Velika očekivanja sajber sveta

Serija blogova posvećenih politikama podataka u Srbiji osmišljena je kao putokaz široj publici, za bolje razumevanje konteksta osnovnih pitanja kojima se SHARE Fondacija bavila tokom istraživanja zaštite podataka o ličnosti u javnom sektoru proteklih godinu dana, kroz mapiranje infrastrukture obrade podataka u šest odabranih organa uprave.

Od toga kako u praksi izgleda primena pravnog okvira za zaštitu podataka, preko analize jednog od najprepoznatljivijih podataka o ličnosti kakav je jedinstveni matični broj građana te studije slučaja najmasovnije povrede zaštite, serijal se završava uvidom u strukturne mere postojećeg sistema. Logički nivo, konstatovano je, opterećen je nepotrebnim a visoko rizičnim replikovanjem baza podataka. Osnovni preduslov za neku buduću centralizaciju sistema, međutim, leži u njegovoj fizičkoj arhitekturi.

Ideal efikasne e-Uprave može se naslutiti u poslovanju dva relativno najmlađa organa javne uprave, Agencije za privredne registre (APR) i Centralnom registru obaveznog socijalnog osiguranja (CROSO), koji su jedinstvenom prijavom preduzeli prve korake ka integrisanom sistemu. Jedinstvena prijava se u Centralnom registru podnosi u elektronskom obliku preko portala, čime se omogućava pristup informacionom sistemu. Identitet korisnika se potvrđuje elektronskim sertifikatom koji mu izdaje ovlašćeno sertifikaciono telo.

U takvim sistemima, preduzete su sve razumne mere za zaštitu od neovlašćenog pristupa i izmena podataka, pri čemu korisnik nije primoran da svaki put ispočetka dostavlja već predate podatke. U skladu sa zakonskim ovlašćenjima, CROSO servisira potrebe niza organa uprave što ovaj sistem čini zametkom jednog budućeg, centralizovanog sistema. Lični broj osiguranika koji CROSO izdaje korisnicima već sada ima sve odlike daleko bezbednijeg naslednika starog JMBG.

Značajna karakteristika sistema u organizacijama osnivanim tokom poslednje decenije, koje činjenica da su stvorene u doba Web 2.0 čini tzv. digitalnim domorocima (digital natives), predstavlja znanje o bezbednosnim rizicima ugrađeno u strukturu od samih temelja. Osim kvalifikovanog potpisa kao uslova za pristup sistemu, to podrazumeva stalni nadzor saobraćaja kroz automatsko generisanje beleški, odnosno logova o ‘komunikaciji’ servera na kojima se nalaze baze podataka sa korisničkim kompjuterima.

To bi moglo omogućiti još jedan korak dalje ka transparentnosti državne uprave i interakciji administrativnih službi. Možda sada zvuči utopistički, ali pristup sopstvenim podacima u centralizovanom sistemu državne uprave, mogao bi jednog dana podrazumevati i pristup građana logovima generisanim tokom obrade njihovih podataka. Ukoliko postaje javno dostupno, ovo značajno forenzičko sredstvo prilikom utvrđivanja neovlašćenih pristupa i kršenja zakona o zaštiti podataka, moglo bi postati važan društveni mehanizam osnaživanja građana u zahtevima za zaštitu njihovih prava.

Na kraju, u eri Velikih podataka nužno je naći odgovarajuću ravnotežu između bezbednosnih mera i otvorene komunikacije unutar sistema. Algoritamska uprava generiše terabajte podataka koji mogu odigrati neprocenjivu ulogu u društvu a njihova vrednost ogleda se upravo u činjenici da postaju javno dobro. Zaštita privatnosti i podataka o ličnosti, s druge strane, ostaju suštinsko pitanje ljudskih prava.

Zato se kao ključna tema s kojom se suočava društvo u razvoju, postavlja opredeljenje javnih politika. Hoće li se ulagati u strateške programe školovanja budućih programera, inženjera i dizajnera informacionih mreža i sistema, ili će se potrebe države rešavati prema nalogu trenutnih kriza. Da li će se strukturne mreže graditi nasumice, organski, ili je državi potreban racionalan plan razvoja.

Konačno, modernost državne uprave više se ne ogleda samo u njenim tehničkim kapacitetima, već i u izvršavanju obaveza koje ima prema građanima, a koje su značajno evoluirale u digitalnom dobu. Novo vreme donelo je inoviran nalog zaštite ljudskih prava, posebno onih koja se tiču digitalne privatnosti, javnosti rada i dostupnosti informacija koje se tim radom generišu.

usaid

Izrada ovog teksta omogućena je uz podršku američkog naroda putem Američke agencije za međunarodni razvoj (USAID). Za sadržaj ovog teksta odgovorna je SHARE Fondacija i on ne mora nužno odražavati stavove USAID-a ili Vlade Sjedinjenih Američkih Država.

Umnožavanje podataka u javnom sektoru

Bilo da je mala i efikasna ili da je ugrađena u temelje društva, birokratija je nužna. Upravljanje državom podrazumeva odnose građana i institucija u koje je moguće stupiti samo preko šaltera, svojevrsnog portala sa kog sistem prebrojava, analizira, podstiče i kažnjava, a nadasve opslužuje sve građane zajednice čiji je servis.

Opsesivno usmerenim na efikasnost i smanjenje troškova u javnom sektoru, savremenim državama su tehnologije omogućile da eliminišu ne samo šalter i redove, već i hrpu papira koja ih prati, fioke, pečate i zidove. Ovaj nestanak zidova podrazumeva preseljenje kancelarija i čitavih institucija u sajber okruženje, ali pre svega rušenje prepreka između različitih službi.

Koncept se naziva elektronska, ili eUprava a svrha mu je da državu prevede iz kafkijanske noćne more u bajku o savršeno sistematizovanoj hijerarhiji, u kojoj građani i službenici u međusobnoj razmeni ostvaruju maksimum rezultata, uz minimum traćenja vremena.

Glomazna administracija zaglavljena u procesu prelaska iz jednog u drugi modus vivendi ponekad izgleda kao kombinacija najgorih odlika dva sveta. Otežana komunikacija različitih službi upotpunjena je novim izazovima digitalnog okruženja.

Organi javne uprave osnovani nakon što je splasnuo početni entuzijazam koji je pratio tehnološke inovacije, građeni su s obzirom na ozbiljne bezbednosne rizike i opremljeni alatima za eru Velikih podataka. Tradicionalne institucije, međutim, čiji je “izlazak na internet” podrazumevao puku digitalizaciju postojećih arhiva i izradu odgovarajuće veb prezentacije, sačuvale su i zidove i šaltere. Ovaj raskorak, između ostalog, jedan je od glavnih uzroka administrativnog problema koji se ogleda u umnožavanju podataka koje ustanove obrađuju.

Iako bi po savremenom scenariju efikasne državne uprave, građani svoje poslove trebalo da obave sa par elektronskih zahteva ka centralizovanom sistemu koji, zatim, opslužuje različite službe, u skladu sa njihovim potrebama i ovlašćenjima – administracija u Srbiji prisiljena je da stvara niz praktično kloniranih sistema, što podrazumeva dodatne troškove i nepotrebnu replikaciju posla. S druge strane, građani su gotovo sa svakim novim zahtevom obavezni da ispočetka popunjavaju formulare, dostavljajući iste podatke o sebi na različite šaltere, čak i kada je reč o službama u okviru iste ustanove.

Ovakvo umnožavanje podataka o ličnosti otvara niz rizika po bezbednost samih podataka građana, ali i po efikasnost posla organa javne uprave.

Kada su podaci o ličnosti pohranjeni na desetinama servera u različitim organizacijama koje, u skladu sa svojim budžetima i nivoom razvoja, imaju različite bezbednosne standarde i protokole, pitanje kompromitovanja baze postaje rizik za čitav sistem državne uprave. Slučaj Agencije za privatizaciju uverljivo je demonstrirao kako bezbednosni propust jednog organa utiče na poslovanje svih institucija, obezvređujući čak i najskuplje sigurnosne mere koje su mogle preduzeti.

Konačno, neprestano umnožavanje podataka dovodi u pitanje kvalitet informacija i obavezuje različite organe da neprestano porede i proveravaju baze podataka kojima raspolažu, kako bi utvrdili koji su podaci ažurni.

Obimno istraživanje koje je SHARE Fondacija sprovela tokom proteklih godinu dana u šest odabranih organa javne uprave, pokazalo je da fragmentiranost sistema praktično onemogućava doslednu primenu zakonom propisanih mera za zaštitu podataka o ličnosti. Bez promena u samoj arhitekturi sistema, san o efikasnoj administraciji ostaće izvan domašaja.

usaid

Izrada ovog teksta omogućena je uz podršku američkog naroda putem Američke agencije za međunarodni razvoj (USAID). Za sadržaj ovog teksta odgovorna je SHARE Fondacija i on ne mora nužno odražavati stavove USAID-a ili Vlade Sjedinjenih Američkih Država.

Agencija za privatizaciju – jedinstven slučaj

Značaj Agencije za privatizaciju, ugašene nakon 14 godina rada na “promovisanju, iniciranju, sprovođenju i kontroli postupka privatizacije”, najvažnijeg mehanizma tranzicije, procenjivaće se, verovatno, tek u godinama koje slede. Zahvaljujući samo jednom slučaju, međutim, Agencija će ući u istoriju i u onim krugovima koji se ne bave privrednim modelima državne administracije.

Novembra 2014. društvenim mrežama je počeo da kruži link na fajl težak više od 19 gigabajta, sačinjen od preko 4000 finansijskih dokumenata i beskrajnih spiskova ljudi, s njihovim ličnim podacima. Tekstualni deo fajla težio je nešto preko jednog gigabajta, što znači da je spisak bio poprilično dugačak. Sadržao je podatke o ravno 5.190.396 građana Srbije.

U postupku nadzora, služba Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti utvrdila je da se sporni dokument nalazio na javno dostupnoj stranici sajta Agencije, od neutvrđenog dana februara 2014, dakle nešto više od deset meseci, sve dok nisu počeli da ga po svetu razvlače već i dokoni forumaši.

Bio je to najmasovniji prodor u privatnost građana Srbije još od začetka ovog prava, ugrađenog u prvi ustav nezavisne države 1888. godine.

Jedno od osnovnih načela ljudskih prava i sloboda, u međuvremenu je evoluiralo u složenu granu ustavnog prava, pa je samo zaštiti podataka o ličnosti posvećen čitav član važećeg Ustava Srbije. Ukratko, članom 42 Ustav jemči zaštitu ličnih podataka i izričito zabranjuje upotrebu “podataka o ličnosti izvan svrhe za koju su prikupljeni”, garantujući građanima pravo na sudsku zaštitu zbog njihove zloupotrebe.

U skladu sa Ustavom, prikupljanje, držanje, obrada i korišćenje podataka o ličnosti uređeni su odgovarajućim zakonom koji je na snazi od 2009. godine. Kazne predviđene za kršenje zakonskih odredbi kreću se od 5.000 do milion dinara. Ukoliko se ova dela, naravno, utvrde sudskom presudom.

Dakle, kako je Agencija za privatizaciju uopšte prikupila lične podatke gotovo svih punoletnih građana Srbije? S obzirom na njene nadležnosti, teško da bi mogla biti ovlašćena za prikupljanje takve količine makar i ličnih imena, a kamoli jedinstvenih matičnih brojeva i drugih podataka. Međutim, Agencija je posebnim zakonom 2007. dobila zaduženje da prima prijave građana za besplatne akcije, u postupku privatizacije velikih javnih preduzeća kakva su NIS i EPS. Uredbom o postupku i načinu evidencije građana koji imaju pravo na besplatne akcije 2008. je regulisana i procedura prikupljanja podataka.

Evidencija nosilaca prava na besplatne akcije i novčanu naknadu, kako glasi pun naziv ove zbrike podataka, uspostavljena je radi kontrole “provere ispunjenosti zakonom propisanih uslova koje moraju ispuniti građani i zaposleni i bivši zaposleni privrednih društava predviđenih zakonom, a da bi stekli pravo na besplatne akcije i novčanu naknadu”. Od ličnih podataka građana koji su se prijavili za besplatne akcije evidencija je obuhvatala, redom: ime, ime roditelja, prezime, datum rođenja, JMBG, prebivalište i adresu stana, šifru opštine, broj dinarskog računa i kontakt telefon, kao i podatke o radnom stažu ostvarenom u privrednim društvima.

Prema opisu iz Centralnog registra koji vodi Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti, ove podatke je Agencija prikupljala na osnovu dobrovoljnog upisa građana prilikom popunjavanja prijave, a preko mreže pošta, Nacionalne službe za zapošljavanje i diplomatsko-konzularnih predstavništava. U Poverenikovom registru može se naći i napomena da je predviđeno da se ovi podaci čuvaju trajno do okončanja postupka privatizacije, “jer služe kao osnov za kontrolu ostvarenih prava na besplatne akcije u daljem postupku privatizacije, iz razloga što lica koja su upisana u evidenciju nosilaca prava na novčanu naknadu i besplatne akcije kao građani, nemaju pravo na sticanje akcija bez naknade u postupcima privatizacije shodno odredbama Zakona o privatizaciji”.

Podatke iz ove evidencije trebalo je da koriste sama Agencija za privatizaciju kao i Centralni registar hartija od vrednosti i privredna društva ovlašćena zakonom, a nisu bili predviđeni za iznošenje iz zemlje.

U opisu preduzetih mera zaštite podataka, stoji sledeće: “Elektronska zbirka podataka se nalazi u posebnom računaru u okviru Agencije za privatizaciju. Zbirka je osigurana sistemom lozinki za autorizaciju i identifikaciju korisnika podataka, a pristup imaju samo ovlašćena lica.”

Ova zbirka je, prema podacima iz Centralnog registra Poverenika, uspostavljena 1. avgusta 2008. međutim odgovarajući obrazac za upis u registar podnet je tek 22. decembra 2014. godine, čitavih 76 meseci i 7 dana nakon roka koji je propisan Zakonom o zaštiti podataka o ličnosti (član 51).

Zakonska obaveza upisa u Centralni registar izvršena je, naime, nakon pokretanja procedure za utvrđivanje odgovornosti u slučaju teškog kršenja privatnosti.

Nije to bilo prvi put da Agencija za privatizaciju javno objavljuje podatke o ličnosti građana, ali za razliku od slučaja iz 2008, koji je obuhvatao “samo” nekoliko desetina hiljada ljudi, ovog puta je zaštita podataka bila i formalno uređena zakonom.

Prema zakonskim ovlašćenjima, pošto je od SHARE Fondacije primio prijavu i detaljan opis kršenja privatnosti, Poverenik je po službenoj dužnosti preduzeo postupak nadzora u Agenciji za privatizaciju. Tadašnja vd. direktorka Agencije obavestila je Poverenika da je dokument, koji se protivno zakonu našao u javno dostupnom delu sajta, predstavljao pomoćni fajl pod nazivom “dump_web_prijave_10062013”, za sukcesivno prebacivanje podataka iz unutrašnje baze za učitavanje u MySQL bazu, s obzirom da je bio namenjen za pretragu na vebsajtu Agencije. U ovom dopisu, vd. direktorka je napomenula da se do interne adrese fajla moglo doći samo neovlašćenim pristupom veb serveru Agencije, te da će kod nadležnih organa biti preduzeti odgovarajući postupci.

I zaista, Agencija je 16. decembra 2014. podnela krivičnu prijavu nadležnom tužilaštvu, protiv NN lica, zbog neovlašćenog prikupljanja ličnih podataka (KZ, član 146) i neovlašćenog pristupa zaštićenom računaru (KZ, član 302).

Po okončanom nadzoru, već sledećeg dana, služba Poverenika dostavila je zapisnik upravi Agencije za privatizaciju. Prema analizi spornih izmena konfiguracije veb servera, utvrđeno je da je integralni dokument bio javno dostupan od februara 2014. i da je preuzet “više puta”. Sadržaj fajla trebalo je da bude javan samo kroz rezultate pretrage na sajtu Agencije, pri čemu je pristup trebalo da bude ograničen na rezultate pojedinačne pretrage, uz unošenje ličnih podataka i slučajno generisanog koda, tako da bi građani mogli da provere status svog zahteva za besplatne akcije. Konstatovano je i da će evidencija koju vodi Agencija za privatizaciju, o građanima koji su ostvarili pravo na besplatne akcije, biti javna. Međutim, u spornom dokumentu objavljeni su i podaci građana koji nisu ostvarili ovo pravo, odnosno svih koji su podneli prijavu.

Više javno tužilaštvo u Beogradu u međuvremenu se obratilo službi Poverenika i samoj Agenciji za privatizaciju, zahtevima za pružanje potrebnih obaveštenja u predistražnom postupku protiv NN lica, u skladu sa prijavom Agencije.

Početkom januara 2015. godine služba Poverenika uputila je upozorenje Agenciji za privatizaciju u kom se navodi da Agencija nije preduzela odgovarajuće tehničke, kadrovske i organizacione mere zaštite podataka o ličnosti, što je dovelo do teške povrede prava na zaštitu podataka o ličnosti građana Srbije. U upozorenju se konstatuje i da je ovim, kvantitativno najvećim probojem u privatnost građana Srbije, “apsolutno relativizovan značaj JMBG kao individualne i neponovljive oznake identifikacionih podataka o građanima”.

Krajem istog meseca, Poverenik je nadležnom sudu za prekršaje podneo zahtev za pokretanje postupka protiv Agencije za privatizaciju, kao pravnog lica, i dve direktorke koje su konsekutivno vršile dužnost direktora Agencije tokom 2014, kao odgovornih lica. U zahtevu se ukazuje na otežavajuću okolnost da ovaj prekršaj, usled nepreduzimanja mera zaštite, predstavlja “jedinstven slučaj kompromitovanja podataka o ličnosti skoro svih građana jedne države”.

Jedinstven je, međutim, i po nekim karakteristikama koje se tiču pravosudnog epiloga.

Sredinom aprila, Poverenik se ponovo obratio prekršajnom sudu, s obzirom da u međuvremenu nije obavešten o ishodu postupka po zahtevu. Ispostavilo se da je postupak pokrenut odmah nakon Poverenikove prijave, te da je održano i ročište kojem, iz opravdanih razloga, nisu prisustvovala odgovorna lica. Sledeće ročište bilo je zakazano za 5. maj 2015.

O slučaju više nema pisanih tragova. Na osnovu postojećih, građani se bar mogu upoznati sa nadležnostima Poverenika i procedurama koje su im na raspolaganju u slučaju kršenja Zakona o zaštiti podataka o ličnosti.

Glavni akter ove afere više ne postoji i teško da će priča ikada dobiti zakonom predviđeni kraj.  Odgovornost nije locirana, nadležni pravosudni organi nisu preduzeli sve mere na koje su obavezani zakonima a za posledice, čije su razmere nesagledive, nažalost ni šira javnost nije pokazala interes. U kratkoj ali već kontroverznoj istoriji zaštite podataka o ličnosti u Srbiji, slučaj Agencije za privatizaciju mogao bi poslužiti kao konačan argument u zagovaranju napuštanja JMBG, kao podatka o ličnosti čija je zaštita potpuno obesmišljena.

Izrada ovog teksta omogućena je uz podršku američkog naroda putem Američke agencije za međunarodni razvoj (USAID). Za sadržaj ovog teksta odgovorna je SHARE Fondacija i on ne mora nužno odražavati stavove USAID-a ili Vlade Sjedinjenih Američkih Država.

Kalendar društva između Dana bezbednosti i Dana privatnosti

Jubilarni deseti Evropski Dan zaštite podataka o ličnosti koji se obeležava 28. januara, Srbija je dočekala u krugu zemalja u kojima vladaju sasvim pristojni uslovi za ovu oblast osnovnih ljudskih prava. Sa ustavnom tradicijom zaštite privatnostidužom od jednog veka koja se do važećeg Ustava razvila u prilično visoke standarde, Srbija je i potpisnica ključnih međunarodnih konvencija. Odgovarajući nacionalni zakon na snazi je od 1. januara 2009. godine, dok državna i nezavisna tela, kao i nevladine organizacije, zajedno ili pojedinačno, već neko vreme rade na njegovim izmenama ili izradi potpuno novog zakona – što bi u teoriji trebalo da sugeriše dinamičan i otvoren duh regulative, osetljiv za brze izmene okruženja u kojem se lični podaci građana generišu, razmenjuju i čuvaju.

Članice Saveta Evrope, uz sve brojnije zemlje sveta koje su prihvatile “Dan privatnosti” kao značajan datum u svom javnom životu, uobičajeno ga obeležavaju prigodnim aktivnostima posvećenim informisanju svojih građana o značaju zaštite privatnosti i sve složenijim načinima njenog narušavanja. Konačno, društveni ulog je zaista veliki: manipuliše se decom, gigantske korporacije profitiraju na ličnim podacima, hakeri ih kradu za digitalne pljačke, tajne službe ih zloupotrebljavaju u ime fantazma o bezbednosti.

U Srbiji, međutim, 28. januar protekao je u senci pisma koje je nedelju dana ranije Poverenik za zaštitu podataka o ličnosti Rodoljub Šabić uputio republičkoj javnoj tužiteljki, upozoravajući na praksu pojedinih tužilaštava da bez odluke suda a uz pretnju kaznom, od telefonskih i internet kompanija zahtevaju uvid u zadržane podatke o komunikaciji građana.

Tužilaštva se pritom pozivaju na odredbe Zakonika o krivičnom postupku kojim se, za potrebe istrage, u nadležnost javnih tužilaca stavlja prikupljanje podataka i traženje obaveštenja i pomoći od pravnih lica, predviđajući novčane kazne za odbijanje ovih zahteva.

Ne bi proslava Dana privatnosti propala zbog ovog slučaja, makar i stoga što nije na odmet informisati građane Srbije o tome da institucije, čija je suštinska uloga da štite pravni poredak, godinama rutinski krše Ustav i zakonom regulisana prava. Nažalost, naša javna komunikacija ograničena je nedostatkom tačnih i pravovremenih informacija, i suženom pažnjom medija za pitanja od značaja za društvo. Još je u prvom opsežnom nadzoru nad radom telefonskih operatora koji je kancelarija Poverenika sprovela pre četiri godine, otkriveno da lakonsko naručivanje ličnih podataka građana nije samo ustaljena praksa javnih tužilaštava, već i niza drugih javnih pa i privatnih aktera. S namerom ili ne, svi oni koriste nejasne i protivrečne odredbe, čime doprinose pravnoj nesigurnosti i narušavanju ustavnog poretka. Odsustvo interesa za ove teme u medijima i široj javnosti, pogodovalo je činjenici da ovaj problem do danas nije otvoren na zakonodavnoj instanci, u parlamentu. Zakonodavac povremeno ostavlja preširoke margine za proizvoljna tumačenja, dok se usklađivanje nacionalnih zakona sa evropskim pravom odvija po hitnom postupku, s jedva nešto vremena za odgovarajući prevod stručnih termina.

Kako su pokazali zahtevi za ocenu ustavnosti odredbi Zakona o zaštiti podaka o ličnosti, ili Zakona o Vojnobezbednosnoj agenciji i Vojnoobaveštajnoj agenciji, pravni okvir, doduše ne uvek blagovremeno, uskladiće Ustavni sud čuvajući smisao ustavne garancije nepovredivosti tajnosti sredstava komunikacije odnosno podataka o ličnosti.

Ali, šta zaštita ličnih podataka uopšte znači u zemlji u kojoj jedna državna agencija danima na svom sajtu drži lične podatke gotovo celokupnog stanovništva, a da incident u javnosti ne ostavi trag dublji od ponekog senzacionalističkog naslova, dok se više od godinu dana kasnije i dalje ne zna da li je reč o slučajnosti, sistemskom propustu ili zloj nameri?

Nije li upravo inspekcijski nadzor Poverenika u telefonskim, a kasnije i internet provajderima, otkrio da nezakoniti pristupi podacima građana, koje preduzimaju razne bezbednosne službe, nisu izolovani incidenti usled vanrednih okolnosti – već sistemska, svakodnevna praksa kojom se godišnje nagomila bar milion slučajeva.

Javna rasprava o predloženom nacrtu novog zakona o zaštiti ličnih podataka prošle jeseni, otkrila je ozbiljno nerazumevanje koncepta privatnosti i smisla njene zaštite. Izostao je akcioni plan za sprovođenje Strategije za zaštitu podataka o ličnosti, pa je ovaj dokument prepušten zaboravu. Podacima građana rukuje se na oko 300.000 javnih i privatnih adresa, od čega zanemarljiv broj ispunjava zakonsku obavezu prijave u Centralni registar Poverenika.

Na sajtovima državnih institucija u čijoj je nadležnosti prikupljanje i obrada podataka o svim građanima po različitim osnovama (penzijsko i zdravstveno osiguranje, na primer), postepeno počinje primena elektronskih usluga, a da pritom često ne postoje jasne procedure za zaštitu i bezbednost podataka na portalima, dok se politici privatnosti i informisanju korisnika o pravima retko pridaje veći značaj.

Otkud tolika nesrazmera između proklamovanih načela i svakodnevice?

Da li iz formalno-pravnih nejasnoća izvire zbunjenost javnosti u pogledu sopstvenih prava i dužnosti države da joj pruži zaštitu, ili je ipak obrnuto, tek ovdašnje prilike ukazuju da konfuzija ometa vitalne interese društva. Čest sukob dve značajne potrebe zemlje u tranziciji, nalog transparentnosti odnosno javnosti rada organa uprave s jedne i pravo na privatnost života i poslova građana s druge strane, ukazuje na nedostatak promišljene, konsekventne “politike podataka”. Istorija uspostavljanja savremenog sistema zaštite privatnosti u Srbiji svedoči o stalnoj koliziji ova dva interesa, neretko na štetu željenih normi uređenog društva.

Državna administracija ubrzano umnožava registre podataka građana, prepuštajući zaposlenima na njihovom održavanju da se sami snalaze sa neujednačenim tehničkim resursima i nejasnim instrukcijama o obavezama i zakonskim ograničenjima.

Entuzijazam koji je pratio iznenadne tehničke inovacije u ustanovama koje prikupljaju i obrađuju podatke o građanima, povremeno će zaustaviti stručna procena o nedovoljnom ili pak preteranom uvidu javnosti. Vremenom, institucije su razvile zakonom propisanu naviku da se unapred obraćaju za mišljenje Povereniku, čija je kancelarija znatno proširila kapacitete u odnosu na prvobitnih šest saradnika. Od 2009. godine, kada se povereništvu za pristup informacijama od javnog značaja priključuju poslovi vezani za zaštitu podataka o ličnosti, broj predmeta sa manje od stotinu skočio je na čak 2.500 u protekloj godini, što ipak ukazuje na bolju obaveštenost građana o sopstvenim pravima i volji da se za njihovu zaštitu obrate odgovarajućoj službi.

Ipak, Poverenik će prigodom Dana privatnosti ukazati na “podanički” mentalitet i strah građana da postave pitanje “zašto mi tražite ličnu kartu”. Razumljiva je frustracija prizorom pasivne javnosti, čiji je prostor premrežen kamerama za nadzor bez odgovarajuće pravne regulative; čiji se podaci neovlašćeno prikupljaju i preprodaju u komercijalne svrhe, dok su njihovi osetljivi podaci – o porodičnim prilikama, bolestima, tragičnim događajima, intimnim opredeljenjima – po nahođenju na raspolaganju poslodavcima ili tabloidima, svejedno. Posledice po dostojanstven život su iste. Strah, međutim, nije neosnovan.

POLITIKE PODATAKA U SRBIJI: KALENDAR DRUŠTVA IZMEĐU DANA BEZBEDNOSTI I DANA PRIVATNOSTI

Jubilarni deseti Evropski Dan zaštite podataka o ličnosti koji se obeležava 28. januara, Srbija je dočekala u krugu zemalja u kojima vladaju sasvim pristojni uslovi za ovu oblast osnovnih ljudskih prava. Sa ustavnom tradicijom zaštite privatnostidužom od jednog veka koja se do važećeg Ustava razvila u prilično visoke standarde, Srbija je i potpisnica ključnih međunarodnih konvencija. Odgovarajući nacionalni zakon na snazi je od 1. januara 2009. godine, dok državna i nezavisna tela, kao i nevladine organizacije, zajedno ili pojedinačno, već neko vreme rade na njegovim izmenama ili izradi potpuno novog zakona – što bi u teoriji trebalo da sugeriše dinamičan i otvoren duh regulative, osetljiv za brze izmene okruženja u kojem se lični podaci građana generišu, razmenjuju i čuvaju.

Članice Saveta Evrope, uz sve brojnije zemlje sveta koje su prihvatile “Dan privatnosti” kao značajan datum u svom javnom životu, uobičajeno ga obeležavaju prigodnim aktivnostima posvećenim informisanju svojih građana o značaju zaštite privatnosti i sve složenijim načinima njenog narušavanja. Konačno, društveni ulog je zaista veliki: manipuliše se decom, gigantske korporacije profitiraju na ličnim podacima, hakeri ih kradu za digitalne pljačke, tajne službe ih zloupotrebljavaju u ime fantazma o bezbednosti.

U Srbiji, međutim, 28. januar protekao je u senci pisma koje je nedelju dana ranije Poverenik za zaštitu podataka o ličnosti Rodoljub Šabić uputio republičkoj javnoj tužiteljki, upozoravajući na praksu pojedinih tužilaštava da bez odluke suda a uz pretnju kaznom, od telefonskih i internet kompanija zahtevaju uvid u zadržane podatke o komunikaciji građana.

Tužilaštva se pritom pozivaju na odredbe Zakonika o krivičnom postupku kojim se, za potrebe istrage, u nadležnost javnih tužilaca stavlja prikupljanje podataka i traženje obaveštenja i pomoći od pravnih lica, predviđajući novčane kazne za odbijanje ovih zahteva.

Ne bi proslava Dana privatnosti propala zbog ovog slučaja, makar i stoga što nije na odmet informisati građane Srbije o tome da institucije, čija je suštinska uloga da štite pravni poredak, godinama rutinski krše Ustav i zakonom regulisana prava. Nažalost, naša javna komunikacija ograničena je nedostatkom tačnih i pravovremenih informacija, i suženom pažnjom medija za pitanja od značaja za društvo. Još je u prvom opsežnom nadzoru nad radom telefonskih operatora koji je kancelarija Poverenika sprovela pre četiri godine, otkriveno da lakonsko naručivanje ličnih podataka građana nije samo ustaljena praksa javnih tužilaštava, već i niza drugih javnih pa i privatnih aktera. S namerom ili ne, svi oni koriste nejasne i protivrečne odredbe, čime doprinose pravnoj nesigurnosti i narušavanju ustavnog poretka. Odsustvo interesa za ove teme u medijima i široj javnosti, pogodovalo je činjenici da ovaj problem do danas nije otvoren na zakonodavnoj instanci, u parlamentu. Zakonodavac povremeno ostavlja preširoke margine za proizvoljna tumačenja, dok se usklađivanje nacionalnih zakona sa evropskim pravom odvija po hitnom postupku, s jedva nešto vremena za odgovarajući prevod stručnih termina.

Kako su pokazali zahtevi za ocenu ustavnosti odredbi Zakona o zaštiti podaka o ličnosti, ili Zakona o Vojnobezbednosnoj agenciji i Vojnoobaveštajnoj agenciji, pravni okvir, doduše ne uvek blagovremeno, uskladiće Ustavni sud čuvajući smisao ustavne garancije nepovredivosti tajnosti sredstava komunikacije odnosno podataka o ličnosti.

Ali, šta zaštita ličnih podataka uopšte znači u zemlji u kojoj jedna državna agencija danima na svom sajtu drži lične podatke gotovo celokupnog stanovništva, a da incident u javnosti ne ostavi trag dublji od ponekog senzacionalističkog naslova, dok se više od godinu dana kasnije i dalje ne zna da li je reč o slučajnosti, sistemskom propustu ili zloj nameri?

Nije li upravo inspekcijski nadzor Poverenika u telefonskim, a kasnije i internet provajderima, otkrio da nezakoniti pristupi podacima građana, koje preduzimaju razne bezbednosne službe, nisu izolovani incidenti usled vanrednih okolnosti – već sistemska, svakodnevna praksa kojom se godišnje nagomila bar milion slučajeva.

Javna rasprava o predloženom nacrtu novog zakona o zaštiti ličnih podataka prošle jeseni, otkrila je ozbiljno nerazumevanje koncepta privatnosti i smisla njene zaštite. Izostao je akcioni plan za sprovođenje Strategije za zaštitu podataka o ličnosti, pa je ovaj dokument prepušten zaboravu. Podacima građana rukuje se na oko 300.000 javnih i privatnih adresa, od čega zanemarljiv broj ispunjava zakonsku obavezu prijave u Centralni registar Poverenika.

Na sajtovima državnih institucija u čijoj je nadležnosti prikupljanje i obrada podataka o svim građanima po različitim osnovama (penzijsko i zdravstveno osiguranje, na primer), postepeno počinje primena elektronskih usluga, a da pritom često ne postoje jasne procedure za zaštitu i bezbednost podataka na portalima, dok se politici privatnosti i informisanju korisnika o pravima retko pridaje veći značaj.

Otkud tolika nesrazmera između proklamovanih načela i svakodnevice?

Da li iz formalno-pravnih nejasnoća izvire zbunjenost javnosti u pogledu sopstvenih prava i dužnosti države da joj pruži zaštitu, ili je ipak obrnuto, tek ovdašnje prilike ukazuju da konfuzija ometa vitalne interese društva. Čest sukob dve značajne potrebe zemlje u tranziciji, nalog transparentnosti odnosno javnosti rada organa uprave s jedne i pravo na privatnost života i poslova građana s druge strane, ukazuje na nedostatak promišljene, konsekventne “politike podataka”. Istorija uspostavljanja savremenog sistema zaštite privatnosti u Srbiji svedoči o stalnoj koliziji ova dva interesa, neretko na štetu željenih normi uređenog društva.

Državna administracija ubrzano umnožava registre podataka građana, prepuštajući zaposlenima na njihovom održavanju da se sami snalaze sa neujednačenim tehničkim resursima i nejasnim instrukcijama o obavezama i zakonskim ograničenjima.

Entuzijazam koji je pratio iznenadne tehničke inovacije u ustanovama koje prikupljaju i obrađuju podatke o građanima, povremeno će zaustaviti stručna procena o nedovoljnom ili pak preteranom uvidu javnosti. Vremenom, institucije su razvile zakonom propisanu naviku da se unapred obraćaju za mišljenje Povereniku, čija je kancelarija znatno proširila kapacitete u odnosu na prvobitnih šest saradnika. Od 2009. godine, kada se povereništvu za pristup informacijama od javnog značaja priključuju poslovi vezani za zaštitu podataka o ličnosti, broj predmeta sa manje od stotinu skočio je na čak 2.500 u protekloj godini, što ipak ukazuje na bolju obaveštenost građana o sopstvenim pravima i volji da se za njihovu zaštitu obrate odgovarajućoj službi.

Ipak, Poverenik će prigodom Dana privatnosti ukazati na “podanički” mentalitet i strah građana da postave pitanje “zašto mi tražite ličnu kartu”. Razumljiva je frustracija prizorom pasivne javnosti, čiji je prostor premrežen kamerama za nadzor bez odgovarajuće pravne regulative; čiji se podaci neovlašćeno prikupljaju i preprodaju u komercijalne svrhe, dok su njihovi osetljivi podaci – o porodičnim prilikama, bolestima, tragičnim događajima, intimnim opredeljenjima – po nahođenju na raspolaganju poslodavcima ili tabloidima, svejedno. Posledice po dostojanstven život su iste. Strah, međutim, nije neosnovan.

 

 

Izrada ovog teksta omogućena je uz podršku američkog naroda putem Američke agencije za međunarodni razvoj (USAID). Za sadržaj ovog teksta odgovorni su autori i on ne mora nužno odražavati stavove USAID-a ili Vlade Sjedinjenih Američkih Država.