Procenjuje se da se u Srbiji oko 350.000 subjekata javnog i privatnog sektora bave obradom podataka o ličnosti. Ukupan broj evidencija se procenjuje na preko milion, koje obuhvataju evidencije državnih organa, ustanova penzijskog i zdravstvenog osiguranja, obrazovanja, socijalne zaštite, bankarskog sistema, komunalnih službi, udruženja građana, kao i obradu podataka putem video nadzora na javnim mestima, poslovnim i stambenim objektima.
U Srbiji ovu oblast uređuje Zakon o zaštiti podataka o ličnosti, a njegovu primenu prati Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti. Lisa Soto, stručnjak za bezbednost podataka, sastala se sa Poverenikom za informacije od javnog značaja Rodoljubom Šabićem u okviru Projekta za reformu pravosuđa i odgovornu vlast koju sprovodi USAID. Lisa Soto, koja je proglašena za eksperta broj jedan za zaštitu podata u Americi, govori za B92 o tome kako sve možemo postati meta kradljivaca podataka, kako da se zaštitimo i šta Srbija može da uradi da unapredi postojeće mehanizme odbrane.
Zakon o žaštiti podataka o ličnosti nije usklađen sa Direktivom Evropskog parlamenta, i smatra se sa stanovišta novih evropskih standarda prevaziđenim. Koji su glavni nedostaci i slabosti sadašnjeg zakona? Postojeći zakon, koji je stupio na snagu pre nekoliko godina, zapravo sadrži mnoge koncepte koji su saglasni sa evropskom direktivom o zaštiti podataka. Pomenuti Zakon se približava standardima evropskog zakonodavstva. Problem kod Srbije i drugih zemalja je što se evropsko zakonodavstvo stalno menja. Čak i da je srpski zakon danas u saglasnosti, u sledećih nekoliko godina ti standardi će se promeniti, tako da i Srbija mora da promeni svoj zakon. Ključne oblasti koje zahtevaju dodatno obrazloženje su uslovi za zaštitu podataka, i obaveštavanje o ugrožavanju podataka. To su koncepti o kojima se vodi diskusija u EU trenutno, i Srbija može da se pridruži takvim diskusijama i da obezbedi uputstva za srpska pravna lica u ta dva koncepta.
Koji su najčešći načini na koje se krši pravo na zaštitu podataka o ličnost? Najčešći problem u Evropi je nemogućnost da se licima obezbedi pristup njihovim privatnim podacima, što je osnovna obaveza Direktive o zaštiti podataka EU. Pored toga, čest je slučaj nedovoljna zaštita podataka, u smislu neovlašćeog objavljivanja podataka koje bi moglo da dovede do štete vlasniku podataka.
Kako sve mogu da se zloupotrebe podaci i koliko ozbiljne posledice mogu da budu? Postoji nekoliko opasnosti koje proizilaze iz krađe ili gubljenja podataka. Na primer, ako je broj kreditne ili debitne kartice ukraden, to bi moglo da dovede do finansijske štete kod vlasnika podataka. Ako je lični broj ukraden, to bi moglo da dovede do finansijske štete ili druge vrste štete, poput nemogućnosti da se dobije odobrenje ili dozvola za neku aktivnost ako postoji negativni podaci u ličnim podacima, koji ne proizilazi iz aktivnosti vlasnika podataka. U SAD imamo uslugu koja je veoma česta za osobe čiji su podaci bili ukradeni. To je da se obezbedi nešto što se zove "kreditno praćenje“. Kreditno praćenje je usluga, koju obezbeđuju agencije, kako bi se kreditni podaci pojedinca nadgledali zbog nelegalnih aktivnosti. To nije dostupno u većini delova Evrope, pošto ne postoji koncept "kreditnih podataka“. Tako u Evropi vlasnik podataka treba da drugačije reaguje, na primer, treba da prati svoje račune sa kreditnih kartica ako je ugrožena sigurnost podataka sa kreditne kartice, ili da prati bankovne račune ukoliko je ugrožen broj debitne kartice.
Kakva je situacija u Srbiji? Kakva je procedura nakon što dodje do krađe podataka? U Srbiji kao i svuda drugde postoji pravo na podnošenje žalbe Povereniku za informacije od javnog značaja. Poverenik može da pokrene postupak, ali ako je počinilac nepoznat, poverenik ne može da učini mnogo da zaštiti pojedinca. Tako osoba mora da preduzme korake da zaštiti sebe. Poverenik može da traži kaznu za onoga ko kontroliše podatke, koji je možda manje zaštitio prodatke nego što bi trebalo.
Da li imamo pravo da budemo obavešteni da su naši podaci kompromitovani? Postoji obaveza da se podaci štite, ali koncept obaveštavanja kada su ugroženi je nov u čitavoj Evropi. To je razvijen koncept u SAD, i u Nemačkoj gde postoji Zakon o obaveštavanju u slučaju krađe podataka, ali to nije slučaj u većini zemalja EU. U većini zemalja članica EU je podrazumevano obaveštavanje o upadu kada su kompromitovani podaci telekomunikacionih operatera ili internet provajdera. To je zato što sada postoji direktiva koja zahteva od članica EU da sprovode obaveštavanje o povredi podataka samo u ta dva sektora.
Dakle u Srbiji, ako su moji lični podaci iz medicinskih dokumenata ukradeni, postoji šansa da ja o tome neću biti obaveštena? To je tačno da je u ovom trenutku moguće da vi ne budete obavešteni o tome. I to je tako u većini zemalja EU. Upravo razgovaramo sa Poverenikom i njegovim zaposlenima, i pravimo nacrt dokumenta o obaveštavanju u slučaju povrede podataka za Srbiju.
U Srbiji je kazna za povredu podataka o ličnosti prilično mali. Iako se prema Zakonu kazne kreću od 50.000 do 1 milion dinara, u praksi su to najminimalnije kazne, ako uopšte dođe do kažnjavanja. Da li je to dovoljno i kakva je praksa u SAD? U SAD Federalna trgovinska komisija zapravo ne može da nametne novčanu kaznu za prvi prekršaj. Za drugi prekršaj, nakon što je pravno lice ušlo u postupak pred Federalnom trgovinskom komisijom, ona može da odredi novčanu kaznu. Druge agencije u SAD poput Ministarstva zdravlja i zdravstvenih usluga može da odredi novčanu kaznu, i to je i činila za ugrožavanje privatnost i objavljivanje podataka. Najznačajnija kazna do danas u SAD je bila kada je ovo telo izreklo kaznu 4.3 miliona dolara. U Britaniji poverenik za informacije ima mogućnost da kazni sa maksimalno 500.000 funti za prekršaj. Druge zemlje imaju drugu kaznenu politiku.
Da li verujete da je novčana kazna dovoljna? Verujem da je novčana kazna veoma moćna. Mislim da je publicitet koji dolazi sa novčanom kaznom takođe veoma moćan. Možda je još značajnija za preduzeća koja lako mogu da plate tu kaznu.
Na šta građani teba da obrate pažnju kada daju svoje lične podatke? Koje su to najčešće greške? Važno je da oprezno dajemo svoje lične podatke drugim ljudima. Termin lični podaci je veoma širok, i podrazumeva informacije poput imena, ali i osetljive informacije poput broja kreditne kartice ili ličnog broja. Podaci koji su manje osetljivi mogu da budu dati lakše nego oni koji su podložni finansijskoj ili fizičkoj šteti, poput broja kreditne kartice. Ako dajete broj svoje kreditne ili debitne kartice, ili matičnog broja, budite sigurni da delite te podatke odgovarajućoj osobi, i razmislite da li ona može da ih zaštiti i da ih koristi na pravi način.
Da li su građani lakoverni, ili naprotiv nepoverljivi? Mislim da svi manje štitimo podatke nego što bi trebalo. To zahteva obrazovne programe koje sprovodi Poverenik za informacije ne bi li pojedinci, firme i vlada bili konstrantno svesni rizika i opasnosti prikupljanja podataka. Jedan od važnih koncepata u globalnoj zaštiti podataka je "minimizacija podataka“. To suštinski znači da se sakupljaju samo podaci koji su neophodni i koji su namenjeni daljoj upotrebi. To znači da se uništavaju svi podaci koji kasnije nisu potrebni.
Prošle godine, brojevi velikog broja visa kartica su ukradeni, tako da su one morale da budu uništene i ponovo izdate. To je izazvalo veliku paniku kod korisnika kartica, ali koliko su ovakvi upadni ozbiljni i ko je tu zapravo "veliki gubitaš“? U takvim situacijama veliki broj ljudi gubi. Veliki dobitnik je naravno haker. Gubitnici su čitava javnost, koja na kraju snosi troškove indirektno, matična banka i banka koja je izdala kartice. Obično oni nadoknađuju sve gubitke, a ako matična banka ne nadoknadi gubitke, onda to čini pojedinac. Ali to se skoro nikada ne dešava. Pored svega, banka mora da pokrije troškove koji prate zamenu kartica. Zamena svake kartice košta, a sistem mora da bude podešen zbog promene broja računa. Mislim da su kompanije kreditnih kartica i banka koja ih je izdala svesni ovih problema i veoma agilne i otkrivanju anomalija kako bi utvrdile da postoji prevara sa karticama. One ne mogu da otkriju i spreče svaku pojedinačnu prevaru, ali mogu dosta da urade u većini slučajeva.
U Srbiji uvek su žive rasprave o tome da li MUP i BIA zloupotrebljava naše privatne podatke. Da li postoji potreba da se štitimo i od države? Mislim da država kao i svaki privatni sektor mora da se informiše. Nema razlike u procesu informisanja. Postoje razlike u načinu na koji se koriste podaci na državnom nivou i u privatnom sektoru. Ali informisanje, treninzi i dizanje svesti o problemu koje vrši Poverenik za informacije su ključni.
Koja bi trebalo da bude uloga vlasti, pored donošenja boljih zakonskih propisa? Državni organi bi trebali da razumeju koncept zaštite ličnih podataka uz poštovanje njihove privatnosti i sigurnosti. Ukoliko su svesni problema, mislim da bi ih uzeli u obzir kad god razvijaju nove programe ili tehnologije.
Kada su u Srbiji uvedene nove lične karte, postojala je velika polemika oko toga da li one da budu čipovane ili ne. Nakon rasprava o Zakonu o ličnoj karti, i velikih pritisaka od strane NVO, čak i SPC, čipovanje ličnih karata je omogućeno kao opcija pri izdavanju lične karte, ali ne i kao obaveza. Određeni broj građana nije hteo da uzme čipovane identifikacije zbog mogućnosti da se njihova privatnost ugrožava. Koliko su takvi strahovi osnovani? Pomoću čipova nije moguća da vas neko prati na daljinu. Njihovi čitači rade samo sa male udaljenosti. Ta bojazan je bila izražena na razne načine. Recimo, pasoši SAD sadrže RFI čipove. Kreditne kartice imaju čipove. Ovi čipovi se upotrebljavaju u razne svrhe. Veoma su značajni za napredak tehnologije autentifikacije, ali su takođe rizik. Moramo da napravimo balans između rizika i dobiti, i da se uverimo da su nametnuta odgovarajuća pravila po pitanju upotrebe čipova. Rizici mogu biti da ljudi koji nisu ovlašćeni čitaju čipove i koriste podatke.
Osetljivi podaci, poput informacija o lečenju, su takođe meta napada hakera. Koje su posledice krađe takvih podataka? Informacije o lečenju sve češće postaju meta kradljivaca identiteta. Oni kradu brojeve medicinskog osiguranja, kako bi koristili usluge lekara. Svedoci smo da vlasnici podataka dobijaju dokumene o uslugama koje oni nisu koristili. To je nova oblast, tako da nismo još otkrili kako da ovo sprečimo u potpunosti. Ali postoje metode koje bi mogle da se koriste. Na primer, kada neko traži lekarsku pomoć, medicinsko osoblje može da traži proveru identiteta te osobe, kako bi bili sigurni da je to osoba koja tvrdi da jeste.
Sastali ste se sa Rodoljubom Šabićem, poverenikom za informacije od javnog značaja, koji je osoba kome se građani obraćaju kada je u pitanju zaštita od zloupotrebe privatnih podataka. Koji su zaključci vašeg sastanka? Imali smo veoma produktivan sastanak na kome smo pričali generalno o zaštiti podataka na globalnog nivou i u Evropi. Postoji duboka želja da se dobro razumeju pravila zaštite podata u Evropi. Ujedno, postoji veoma duboko razumevanje tih pravila u okviru kancelarije Poverenika za zaštitu podataka.
Kojim praksama Rodoljub Šabić može da unapredi pravo građana da zaštite svoje podatke? Mislim da je poverenik razmatrao veoma detaljno ove probleme, deluje mi da ih razume veoma dobro. Mislim da je važno da se obrazuju preduzeća i državni organi o značaju zaštite privatnosti i sigurnosti ličnih podataka. Tako edukacija, treninzi i svest o problemu su ključni, a pored toga uverena sam da će Poverenik u narednom periodu nastaviti praksu pripreme vodiča i uputstava namenjenih preduzećima i državnim organima kako bi im pomogli da uspostave pojedina pravila i procedure ne bi li zaštitili privatnost i sigurnost podataka.
Ovo je arhivirana verzija originalne stranice. Izvinjavamo se ukoliko, usled tehničkih ograničenja,
stranica i njen sadržaj ne odgovaraju originalnoj verziji.
Komentari 9
Pogledaj komentare