Podaci o ličnosti koji se čuvaju u elektronskim bazama podataka
Ukoliko se podaci o ličnosti čuvaju u elektronskoj formi, ne sme postojati nijedan korisnik koji im može pristupiti bez autentifikacije i evidentiranja pristupa.
U idealnom slučaju, pristup elektronskoj bazi podataka koja sadrži podatke o ličnosti svakom od zainteresovanih lica treba da bude omogućen upotrebom kvalifikovanog elektronskog sertifikata, koji izdaje ili verifikuje organ vlasti koji vodi bazu podataka. Međutim, u najvećem broju slučajeva postojeća infrastruktura ne dozvoljava primenu ovog rešenja. U tim slučajevima je korisnicima potrebno omogućiti pristup bazi podataka unosom korisničkog imena i lozinke. Lozinka mora biti sistemski generisana i poznata samo korisniku. Korisnik treba da ima mogućnost promene lozinke.
SAVET
Od krucijalne je važnosti da fizičkim licima pristup elektronskoj zbirci podataka koja sadrži podatke o ličnosti ne bude omogućen isključivo unosom JMBG, s obzirom da je to kompromitovan podatak. Ukoliko se za pristup ne koristi kvalifikovani elektronski sertifikat, JMBG može da bude korisničko ime, ali je neophodno da postoji i lozinka poznata samo tom fizičkom licu koju je potrebno uneti kako bi se ostvario pristup.
Neophodno je osigurati da se lozinka od sistema do korisnika kreće isključivo bezbednim telekomunikacionim kanalima. Ukoliko su u pitanju zaposleni, to može biti interna telekomunikaciona mreža koja zadovoljava sve bezbednosne standarde.
SAVET
Slanje lozinke za pristup elektronskoj bazi podataka koja sadrži podatke o ličnosti na mejl adresu nije bezbedno i može dovesti do kompromitovanja pristupnih parametara.
Ako se lozinka šalje spoljnim korisnicima, koji mogu biti predstavnici pravnih lica sa pravnim osnovom za pristup prikupljenim podacima o ličnosti, fizička lica o kojima se prikupljaju podaci o ličnosti, ili bilo koje fizičko lice u slučaju javno dostupnih podataka, neophodno je uspostaviti siguran kanal za slanje lozinki ili uvesti lično preuzimanje pristupnih parametara, koji se automatski generišu i nisu poznati zaposlenima u organu koji prikuplja i obrađuje podatke (poput izdavanja PIN koda u bankama).
SAVET
U organima vlasti koji čuvaju podatke o ličnosti u elektronskoj formi ne sme postojati nijedan zaposleni koji ima pristup svim korisničkim imenima i lozinkama u sistemu. Administratori baze podataka, odnosno zaposleni na radnim mestima kojima su dodeljena administratorska prava, mogu videti sva korisnička imena, kreirati nove korisnike, menjati korisničke role korisnicima, blokirati pravo pristupa određenim korisnicima ili inicirati dodelu nove lozinke korisnicima ukoliko se pojavi potreba, ali ne smeju imati mogućnost pristupa lozinkama. Isključivo zaposleni koji imaju korisničke naloge su odgovorni za čuvanje svoje lozinke za pristup.
Samo u slučajevima kada je zakonom definisano da su podaci o ličnosti koji se prikupljaju i obrađuju javno dostupni za pregled, i da nije potrebno evidentirati ko je izvršio pregled tih podataka, rukovaoci mogu ponuditi javnu pretragu i pregled podataka o ličnosti koji se čuvaju u elektronskoj zbirci podataka, u skladu sa zakonom. U takvim situacijama ne sme biti omogućen direktan pristup zbirci podataka, već moraju biti korišćena aplikativna rešenja i web servisi koji pristupaju zbirci podataka preko sigurnih kanala. Takođe, neophodno je osigurati bezbednost podataka i onemogućiti njihovu izmenu prilikom ovakvog pristupa. Pored toga, rukovaoci su dužni da osiguraju da način javne pretrage i eventualni izvoz ili preuzimanje podataka o ličnosti bude u potpunosti u skladu sa zakonom.
Anonimizacija podataka o ličnosti u organima vlasti
Pod anonimizacijom podataka podrazumeva se zamena ili izostavljanje podataka o ličnosti i drugih podataka, na način da treća strana koja pregleda ili obrađuje dokument ne bi mogla da identifikuje lice na koje se ti podaci odnose. Kada je to potrebno predlaže se anonimizacija sledećih podataka kao najčešćih identifikatora:
- ime i prezime fizičkog lica;
- datum i mesto rođenja;
- adresa (prebivalište i boravište fizičkog lica);
- JMBG – jedinstveni matični broj građana;
- broj lične karte, pasoša, vozačke dozvole, registarske oznake vozila ili drugih ličnih isprava koje bi mogle da dovedu do otkrivanja identiteta fizičkog lica
- broj telefona, web ili adresa elektronske pošte fizičkog lica, odnosno drugi podatak o ličnosti i drugi podaci na osnovu kojih lice može biti određeno ili odredivo.
Pored toga što je anonimizacija potrebna prilikom javnog ustupanja dokumenata koja sadrže podatke o ličnosti (o čemu će biti vise reči u poslednjem delu Vodiča), ona može biti i dobar mehanizam u poslovnim procesima unutar organa vlasti. Iako nije moguće uvesti potpunu anonimizaciju u rad organa vlasti, postoje koraci koji se mogu preduzeti kako bi se nivo anonimizacije podigao i samim tim značajno smanjio rizik od kršenja ZZPL od strane zaposlenih u organima vlasti. Anonimizacija bi mogla da bude sprovedena tako što se prilikom prvog unosa podataka o ličnosti konkretne osobe u informacioni sistem organa vlasti, odnosno prilikom kreiranja određene vrste dosijea, kreira i interna šifra za taj dosije. Svaka dalja obrada u sistemu se vrši preko šifre kreirane na taj način, dok se svi ostali, u tim slučajevima nepotrebni podaci o ličnosti ne pojavljuju. Na kraju procesa, prilikom izdavanja određenih uverenja ili rešenja, jasno je da zaposleni mora videti podatke o ličnosti. Cilj anonimizacije u organima vlasti je da podatke o ličnosti mogu da vide samo oni zaposleni kojima je to neophodno za obavljanje radnih aktivnosti, a to su u najvećem broju slučajeva zaposleni koji su u kontaktu sa korisnicima i nalaze se na oba kraja procesa obrade podataka.
PRIMER: Odgovarajući primer procesa gde se može uvesti anonimizacija na ovakav način, može se naći u praksi Gradskog centra za socijalni rad Beograd. Na početku procesa, zaposleni na radnom mestu prijemnog radnika (koji je stručno lice) pregleda dokumentaciju, unosi neophodne podatke u informacioni sistem i na osnovu prirode slučaja određuje dalji tok procesa, odnosno kretanje predmeta među odgovarajućim stručnim licima Gradskog centra. Međutim, u tom delu procesa prijemni radnik slučaj predaje administrativnom radniku koji unosi dokument nazvan „Zahtev“ u informacioni sistem Gradskog centra i povezuje sve papirne dokumente u košuljicu, odnosno formira dosije. Administrativni radnik vidi sve podatke o korisniku usluga Gradskog centra, iako ne učestvuje ni u jednom stručnom delu procesa. Slučaj dalje, kroz dostavnu knjigu, dolazi do rukovodioca službe koji određuje voditelja slučaja. S obzirom da je administrativni radnik lice koje obavlja operativne pomoćne poslove i ne učestvuje u stručnim procesima Centra, ne postoji ni potreba za pristupom podacima o ličnosti bilo kog od korisnika usluga Centra. Predložena anonimizacija bi se uvela tako što prijemni radnik formira šifru slučaja, a administrativni radnik unosi Zahtev u informacioni sistem pod šifrom, bez uvida o osnovne podatke o korisniku usluge (ime i prezime, JMBG, drugi podaci nepotrebni za njegov deo procesa, a na osnovu kojih je moguće izvršiti identifikaciju korisnika). Rukovodilac službe ima pristup bazi u kojoj se nalaze podaci o ličnosti korisnika povezani sa šiframa slučaja (ukoliko je potrebno), i može nastaviti obavljanje svog dela procesa.
Sve procese iz osnovne delatnosti organa vlasti u kojima se vrši obrada podataka o ličnosti bi trebalo preispitati iz ove perspektive i pronaći mogućnosti za uvođenje anonimizacije.
Ukoliko je nemoguće ili nepraktično potpuno skrivanje podataka o ličnosti u informacionom sistemu organa vlasti, zamena podataka se javlja kao jedno od potencijalnih rešenja:
- Anonimizacija imena i prezimena se može vršiti zamenom sa dva ista velika slova;
- Anonimizacija brojčanih i svih drugih podataka osim imena i prezimena (kućne i adrese elektronske pošte, JMBG…) vrši se zamenom sa tri tačke, pri čemu se zadržava oznaka vrste tog podataka, ukoliko je ista navedena.
Podaci o ličnosti koji se čuvaju u papirnoj formi
Organi vlasti čuvaju veliki broj podataka o ličnosti u papirnoj formi, te je značajno dati preporuke za zaštitu i na taj način prikupljenih podataka o ličnosti. Pre svega, dokumentacija koja sadrži podatke o ličnosti mora da bude uskladištena na odgovarajući način, u prostorijama, ormarima ili drugim objektima koji se mogu zaključati. Ključ treba da bude odgovornost jednog od zaposlenih na lokaciji. U idealnom slučaju, to će biti lice ranije određeno za zaštitu podataka o ličnosti. S obzirom da veliki broj institucija ima filijale i ispostave, i da se u njima čuva i skladišti najveći broj papirnih dokumenata, bitno je da odgovornost za zaštitu podataka o ličnosti bude definisana na tom nivou.
Organ vlasti treba da ima jasno definisanu proceduru za upravljanje dokumentima u papirnoj formi koji sadrže podatke o ličnosti, koja se može razlikovati od procedure za upravljanje ostalim dokumentima koji ne sadrže takve podatke. Ukoliko je u organu vlasti implementiran sistem menadžmenta kvalitetom, pored procedure za upravljanje dokumentima koja je jedna od šest procedura koje nameće standard ISO 9001, posebna procedura za upravljanje dokumentima u papirnoj formi koji sadrže podatke o ličnosti takođe treba da bude deo tog sistema. Naime, bez obzira koja od zainteresovanih strana za podatke o ličnosti je u pitanju (zaposleni, drugo pravno lice, samo fizičko lice, javnost), ovom procedurom je potrebno rešiti najmanje tri pitanja:
- Ko ima pravo pristupa podacima?
- Na koji način može da pristupi podacima?
- Koje vrste obrade može da sprovodi nad dokumentima?
S druge strane, određene mere je potrebno uvesti kako bi se poboljšala zaštita podataka o ličnosti koji se nalaze u dokumentima u papirnoj formi. Pre svega, nakon završetka radnog vremena, na stolovima zaposlenih ne bi trebalo da ostaju dokumenti koji sadrže podatke o ličnosti, već bi trebalo da budu u fiokama koje se zaključavaju. Takođe, kancelarije bi obavezno trebalo zaključavati nakon radnog vremena.
Pored toga, dokumentima koja sadrže podatke o ličnosti, a koja se čuvaju u papirnoj formi, treba upravljati u skladu sa regulativom koja se odnosi na kategorije registratorskog materijala i rokove čuvanja.