Корона вирус, Србија и заштита података: ББЦ истражује - зашто су ковид редари, ни криви ни дужни, имали приступ личним подацима грађана

У истраживању учествовао Лазар Човс, ББЦ дата новинар

Од када је пре два месеца постао ковид редар, угоститељ Драган Јоксић није ни помишљао да сваки пут када скенира кју-ар код на ковид пропусници госта, поступајући према прописима, у његовом мобилном телефону остају линкови који воде до личних података посетилаца кафића.

Угоститељ каже да до недавно „није био свестан" да на овај начин има приступ осетљивим подацима гостију - јединственом матичном броју грађана (ЈМБГ) и медицинским подацима.

„Нисам знао, а мислим да је страшно јер нарушава поверење између угоститеља и муштерија", каже Јоксић за ББЦ на српском.

Ковид редари су имали приступ овим подацима грађана до четвртка 23. децембра, када су новинари ББЦ-ја предочили овај проблем представницима Канцеларије за информационе технологије (ИТ) и електронску управу (еУправа).

После разговора, са линкова су уклоњени осетљиви подаци претходно приказивани приликом очитавања кју-ар кода.

Од тада, при очитавању сертификата се може видети само датум рођења, док су имена и презимена делом прекривена звездицама.

„Када нас је редакција ББЦ-ја контактирала, дала нам је одличан повод да применимо техничко решење о којем размишљамо већ неко време", каже Милан Јосимов, задужен за заштиту података о личности у Канцеларији ИТ и еУправу, за ББЦ на српском.

Канцеларија ради при Влади Србије и надлежна је за портал еУправа, који грађанима омогућава да услуге државних институција користе електронски.

Из институције Повереника за информације од јавног значаја и заштиту податка о личности кажу да „нису учествовали" у увођењу дигиталних зелених сертификата и ковид пропусница, као и да „нису добили званично обавештење" о овом случају.

„ЈМБГ и подаци о вакцинацији, прележаној болести или тестирању, који спадају у осетљиве медицинске податке морали би да буду заштићени, таман посла да свако може да им приступа преко интернета", каже Милан Мариновић, повереник за информације од јавног значаја и заштиту података о личности.

„Ако је тако, ситуација је преозбиљна."

Повереник наводи да је 20. децембра, истог дана када су ББЦ новинари послали упит Канцеларији за ИТ и еУправу, од надлежног Министарства здравља добио молбу да достави мишљење да ли је првобитно решење у складу са законом.

Рок за његов одговор је два месеца.

Из Канцеларије за ИТ најављују и да ће „променити начин очитавања дигиталног зеленог сертификата" и онемогућити очитавање камером мобилног телефона уколико ковид редар нема посебну апликацију коју планирају да направе.

Дигитални зелени сертификат (ДЗС) уведен је у мају 2021. године и користи га највећи број грађана - сви који су се вакцинисали, прележали ковид или обавили тестирање.

Издаје га Институт за јавно здравље „Др Милан Јовановић Батут", док Канцеларија за ИТ и еУправу омогућава електронско коришћење ове услуге.

Из Министарства здравља, као ни из „Батута", државних институција надлежних за податке грађана у овом случају, нису одговорили на питања ББЦ новинара до објављивања овог текста.

Закључно са 27. децембром 2021, у Србији је издато више од 2,5 милиона дигиталних зелених сертификата, речено је из Канцеларије за ИТ за ББЦ на српском.

Могућност дељења података о личности као „прихватљив ризик"

Кроз локал у којем ради Драган Јоксић сваког дана прођу десетине, некад и стотине гостију.

Када су крајем октобра уведене ковид пропуснице, Уредбом Владе прописано је да се у ту сврху користи дигитални зелени сертификат (ДЗС).

Од тада Драган сваке вечери проверава да ли његови гости могу да остану у локалу после 20 часова, када у кафићу могу да бораве само они са валидном ковид пропусницом.

Пропуснице проверава тако што кју-ар код скенира камером на паметном телефону, јер за разлику од европских, за очитавање кју-ар кодова на ДЗС није потребна специјализована апликација ни уређај.

Приликом очитавања, на екрану Драгановог телефона појављује се прозорчић са линком који води до сајта еУправа, где се приказује сертификат госта.

Драган је за једно вече скенирао више кју-ар кодова, ни не слутећи који су му све подаци доспевали у руке сваки пут.

Линковима, који остају сачувани у историји претраживача, може се приступити још безброј пута, уверили су се ББЦ новинари.

У претходна два месеца, у мобилним телефонима ковид редара широм Србије тако су се нашле хиљаде линкова са личним подацима грађана Србије.

„Никада не бих пожелео да будем полицајац мојим гостима, а камоли да се појави трунка сумње да бих могао да злоупотребим њихово поверење", каже Јоксић.

Из Канцеларије за ИТ и еУправу кажу да су се за првобитно софтверско решење одлучили јер су проценили да се ради о „прихватљивом ризику".

„Анализирали смо разне аспекте, укључујући и заштиту података о личности и сматрали смо да смо применили све техничке мере које су потребне да не дође до нарушавања података о личности у великом обиму", наводи Милан Јосимов.

Повереник Мариновић сматра да само поседовање линка „није спорно".

„Међутим, уколико је путем линкова могуће поново приступити подацима, у мобилним телефонима настају базе података, што је у супротности са Законом о заштити података о личности", каже.

Да ли ковид редари треба да брину да су несвесно прекршили закон?

Повереник Мариновић каже да би складиштење линкова који воде до личних података грађана у мобилним телефонима „била неовлашћена обрада података".

Овај поступак би носио кривичну одговорност.

Међутим, ковид редари не треба да брину, каже повереник.

„Ово је системско питање и не можемо да говоримо о субјективној одговорности ковид редара, већ се поставља питање заштићености система".

Много је начина за злоупотребу личних података, а један од примера је крађа идентитета, истиче Јелена Адамовић, правница Шер фондације, невладине организација за унапређење људских права и интернет слобода.

„Сви подаци у ДЗС су осетљиви, а што више података неко има о вама, то му је лакше да се представља као ви - пред банком, послодавцем или слично", додаје.

Каже и да „не постоји ниједан идентификатор који је тако јединствен за било ког грађанина као што је ЈМБГ".

„За мене није спорно што се налази на ковид потврдама, али редари можда нису морали да имају увид ни у овај податак", објашњава.

Поред ЈМБГ-а, на дигиталним сертификатима су се до четвртка налазили и медицински подаци - врста вакцине, датум и место вакцинације, односно информације о тестирању или прележаној болести.

„Медицински подаци спадају у посебно осетљиве податке о личности, што значи да је њихова обрада забрањена и може се вршити само под тачно прописаним условима", истиче повереник Мариновић.

ББЦ новинари су, користећи сопствене сертификате, утврдили да је линк могуће поделити са било ким на интернету, на исти начин као што се шаљу песме са Јутјуба, вести или фотографије.

То значи да је до 23. децембра, када је Канцеларија за ИТ и еУправу смањила количину података који се приказују, свако ко је имао линк до нечијег сертификата и интернет везу могао безброј пута да приступи туђим личним подацима и проследи га даље.

Повереник Мариновић сматра да ковид редари треба само да проверавају да ли грађани „имају улазницу", али не и да имају увид у личне податке.

„Баш као што када купите улазницу за позориште, онај ко цепа карте не пита за ЈМБГ", наводи.

Из Канцеларије за ИТ и еУправу истичу да им до сада „није пријављен ниједан случај злоупотребе или повреде података".

„Тренутно радимо на томе да утврдимо да ли је дошло до злоупотреба", каже Јосимов.

Ниједан случај повреде личних података до сада није пријављен ни институцији Повереника.

Јосимов подсећа су дигитални зелени сертификати уведени у мају 2021. године, „пред сезону годишњих одмора".

У то време, Србија још увек није издавала ЕУ дигиталне зелене сертификате (ЕУ ДЗС), који су у складу са европским стандардом и на којима кју-ар кодове није могуће очитати камером мобилног телефона.

„За првобитно решење смо се одлучили како бисмо омогућили грађанима да несметано путују у иностранство".

„У податке који се приказују приликом очитавања уврстили смо ЈМБГ и медицинске податке како би грађани могли да докажу идентитет, као и да испуњавају услов за улазак у страну земљу", каже.

Јосимов наводи да, услед увођења ЕУ ДЗС за грађане Србије средином новембра, „више није потребно да се ови подаци приказују приликом очитавања ДЗС", јер се више не користи за путовања у ЕУ.

„Зато смо и планирали да их уклонимо", тврди Јосимов.

ДЗС се, међутим, и даље користи за путовања у земље ван Европске уније.

Влада Србије ради на потписању низа споразума о признавању српског дигиталног зеленог сертификата у разним земљама света, кажу из Канцеларије за ИТ и еУправу.

Кју-ар код директора Канцеларије за ИТ и еУправу од новембра доступан на интернету

На насловној фотографији чланка који је 15. новембра објавила Радио-телевизија Војводине приказан је кју-ар код.

ББЦ новинари скенирали су га камером мобилног телефона и утврдили да води ка дигиталном зеленом сертификату Михаила Јовановића, директора Канцеларије за ИТ и еУправу.

„Фотографија кју-ар кода је исто што и кју-ар код", појашњава програмер Андрија Јаковљевић за ББЦ на српском.

„Зато је очитавање податка могуће".

Када су ББЦ новинари очитали кју-ар код 17. децембра, ЈМБГ и подаци о вакцинацији директора Јовановића још увек су били доступни на сајту еУправа.

ББЦ новинари су се мејлом обратили Јовановићу за коментар, али одговора није било.

Објашњење је неколико дана касније дао Милан Јосимов.

„Господин Јовановић је био свестан шта ради и поступио је алтруистички у жељи да промовише дигиталне зелене сертификате", каже он.

Да ли се млади вакцинишу због ковид пропусница

Правни оквир: Кју-ар кодови у доба ковида

анализа, Дејан Лучка, консултант за људска права и сајбер право

Приступање личним подацима грађана приликом скенирања кју-ар кода покреће бројна питања у вези са људским правима током и после пандемије.

Устав Републике Србије гарантује заштиту података о личности.

Конвенција за заштиту људских права и основних слобода, као и Међународни пакт о грађанским и политичким правима осигуравају право на поштовање приватног и породичног живота.

Јавна власт се може мешати у ова права уколико је то у интересу заштите здравља или права осталих грађана.

Свако мешање треба да буде пропорционално сврси и не сме прекомерно да задире у права појединца.

Законом о заштити података о личности дефинисано је шта је све податак о личности.

То су подаци на основу којих се може утврдити идентитет лица, као што су име и презиме, број телефона, број личне карте, ЈМБГ…

Иако употреба кју-ар кодова може бити корисна у разним областима живота, кју-ар кодови који грађани носе са собом, а садрже линкове на којима се налазе њихови подаци о личности, могу да постану предмет злоупотребе.

Ако их је неко до сада екстерно сачувао, сасвим је могућа и њихова даља експлоатација.

Сама технологија је рањива на хакерске нападе, извлачење података или преусмеравање скенера на друге УРЛ адресе и друге претње по сајбер безбедност.

Неопходно је да власти посвете време и ресурсе како би предупредили такве нападе и да заштите безбедност и приватност података грађана.

Став Повереника: 'Ковид редари не треба да имају приступ личним подацима грађана'

Увођењем ковид пропусница, Србија је добила ковид редаре - физичка лица која су добила овлашћења да скенирају сертификате.

После осам сати увече, сви који би пожелели да оду у кафић, ресторан, биоскоп или концерт показивали би пропуснице на улазу.

Јосимов каже да „вероватно многи нису били свесни да ковид редари имају увид у личне податке".

„Морамо радити на информисаности грађана, али они јесу били обавештени који ће се подаци наћи на сертификату и дали су за то пристанак када су се за њих пријавили", наглашава Јосимов.

Повереник Мариновић истиче да су грађани „пристали само на оно о чему су били обавештени".

Он сматра да, без обзира да ли грађани дају пристанак, ковид редари „не треба да имају приступ личним подацима грађана".

„Само треба да проверавају да ли имате важећи сертификат", сматра повереник.

„Не треба да имају увид у ваше личне податке, а камоли могућност да их складиште, преносе другим лицима или архивирају", истиче.

Још један потенцијални проблем јесте што очитавањем сертификата ковид редар зна да сте у одређено време били на одређеном месту, истиче повереник.

„Ни полиција не сме да зна где сте се кретали ако нема налог", истиче Мариновић.

Из Канцеларије за ИТ и еУправу признају да смањењем броја података који се приказују ова могућност није отклоњена.

„Сматрамо да је ризик од праћења низак и да не угрожава права и слободе грађана", наводи Јосимов.

Најављује да ће се у наредном периоду пракса валидације ковид пропусница променити.

„Планирамо да уведемо посебну апликацију, а ДЗС више неће моћи да се очитава камером мобилног телефона".

За читање ЕУ дигиталних зелених сертификата у Србији већ постоји апликација Очитај ЕУ ДЗС, уведена почетком децембра 2021. године.

Како су се лични подаци грађана Србије нашли на Гуглу

Све до 23. децембра, постојао је још један, очигледнији начин за приступање дигиталним зеленим сертификатима - свако је могао да их пронађе на Гуглу.

ББЦ новинари приметили су да су се линкови до оригиналних ДЗС појавили на првим странама претраге на претраживачима Гугл и Бинг.

„Немамо објашњење како се то догодило", каже Милан Јосимов из Канцеларије за ИТ и еУправу.

Док су ББЦ новинари пронашли сертификате седморо људи, из Канцеларије су утврдили да су се у претрази нашла „три сертификата".

„Ради се о правим сертификатима стварних лица објављеним на сајту еУправа", потврђује Јосимов.

Скенирањем сертификата се, заправо, приступа интернет страници, објашњава Ненад Смиљанић, програмер у београдској ИТ компанији Фреја.

Сваки пут када се на сајту еУправа креира нови сертификат, на интернету се појави нова страница.

Претраживачи, попут Гугла и Бинга, евидентирају нове странице тако што их уписују на „неку врсту мапе постојећих страница", објашњава Смиљанић.

„Када Гугл евидентира страницу, кажемо да је индексирана", каже он.

Један од разлога што су се линкови који воде ка подацима грађана појавили у претрази могао би да буде пропуст да током програмирања „није забрањено индексирање сертификата или на било који други начин спречено да буду видљиви у претраживачу", сматра Смиљанић.

Јосимов тврди да је Канцеларија „спречила индексирање сертификата".

„Интензивно покушавамо да схватимо шта се догодило, а претпостављамо да је дошло до потенцијалних злоупотреба, где су одређена лица омогућила да линкови са сајта еУправа буду видљиви у претрази", наводи.

Признаје да „није уобичајено" да се сертификати појаве у резултатима интернет претраге, али истиче да се ради о „малом броју сертификата".

„У односу на више од 2,5 милиона издатих сертификата, три или седам је заиста мали број", сматра Јосимов.

Наводи да је Канцеларија радила на осмишљавању софтверског решења, док су за кодирање ангажоване спољне ИТ компаније.

Из Канцеларије до објављивања текста нису одговорили на питања ББЦ новинара које су компаније спровеле ово решење и колико је коштало увођење ДЗС.

Како је у другим земљама?

У европским земљама, кју-ар код на сертификату не може се очитати камером мобилног телефона, већ је потребно инсталирати специјализовану апликацију.

У Шведској се за скенирање дигиталних зелених сертификата користи неколико званичних апликација, а прва која је добила печат поверења шведских власти била је апликација Фреја еИД (Freja eID).

Фреја је рођена у једној канцеларији у центру Београда, а осмислио ју је тим српских ИТ стручњака.

„Апликација је настала пре неколико година, а идеја је била да омогућимо корисницима да на безбедан начин користе разне државне услуге - од заказивања лекарских прегледа, преко пријаве пореза до подизања пакета у пошти", објашњава програмер Андрија Јаковљевић за ББЦ на српском.

Ради се о бесплатној апликацији која грађанима омогућава креирање електронског идентитета.

Када на профил додају лична документа, Швеђани користе Фреју за електронску комуникацију за институцијама.

Пошто апликација барата осетљивим подацима, инжењери су много размишљали о безбедности.

Њихово решење је да се приликом скенирања на екрану приказују само име и презиме, датум рођења и основ за добијање потврде - вакцинација, прележана болест или тестирање.

„Подаци очитавања сертификата других људи се не могу сачувати у апликацији", наводи дизајнерка производа Софија Јовандић за ББЦ на српском.

„Тако смањујемо могућност злоупотребе", додаје.

У складу са Општом уредбом о заштити података о личности (ГДПР), корисници Фреје у сваком тренутку могу да обришу свој ковид сертификат из апликације.

„Бришемо све што је било сачувано у бази, као да ковид сертификат никада није ни постојао", истиче Јовандић.

Шта је ГДПР?

Општа уредба о заштити података о личности (General Data Protection Regulation - GDPR)) је регулатива Европске уније (ЕУ) из 2018. године, која обавезује свих 28 чланица, али и све друге земље које на било који начин обрађују податке о личности грађана ЕУ.

Она је заменила дотадашње прописе по којима је свака држава чланица доносила сопствену регулативу.

Поред директне примене, Општа уредба обухвата нове технологије попут мобилних апликација и друштвених мрежа.

Иако ван Европске уније, компаније у Србији које на било који начин обрађују податке грађана морају да поштују ову регулативу.

У пракси, то значи да у предвиђеним ситуацијама морају да траже писану сагласност за обраду података о личности, предоче грађанима које податке обрађују и на који начин, као и да им омогуће да затраже брисање података из базе.

Србија је у јануару 2019. усвојила нови Закон о заштити података о личности, чиме је законодавство ускладила са ГДПР-ом.

У Великој Британији се за скенирање кју-ар кодова користи званична апликација Националне здравствене службе (National Health Service - NHS).

Ни ова апликација не прикупља личне податке.

Приликом скенирања кју-ар кода, на екрану се приказују само име, презиме и да ли је сертификат валидан.

Након очитавања, подаци нестају са екрана и није их могуће сачувати.

Апликација која спасава животе

Пратите нас на Фејсбуку и Твитеру. Ако имате предлог теме за нас, јавите се на [email protected]