AGENCIJA ZA PRIVREDNE REGISTRE

APR

OPŠTI PODACI

Preuzmite pdf celog izveštaja

Podaci o osnovnoj delatnosti, sedištu, pravnim aktima, veb sajtu i slično

Agencija za privredne registre (APR) osnovana je 2004. godine Zakonom o Agenciji za privredne registre. Organi Agencije su upravni odbor i direktor.

APR trenutno vodi 20 statusnih i finansijskih registara kao jedinstvene, centralizovane, javne elektronske baze podataka i to: Registar privrednih subjekata (koji čine Registar privrednih društava, Registar preduzetnika i Registar stranih predstavništava), Registar medija, Registar turizma, Registar stečajnih masa, Registar komora, Registar ponuđača, Registar finansijskog lizinga, Registar založnog prava na pokretnim stvarima i pravima, Registar sudskih zabrana, Registar faktoringa, Registar ugovora o finansiranju poljoprivredne proizvodnje, Registar udruženja, Registar stranih udruženja, Registar zadužbina i fondacija, Registar predstavništava stranih zadužbina i fondacija, Registar udruženja, društava i saveza u oblasti sporta, Registar finansijskih izveštaja, Registar mera i podsticaja regionalnog razvoja, Centralnu evidenciju privremenih ograničenja prava lica registrovanih u Agenciji za privredne registre i Centralnu evidenciju objedinjenih procedura (iz oblasti izdavanja građevisnkih dozvola).

Organizacionu šemu Agencije čine još i Sektor zajedničkih poslova, Sektor informatike i razvoja, Sektor pravnih i opštih poslova, Sektor ekonomsko finansijskih poslova i Interna revizija.

Sedište Agencije je u Beogradu, dok u većim gradovima Srbije radi 13 organizacionih jedinica. Na internet portalu objavljeni su detaljni podaci o strukturi i nadležnim osobama u pojednim sektorima, integralni godišnji izveštaji o radu kao i niz zakona, uredbi, pravilnika i odluka kojim se bliže reguliše rad Agencije, uključujući nekoliko propisa vezanih za rukovanje i ustupanje podataka.

Posebnim informacionim sistemom, Agencija omogućava onlajn sastavljanje i dostavljanje godišnjih finansijskih izveštaja. Metodologijom za davanje podataka u elektronskoj formi definisane su vrste podataka u pojedinim registrima, način podnošenja zahteva i visina naknade za njihovo izdavanje.

Lista kategorija dokumentarnog materijala definiše rokove i načine čuvanja preuzete i sopstvene građe. Odeljenje arhive po zahtevu daje na uvid originalnu ili skeniranu dokumentaciju i izdaje kopije dokumenata. Upućivanje zahteva i isporuka traženih dokumenata mogu se vršiti elektronskim putem.

Postupak elektronske registracije još uvek nije moguć, pa se registracija obavlja lično odnosno preko punomoćnika, ili pisanim putem, u sedištu Agencije u Beogradu ili u organizacionim jedinicama u unutrašnjosti.

U Uslovima korišćenja sajta navedene su napomene o sigurnosti i praćenju podataka, gde se ističe da zvanični sajt APR zadržava pravo da sakuplja podatke o pristupu sajtu: ime domena sa kog se pristupa, datum i vreme pristupa kao i adresa sa koje je kliknuto na link za pristup sajtu. Dalje se precizira da se pristup pojedinaca sajtu i računarskom sistemu prati i evidentira od strane ovlašćenog osoblja.

Adresa: Brankova 25, 11000 Beograd

E-mail: [email protected]

Internet sajt: http://www.apr.gov.rs/

Informator o radu: http://www.apr.gov.rs/Portals/0/interna%20dokumenta/Informator_o_radu%20251215.doc?ver=2015-12-28-142747-523

 PRAVNI ASPEKTI OBRADE PODATAKA

Zbirke podataka o ličnosti

Članom 4 Zakona o agenciji za privredne registre definisano je 15 registara a drugim zakonima definisano je još 5 registara koje APR vodi kao jedinstvene centralizovane elektronske baze. To su između ostalih Registar privrednih subjekata, Registar udruženja, Registar zadužbina i fondacija, Registar turizma i drugi. Ovi registri prvenstveno sadrže podatke i informacije o pravnim licima (poslovno ime, sedište, poreski identifikacioni broj – PIB, osnovni kapital i slično) ali sadrže i podatke koji se odnose na fizička lica kao što su lično ime ili matični broj zastupnika pravnog lica.

Imajući u vidu da je Registar privrednih subjekata (u daljem tekstu ‘’Registar’’) najveći od svih registara koje vodi APR te da se u njemu na dan 08.03.2016. godine vode podaci o 120.892 privrednih društava i podaci o 217.035 preduzetnika, odabrali smo ovaj registar kao reprezantivnu zbirku podataka te se dalja analiza svih aspekata obrade podataka odnosi samo na ovaj Registar. Dodatno, imajući u vidu različite pravne okvire u zavisnosti od vrste privrednog subjekta, naša analiza se prvenstveno odnosila na deo ovog Registra koji se odnosi na podatke o preduzetnicima, naslovljen kao ‘’Registar privrednih subjekata – Preduzetnici’’

U Centralnom registru Poverenika APR poseduje 3 zbirke podataka o ličnosti, i to Kadrovsku evidenciju, koja se odnosi na podatke lica koja su zaposlena ili na drugi način radno angažovana u APR-u, Evidenciju o kretanju lica u poslovnoj zgradi u Brankovoj 25 i Video nadzor u poslovnoj zgradi u Brankovoj 25.

Pravni osnov

Pravni osnov za vođenje Registra privrednih subjekata je ustanovljen 2004. godine na osnovu Zakona o Agenciji za privredne registre kojim je u članu 4 je utvrđeno da APR vodi ovaj Registar kao jedinstvenu centralizovanu elektronsku bazu podataka. Iste godine stupio je na snagu i Zakon o registraciji privrednih subjekata kojim su se uređivali se uslovi, predmet i postupak registracije u Registar privrednih subjekata, te su u članu 6 bili definisani svi podaci koji se obrađuju u ovom Registru.

Zakon o registraciji privrednih subjekata važio je do 2012. godine kada je zamenjen savremenijim Zakonom o postupku registracije u Agenciji za privredne registre. Ono što je bila novina je da novi Zakon nije diretkno naveo podatke koji se obrađuju u registrima koje vodi APR, ali je u članu 44 propisano da ministri nadležni za sprovođenje zakona kojima je propisano vođenje registara, bliže propisuju sadržinu registara i evidencija, kao i dokumenta koja se prilažu uz prijavu za registraciju i evidenciju. U skladu sa tim u toku 2012. godine donet je Pravilnik o sadržini registra privrednih subjekata i dokumentaciji potrebnoj za registraciju koji je detaljno uredio setove podataka koji se obrađuju u Registru privrednih subjekata. U vezi sa ovim pitanjem oglasila se kancelarija Poverenika i u u obrazloženju Upozorenja APR-u broj 164-00-00119/2012-07 od 31.07.2012. godine izneto je mišljenje da podaci o ličnosti koji se vode u Registru bi trebalo da budu definisani zakonom a ne podzakonskim aktom kao što je Pravilnik, na šta je APR u Odgovoru na ovo upozorenje BD 107931/2012 od 23.08.2012. godine naveo da će inicirati izmene i dopune postojećih zakona u vezi sa ovim problemom.

Ono što je veoma bitno istaći u vezi sa ovim pitanjem je da pored Zakona o postupku registracije u Agenciji za privredne registre postoji čitav niz drugih važećih zakona koji na posredan ili neposredan način definišu setove podataka koji se moraju registrovati i obrađivati od strane APR-a.

Primera radi, navodimo:

  • Član 265 Zakona o privrednim društvima navodi da osnivački akt akcionarskog društva (koji je predmet registracije u APR-u) sadrži između ostalog ime, jedinstveni matični broj i prebivalište akcionara;
  • Član 39 Zakona o javnom informisanju i medijima propisuje sadržinu Registra medija i predmet registracije od kojih je jedan JMBG domaćeg fizičkog lica koji je urednik medija;
  • Član 18 Zakona o zadrugama navodi da osnivački akt zadruge (koji je predmet registracije u APR-u) sadrži između ostalog lično ime, prebivalište i jedinstveni matični broj svakog osnivača
  • Član 28 Zakona o udruženjima propisuje sadržinu Registra udruženja i predmet registracije od kojih je jedan JMBG fizičkog lica koji je zastupnik udruženja.

Ono što nam govori primer APR-a je da pravni osnov i zakonsko ovlašćenje za obradu podataka nije uvek sadržano u par povezanih odredbi jednog zakona, već da postoje složeniji primeri kada se mora sistematski pristupiti tumačenju pravne regulative u potrazi za zakonskim ovlašćenjem za obradu podataka o ličnosti.

Podaci o ličnosti

U delu Registra koji se odnosi na preduzetnike vode se podaci o svim preduzetnicima koji su registrovani na teritoriji Republike Srbije, kojih na dan 08.03.2016 ima 217.035. Iako se veći deo ovih podataka odnosi na podatke o preduzetniku kao privrednom subjektu te se u tom smislu ne smatraju podacima o ličnosti, ipak smo izdvojili sledeće podatke kao nesumnjivo lične:

  • Podaci koji se vode u elektronskom Registru i koji su objavljeni na sajtu APR-a:
  1. ime i prezime preduzetnika
  2. JMBG preduzetnika
  3. broj pasoša i država izdavanja za preduzetnika stranca
  4. ime i prezime prokuriste
  5. JMBG prokuriste
  6. broj pasoša i država izdavanja za prokuristu stranca
  • Podaci koji su sadržani u dokumentima na osnovu kojih je izvršena registracija,:
  1. fotokopija lične karte preduzetnika
  2. fotokopija pasoša preduzetnika stranca
  • Podaci o podnosiocu registracione prijave (koji može biti lice različito od preduzetnika), koji se nalaze u Registracionoj prijavi:
  1. ime i prezime
  2. JMBG
  3. broj pasoša za strance
  4. adresa
  5. telefon
  6. e-pošta

Radi boljeg razumevanja obima i vrsta podataka koji se vode u Registru preduzetnika, navešćemo neke od podataka koji se vode u Registru a koje nismo kvalifikovali kao lične: poslovno ime, sedište, poreski identifikacioni broj (PIB), datum osnivanja i slično. Kao opcioni u Registru se mogu nalaziti, te biti javno objavljeni kontakt podaci preduzetnika (telefon i email adresa). Iako po svojoj prirodi ovi podaci treba da predstavljaju kontakt podatke koji se odnose na poslovanje preduzetnika, te postoji racio za njihovo objavljivanje, treba napomenuti da obzirom da preuzetnici često registruju sedište u svom privatnom stanu oni neretko predstavljaju i podatke koji bi se u drugom kontekstu mogli smatrati ličnim.

Podaci iz elektronskog Registra koji su javno dostupni sa sajtu APR-a, takođe se dostavljaju brojnim državnim organima ali i privatnim kompanijama. Svi podaci iz Registra koje smo kvalifikovali kao lične (izuzev kopije lične karte ili pasoša), dakle ime i prezime, JMBG, i eventualno kontakt podaci, nalaze se u evidencijama svih ostalih institucija koje smo analizirali u okviru ovog projekta.

Svi podaci koje smo naveli a koji nisu dostupni pretragom Registra na sajtu APR-a, javno su dostupni u skladu sa načelima javnosti i dostupnosti iz člana 3 Zakona o postupku registracije u APR-u. U skladu sa tim, podacima i dokumentaciji o izvršenoj registraciji može pristupiti svako lice neposrednim uvidom u Registar u prostorijama APR-a.

U Registru se ne obrađuju naročito osetljivi podaci iz člana 16 Zakona o zaštiti podataka o ličnosti.

Načini prikupljanja podataka o ličnosti

Podaci koji se vode u Registru se prikupljaju podnošenjem Jedinstvene registracione prijave osnivanja pravnih lica i drugih subjekata registracije u jedinstveni registar poreskih obveznika ( u daljem tekstu JRPPS) čija je sadržina propisana Pravilnikom o dodeli poreskog identifikacionog broja pravnim licima i preduzetnicima. Uz prijavu se podnosi i zakonom propisana dokumentacija kao npr. fotokopija lične karte.

Iako je Zakonom o postupku registracije u APR-u u članu 11 propisana mogućnost podnošenja elektronske prijave putem korisničke aplikacije za prijem elektronske prijave, takva mogućnost i dalje ne postoji u praksi,  pre svega zbog nemogućnosti da se eksterno  elektronski potpišu neki od obaveznih priloga uz prijavu. Jedinstvena registraciona prijava i prateća dokumentacija stoga se još uvek podnose isključivo u pisanom obliku, u prostorijama APR-a ili putem pošte.

Centralni registar

Registar privrednih subjekata nije prijavljen kao zbirka podataka o ličnosti u Centralnom registru koji vodi Poverenik. Po Zakonu o zaštiti podataka o ličnosti, APR zapravo i nema obavezu prijavljivanja Registra imajući u vidu član 48 stav 2 koji između ostalog reguliše da Rukovalac podataka nije dužan da obrazuje i vodi evidenciju obrade podataka koji se obrađuju radi vođenja registara čije je vođenje zakonom propisano ili podataka za zbirku podataka koju čine samo javno objavljeni podaci.

APR je u Centralni registar Poverenika registrovao 3 zbirke podataka o ličnosti i to Kadrovsku evidenciju koja se odnosi na podatke lica koja su zaposlena ili na drugi način radno angažovana u APR-u, Evidenciju o kretanju lica u poslovnoj zgradi u Brankovoj 25 i Video nadzor u poslovnoj zgradi u Brankovoj 25.

Interni akti

U odgovoru na Zahtev za pristup informacijama APR nije dostavio odgovor na pitanje da li postoje interni akti koji regulišu pristup i upravljanje podacima iz Registra. Pregledom propisa objavljenih na sajtu APR-a, izdvojili smo sledeće akte koji regulišu ova pitanja:

  • Pravilnik o sadržini Registra privrednih subjekata i dokumentaciji potrebnoj za registraciju koji je doneo nadležni Ministar 2011. godine, a na snazi je od 2012. godine. Pravilnik detaljno uređuje koji se podaci vode u Registru preduzetnika, kao i koja dokumentacija je potrebna da bi se izvršio upis u Registar. Propisano je da sva dokumentacija predstavlja sastavni deo Registra. Takođe, propisano je da se za brisanje preduzetnika iz Registra podnosi prijava brisanja i prilaže dokument o nastupanju činjenice na osnovu koje je došlo do prestanka obavljanja delatnosti.
  • Metodologija za davanje podataka u elektronskoj formi koju je doneo Upravni odbor APR-a u julu 2012. godine i od tada je na snazi. Ona uređuje način razvrstavanja podataka iz Registra, određivanje visine naknada, način podnošenja zahteva i način preuzimanja podataka u elektronskoj formi. Uz Metodologiju su kao prilozi dati svi obrasci zahteva za davanje podataka.
  • Odluka o vrsti, obimu i načinu isporuke podataka i dokumenata koji se ustupaju bez naknade državnim organima i organizacijama, organima autonomnih pokrajina i jedinicama lokalne samouprave koju je doneo Upravni odbor APR-a u aprilu 2012. godine a koja je izmenjena i dopunjena u oktobru 2015. godine. Ova odluka uređuje da se isporuka podataka vrši samo ukoliko se utvrdi da su traženi podaci od značaja za obavljanje poslova iz nadležnosti državnog organa koji je podatke tražio. Takođe, državni organ je dužan da dobijene podatke koristi samo u svrhu navedenu u zahtevu kojim je tražio podatke, kao i da preduzme sve raspoložive mere za sprečavanje neovlašćenog korišćenja dokumenata i podataka. Ti podaci se ne smeju umnožavati i distribuirati u komercijalne i druge svrhe.
  • Odluka o načinu, uslovima i naknadama za preuzimanje podataka u elektronskoj formi o statusnim i drugim promenama pravnih i fizičkih lica registrovanih u APR-u koju je doneo Upravni odbor APR-a u julu 2011. godine i od tada je na snazi. Odlukom se pre svega uređuje odnos sa poslovnim bankama koje su u obavezi da svakog radnog dana preuzimaju ove podatke. Propisano je da će APR sa bankama zaključiti poseban sporazum o preuzimanju podataka, kao i da se podaci preuzeti od APR-a mogu koristiti samo za obavljanje delatnosti banke u skladu sa zakonom, bez prava ustupanja trećim licima i dalje distribucije.

Zahtev za ostvarivanje prava

Tokom istraživačkog procesa, član našeg tima je u skladu sa članom 19 ZZPL-a pisanim putem od APR-a tražio obaveštenje o obradi svojih podataka o ličnosti i to:

  1. Koje podatke o meni obrađujete?
  2. Koje vrste obrade podataka sprovodite?
  3. Od koga su prikupljeni podaci o meni, odnosno ko je izvor podataka?
  4. U koje svrhe se podaci obrađuju?
  5. U kojim zbirkama podataka se nalaze podaci o meni?
  6. Ko su korisnici podataka o meni? Koji podaci o meni se koriste? Po kom pravnom osnovu i u koje svrhe se podaci o meni koriste?
  7. Da li se moji podaci prenose (ustupaju) drugim licima, i koja su to lica? Po kom pravnom osnovu i za koje potrebe se ti podaci prenose?
  8. U kom vremenskom periodu se podaci obrađuju, odnosno da li je predviđena obustava obrade mojih podataka u određenom trenutku?

APR je odgovorio na zahtev za ostvarivanje prava, u zakonom predviđenom roku.

U odgovoru se konstatuje da osim javno objavljenih podataka na internet stranici, APR vodi podatke o tome da je podnosilac zahteva registrovan kao podnosilac registracione prijave za osnivanje određenog privrednog društva i da je uz registracionu prijavu priloženo overeno Punomoćje za zastupanje. Detaljan odgovor izostaje kada su u pitanju konkretni podaci o ličnosti koje APR obrađuje.

Ostali odgovori zapravo predstavljaju citate odredbi Zakona o privrednim društvima, Zakona o postupku registracije u Agenciji za privredne registre, Zakona o Agenciji za privredne registre i Pravilnika o sadržini Registra privrednih subjekata i dokumentaciji potrebnoj za registraciju, koji iako pružaju odgovore na neka pitanja nisu sasvim određeni i precizni.  Tako, recimo, na pitanje u koje svrhe APR obrađuje podatke, APR navodi da je članom 12 ZZPL propisano da je obrada podataka o ličnosti dozvoljena u svrhu izvršenja obaveza određenih zakonom ili aktom donetim u skladu sa zakonom, dok na pitanje o vremenskom periodu u kojem se podaci o podnosiocu zahteva obrađuju i da li je predviđena obustava obrade podataka u određenom trenutku, odgovor u potpunosti izostaje.

Zaključak

APR predstavlja sprecifičnu instituciju u domenu zaštite podataka o ličnosti jer se svi registri koje vodi zasnivaju na načelima javnosti i dostupnosti, pa su registrovani podaci i dokumenti javni i dostupni svim licima, preko internet strane APR-a i neposrednim uvidom u Registre. To znači da u ovom slučaju interes javnosti za pristup podacima preteže nad interesom prava na zaštitu podataka o ličnosti. Dodatno, većina podataka koji se nalaze u Registrima koje vodi APR ne predstavljaju podatke o ličnosti, već poslovne podatke privrednih društava. No, treba imati u vidu da se, naročito u slučaju preduzetnika, poslovni podaci mogu u potpunosti podudarati sa podacima o ličnosti fizičkih lica, naročito u slučaju naziva preduzetnika, a često i adrese, broja telefona, elektronske pošte i slično. Čak i ono malo podataka iz Registra koji nesporno imaju karakter podataka o ličnosti, ne uživaju punu zaštitu iz Zakona o zaštiti podataka o ličnosti, a u skladu sa članom 5 stav 1 tačka 1 Zakona o zaštiti podataka o ličnosti u kom se navodi da se pojedine odredbe o uslovima za obradu, kao i o pravima i obavezama u vezi sa obradom, ne primenjuju na obradu podataka koji su dostupni svakome.

ORGANIZACIONI ASPEKTI OBRADE PODATAKA

Lice za zaštitu podataka o ličnosti

Postojeće stanje: U Agenciji za privredne registre Republike Srbije ne postoji lice zaduženo za zaštitu podataka o ličnosti. Zaposlenima na radnim mestima stručnog saradnika za ljudske resurse i likvidatora kontrolora dato je ovlašćenje da prikupljaju, obrađuju, koriste u službene svrhe i dostavljaju trećim licima lične podatke zaposlenih u APR, ali to ne znači da su ova lica odgovorna za zaštitu podataka o ličnosti koje APR prikuplja i obrađuje. Takođe, prema Zakonu o agenciji za privredne registre, Registratori su nezavisna lica, odgovorna za podatke, i kao takvi ne podležu bilo kakvom uticaju, ali nisu formalno imenovani za zaštitu podataka o ličnosti na nivou čitavog APR-a, već su zaduženi za zaštitu svih podataka isključivo u svom domenu rada.

Preporuka: S obzirom na delatnost koju obavlja APR, a koja uključuje prikupljanje i obradu velikog broja podataka o ličnosti, važno je da postoji sistemsko rešenje i organizaciona odgovornost za zaštitu podataka o ličnosti. Neophodno je da rad APR i usluge koje pruža, što se naročito odnosi na internet servise za pretragu baze podataka, budu konstantno usaglašeni sa zakonskom regulativom u ovoj oblasti.

Obim potencijalnih aktivnosti koje bi to lice trebalo da sprovodi ne opravdava formiranje posebnog radnog mesta isključivo za potrebe poslova zaštite podataka o ličnosti. Iz tih razloga organizaciono rešenje problema bi trebalo tražiti u dodeli odgovornosti određenom licu, kroz odgovarajuće odluke. Pored tako definisane odgovornosti, odnosno aktivnosti koje bi trebalo da obavlja, to lice bi trebalo da obavlja i druge poslove u skladu sa opisom radnog mesta.

U slučaju kršenja Zakona o zaštiti podataka o ličnosti, postoji odgovornost i fizičkog lica, i odgovornog lica kod pravnog lica, i odgovornost samog pravnog lica. Međutim, prilikom definisanja odgovornog lica za zaštitu podataka akcenat je na organizacionoj odgovornosti za, na primer:

  • sprovođenje određene politike o zaštiti podataka o ličnosti među zaposlenima;
  • promovisanje zaštite podataka o ličnosti među zaposlenima radi razumevanja vlastite uloge u zaštiti podataka
  • organizovanje edukacije iz oblasti zaštite podataka o ličnosti za zaposlene;
  • izveštavanje rukovodstva o nivou zaštite podataka i predlaganje mera za podizanje nivoa zaštite i dr.

S obzirom na navedene odgovornosti, jasno je da bi lice zaduženo za zaštitu podataka u ovom smislu trebalo da bude lice koje se nalazi na pozicijama višeg hijerarhijskog nivoa. U kompanijama je praksa pokazala da bi to lice trebalo da bude deo najvišeg menadžmenta. Uzimajući u obzir postojeći model organizacije, odnosno teritorijalnu rasprostranjenost APR-a, rešenje bi trebalo tražiti u uvođenju odgovornosti na dva nivoa. Preporuka je da lice zaduženo za strateške stvari iz oblasti zaštite podataka o ličnosti na nivou APR bude neko iz sedišta. Na osnovu analize trenutnog načina rada i modela organizacione strukture APR, predlog je da to bude Rukovodilac odeljenja za isporuke podataka. Sa druge strane, s obzirom da APR ima organizacione jedinice koje su geografski razdvojene, u svakoj organizacionoj jedinici bi trebalo da postoji lice zaduženo za zaštitu podataka o ličnosti, koje bi trebalo da ima minimalnu odgovornost za sprovođenje strateških odluka iz ove oblasti, donetih na centralnom nivou.

Dakle, Direktor, u saradnji sa licem za zaštitu podataka o ličnosti (Rukovodiocem odeljenja za isporuke podataka) i Registratorima, kao vlasnicima ključnih poslovnih procesa, treba detaljno da propišu operativna zaduženja u ovom smislu, i da osmisle na koji način da pojedinim ljudima u filijalama, naročito većim, daju posebna zaduženja u ovoj oblasti. Svakako je potrebno da se internim aktima ova zaduženja i procedure rada preciznije propišu, u pravcu uvođenja standarda.

Edukacija

Postojeće stanje: Obaveštenje o odredbama Zakona o zaštiti podataka o ličnosti dostavljeno je svim licima koja su zaposlena u APR po osnovu ugovora o radu, licima koja obavljaju privremene i povremene poslove ili imaju zaključene ugovore o delu, ili obavljaju poslove po drugom ugovoru, kao i licima na dopunskom radu, stručnom osposobljavanju i usavršavanju. Nije sprovođena formalna obuka zaposlenih o postojećoj regulativi (Zakon; standardi) iz oblasti zaštite podataka o ličnosti.

Preporuka: Svoju osnovnu delatnost APR obavlja kroz prikupljanje i obradu velikog broja podataka o ličnosti, zbog čega je izuzetno važno što se svima koji su uključeni u ove procese dostavlja obaveštenje o odredbama Zakona o zaštiti podataka o ličnosti. Međutim, poželjno bi bilo uvesti kontinuiranu edukaciju zaposlenih iz oblasti zaštite podataka o ličnosti, pogotovo za zaposlene koji obavljaju osnovnu delatnost, radi podizanja svesti o osetljivosti ovih podataka i konstantnog usaglašavanja sa važećim propisima iz ove oblasti. Takođe, trebalo bi  organizovati testiranja znanja zaposlenih iz ove oblasti, u definisanim vremenskim intervalima, kako bi APR konstantno imala uvid u stanje sistema u pogledu zaštite podataka o ličnosti.

Pristup zaposlenih reprezentativnoj evidenciji

Pristup Registru privrednih subjekata se, u načelu, omogućava bez ograničenja svima koji žele da mu pristupe, osim u zakonom propisanim slučajevima, u cilju zaštite podataka o ličnosti . Postoji ograničena enkripcija unutar baze podataka. Pristup bazi podataka putem internet stranice APR nije direktan, već se vrši kroz aplikacije koje pristupaju bazi podataka u realnom vremenu.

Zaposleni u APR mogu pristupiti bazi podataka kroz aplikaciju za unos podataka i, u zavisnosti od prava pristupa, imati uvid i/ili mogućnost obrade podataka koji su vidljivi preko internet stranice. Direktan pristup bazi podataka imaju dva administratora sistema i četiri administratora baze podataka, dok ostali zaposleni informacionom sistemu APR i bazi podataka pristupaju kroz aplikaciju, unošenjem korisničkog imena i lozinke koja je samo njima poznata. Administrator baze podataka ima pristup svim korisničkim imenima, ali ne i lozinkama.

Aplikacija za unos podataka je programirana tako da zaposleni u APR, u zavisnosti od procesa registracije u kojem učestvuju, imaju diferencirani nivo prava pristupa informacionom sistemu, u zavisnosti od radnog mesta i opisa posla. Pristup podacima, kada je reč o korisnicima, moguć je isključivo kroz aplikacije u kojima su korisnici sa definisanim ulogama, kroz sistem rola, a samim tim i ograničenjima. Matrica uloga (privilegija) u informacionom sistemu APR, sadrži sledeća radna mesta i definisana prava pristupa:

  • Rola: Administrator – vrši administraciju same aplikacije, dodaje nove korisnike, briše stare korisnike i dodeljuje prava i uloge.
  • Rola: Registrator – poseduje sva prava osim prava dodele i brisanja korisnika.
  • Rola: Operater za obradu predmeta – ima mogućnost obrade predmeta samo do trenutka odobravanja i štampanja rešenja.
  • Rola: Operater za obradu i odobravanje predmeta – ima mogućnost obrade predmeta i konačnog odobravanja i štampanja rešenja.
  • Rola: Operater za prijem i dodelu predmeta – ima mogućnost prijema i dodele predmeta na dalju obradu.
  • Rola: Operater za ekspedicuju i štampu rešenja – ima mogućnost štampanja rešenja i njegove dalje ekspedicije.
  • Rola: Pregled rešenja – ima mogućnost pregleda rešenja već odobrenіh predmeta.
  • Rola: Arhivar – ima mogućnost pregleda i dodele predmeta Službi arhive.

Samim tim što korisnik pristupa bazi podataka kroz aplikacije, koje su predodređene za sprovođenje određenih akcija, poznat je i osnov pristupa prilikom svakog pristupa. Sistemski se na serveru beleži svaki pristup bazi podataka, kretanje predmeta i štampanje. Takođe se za svaki predmet vezuju i podaci o vlasniku, odnosno obrađivaču predmeta.

APR određenim institucijama dostavlja delove baze podataka u skladu sa upitom koji je poslat, sa ili bez naknade.

Sektor za održavanje informacionog sistema

Postojeće stanje: Organizaciona jedinica za održavanje i implementaciju informacionog sistema APR je Sektor informatike i razvoja, u kom je trenutno zaposleno 25 osoba različitih kvalifikacija.

Preporuka: Preporuka je da se detaljnije propišu i kompletiraju procedure koje regulišu pristup i upravljanje podacima iz elektronske baze, o čemu će više biti reči u tački izveštaja koja se odnosi na ISO standarde.

Evidencija u papirnoj formi

Postojeće stanje: Svi podaci iz registra, kao i sva dokumentacija koja je predata prilikom registracije vode se u parirnoj formi i dostupni su javnosti u prostorijama APR. Ova dokumenta sadrže veći broj podataka o ličnosti od onog koji se može pronaći u elektronskoj bazi podataka Registar privrednih subjekata. U pitanju je cela registraciona prijava, u kojoj su sadržani lični podaci podnosioca prijave, koji ne mora biti preduzetnik, kao i fotokopija njegove lične karte. Sam pristup se potpuno slobodno ostvaruje, bez ikakve identifikacije ili beleženja pristupa.

Preporuka: S obzirom da su podaci koji se čuvaju u papirnoj formi javno dostupni, i da je omogućen pristup javnosti svakom od dokumenata, ne postoji prostor za unapređenje rada APR u ovom domenu.

ISO standardi

Postojeće stanje: Prema podacima dostupnim u Registru sertifikovanih privrednih društava koji vodi Privredna komora Srbije, u Agenciji za privredne registre nije implementiran nijedan standard iz ISO serije standarda.

Sa druge strane, u Sektoru informatike i razvoja, Odeljenju za isporuke podataka i registrima postoji dobra praksa upravljanja podacima, koja je dobrim delom dokumentovana kroz procedure definisane u dva važna tekuća projekta:

  • Uvođenje ITIL preporuka za upravljanje IT uslugama;
  • “Sistem finansijskog upravljanja i kontrole” (SFUK), u okviru kog su u svim delovima APR opisane procedure rada, pre svega iz perspektive opšteg upravljanja rizicima.

Preporuka: U narednom periodu bi trebalo raditi na usaglašavanju postojeće prakse sa zahtevima standarda, kao i na daljem uvođenju procedura za sve ključne procese. Takođe bi trebalo uvesti standard ISO 9001 – Sistem upravljanja kvalitetom, kao bazni standard, dok bi u sledećoj iteraciji trebalo težiti uvođenju standarda ISO 27001 Sistem upravljanja bezbednošću informacija, koji s obzirom na delatnost APR predstavlja najbitniji standard ISO serije. Standardima bi trebalo formalno regulisati pristup i upravljanje podacima u elektronskoj formi, kao i pristup dokumentima koji se čuvaju u papirnoj formi. Precizno definisane i u punoj meri primenjene procedure za kontrolu pristupa i upravljanje podacima u elektronskoj formi, kao i pristup dokumentima koji se čuvaju u papirnoj formi, predstavljaće dobru osnovu za formalno uvođenje navedenih standarda.

Zaključak

Obzirom da su podaci o ličnosti koji se nalaze u Registru privrednih subjekata, ali i drugim registrima koje vodi APR javno dostupni, mogućnosti za zloupotrebu podatka od strane zaposlenih su svedene na minimum. Ipak i pored toga u APR postoji sistem rola koji daje različita ovlašćena zaposlenima u odnosu na opis radnog mesta, a takođe se na serveru beleži svaki pristup bazi podataka, kretanje predmeta i štampanje, što je veoma dobro rešenje. U tom smislu za APR najveći rizik može predstavljati očuvanje integriteta celokupne baze podataka. Činjenica da direktan pristup bazi podataka imaju samo dvaadministratora sistema i četiri administratora baze podataka, te da neovlašćeni pristupi bazama podataka do sada nisu zabeleženi, svakako predstavljaju pokazatelj da je ovaj rizik sveden na minimum.

Opšte tehničke informacije i struktura sistema

U okviru informacionog sistema APR postoji veći broj servera i drugih uređaja koji na različite načine učestvuju u prikupljanju, obradi, skladištenju i obezbeđenju podataka o fizičkim licima. Svi serveri su u vlasništvu APR-a i nalaze se u sedištu u Beogradu, u Brankovoj ulici broj 25.

Namena veb servera, mejl servera i skladištenja odnosi se na hostovanje aplikacija i internet sadržaja, komunikaciju i skladištenje podataka. Na aplikativnim serverima i serverima baze podataka koji su u klasteru nalazi se Registar privrednih subjekata, zbog raspoloživosti i bezbednosti podataka. Baza podataka Registra privrednih subjekata je na Microsoft SQL serveru.

Pristup internetu

Statični deo internet prezentacije APR-a sa opštim informacijama hostuje se kod provajdera EUNET doo Beograd. Sve javne pretrage podataka i jedinstvene elektronske centralne baze podataka se nalaze na serverima u APR-u koja je samostalno ugovorila uslugu hostinga.

Internet provajderi čije usluge koristi APR su Telekom Srbija i Pošta Srbije. Opseg Telekomovih IP adresa je 195.178.56.17/29, dok je opseg PTT IP adresa 212.62.49.194/30.

 

 

Opšte informacije
Naziv ustanove Agencija za privredne registre
URL http://www.apr.gov.rs/
Datum vršenja analize 27.04.2015.
WHOIS pretraga
Ime i Prezime Dragan Dragović
Adresa  Brankova 25, Beograd
Provider Mainstream D.O.O Beograd
URL Provajdera http://www.mainstream.rs/
Registrator CRI DOMAINS
URL Registratora http://cridomains.rs/
Država Srbija
Nmap
Broj otvorenih portova 16
Broj filtriranih portova 0
Broj zatvorenih portova 984
OS Linux 2.4.36
Bezbedan (Nmap) Ne
IP v4 87.237.200.6
IP v6 /
MAC /

 

VPN i Cloud usluge

APR koristi privatnu VPN vezu koja administratorima služi za prustup bazi podataka, dok ne koristi VPN usluge trećih lica. Cloud usluge se u ovom momentu ne koriste jer za tim ne postoji potreba. Implementacija Cloud usluga nije planirana u bliskoj budućnosti.

Serverska podešavanja

Onlajn pretraživa baza na sajtu APR-a se sa izvornom, matičnom bazom podataka sinhronizuje u realnom vremenu putem standardne transakcione replikacije. Replikuju se svi podaci pa i podaci o licima koji su takođe dostupni na sajtu Agencije i čije je objavljivanje propisano Zakonom o privrednim društvima i Zakonom o postupku registracije u APR.

Razlog pristupanja Registru se ne evidentira jer je radni proces u kojem zaposleno lice učestvuje povezano sa njegovim nalogom/korisničkim imenom, odnosno svaki nalog ima pristup određenom delu Registra prema vrsti posla kojim se zaposleni bavi.

APR ne dozvoljava direktan pristup bazama podataka preko veb sajta. Korisnici pristupaju posebnim aplikacijama preko kojih se pristupa bazi podataka u Registru privrednih subjekata, koja se standardnom transakcionom replikacijom sinhronizuje sa izvornom bazom podataka u realnom vremenu.

Informacionom sistemu Registra se pristupa unosom korisničkog imena i lozinke (Windows autentifikacija), jedino poznate zaposlenom licu koji unosi lozinku u sistem. Evidencija korisničkih imena bez lozinki vezana je  za radno mesto glavnog administratora sistema. Transcakcioni logovi čuvaju se nekoliko nedelja.

Postoji ograničena enkripcija unutar baza podataka. Pristup podacima, kada je reč o korisnicima, moguć je isključivo kroz aplikacije u kojima su korisnici sa definisanim ulogama a samim tim i ograničenjima.

Iz Centralnog registra Poverenika za informacije od javnog značaja i zaštitu podataka od ličnosti preuzeli smo sledeće mere zaštite podataka koje se ne odnose na Registar privrednih subjekata već na kadrovsku evidenciju: podaci se obrađuju i čuvaju u elektronskom obliku, u posebnom računaru, gde je zbirka osigurana sistemom lozinki za autorizaciju i identifikaciju koji omogućava utvrđivanje kada su pojedini podaci bili korišćeni ili uneti u zbirku i ko je to uradio, s tim da podatke mogu obrađivati samo ovlašćena lica.

Preporuka: Potencijalni bezbednosni nedostatak u sistemu je režim logovanja, odnosno nepostojanje drugostepene verifikacije ili elektronskog sertifikata kao mehanizma za utvrđivanje autentičnosti identiteta korisnika. Takođe, time što se razlog pristupa zaposlenog ne evidentira, nije moguće prepoznati i pratiti zloupotrebe koje mogu nastati unutar organizacije. Stoga preporučujemo strožiji mehanizam evidentiranja pristupa.

Pristup trećih lica

APR ima zaključene sporazume o pristupu podacima putem veb servisa ili redovnih, standardizovanih preuzimanja, sa većim brojem državnih organa i zainteresovanih pravnih lica. Način pristupa definiše se posebno za svaku od pojedinih organizacija, tako što se  naknada za pristup podacima ne naplaćuje državnim organima i organizacijama, kao ni organima pokrajina i lokalnih samouprava, a naplaćuje se ostalim korisnicima podataka, u skladu sa važećim propisima.

Na osnovu Sporazuma o saradnji koji APR ima zaključen sa Centralnim registrom obaveznog socijalnog osiguranja (CROSO), ustupanje podataka između njih vrši se elektronskim putem, preko zaštićene mreže UZZPRO-a. Centralni registar više puta dnevno preuzima podatke o obveznicima doprinosa – poslodavcima i isplatiocima prihoda. Takođe, APR obezbeđuje Centralnom registru punu raspoloživost organizaciono-tehnoloških usluga za korišćenje veb servisa 24 časa dnevno, gde Centralni registar ima obavezu da u okviru svog informacionog sistema obezbedi integraciju podataka preuzetih sa veb servisa APR-a. Podatke iz svojih baza međusobno će ustupati:

  • razmenom struktuiranih podataka raspoloživim veb servisima;
  • na osnovu obrazloženog zahteva u pisanoj formi, sa specifikacijom potrebnih podataka, u skladu sa Odlukom o vrsti, obimu i načinu isporuke podataka i dokumenata koji se ustupaju bez naknade državnim organima i organizacijama, organima autonomnih pokrajina i jedinicama lokalne samouprave.

Sva obaveštenja i zahtevi koji su od značaja za realizaciju ovog sporazuma razmenjuju se pisanim putem, uključujući i elektronsku poštu sa zvaničnih domena. APR i Centralni registar su u obavezi da pri ustupanju podataka poštuju operativne i bezbednosne procedure druge strane, kao i da obezbede najviši nivo unutrašnje funkcionalnosti i bezbednosti. To podrazumeva:

  • kontrolu prava pristupa podacima preuzetim od druge strane;
  • bezbedno čuvanje ustupljenih podataka;
  • organizaciju posla kojom se obezbeđuje redovno izvršavanje ovog sporazuma.

Veb servisi APR-a definisani su korišćenjem standarnih protokola, alata i metoda programiranja i korisničkih pristupa (interfejsa). Standardni formati isporučenih podataka su MDB format (MS Access file), XLS/XSLX format (MS Excel file) ili CSV, kao i DOC/DOCX format (MS Word file), dok se veb servis, ali i sve veći broj pojedinačnih preuzimanja, zasniva na standardu XML.

U tehničkom smislu, pristup se može ostvariti ili preko veb servisa, ili u drugačijem formatu, shodno sporazumu. Takođe, APR omogućava pristup testnim bazama podataka razvojnim timovima partnerskih kompanija isključivo putem izolovanih wlan-ova.

APR koristi usluge trećih lica u oblasti održavanja infrastrukture, gde su sva prava i obaveze propisane ugovorom. Predstavnici kompanije koja pruža usluge održavanja hardvera – IBM, pristupaju isključivo po potrebi i pozivu.

Podaci o licima su javni i dostupni na sajtu, na linku Pretrage podataka, u skladu sa zakonima koji uređuju oblast registracije i vođenja registara kao jedinstvenih elektronskih baza podataka.

Neovlašćen eksterni pristup bazi podataka do sada nije zabeležen, iako je bilo onemogućenih pokušaja uz pomoć mehanizma “zlonamernih automatizovanih pretraživača”. Internet stranicu APR-a dnevno posećuje više od 50.000 individualnih posetilaca, stoga ovo ne predstavlja neuobičajeni rizik. Ovaj sajt svrstava se u najposećenije sajtove među državnim organima zbog višemilionskog broja pregleda na mesečnom nivou.

Preporuka: APR prikuplja veliki broj podataka o ličnosti gde je određeni deo javno dostupan na sajtu dok se ostalo, kao što su fotokopije lične karte i pasoša, ne objavljuje na internetu. Iz tog razloga smatramo da se treba dosledno držati principa da jedino podaci koji su objavljeni na sajtu APR-a i dostupni svima mogu dostavljati prema sporazumu o ustupanju podataka. Naravno ovaj princip nikako nije primenljv na razmenu podataka te sporazume i protokole o ustupanju podataka sa institucijama kao što su na primer Poreska uprava ili CROSO za koje postoji zakonski osnov ali i zakonska obaveza za ustupanje i onih podataka koji nisu objavljeni na sajtu APR-a i dostupni svima.

Zaključak

APR je veoma specifična institucija, gde se na određeni deo podataka o ličnosti prema članu 5 Zakona o zaštiti podataka o ličnosti pojedine odredbe istog Zakona ne primenjuju, usled činjenice da se podaci objavljuju na zvačnom sajtu Agencije. S obzirom na to da su podaci javno dostupni, restriktivne mere zaštite nisu neophodne. Pored toga, integritet podataka je veoma važan, te se preporučuje upotreba mehanizama za zaštitu kao što su hešovanje i enkripcija.

S druge strane, način logovanja može se poboljšati upotrebom digitalnih sertifikata ili drugostepene verifikacije i detaljnijeg monitoringa aktivnosti korisnika u okviru sistema, čime se preventivno deluje na mogućnost zloupotrebe unutar organizacije.

MEDIJSKA POKRIVENOST

Uvodna napomena

Pregled novinskih izveštaja o pojedinačnim institucijama obuhvaćenih analizom, odnosi se na period od početka 2000-tih do 2015. godine, na osnovu pretraživih digitalnih arhiva celovitog teksta članaka štampanih dnevnih i nedeljnih izdanja, posebno iz perspektive zaštite ličnih podataka.

Domaća regulativa ove oblasti relativno je nova – zakon iz 1998. nudio je nedovoljna i prevaziđena rešenja, da bi nestankom saveznih instanci praktično postao nesprovodiv. Novijeg datuma je i pažnja globalne javnosti za aspekte privatnosti u digitalnom okruženju. Stoga je očekivano da interes štampe za zaštitu podataka o ličnosti u organima državne uprave, tokom proteklih petnaestak godina, bude oskudan i gotovo po pravilu vođen incidentima, odnosno događajima koji svedoče o kršenju prava građana što je, konačno, i suštinska uloga medija u savremenim demokratijama.

Sa druge strane, aktivno učešće institucija državne uprave u javnom dijalogu posvećenom zaštiti privatnosti i ličnih podataka koje prikupljaju i obrađuju, moglo bi se pokazati kao ključni doprinos daljem uređenju ove oblasti ali i sopstvenoj promociji kao vodećeg aktera u zaštiti interesa građana.

Agencija za privredne registre

Prema istraživanju objavljenom u godišnjem izveštaju APR o odnosima institucije sa javnošću, Agencija se tokom prethodne godine nalazila u vrhu državnih organa i institucija u koje privrednici imaju najviše poverenja, kao značajnog aktera u unapređenju poslovnog okruženja. U skladu s tim je i odgovarajći interes medija za izveštaje i zbirne podatke koje Agencija objavljuje.

S tim u vezi, prema svedočenju predstavnika APR, prošle godine su mediji pokazali poseban interes za početak vođenje „liste loših direktora“, odnosno usvajanje Zakona o centralnoj evidenciji privremenih ograničenja prava lica registrovanih u Agenciji, kao i za podatke iz Registra medija.

Oktobra prošle godine je po prvi put objavljena dvojezična, srpsko-engleska publikacija „Godišnji bilten finansijskih izveštaja”, kao i „Saopštenje o poslovanju privrede u Republici Srbiji u 2014. godini“, koje se redovno objavljuje na sajtu Agencije. Obezbeđeno je i finansijsko izveštavanje za javno objavljivanje, uz potpunu transparentnost izveštaja. Objavljeni zbirni podaci pokazuju finansijski položaj i uspešnost poslovanja privrednih društava, ustanova i preduzetnika, za poslednje dve godine. Analiza ukazuje na trendove, osnovne finansijske performanse domaće privrede, na ukupnom nivou, kao i koncentraciju tih performansi po sektorima i veličini, sa posebnim osvrtom na odabrane segmente privrede, što je od posebnog značaja za medije.

Istorijski pregled

Osnivanje Agencije 2004. godine bilo je jedan od suštinskih preduslova za reformu državne uprave u pravcu uklanjanja administrativnih prepreka za poslovanje i objedinjavanja rasutih registara.

Pažnja medija u tom periodu najčešće je vezana za zloupotrebe privrednih subjekata prilikom preregistracije firmi u registar novoosnovane Agencije, posebno onih koje su se nalazile u spornom vlasništvu, postupku stečaja ili privatizacije.

Zaštita ličnih podataka dugo se ne postavlja kao posebno pitanje, već se podaci koje prikuplja i obrađuje Agencija u medijima pojavljuju uglavnom u svetlu pojedinih sporova. S druge strane, iako pretraživa baza podataka tada ne postoji a većina registara još nije ustanovljena, javnost podataka figurira kao prva i najvažnija prepreka sivoj ekonomiji, korupciji i slično, odnosno kao ključni mehanizam sprovođenja zakona.

Vremenom sprovi oko postupka registracije jenjavaju dok mediji stiču naviku da prebrojavanjem novoosnovanih i ugašenih preduzeća skiciraju opštu poslovnu klimu u zemlji.

U godinama nakon uspostavljanja odgovarajućeg pravnog okvira i institucije Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti, polako raste svest o potrebi da se ovi podaci tretiraju s više pažnje. U retkim medijskim napisima na ove teme, Agencija se pokazuje kao tačka u kojoj se prelamaju suprotstavljeni interesi javnosti – s jedne strane, jasna je potreba da se u državi razorenoj korupcijom rasvetli vlasništvo i poslovanje tzv fantomskih firmi i kompanija povezanih lica, dok se sa druge strane zahteva veća zaštita ličnih podataka. Najčešće se u ovom kontekstu govori o jedinstvenom matičnom broju građana (JMBG) koji se objavljuje u javno dostupnim bazama APR, a koji u sebi nosi niz podataka o ličnosti.

Kancelarija Poverenika pokrenula je krajem 2014. godine nadzor nad sprovođenjem Zakona o zaštiti podataka u APR, nakon što su se u medijima pojavile vesti da službenici Agencije prikupljaju i obrađuju podatke o novinarima i drugim istraživačima koji pristupaju dokumentaciji o pojedinim kompanijama. Rodoljub Šabić je na konferenciji za štampu koja je odražana neposredno nakon nadzora kancelarije Poverenika izjavio: ’’Nije bilo nikakve povrede zakona i nikakve informacije nisu curile iz APR-a’’.

DOKUMENTACIJA KOJA JE DOBIJENA OD POVERENIKA

Postupci nadzora

U Upozorenju Poverenika nakon obavljenog nadzora, br. 164-00-00119/2012-07, od 31.07.2012., utvrđeno je da je APR izvršio prekomernu obradu podataka i to objavljivanjem broja lične karte i adrese stanovanja osnivača privrednog društva na internet stranici APR-a, koji su u datom slučaju nepotrebni i nesrazmerni u odnosu na svrhu obrade. Do ovoga je došlo objavljivanjem Osnivačkog akta koji je sadržao pomenute podatke. Dodatno, skrenuta je pažnja APR-u na Odluku Ustavnog suda Srbije (“Sl. glasnik RS”, br. 68/12) kojom je utvrđeno da se isključivo Zakonom o zaštiti podataka o ličnosti može propisivati koji se podaci obrađuju, bez mogućnosti rešavanja zaštite podataka aktom niže pravne snage, u ovom slučaju Pravilnika o sadržini registra privrednih subjekata.

Takođe, u Obaveštenju APR-a u vezi sa Upozorenjem Poverenika, br. BD 107931/2012, od 23.08.2012., APR je izneo da su u skladu sa Zakonom o privrednim društvima i Zakonom o postupku registracije u Agenciji za privredne registre objavili osnivački akt, te da su u istom navedeni podaci koji nisu potrebni (broj lične karte i adresa) i da će preduzeti određene mere kako bi poučili korisnike da osnivački akt, kao i drugi dokumenti koji su predmet registracije i objave, ne moraju sadržavati podatke koji nisu predmet registracije, a posebno adresu stanovanja i broj lične karte domaćih fizičkih lica. U vezi druge primedbe Poverenika, APR je izneo da su pitanja obrade podataka o ličnosti u Registru privrednih subjekata bila regulisana Pravilnikom o sadržini Registra privrednih subjekata, koji je donet i stupio na snagu pre Odluke Ustavnog suda, te da će u skladu sa Odlukom Ustavnog suda, inicirati izmene i dopune postojećih zakona kojima će obrada podataka o ličnosti biti usklađena sa ZZPL. Do danas navedene izmene i dopune nisu inicirane.

U Upozorenju Poverenika nakon obavljenog nadzora, br. 164-00-00300/2012-07, od 03.10.2012., utvrđeno je da je APR objavio na svojoj veb stranici JMBG fizičkih lica, što predstavlja nedozvoljenu obradu obzirom da se vrši bez pristanka lica za obradu i bez zakonskog ovlašćenja. Takođe je utvrđeno da se Pravilnik o sadržini registra privrednih subjekata i dalje primenjuje i njim je propisana odredba koja određuje lične podatke koji se upisuju u Registar i koji se mogu objavljivati, a to ovlašćenje nije sadržano u Zakonu u skladu sa članom 42 Ustava i izmenama ZZPL-a, koji se odnose na obradu bez pristanka.

U Upozorenju Poverenika nakon obavljenog nadzora, br. 164-00-00679/2014-07, od 04.12.2014., konstatovano je da je APR prilikom zahteva za uvid u spise i izdavanje kopija dokumenata koji su u njenom posedu obrađivao podatke o ličnosti podnosilaca zahteva bez jasno određene svrhe. Utvrđeno je da lice može da podnese zahtev za uvid u spise i izdavanje kopija dokumenata u obliku neformalnog podneska, kao i putem elektronske pošte obzirom na to da obrazac zahteva APR nije obavezujući. U okviru postupanja po zahtevu, APR ne vrši uvid u lični dokument sa fotografijom lica koje podnosi taj zahtev, što znači da ovo lice može da se posluži tuđim ili izmišljenim imenom i prezimenom. Takođe, budući da se uz zahtev prilaže i dokaz o uplati naknade za izdavanje izvoda i kopija, ime i prezime uplatioca na uplatnici može da bude tuđe ili izmišljeno. Konačno, APR ne vrši ukrštanje imena i prezimena podnosioca zahteva i uplatioca. S obzirom da se upisano ime i prezime podnosioca zahteva, kao i uplatioca, može biti izmišljeno ili tuđe, postavlja se pitanje da li je to lice, bez drugih podataka o ličnosti, određeno ili odredivo, čime je dalje nejasna svrha prikupljanja ovih podataka, kao i eventualnog vršenja drugih radnji obrade od strane APR.