Повереник Мариновић: Хакерски напади су најчешћи вид цурења података

Поред финансијске штете, циљ ових напада је и политички, а жртве могу бити и обични грађани, често несвесни тога колико је њихових личних података изложено и рањиво, и какве последице све могу да имају. Сваке године бележи се у просеку шестоструко повећање хакерских покушаја упада, уз ренсомвер, постављање малвера и крађу података, као и чувене DDoS нападе, који онеспособљавају многе сајтове, нарочито оне које припадају институцијама. У последње време имамо озбиљне упаде у базе података Владиних организација, као и великих система. На који начин можемо да спречимо штету, који су поступци пријављивања и колико су запослени уопште упознати с методима заштите података?

- Законом о заштити података о личности јасно су прописане обавезе свих руковалаца, односно, обрађивача података о личности, укључујући и органе власти и тзв. надлежне органе који податке о личности обрађују у посебне сврхе, ради откривања и спречавања кривичних дела - каже повереник за информације од јавног значаја Милан Мариновић. - Сви руковаоци подацима о личности дужни су да, у зависности од природе, обима и сврхе обраде и вероватноће наступања ризика по права лица на које се подаци односе, предузимају одговарајуће техничке, организационе и кадровске мере за безбедност података о личности, и да те мере по потреби преиспитују и ажурирају. Кадровске мере би свакако требало да укључе упознавање запослених с методама заштите података, попут контроле приступа опреми и подацима, контроле уноса, употребе и похрањивања података... Будући да се у савременом друштву повреде података о личности најчешће дешавају у дигиталној сфери, техничке мере свакако треба да обухватају све напреднију заштиту од хакерских напада, злонамерног софтвера и других видова повреде података о личности путем информационо-комуникационих технологија, што подразумева ангажовање одговарајућих стручњака из те области.

У таквим ситуацијама важно је знати протоколе, уз чију ћете помоћ избећи одуговлачење, збрку и проблеме...

- Пријављивање повреде података о личности Поверенику и лицима на које се подаци односе представља законску обавезу руковалаца, уколико повреда може да произведе одређени ризик по права и слободе тих лица. Пријављивање се врши без непотребног одлагања, а најкасније у року од 72 часа од сазнања за повреду. На званичној интернет презентацији Повереника (njnjnj.povеrеnik.rs) налази се образац пријаве повреде података о личности, који је руковалац дужан да достави Поверенику на електронску адресу. Непријављивање повреде података о личности повлачи прекршајну одговорност руковаоца.

Корона нам је дефинитивно променила начин на који обављамо послове, па већина запослених и даље део свог радног времена проводи код куће, радећи онлајн. То отвара врата многим хакерима и ловцима у мутном да покушају да се докопају личних и пословних заштићених података. На шта треба да обрате пажњу када је у питању заштита података о личности?

- У зависности од врсте података о личности и природе њихове обраде, руковаоци подацима о личности чији запослени раде ван просторија послодавца треба да примењују одговарајуће техничке мере заштите података о личности које укључују псеудонимизацију, криптозаштиту, и друге мере које обезбеђују трајну поверљивост, интегритет и расположивост података о личности, као и адекватну отпорност система у оквиру ког се подаци обрађују. До такозваног „цурења“ података о личности може доћи кривицом лица која врше обраду података (руковаоци и обрађивачи), али и без њихове кривице. Како код нас, тако и у свету, хакерски напади су најчешћи вид цурења података и то, из праксе, углавном без кривице лица која обрађују податке. Руковаоци, односно обрађивачи постављају разне мере заштите, као што су антивирус програми, firеnjall-ovi, те ангажују фирме које се баве програмирањем како би се хакерски напади свели на најмању могућу меру. Међутим, као што је могуће да нека лица провале и обију скоро сваки сеф, физички, још је лакше продрети у базе података од стране хакера виртуелно, те је немогуће бити сигуран 100% да неки подаци неће бити угрожени на овај начин. Такође, лица која обрађују податке морају предузети све могуће мере да заштите податке, и у том делу је њихова одговорност, јер не могу да занемаре случајеве продора у систем, морају пратити развој нових технологија и надограђивати своје компјутерске системе. Постоје разни видови цурења података али су најактуелнији наведени хакерски напади, посебно у виду рансомњаре-а (случај у којем хакери закључају налог лица који обрађује податке те га уцењују, односно траже новац како би откључали наведени налог), преузимања база података послодавца од стране отпуштених радника, неовлашћеног коришћења података послодавца од стране запослених у приватне сврхе, те обрада података без правног основа или навођења легитимног интереса као правног односа, без prеthodnе процене.

У 2022. години је дошло до промене у свести о заштити података о личности код особа која обрађују податке о личности, не у огромној мери али је приметно. То је резултат повећаног броја редовних надзора, које извршавају овлашћена лица Службе Повереника. Статистика показује да је достављено 40 обавештења о повреди података о личности, што укључује и наведена цурења података, да је 600 руковалаца одредило лице за заштиту података о личности и о томе обавестило Повереника, а у 2023. години, до сада, именовано је 70 лица за заштиту.

Напомињем, каже Мариновић, да до 2023. године нису примењиване, у већем обиму, репресивне мере чију примену омогућава Закон о заштити података о личности, те су редовни инспекцијски надзори били фокусирани више на саветодавне и превентивне посете, превасходно због COVID-19 мера, док је план да се ове године то промени, што ће довести и до промена у поступању лица који обрађују податке о личности.

Прошле су три године од почетка примене новог Закона о заштити података о личности, колико је руковалаца и обрађивача одредило лице за заштиту података о личности?

- Током 2022. године Повереника је о именовању лица за заштиту података о личности обавестило 600 руковалаца, тако да је од почетка примене новог Закона податке о лицима за заштиту података доставило укупно 4.378 руковалаца, од којих су 2.686 органи власти. Обавезу достављања података о лицу за заштиту података о личности у Републици Србији има више од 12.000 субјеката, тако да наведене бројке нису нешто чиме бисмо могли да се похвалимо. Зато подсећамо руковаоце и обрађиваче да неодређивање лица за заштиту података о личности у случајевима када је то обавезно представља прекршај за који је запрећена новчана казна у износу од 50.000 до 2.000.000 динара, да необјављивање контакт података лица за заштиту података о личности и пропуст да се они доставе Поверенику представља прекршај за који је запрећена казна у износу од 100.000 динара за правна лица, 50.000 динара за предузетнике, односно 20.000 динара за одговорна лица, и да ће Повереник своја законска овлашћења у погледу прекршајног кажњавања руковалаца, односно обрађивача, почети да користи у пуном капацитету.

Послодавци су такође обавезни да израде процену утицаја на заштиту података о личности.

- Поштовање обавезе вршења процене утицаја на заштиту података о личности битно је како за руковаоце, јер им омогућава да на систематичан начин идентификују и минимизирају постојеће ризике, и да у раној фази планирања радњи обраде елиминишу евентуалне проблеме, тако и за лица на која се подаци односе, јер им се израдом и објављивањем процене утицаја ставља до знања да руковаоци воде рачуна о њиховим правима и интересима – каже Мариновић.

Ивана Радоичић

Стратегијом заштите података о личности за период до 2030. године, чија је израда у завршној фази, идентификована је потреба за увођењем едукације о заштити података о личности у садржаје планова и програма наставе и учења на свим нивоима образовања, нарочито имајући у виду развој информационих технологија и њихову све ширу примену и доступност. Надамо се да ће Стратегија бити усвојена у најкраћем року и да ће за њом уследити одговарајући акциони план који ће омогућити реализацију утврђених стратешких циљева, каже Мариновић.

Повереник ће поводом обележавања Дана заштити података о личности, 30. јануара 2023. године, објавити штампано и онлајн издање брошуре за децу „Подаци о личности су наше благо, како их можемо заштитити?“, аутора Драгана Илића, коју смо припремили уз помоћ програма „Нова писменост“, који заједнички реализују Америчка агенција за међународни развој (УСАИД) и организација Пропулсион. Ова брошура описује ризике по приватност података о личности деце на интернету, подучава их о њиховим правима, и објашњава механизме правне заштите података о личности од стране Повереника и надлежних судова.

Пред крај прошле године отворена је канцеларија у Новом Саду.

-  Поносни смо на чињеницу да смо пре истека 2022. године успели да отворимо прву канцеларију ван седишта Повереника. На овај начин ће грађани у овом делу Републике Србије моћи непосредније да се информишу о својим правима утврђеним Законом о заштити података о личности и Законом о слободном приступу информацијама од јавног значаја, и да лакше остварују права која су од суштинске важности у сваком демократском друштву. У плану је отварање још две канцеларије Повереника током 2023. године, у Нишу и Крагујевцу, што ће се свакако позитивно одразити на резултате нашег рада.