Личните податоци на граѓаните многу често во последниве години беа загрозени, или преку многубројните сајбернапади во повеќе институции или, пак, преку спорни тендерски постапки за избор на компании, кои, меѓу другото, треба да обезбедат и заштита на личните податоци. Иако ниту една институција досега се нема произнесено дека личните податоци на граѓаните навистина биле загрозени, злоупотребени, или пак, како последица на несоодветно избрана компанија, во прашање било доведено нивно протекување, остануваат сомнежите дали институциите посветуваат доволно внимание за да ги заштитат личните податоци на граѓаните што понатаму можат да бидат предмет на злоупотреба.
„Институциите немаат донесено и применето соодветни политики за заштита на личните податоци земајќи ги предвид природата, обемот, контекстот и целите на обработката, како и ризиците со различна веројатност и сериозност за правата и слободите на граѓаните, ниту имаат воспоставено процедури за нарушување на безбедноста на личните податоци“, велат од Агенцијата за заштита на лични податоци за Мета.мк на прашањето кои се најчестите пропусти на институциите во однос на заштитата на податоците на граѓаните.
Од таму наведуваат и дека чести пропусти се што контролорот (институцијата) нема определено администратор на информацискиот систем, нема определено офицер за заштита на личните податоци и јавно не ги објавиле контакт-податоците на офицерот на својата веб-страница и не ја известиле Агенцијата за заштита на личните податоци. Понатаму, од Агенцијата велат дека чести се и случаите институциите да немаат извршено процена на влијанието врз заштитата на личните податоци (ПВЗЛП) на предвидените операции за обработка на заштитата на личните податоци кога постои веројатност обработката да предизвика висок ризик за правата и слободите на граѓаните.
Освен ова, од Агенцијата за Мета.мк велат дека чести се случаите институциите на своите веб-страници да немаат истакнато посебна Политика за користење колачиња (cookies) и немаат создадено технички можности за давање/недавање согласност од корисникот на веб-страниците за користење т.н. „колачиња“. Посебен проблем, според Агенцијата, е тоа што институциите често не вршат контрола над работата на обработувачите на лични податоци.
„За да се унапреди работата во полето на заштитата на личните податоци, потребно е подигнување на свеста на вработените во институциите, преку која се афирмира правото на заштита на личните податоци на граѓаните и се едуцира контролорот за неговите обврски што произлегуваат од прописите за заштита на личните податоци. Решението за поедноставување на имплементацијата на законот лежи во определување офицери за заштита на личните податоци секогаш кога тоа е неопходно или можно, како лица кои поседуваат квалификации во согласност со законот и кои се подготвени да работат на стекнување нови знаења во полето на заштитата на личните податоци. Офицерот треба да работи на изнаоѓање што поголем број активности преку кои ќе се делува на подигнување на свеста на вработените во институциите, особено за оние што се вклучени во операциите на обработка на личните податоци“, велат од Агенцијата за заштита на личните податоци за Мета.мк.
Од таму и претходно апелираа до сите институции да посветат поголемо внимание на заштитата на личните податоци на граѓаните, односно да демонстрираат отчетност и одговорност преку инвестирање во нови технолошки решенија и знаења на вработените, со цел да бидат во чекор со развојот на дигиталното општество.
„Во последно време зачестени се нападите над ИТ-системите на институциите поради застарените технолошки решенија што се користат и недоволен стручен кадар што ќе може да одговори на предизвиците на новото време. Агенцијата континуирано укажува на потребата од зголемување на безбедноста на ИТ-системите на институциите, бидејќи штетните последици при евентуална злоупотреба на личните податоци на граѓаните може да биде огромна и ненадоместлива“, изјавија од АЗЛП.
Дигитализацијата на матичните книги го запали алармот
Последен случај што го отвори сомнежот за можна злоупотреба со личните податоци на граѓаните беше случајот со Управата за водење матични книги (УВМК), откако Државната комисија за спречување на корупцијата отвори предмет и најави кривична пријава поради сомнежи за пробиени матични книги и трговија со личните податоци на граѓаните.
Според антикорупционерите, во двете тендерски постапки за дигитализација на матичните книги не биле предвидени соодветни заштитни мерки со цел да се зачува приватноста односно личните податоци на граѓаните на РСМ при скенирањето, контролата, управувањето, преносот и обработката на личните податоци од страна на ангажираните економски оператори врз основа на договорите склучени со Управата за водење матични книги.
Па, така, при дефинирањето на условите во тендерот, се барале сертификати што докажуваат квалитет на економските оператори за работа со класифицирани т.е. доверливи податоци и информации, но не и квалитет за собирање, контрола, обработка и пренос на лични податоци.
Од Агенцијата за заштита на личните податоци било побарано да изврши вонредна супервизија во УВМК, со цел да се провери кој сè имал пристап до скенираните документи за лични податоци, како биле чувани, дали биле заштитени, дали воспоставениот систем за нивна заштита бил ефикасен и ефективен и дали се употребени за незаконски цели. Агенцијата влегла во УВМК и во наодите од извршената вонредна супервизија навела дека има „сериозни пропусти при т.н. дигитализација на матичните книги“.
Во суперевизијата што ни беше доставена од АЗЛП пишува дека вработените во УВМК немале посетено обука за заштита на личните податоци, а „за скенирање на матичните книги, се користат два компјутера каде што се инсталирани два скенера“.
„За влез во овие компјутери не се бара да се внесе корисничко име и лозинка. Овие компјутери и скенери се сместени во просторија што физички не е обезбедена, при што до просторијата постоела можност да пристапат и неовластени лица. Во фазата на скенирање, ангажираните лица од обработувачите немале придружба (контрола) од вработените кај УВМК. Во оваа просторија се чуваа и матичните книги од повеќе подрачни единици кои биле доставени за скенирање, при што до нив може да има секој што ќе пристапи во просторијата на УВМК. Скенираните матични книги се преземаат од овие два компјутери на преносен медиум, кој не е заштитен со лозинка“, стои во супервизијата.
За извршената вонредна супервизија, составен е записник и е донесено решение со корективни мерки, при што се определени рокови за отстранување на утврдените повреди.
„Роковите за постапување истекоа во јуни 2023 година, по што УВМК има обврска за секоја мерка да нè извести и да достави докази дека ги отстранила констатираните повреди. За дел од мерките Управата веќе достави и докази до Агенцијата за отстранување на повредите“, велат од АЗЛП за Мета.мк.
Последиците од евентуална злоупотреба на личните податоци можат да биде ненадоместливи
Во процес на интензивна дигитализација, а воедно и на голем број сајбернапади, граѓаните сепак немаат друг избор, освен да ги даваат своите податоци и да ги користат апликациите и сајтовите што ги нуди државата, независно од нивната безбедност. Оттаму, останува единствено на државните институции да се грижат за личните податоци на граѓаните. Сепак, ова досега не се покажа како најуспешен процес, односно се покажа како процес на кој во иднина треба уште многу да се работи.
Во 2020 година падна системот на Државната изборна комисија додека се собираа изборните резултати. По хаваријата, системот беше поправен, ама ова фрли сериозна дамка на изборниот процес.
Понатаму, се случија поголем број сајбернапади врз системите на институции што располагаат со најсензитивни лични податоци на граѓаните. Поради упад во системот на Фондот за здравствено осигурување, тој остана нефункционален три недели. Вработени не можеа да земат плата, хронично болни останаа без лекови, а на стотици илјади граѓани им беа загрозени личните податоци. Во сета оваа хаварија, во јавноста никогаш не се откри што точно се случи, а единствено остана уверувањето на надлежните дека „здравствените и личните податоци се целосно безбедни и не се украдени, a граѓаните можат да бидат спокојни“.
Во меѓувреме, Министерството за земјоделство, Агенцијата за електронски комуникации, собранискиот сајт, се само дел од институциите што исто така беа предмет на сајбернапади.
Вицепремиерката задолжена за политики за добро владеење Славица Грковска честопати порачува дека заканите за сајбербезбедноста постојано еволуираат и затоа професионалците за сајбербезбедност мора да бидат опремени со најсовремени знаења и алатки за да се заштитат ефективно од нив. Таа вели дека само со обезбедување можности за обука на вработените на сите нивоа, може да се создаде чувство на заедничка одговорност за сајбербезбедноста.
Според член 69 од Законот за заштита на личните податоци, Агенцијата подготвува и спроведува обука за вработените во контролорите, односно обработувачите (од јавниот и од приватниот сектор), како и за офицери за заштита на личните податоци, при што по завршување на обуката, издава сертификати за учество на обука за заштита на личните податоци. Годинава, заклучно со јули, Агенцијата спровела пет обуки со 69 учесници како претставници од 43 контролори од јавниот и од приватниот сектор.
Овој текст е подготвен со поддршка на Европската Унија. Содржините во овој текст се единствена одговорност на партнерите на проектот „Техничка и интегрирана заштита на лични податоци – градење инклузивен дигитален екосистем“ и на авторот и на ниеден начин не ги одразуваaт ставовите на Европската Унија
