Postupanje organa vlasti u vezi sa zahtevima

Prijem zahteva

 

Od izuzetne je važnosti da postoji lice u organu vlasti koje je nadležno za postupanje po zahtevima građana, kako bi nakon prijema zahteva organ vlasti u propisanim rokovima i na ispravan način rešio zahtev. To bi trebalo da bude lice koje je zaduženo za zaštitu podataka o ličnosti, čije su nadležnosti opisane u organizacionom delu ovog Vodiča.

Continue reading Postupanje organa vlasti u vezi sa zahtevima

Zahtevi po ZZPL-u i zahtevi po Zakonu o slobodnom pristupu informacijama od javnog značaja

Imajuću u vidu slična procesna pravila (opšti rok od 15 dana), identičan naziv pojedinih prava (pravo na uvid, pravo na kopiju) kao i identičan drugostepeni organ (Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti), organi vlasti često ne razumeju najbolje razliku između zahteva građana po ZZPL-u i zahteva po Zakonu o slobodnom pristupu informacijama od javnog značaja (ZSPIJZ). Ovome doprinosi i činjenica da je često ista osoba u organu vlasti ovlašćena za postupanje za obe vrste zahteva.

Ipak, razlika između ove dve vrste zahteva je značajna, kako je prikazano u tabeli:

Zahtevi po ZZPL Zahtevi po ZSPIJZ
Vrednost koja se štiti Pravo fizičkog lica na zaštitu podataka o ličnosti (lično pravo) Interes javnosti da zna
Na šta se zahtev odnosi Na podatke o ličnosti Na bilo koje informacije koje poseduju organi vlasti
Ovlašćeni podnosilac Fizičko lice i to samo u odnosu na svoje podatke Bilo koje pravno ili fizičko lice bez obzira na predmet zahteva
Ko ima obavezu da postupa po zahtevu Bilo koje fizičko ili pravno lice koje je rukovalac podataka o ličnosti Organi javne vlasti

U praksi može doći do potencijalnog ‘’sukoba’’ između prava na pristup informacijama od javnog značaja i prava na zaštitu podataka o ličnosti. Na primer, pitanje je kako bi organ vlasti trebalo da postupa u slučaju kada jedan dokument istovremeno sadrži i podatke o ličnosti određene osobe i informacije od javnog značaja. Ukoliko je uvid i kopiju takvog dokumenta tražilo ovlašćeno lice u skladu sa ZZPL-om, onda organ vlasti ne bi trebalo da ima dileme, s obzirom da takvo lice ima pravo na pristup svojim podacima o ličnosti, ali i pravo na pristup bilo kojoj informaciji od javnog značaja. S druge strane, ukoliko je takav dokument tražen u skladu sa ZSPIJZ-om, onda je situacija nešto komplikovanija. Naime, i sam ZSPIJZ ovlašćuje organ vlasti da uskrati ostvarivanje ovog prava ukoliko bi se time povredilo pravo na privatnost lica na koje se informacija odnosi (samim tim i pravo na zaštitu podataka o ličnosti, kao uži element prava na privatnost). Ipak, činjenica da određeni dokument sadrži konkretne podatke o ličnosti ne znači da organi vlasti po automatizmu treba da odbijaju ovakve zahteve. Ovde se uvek mora vagati između dva naizgled suprostavljena interesa, prava javnosti da zna i prava na privatnost. Ukoliko su, na primer, u pitanju dokumenti koji prvenstveno predstavljaju informacije ličnog karaktera (zdravstveni kartoni), onda teško da može prevagnuti interes javnosti da zna. Kada određeni dokumenti sadrže informacije od interesa za javnost, uz lične podatke kojima se garantuje zaštita, takva situacija se može prevazići anonimizacijom podataka o ličnosti u dokumentu, čime organ vlasti može udovoljiti tražiocu zahteva po ZSPIJZ, a da pritom ne dođe do povrede privatnosti i povrede prava na zaštitu podataka o ličnosti.

SAVETI ZA ANONIMIZACIJU

  • Kada se sprovodi anonimizacija potrebno je imati na umu njenu dvojaku svrhu: da se isključi mogućnost identifikacije lica, a da ostale informacije pružene u dokumentaciji zadrže izvorno značenje i smi- sao, te da dokumentacija bude lako čitljiva i kontekstualno razumljiva.
  • Kada se u dokumentaciji koja postoji u elektronskom obliku podaci prekrivaju crnom bojom, potrebno je obratiti pažnju da nije dovoljno pretvoriti dokument iz .doc formata u .pdf format. U tom slučaju kopiranjem teksta iz .pdf dokumenta u .doc dokument biće moguće identifikovati lice. Zato pri ovakvom postupku preporučujemo čuvanje anonimizovanog dokumenta u formatu koji odgovara slici (na primer .jpeg ili .png).
  • Ukoliko dokumentacija postoji samo u papirnom obliku, preporučujemo da se dokument prvo fotokopira, zatim primeni anonimizacija i potom ponovo fotokopira (ili skenira). Na taj način sprečava se mogućnost skidanja traga korektora ili čitanja teksta ispod crnog flomastera.
  • Ukoliko dokumentacija postoji samo u papirnom obliku, a potrebno je anonimizovati podatke o više lica, treba primeniti postupak anonimizacije na osnovu kojeg bi bilo moguće sagledati ulogu svakog lica u predmetu, uz istovremenu zaštitu identiteta tih lica. Jedan od načina da se to postigne je brisanje dela imena i prezimena, te ostavljanje pojedinih slova (na primer, “osiguranik Milan Petrović” – “osiguranik Milan Petrović”), i sl.

[1] Više o pojmu i metodama anonimizacije možete naći u Analizi: “Anonimizacija podataka u sudskim odlukama u Srbiji – ka usaglašenim pravilima i praksi“ koju je izradila organizacija Partneri za demokratske promene Srbije, dostupno na:

http://www.partners-serbia.org/category/multimedija/publikacije/

Kalendar društva između Dana bezbednosti i Dana privatnosti

Jubilarni deseti Evropski Dan zaštite podataka o ličnosti koji se obeležava 28. januara, Srbija je dočekala u krugu zemalja u kojima vladaju sasvim pristojni uslovi za ovu oblast osnovnih ljudskih prava. Sa ustavnom tradicijom zaštite privatnostidužom od jednog veka koja se do važećeg Ustava razvila u prilično visoke standarde, Srbija je i potpisnica ključnih međunarodnih konvencija. Odgovarajući nacionalni zakon na snazi je od 1. januara 2009. godine, dok državna i nezavisna tela, kao i nevladine organizacije, zajedno ili pojedinačno, već neko vreme rade na njegovim izmenama ili izradi potpuno novog zakona – što bi u teoriji trebalo da sugeriše dinamičan i otvoren duh regulative, osetljiv za brze izmene okruženja u kojem se lični podaci građana generišu, razmenjuju i čuvaju.

Članice Saveta Evrope, uz sve brojnije zemlje sveta koje su prihvatile “Dan privatnosti” kao značajan datum u svom javnom životu, uobičajeno ga obeležavaju prigodnim aktivnostima posvećenim informisanju svojih građana o značaju zaštite privatnosti i sve složenijim načinima njenog narušavanja. Konačno, društveni ulog je zaista veliki: manipuliše se decom, gigantske korporacije profitiraju na ličnim podacima, hakeri ih kradu za digitalne pljačke, tajne službe ih zloupotrebljavaju u ime fantazma o bezbednosti.

U Srbiji, međutim, 28. januar protekao je u senci pisma koje je nedelju dana ranije Poverenik za zaštitu podataka o ličnosti Rodoljub Šabić uputio republičkoj javnoj tužiteljki, upozoravajući na praksu pojedinih tužilaštava da bez odluke suda a uz pretnju kaznom, od telefonskih i internet kompanija zahtevaju uvid u zadržane podatke o komunikaciji građana.

Tužilaštva se pritom pozivaju na odredbe Zakonika o krivičnom postupku kojim se, za potrebe istrage, u nadležnost javnih tužilaca stavlja prikupljanje podataka i traženje obaveštenja i pomoći od pravnih lica, predviđajući novčane kazne za odbijanje ovih zahteva.

Ne bi proslava Dana privatnosti propala zbog ovog slučaja, makar i stoga što nije na odmet informisati građane Srbije o tome da institucije, čija je suštinska uloga da štite pravni poredak, godinama rutinski krše Ustav i zakonom regulisana prava. Nažalost, naša javna komunikacija ograničena je nedostatkom tačnih i pravovremenih informacija, i suženom pažnjom medija za pitanja od značaja za društvo. Još je u prvom opsežnom nadzoru nad radom telefonskih operatora koji je kancelarija Poverenika sprovela pre četiri godine, otkriveno da lakonsko naručivanje ličnih podataka građana nije samo ustaljena praksa javnih tužilaštava, već i niza drugih javnih pa i privatnih aktera. S namerom ili ne, svi oni koriste nejasne i protivrečne odredbe, čime doprinose pravnoj nesigurnosti i narušavanju ustavnog poretka. Odsustvo interesa za ove teme u medijima i široj javnosti, pogodovalo je činjenici da ovaj problem do danas nije otvoren na zakonodavnoj instanci, u parlamentu. Zakonodavac povremeno ostavlja preširoke margine za proizvoljna tumačenja, dok se usklađivanje nacionalnih zakona sa evropskim pravom odvija po hitnom postupku, s jedva nešto vremena za odgovarajući prevod stručnih termina.

Kako su pokazali zahtevi za ocenu ustavnosti odredbi Zakona o zaštiti podaka o ličnosti, ili Zakona o Vojnobezbednosnoj agenciji i Vojnoobaveštajnoj agenciji, pravni okvir, doduše ne uvek blagovremeno, uskladiće Ustavni sud čuvajući smisao ustavne garancije nepovredivosti tajnosti sredstava komunikacije odnosno podataka o ličnosti.

Ali, šta zaštita ličnih podataka uopšte znači u zemlji u kojoj jedna državna agencija danima na svom sajtu drži lične podatke gotovo celokupnog stanovništva, a da incident u javnosti ne ostavi trag dublji od ponekog senzacionalističkog naslova, dok se više od godinu dana kasnije i dalje ne zna da li je reč o slučajnosti, sistemskom propustu ili zloj nameri?

Nije li upravo inspekcijski nadzor Poverenika u telefonskim, a kasnije i internet provajderima, otkrio da nezakoniti pristupi podacima građana, koje preduzimaju razne bezbednosne službe, nisu izolovani incidenti usled vanrednih okolnosti – već sistemska, svakodnevna praksa kojom se godišnje nagomila bar milion slučajeva.

Javna rasprava o predloženom nacrtu novog zakona o zaštiti ličnih podataka prošle jeseni, otkrila je ozbiljno nerazumevanje koncepta privatnosti i smisla njene zaštite. Izostao je akcioni plan za sprovođenje Strategije za zaštitu podataka o ličnosti, pa je ovaj dokument prepušten zaboravu. Podacima građana rukuje se na oko 300.000 javnih i privatnih adresa, od čega zanemarljiv broj ispunjava zakonsku obavezu prijave u Centralni registar Poverenika.

Na sajtovima državnih institucija u čijoj je nadležnosti prikupljanje i obrada podataka o svim građanima po različitim osnovama (penzijsko i zdravstveno osiguranje, na primer), postepeno počinje primena elektronskih usluga, a da pritom često ne postoje jasne procedure za zaštitu i bezbednost podataka na portalima, dok se politici privatnosti i informisanju korisnika o pravima retko pridaje veći značaj.

Otkud tolika nesrazmera između proklamovanih načela i svakodnevice?

Da li iz formalno-pravnih nejasnoća izvire zbunjenost javnosti u pogledu sopstvenih prava i dužnosti države da joj pruži zaštitu, ili je ipak obrnuto, tek ovdašnje prilike ukazuju da konfuzija ometa vitalne interese društva. Čest sukob dve značajne potrebe zemlje u tranziciji, nalog transparentnosti odnosno javnosti rada organa uprave s jedne i pravo na privatnost života i poslova građana s druge strane, ukazuje na nedostatak promišljene, konsekventne “politike podataka”. Istorija uspostavljanja savremenog sistema zaštite privatnosti u Srbiji svedoči o stalnoj koliziji ova dva interesa, neretko na štetu željenih normi uređenog društva.

Državna administracija ubrzano umnožava registre podataka građana, prepuštajući zaposlenima na njihovom održavanju da se sami snalaze sa neujednačenim tehničkim resursima i nejasnim instrukcijama o obavezama i zakonskim ograničenjima.

Entuzijazam koji je pratio iznenadne tehničke inovacije u ustanovama koje prikupljaju i obrađuju podatke o građanima, povremeno će zaustaviti stručna procena o nedovoljnom ili pak preteranom uvidu javnosti. Vremenom, institucije su razvile zakonom propisanu naviku da se unapred obraćaju za mišljenje Povereniku, čija je kancelarija znatno proširila kapacitete u odnosu na prvobitnih šest saradnika. Od 2009. godine, kada se povereništvu za pristup informacijama od javnog značaja priključuju poslovi vezani za zaštitu podataka o ličnosti, broj predmeta sa manje od stotinu skočio je na čak 2.500 u protekloj godini, što ipak ukazuje na bolju obaveštenost građana o sopstvenim pravima i volji da se za njihovu zaštitu obrate odgovarajućoj službi.

Ipak, Poverenik će prigodom Dana privatnosti ukazati na “podanički” mentalitet i strah građana da postave pitanje “zašto mi tražite ličnu kartu”. Razumljiva je frustracija prizorom pasivne javnosti, čiji je prostor premrežen kamerama za nadzor bez odgovarajuće pravne regulative; čiji se podaci neovlašćeno prikupljaju i preprodaju u komercijalne svrhe, dok su njihovi osetljivi podaci – o porodičnim prilikama, bolestima, tragičnim događajima, intimnim opredeljenjima – po nahođenju na raspolaganju poslodavcima ili tabloidima, svejedno. Posledice po dostojanstven život su iste. Strah, međutim, nije neosnovan.

Da li je vreme da se JMBG pošalje u istoriju?

“Držimo celu Srbiju u šaci”, glasilo je upozorenje nepoznate grupe hakera koje su mediji preneli u decembru 2014: “Imamo gotovo sve podatke o stanovnicima Srbije, počevši od JMBG, pa do toga šta rade, gde žive, njihove brojeve telefona”.

Grupa je u poruci navela da se na ovaj postupak odlučila, između ostalog, da bi pokazala koliko je “privatnost u ovoj zemlji ugrožena i kako pomoću ovih podataka možemo dobiti apsolutno sve informacije” o građanima. Dokaz da su “upali u sistem” bile su tabele sa podacima građana Novog Beograda, Voždovca, Novog Sada i Jagodine, dostavljene medijima kao prilog saopštenju.

Javnost više nije čula za ovaj slučaj i do danas se ne zna kako su na kraju završili protagonisti ideje da se protiv države nadzora treba boriti daljim ugrožavanjem privatnosti građana. Nije razjašnjeno ni u čiju su bazu upali, pa konačno ni da li je uopšte reč o hakerima ili se grupa prosto poslužila bazom koja je u to vreme već skoro godinu dana, greškom ili hotimice, visila na sajtu Agencije za privatizaciju. Najmasovniji prodor u privatnost građana Srbije, podestimo, ustanovljen je novembra 2014. objavljivanjem podataka o 5.190.396 građana Srbije – njihovih imena i prezimena, srednjeg imena, jedinstvenih matičnih brojeva i statusa u evidenciji nosilaca prava na besplatne akcije.

Jedno je, međutim, uveliko jasno: jedinstveni matični broj građana, JMBG, postao je simbol ličnog podatka koji uživa pravnu zaštitu prvog reda, a o čijoj se praktičnoj zaštiti više ne može govoriti ozbiljno.

Skup brojeva koji po sebi predstavlja podatak o ličnosti, JMBG je sastavljen iz nekoliko numeričkih elemenata koji svaki za sebe bliže određuju osobu na koju se odnose. Prvih 7 cifara označavaju dan, mesec i godinu rođenja, dok su naredne dve obeležje područja registracije prema administrativnoj podeli u Jugoslaviji, u vreme uvođenja ovog sistema 1976. godine (Srbija koristi brojeve od 70 do 89, uz narednu dekadu za rođene na Kosovu). Ovaj deo JMBG na taj način doslovno preslikava osnovne činjenice o rođenju građana. Sledeće tri cifre se generišu redom u okviru definisanog opsega, od 000 do 499 za muški i od 500 do 999 za ženski pol. Poslednja, 13. cifra je kontrolna.

Kao individualna i neponovljiva oznaka identifikacionih podataka o građanima, preko koje se povezuju podaci o građanima iz svih drugih evidencija, JMBG je odštampan u ličnoj karti, zdravstvenoj knjižici, pasošu, vozačkoj dozvoli. Neophodan je podatak prilikom svake formalne komunikacije sa državom u ostvarivanju prava i izvršavanju obaveza i čini kontrolni identifikator za potvrdu identiteta prilikom školovanja, poslovanja, sklapanja ugovora, prijave boravka, otvaranja računa.

Na značaj JMBG ukazuje činjenica da nedostatak ovog broja predstavlja suštinsku prepreku za integraciju desetina hiljada Roma, dok privremena rešenja za naknadni upis u matične knjige dodatno usporavaju ionako složen proces izlaska iz začaranog kruga bede i diskriminacije. Stari zakon o jedinstvenom matičnom broju prepreka je i u rešavanju slučajeva dodele pogrešnog JMBG kojih, prema nezvaničnim procenama, ima više hiljada.

Iako još uvek nije završen proces prebacivanja papirnih registratora u elektronsku formu, ka konačnom ostvarenju sna o elektronskoj upravi, digitalne baze podataka o građanima Srbije uveliko žive na Mreži i množe se geometrijskom progresijom. Svaka od njih praktično je bezvredna bez jedinstvenog matičnog broja, ključnog identifikatora osobe na koju se odnosi, informacije na osnovu koje se nedvosmisleno utvrđuje njen identitet.

Pohranjen je u svakoj evidenciji koju država vodi o građanima, replicira se u beskrajnim nizovima dosijea, papirnim i elektronskim, objavljuje se u javno dostupnim bazama državnih organa, balansirajući na granici koju Ustav postavlja za svrsishodnost obrade ličnih podataka.

Na internet se postepeno povezuju čitavi sistemi elektronskih baza za čiju je pretragu, doduše, potrebna šifra – ali u obliku jedinstvenog matičnog broja. Čak i da nisu pušteni u promet provalom u baze Agencije za privatizaciju, stranačkih aktivista ili izbornih lista, nečiji jedinstveni matični broj nije teško otkriti. Građani ih ostavljaju putujućim trgovcima, čuvarima na prijavnicama, organizatorima igara na sreću, rečju, bilo kome ko im to zatraži – nesvesni u kojoj meri time zapravo izlažu svoj privatni život.

Naravno, za krađu identiteta nisu neophodne nove tehnologije, ali je svakako čine beskrajno lakšom. Paradoksalno, uprkos prelasku u digitalno okruženje i ukidanju fizičkog šaltera kao nepotrebne barijere za direktnu komunikaciju sa državom ili nekim privatnim akterom, celokupna razmena i dalje se odvija posredno. Danas taj posrednik više nije šalterski radnik, uslovljen ličnim raspoloženjem, znanjem i veštinom, već je čitav proces u najvećoj meri automatizovan i odvija se u deliću sekunde. Od takvih prilika, međutim, zavisi i potvrda da u razmeni učestvuju upravo one osobe kojih se ona tiče, građanin i službenik penzionog fonda ili bankarske filijale, na primer.

Lažno predstavljanje u elektronskoj komunikaciji – phishing, vishing, SmiShing, u zavisnosti od toga da li se odvija mejlom, telefonom ili sms porukama – u doba globalne umreženosti čini deo zasebne discipline socioloških i kriminoloških istraživanja, pod zajedničkim nazivom “društveni inženjering”, a koja podrazumeva lakoću stupanja u ličnu komunikaciju bez fizičkog prisustva.

Poznavanje bar jednog ličnog podatka žrtve društvenog inženjeringa biće prvi korak za prevaru zasnovanu na poverenju. Jedinstveni matični broj građana idealan je primer – predstavlja podatak koji je čvrsto asociran uz državne organe i, uopšte, ovlašćene rukovaoce ličnim podacima, a pritom je kompromitovan u meri koja obesmišljava odredbe Zakona o zaštiti podataka o ličnosti.

Upravo će stoga Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti krajem 2014. godine zatražiti hitnu izmenu odredbi kojima je propisano da jedinstveni matični broj građana istovremeno služi kao poreski identifikacioni broj poreskih obveznika. Objavljivanjem dokumenata o svom radu, lokalne poreske administracije su na taj način praktično objavile niz podataka o ličnosti građana. Primera radi, samo na internet prezentaciji Uprave javnih prihoda grada Beograda objavlјen je dokument od oko 50 hiljada jedinstvenih matičnih brojeva građana. Poverenik je konstatovao da je JMBG kompromitovan i da je, s obzirom na moguće zloupotrebe, njegova upotreba za svrhe identifikacije poreskih obveznika suviše rizična.

Iste godine državna elektrodistribucija će korisnicima poslati zahtev “za dostavu tačnog jedinstvenog matičnog broja građana”, na šta je Poverenik reagovao podsećajući da je i ovaj, kao i neki drugi zahtevi organa vlasti, javnih i privatnih preduzeća, oslonjen samo na pravilnik i slične interne papire kojima se iznova gaze ustavna i zakonska ograničenja za prikupljanje podataka o građanima i zadiranje u njihovu privatnost.

Aljkavost zakonom ovlašćenih rukovalaca ličnim podacima građana i sve brojniji digitalni predatori, od hakera do nasrtljivih oglašivača i trgovaca, ne samo što su obesmislili pravnu zaštitu JMBG, već je ovaj lični podatak praktično postao rizičan po privatnost njegovog vlasnika.

U digitalnom okruženju, takva transparentnost numeričkog ličnog podatka naprosto je neodrživa, nalik izboru niza “1234” za lozinku bankovnog računa.

Poučna su iskustva susednih zemalja. U Bosni i Hercegovini je 2013. JMBG bio u središtu političkog sukoba nakon suspenzije odredbe o registracionim područjima ove bivše jugoslovenske republike (8. i 9. broj u nizu), koja se nisu poklapala sa posleratnim entitetskim granicama. Uskoro su izbili i ulični protesti, jer deca rođena posle odluke Ustavnog suda o suspenziji nisu dobila jedinstveni matični broj, a time ni pravo na zdravstveno osiguranje i lečenje. Da matični broj nije vezan za stvarne činjenice iz života građana, problem ne bi ni nastao.

U Hrvatskoj je 2009. u upotrebu uveden osobni identifikacioni broj (OIB) kao primarni identifikator, jedinstven i nekazujući, što znači da niz od 11 brojeva ne sadrži konkretne podatke o ličnosti već se cifre generišu slučajnim izborom. Za dodelu osobnog broja zadužena je Poreska uprava Ministarstva finansija. JMBG se i dalje koristi dok za time postoji potreba na osnovu starih evidencija.

Slično rešenje moguće je i u Srbiji. Zapravo, unikatan broj sačinjen od niza nasumičnih cifara koje, za razliku od JMBG, ne otkrivaju lične podatke građana – već postoji i u širokoj je upotrebi. Dodeljen je svim državljanima i osobama sa prebivalištem na teritoriji zemlje koji su osigurani po bilo kom osnovu, kao zaposleni, deca, supružnici i slično. Prema nepotpunim podacima, poseduje ga blizu 7 miliona građana. Takođe, omogućava pristup pojedinim pravima, kao što je zdravstvena zaštita, i građanima kojima nikada nije dodeljen JMBG.

Lični broj osiguranika (LBO) dodeljuje Centralni registar za obavezno socijalno osiguranje (CROSO), najmlađi organ državne uprave koji je, kao takav, od početka građen u digitalnom okruženju. Broj sadrži 11 cifara od kojih je zadnja cifra kontrolni broj, a sve ostale cifre se dodeljuju izborom slučajnih brojeva. Određuje se svakom osiguranom licu samo jednom, trajan je i nepromenljiv, pa se može koristiti kao jedinstveni brojni identifikator osobe.

Za razliku od jedinstvenog matičnog broja, LBO nema nikakve veze sa ličnim svojstvima vlasnika, sam po sebi ne otkriva nijedan podatak o njemu, dok algoritamski izbor otklanja mogućnost pogrešnih dodela.

Relikt prošlih vremena, JMBG otkriva znatno više ličnih podataka nego što je to potrebno za svrhe evidntiranja građana. Kao takav, kompromitovan je na razne načine tokom protekle decenije, gde je slučaj Agencije za privatizaciju, odnosno slobodan pristup jedinstvenom broju većine građana Srbije na sajtu Agencije odakle su, po rečima njihovih predstavnika, preuzimani “više puta” – samo kap koja bi trebalo da prelije čašu. Po svoj prilici, više nikada nećemo moći da utvrdimo ko sve poseduje naše jedinstvene matične brojeve, kada ih i u koje svrhe može zloupotrebiti. Čini se da bi JMBG stoga konačno trebalo poslati u istoriju. Ovakvu odluku mogla bi da prate i nastojanja da se od države izdejstvuje besplatna zamena dokumenata, kao gest svojevrsnog obeštećenja građana za rizike kojima su bili izloženi.

Izrada ovog teksta omogućena je uz podršku američkog naroda putem Američke agencije za međunarodni razvoj (USAID). Za sadržaj ovog teksta odgovorna je SHARE Fondacija i on ne mora nužno odražavati stavove USAID-a ili Vlade Sjedinjenih Američkih Država.

Uvod

Decembra 2014. godine javnost je saznala za najmasovniju povredu privatnosti i prava na zaštitu podataka o ličnosti građana Srbije. Naime, tih dana je SHARE Fondacija utvrdila da je na sajtu Agencije za privatizaciju dostupan dokument koji sadrži lične podatke o 5.190.396 građana Srbije – njihovo ime i prezime, srednje ime i jedinstveni matični broj (JMBG). U postupku nadzora koji je potom sprovela služba Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti, ustanovljeno je da je sporni dokument 10 meseci bio javno dostupan na sajtu Agencije za privatizaciju sa kog je, po rečima nadležnih iz Agencije, preuzet “više” puta. Posledice ovog slučaja teško da se sada mogu u potpunosti sagledati i čini se da još uvek nedostaje puno razumevanje ozbiljnosti incidenta. Javnost se nije bavila ovim slučajem dalje od ponekog senzacionalističkog naslova, dok je utvrđivanje odgovornosti potpuno izostalo. Više od godinu dana kasnije i dalje se ne zna da li je reč o slučajnosti, sistemskom propustu ili zloj nameri. Posebno zabrinjava činjenica da različiti akteri koji rukuju podacima građana i dalje koriste JMBG kao vrstu identifkatora, što znači da je samo na osnovu ličnog imena i teško kompromitovanog matičnog broja moguće pristupiti podacima o ličnosti u pojedinim registrima organa vlasti, ili čak obavljati pojedine poslove u banci telefonskim putem.

Slučaj Agencije za privatizaciju otkrio je razmere rizika kom su izloženi naši podaci, ali je ukazao i na nedostatak pouzdanih saznanja o praktičnim i tehničkim uslovima u kojima se podaci građana prikupljaju, obrađuju i čuvaju. SHARE Fondacija je stoga rešila da istraži koji se podaci prikupljaju u javnom sektoru, ko i na koji način ima pristup podacima građana, te koje se mere zaštite u ovim procedurama primenjuju. Značaj istraživanja je, srećom, prepoznat u USAID-ovom Projektu za reformu pravosuđa i odgovornu vlast, pa je tako projekat SHARE Fondacije pod nazivom “Podaci o ličnosti u javnom sektoru – Mapiranje infrastrutkure obrade podataka u Srbiji” dobio neophodnu podršku.

Rad je započet u aprilu 2015. godine, obimnim istraživanjem o vrstama obrade i načinima zaštite podataka o ličnosti u javnom sektoru, čiji su procesi zatim analizirani sa pravnog, organizacionog i tehničkog aspekta, predstavljenim u ovom Vodiču. Istraživanje je obuhvatilo šest državnih institucija: Republički fond za zdravstveno osiguranje, Republički fond za penzijsko i invalidsko osiguranje, Centralni registar obaveznog socijalnog osiguranja, Poreska uprava, Agencija za privredne registre i Gradski centrar za socijalni rad Beograd. Metodološki je istraživanje zasnovano na javno dostupnim podacima, ali i podacima dobijenim putem zahteva za pristup informacijama od javnog značaja. Institucije su bile spremne na saradnju, te je sa predstavnicima održan niz sastanaka zahvaljujući kojima su istraživači bolje upoznavali i razumevali procese rukovanja podacima građana u javnom sektoru.

Tokom rada, istraživači SHARE Fondacije su imali neprocenjivu podršku službe Poverenika za pristup informacijama od javnog značaja i zaštitu podataka o ličnosti. Značajno iskustvo koje zaposleni u službi Poverenika imaju u ovoj oblasti bilo je dragoceno za rad istraživača, a posebno njihova dostupnost i spremnost za aktivnu razmenu znanja.

Kao krajnji rezultat istraživanja, Vodič obuhvata najbolje prakse i procedure zaštite podataka koje se primenjuju u analiziranim institucijama, ali i višegodišnje iskustvo službe Poverenika iz ove oblasti te znanje i inovativnost SHARE Fondacije koja se posebno bavi pitanjima privatnosti u digitalnom okruženju.

Vodič je namenjen pre svega organima vlasti, ali s obzirom na to da je zaštita podataka o ličnosti oblast uređena zakonom koji se tiče svih aktera, analize i preporuke iz istraživanja SHARE Fondacije biće od koristi i rukovaocima podataka iz privatnog sektora. Konačno, najvažnija svrha istraživanja predstavljenog u ovom Vodiču, jeste doprinos boljem razumevanju podataka o ličnosti, značaja njihove zaštite, kao i dužnosti rukovaoca i obrađivača podataka, te tehničkih i organizacionih mera koje su im na raspolaganju ili koje su u obavezi da primene kako bi zaštitili podatke o ličnosti građana Srbije.

U prvom delu Vodič razmatra osnovne pojmove ove, relativno nove oblasti. Zakon o zaštiti podataka o ličnosti pisan je u skladu sa celokupnim narativom domaćeg pravnog sistema, strukovnim jezikom neophodnim za efikasnu primenu, a koji ponekad može biti neprohodan manje upućenom čitaocu. Razjašnjenja pojedinih odredbi i termina kao što su ‘rukovalac’, ‘obrada podataka’, pa i sam ‘podatak o ličnosti’, data su kroz primere, stvarne ili hipotetičke. Bolje razumevanje smisla osnovnih pojmova i principa Zakona o zaštiti podataka o ličnosti, nužan je uslov za prepoznavanje prava na privatnost i zaštitu podataka o ličnosti kao otelotvorenja suštinske potrebe svakog građanina, a ne spoljašnjeg mehanizma nametnutog prolaznom pravnom normom.

U odeljku posvećenom organizacionim merama za zaštitu podataka izložene su analize i preporuke namenjene upravi i kadrovskoj službi organa vlasti, kao niz korisnih smernica za organizaciju zaposlenih u skladu sa načelom smanjenja rizika od povrede prava na zaštitu podataka o ličnosti. Posebno su obrađena pitanja poput odgovornosti za zaštitu podataka, lica koja se bave tim poslovima, edukacije zaposlenih, neophodnih internih akata i druga.

Tehničke mere za zaštitu podataka namenjene su prvenstveno tehničkim ekspertima u organima vlasti, a u tom delu su izložena iskustva i preporuke za adekvatnu strukturu informacionog sistema, te problemi pristupa, čuvanja i zaštite podataka u digitalnom okruženju.

Poslednji, četvrti deo Vodiča tretira praksu lica ovlašćenih da postupaju po zahtevima za ostvarivanje prava iz Zakona o zaštiti podataka o ličnosti. Tu su obrađene procedure i načini na koji organ vlasti treba da postupa po ovim zahtevima građana, uz poseban osvrt na nedoumice ili nejasnosti koje su uočene prilikom razlikovanja zahteva vezanih za zaštitu podataka od zahteva za pristup informacijama od javnog značaja.

SHARE Fondacija, mart 2016.

Predgovor

Uspostavljanje savremenih standarda zaštite privatnosti, odnosno zaštite podataka o ličnosti je bez izuzetka jedan od glavnih zadataka sa kojima se suočavaju tranzicione zemlje. Nije nimalo lak ni brzo ostvariv, budući da podrazumeva kopernikanski obrt u sistemu vrednosti, nužnost da se privatnost građana koja se godinama u okviru kolektivističkog sistema vrednosti nalazila na samom dnu lestvice vrednosti podigne visoko, praktično na vrh.

I Srbija je, naravno, suočena sa tim zadatkom. Od pre šest godina imamo Zakon o zaštiti podataka o ličnosti koji, iako nedovoljno usklađen sa standardima zaštite podataka afirmisanim u EU, ipak bar na načelnom nivou proklamuje te standarde. Nažalost, u proteklom periodu nismo ostvarili rezultate koje smo mogli i morali ostvariti.

Opravdanja za to nema, ali postoji objašnjenje. Za svaku tranzicionu zemlju, radi ozbiljnog i odgovornog pristupa tako složenom i teškom zadatku kakav je prihvatanje evropskih standarda zaštite podataka o ličnosti, neophodan akt je Strategija zaštite podataka o ličnosti. Vlada Srbije nije Strategiju donela kao što bi to bilo logično, pre ili istovremeno sa donošenjem Zakona o zaštiti podataka o ličnosti, 2008, već je usvojila tek (na inicijativu Poverenika, u tekstu koji je on pripremio, iako je to bila obaveza Vlade) dve godine kasnije, u leto 2010. Nužna pretpostavka za realizaciju Strategije je, naravno, Akcioni plan za njeno sprovođenje, koji je trebalo da bude usvojen u roku od tri meseca. Nije usvojen, a njegovo donošenje “dosledno” je odlagano uprkos tome što potrebu za njim na doslovno dramatičan način, svakodnevno “argumentuje” naša stvarnost, teškim povredama privatnosti građana iz kojih nedopustivo često stoje upravo oni koji bi trebalo da je štite, državni organi.

Zbog toga docnimo na tri bitna plana. Na normativnom, jer su nam propisi daleko od usklađenosti ne samo sa standardima EU, nego i sa našim Ustavom. Na faktičkom, jer se aktivnosti državnih organa na zaštiti podataka o ličnosti u nedopustivo visokom procentu svode samo na aktivnosti Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti. I, što je možda najvažnije, docnimo na planu edukacije, kako građana tako i onih koji se njihovim podacima o ličnosti bave. To je pogotovo važno za subjekte iz javnog sektora, gde su i koncentracija podataka o ličnosti i odgovornost veći.

Edukacija je doslovno neophodna, jer je, naročito u javnom sektoru, potrebno ne samo podizati nivo svesti o značaju zaštite podataka, već i graditi sposobnost i znanje za primenu tehničkih i organizacionih mera zaštite podataka.

Upravo u tom kontekstu, Vodič za organe vlasti “Zaštita podataka o ličnosti”, finalni rezultat jednog atraktivnog i vrednog projekta koji je sprovela SHARE Fondacija uz podršku USAID-ovog Projekta za reformu pravosuđa i odgovornu vlast, predstavlja vrlo vredan i koristan doprinos. Verujem da će moje mišljenje podeliti svi oni koji će ga koristiti u želji da svoj rad unaprede većim stepenom odgovornosti prema podacima o ličnosti koje obrađuju, odnosno kvalitetnijom i efikasnijom zaštitom tih podataka.

Rodoljub Šabić,
Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti

Podaci o ličnosti

Šta su podaci o ličnosti?

Podatak o ličnosti predstavlja svaku informaciju koja se odnosi na fizičko lice koje se u nekom trenutku može identifikovati. Dakle, da bi se konstatovao podatak o ličnosti neophodno je utvrditi četiri odvojena elementa: 1) informaciju, 2) koja se odnosi, 3) na identifikovano ili podložno identifikaciji, 4) fizičko lice.

Prilikom procene svojstva podatka o ličnosti, nije od značaja da li fizičko lice na koje se odnosi informacija poseduje poslovnu sposobnost, već je dovoljno samo to da se informacija odnosi na ljudsku jedinku, u skladu sa savremenom teorijom jednake opšte pravne sposobnosti čoveka. Podaci preminulih lica takođe uživaju zaštitu po Zakonu o zaštiti podataka o ličnosti (ZZPL), pa je tako članom 35 propisano čuvanje i korišćenje podataka u slučaju smrti, dok zakonski naslednici mogu da podnose zahteve za ostvarivanje prava u ime preminulih lica.

 

Da bi informacija predstavljala podatak o ličnosti nije od značaja njen kvalitet, odnosno da li ona predstavlja činjenicu, laž ili mišljenje.[1] Podatak o ličnosti stoga može predstavljati svaku vrstu sadržaja, informaciju koja ima značenje i smisao, poput nečijeg rukopisa, crteža deteta, uzorka krvi ili metapodatka koji se odnosi na vreme pristupa određenom sadržaju. Takođe, forma informacije nije od značaja, te podatak o ličnosti može biti u običnoj pisanoj ili digitalnoj formi, bazi podataka, foto, video ili zvučnom zapisu, odnosno u bilo kojoj drugoj vrsti zapisa i skladišta koji informaciju čuva tako da joj se može ponovo pristupiti. Dodatno, treba smatrati i da enkriptovani podaci, koji su nerazumljivi za sve osim ovlašćenog primaoca, predstavljaju podatke o ličnosti.

 

Kako bi predstavljala podatak o ličnosti, informacija mora biti u relaciji sa fizičkim licem. U tom smislu, informacija i fizičko lice mogu biti dva entiteta između kojih postoji direktna veza, a mogu biti i u vezi posredno kroz više objekata. Kvalitet uspostavljene veze mora biti zasnovan bar na jednom od tri sledeća elementa:

 

  • Sadržaj – informacija opisuje lice (zelene oči – čita redovno Peščanik – lenj)
  • Svrha – informacija omogućava procenu lica, odnosno određeni tretman (listing telefona određene pozicije u firmi, u kontekstu efikasnosti lica koje radi na toj poziciji)
  • Efekat – informacija može imati uticaj na lice ili njegov interes, pravo, slobodu (korišćenje lokacije mobilnog uređaja kako bi se obezbedila optimalna usluga licu koje koristi mobilni uređaj)

 

Okolnost da se jedna informacija nalazi u relaciji sa nizom lica nije od značaja prilikom procene da li određena informacija predstavlja podatak o ličnosti. Takođe, jedan zapis koji poseduje više informacija može predstavljati podatak o ličnosti u odnosu na više lica, za svakog u različitim segmentima, ili jedan segment predstavlja podatak o ličnosti više lica.

PRIMER:Sudska odluka kojom se rešava brakorazvodna parnica predstavlja dokument koji u svojim različitim segmentima sadrži podatke o ličnosti velikog broja osoba. Tako se na početku presude nalaze lični podaci sudije (lično ime, sud u kome radi), advokata (lično ime) a zatim i podaci osoba između kojih se vodi parnica, a koji se redovno nalaze u presudama (lično ime, datum rođenja, adresa prebivališta). Ali, tu se mogu naći i brojni drugi podaci koji su navedeni u izreci i obrazloženju presude, kao što su visina prihoda, podaci o zdravstvenom stanju, ličnim navikama (često dolazi kući u alkoholisanom stanju) i tako dalje. Ako se presudom mora rešiti i pitanje vršenja roditeljskog prava, u presudi će se naći i podaci o maloletnoj deci lica koja se razvode.

Podatak o ličnosti konačno mora imati element koji identifikuje, odnosno može identifikovati lice na koje se informacija odnosi. Dakle, “informacija” mora sadržati ili biti u vezi sa identifikatorom koji predstavlja sredstvo identifikacije i informaciju sa bliskim i privilegovanim odnosom sa licem. Identifikatori su u praksi informacije poput ličnog imena i JMBG-a, koje mogu direktno utvrditi osobenost i individualnost određenog lica razlikovanjem od svih ostalih. U savremenom digitalnom okruženju, u okviru koga se ljudi konstantno kreću kroz informacione prostore, ne odvajajući se od elektronskih uređaja, raste broj potencijalnih sredstava identifikacije (broj mobilnog telefona, email adresa, IMEI – jedinstveni broj mobilnog uređaja, IP adresa, biometrijski podaci, ritam otkucaja srca itd).

 

Do identifikacije takođe može doći i indirektnim putem, kombinovanjem informacija koje nisu sredstva identifikacije (pol, godine, mesto boravišta, profesija itd), ali koje usled svog karaktera i međusobne veze zajedno omogućavaju identifikovanje lica određenoj zajednici.

PRIMER:  Novine objave vest da postoje osnovi sumnje da je mito primila ženska osoba koja ima 27 godina, zaposlena je u odeljenju za finansije Opštinske uprave Stara Pazova, te u svom vlasništvu poseduje 3 stana i 2 lokala. Iako nijedan od ovih podataka pojedinačno ne može identifikovati konkretno fizičko lice, kada se dovedu u međusobnu vezu, posebno u kontekstu manje sredine, identitet osobe se može utvrditi bez većih poteškoća.

Prilikom utvrđivanja podatka o ličnosti možemo se susresti sa brojnim nejasnoćama, te bi se svakoj situaciji trebalo posebno posvetiti. Iste informacije, u zavisnosti od konteksta, mogu biti tretirane na različite načine. Informacija o lekovima koje su doktori prepisali, a koja ne sadrži vezu sa pacijentima,  čini se da nije podatak o ličnosti jer ne postoji način da se identifikuje pacijent. Međutim, relacija između lekova i doktora može biti od interesa za farmaceutsku industriju i njihova marketing odeljenja, te bi u tom kontekstu ova informacija predstavljala podatak o ličnosti doktora.

 

ZZPL propisuje isključivo zaštitu prava fizičkih lica. Informacije koje se odnose na pravna lica, kao što su privredna društva, udruženja ili državni organi, po pravilu ne predstavljaju podatke o ličnosti. Ipak, postoje određene granične kategorije gde pre svega treba voditi računa o svrsi obrade i mogućnosti za povredu prava ličnosti.

PRIMER: Preduzetnik je poslovno sposobno fizičko lice koje obavlja delatnost u cilju ostvarivanja prihoda i koje je, kao takvo, registrovano u registru privrednih subjekata. U ovom registru se vode podaci koji se odnose na preduzetničku radnju i to su poslovni podaci koji ne predstavljaju podatke o ličnosti (poreski identifikacioni broj, matični broj preduzetničke radnje, šifra delatnosti i slično). Podatak o sedištu preduzetničke radnje prvenstveno je poslovni podatak koji se ne odnosi na fizičko lice, čak i kada je preduzetnik svoju radnju registrovao na kućnoj adresi, što nije redak slučaj. Ukoliko se taj podatak koristi u svrhe poslovanja (dostavljanje faktura, poslovna komunikacija), on i dalje neće steći status podatka o ličnosti. Međutim, ukoliko se zna da se preduzetnička radnja nalazi na kućnoj adresi, a taj podatak se koristi u svrhe uznemiravanja drugih ukućana koji žive na toj adresi, onda bi podatak o sedištu radnje mogao da dobije status i zaštitu koju imaju podaci o ličnosti.

Jasno je da se bilo koji podatak koji se odnosi na fizičko lice može svrstati pod pojam podatka o ličnosti, međutim, samo neki od njih uživaju pravnu zaštitu. ZZPL predviđa dva mehanizma za ostvarivanje odgovarajuće zaštite podataka u skladu sa potrebama društva u odnosu na zaštitu privatnosti građana. Tako su sa jedne strane propisane situacije u kojima se ZZPL ne primenjuje, dok su sa druge strane definisani naročito osetljivi podaci.

POLITIKE PODATAKA U SRBIJI: KALENDAR DRUŠTVA IZMEĐU DANA BEZBEDNOSTI I DANA PRIVATNOSTI

Jubilarni deseti Evropski Dan zaštite podataka o ličnosti koji se obeležava 28. januara, Srbija je dočekala u krugu zemalja u kojima vladaju sasvim pristojni uslovi za ovu oblast osnovnih ljudskih prava. Sa ustavnom tradicijom zaštite privatnostidužom od jednog veka koja se do važećeg Ustava razvila u prilično visoke standarde, Srbija je i potpisnica ključnih međunarodnih konvencija. Odgovarajući nacionalni zakon na snazi je od 1. januara 2009. godine, dok državna i nezavisna tela, kao i nevladine organizacije, zajedno ili pojedinačno, već neko vreme rade na njegovim izmenama ili izradi potpuno novog zakona – što bi u teoriji trebalo da sugeriše dinamičan i otvoren duh regulative, osetljiv za brze izmene okruženja u kojem se lični podaci građana generišu, razmenjuju i čuvaju.

Članice Saveta Evrope, uz sve brojnije zemlje sveta koje su prihvatile “Dan privatnosti” kao značajan datum u svom javnom životu, uobičajeno ga obeležavaju prigodnim aktivnostima posvećenim informisanju svojih građana o značaju zaštite privatnosti i sve složenijim načinima njenog narušavanja. Konačno, društveni ulog je zaista veliki: manipuliše se decom, gigantske korporacije profitiraju na ličnim podacima, hakeri ih kradu za digitalne pljačke, tajne službe ih zloupotrebljavaju u ime fantazma o bezbednosti.

U Srbiji, međutim, 28. januar protekao je u senci pisma koje je nedelju dana ranije Poverenik za zaštitu podataka o ličnosti Rodoljub Šabić uputio republičkoj javnoj tužiteljki, upozoravajući na praksu pojedinih tužilaštava da bez odluke suda a uz pretnju kaznom, od telefonskih i internet kompanija zahtevaju uvid u zadržane podatke o komunikaciji građana.

Tužilaštva se pritom pozivaju na odredbe Zakonika o krivičnom postupku kojim se, za potrebe istrage, u nadležnost javnih tužilaca stavlja prikupljanje podataka i traženje obaveštenja i pomoći od pravnih lica, predviđajući novčane kazne za odbijanje ovih zahteva.

Ne bi proslava Dana privatnosti propala zbog ovog slučaja, makar i stoga što nije na odmet informisati građane Srbije o tome da institucije, čija je suštinska uloga da štite pravni poredak, godinama rutinski krše Ustav i zakonom regulisana prava. Nažalost, naša javna komunikacija ograničena je nedostatkom tačnih i pravovremenih informacija, i suženom pažnjom medija za pitanja od značaja za društvo. Još je u prvom opsežnom nadzoru nad radom telefonskih operatora koji je kancelarija Poverenika sprovela pre četiri godine, otkriveno da lakonsko naručivanje ličnih podataka građana nije samo ustaljena praksa javnih tužilaštava, već i niza drugih javnih pa i privatnih aktera. S namerom ili ne, svi oni koriste nejasne i protivrečne odredbe, čime doprinose pravnoj nesigurnosti i narušavanju ustavnog poretka. Odsustvo interesa za ove teme u medijima i široj javnosti, pogodovalo je činjenici da ovaj problem do danas nije otvoren na zakonodavnoj instanci, u parlamentu. Zakonodavac povremeno ostavlja preširoke margine za proizvoljna tumačenja, dok se usklađivanje nacionalnih zakona sa evropskim pravom odvija po hitnom postupku, s jedva nešto vremena za odgovarajući prevod stručnih termina.

Kako su pokazali zahtevi za ocenu ustavnosti odredbi Zakona o zaštiti podaka o ličnosti, ili Zakona o Vojnobezbednosnoj agenciji i Vojnoobaveštajnoj agenciji, pravni okvir, doduše ne uvek blagovremeno, uskladiće Ustavni sud čuvajući smisao ustavne garancije nepovredivosti tajnosti sredstava komunikacije odnosno podataka o ličnosti.

Ali, šta zaštita ličnih podataka uopšte znači u zemlji u kojoj jedna državna agencija danima na svom sajtu drži lične podatke gotovo celokupnog stanovništva, a da incident u javnosti ne ostavi trag dublji od ponekog senzacionalističkog naslova, dok se više od godinu dana kasnije i dalje ne zna da li je reč o slučajnosti, sistemskom propustu ili zloj nameri?

Nije li upravo inspekcijski nadzor Poverenika u telefonskim, a kasnije i internet provajderima, otkrio da nezakoniti pristupi podacima građana, koje preduzimaju razne bezbednosne službe, nisu izolovani incidenti usled vanrednih okolnosti – već sistemska, svakodnevna praksa kojom se godišnje nagomila bar milion slučajeva.

Javna rasprava o predloženom nacrtu novog zakona o zaštiti ličnih podataka prošle jeseni, otkrila je ozbiljno nerazumevanje koncepta privatnosti i smisla njene zaštite. Izostao je akcioni plan za sprovođenje Strategije za zaštitu podataka o ličnosti, pa je ovaj dokument prepušten zaboravu. Podacima građana rukuje se na oko 300.000 javnih i privatnih adresa, od čega zanemarljiv broj ispunjava zakonsku obavezu prijave u Centralni registar Poverenika.

Na sajtovima državnih institucija u čijoj je nadležnosti prikupljanje i obrada podataka o svim građanima po različitim osnovama (penzijsko i zdravstveno osiguranje, na primer), postepeno počinje primena elektronskih usluga, a da pritom često ne postoje jasne procedure za zaštitu i bezbednost podataka na portalima, dok se politici privatnosti i informisanju korisnika o pravima retko pridaje veći značaj.

Otkud tolika nesrazmera između proklamovanih načela i svakodnevice?

Da li iz formalno-pravnih nejasnoća izvire zbunjenost javnosti u pogledu sopstvenih prava i dužnosti države da joj pruži zaštitu, ili je ipak obrnuto, tek ovdašnje prilike ukazuju da konfuzija ometa vitalne interese društva. Čest sukob dve značajne potrebe zemlje u tranziciji, nalog transparentnosti odnosno javnosti rada organa uprave s jedne i pravo na privatnost života i poslova građana s druge strane, ukazuje na nedostatak promišljene, konsekventne “politike podataka”. Istorija uspostavljanja savremenog sistema zaštite privatnosti u Srbiji svedoči o stalnoj koliziji ova dva interesa, neretko na štetu željenih normi uređenog društva.

Državna administracija ubrzano umnožava registre podataka građana, prepuštajući zaposlenima na njihovom održavanju da se sami snalaze sa neujednačenim tehničkim resursima i nejasnim instrukcijama o obavezama i zakonskim ograničenjima.

Entuzijazam koji je pratio iznenadne tehničke inovacije u ustanovama koje prikupljaju i obrađuju podatke o građanima, povremeno će zaustaviti stručna procena o nedovoljnom ili pak preteranom uvidu javnosti. Vremenom, institucije su razvile zakonom propisanu naviku da se unapred obraćaju za mišljenje Povereniku, čija je kancelarija znatno proširila kapacitete u odnosu na prvobitnih šest saradnika. Od 2009. godine, kada se povereništvu za pristup informacijama od javnog značaja priključuju poslovi vezani za zaštitu podataka o ličnosti, broj predmeta sa manje od stotinu skočio je na čak 2.500 u protekloj godini, što ipak ukazuje na bolju obaveštenost građana o sopstvenim pravima i volji da se za njihovu zaštitu obrate odgovarajućoj službi.

Ipak, Poverenik će prigodom Dana privatnosti ukazati na “podanički” mentalitet i strah građana da postave pitanje “zašto mi tražite ličnu kartu”. Razumljiva je frustracija prizorom pasivne javnosti, čiji je prostor premrežen kamerama za nadzor bez odgovarajuće pravne regulative; čiji se podaci neovlašćeno prikupljaju i preprodaju u komercijalne svrhe, dok su njihovi osetljivi podaci – o porodičnim prilikama, bolestima, tragičnim događajima, intimnim opredeljenjima – po nahođenju na raspolaganju poslodavcima ili tabloidima, svejedno. Posledice po dostojanstven život su iste. Strah, međutim, nije neosnovan.

 

 

Izrada ovog teksta omogućena je uz podršku američkog naroda putem Američke agencije za međunarodni razvoj (USAID). Za sadržaj ovog teksta odgovorni su autori i on ne mora nužno odražavati stavove USAID-a ili Vlade Sjedinjenih Američkih Država.

Metodologia

 

Koje zbirke podataka vodi Organ vlasti?

– Izvori: Centralni registar Poverenika; Relevantne zakonske odredbe; Zahtev za pristup informacijama od javnog značaja; Zahtev za ostvarivanje prava iz ZZPL-a.

Koje podatke o ličnosti obrađuje Organ vlasti?

– Izvori: Centralni registar Poverenika; Relevantne zakonske odredbe; Zahtev za pristup informacijama od javnog značaja; Zahtev za ostvarivanje prava iz ZZPL-a.

Na koji način Organ vlasti prikuplja podatke o ličnosti?

– Izvori: Centralni registar Poverenika; Relevantne zakonske odredbe; Zahtev za pristup informacijama od javnog značaja; Zahtev za ostvarivanje prava iz ZZPL-a.

Koji je pravni osnov za obradu podataka o ličnosti?

– Izvori: Centralni registar Poverenika; relevantne zakonske odredbe; Zahtev za ostvarivanje prava iz ZZPL-a.

Koji je naziv organizacione jedinica koja je zadužena za održavanje i implementaciju  Informacionog Sistema organa vlasti? Koji je broj zaposlenih i koje profesionalne kvalifikacije poseduju?

– Izvori: Zahtev za pristup informacijama od javnog značaja; Informator o radu;

Sistematizacija radnih mesta organa vlasti.

Da li postoje interni akti koji regulišu pristup i upravljanje podacima koji se nalaze u zbirkama koje vodi organ vlasti? Koji su to akti? Na koji način regulišu ova pitanja?

– Izvori: Zahtev za pristup informacijama od javnog značaja; Veb stranica organa vlasti;

Informator o radu organ vlasti.

Da li u organu vlasti postoji lice koje je zaduženo za zaštitu podataka o ličnosti? Koja su ovlašćenja i nadležnosti ovog lica?

– Izvori: Zahtev za pristup informacijama od javnog značaja; Informator o radu organa vlasti; Pravilnik o unutrašnjoj organizaciji i sistematizaciji radnih mesta; opisi poslova.

Da li su organu vlasti sprovedene obuke zaposlenih u vezi sa relevantnim odredbama Zakona o zaštiti podataka o ličnosti? Na koji način?

– Izvori: Zahtev za pristup informacijama od javnog značaja; Veb sajt organa vlasti.

Na koji način je uređen elektronski pristup zaposlenih zbirkama podataka koje vodi organ vlasti? Da li postoji sistem rola koji određuje prava pristupa svakog pojedinačnog zaposlenog? Da li je sistem rola vezan za radna mesta?

– Izvori: Zahtev za pristup informacijama od javnog značaja; Pravilnik o unutrašnjoj organizaciji i sistematizaciji radnih mesta; Opisi poslova; Matrica rola (privilegija) u informacionom sistemu organa vlasti.

Da li treća lica (lica koja nisu zaposlena u organu vlasti) imaju pristup informacionom

sistemu i serverima na kojma se nalaze podaci o ličnosti? Koja su to lica? Kakvu vrstu pristupa ova lica poseduju i na koji način je taj pristup uređen?

– Izvori: Centralni registar Poverenika; Relevantne zakonske odredbe, Zahtev za pristup

informacijama od javnog značaja

Da li organ vlasti vodi zbirke podataka u papirnoj formi? Da li postoje procedure za pristup zbirkama podataka koje se vode u papirnoj formi?

– Izvori: Zahtev za pristup informacijama od javnog značaja.

Da li je organ vlasti implementirao ISO standarde? Koje? Kada?

– Izvori: Zahtev za pristup informacijama od javnog značaja; Uvid u Registar sertifikovanih privrednih društava koji vodi Privredna komora Srbije; Veb sajt organa vlasti.

Koji je broj servera (fizičkih i virtuelnih) u okviru Informacionog sistema organa vlasti koji se koriste za obradu podataka o ličnosti? U čijem vlasništvu su serveri i gde se fizički nalazi svaki od servera? Ukoliko serveri nisu centralizovani na jednom mestu, na koji način su povezani međusobno?

– Izvori: Zahtev za pristup informacijama od javnog značaja.

Da li se na serverima na kojima se nalaze podaci o ličnosti čuvaju logovi? Koji? Koliko dugo?

– Izvori: Zahtev za pristup informacijama od javnog značaja.

Gde je hostovan sajt organa vlasti? Da li organ vlasti samostalno ugovara hosting ili to ide preko nekog drugog državnog organa Ko je interner provajder organa vlasti?

– Izvori: Zahtev za pristup informacijama od javnog značaja; WHOIS i who is hosting this pretraga (www.whoishostingthis.com ; www.whois.icann.org)