Uvod

Decembra 2014. godine javnost je saznala za najmasovniju povredu privatnosti i prava na zaštitu podataka o ličnosti građana Srbije. Naime, tih dana je SHARE Fondacija utvrdila da je na sajtu Agencije za privatizaciju dostupan dokument koji sadrži lične podatke o 5.190.396 građana Srbije – njihovo ime i prezime, srednje ime i jedinstveni matični broj (JMBG). U postupku nadzora koji je potom sprovela služba Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti, ustanovljeno je da je sporni dokument 10 meseci bio javno dostupan na sajtu Agencije za privatizaciju sa kog je, po rečima nadležnih iz Agencije, preuzet “više” puta. Posledice ovog slučaja teško da se sada mogu u potpunosti sagledati i čini se da još uvek nedostaje puno razumevanje ozbiljnosti incidenta. Javnost se nije bavila ovim slučajem dalje od ponekog senzacionalističkog naslova, dok je utvrđivanje odgovornosti potpuno izostalo. Više od godinu dana kasnije i dalje se ne zna da li je reč o slučajnosti, sistemskom propustu ili zloj nameri. Posebno zabrinjava činjenica da različiti akteri koji rukuju podacima građana i dalje koriste JMBG kao vrstu identifkatora, što znači da je samo na osnovu ličnog imena i teško kompromitovanog matičnog broja moguće pristupiti podacima o ličnosti u pojedinim registrima organa vlasti, ili čak obavljati pojedine poslove u banci telefonskim putem.

Slučaj Agencije za privatizaciju otkrio je razmere rizika kom su izloženi naši podaci, ali je ukazao i na nedostatak pouzdanih saznanja o praktičnim i tehničkim uslovima u kojima se podaci građana prikupljaju, obrađuju i čuvaju. SHARE Fondacija je stoga rešila da istraži koji se podaci prikupljaju u javnom sektoru, ko i na koji način ima pristup podacima građana, te koje se mere zaštite u ovim procedurama primenjuju. Značaj istraživanja je, srećom, prepoznat u USAID-ovom Projektu za reformu pravosuđa i odgovornu vlast, pa je tako projekat SHARE Fondacije pod nazivom “Podaci o ličnosti u javnom sektoru – Mapiranje infrastrutkure obrade podataka u Srbiji” dobio neophodnu podršku.

Rad je započet u aprilu 2015. godine, obimnim istraživanjem o vrstama obrade i načinima zaštite podataka o ličnosti u javnom sektoru, čiji su procesi zatim analizirani sa pravnog, organizacionog i tehničkog aspekta, predstavljenim u ovom Vodiču. Istraživanje je obuhvatilo šest državnih institucija: Republički fond za zdravstveno osiguranje, Republički fond za penzijsko i invalidsko osiguranje, Centralni registar obaveznog socijalnog osiguranja, Poreska uprava, Agencija za privredne registre i Gradski centrar za socijalni rad Beograd. Metodološki je istraživanje zasnovano na javno dostupnim podacima, ali i podacima dobijenim putem zahteva za pristup informacijama od javnog značaja. Institucije su bile spremne na saradnju, te je sa predstavnicima održan niz sastanaka zahvaljujući kojima su istraživači bolje upoznavali i razumevali procese rukovanja podacima građana u javnom sektoru.

Tokom rada, istraživači SHARE Fondacije su imali neprocenjivu podršku službe Poverenika za pristup informacijama od javnog značaja i zaštitu podataka o ličnosti. Značajno iskustvo koje zaposleni u službi Poverenika imaju u ovoj oblasti bilo je dragoceno za rad istraživača, a posebno njihova dostupnost i spremnost za aktivnu razmenu znanja.

Kao krajnji rezultat istraživanja, Vodič obuhvata najbolje prakse i procedure zaštite podataka koje se primenjuju u analiziranim institucijama, ali i višegodišnje iskustvo službe Poverenika iz ove oblasti te znanje i inovativnost SHARE Fondacije koja se posebno bavi pitanjima privatnosti u digitalnom okruženju.

Vodič je namenjen pre svega organima vlasti, ali s obzirom na to da je zaštita podataka o ličnosti oblast uređena zakonom koji se tiče svih aktera, analize i preporuke iz istraživanja SHARE Fondacije biće od koristi i rukovaocima podataka iz privatnog sektora. Konačno, najvažnija svrha istraživanja predstavljenog u ovom Vodiču, jeste doprinos boljem razumevanju podataka o ličnosti, značaja njihove zaštite, kao i dužnosti rukovaoca i obrađivača podataka, te tehničkih i organizacionih mera koje su im na raspolaganju ili koje su u obavezi da primene kako bi zaštitili podatke o ličnosti građana Srbije.

U prvom delu Vodič razmatra osnovne pojmove ove, relativno nove oblasti. Zakon o zaštiti podataka o ličnosti pisan je u skladu sa celokupnim narativom domaćeg pravnog sistema, strukovnim jezikom neophodnim za efikasnu primenu, a koji ponekad može biti neprohodan manje upućenom čitaocu. Razjašnjenja pojedinih odredbi i termina kao što su ‘rukovalac’, ‘obrada podataka’, pa i sam ‘podatak o ličnosti’, data su kroz primere, stvarne ili hipotetičke. Bolje razumevanje smisla osnovnih pojmova i principa Zakona o zaštiti podataka o ličnosti, nužan je uslov za prepoznavanje prava na privatnost i zaštitu podataka o ličnosti kao otelotvorenja suštinske potrebe svakog građanina, a ne spoljašnjeg mehanizma nametnutog prolaznom pravnom normom.

U odeljku posvećenom organizacionim merama za zaštitu podataka izložene su analize i preporuke namenjene upravi i kadrovskoj službi organa vlasti, kao niz korisnih smernica za organizaciju zaposlenih u skladu sa načelom smanjenja rizika od povrede prava na zaštitu podataka o ličnosti. Posebno su obrađena pitanja poput odgovornosti za zaštitu podataka, lica koja se bave tim poslovima, edukacije zaposlenih, neophodnih internih akata i druga.

Tehničke mere za zaštitu podataka namenjene su prvenstveno tehničkim ekspertima u organima vlasti, a u tom delu su izložena iskustva i preporuke za adekvatnu strukturu informacionog sistema, te problemi pristupa, čuvanja i zaštite podataka u digitalnom okruženju.

Poslednji, četvrti deo Vodiča tretira praksu lica ovlašćenih da postupaju po zahtevima za ostvarivanje prava iz Zakona o zaštiti podataka o ličnosti. Tu su obrađene procedure i načini na koji organ vlasti treba da postupa po ovim zahtevima građana, uz poseban osvrt na nedoumice ili nejasnosti koje su uočene prilikom razlikovanja zahteva vezanih za zaštitu podataka od zahteva za pristup informacijama od javnog značaja.
SHARE Fondacija, mart 2016.