Три компании за 1,7 милиони евра, скенирани над 1,5 милиони изводи од матичните книги на родени, умрени и венчани, со само два скенера… Вака течел процесот на дигитализација на матичните книги, за кој пред два дена Државната комисија за спречување на корупцијата изрази сериозни сомнежи – дека ризикот од злоупотреба на личните податоци на граѓаните бил огромен, но и дека постојат сомнежи за трговија со податоците.
„Аукта“, „Новатек Инв“ и „Бидити ДООЕЛ“ се трите компании кои досега ги добиле тендерите за дигитализација на матичните книги. Првата компанија, според документите од Централниот регистар, тендерот го добива во 2020 година за речиси 365 илјади евра, втората компанија во 2021 година – за 480 илјади евра, а третата, минатата година – за вредност од еден милион евра.
Првата компанија – Аукта, е основана во 2019 година, а договорот со Управата за водење матични книги (УВМК) го потпишува во март 2020 година. Фирмата требало да скенира 1.200.000 документи, а со договорот се обврзува да внесе 220.000 податоци. Втората компанија – Новатек Инв, кога го добива тендерот, постои неполни три месеци. Таа користи ресурси од првата компанија, Аукта, бидејќи, според податоците од регистарот, компанијата има само двајца вработени. Во договорот стои дека фирмата треба да скенира 300.000, а да внесе 550.000 записи.
Мета.мк разговараше со сопственикот и директор на Новатек Инв, Лирим Фетаи, кој децидно негира дека додека ги вршеле услугите за дигитализација, не билo почитувано правото на заштита на личните податоци.
„Точно е дека имавме двајца вработени, но имавме отстапување на ресурси од фирмата Аукта, како системска поддршка, додека ние раководевме со административниот дел. Точно е дека тогаш бевме нова млада компанија, но јас имам големо искуство на раководни позиции во ИТ компании и целосно и најпрофесионално ја завршивме работата. Не знам зошто, во време на толку хакерски напади, ние би краделе изводи од матичните книги на родените, на кого воопшто би му требале тие?“, вели Фетаи за Мета.мк.
Тој ја објасни постапката на работа, односно начинот на кој се вршела дигитализацијата на матичните книги. Она што Фетаи го кажа за Мета, се поклопува со она што стои во договорот меѓу УВМК и Новатек Инв, но и УВМК и Аукта.
Вработено лице во УВМК ги носи книгите што сака да се скенираат, а потоа да се дигитализираат. Скенирањето се врши со два скенера, во просториите на УВМК, а истото го вршат лица (во случајов 25), ангажирани со договор од страна на фирмата, во две смени. Понатаму, стотина луѓе, исто така ангажирани со договор, ги внесуваат податоците од скенираните документи, во просторија и со техничка опрема обезбедена од фирмата.
„Кога се вршеше внес на податоци, тоа беше најтранспарентно, можеше да се види кој пристапил и кој ги внесува податоците. Лицата кои внесуваа податоци исто така потпишуваа договор, односно изјава за заштита и чување на личните податоци“, вели Фетаи.
УВМК не вршела контрола на податоците од евиденцијата за пристап до информацискиот систем
Од Антикорупциската комисија на завчерашната седница, повикувајќи се на супервизија од Агенцијата за заштита на лични податоци, изјавија дека „немало логови за влез во матичната евиденција, личните податоци биле складирани на сервер без да може да се идентификува кој има пристап до него, економските оператори ги собирале податоците без придружба од службени лица од УВМК, просторијата каде што се скенирале личните записи не била физички обезбедена, не може да се утврди идентитетот на лицето кое пристапувало до софтверските модули каде што биле внесувани скенираните записи и личните податоци, преносните медиуми не биле заштитени и немало докази за превенирање на неавторизиран пристап до личните податоци, односно не се знае кој пристапил до личните податоци, каде истите биле изнесени, каде завршиле и со каква цел“.
Мета.мк се обрати до Агенцијата за заштита на лични податоци за детално образложение во однос на пропустите што биле најдени при ревизијата направена во април годинава.
Според деталното образложение на Агенцијата доставено до Мета, може да се види дека, наспроти она што го тврдеше директорот на Новатек, „овластените лица кај обработувачите немаат добиено овластувања за обработка на личните податоци и немаат потпишано изјави за тајност и заштита на личните податоци“.
УВМК, според ревизијата, нема вршено контроли (периодични и внатрешна) заради следење на усогласеноста на нејзиното работење со прописите за заштита на личните податоци.
Освен она што веќе го соопштија од Антикорупциската комисија, во ревизијата се вели и дека вработените во УВМК немаат посетено обука за заштита на личните податоци, а „за скенирање на матичните книги се користат два компјутера каде се инсталирани два скенера“.
„За влез во овие компјутери не се бара да се внесе корисничко име и лозинка. Овие компјутери и скенери се сместени во просторија која физички не е обезбедена, при што до просторијата постоела можност да пристапат и неовластени лица. Во фазата на скенирање ангажираните лица од обработувачите немале придружба (контрола) од вработените кај УВМК. Во оваа просторија се чуваа и матичните книги од повеќе подрачни единици кои биле доставени за скенирање, при што до истите може да има секој кој ќе пристапи во просторијата на УВМК. Скенираните матични книги се преземаат од овие два компјутери на преносен медиум кој не е заштитен со лозинка“, се вели во одговорот на Агенцијата за заштита на личните податоци.
УВМК, според ревизијата, води евиденција за авторизиран пристап (запис/лог) до софтверската апликација (модул) која се користи за префрлање на скенираните матични книги, но истиот не содржел комплетни логови, според прописите за заштита на личните податоци.
„УВМК не врши контрола на податоците од евиденцијата за пристап до информацискиот систем. УВМК има инсталирано SIEM решение, но истото не е сетирано да ги собира и анализира логовите кои се генерираат при пристап до серверот со документи (fileserver) и останатите медиуми каде што има лични податоци“, стои во ревизијата.
Од Агенцијата за заштита на личните податоци велат дека на УВМК ѝ бил даден период до јуни годинава за отстранување на утврдените повреди. УВМК има обврска за секоја мерка да ја извести Агенцијата и да достави докази дека ги отстранила констатираните повреди. За дел од мерките УВМК веќе доставила докази дека повредите се отстранети.
Сепак, дали тоа значи дека во меѓувреме имало или не злоупотреба и трговија со личните податоци, треба да покаже епилогот од кривичната пријава што ја поднесе Антикорупциската комисија до обвинителството. Кога ќе има епилог е неизвесно, бидејќи вчера обвинителството „ја замрзна“ соработката со комисијата.
Контраспин: Наместо фронт за борба против корупцијата, фронт против ДКСК
