Investigation, Vesti
Informacioni sistem Covid-19 – da li su naši lični podaci bezbedni?
Uvod.
Informacioni sistem Covid – 19 je centralizovan softver za unos, analizu i čuvanje podataka o svim osobama koje se prate u cilju kontrole i suzbijanja pandemije u Srbiji. Već nakon par dana od uspostavljanja, sredinom aprila 2020. godine, ovaj sistem je pretrpeo ozbiljan bezbednosni incident. Korisničko ime i lozinka za pristup tom sistemu bili su osam dana javno dostupni na sajtu doma zdravlja Rakovica. Po prijavi Share Fondacije, Poverenik je pokrenuo nadzor i naložio mere za nadležne institucije da preduzmu određene korake kako bi otklonile uočene propuste u vezi sa zaštitom podataka o ličnosti i bezbednosti ovog informacionog sistema. Ipak, ostaje otvoreno pitanje – da li su podaci u sistemu bili kompromitovani kao posledica predmetnog incidenta, da li su naknadne mere dovoljne i primerene, odnosno da li su preduzete sve mere koje je naložio Poverenik. Sva ta otvorena pitanja, kada se sagledaju u širem kontekstu, upućuju na nemaran odnos državnih organa prema zaštiti i sigurnosti podataka o ličnosti građana, uključujući i najosetljivije podatke kao što su podaci o zdravlju.
Opis konkretne povrede prava na privatnost.
Informacioni sistem Covid – 19 (IS COVID-19) je centralizovan softver za unos, analizu i čuvanje podataka o svim osobama koje se prate u cilju kontrole i suzbijanja pandemije u Srbiji. Ustanovljen je Zaključkom Vlade Republike Srbije početkom aprila 2020. godine. U sistemu se nalaze podaci svih lica koja su u okviru propisanih epidemioloških procedura bila testirana na bolest COVID-19. Sistem omogućava da se nakon unosa takvih lica u svakom trenutku može pratiti njihov dalji status (npr. pozitivni, negativni, hospitalizovani, u samoizolaciji, na respiratoru, izlečeni, preminuli) i čitav niz zdravstvenih i drugih ličnih podataka. Takođe, u IS COVID-19 unose se podaci o bliskim kontaktima testiranih lica, kako bi mogao da se prati i njihov epidemiološki status. Podatke u sistem unose institucije koje u skladu sa svojim nadležnostima uzimaju briseve i vrše testiranje (domovi zdravlja, bolnice, instituti za javno zdravlje, laboratorije). S druge strane, podatke iz sistema koriste zdravstveni i drugi državni organi za vršenje poslova iz svojih nadležnosti, kao što su Ministarstvo zdravlja, Institut za transfuziju krvi Srbije, Ministarstvo unutrašnjih poslova ili Vojska Srbije.
Već nakon par dana od uspostavljanja, sredinom aprila 2020. godine, IS COVID-19 je pretrpeo ozbiljan bezbednosti incident. Korisničko ime i lozinka za pristup tom sistemu bili su osam dana javno dostupni na sajtu doma zdravlja Rakovica (Dom zdravlja). To je period dovoljan da se ova stranica indeksira na guglu, i mada nije bila vidljiva na sajtu, do nje je moglo da se dođe internet pretragom. Do ovog otkrića je u okviru istraživanja ovog sistema Share Fondacija došla 17. aprila.
Preduzeti koraci.
Svesni rizika od zloupotrebe pristupa osetljivim podacima građana, istraživači Share Fondacije nisu pokušali da se uloguju na sistem, već su slučaj prijavili nadležnim organima: Poverniku za informacije od javnog značaja i zaštitu podataka o ličnosti, Nacionalnom CERT-u i Ministarstvu trgovine, turizma i telekomunikacija. Organi su brzo reagovali, te manje od sat vremena nakon prijave stranica sa korisničkim imenom i lozinkom više nije bila javno dostupna.
Nakon ovog incidenta, Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti (Poverenik) pokrenuo je postupak nadzora nad sprovođenjem Zakona o zaštiti podataka o ličnosti (ZZPL). Na osnovu zahteva za slobodan pristup informacijama od javnog značaja upućenog Povereniku, Share Fondacije je prikupila raspoloživu dokumentaciju iz ovog postupka nadzora.
Rezultat postupka nadzora je da je Poverenik izrekao opomenu rukovaocu sistema Institutu za javno zdravlje “Dr Milan Jovanović Batut” (Institut Batut), zbog propusta u rukovođenju sistemom koji su doveli do povreda njihovih ZZPL obaveza. Obaveze koje Institut Batut nije ispunio uključuju: to što nije bio zaključen ugovor sa obrađivačima sistema, pre svega Republičkim fondom za zdravstveno osiguranje (RFZO) koji je zadužen da pruža tehničku podršku korisnicima, to što nisu bile preduzete odgovarajuće mere zaštite sistema usled čega se i dogodio ovaj incident, i to što nije bila urađena procena uticaja na zaštitu podataka, koja je prema ZZPL u ovom slučaju bila obavezna pre nego što je sistem pušten u rad.
Epilog.
Share Fondacija je analizirala dokumentaciju iz nadzora, i na osnovu iste donela određene zaključke o kojima je izvestila javnost, a koji su sumirani i u daljem tekstu.
Tokom trajanja nadzora Institut Batut je izvršio neke od obaveza koje je odredio Poverenik, bar formalno, te sada postoji i ugovor sa RFZO (pri čemu je još uvek je nepoznat status ugovora između Instituta Batut kao rukovaoca i institucija koje su korisnici sistema kao obrađivača) i izrađena je procena uticaja, na koji je pozitivno mišljenje dalo i lice za zaštitu podataka o ličnosti Instituta Batut. Dužnost izrade predmetne procene uticaja proizilazi iz člana 54. ZZPL. Naime, ova odredbe propisuje da, u slučajevima kada je verovatno da će neka vrsta obrade (posebno upotrebom novih tehnologija i uzimajući u obzir prirodu, obim, okolnosti i svrhu obrade) prouzrokovati visok rizik za prava i slobode fizičkih lica, rukovalac ima obavezu da izvrši procenu uticaja predviđenih radnji obrade na zaštitu podataka o ličnosti, i to pre nego što započne sa obradom. Cilj je da se procenom predvide svi mogući rizici po prava i slobode lica, ali i da se predvide mere kojima bi ti rizici trebali da budu eliminisani ili minimizovani. Takođe, ZZPL reguliše koje sve elemente procena mora da sadrži.
Uvidom u procenu uticaja koji je izvršio Institut Batut može se zaključiti da je njena sadržina ne ispunjava sve uslove koje ZZPL predviđa, pre svega zbog površnog i šturog opisa svih relevantnih okolnosti koje prate jedan ovako kompleksan sistem, u kome se obrađuju najosetljiviji podaci na nivou celog stanovništva. U proceni uticaja su prepoznata svega tri rizika, predstavljena u po jednoj rečenici, dok je još po jednom dodatnom rečenicom za svaki od rizika predložena po jedna mera za njegovo umanjenje. Na osnovu navedenog, stiče se utisak da je ovaj dokument pripremljen radi pukog ispunjavanja forme, a ne u cilju zaštite kako samog sistema, tako i prava i sloboda lica čiji se podaci u njemu obrađuju. Pored toga što procena uticaja predstavlja ispunjenje zakonske obaveza, ona je važan dokument za samog rukovaoca i treba da ga usmerava na uspostavljanje sistema na osnovu prepoznatih slabih tačaka, što je u ovom slučaju izostalo.
Na osnovu dokumentacije koja je prikupljena u okviru postupka nadzora, takođe saznajemo određene okolnosti koje su pratile, ili još uvek prate rad IS COVID-19 a koji su razlog za zabrinutost.
Pre svega, na osnovu navoda Instituta Batut u njihovom obaveštenju o incidentu, pre nego što su promenjeni pristupni podaci sistemu zbog predmetne povrede “nije zabeležen pokušaj logovanja”, odnosno prema navodima i RFZO u izjašnjenju na dopis Poverenika, “nije došlo do kompromitacije podataka”. S druge strane, iz službene beleške službe Poverenika, kao i email korespodencije sa Nacionalnim CERTom saznajemo da su u okviru reakcije na prijavljeni incident oboje pristupili sistemu pomoću kredencijala koji su bili javno objavljeni. Ostaje otvoreno pitanje zbog čega ni jedan od ovih pristupa nije evidentiran i/ili zbog čega o tome Poverenik nije dobio povratnu informaciju. Nesumnjivo je da ova okolnost ukazuje na propuste koje su pratili, ili još uvek prate, rad IS COVID-19.
Takođe je sa stanovišta bezbednosti sistema u najmanju ruku problematično to što se iz navoda Doma zdravlja može videti da se sistemu po pravilu pristupa sa nepersonalizovanim šiframa, dok korisnici sistema koji su obrađivači imaju slobodu da odluče da li će tražiti dodatne personalizovane naloge, što saznajemo od RFZO. Takođe, na nivou istrage o učesnicima čije je je postupanje dovelo do povrede, odnosno lica koja su javno objavila podatke za pristup sistemu, u ovom trenutku sve što znamo je da su u pitanju NN lica protiv koji su podnete krivične prijave.
Rizik da lica koja faktički unose podatke u sistem mogu da neovlašćeno preuzmu podatke prepoznat je kao glavni rizik u proceni uticaja Instituta Batut, a navedeno je da će on biti “adresiran tako što će Rukovalac na odgovarajući način snimati rad ovlašćenih predstavnika Obrađivača prilikom njihovog rada sa podacima u slučaju korišćenja VPN pristupa, odnosno tako što će Rukovalac obezbediti prisutnost svojih predstavnika u slučaju primene fizičkog pristupa ovlašćenih predstavnika Obrađivača odnosnim podacima.” Ostaje nejasno kako će bi praksi funkcionisati bilo koja od sve navedene mere, a pogotovo šta podrazumeva “snimanje rada” lica koja unose podatke u sistem, posebno u svetlu sporne činjenice da li se uopšte registruju i čuvaju logovi na sistem. Takođe, pitanje je da li ove mere mogu biti prekomerne i proizvesti efekat povrede privatnosti lica kod korisnika sistema.
Mere koje su planirane u cilju povećanja bezbednosti sistema, a o kojima je institut Batut obavestio Poverenika, trebalo bi da direktno adresiraju navedene probleme. Međutim, ostaje veliko pitanje pouzdanosti sistema i tačnosti podataka u inicijalnom periodu njegovog rada.
Širi značaj slučaja.
Predmetni slučaj pokazao je da u praksi sprskih organa koji su dužni da poštuju svoje obaveze iz oblasti zaštitite podataka o ličnosti i informacione bezbednosti još uvek “pate” od sistemski ranjivosti. Banalnost ovog incidenta, i svi propusti koji su mu prethodili a koji su otkrivani tokom nadzora Poverenika, ukazuje na to da prilikom njegovog puštanja u rad nije poštovan minimum standarda koji bi trebalo da prate takav jedan proces. Predmetni standardi su svakako regulisani Zakonom o zaštiti podataka o ličnosti, koji je usaglašen sa Opštom uredbom o zaštiti podataka Evropske unije (GDPR), ali i Zakonom o informacionoj bezbednosti, koji takođe prati EU propise u toj oblasti. Stoga ovaj incident nije nastao zbog nejasnih ili zastarelih propisa, već zbog velikih propusta od strane državnih organa i institucija u njihovom primenjivanju.
Na žalost, ovo nije prvi incident u oblasti zdravstva koji je mogao da ugrozi i kompromituje najosetljivije zdravstvene podatke sprskih građana. Situacija sa aplikacijom Moj doktor bila je takođe predmet nadzora Poverenika, zbog sličnog problema u oblasti tehničkih i organizacionih mera kojima tako osetljivi podaci moraju da budu zaštićeni. Predmetni incident sa IS COVID-19 na žalost pokazuje da to nije bio povod da se nauče važne lekcije i da se postupanje državnih organa uskladi i sa propisima i sa minimalnim i prihvaćenim standardima informacione bezbednosti. U tom smislu, i ako uzmemo u obzir hitnost sa kojom je IS COVID-19 morao biti uspostavljen u uslovima pandemije, ipak moramo zaključiti da je u ovoj oblasti svest i praksa zaposlenih u državnim organima na nezavisnom nivou.
S druge strane, činjenica da je manje od sat vremena nakon dobijanja obaveštenja od Share Fondacije o ovom incidentu reagovalo više državnih organa što je rezultiralo saniranju krajnjih posledica incidenta (odnosno onemogućavanje da sporna stranica bude dalje sa javno dostupna) – primer je dobre saradnje građana i države, kao i velikog značaja i uticaja koje građani mogu da imaju.
Uporno ukazivanje na ovu vrstu problema od strane stručne javnosti, čemu je i Share Fondacija doprinela kako praktičnim delovanjem, tako i naknadnim stručnim analizama, jedan su od načina na koje je moguće doprineti promenama.
U toku nadzora Poverenika, organi koji su bili deo nadzora uočili su i “priznali” u određenoj meri svoje propuste. Takođe, Institut Batut je obavestio Poverenika o načinu na koji će u konkretnom slučaju biti poboljšane mere zaštite da se ne bi dešavali slični incidenti.
Međutim, uzimajući u obzir gore naveden loš trend da državni organi teško uče na sopstvenim greškama, pogotovo ukoliko se nakon saniranja incidenta on brzo stavi ad acta, čini se da u ovom slučaju trebalo insistirati o tome da se lekcije koje su naučene na neki način ustale u praksi. Iz svega navedenog čini se da je jedna od ključnih stvari kojoj se mora posvetiti mnogo veća pažnja u budućnost – edukacija zaposlenih u državnim organima i institucijama. U tom smislu, priprema odgovarajućih vodiča i njihova promocija mogu biti prvi korak. Takođe, sa druge strane ja važna edukacija građana o tome koja prava imaju i mogu da ostvaruju pred državnim organima.
Naime, ZZPL građanima daje čitav niz prava koja mogu da ostvaruju pred bilo kojim rukovaocem koji obrađuje njihove podatke. Neka od praktično najvažnijih prava su, pre svega: pravo na dobijanje relevantnih informacija o obradi koju vrši rukovalac (npr. gde se čuvaju podaci i koliko dugo, ko sve ima mogućnost da im pristupa, kome se podaci prenose, koje su mere uspostavljanje radi obezbeđivanja sigurnosti podataka koji su preneti u drugu zemlju, i sl.), pravo da se od rukovaoca traži da dostavi licu kopiju njegovih podataka o ličnosti, ili da izbriše podatke koje o tom licu obrađuje. Prava građani mogu da ostvare tako što rukovaocu podnose odgovarajući zahtev, na koji rukovaocu u principu moraju da odgovore u zakonskom roku od 30 dana. Zahtevi za ostvarivanje takvih prava mogu biti preventivni i korektivni mehanizam, koji može pomoći da se bar određeni rizici umanje ili neutralizuju, pre nego što se realizuju u formi incidenta.
Share Fondacija je do sada razvila i objavila veliki broj vodiča i alata, kao i objavljivala istraživanja koja su imala za cilj, kako podizanje svesti među građanima, ali i rukovaocima i obrađivačima ličnih podataka. U okviru jednog od svojih projekata, fondacija se posebno bavila ličnim podacima u javnom sektoru, gde je objavila vodič, izradila izveštaj o mapiranju podataka u šest državnih institucija (među kojima je i Republički fond za zdravstveno osiguranje), i izradila preporuke povodom tipičnih propusta organa vlasti. Takođe, neposredno nakon proglašenja pandemije, Share Fondacija je sa partnerskim organizacijama izradila Vodič za zaštitu podataka o ličnosti za vreme pandemije, u kome je poseban osvrt dat i na obradu podataka od strane zdravstvenih ustanova, ali i drugih državnih organa koji su tokom pandemije igrali značajnu ulogu u obradi podataka o ličnosti građana. Slični projekti koji bi bili skoncentrisani na organe koji obrađuju posebno osetljive podatke, i/ili podatke posebno osetljivih grupa bili bi od velike važnosti za unapređenje prakse u ovoj oblasti.
Takođe, brza reakcija Poverenika, činjenica da je Poverenik pokrenuo postupak nadzora i utvrdio nepravilnosti i saradljivost državnih organa i institucija u postupku nadzora svakako su korak u pozitivnom smeru. Ono što je ovde izostalo je pokretanje eventualnih sudskih postupaka, kako u cilju utvrđivanja eventualnog prekršaja, kao i u cilju ostvarivanja prava građana, koji su u ovom slučaju ostali uskraćeni za odgovarajuća obaveštenja o obradi podataka u skladu sa članovima 23 i 24 Zakona o zaštiti podataka o ličnosti. Prema ovim zakonskim odredbama, rukovaoci su još pre nego što započnu sa obradom podataka dužni da na odgovarajući i primeren način obaveste lica čije podatke nameravaju da prikupe o svim relevantnim informacijama koje se odnose na tu obradu.
Slučaj sa aplikacijom Moj doktor pokazao je jako nizak stepen razvijenosti sveti o tome da podaci o zdravlju građana pripadaju kategoriji posebno osetljivih podataka. I pored svih nepravilnosti koje je ustanovila služba Poverenika, odgovor nadležnog Ministra zdravlja bio je površno usmeren na kritike rada Poverenika, pri čemu se nije moglo čuti razumevanje o prirodi i dubini tada postojećih problema (iako je ovo Ministarstvo na kraju ipak postupilo po nalozima Poverenika).
Par godina kasnije, kada se dogodio predmetni incident sa IS COVID-19 uočljiva je bila drastično drugačija reakcija nadležnih organa, i prve posledice incidenta su brzo sanirane. I u daljem toku postupak Institut Batut, RFCZ i Dom zdravlja su pokazali zavidan novo razumevanja svojih obaveza prema Zakonu o zaštiti podataka o ličnosti, bar na prvom formalno nivou. Drugim rečima, nije bilo sporno koja dokumentacija mora da prati takav jedan sistem, mada ostaje sporan sadržaj tih dokumenata – koji je i direktnoj vezi da suštinskim poštovanjem standarda u ovoj oblasti, pogotovo jer se radi o posebno osetljivim podacima. U tom drugom delu se nalazi prostor za dalje napredovanje.
Što se tiče zainteresovanosti opšte javnosti i građana za ovu temu, indikativno je da je tekst u kome je Share Fondacija objavila da se dogodio predmetni incident, ubedljivo najposećenija vest na sajtu fondacije od njenog nastanka. To može biti indicija da se među građanima, i određenom delu stručne javnosti koja je do skoro bila skoncentrisana na pravnike i IT stručnjake, širi interesovanje za oblast zaštite ličnih podataka. Takođe bi se moglo reći da se podiže nivo očekivanja u odnosu na ispunjavanje obaveza onih koji obrađuju takve podatke, što se može zaključiti i zainteresovanosti medija za ovaj slučaj.
Zaključak.
Slučaj sa IS COVID-19 je, na žalost, još jedan pokazatelj odnosa koji državni organi Republike Srbije imaju prema privatnosti građana i poštovanju njihovih zakonskih obaveza iz oblasti zaštite podataka o ličnosti. Iako je ovaj sistem bilo potrebno hitno uspostaviti u uslovima pandemije, propusti koji su tom prilikom načinjeni još uvek su posledica višegodišnjeg zanemarivanja zakonskih obaveza, ali i niskog stepena svesti o tome da postoje minimalni zakonski standardi koji bi se bez izuzetka morali poštovati, bez obzira na urgentnost. Projekat “Sačuvaj privatnost – odupri se pritisku” koji, koji je sticajem okolnosti pokrenut neposredno pre proglašenja pandemije, ispostavio se kao važna plaforma da se građanima u vanrednim okolnostima pruže važne i relevantne informacije. Predmetni incident i jeste otkriven, bar delimično, u okviru istraživanja koje je rađeno u okviru izrade Vodiča za zaštitu podataka o ličnosti za vreme pandemije. Na taj način, takođe se osnažava ideja da ljudska prava u uslovima vanrednog stana ne smeju da gube na značaju. Na protiv, baš tada postoje posebni rizici kada ona mogu biti ugrožena i zahtevaju, takođe vanrednu, zaštitu.
Ovaj tekst je izrađen u okviru projekta Sačuvaj privatnost – odupri se pritisku (Reclaiming Privacy: A Tool to Fight Oppression), koji sprovode Partneri Srbija, SHARE Fondacija, Udruženje “Da se zna!”, Beogradska otvorena škola, NVO ATINA i Inicijativa A11.
Оvaj tekst je proizveden uz finansijsku pomoć Evropske unije. Sadržaj ovog teksta je isključiva odgovornost autora i ne može se, ni pod kojim uslovima smatrati odrazom stavova Evropske unije.
Jelena Adamović je advokat i pravni istraživač u SHARE Fondaciji.