OPŠTI PODACI
Podaci o osnovnoj delatnosti, sedištu, pravnim aktima, veb sajtu i slično
Osnovna delatnost Poreske uprave (PU), organa uprave u sastavu Ministarstva finansija, između ostalog jeste registracija poreskih obveznika. Za ove svrhe, PU vodi jedinstven registar poreskih obveznika. Pored ovog, PU vodi i registre u oblasti menjačkog poslovanja i registre u oblasti igara na sreću.
PU takođe vrši poresku kontrolu i utvrđivanje poreza u skladu sa zakonom, vrši redovnu i prinudnu naplatu poreza i sporednih poreskih davanja, otkriva poreska krivična dela i njihove izvršioce. U ovoj oblasti, PU pokreće i vodi prvostepeni poreski prekršajni postupak i izriče kazne za poreske prekršaje, odlučuje o žalbama izjavljenim protiv rešenja donetih u poreskom postupku od strane organizacionih jedinica Poreske uprave.
Organizaciono, PU je podeljena u dva osnovna segmenta, Centar za velike poreske obveznike (CVPO) i Centralu, u čijoj su nadležnosti filijale i ekspoziture u zemlji. U okviru Centrale PU deluje deset sektora.
Veb portal Poreske uprave je ažuran u svim najvažnijim oblastima delatnosti. Na sajtu nema posebnog segmenta posvećenog politikama privatnosti, odnosno zaštiti podataka o ličnosti.
U okviru odeljka “O nama”, stranica za pravilnike, objavljen je “Pravilnik o pravilima ponašanja poreskih službenika i nameštenika u Ministarstvu finansija – Poreskoj upravi”, gde se u članu 9 navodi da je zaposleni u PU dužan “da se prema poreskom obvezniku ophodi sa poštovanjem i uvažavanjem, poštujući njegovu privatnost”.
Integrisan deo sajta čini portal eporezi.poreskauprava.gov.rs, kao objedinjen skup elektronskih usluga PU, namenjen svim poreskim obveznicima. Na ovaj način je moguća onlajn dostava elektronski potpisanih obrazaca poreskih prijava, praćenje statusa poslatih obrazaca i uvid u poresku karticu poreskog obveznika. U opisu usluga, na sajtu se navodi da ovaj sistem “zadovoljava visoke standarde bezbednosti koji omogućava siguran i nekompromitovan prenos podataka elektronskim putem”.
Adresa: Save Maškovića 3-5, 11 000 Beograd
E-mail: [email protected]
Internet prezentacija:www.purs.gov.rs
Informator o radu: http://www.purs.gov.rs/sw4i/download/files/cms/attach?id=3107
PRAVNI ASPEKTI OBRADE PODATAKA
Zbirke podataka o ličnosti
Poreska uprava je registrovala 28 zbirki podataka o ličnosti u Centralni registar zbirki podataka koji vodi Poverenik.
Od toga, 21 zbirka podataka se odnosi podatke o ličnosti osoba koje su zaposlene u Poreskoj upravi ili obavaljaju poslove u Poreskoj upravi po drugom osnovu, kao što su Kadrovska evidencija, Evidencija o prisutnosti na radu, Izveštaj o ocenjivanju državnog službenika, zbirka podataka – disciplinski spis i druge slične zbirke podataka.
Preostalih 7 zbirki podataka se odnose na podatke o ličnosti lica koja u većini slučajeva nisu zapsolena u Poreskoj upravi, već se ove zbirke podataka vode po nekom drugom osnovu, i to su:
- Evidencija o ovlašćenim serviserima fiskalnih kasa (podaci o serviserima fiskalnih kasa)
- Pregled pravosnažnih rešenja o prenosu nepokretnosti u svojinu Republike Srbije dostavljenih Direkciji za imovinu (podaci o poreskim obveznicima – fizičkim licima)
- Pregled pravosnažnih rešenja o prenosu pokretnih stvari u svojinu Republike Srbije dostavljenih Direkciji za imovinu (podaci o poreskim obveznicima – fizičkim licima)
- Pregled pravosnažnih rešenja o otpisu poreske obaveze usled zastarelosti (podaci o poreskim obveznicima – fizičkim licima)
- Evidencija izdatih sertifikata za obavljanje menjačkih poslova (podaci o fizičkim licima koja kao preduzetnici obavljaju menjačke poslove)
- Rešenja o izdavanju ovlašćenja za obavljanje menjačkih poslova (podaci o fizičkim licima koja kao preduzetnici obavljaju menjačke poslove)
- Rešenja o oduzimanju ovlašćenja za obavljanje menjačkih poslova (podaci o fizičkim licima koja kao preduzetnici obavljaju menjačke poslove)
Nijedna od 7 navedenih zbirki podataka ne predstavlja neku sveobuhvatniju zbirku podataka o ličnosti, već se odnosi na usko definisana lica o kojima se vode podaci.
Pored ovih zbirki, Poreska uprava vodi Jedinstveni registar poreskih obveznika (u daljem tekstu “Jedinstveni registar”) kao najznačajniju bazu podataka, imajući u vidu da se u njoj nalaze podaci svih poreskih obveznika u Republici Srbiji, te je u tom smislu uporediva sa zbirkama podataka koje vode preostale institucije obuhvaćene ovim Projektom.
Kao reprezentativnu zbirku podataka odabrali smo Jedinstveni registar, te se dalja analiza svih aspekata obrade podataka o ličnost prvenstveno odnosi na Jedinstveni registar. Dodatno, imajući u vidu različite pravne okvire u zavisnosti od vrste poreskog obveznika, naša analiza se prvenstveno odnosila na deo Jedinstvenog registra koji se odnosi na podatke o preduzetnicima koji su obveznici paušalnog poreza.
Pravni osnov
Zakonom o poreskom postupku i poreskoj administraciji, član 160 stav 1 tačka 1, utvrđeno je da Poreska uprava vodi Jedinstveni registar. Nijednom odredbom Zakona nisu navedeni podaci koji će se voditi u Jedinstvenom registru, niti je preciznije definisano podaci kojih lica će se nalaziti u Registru kao ni koja je svrha vođenja Jedinstvenog registra.
Ovo je značajno iz razloga što je članom 42 Ustava Republike Srbije između ostalog utvrđeno da se prikupljanje, držanje, obrada i korišćenje podataka o ličnosti uređuje zakonom. U skladu sa tim, podaci o ličnosti koji se vode u Jedinstvenom registru, kao i svrha zbog koje se vode bi trebalo da budu definisani zakonom.
Podaci o ličnosti
Zakon o poreskom postupku i poreskoj administraciji ne definiše direktno koji se podaci vode u Jedinstvenom registru, kao ni drugi zakoni i podzakonski akti iz ove oblasti. Ipak, uvidom u PIB registar koji je javno dostupan na sajtu Poreske uprave, a koji pretragom po zadatom PIB-u prikazuje sve osnovne podatke iz Jedinstvenog registra, kao i analizom Jedinstvene registracione prijave osnivanja pravnih lica i drugih subjekata i registracije u jedinstveni registar poreskih obveznika (Jedinstvene registracione prijave), te poreske prijave PPDG – 1P obrasca, došli smo do zaključka koji se podaci nalaze u ovoj Jedinstvenom registru. Radi celovitog metodološkog pristupa radili smo samo analizu podataka koji se odnose na preduzetnike.
Podaci koji se nalaze u Jedinstvenom registru, a javno su dostupni na sajtu uvidom u PIB registar, nakon unošenja PIB-a određenog preduzetnika su:
- Ime i prezime preduzetnika
- JMBG preduzetnika
- Poslovni naziv preduzetnika
- Poslovni matični broj preduzetnika
- Sedište preduzetnika
- Status preduzetnika (aktivan/neaktivan)
- Početak obavljanja delatnosti
Ovi podaci zapravo predstavljaju podatke iz Jedinstvene registracione prijave koje preduzetnici podnose APR-u. Nakon toga APR elektronskim servisom dostavlja te podatke Poreskoj upravi u svrhu dodeljivanja PIB-a kao i evidentiranja u Jedinstvenom registru.
Dodatno, podaci koje se pored pomenutih podataka popunjavaju u Poreskoj prijavi PPDG – 1P a koje Poreska uprava poseduje te se u skladu sa tim mogu nalaziti u Jedinstvenom registru su:
- Prebivalište preduzetnika
- Lični telefon preduzetnika
- Poslovni telefon
- e-mail adresa
- pretežna delatnost
- podaci o računu u banci
- podaci za utvrđivanje poreza (podaci o prihodima) – opciono
- Broj zaposlenih – opciono
- Podaci o poslovnom prostoru – opciono
- Podaci o osnovnim sredstvima – opciono
U Jedinstvenom registru se vode podaci svih preduzetnika na teritoriji Republike Srbije. Zapravo ovi podaci iz Jedinstvenog registra se i kvalitativno i kvantitativno u potpunosti podudaraju sa podacima koji se nalaze u Registru privrednih subjekata – Preduzetnici koji vodi Agencija za privredne registre. Jedina razlika se može odnositi na podatke koje je direktno prikupila Poreska Uprava preko PPDG – 1P obrasca.
Na sastanku koji smo imali u Poreskoj upravi rečeno nam je da se podaci fizičkih lica, ne uzimajući u obzir preduzetnike, mogu naći u Jedinstvenom registru jedino kada su fizička lica postali obveznici poreza na prenos apsolutnih prava (npr. prodali su stan) ili kada su postali obveznici poreza na registrovano oružje. Zašto samo u ovim slučajevima a ne i nekim sličnim, ostaje nejasno.
Radi dodatnog pojašnjenja treba istaći da se u Jedinstvenom registru ne nalaze finansijski podaci preduzetnika (npr. podaci o obračunatom i plaćenom porezu). Ovi podaci su se do skoro vodili na lokalnom nivou, odnosno svaka filijala je vodila podatke za preduzetnike sa svoje teritorije, međutim od sada se finansijski podaci vode centralizovano u data centru Poreske uprave, a svaka filijala ima pristup samo podacima preduzetnika sa svoje teritorije.
U Jedinstvenom registru se ne obrađuju naročito osetljivi podaci iz člana 16 Zakona o zaštiti podataka o ličnosti.
Načini prikupljanja podataka o ličnosti
U skladu sa jednošalterskim sistemom registracije koji omogućava privrednim subjektima da na jednom mestu podnesu jedinstvenu registracionu prijavu, Poreska uprava podatke koji se nalaze u Jedinstvenom registru dobija od APR-a putem elektronskog servisa.
Dakle, APR prikuplja podatke podnošenjem Jedinstvene registracione prijave čija je sadržina propisana Pravilnikom o dodeli poreskog identifikacionog broja pravnim licima, preduzetnicima, te ih dostavlja Poreskoj upravi u svrhu dodeljivanja PIB-a kao i evidentiranja u Jedinstvenom registru.
Iako je Zakonom o postupku registarcije u APR-u u članu 11 propisana mogućnost podnošenja elektronske prijave putem korisničke aplikacije za prijem elektronske prijave, takva mogućnost i dalje ne postoji u praksi, već se jedinstvene registracione prijave i prateća dokumentacija podnose isključivo u pisanom obliku, u prostorijama APR-a ili poštom.
Uprkos jednošalterskom sistemu registracije podnošenjem prijave APR-u, koji zatim dostavlja podatke Poreskoj Upravi, preduzetnici su ipak dužni da Poreskoj upravi, odnosno svojoj filijali podnesu i Poresku prijavu na obrascu PPDG – 1P.
Centralni registar
Jedinstveni registar nije prijavljen kao zbirka podataka o ličnosti u Centralnom registru koji vodi Poverenik. U skladu sa Zakonom o zaštiti podataka o ličnosti, moglo bi se uvažiti tumačenje da Poreska uprava zapravo i nema obavezu prijavljivanja Registra imajući u vidu član 48 stav 2 koji između ostalog reguliše da Rukovalac podataka nije dužan da obrazuje i vodi evidenciju obrade podataka koji se obrađuju radi vođenja registara čije je vođenje zakonom propisano ili podataka za zbirku podataka koju čine samo javno objavljeni podaci.
Uvidom u Centralni registar Poverenika uočeno je da je Poreska Uprava registrovala 28 zbirki podataka o ličnosti, od čega se 21 zbirka podataka odnosi na podatke o ličnosti osoba koje su zaposlene u Poreskoj upravi ili obavaljaju poslove u Poreskoj upravi po drugom osnovu, dok se preostalih 7 zbirki podataka vodi po nekom drugom osnovu.
Interni akti
U odgovoru na Zahtev za pristup informacijama Poreska uprava nije dostavila odgovor na pitanje da li postoje interni akti koji regulišu pristup i upravljanje podacima o ličnosti, niti smo uvidom u propise koji su objavljeni na sajtu Poreske uprave pronašli takve akte.
Zahtev za ostvarivanje prava
Tokom istraživačkog procesa, član našeg tima je u skladu sa članom 19 ZZPL-a pisanim putem od Poreske uprave tražio obaveštenje o obradi svojih podataka o ličnosti i to:
- Koje podatke o meni obrađujete?
- Koje vrste obrade podataka sprovodite?
- Od koga su prikupljeni podaci o meni, odnosno ko je izvor podataka?
- U koje svrhe se podaci obrađuju?
- U kojim zbirkama podataka se nalaze podaci o meni?
- Ko su korisnici podataka o meni? Koji podaci o meni se koriste? Po kom pravnom osnovu i u koje svrhe se podaci o meni koriste?
- Da li se moji podaci prenose (ustupaju) drugim licima, i koja su to lica? Po kom pravnom osnovu i za koje potrebe se ti podaci prenose?
- U kom vremenskom periodu se podaci obrađuju, odnosno da li je predviđena obustava obrade mojih podataka u određenom trenutku?
Poreska uprava je odgovorila na zahtev za ostvarivanje prava, u zakonom predviđenom roku.
Osim delimičnih odgovora u vezi izvora prikupljanja podataka, odnosno da se podaci o poreskim obveznicima preuzimaju od nadležnih državnih organa za registraciju privrednih subjekata ili za vođenje evidencije o prebivalištu poreskih obveznika, i svrhe obrade podataka, tj. da se podaci o poreskim obveznicima koji se preuzimaju od drugih državnih organa koriste isključivo za potrebe Poreske uprave u postupku utvrđivanja, naplate i kontrole javnih prihoda, Poreska uprava nije dostavila obaveštenje u vezi ni sa jednim drugim pitanjem sadržanim u zahtevu.
Dodatno, istim zahtevom član našeg tima je tražio da mu se omogući uvid u podatke kao i da bude obavešten na koji način i kada će mu biti omogućen uvid. Na ovaj zahtev Poreska uprava nije odgovorila.
Zaključak
Iako je Zakonom o poreskom postupku i administraciji regulisano da Poreska uprava vodi Jednistveni registar, propušteno je da se utvrdi koje grupe podataka o ličnosti će se voditi u Jednistvenom registru, te u tom smislu i svrha obrade ovih podataka može biti nejasna. Iako je na sajtu Poreske uprave dostupan PIB registar koji daje uvid u podatke o preduzetnicima, ostaje nejasno da li su to jedini podaci koji se vode u Jedinstvenom registru imajući u vidu da preduzetnici svojim lokalnim filijalama podnose i obrazac PPDG – 1P koji sadrži podatke koji nisu dostupni u PIB registru. Takođe smo dobili informaciju da se i podaci nekih fizičkih lica nalaze u ovom registru.
Poreska uprava nije registrovala Jedinstveni registar u Centralnom registru koji vodi Poverenik. Iako bi se moglo opravdano tvrditi da takva obaveza ne postoji, jer prema Zakonu o zaštiti podataka rukovalac nije dužan da prijavi zbirku podataka koji se obrađuju radi vođenja registara čije je vođenje zakonom propisano ili podataka za zbirku podataka koju čine samo javno objavljeni podaci, ovi uslovi nisu sasvim zadovoljeni, jer sa jedne strane Zakon nije utvrdio koji podaci se vode u Jedinstvenom registru a sa druge strane moguće je da ovu zbirku podataka ne čine samo javno objavljeni podaci.
Sličan je slučaj i sa ostalim zbirkama podataka koje o građanima Republike Srbije vodi Poreska uprava. Naime ostalo je nejasno u kojim se sve zbirkama podataka vode podaci o ličnosti građana Srbije, imajući u vidu da su u Centralnom registru prijavljene samo zbirke koje se odnose na podatke o ličnosti zaposlenih u Poreskoj upravi ili koje se odnose na uske kategorije građana. Sa druge strane, u skladu sa svojim nadležnostima, Poreska uprava poseduje obimne zbirke podataka građana Srbije. Dok je vođenje Jedinstvenog registra predviđeno Zakonom (uz sve nedostatke koje smo naveli), to je jedina zbirka podataka Poreske uprave čije je vođenje zakonski uređeno.
Zahtevom za ostvarivanje prava na obaveštenje o obradi podataka koji smo u skladu sa Zakonom o zaštiti podataka o ličnosti uputili Poreskoj upravi, nismo uspeli da dođemo do odgovora na ova pitanja.
Ovakav ishod navodi na zaključak da princip transparentnosti obrade podataka o ličnosti nije na visokom nivou u Poreskoj upravi, te bi preporuka svakako bila da se iniciraju izmene Zakona čime bi se precizno utvrdilo zakonsko ovlašćenje za vođenje zbirki podatala, a da se Centralnom registru koji vodi Poverenik prijave sve zbirke podataka koje Poreska uprava vodi o građanima.
ORGANIZACIONI ASPEKTI OBRADE PODATAKA
Lice za zaštitu podataka o ličnosti
Postojeće stanje: U Poreskoj upravi u okviru Ministarstva finansija Republike Srbije ne postoji lice zaduženo za zaštitu podataka o ličnosti. Postoji samo lice ovlašćeno za postupanje po zahtevima za slobodan pristup informacijama od javnog značaja.
Preporuka: S obzirom na delatnost kojom se bavi Poreska uprava, a koja uključuje prikupljanje i obradu najosetljivijih podataka o ličnosti, gde se pre svega misli na lična primanja, od krucijalne je važnosti da postoji sistemsko rešenje i organizaciona odgovornost za zaštitu podataka o ličnosti.
Obim potencijalnih aktivnosti koje bi to lice trebalo da sprovodi ne opravdava formiranje posebnog radnog mesta isključivo za potrebe poslova zaštite podataka o ličnosti. Iz tih razloga organizaciono rešenje navedenog problema bi trebalo tražiti u dodeli odgovornosti određenom licu, odnosno licima, kroz odgovarajuće odluke . Pored tako definisane odgovornosti, odnosno aktivnosti koje bi trebalo da obavlja, to lice bi trebalo da obavlja i druge poslove u skladu sa opisom radnog mesta.
U slučaju kršenja Zakona o zaštiti podataka o ličnosti postoji odgovornost i fizičkog lica, i odgovornog lica kod pravnog lica, i odgovornost samog pravnog lica. Međutim, prilikom definisanja odgovornog lica za zaštitu podataka akcenat je na organizacionoj odgovornosti za, na primer:
- sprovođenje određene politike o zaštiti podataka o ličnosti među zaposlenima;
- promovisanje zaštite podataka o ličnosti među zaposlenima radi shvatanje njihove uloge u zaštiti podataka
- organizovanje edukacije iz oblasti zaštite podataka o ličnosti za zaposlene;
- izveštavanje rukovodstva o nivou zaštite podataka i predlaganje mera za podizanje nivoa zaštite i dr.
Na sastanku sa predstavnicima Poreske uprave projektnom timu je predočeno da se radi na uvođenju lica ovlašćenog za postupanje po zahtevima iz Zakona o zaštiti podataka o ličnosti i definisanju njegovih odgovornosti, što pokazuje da postoji svest o značaju adekvatnog upravljanja podacima o ličnosti.
S obzirom na navedene odgovornosti, jasno je da bi lice zaduženo za zaštitu podataka u ovom smislu trebalo da bude lice koje se nalazi na pozicijama višeg hijerarhijskog nivoa. U kompanijama je praksa pokazala da bi to lice trebalo da bude deo najvišeg menadžmenta. Uzimajući u obzir postojeći model organizacije, odnosno teritorijalnu razgranatost filijala i ekspozitura, rešenje bi trebalo tražiti u uvođenju odgovornosti na dva nivoa. Preporuka je da lice zaduženo za strateška pitanja iz oblasti zaštite podataka o ličnosti na nivou Poreske uprave bude iz Centrale. Posmatrajući postojeću podelu rada, predlog je da to bude Direktor Sektora za obrazovanje, komunikaciju i međunarodnu saradnju. Sa druge strane, s obzirom da Poreska uprava ima veliki broj filijala i ekspozitura, koje su i geografski i procesno razdvojene, u svakoj organizacionoj jedinici koja obavlja osnovnu delatnost bi trebalo da postoji lice zaduženo za zaštitu podataka o ličnosti, koje bi trebalo da ima minimalnu odgovornost za sprovođenje strateških odluka iz ove oblasti, donetih na centralnom nivou.
Edukacija
Postojeće stanje: U Poreskoj upravi nije sprovođenja formalna obuka zaposlenih o postojećoj regulativi (Zakon; standardi) iz oblasti zaštite podataka.
Preporuka: Svoju osnovnu delatnost Poreska uprava obavlja kroz prikupljanje i obradu najosetljivijih podataka o ličnosti te je od izuzetne važnosti uvesti kontinuiranu edukaciju zaposlenih iz ove oblasti. Takođe, trebalo bi definisati vremenske intervale u kojima bi trebalo organizovati testiranja znanja zaposlenih iz ove oblasti, kako bi Poreska uprava konstantno imala saznanja o stanju sistema u pogledu zaštite podataka o ličnosti.
Pristup zaposlenih reprezentativnoj evidenciji
Postojeće stanje: U Poreskoj upravi svi zaposleni na radnim mestima koja obavljaju osnovnu delatnost (državni službenici) imaju pristup elektronskoj bazi podataka “Jedinstveni registar poreskih obveznika”. Nivoi pristupa su definisani sistemom rola, a role se vezuju za radno mesto (zaposleni na istom random mestu imaju ista prava pristupa). Takođe, zaposleni na različitim radnim mestima mogu imati ista prava pristupa bazi podataka, ukoliko imaju istu rolu. Pristup bazi je određen kombinacijom korisničkog imena i šifre, koja je vezana za svakog zaposlenog. Šifra je poznata isključivo zaposlenom;šifre ističu nakon tri meseca, a neaktivni korisnici se blokiraju. Svaki pristup bazi se beleži na novijim sistemima, dok se na starim sistemima ne čuvaju logovi. Plan je da se do kraja 2016. godine svi stari sistemi pogase i da se u potpunosti pređe na nove. Ne evidentira se razlog, odnosno osnov pristupa podacima.Pristup svim korisničkim imenima imaju zaposleni na radnim mestima vodećeg sistem administratora i sistem administratora. Pritom, oni ne mogu videti pristupne šifre drugih korisnika, ali mogu resetovati šifru određenom korisniku po potrebi, nakon čega taj korisnik sam sebi definiše novu šifru.
Preporuka: Analizom poslova koji pripadaju osnovnoj delatnosti Poreske uprave utvrđeno je da su oni međusobno dosta različiti, usled širine opsega delatnosti koju Poreska uprava obavlja. Sa druge strane, u sistemu rola postoji svega nekoliko različitih rola, što navodi na zaključak da zaposleni koji obavljaju različite poslove imaju ista prava pristupa. Kako projektni tim nije imao uvid u sistem rola, nije bilo moguće analizirati prava pristupa po radnim mestima i izvršiti poređenje sa opisima poslova i realnim potrebama posla. Međutim, uzimajući u obzir vrstu posla koja se obavlja u Poreskoj upravi, može se pretpostaviti da zaposleni koji obavljaju osnovnu delatnost zaista imaju potrebu za pristupom velikom delu podataka u elektronskoj bazi, možda i celokupnoj bazi. Zbog toga je veći problem što se ne evidentira osnov pristupa podacima. Efikasnost sistema bi bila znatno narušena kada bi se prava pristupa definisala tek nakon dodeljivanja konkretnih poslova zaposlenima, zbog čega to nije preporuka. Ipak, poznato je koji zaposleni su zaduženi za određene poslove, i pošto se čuvaju logovi o svakom pristupu bazi, kada bi oni sadržali osnov pristupa bilo bi moguće, u slučaju da se javi potreba, utvrditi da li je zaposleni koji je pristupio podacima zaista imao osnov za takav pristup u evidentiranom trenutku pristupa.
Opšti zaključak je da se u Poreskoj upravi vodi računa o usaglašenosti prava pristupa i poslovnih procesa, u smislu dodeljivanja prava pristupa podacima samo onim zaposlenima koji imaju realnu potrebu za tim zbog opisa posla. Ovo se najbolje ogleda u postojanju sistema rola, ali i činjenici da zaposleni koji obavljaju funkcije podrške nemaju pravo pristupa Jedinstvenom registru poreskih obveznika. Takođe, zaposleni mogu štampati samo određene materijale iz elektronske baze podataka. Nivo usaglašenosti prava pristupa i opisa poslova nije bio predmet ovog izveštaja.
Što se tiče zaštite podataka u bazi, ona je na vrlo visokom nivou. Novi podaci se dodaju pomoću veb servisa, konekcije su sigurne, o čemu će više reči biti u delu izveštaja koji se odnosi na tehničke aspekte.
Trenutno postoji problem koji se odnosi na čuvanje logova na starim sistemima, ali je plan da oni do kraja 2016. godine budu povučeni iz upotrebe.
Sektor za održavanje informacionog sistema
Postojeće stanje: Poreska uprava u svojoj centrali ima Sektor za informacione i komunikacione tehnologije, koji obavlja poslove planiranja, projektovanja, razvoja i integracije informacionog sistema i sistema veza Poreske uprave.
Preporuka: S obzirom da se svi informatički poslovi obavljaju interno, jedina preporuka u ovom domenu je da se uvedu procedure koje regulišu pristup i upravljanje podacima iz elektronske baze.
Evidencija u papirnoj formi
Postojeće stanje: U Poreskoj upravi postoji određena dokumentacija koja se čuva u papirnoj formi. Takva dokumenta se čuvaju u arhivi, i sa njima se postupa u skladu sa važećom zakonskom regulativom. Zaposleni u Poreskoj upravi mogu preko arhive tražiti uvid u neki dokument. Evidentira se svaki zahtev tog tipa.
Preporuka: Može se razmotriti opcija provere osnova pristupa papirnoj dokumentaciji od strane zaposlenih u poreskoj upravi.
ISO standardi
Postojeće stanje: Prema podacima dostupnim u Registru sertifikovanih privrednih društava koji vodi Privredna komora Srbije, u Poreskoj upravi nije implementiran nijedan standard iz ISO serije standarda.
Preporuka: U narednom periodi bi trebalo uvesti standard ISO 9001 – Sistem upravljanja kvalitetom, kao bazni standard, dok bi u sledećoj iteraciji trebalo težiti uvođenju standarda ISO 27001 Sistem upravljanja bezbednošću informacija, koji s obzirom na delatnost Poreske uprave predstavlja najbitniji standard ISO serije. Standardima bi trebalo formalno regulisati pristup i upravljanje podacima u elektronskoj formi, kao i pristup dokumentima koji se čuvaju u papirnoj formi.
Zaključak
Poreska uprava predstavlja ključni element poreskog sistema i kao takav u svojim aktivnostima prikuplja, obrađuje i kreira dokumentaciju sa osetljivim podacima o ličnosti korisnika koji su fizička lica, gde se pre svega misli na podatke o ličnim primanjima, ali i o drugim podacima o ličnosti koji se mogu pronaći u bazama podataka Poreske uprave, bilo u elektronskoj ili u papirnoj formi.
Zbog toga je potrebno definisati lice/lica odgovorna za zaštitu podataka o ličnosti, uvesti edukaciju zaposlenih u cilju podizanja znanja iz ove oblasti, ali i važnosti zaštite podataka o ličnosti u Poreskoj upravi. Pozitivno je što je u Poreskoj upravi ovo prepoznato i što se već radi na imenovanju lica ovlašćenog za postupanje po zahtevima iz Zakona o zaštiti podataka o ličnosti.
Takođe, preporuka je da se uvede sistem menadžmenta kvalitetom ISO 9001 kojim će biti definisane procedure sa jasno preciziranim nadležnostima pristupa i obrade podataka o ličnosti koje poseduje Poreska uprava. Njima bi takođe trebalo predvideti osnove pristupa i obrade podataka, i potom to implementirati u korisničke role u informacionom sistemu i u procedure za upravljanje arhivom.
Poreska uprava je implementirala izuzetno visok nivo zaštite elektronske baze podataka, u smislu elektronskog i fizičkog pristupa. Međutim, s obzirom na obim, važnost i osetljivost podataka koji se prikupljaju i obrađuju, preporuka je da se standardizuje način na koji se obezbeđuje bezbednost podataka, i to kroz ISO 27001 Sistem upravljanja bezbednošću informacija.
TEHNIČKI ASPEKTI OBRADE PODATAKA
Opšte tehničke informacije i struktura sistema
U okviru informacionog sistema Poreske uprave nalazi se veliki broj servera, dok se za prikupljanje, obradu i skladištenje podataka o fizičkim licima koristi 7 fizičkih servera. Serveri su u vlasništvu Poreske uprave i nalaze se na jednom centralizovanom mestu, u data centru Poreske uprave. U server sale je moguće ući isključivo uz kartice koje omogućavaju ulaz. Data centar je osiguran protivpožarnom zaštitom. Prenos podataka i učitavanje među serverima izvršava se periodično, a reč je o database serverima (serveri na kojima se nalaze baze podataka). Vrsta baze podataka Jedinstvenog registra je Oracle baza, objektno-orijentisana baza podataka koja predstavlja identifikator alfanumeričkog sistema.
Pristup internetu
Poreska uprava svoju veb prezentaciju (http://www.poreskauprava.gov.rs/) hostuje samostalno, dok usluge internet provajdera koristi od Telekoma Srbije. Svi objekti Poreske Uprave kojih ima preko 190 širom zemlje povezani su putem VPN mreže Telekoma Srbije. Opseg IP adresa nam nije dostavljen u odgovoru na FOI zahtev. Na sajtu Poreske uprave postoji samo uvid u PIB registar, što znači da evidencija podataka o ličnosti i sajt nisu na istom serveru. Sajt je izolovan i nalazi se na namenskom serveru.
Opšte informacije | |
Naziv ustanove | Poreska uprava |
URL | http://www.poreskauprava.gov.rs/ |
Datum vršenja analize | 27.04.2015. |
WHOIS pretraga | |
Ime i Prezime | RNIDS |
Adresa | Žorža Klemansoa 18a, Beograd |
Provider | TELEKOM SRBIJA A.D. |
URL Provajdera | http://www.telekom.rs/ |
Registrator | RNIDS |
URL Registratora | http://www.rnids.rs/en/ |
Država | Srbija |
Nmap | |
Broj otvorenih portova | 3 |
Broj filtriranih portova | 997 |
Broj zatvorenih portova | 0 |
OS | Linux 2.6.5 |
Bezbedan (Nmap) | Da |
IP v4 | 195.178.50.150 |
IP v6 | / |
MAC | / |
VPN i Cloud usluge
Iz dosadašnjeg istraživanja smo utvrdili da Poreska uprava za sada koristi samo sopstvene VPN usluge, u svrhu održavanja sistema. Uspostavljena je infrastruktura koja omogućava rad na daljinu kroz virtuelne privatne mreže. Planiranom nadogradnjom sistema nije predviđeno uvođenje i korišćenje Cloud-a.
Serverska podešavanja
Svi serveri se nalaze na jednom mestu, u data centru Poreske uprave u Ustaničkoj ulici. Serveri su povezani a sinhronizacija se vrši periodično. Data centar je veoma dobro osiguran i obezbeđen bezbednosnim procedurama sa najnovijim standardima koji se primenjuju, kako u tehničkom tako i u fizičkom aspektu. Pristup data centru moguć je isključivo uz kartice i odobrenje naoružanog osoblja iz obezbeđenja. Takođe, data centar je osiguran i protivpožarnim sistemom u slučaju nezgoda, kao i protivprovalnim sistemom. Pristup liftom do data centra nije moguć bez kartice. Do ulaska u centar postoji trostruka provera i autentifikacija. Prilikom implementacije bezbednosnih procedura praćeni su standardi ali je formiran i interni dokument.
Pristup Jedinstvenom registru uslovljen je unosom korisničkog imena i lozinke, koji su vezani za konkretnog korisnika. Sistemski se evidentira pristup bazi. Radna mesta sistem administrator i vodeći sistem administrator imaju pristup korisničkim imenima ali ne i lozinkama. Lozinku mogu resetovati, ali je ne mogu i videti. Lozinka ističe nakon 3 meseca i korisnik je mora promeniti.
Sektor za informacione i komunikacione tehnologije nije upoznat da li postoje dokumenti koji regulišu pristup i upravljanje podacima iz baze podataka. Na osnovu sistematizacije mesta zaposleni imaju, odnosno nemaju određena prava na sistemu Jedinstvenog registra.
Reprezentativna baza Poreske uprave nije registrovana u Centralnom registru Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti.
Preporuka:Način logovanja može se poboljšati upotrebom digitalnih sertifikata ili drugostepene verifikacije i detaljnijeg monitoringa aktivnosti korisnika u okviru sistema, čime se preventivno deluje na mogućnost zloupotrebe unutar organizacije.
Pristup trećih lica
Pristup evidencijama podataka o ličnosti imaju samo zaposlena i ovlašćena lica u Poreskoj upravi – radna mesta kontrole i naplate, poreska policija i unutrašnja kontrola, što čini skoro 90% zaposlenih.
Prilikom preuzimanja i korišćenja podataka o poreskim obveznicima, postupa se u skladu sa članom 7 Zakona o poreskom postupku i administraciji (o službenoj tajni i čuvanju službene tajne).
Kompanije sa kojima posluje Poreska uprava su izradile aplikativna rešenja sistema koje Poreska uprava koristi. Aplikativni nivo je postavljen na već postojeće baze podataka Oracle, MySQL, Cisco, IBM. Kada je reč o održavanju hardvera, perifernu opremu održavaju interno. Kroz javne nabavke biraju se kompanije koje su dobavljači serverske opreme i koji istu održavaju.
Lica koja održavaju sistem Poreske uprave nemaju stalan pristup bazi. Ne postoji ugovor o poverljivosti ili neki drugi dokument koji lica potpisuju, ali postoje interno pripisana pravila o zaštiti podataka koja se poštuju. Lica koja sistemu pristupaju putem VPN-a potpisuju ugovor o poverljivosti i beleži se njihov svaki pristup sistemu.
Sa državnim organima koji su deo mreže Uprave za zajedničke poslove komunikacija se odvija putem VPN-a UZZPRO mreže.
Službe bezbednosti i drugi državni organi nemaju direktan pristup podacima iz Jedinstvenog registra ili podacima iz drugih zbirki podataka koje vodi Poreska Uprava, ali na zahtev uz odgovarajući pravni osnov mogu dobiti samo konkretne podatke određenih lica. Ti podaci se dostavljaju u pisanom obliku.
Samo mali deo podataka je enkriptovan, a to je informativna poreska prijava koja je u celosti enkriptovana jer sadrži najveći broj osetljivih podataka o ličnosti. Informativna poreska prijava je poslednji put korišćena dve godine, u javnosti poznata pod nazivom “Lov na milionere”.
Preporuka:Ključna slaba tačka ovog sistema jeste nepostojanje ugovora o poverljivosti ili drugog sporazuma o zaštiti tajnosti podataka sa licima koji održavaju sistem.
Zaključak
Postoje dva ključna potencijalna problema informacionog sistema Poreske uprave. Prvi leži u odsustvu standardnog dokumenta o regulisanju tajnosti podataka sa trećim licima, dok je za zaposlene ta obaveza definisana Zakonom o poreskom postupku i administraciji. Drugi problem odnosi se na izostanak primene digitalnog sertifikata zaposlenih prilikom pristupa sistemu. Obe situacije su lako rešive i preporučujemo da budu uzete u razmatranje prilikom nadogradnje infrastrukture sistema Poreske uprave.
MEDIJSKA POKRIVENOST
Uvodna napomena
Pregled novinskih izveštaja o pojedinačnim institucijama obuhvaćenih analizom, odnosi se na period od početka 2000-tih do 2015. godine, na osnovu pretraživih digitalnih arhiva celovitog teksta članaka štampanih dnevnih i nedeljnih izdanja, posebno iz perspektive zaštite ličnih podataka.
Domaća regulativa ove oblasti relativno je nova – zakon iz 1998. nudio je nedovoljna i prevaziđena rešenja, da bi nestankom saveznih instanci praktično postao nesprovodiv. Novijeg datuma je i pažnja globalne javnosti za aspekte privatnosti u digitalnom okruženju. Stoga je očekivano da interes štampe za zaštitu podataka o ličnosti u organima državne uprave, tokom proteklih petnaestak godina, bude oskudan i gotovo po pravilu vođen incidentima, odnosno događajima koji svedoče o kršenju prava građana što je, konačno, i suštinska uloga medija u savremenim demokratijama.
Sa druge strane , aktivno učešće institucija državne uprave u javnom dijalogu posvećenom zaštiti privatnosti i ličnih podataka koje prikupljaju i obrađuju, moglo bi se pokazati kao ključni doprinos daljem uređenju ove oblasti ali i sopstvenoj promociji kao značajnog aktera u zaštiti interesa građana.
Poreska uprava – istorijski pregled
Sezonska nagađanja o desetinama i stotinama miliona dinara koje raznovrsni tajkuni duguju državi na ime poreza, karakterišu pretežni interes štampanih medija za rad Poreske uprave u protekloj deceniji. Izvrdavanje obaveza preko ‘fantomskih firmi’, spekulacije o političkim interesima koji se prelamaju kroz domen poreskih vlasti, te raznovrsne afere koje povremeno izbiju na sličnom fonu, ukazuju na medijski uslovljen ograničen uvid javnosti u rad jednog od ključnih državnih organa i gubitak kontrole same institucije nad percepcijom koje društvo ima o Poreskoj upravi.
Unapređenje tehničkog okruženja i razvoj pravnih standarda, vremenom je jednu od najstarijih državnih struktura izveo iz nejasnog lavirinta birokratije na svetlo javnosti, gde je štampa suviše često svedočila o posledicama konfuzije načela transparentnosti i zaštite privatnosti.
Čak i kada bi bilo zatraženo mišljenje Poverenika o planovima za objavljivanje liste poreskih dužnika, na primer, Poreska uprava bi se potom našla u prekoračenju zakonskih ovlašćenja, dok se planirani gest transparentnosti u medijima svodio na javno sramoćenje bez pravnog epiloga.
Najkrupnija afera vezana za zaštitu podataka o ličnosti izbila je krajem 2014. u vezi sa neovlašćenim uvidom, obradom i iznošenjem baza podataka iz Poreske uprave. Mediji su preneli optužbe o špijunaži i korupciji u senzacionalističkom tonu, bez posebne pažnje za aspekt zaštite podataka o ličnosti, dok je čitava priča ubrzo pala u zaborav.
Povremena Poverenikova upozorenja i najave nadzora nad radom Poreske uprave, najsigurniji su izvor medijskih napisa o kršenju propisa iz oblasti zaštite privatnosti, odnosno zaštite podataka o ličnosti, ali u napisima po pravilu izostaje suštinsko razjašnjenje prirode ovih prava i značaja njihove zaštite za građane.
U percepciji javnosti, Poreska uprava opterećena je sumnjama o korupciji, netransparentnosti i diskrecionom pravu na prikupljanje i obradu ličnih podataka građana.
Uspešna priča o brzoj reakciji Poreske uprave na upozorenje Poverenika povodom načina dostavljanja poreskih rešenja i akata sa vidljivim podacima o ličnosti, ostaje redak primer dobre prakse u medijskim izveštajima.
DOKUMENTACIJA KOJA JE DOBIJENA OD POVERENIKA
Postupci nadzora
Na osnovu anonimne predstavke u kojoj se navodi da isporučilac usluge Poreskoj upravi na nezakonit način kopira baze podataka i da njeni radnici iznose iste bez kontrole i ičijeg odobrenja, u Zapisniku o izvršenom nadzoru, br. 164-00-00097/2011-07, od 26.05.2011., konstatovano je da su organizacione i tehničke mere propisane članom 47 ZZPL ispunjene, tako što se podaci Poreske uprave fizički nalaze na serverima koji su smešteni na izdvojenoj lokaciji Centrale Poreske uprave, u prostoru koji ima posebno obezbeđenje i podrazumeva neprekidno 24-časovno fizičko obezbeđenje i video nadzor. Bez posebne najave i dozvole, u navedeni prostor je nemoguće ući, a u serversku salu ulazi se isključivo sa dozvolom rukovodioca i u pratnju zaposlenog lica. Tvrdnje iz anonimne predstavke su odbačene od strane Poreske Uprave, koja je istakla da je infrastruktura u Sistem sali organizovana tako da se za nove projekte određuje izolovani deo opreme koji je potpuno fizički i mrežno odvojen od ostalih sistema, uključujući i produkciono okruženje Poreske uprave, i da predmetna organizaciona celina predstavlja komunikaciono razvojno testno okruženje, budući da se na tom mestu vrši razvoj i testiranje aplikacija, bez mogućnosti pristupa produkcionim bazama podataka.
Dalje, u Ugovoru o nabavci integrisanog informacionog sistema za potrebe Poreske uprave, br. 2480/1-10, od 29.11.2010., članom 7 je propisano da je Isporučilac dužan da sve podatke do kojih dođe analizom čuva kao službenu tajnu Naručioca, da je odgovoran za tajnost podataka i da je dužan sa njima postupati u skladu sa propisima o zaštiti podataka o ličnosti. Takođe je Isporučilac dužan čuvati kao službenu tajnu sva tehnička rešenja do kojih dođe u izvršenju ugovornih obaveza i sva prava intelektualne svojine na postojećim informacionim sistemima ima Poreska uprava i iste je zabranjeno kopirati i koristiti kao svoje.
U Upozorenju nakon obavljenog nadzora, br. 164-00-00167/2012-07, od 26.06.2012., Poverenik je utvrdio da Poreska uprava na svom vebsajtu vrši nedozvoljenu obradu podataka poreskih obveznika, bez zakonskog ovlašćenja ili pristanka lica čije podatke obrađuje tako što javno objavljuje podatke o ličnosti najvećih dužnika – fizičkih lica, i to njihovih imena i prezimena, naziva opštine, visine iznosa duga i datih napomena. U Upozorenju, Poverenik ne spori da su Zakon o poreskom postupku i poreskoj administraciji i ZZPL pravni akti iste pravne snage, ali i navodi da ZPPPA nije lex specialis u odnosu na pitanje obrade bilo kojih podataka o ličnosti. Poreski zakon ne može predstavljati pravni osnov za objavljivanje podataka o ličnosti, kao što ni poreski obveznici nisu dali saglasnost u pisanom obliku da se njihovi podaci objave na veb sajtu Poreske uprave. Na kraju, ovlašćenje za objavljivanje podataka se ne može izvesti ni iz odbredbe člana 13. ZZPL (obrada od strane organa vlasti).
Poverenik je pokrenuo postupak nadzora nad sprovođenjem i izvršavanjem ZZPL od strane Grada Subotice – Gradske uprave, br. 164-00-00092/2014-07, od 18.02. 2014., postupajući po saznanjima iz podnete predstavke u kojoj se tvrdi da je Služba lokalne poreske administracije objavila spisak 1.292 dužnika za porez koja se nalazi na veb sajtu i koja sadrži od podataka ime, prezime, mesto stanovanja i iznos duga, kao i da nije tačna u obliku kakvom je navedena. Poverenik je zatražio od Službe lokalne poreske administracije da se izjasni po kom pravnom osnovu obrađuje podatke u vidu objavljivanja na veb sajtu i koja je svrha obrade tih podataka.
U Izjašnjenu Službe lokalne poreske administracije Subotica, br. IV-01/II-070-5/2014, od 24.02.2014., konstatovano je da je Zakonom o poreskom postupku i poreskoj administraciji propisano pravo na objavljivanje podataka o ličnosti i da je utvrđena obaveza da se ti podaci objave odredbom člana 7 ZPPPA, a u skladu sa članom 11 stav 3 ZPPPA je utvrđena obaveza jedinica lokalne samouprave da kvartalno na svom veb sajtu objave obaveštenje u iznosu poreskog duga svih obveznika. U izjašnjenju se na kraju ističe da nisu ovlašćeni razmatrati svrsishodnost objavljivanja spornih podataka budući da postoji obaveza primenjivanja zakona. Prekršajni postupak je pokrenut pred Prekršajnim sudom u Subotici, protiv načelnice Gradske uprave, kao odgovornog lica za nedozvoljenu obradu podataka i sud je presudom, br. PR 4-2606/14, od 04.12.2014. našao odgovornom. Po žalbi okrivljene, Prekršajni apelacioni sud u Novom Sadu, presuda br. III-303 Prž. broj 1087/15, od 03.02.2015., je uvažio žalbu i preinačio prvostepenu presudu i okrivljenu oslobodio odgovornosti.
Identičan slučaj se dogodio kada je Služba lokalne poreske uprave u Subotici objavila na veb sajtu spisak 12.532 poreskih obveznika – dužnika i njihove lične podatke (ime, prezime i iznos duga), kada je Poverenik doneo Rešenje, br. 164-00-00230/2014-07, od 05.05.2014., kojim se nalaže otklanjanje nepravilnosti u obradi podataka o ličnosti i uklanjanje dokumenta sa veb sajta. Poverenik je takođe podneo Zahtev za pokretanje postupka pred Prekršajnim sudom u Subotici, br. 164-00-00230/2014-07, od 14.05.2014., protiv načelnice Gradske uprave kao odgovornog lica za vršenje obrade podataka bez pravnog osnova. Sud je okrivljenu našao odgovornom (presuda br. PR-5-2607/14, od 17.11.2014.), dok je Prekršajni apelacioni sud, po žalbi okrivljene, preinačio presudu i okrivljenu oslobodio odgovornosti (presuda br. III-306 Prž. br. 23952/14, od 15.01.2015.).
Poverenik je izvršio nadzor nad Poreskom upravom (Zapisnik o izvršenom nadzoru, br. 164-00-00660/2014-07, od 07.11.2014.) povodom slučaja koji je stekao veliki publicitet u javnosti, po prijavi Milice Bisić, kada je u nedeljniku “Afera” u okviru teksta o njoj objavljena sadržina njene pojedinačne poreske prijave za poreze i doprinose po odbitku (PPP-PD), u kojoj su vidljivi kako podaci o ličnosti podnosioca pojedinačne poreske prijave (JMBG i personalizovana adresa elektronske pošte), tako i njeni podaci o ličnosti (JMBG, ime i prezime, bruto prihod i osnovica za porez). U prijavi se takođe navodi da je prikaz detalja PPP-PD, koji je objavljen u novinama, moguće dobiti isključivo neposrednim pristupom elektronskoj bazi podataka Poreske uprave.
Povodom navoda u prijavi, predstavnici Rukovaoca naveli su da su Milica Bisić, sa Ivanom Posavcem i ostatkom tima, mogli sami objaviti izvod u novinama obzirom da su bili angažovani u Poreskoj upravi po nalogu bivšeg ministra finansija, Lazara Krstića da vrše reformu, unapređenje i kadriranje u Poreskoj upravi, iako u njoj nisu bili zaposleni, kao ni u Ministarstvu finansija, i bili su ovlašćeni da koristi službene resurse. Takođe su istakli da su baze podataka kojima su imala pristup, a koje omogućuju pretrage po različitim parametrima i tako nesmetan pristup svim podacima o građanima RS pa tako i bazi podataka PPP-PD, svojevoljno prisvojili tako što su ih kopirali na hard diskove laptop računara i prenosive USB i DVD medije, a zatim ih iznosili iz prostorija Poreske uprave, pa i van teritorije Republike Srbije. Dodatno, predstavnici Rukovaoca su naveli da nisu obavestili Poverenika o ovom jako ozbiljnom problemu.
Dalje, od strane predstavnika Rukovaoca je konstatovano nezadovoljavajuće stanje u oblasti zaštite podataka i u Centrali i u filijalama, i da se ubrzano preduzimaju organizacione, tehničke i kadrovske mere za njegovo popravljanje, kao i za implementaciju Zakona o tajnosti podataka. Na pitanje ovlašćenih lica Poverenika da li Ministarstvo finansija ima pristup bazi podataka PPP-PD, odgovorili su da ne znaju.
U drugom delu nadzora, razmatrajući tehničke aspekte navoda u prijavi, utvrđeno je da se informacioni sistem Poreske uprave deli po poreskim oblicima, da ima četiri core sistema, koji obrađuju pojedinačne poreske oblike i da je u toku proces objedinjavanja obrade svih poreskih oblika kroz uspostavljanje jedinstvenog sistema, koji bi trebalo da bude u potpunosti u funkciji tokom 2015. godine. Na pitanje ovlašćenih lica Poverenika na koji način je uspostavljen sistem sa kojeg su sporni podaci odštampani, ko istim ima pristup i na koji je način zaštićen, utvrđeno je da je u pitanju centralizovana baza podataka, koja funkcioniše na intranetu i da postoje različiti nivoi pristupa istoj. Svi poreski inspektori u RS (oko 700 inspektora) imaju pristup bazi podataka i podacima o ličnosti koji su sadržani u prikazu PPP-PD koji se pojavio u novinama. Pristup aplikaciji se ostvaruje aktivacijom operativnog sistema radne jedinice, tj. računara, putem unosa korisničkog imena i lozinke. Korisničko ime dodeljuje se zaposlenima, dok lozinku kreiraju sami. Pristup samoj aplikaciji, međutim, nije uslovljen unosom korisničkog imena i lozinke. Nakon kraćeg perioda neaktivnosti, računar se zaključava i zahteva ponavljanje unosa korisničkog imena i lozinke.
Dalje, posebno pisano uputstvo sa procedurama za upotrebu baza podataka ne postoji, ali se organizuju obuke za zaposlene, na kojima se obaveštavaju o svojim obavezama i odgovornostima u vezi sa istim. Na pitanje ovlašćenih lica Poverenika da li lica koja su preuzela baze podataka, pa i PPP-PD bazu, imaju tehničke mogućnosti da odštampaju predmetni izvod, u formi u kojoj se pojavio u novinama, utvrđeno je da je Ivan Posavec imao mogućnost pristupa bazama podataka. Takođe je utvrđeno da do danas nije uspostavljeno sistemsko beleženje pristupa aplikaciji i da log server ne postoji, na kojem se pohranjuju podaci o pristupu bazama podataka. Zabeleženi zapisi o pristupu aplikaciji PPP-PD, na osnovu kojih se može utvrditi koje lice i kada je vršilo pretragu podataka za Milicu Bisić za sporni period je moguće utvrditi proverom log fajlova na svakoj pojedinačnoj radnoj jedinici, odnosno na svakom pojedinačnom računaru korisnika aplikacije na teritoriji RS, što bi zahtevalo neracionalni utrošak vremena i sredstava.
U nadzoru je dalje utvrđeno da je Poreska uprava, uočivši činjenicu da su neovlašćena lica u posedu svih informacionih baza podataka Poreske uprave, o tome dostavila raspoloživu dokumentaciju Prvom osnovnom javnom tužilaštvu u Beogradu. Tužilaštvo je naložilo policiji da pribavi potrebna obaveštenja radi utvrđivanja krivične odgovornosti u vezi sa odlivom podataka i neovlašćenom upotrebom baza podataka, među kojima su i baze MUP, koje su klasifikovane oznakom “strogo poverljivo”. U istom predmetu je tužilaštvo zahtevalo podatke od Ministarstva finansija, koje je odgovorilo da je u spornom periodu Ivan Posavec radio za Ujedinjene nacije i da je i po prestanku angažmana u Poreskoj upravi, nastavio da korsiti službenu e mail adresu Ministarstva finansija, laptop računar Poresku uprave i više diskova sa podacima. Takođe je utvrđeno je da su navedena lica imala nesmetan samostalan pristup data centru Poreske uprave, što ukazuje na nepostojanje bezbednosti predmetnih podataka. Odgovornost za odliv podataka, prema tvrdnjama zamenika direktora Poreske uprave, kao i odgovornost za sve što je u Poreskoj upravi učinjeno pre njegovog stupanja na dužnost snosi bivši direktor Poreske uprave, kao odgovorno lice.
Uz Zapisnik o izvršenom nadzoru je dostavljena i Službena beleška o aktivnostima Ivana Posaveca vezanim za delokrug rada Sektora za informacione i komunikacione tehnologije, br. 000-031-00-00016/2014-I0136, od 25.08.2014., koja je sačinjena na osnovu zahteva zamenika direktora Poreske uprave, u kojoj se navodi da je za potrebe rada grupe kojom je rukovodio Ivan Posavec formiran poseban server, nezavisno od postojeće produkcije. Neki od velikog broja podataka iz Registra poreskih obveznika dostavljenih grupi uključuju podatke o obveznicima koji su u mirovanju i obveznicima koji su ispali iz mirovanja; podatke o uplatama obveznika sa teritorije Zaječara u periodu 01.11.2013 – 28.02.2014. po fiskalnim grupama; spisak 250 najvećih platiša; zaduženja vlasnika igraonica i stomatologa u 2013. po dokumentima na osnovu dostavljenih PIB-ova; podaci iz PPP-PD, podaci o svim JMBG-ovima i prijavljenim isplatama, itd.
Razni dopisi
U pismu Ministarstva finansija, Sektora za fiskalni sistem, Povereniku, br. 413-00-00259/2012-04, od 24.05.2012., tvrdi se da odredbama Zakona o poreskom postupku i poreskoj administraciji postoji pravni osnov za objavljivanje obaveštenja o iznosu poreskog duga svih poreskih obveznika i da nema osnova za stav Poverenika da ZPPPA ni ostali poreski zakoni ne obrađuju predmetna pitanja i da ne mogu da predstavljaju pravni osnov za objavljivanje podataka o ličnosti. U pismu se takođe ističe da obaveza čuvanja službene tajne nije povređena kada Poreska uprava izvršava svoju ustanovljenu obavezu prema ZPPPA i na svom vebsajtu objavljuje obaveštenje o iznosu poreskog duga svih poreskih obveznika, kao i da nije reč o objavljivanju podataka o ličnosti (JMBG, adresni kod, itd.), već ličnih imena poreskih obveznika – fizičkih lica i ukupan iznos. Poreska uprava na kraju zaključuje da je ZPPPA pravni akt iste pravne snage u odnosu na ZZPL i da ako se “objavljivanje podataka o poreskom dugu poreskih obveznika – fizičkih lica uopšte može smatrati korišćenjem podataka o ličnosti, neosporno je da se, saglasno članu 42. Ustava, to korišćenje uređuje zakonom, što podrazumeva pravni akt koji je kao zakon usvojila Narodna skupština a ne isključivo ZZPL.”[1]
Poverenik je uputio mišljenje na zahtev Poreske uprave, br. 011-00-00588/2012-05, od 10.09.2012., po pitanju kako bi Poreska uprava trebalo da postupa po zahtevima sredstava javnog informisanja za dostavljanje podataka o visini dugovanja fizičkih lica po osnovu javnih prihoda. Poverenik je naveo da Poreska uprava svakodnevno generiše i obrađuje značajan broj podataka od kojih neke predstavljaju podatke o ličnosti, a istovremeno podaci i informacije nastale u njenom radu imaju status informacija od javnog značaja. Tako da je dužna da se pridržava oba zakona. Poverenik je takođe naveo da svojstvo tražioca informacije nije od značaja prilikom odlučivanja po njegovom zahtevu, pa je irelevantno da li je zahtev podnet od strane sredstava javnog informisanja. Zaključeno je time da po Zakonu o slobodnom pristupu informacijama od javnog značaja, pravo javnosti da zna – ne može se ostvarivati na način kojim se ugrožava privatnost lica i vrši nezakonita obrada podataka o ličnosti, kao i da proaktivnost Poreske uprave u informisanju javnosti i anticipiranje interesa javnosti u pogledu činjenica koje se odnose na njen rad – nije prihvatljivo ukoliko se vrši nedozvoljenom obradom podataka o ličnosti u smislu odredbi ZZPL.
Poverenik je primio zahtev od Ministarstva finansija za mišljenje o tekstu Nacrta zakona o izmenama i dopunama Zakona o poreskom postupku i poreskoj administraciji. U pismu Ministarstvu, br. 011-00-00566/2014-05, od 20.06.2014., Poverenik je istakao da, sa aspekta nadležnosti uređene ZZPL-om, Poreska uprava i organi koji joj dostavljaju date podatke imaju obavezu da postupaju u skladu sa ZZPL i da prilika treba biti iskorišćena da se važeće odredbe Zakona o poreskom postupku i poreskoj administraciji usklade sa ustavnim i zakonskim standardima zaštite podataka o ličnosti.
Gradska poreska uprava Kragujevac se izjasnila povodom saznanja Poverenika da vrši distribuciju rešenja o porezu na imovinu za 2014. preko mesnih zajednica i mesnih kancelarija, a prema adresi prebivališta poreskog obveznika. U izjašnjenu u vezi dopisa Poverenika, br. 020-517/14-VIII, od 31.12.2014., je navedeno da se u skladu sa Zakonom o poreskom postupku i poreskoj administraciji poreski akt dostavlja poreskom obvezniku slanjem preporučene pošiljke, obične pošiljke ili preko službenog lica poreskog organa, da poreska uprava određuje način dostavljanja akta i da sekretari mesnih zajednica i šefovi mesnih kancelarija nisu vršili obradu podataka o ličnosti poreskih obveznika, već su vršili uručivanje poreskih rešenja kao službena lica organa Grada. Sekretari mesnih zajednica i šefovi mesnih kancelarija nisu dakle imali uvid u poresko rešenje i podatke koje ono sadrži. Gradska poreska uprava je takođe navela da je poreska rešenja pakovala u svojim službenim prostorijama na način da podaci, odnosno sadržina rešenja budu zaštićeni od neovlašćenog pristupa i drugih zloupotreba.
Takođe, u Odluci Gradskog veća, br. 436-3600/14-V, od 08.10.2014., istaknuto je da je ovakav pristup usvojen u cilju efikasnijeg dostavljanja i racionalizacije troškova, a da je pravni osnov za donošenje ove odluke sadržan u odredbama Statuta grada Kragujevca, Odluci o Gradskom veću, Poslovniku o radu Gradskog veća i u Zakonu o poreskom postupku i poreskoj administraciji.