Zaštita ličnih podataka

Ko sve (ne) čuva naše lične podatke

Jedanaestog dana decembra jedan od najtiražnijih domaćih dnevnih listova dobio je e-mail petorice hakera (UrL3x, C3t^Rt1, L3g1j4, TR0FiX, Cyb3RH0Rn37), koji tvrde da su stariji od 19 godina, da su provalili u državni sistem i uzeli JMBG i druge podatke gotovo svih građana Srbije. Na ovaj postupak su se odlučili iz tri razloga: zato što naša policija juri samo naše hakere, a ne i Albanske, pa joj daju povod da ih pojuri, ali tvrde da neće uspeti da ih locira; drugi razlog je da narod vidi koliko je njegova privatnost u ovoj zemlji ugrožena i kako uz pomoć ovih podataka mogu da se dobiju gotovo sve informacije o njima; da država vidi i posle više upozorenja shvati da im je zaštita sistema slaba i da oko toga moraju da povedu još mnogo računa.

Tog i narednog dana, u medijima se digla velika galama u vezi ovog slučaja. MUP je objavio da prikazani podaci nisu iz njihovih baza i da rade na istrazi. Televizija i novine su prenosili izjave raznih stručnjaka iz oblasti IT i bezbednosti o tome šta je sve moguće uraditi sa ukradenim informacijama. I to je bilo sve. Kao u staroj narodnoj „svakog čuda za tri dana dosta”.

Prema dostupnim informacijama hakeri su došli do JMBG, imena, prezimena, adrese stanovanja, brojeva fiksnih i mobilnih telefona... Kakve su njihove namere sa tim informacijama? Da li su u pitanju etički hakeri koji ih neće zloupotrebiti ili će ih nekome prodati kako bi onda po potrebi vršili dodatno prikupljanje informacija za interesantne pojedince, lažno se predstavljati, nanositi finansijske gubitke ili čak napravili zamenu identiteta?

To niko ne zna. Ali od konkretnog slučaja mnogo je bitnije kakva je zaista zaštita naših ličnih podataka u Srbiji.

Najviše informacija o ovoj tematici javnost dobija od Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti gospodina Rodoljuba Šabića i njegove kancelarije. Ovaj vitez našeg društva čini se jedini brine o ovoj problematici i javno iznosi sve nagomilane probleme. Evo samo nekih od nedavnih mera i izjava koje su prethodile pomenutom događaju.

Sredinom novembra zatražio je od Ministarstvu finansija da se za fizička lica uvede poreski broj različit od JMBG jer se Zakonom o poreskom postupku i poreskoj administraciji predviđa objavljivanje određenih podataka pa kao rezultat toga, često na sajtovima lokalnih poreskih administracija imamo spiskove sa JMBG. Tako je u jednom slučaju Uprava javnih prihoda grada Beograda objavila spisak na 1027 stranica sa 50 JMBG na svakoj.

„JMBG predstavlja individualnu i neponovljivu oznaku identifikacionih podataka o građanima, i kao takav je vrlo pogodan podatak za pretrage u bazama podataka o ličnosti, te samim tim i veoma upotrebljiv za razne oblike zloupotreba. Priroda interneta kao medijuma, neograničene mogućnosti za preuzimanje i umnožavanje objavljenih podataka, te činjenica da zakon ne propisuje koliko dugo će podaci ostati objavljeni na prezentacijama poreskih organa, mogućnost zloupotrebe multiplikuju.

Unosom JMBG u razne aplikacije (npr. birački spiskovi) na internetu mogu se vršiti pretrage na internet prezentacijama lokalnih samouprava ili državnih organa koje kao rezultat mogu dati druge podatke o ličnosti nosilaca JMBG/PIB: ime i prezime, adresa stanovanja, biračko mesto. Dakle, veliki broj ličnih podataka čini se, bez svrhe i opravdanja, dostupnim nedefinisano velikom krugu lica.”

Početkom decembra, prilikom kontrole jedne jedinice MUP-a u Nišu, utvrđeno je da su objavljeni zdravstveni podaci radnika.

„Razlozi” i „objašnjenja” koje su za ovakav postupak ovlašćenim licima Poverenika dala odgovorna lica u MUP-u izvesno su još jedno upozorenje na apsolutno neadekvatan odnos države prema stanju zaštite podataka o ličnosti. Sa krajnje zabrinjavajućim posledicama odsustva osmišljenog strateškog pristupa koji nužno mora da podrazumeva i bar elementarnu edukaciju službenika o savremenim standardima zaštite podataka o ličnosti, poverenik se, u akcijama sprovođenja nadzora svakodnevno suočava.

Stoga, iako je ovo konkretno upozorenje otišlo na adresu MUP-a ono se zapravo odnosi na sve nadležne. Nužan je neuporedivo odgovorniji, aktivniji i kvalitetniji odnos prema stanju zaštite podataka o ličnosti.

Naročito osetljivi podaci prema članu 16. ZZPL moraju biti zaštićeni posebnim merama zaštite, a način čuvanja i mere zaštite „uz prethodno pribavljeno mišljenje Poverenika uređuje Vlada”. Rok da Vlada donese ovu uredbu istekao je još početkom maja 2009! I pored više upozorenja poverenika, Vlada (promenilo ih se nekoliko) i Ministarstvo pravde, čija je obaveza da je pripremi nisu to učinili. Ne postoji nijedan racionalan razlog kojim bi se mogla „objašnjavati” docnja duga pet i po godina.”

Da li je potrebno dodatno objašnjavati nemar prema ličnim podacima građana?

Ono što još više zabrinjava je podatak da se lični podaci građana nalaze u više od 300.000 institucija koje rukuju njima, a procenjuje se da oni imaju bar milion baza podataka! Svi koji rukuju ličnim podacima građana trebalo bi da prijave svoje baze u Centralni registar, kako bi poverenik mogao da kontroliše ko i kako obrađuje nečije podatke.

Međutim, u centralni registar upisano je tek 317 rukovaoca ličnim podacima, i oko 1600 evidencija o zbirkama koje vode, što nije ni 0,5 odsto onoga što se očekuje da postoji.

Za bazu građana kojom smo počeli ovu priču, Poverenik kaže da je najverovatnije u pitanju baza „sigurnih” glasača neke partije. No, ovih dana je, na prijave građana, utvrdio da je Agencija za privatizaciju jednu svoju bazu koja se nalazi u registru i koja je trebalo da se nalazi na izdvojenom računaru sa sistemom lozinki, zapravo nudila preko svog sajta. Baza od 1,22 GB sadrži podatke oko 5.190.000 ljudi sa mnogo delikatnijim informacijama od pomenutog spiska „sigurnih” glasača. Pri tome je ovu bazu nudio „na izvol’te” državni organ i da bi se preuzela bilo je dovoljno imati browser i linkove sa sajta Agencije.

U Srbiji krađa identiteta nije zakonom sankcionisana i u takvim situacijama primenjuju se odredbe koje se odnose na falsifikovanje isprava i prevare. Do sada je u Srbiji prijavljeno samo pet slučajeva krađe identiteta, dok je u SAD već duže vreme na prvom mestu krivičnih dela prevara.

Da li treba da brinete? Ne treba biti paranoičan, ali trebalo bi da se dobro brinete o svojim ličnim podacima, a država će valjda shvatiti da mora što pre da menja i propise i shvatanja ove problematike kod svojih službenika. Biće to dugotrajan proces.

Dušan DINGARAC