Menu 021

U zemlji sa dugom istorijom kompromitacije podataka o ličnosti, epidemija predstavlja ozbiljan izazov

Srbija je "zemlja sa dugom istorijom kompromitacije podataka o ličnosti", smatra sagovornik 021 iz kancelarije Poverenika za zaštitu podataka, a pandemija virusa korona donela je neke nove i opasnije izazove.
Info 27.01.2021. | 14:26 > 19:43
U zemlji sa dugom istorijom kompromitacije podataka o ličnosti, epidemija predstavlja ozbiljan izazov
Foto: 021 (ilustracija)
Kako za 021 objašnjava Zlatko Petrović pomoćnik sekretara u kancelariji Poverenika, pandemija je stvorila niz izazova u oblasti zaštite podataka o ličnosti, posebno imajući u vidu njen karakter i sveprisutnost. 
 
"Pre svega podaci o zdravstvenom stanju predstavljaju posebnu vrstu podataka o ličnosti i prema zakonu njihova obrada je zabranjena. Međutim, po zakonu obrada ovih podataka dozvoljena je u nekih deset restriktivnih slučajeva, a jedan od njih je slučaj zaštite javnog zdravlja", navodi Petrović. 
 
U praksi se zato pojavilo pitanje da li urgentnost očuvanja javnog zdravlja zahteva kompromis kada je u pitanju zaštita podataka pacijenata, inficiranih virusom korona i njihovih kontakata, a ova nedoumica mučila je mnoge, od predstavnika države do medija. Predstavnici vlasti, međutim, u više navrata su našli način da je iskoriste kako bi otežali javnosti pristup informacijama od značaja, dok su je pojedini mediji potpuno ignorisali.  
 
Bezbednosni incident sa ličnim podacima obeležio prve dane epidemije
 
Iako je novi Zakon o zaštiti podataka o ličnosti uveo stroga pravila u vezi sa obradom podataka o zdravstvenom stanju, Srbija je na samom početku epidemije imala veliku kompromitaciju ličnih podataka. Kako objašnjava Petrović, uspostavljen je informacioni sistem COVID-19 koji objedinjuje podatke o svim zaraženim i testiranim licima, ali prilikom uspostavljanja tog sistema nisu bile poštovane odredbe Zakona o zaštiti podataka o ličnosti
 
"Naime, uspostavljanje takvog sistema koji sadrži veliku količinu delikatnih podataka podrazumeva da pre svega morate da sačinite procenu uticaja na zaštitu podataka o ličnosti, koja nije bila sačinjena, a i uloge između subjekata koji obrađuju te podatke nisu bile na dovoljan način definisane. Dogodilo se to da je jedan dom zdravlja objavio pristupne kredencijale, odnosno ime i lozinku za pristup tom informacionom sistemu, tako da je bilo koji korisnik na planeti mogao da pristupi srpskom informacionom sistemu. Intervencijom poverenika je ta kompromitacija sprečena. Međutim to ukazuje da kada formirate takve IS i kada baratate takvim podacima, morate preduzeti posebne mere predostrožnosti da ne bi došlo do curenja podataka", ocenjuje sagovornik 021.
 
Zbog propusta u rukovođenju sistemom, Poverenik je izrekao opomenu "Batutu", a kasnije je izrađena i procena uticaja na zaštitu podataka. Sa stanovišta bezbednosti, zabrinjavajuće je to što se doma zdravlja iz kog je potekao incident, sistemu pristupalo sa nepersonalizovanim šiframa, iako je postojala mogućnost personalizacije, što upućuje na opasan nedostatak znanja i obuka u oblasti zaštite podataka i sajber-bezbednosti. 
 
 
Desilo se i da je krizni štab jedne lokalne samouprave u Srbiji preuzeo podatke o zaraženima na svom području i podelio ih, ni manje ni više nego na Fejsbuk stranici. U ovom slučaju je poverenik čak podneo i krivičnu prijavu. 
 
Ono što je bilo nužno uraditi, od samog početka, jeste definisati odnos i uloge svih subjekata koji mogu da raspolažu podacima o kovid pacijentima i testiranima, a to su "Batut", domovi zdravlja, Republički fond za zdravstveno osiguranje, laboratorije širom Srbije, Ministarstvo unutrašnjih poslova i Ministarstvo odbrane.
 
Postavlja se i pitanje šta se dešava i šta bi moralo da se desi sa svim ličnim i medicinskim podacima građana Srbije koji su završili u sistemu zbog pandemije. Petrović kaže da podaci ostaju dok svrha njihove obrade ne bude ostvarena. 
 
"U situacijama kada zakonom imate određen rok, onda se taj rok poštuje. Ukoliko zakonom nije propisan rok, onda ti podaci treba da se čuvaju onoliko koliko im sama svrha traje", ističe naš sagovornik. 
 
Krše li poslodavci prava zaposlenih na zaštitu podataka?
 
Često su se, kaže Petrović, postavljala i pitanja u vezi sa pravima zaposlenih na privatnost kada su u pitanju mere prevencije i kontrole koje sprovode poslodavci. I tu je bilo više propusta. Kako navodi, na samom početku epidemije, jedan državni organ koji ima svoje ispostave širom Republike Srbije je prekršio pravo zaposlenih na zaštitu podataka tako što je, kako bi omogućio zaposlenima koji imaju hroničnu bolest rad od kuće, greškom podelio osetljive podatke u grupnom mejlu.
 
"Državni organ je tražio od zaposlenih da dostave dokaze o hroničnoj bolesti. Sačinio je jedno zbirno rešenje kojim se odobrava rad od kuće svim tim licima i u prilogu tog rešenja priložio spisak svih tih lica, a zatim je greškom taj spisak lica sa oboljenjima prosledio na svakoj osobi sa spiska. Znači da praktično, vi kao zaposleni u tom državnom organu u ispostavi u Novom Sadu biste dobili spisak svih lica i u Beogradu, i u Leskovcu, u Šapcu sa svim tim bolestima. U takvim situacijama poslodavac mora posebno da vodi računa o zdravstvenim podacima. Znači poslodavac tu ima opravdanje da obrađuje te zdravstvene podatke, ali mora vrlo, vrlo pažljivo da postupa sa njima", naglašava sagovornik 021.
 
Između ostalog, bilo je postavljeno na samom početku epidemije pitanje merenja temperature, pa su evropski organi za zaštitu podataka o ličnosti izašli sa mišljenjem da obično merenje temperature ne predstavlja posebnu vrstu obrade podataka o ličnosti i  da nije sporno. 
 
"Ali, ako bi poslodavac rešio iz dana u dan da vam meri temperaturu, pa da to beleži, pa da kasnije obrađuje te podatke, onda bi već nastao problem", ocenjuje Petrović. 
 
 
A ako se zaposleni razboli, sme li poslodavac objaviti podatke o tome? Petrović kaže da se tu zauzeo stav da je poslodavac dužan da obavesti kolektiv o slučajevima zaraze virusom korona, a ukoliko je neophodno da se saopšti identitet lica, onda bi zaposleni zaražen virusom morao da bude upoznat sa tim da će kolektiv biti obavešten. 
 
Ukoliko deo kolektiva ili jedan zaposleni radi od kuće, poslodavci su stavljeni u izazovan položaj kada je u pitanju kontrola rada na daljinu. Evropski organi su stava da kontrola ne bi trebalo da preraste u nadzor, naročito ne u video-nadzor.
 
"Ne treba vi svog zaposlenog da gledate kako kuca za tastaturom u svojoj dnevnoj sobi. Sa druge strane, imate niz nekakvih softvera koji služe kontroli rada od kuće. Međutim, ti softveri su u principu jako, jako problematični jer oni praktično predstavljaju neku automatizovanu obradu podataka o ličnosti koji služe merenju nekakvog radnog učinka. Za uspostavljanje takvih sistema postoje posebne restriktivne mere, u skladu sa zakonom", objašnjava on.
 
Duga istorija kompromitacije privatnih podataka
 
Sagovornik 021 podseća da u Srbiji postoji "duga istorija kompromitacije podataka o ličnosti, posebno medicinskih podataka".
 
"Na primer, pre neke četiri godine, mnogo pre pandemije, uspostavljen je jedan integrisani zdravstveni informacioni sistem koji je omogućavao bilo kom korisniku interneta na planeti da može da pristupi zdravstvenom kartonu bilo kog građanina Srbije i pročita ili čak promeni podatke u zdravstvenom kartonu, zato što su svi korisnici imali istu šifru", priča Petrović za 021.
 
Novi Zakon o zaštiti podataka o ličnosti uveo je stroga pravila u obradi podataka o zdravstvenom stanju, odnosno preuzeo je pravila iz evropske opšte uredbe o zaštiti podataka o ličnosti. Lekcije iz začetaka zaštite podataka u ličnosti, a i iz perioda korone za građane, Poverenika i državu su neophodnost informisanja o potrebi zaštite podataka, strogo izbegavanje zaštite podataka u ličnosti, posebna obazrivost kada su u pitanju osetljivi podaci i izričito poštovanje Zakona. 
 
 
Sutra, 28. januara, obeležava se Međunarodni dan zaštite podataka o ličnosti. Pre 15 godina, Savet Evrope odlučio je da pokrene Dan zaštite podataka koji se obeležava svake godine na ovaj datum, na dan kada je Konvencija Saveta Evrope o zaštiti podataka, poznata kao "Konvencija 108", otvorena za potpisivanje. Na ovaj datum, vlade, parlamenti, nacionalna tela za zaštitu podataka i drugi akteri sprovode aktivnosti na podizanju svesti o pravima na zaštitu ličnih podataka i privatnost. One mogu uključivati kampanje koje su namenjene široj javnosti, obrazovne projekte za nastavnike i studente, otvorena vrata u agencijama za zaštitu podataka i konferencije.
Autor: Dragana Prica Kovačević - dragana@021.rs
Preuzimanje delova teksta ili teksta u celini je dozvoljeno bez ikakve naknade, ali uz obavezno navođenje izvora i uz postavljanje linka ka izvornom tekstu na www.021.rs. Preuzimanje fotografija je dozvoljeno samo uz saglasnost autora.
  • Zzx
    27.01.2021 22:51
    Tamo i ovamo
    Ovakva razmišljanja su na mestu u pravnim državama, ali ovo je Srbija, bre.

Komentari čitalaca na objavljene vesti nisu stavovi redakcije portala 021 i predstavljaju privatno mišljenje anonimnog autora.

Redakcija 021 zadržava pravo izbora i modifikacije pristiglih komentara i nema nikakvu obavezu obrazlaganja svojih odluka.

Ukoliko je vaše mišljenje napisano bez gramatičkih i pravopisnih grešaka imaće veće šanse da bude objavljeno. Komentare pisane velikim slovima u većini slučajeva ne objavljujemo.

Pisanje komentara je ograničeno na 1.500 karaktera.

Napiši komentar



Preostalo 1500 Karaktera


* Ova polja su obavezna
O nama Oglašavanje Kontakt Impresum Uslovi i pravila korišćenja Pošalji vest