Opomena Batutu zbog bezbednosnog incidenta sa ličnim podacima građana

Institut Batut dobio je opomenu zbog niza propusta u upravljanju Informacionim sistemom Covid-19, utvrđenih tokom nadzora Poverenika za zaštitu podataka nakon bezbednosnog incidenta sredinom aprila. Kao rukovalac posebno osetljivih podataka o zdravlju građana, Batut nije ispunio obaveze predviđene Zakonom o zaštiti podataka o ličnosti pre uspostavljanja sistema, dok neke od ovih obaveza nisu do kraja ispunjene ni nakon opomene Poverenika.

Podsetimo, istraživači SHARE Fondacije su 17. aprila pretragom na Guglu došli do javno dostupne stranice sa lozinkom za pristup Informacionom sistemu Covid-19, namenjenom prikupljanju i obradi podataka o testiranju, praćenju kontakata i lečenju građana. Nakon naše intervencije, stranica je uklonjena, dok je Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti pokrenuo postupak nadzora nad sprovođenjem Zakona o zaštiti podataka o ličnosti.

Na osnovu zahteva za pristup informacijama od javnog značaja, SHARE Fondacija je od Poverenika dobila celokupnu dokumentaciju nastalu tokom postupka nadzora.

Zbog propusta u rukovođenju sistemom koji su doveli do povreda zakona, Poverenik je izrekao opomenu rukovaocu sistema, Institutu za javno zdravlje “Dr Milan Jovanović Batut”. Između ostalog, Institut Batut nije zaključio ugovor sa obrađivačima sistema, pre svega Republičkim fondom za zdravstveno osiguranje koji je zadužen da pruža tehničku podršku korisnicima. Takvim ugovorom uređuju se prava i obaveze u vezi sa obradom ličnih podataka građana. Takođe, nisu bile preduzete odgovarajuće mere zaštite sistema, usled čega je i došlo do ovog incidenta, niti je bila urađena procena uticaja na zaštitu podataka, koja je prema Zakonu u ovom slučaju bila obavezna pre nego što je sistem pušten u rad. 

Tokom trajanja nadzora, Institut Batut je izvršio neke od ovih obaveza, bar formalno, te sada postoji ugovor sa RFZO, dok je još uvek nepoznat status ugovora između Instituta Batut kao rukovaoca i institucija koje su korisnici sistema kao obrađivača. Izrađena je procena uticaja, na koju je pozitivno mišljenje dalo i lice za zaštitu podataka o ličnosti Instituta Batut. Međutim, uvidom u ovu procenu može se zaključiti da je njena sadržina još uvek sporna, jer ne ispunjava sve uslove koje Zakon predviđa, pre svega zbog površnog i šturog opisa svih relevantnih okolnosti koje prate jedan ovako kompleksan sistem, namenjenog obradi osetljivih podataka o zdravlju stanovništva.

Na osnovu dokumentacije koja je prikupljena u okviru postupka nadzora, takođe saznajemo okolnosti koje su pratile, ili još uvek prate rad IS COVID-19, a koje su razlog za zabrinutost.

Pre svega, u svom obaveštenju o incidentu, Institut Batut tvrdi da “nije zabeležen pokušaj logovanja” pre nego što su promenjeni pristupni podaci zbog incidenta. RFZO u izjašnjenju na dopis Poverenika navodi da “nije došlo do kompromitacije podataka”. Međutim, iz službene beleške Poverenika i korespondencije sa Nacionalnim CERT-om, saznajemo da su pripadnici obe službe po prijavi incidenta pristupali sistemu pomoću javno dostupnih kredencijala. To znači da se u okviru Informacionog sistema Covid-19 ne evidentiraju pristupi, što je pravna obaveza propisana Zakonom o informacionoj bezbednosti. 

Sa stanovišta bezbednosti sistema, takođe je u najmanju ruku problematično to što se iz navoda Doma zdravlja na čijem je sajtu došlo do incidenta, može videti da se sistemu po pravilu pristupa sa nepersonalizovanim šiframa, dok korisnici sistema koji su obrađivači imaju slobodu da odluče da li će tražiti dodatne personalizovane naloge, što saznajemo od RFZO

Rizik da lica koja unose podatke u sistem mogu neovlašćeno preuzeti ostale podatke, prepoznat je kao glavni rizik u proceni uticaja Instituta Batut.

[Ovaj rizik će biti] adresiran tako što će Rukovalac na odgovarajući način snimati rad ovlašćenih predstavnika Obrađivača prilikom njihovog rada sa podacima u slučaju korišćenja VPN pristupa, odnosno tako što će Rukovalac obezbediti prisutnost svojih predstavnika u slučaju primene fizičkog pristupa ovlašćenih predstavnika Obrađivača odnosnim podacima.

Akt o proceni uticaja IS COVID – 19 na zaštitu podataka o ličnosti, Institut Batut

Ostaje nejasno kako će u praksi funkcionisati bilo koja od svih navedenih mera, a pogotovo šta podrazumeva “snimanje rada” lica koja unose podatke u sistem, posebno u svetlu sporne činjenice da li se uopšte registruju i čuvaju logovi na sistem. Takođe, pitanje je da li ove mere mogu biti prekomerne i dovesti do povrede privatnosti lica koja koriste sistem. 

Mere koje su planirane u cilju povećanja bezbednosti sistema, a o kojima je Institut Batut obavestio Poverenika, trebalo bi da direktno adresiraju navedene probleme. Međutim, ostaje veliko pitanje pouzdanosti sistema i tačnosti podataka u inicijalnom periodu njegovog rada, a što je u direktnoj vezi i sa pravom javnosti da ima uvid u statističke i istorijske podatke o pandemiji.Čitaj još: