Сви лични подаци грађана Српске у посједу приватних ИТ компанија

Неколико приватних ИТ компанија кроз израду и одржавање десетине милиона вриједних софтвера за државне институције добило је приступ свим најповјерљивијим личним подацима грађана Републике Српске. Истраживање портала ЦАПИТАЛ о безбједности тих података и могућности њихове злоупотребе показало је да у РС и БиХ нема системског надзора над радом тих компанија и да стандарде којих ће се придржавати одређују саме фирме, а не држава.

Република Српска 04.09.2021 | 08:41

Институције у Српској посљедњих година су се окренуле дигитализацији и израдиле су информационе системе који су на једном мјесту објединили све податке. Грађане је то коштало десетине милиона марака.

Изузимајући овај пут цијену за софтвере, за коју многи сматрају да је превисока, чињеница је да је дигитализација донијела бројне предности, али и нове опасности од којих је свакако највећа како сачувати право грађана на приватност. У рачунарским програмима које су изградиле приватне компаније налазе се подаци од здравствених картона, пореских картица, подаци о имовини, личних докумената, потрошњи електричне енергије, ЈМБ, адресе становања, па све до видео-надзора кретања на улицама и подацима о сваком аутомобилу.

БиХ једина у региону нема европски закон о заштити података

У Европској унији се од маја 2018. године примјењује Општа уредба о заштити података (ГДПР) којом се регулише заштита података и приватност лица унутар ЕУ која је донијела и прописе везане за изношење података у треће земље.

Овом уредбом су ојачана права носилаца података и обавезе оних који обрађују личне податке. Појачана су надзорна овлашћења, као и могућност изрицања казни од стране тијела за заштиту личних података. Директивом су по први пут постављени минимални стандарди за обраду података у полицијске сврхе.

Компаније које прикупљају велике количине података попут технолошких, малопродајних фирми, пружалаца здравствених услуга, банака, осигуравајућих друштава дужне су тачно одредити који им подаци заиста требају и како их заштитити.

Иако је Споразумом о стабилизацији и придруживању БиХ преузела обавезу усклађивања домаћег са законодавством ЕУ, за шта је крајњи рок 1. јун ове године, Закон о заштити личних података БиХ још није усклађен са овом Уредбом.

Да овај рок неће бити испоштован за ЦАПИТАЛ потврђује директор Агенције за заштиту личних података у БиХ Драгољуб Рељић који каже да је разлог за то велики отпор представника власти.

„Не видим разлог шта се чека. Тај закон треба што прије усвојити, јер би се њиме обезбиједила већа заштита личних података, као и обавезе за контролоре и лица која обрађују податке које се тичу политике приватности, обавезног службеника за заштиту личних података у свакој институцији. Огроман проблем је што велики број институција и не зна за постојање Закона о заштити личних података“, нагласио је Рељић и додао да је велики проблем што они који треба да дају мишљење на нови закон не разумију ГДПР.

Казао је да ће БиХ након 1. јуна наставити да користи прописе које има, али да је то нижи ниво заштите и обавеза које контролори имају.

Сервер са базом података о осигураницима смјештен у Фонду и ФЗО је власник тог сервера

Иако државне институције и ИТ компаније које смо контактирали тврде да поштују све стандарде, оправдано се може поставити питање могу ли компаније гарантовати за све запослене који имају приступ одређеним подацима. Да ли је изјава коју са својим радницима потписују довољна гаранција безбједности грађанима?

Фирме „Проинтер“, „Ланацо“, „ММСЦОДЕ“ – за које се у јавности често може чути да су блиске владајућим странкама – радиле су неке од највећих пројеката за Владу РС и владине институције.

Интегрисани здравствени информациони систем (ИЗИС), вриједан око 23 милиона КМ без ПДВ-а, за Фонд здравственог осигурања РС израдили су „ММСЦОДЕ“ и „Ланацо“ из Бањалуке са фирмом „Ерицссон Никола Тесла“ из Загреба.

Све стране пројекта ИЗИС потписале су изјаву о чувању пословне тајне, приступу рачунарским системима, правима интелектуалног власништва, обавези поврата информација и праву надзора над њима. Изјава проистиче из уговора о повјерљивости које су стране потписале и Закона о заштити личних податка.

ИЗИС подразумијева потпуну интеграцију, односно информациону увезаност свих установа здравственог система РС и употребу електронских упутница, рецепата, картица (умјесто књижица) и електронског картона. Досадашњи картони пацијената биће замијењени електронским здравственим картонима који садрже све податке о пацијенту на једном мјесту. Поред е-картона и е-картица, ИЗИС подразумијева и електронске упутнице и рецепте.

У Фонду здравственог осигурања (ФЗО) РС тврде да ће лични подаци грађана у оквиру ИЗИС-а бити потпуно безбједни и да се приликом израде и реализације овог пројекта посебно водило рачуна управо о сигурности личних података грађана.

„Оно што је најважније – сервер са базом података о осигураницима је смјештен у Фонду и ФЗО је власник тог сервера, а компаније немају приступ личним подацима осигураника. Добављач је обавезан да Фонду испоручи изворни код за све софтверске компоненте и подсистеме ИЗИС-а. Обезбијеђена је и резервна локација сервера у нашој Филијали у Бијељини. У случају да из било ког разлога сервер у Бањалуци не функционише, покренуо би се резервни сервер. Резервна локација за сервер је одређена како би се заштитили подаци у случају природних непогода и слично. Такође, резервне копије података се раде редовно у складу са добрим праксама“, кажу у ФЗО.

У Фонду наводе да чак и у здравственим установама појединим подацима не могу да приступе ни медицинске сестре већ искључиво љекари.

ИТ компаније: Имамо уговоре и изјаве о повјерљивости

Директор фирме „ММСЦОДЕ“ Славко Бојић за ЦАПИТАЛ каже да су фирме које су радиле ИЗИС мрежно увезане са Дата центром који се налази у Фонду и да на одређен начин имају приступ подацима, односно бази података или апликацијама које се користе у сакупљању информација у здравствени картон пацијента.

„Осим што постоји начин мониторинга на мрежном нивоу, односно ко и када је приступио систему, све стране су потписале и изјаве о чувању пословне тајне, приступу рачунарским системима, правима интелектуалног власништва, обавези поврата информација и праву надзора“, казао је Бојић.

Како би осигурали безбједност података унутар ове компаније, каже он, постоје контроле приступа мрежи и оперативном систему у оквиру којих се спроводи надзор и праћење употребе система, као на примјер управљање корисничким налозима и привилегијама, „аццесс листе“ за контролу приступа ресурсима, логовање приступа систему и друго.

У „Ланацу“ кажу  да су усагласили интерну организацију и оперативни рад са важећим стандардима на нивоу ЕУ (ГДПР). Наводе и да у раду примјењују ИСО 27001 међународни стандард који дефинише управљање безбједношћу података, као и да у компанији постоје јасно дефинисани процеси контроле рада сваког запосленог и приступа подацима који су под надзором Цхиеф Информатион Сецуритy Оффицера.

Истичу и да подаци грађана који се налазе у информационом систему ИЗИС имају идентичан третман заштите те да је остварена потпуна контрола приступа подацима укључујући и безбједносне полисе које дефинишу права приступа подацима.

„У оквиру ИЗИС-а ’Ланацо’ је одговоран за успостављање инфраструктуре информационог система и сходно томе је задужен и за њено нормално функционисање и одржавање током трајања експлоатације система“, истичу у овој компанији.

Информацију о приступу заштићеним подацима у ИЗИС-у грађани РС могу да добију увидом кроз андроид ПХР (енгл. Персонал Хеалтх Рецорд) апликацију коју могу бесплатно преузети и инсталирати на телефон или приступити wеб ПХР апликацији путем рачунара. Поред тога, пацијент у установи у којој се лијечи може од надлежног породичног љекара тражити преглед историје логовања на његов картон.

У фирми „Проинтер ИТСС“, која посљедњих година добија скоро све веће тендере од институција Српске, кажу да су њихови радници уговором обавезани на тајност података те да је компанија предузела све потребне мјере у циљу заштите тајности података до којих запослени може доћи у току рада у овој компанији.

„Проинтер није нудио и не нуди услуге хостинга, односно складиштења корисничких података на инфраструктури трећих лица. Дакле, наручилац посла је одговоран за чување, складиштење и похрањивање резервних копија података. Исто се односи и на случај евентуалних катастрофа“, казали су у „Проинтеру“.

Када је у питању видео-надзор, кажу да су они инсталирали појединачне апарате за видео надзор, а да је наручилац посла власник система видео-надзора.

И у фирми „Сириус“ наводе да се придржавају клаузула о повјерљивости података, као и да за сваки пројекат именују овлашћена лица која учествују у комуникацији и имплементацији пројекта директно са представницима крајњег корисника.

„Проинтер“ и „Сириус“ су радили информациони систем за Пореску управу РС у којој наводе да је обавеза чувања повјерљивости података предвиђена уговором. Такође, компаније су морале испунити услове који су укључивали посједовање својства ауторизованог партнера произвођача софтвера који захтијева поштовање Општих услова пословања о безбједности података компаније САП те доказати да посједују међународно признати сертификат ИСО 27001.

Изјаве о тајности нису довољне

Независни стручњаци из ове области са којима је новинар ЦАПИТАЛ-а разговарао кажу да би институције морале посветити много већу пажњу питању безбједности овако осјетљивих података. Истичу да је забрињавајуће да стандарде у овој области одређују саме фирме, а не држава. То, кажу, није довољно и грађанима само остаје да се уздају у етику запослених у тим фирмама или у варијанту „неће се десити“.

Један од наших саговорника каже да изјаве и уговори о повјерљивости, на које се сви редом позивају, треба да постоје, али да нису гаранција безбједности.

„Изјаве о тајности нису рјешење. И Едвард Сноуден је имао изјаву о тајности, али је искористио приступ приватним подацима и то нико није опазио. Изнио је све информације баш зато што није било контроле приступа. Контрола приступа се врши у реалном времену и строго се пази гдје и када се приступа“, каже наш саговорник.

Још један саговорник из ове области каже да је Агенција за заштиту личних података БиХ формирана само да би испунила форму.

„Много фирми које се баве развојем софтвера немају сертификат 27001 који дефинише како се штите подаци компаније и њихових клијената. То би требала бити основа уколико желите било чији податак. Све институције које управљају нечијим подацима, почев од најосновнијих, од дома здравља па до осталих, требало би да имају стандард који дефинише заштиту података“, казао је саговорник ЦАПИТАЛ-а.

Истиче да се ИТ фирми у којој је он запослен никада нико из Агенције није обратио и рекао да мора да испуни минимум услова по питању безбједности, нити су имали било какву контролу државних органа.

„Имамо контролу сертификованог тијела које нам је издало сертификат који дефинише заштиту података у информационим системима. Недопустиво је да фирме саме одређују стандарде и оне које не желе да набаве те сертификате то не морају да чине, јер им држава то не тражи“, казао је он.

С друге стране, директор Агенције за безбједност личних података Драгољуб Рељић тврди да они обављају контроле, али признаје да су им капацитети ограничени и да то није у оној мјери у којој би требало да буде.

„Девет службеника даје мишљења, врши инспекцијски надзор рјешава по свим приговорима. Одређене компаније су сигурно биле подвргнуте контроли, али са овим капацитетима се не могу све преконтролисати. Ако сутра усвојимо нови закон у складу са ГДПР, а оставимо ове капацитете, нећемо ништа моћи. Ми дневно добијамо између 50 и 70 предмета“, казао је он и додао да свака обрада личних података може представљати ризик од могуће злоупотребе те да асполутна заштита не постоји.

Агенција за заштиту личних података лани је највише приговора имала у вези са објављивањем података о лицима која су кршила мјере изолације због коронавируса те је Агенција забранила објављивање тих података. Велики број приговора односио се и на постављање видео надзора.

Казне су симболичне и у просјеку за институције износе 10.000 КМ, а за одговорно лице 1.000 КМ. Рељић каже да ће новим законом усклађеним са ЕУ бити драстично повећане.

Неопходно јачати капацитете регулаторних тијела

У СХАРЕ Фондацији из Србије, која је основана са циљем унапређења људских права и интернет слобода, кажу да се са проблемом безбједности података о личности сусрећу и земље које су знатно напредније у овој области, али да ипак све почиње са квалитетним правним оквиром, прије свега са Законом о заштити података о личности који прати највише стандарде заштите података у овој области.

„У овом тренутку то је ГДПР, главни пропис у ЕУ у овој области. Србија и Сјеверна Македонија имају нове законе усклађене са овом регулативом, док то и даље није случај у БиХ и ту предстоји велики посао“, нагласили су у Фондацији.

Ипак, доношење прописа је, истичу, само први, али недовољан корак да би се подигла безбједност података. Велики изазов је примјена ових прописа.

„Мора се радити на едукацији свих који чувају наше податке. Такође, веома је битно јачати капацитете регулаторних тијела у овој области те утврдити одговорност оних који не поштују прописе и примијенити адекватне санкције. Док ово не постану питања због којих се губе или добијају избори, неће постојати политичке подршке да се друштво бави њима“, казали су у Фондацији.

Да грађани не могу у потпуности бити сигурни да су њхови подаци безбједни, било да се налазе у рукама приватних компанија или институција, показује и изјава члана Предсједништва БиХ Милорада Додика који је прошле године на сједници Народне скупштине РС рекао да прислушкује посланике опозиције.

Након што је та изјава изазвала бурне реакције јавности, Додик је рекао да се шалио и да је то био његов перформанс. Озбиљнија реакција институција по овом питању је изостала и све се завршило на томе да се Додик „зезао“.

(Цапитал)