana i dalje koriste JMBG kao vrstu identifkatora, što znači da je samo na osnovu ličnog imena i teško kompromitovanog matičnog broja moguće pristupiti podacima o ličnosti u pojedinim registrima organa vlasti, ili čak obavljati pojedine poslove u banci telefonskim putem.

Slučaj Agencije za privatizaciju otkrio je razmere rizika kom su izloženi naši podaci, ali je ukazao i na nedostatak pouzdanih saznanja o praktičnim i tehničkim uslovima u kojima se podaci građana prikupljaju, obrađuju i čuvaju. SHARE Fondacija je stoga rešila da istraži koji se podaci prikupljaju u javnom sektoru, ko i na koji način ima pristup podacima građana, te koje se mere zaštite u ovim procedurama primenjuju. Značaj istraživanja je, srećom, prepoznat u USAID-ovom Projektu za reformu pravosuđa i odgovornu vlast, pa je tako projekat SHARE Fondacije pod nazivom “Podaci o ličnosti u javnom sektoru – Mapiranje infrastrutkure obrade podataka u Srbiji” dobio neophodnu podršku.

Rad je započet u aprilu 2015. godine, obimnim istraživanjem o vrstama obrade i načinima zaštite podataka o ličnosti u javnom sektoru, čiji su procesi zatim analizirani sa pravnog, organizacionog i tehničkog aspekta, predstavljenim u ovom Vodiču. Istraživanje je obuhvatilo šest državnih institucija: Republički fond za zdravstveno osiguranje, Republički fond za penzijsko i invalidsko osiguranje, Centralni registar obaveznog socijalnog osiguranja, Poreska uprava, Agencija za privredne registre i Gradski centrar za socijalni rad Beograd. Metodološki je istraživanje zasnovano na javno dostupnim podacima, ali i podacima dobijenim putem zahteva za pristup informacijama od javnog značaja. Institucije su bile spremne na saradnju, te je sa predstavnicima održan niz sastanaka zahvaljujući kojima su istraživači bolje upoznavali i razumevali procese rukovanja podacima građana u javnom sektoru.

Tokom rada, istraživači SHARE Fondacije su imali neprocenjivu podršku službe Poverenika za pristup informacijama od javnog značaja i zaštitu podataka o ličnosti. Značajno iskustvo koje zaposleni u službi Poverenika imaju u ovoj oblasti bilo je dragoceno za rad istraživača, a posebno njihova dostupnost i spremnost za aktivnu razmenu znanja.

Kao krajnji rezultat istraživanja, Vodič obuhvata najbolje prakse i procedure zaštite podataka koje se primenjuju u analiziranim institucijama, ali i višegodišnje iskustvo službe Poverenika iz ove oblasti te znanje i inovativnost SHARE Fondacije koja se posebno bavi pitanjima privatnosti u digitalnom okruženju.

Vodič je namenjen pre svega organima vlasti, ali s obzirom na to da je zaštita podataka o ličnosti oblast uređena zakonom koji se tiče svih aktera, analize i preporuke iz istraživanja SHARE Fondacije biće od koristi i rukovaocima podataka iz privatnog sektora. Konačno, najvažnija svrha istraživanja predstavljenog u ovom Vodiču, jeste doprinos boljem razumevanju podataka o ličnosti, značaja njihove zaštite, kao i dužnosti rukovaoca i obrađivača podataka, te tehničkih i organizacionih mera koje su im na raspolaganju ili koje su u obavezi da primene kako bi zaštitili podatke o ličnosti građana Srbije.

U prvom delu Vodič razmatra osnovne pojmove ove, relativno nove oblasti. Zakon o zaštiti podataka o ličnosti pisan je u skladu sa celokupnim narativom domaćeg pravnog sistema, strukovnim jezikom neophodnim za efikasnu primenu, a koji ponekad može biti neprohodan manje upućenom čitaocu. Razjašnjenja pojedinih odredbi i termina kao što su ‘rukovalac’, ‘obrada podataka’, pa i sam ‘podatak o ličnosti’, data su kroz primere, stvarne ili hipotetičke. Bolje razumevanje smisla osnovnih pojmova i principa Zakona o zaštiti podataka o ličnosti, nužan je uslov za prepoznavanje prava na privatnost i zaštitu podataka o ličnosti kao otelotvorenja suštinske potrebe svakog građanina, a ne spoljašnjeg mehanizma nametnutog prolaznom pravnom normom.

U odeljku posvećenom organizacionim merama za zaštitu podataka izložene su analize i preporuke namenjene upravi i kadrovskoj službi organa vlasti, kao niz korisnih smernica za organizaciju zaposlenih u skladu sa načelom smanjenja rizika od povrede prava na zaštitu podataka o ličnosti. Posebno su obrađena pitanja poput odgovornosti za zaštitu podataka, lica koja se bave tim poslovima, edukacije zaposlenih, neophodnih internih akata i druga.

Tehničke mere za zaštitu podataka namenjene su prvenstveno tehničkim ekspertima u organima vlasti, a u tom delu su izložena iskustva i preporuke za adekvatnu strukturu informacionog sistema, te problemi pristupa, čuvanja i zaštite podataka u digitalnom okruženju.

Poslednji, četvrti deo Vodiča tretira praksu lica ovlašćenih da postupaju po zahtevima za ostvarivanje prava iz Zakona o zaštiti podataka o ličnosti. Tu su obrađene procedure i načini na koji organ vlasti treba da postupa po ovim zahtevima građana, uz poseban osvrt na nedoumice ili nejasnosti koje su uočene prilikom razlikovanja zahteva vezanih za zaštitu podataka od zahteva za pristup informacijama od javnog značaja.

SHARE Fondacija, mart 2016.

Predgovor

Uspostavljanje savremenih standarda zaštite privatnosti, odnosno zaštite podataka o ličnosti je bez izuzetka jedan od glavnih zadataka sa kojima se suočavaju tranzicione zemlje. Nije nimalo lak ni brzo ostvariv, budući da podrazumeva kopernikanski obrt u sistemu vrednosti, nužnost da se privatnost građana koja se godinama u okviru kolektivističkog sistema vrednosti nalazila na samom dnu lestvice vrednosti podigne visoko, praktično na vrh.

I Srbija je, naravno, suočena sa tim zadatkom. Od pre šest godina imamo Zakon o zaštiti podataka o ličnosti koji, iako nedovoljno usklađen sa standardima zaštite podataka afirmisanim u EU, ipak bar na načelnom nivou proklamuje te standarde. Nažalost, u proteklom periodu nismo ostvarili rezultate koje smo mogli i morali ostvariti.

Opravdanja za to nema, ali postoji objašnjenje. Za svaku tranzicionu zemlju, radi ozbiljnog i odgovornog pristupa tako složenom i teškom zadatku kakav je prihvatanje evropskih standarda zaštite podataka o ličnosti, neophodan akt je Strategija zaštite podataka o ličnosti. Vlada Srbije nije Strategiju donela kao što bi to bilo logično, pre ili istovremeno sa donošenjem Zakona o zaštiti podataka o ličnosti, 2008, već je usvojila tek (na inicijativu Poverenika, u tekstu koji je on pripremio, iako je to bila obaveza Vlade) dve godine kasnije, u leto 2010. Nužna pretpostavka za realizaciju Strategije je, naravno, Akcioni plan za njeno sprovođenje, koji je trebalo da bude usvojen u roku od tri meseca. Nije usvojen, a njegovo donošenje “dosledno” je odlagano uprkos tome što potrebu za njim na doslovno dramatičan način, svakodnevno “argumentuje” naša stvarnost, teškim povredama privatnosti građana iz kojih nedopustivo često stoje upravo oni koji bi trebalo da je štite, državni organi.

Zbog toga docnimo na tri bitna plana. Na normativnom, jer su nam propisi daleko od usklađenosti ne samo sa standardima EU, nego i sa našim Ustavom. Na faktičkom, jer se aktivnosti državnih organa na zaštiti podataka o ličnosti u nedopustivo visokom procentu svode samo na aktivnosti Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti. I, što je možda najvažnije, docnimo na planu edukacije, kako građana tako i onih koji se njihovim podacima o ličnosti bave. To je pogotovo važno za subjekte iz javnog sektora, gde su i koncentracija podataka o ličnosti i odgovornost veći.

Edukacija je doslovno neophodna, jer je, naročito u javnom sektoru, potrebno ne samo podizati nivo svesti o značaju zaštite podataka, već i graditi sposobnost i znanje za primenu tehničkih i organizacionih mera zaštite podataka.

Upravo u tom kontekstu, Vodič za organe vlasti “Zaštita podataka o ličnosti”, finalni rezultat jednog atraktivnog i vrednog projekta koji je sprovela SHARE Fondacija uz podršku USAID-ovog Projekta za reformu pravosuđa i odgovornu vlast, predstavlja vrlo vredan i koristan doprinos. Verujem da će moje mišljenje podeliti svi oni koji će ga koristiti u želji da svoj rad unaprede većim stepenom odgovornosti prema podacima o ličnosti koje obrađuju, odnosno kvalitetnijom i efikasnijom zaštitom tih podataka.

Rodoljub Šabić,
Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti

Metodologia

 

Koje zbirke podataka vodi Organ vlasti?

– Izvori: Centralni registar Poverenika; Relevantne zakonske odredbe; Zahtev za pristup informacijama od javnog značaja; Zahtev za ostvarivanje prava iz ZZPL-a.

Koje podatke o ličnosti obrađuje Organ vlasti?

– Izvori: Centralni registar Poverenika; Relevantne zakonske odredbe; Zahtev za pristup informacijama od javnog značaja; Zahtev za ostvarivanje prava iz ZZPL-a.

Na koji način Organ vlasti prikuplja podatke o ličnosti?

– Izvori: Centralni registar Poverenika; Relevantne zakonske odredbe; Zahtev za pristup informacijama od javnog značaja; Zahtev za ostvarivanje prava iz ZZPL-a.

Koji je pravni osnov za obradu podataka o ličnosti?

– Izvori: Centralni registar Poverenika; relevantne zakonske odredbe; Zahtev za ostvarivanje prava iz ZZPL-a.

Koji je naziv organizacione jedinica koja je zadužena za održavanje i implementaciju  Informacionog Sistema organa vlasti? Koji je broj zaposlenih i koje profesionalne kvalifikacije poseduju?

– Izvori: Zahtev za pristup informacijama od javnog značaja; Informator o radu;

Sistematizacija radnih mesta organa vlasti.

Da li postoje interni akti koji regulišu pristup i upravljanje podacima koji se nalaze u zbirkama koje vodi organ vlasti? Koji su to akti? Na koji način regulišu ova pitanja?

– Izvori: Zahtev za pristup informacijama od javnog značaja; Veb stranica organa vlasti;

Informator o radu organ vlasti.

Da li u organu vlasti postoji lice koje je zaduženo za zaštitu podataka o ličnosti? Koja su ovlašćenja i nadležnosti ovog lica?

– Izvori: Zahtev za pristup informacijama od javnog značaja; Informator o radu organa vlasti; Pravilnik o unutrašnjoj organizaciji i sistematizaciji radnih mesta; opisi poslova.

Da li su organu vlasti sprovedene obuke zaposlenih u vezi sa relevantnim odredbama Zakona o zaštiti podataka o ličnosti? Na koji način?

– Izvori: Zahtev za pristup informacijama od javnog značaja; Veb sajt organa vlasti.

Na koji način je uređen elektronski pristup zaposlenih zbirkama podataka koje vodi organ vlasti? Da li postoji sistem rola koji određuje prava pristupa svakog pojedinačnog zaposlenog? Da li je sistem rola vezan za radna mesta?

– Izvori: Zahtev za pristup informacijama od javnog značaja; Pravilnik o unutrašnjoj organizaciji i sistematizaciji radnih mesta; Opisi poslova; Matrica rola (privilegija) u informacionom sistemu organa vlasti.

Da li treća lica (lica koja nisu zaposlena u organu vlasti) imaju pristup informacionom

sistemu i serverima na kojma se nalaze podaci o ličnosti? Koja su to lica? Kakvu vrstu pristupa ova lica poseduju i na koji način je taj pristup uređen?

– Izvori: Centralni registar Poverenika; Relevantne zakonske odredbe, Zahtev za pristup

informacijama od javnog značaja

Da li organ vlasti vodi zbirke podataka u papirnoj formi? Da li postoje procedure za pristup zbirkama podataka koje se vode u papirnoj formi?

– Izvori: Zahtev za pristup informacijama od javnog značaja.

Da li je organ vlasti implementirao ISO standarde? Koje? Kada?

– Izvori: Zahtev za pristup informacijama od javnog značaja; Uvid u Registar sertifikovanih privrednih društava koji vodi Privredna komora Srbije; Veb sajt organa vlasti.

Koji je broj servera (fizičkih i virtuelnih) u okviru Informacionog sistema organa vlasti koji se koriste za obradu podataka o ličnosti? U čijem vlasništvu su serveri i gde se fizički nalazi svaki od servera? Ukoliko serveri nisu centralizovani na jednom mestu, na koji način su povezani međusobno?

– Izvori: Zahtev za pristup informacijama od javnog značaja.

Da li se na serverima na kojima se nalaze podaci o ličnosti čuvaju logovi? Koji? Koliko dugo?

– Izvori: Zahtev za pristup informacijama od javnog značaja.

Gde je hostovan sajt organa vlasti? Da li organ vlasti samostalno ugovara hosting ili to ide preko nekog drugog državnog organa Ko je interner provajder organa vlasti?

– Izvori: Zahtev za pristup informacijama od javnog značaja; WHOIS i who is hosting this pretraga (www.whoishostingthis.com ; www.whois.icann.org)