17Dec2014

Povreda prava na zaštitu podataka o ličnosti skoro svih punoletnih građana Srbije

Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti sprovodi postupak nadzora nad primenom Zakona o zaštiti podataka o ličnosti (ZZPL) u Agenciji za privatizaciju.

Postupak je pokrenut pre nekoliko dana i potrajaće još izvesno vreme, ali i sada je izvesno da će rezultati postupka biti do sada najdrastičnija potvrda neshvatlјivo neodgovornog odnosa države prema pravu građana na zaštitu podataka o ličnosti.

Riziku neovlašćene obrade i zloupotrebe, izložena je ogromna količina ličnih podataka (ime, prezime, JMBG i neki drugi podaci), bezmalo svih punoletnih građana Srbije.

Po okončanju postupka Poverenik će, kao i obično, o svim relevantnim činjenicama obavestiti javnost, pokrenuti prekršajne postupke protiv odgovornih i zahtevati od tužilaštva i MUP-a da u okviru svojih nadležnosti pokrenu postupke za utvrđivanje krivične odgovornosti.

S tim u vezi Poverenik Rodolјub Šabić izjavio je sledeće:  "Postupak nadzora je pokrenut po službenoj dužnosti, a povodom indicija uočenih na društvenim mrežama i prijava građana koji su ukazivali na mogućnost neovlašćenog pristupa ličnim podacima u posedu Agencije za privatizaciju.

Proverom su te indicije potvrđene. Iako je npr. zbirka podataka "Evidencija nosilaca prava" od strane Agencije prijavlјena u Registar koji se vodi kod Poverenika kao "zbirka koja se vodi na posebnom računaru, osigurana sistemom lozinki za autorizaciju i identifikaciju, kojoj pristup imaju samo ovlašćena lica" podacima iz navedene zbirke pristup je, pre intervencije Poverenika, bio moguć od strane bilo koga i na jednostavan način.

Zbog obima dostupnih informacija (1,22 GB) nije bilo moguće odmah konkretizovati o kom broju građana se radi, ali je uz dobru saradnju sa ekspertima iz civilnog sektora, posebno "Share fondacije" utvrđeno da se radi o približno 5.190.000 lјudi.

Ovaj slučaj ne treba vezivati za vesti o "hakerskim pretnjama" kojima su se mediji poslednjih nekoliko dana prilično bavili. U slučaju "srpskih hakera", po onom što se moglo videti, radilo se o mnogo manjem broju ličnih podataka čije poreklo je najverovatnije baza podataka "sigurnih glasača" neke od političkih stranaka. U slučaju Agencije za privatizaciju radi se o daleko, neuporedivo većem broju podataka za čiju "kompromitaciju" je odgovoran državni organ. Posebno je zabrinjavajuće što za pristup i preuzimanje podataka u posedu Agencije nisu bile potrebne nikakve hakerske operacije ili posebna znanja, to se relativno lako moglo izvesti korišćenjem aktivnih linkova sa veb stranice Agencije i veb pretraživača.

Posle više upozorenja koje sam upućivao nadležnim, želim da verujem da će bar ovaj skandalozni slučaj dovesti do ozbilјne promene u odnosu države prema pravu građana na zaštitu podataka o ličnosti. To, pored ostalog, nužno podrazumeva i odgovornost. Pri tome ne mislim samo na odgovornost lјudi zaduženih za softversku, tehničku i fizičku bezbednost podataka, već naročito na političku i radnu odgovornost funkcionera i "eksperata" u nadležnim organima odgovornih za izgradnju normativnog sistema, edukaciju i strateški pristup koji s tim u vezi prave neshvatlјive propuste i nedopustivo dugo ignorišu očigledne probleme."

Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti