Poverenik Marinović: Hakerski napadi su najčešći vid curenja podataka

Pored finansijske štete, cilj ovih napada je i politički, a žrtve mogu biti i obični građani, često nesvesni toga koliko je njihovih ličnih podataka izloženo i ranjivo, i kakve posledice sve mogu da imaju. Svake godine beleži se u proseku šestostruko povećanje hakerskih pokušaja upada, uz rensomver, postavljanje malvera i krađu podataka, kao i čuvene DDoS napade, koji onesposobljavaju mnoge sajtove, naročito one koje pripadaju institucijama. U poslednje vreme imamo ozbiljne upade u baze podataka Vladinih organizacija, kao i velikih sistema. Na koji način možemo da sprečimo štetu, koji su postupci prijavljivanja i koliko su zaposleni uopšte upoznati s metodima zaštite podataka?

- Zakonom o zaštiti podataka o ličnosti jasno su propisane obaveze svih rukovalaca, odnosno, obrađivača podataka o ličnosti, uključujući i organe vlasti i tzv. nadležne organe koji podatke o ličnosti obrađuju u posebne svrhe, radi otkrivanja i sprečavanja krivičnih dela - kaže poverenik za informacije od javnog značaja Milan Marinović. - Svi rukovaoci podacima o ličnosti dužni su da, u zavisnosti od prirode, obima i svrhe obrade i verovatnoće nastupanja rizika po prava lica na koje se podaci odnose, preduzimaju odgovarajuće tehničke, organizacione i kadrovske mere za bezbednost podataka o ličnosti, i da te mere po potrebi preispituju i ažuriraju. Kadrovske mere bi svakako trebalo da uključe upoznavanje zaposlenih s metodama zaštite podataka, poput kontrole pristupa opremi i podacima, kontrole unosa, upotrebe i pohranjivanja podataka... Budući da se u savremenom društvu povrede podataka o ličnosti najčešće dešavaju u digitalnoj sferi, tehničke mere svakako treba da obuhvataju sve napredniju zaštitu od hakerskih napada, zlonamernog softvera i drugih vidova povrede podataka o ličnosti putem informaciono-komunikacionih tehnologija, što podrazumeva angažovanje odgovarajućih stručnjaka iz te oblasti.

U takvim situacijama važno je znati protokole, uz čiju ćete pomoć izbeći odugovlačenje, zbrku i probleme...

- Prijavljivanje povrede podataka o ličnosti Povereniku i licima na koje se podaci odnose predstavlja zakonsku obavezu rukovalaca, ukoliko povreda može da proizvede određeni rizik po prava i slobode tih lica. Prijavljivanje se vrši bez nepotrebnog odlaganja, a najkasnije u roku od 72 časa od saznanja za povredu. Na zvaničnoj internet prezentaciji Poverenika (njnjnj.poverenik.rs) nalazi se obrazac prijave povrede podataka o ličnosti, koji je rukovalac dužan da dostavi Povereniku na elektronsku adresu. Neprijavljivanje povrede podataka o ličnosti povlači prekršajnu odgovornost rukovaoca.

Korona nam je definitivno promenila način na koji obavljamo poslove, pa većina zaposlenih i dalje deo svog radnog vremena provodi kod kuće, radeći onlajn. To otvara vrata mnogim hakerima i lovcima u mutnom da pokušaju da se dokopaju ličnih i poslovnih zaštićenih podataka. Na šta treba da obrate pažnju kada je u pitanju zaštita podataka o ličnosti?

- U zavisnosti od vrste podataka o ličnosti i prirode njihove obrade, rukovaoci podacima o ličnosti čiji zaposleni rade van prostorija poslodavca treba da primenjuju odgovarajuće tehničke mere zaštite podataka o ličnosti koje uključuju pseudonimizaciju, kriptozaštitu, i druge mere koje obezbeđuju trajnu poverljivost, integritet i raspoloživost podataka o ličnosti, kao i adekvatnu otpornost sistema u okviru kog se podaci obrađuju. Do takozvanog „curenja“ podataka o ličnosti može doći krivicom lica koja vrše obradu podataka (rukovaoci i obrađivači), ali i bez njihove krivice. Kako kod nas, tako i u svetu, hakerski napadi su najčešći vid curenja podataka i to, iz prakse, uglavnom bez krivice lica koja obrađuju podatke. Rukovaoci, odnosno obrađivači postavljaju razne mere zaštite, kao što su antivirus programi, firenjall-ovi, te angažuju firme koje se bave programiranjem kako bi se hakerski napadi sveli na najmanju moguću meru. Međutim, kao što je moguće da neka lica provale i obiju skoro svaki sef, fizički, još je lakše prodreti u baze podataka od strane hakera virtuelno, te je nemoguće biti siguran 100% da neki podaci neće biti ugroženi na ovaj način. Takođe, lica koja obrađuju podatke moraju preduzeti sve moguće mere da zaštite podatke, i u tom delu je njihova odgovornost, jer ne mogu da zanemare slučajeve prodora u sistem, moraju pratiti razvoj novih tehnologija i nadograđivati svoje kompjuterske sisteme. Postoje razni vidovi curenja podataka ali su najaktuelniji navedeni hakerski napadi, posebno u vidu ransomnjare-a (slučaj u kojem hakeri zaključaju nalog lica koji obrađuje podatke te ga ucenjuju, odnosno traže novac kako bi otključali navedeni nalog), preuzimanja baza podataka poslodavca od strane otpuštenih radnika, neovlašćenog korišćenja podataka poslodavca od strane zaposlenih u privatne svrhe, te obrada podataka bez pravnog osnova ili navođenja legitimnog interesa kao pravnog odnosa, bez prethodne procene.

U 2022. godini je došlo do promene u svesti o zaštiti podataka o ličnosti kod osoba koja obrađuju podatke o ličnosti, ne u ogromnoj meri ali je primetno. To je rezultat povećanog broja redovnih nadzora, koje izvršavaju ovlašćena lica Službe Poverenika. Statistika pokazuje da je dostavljeno 40 obaveštenja o povredi podataka o ličnosti, što uključuje i navedena curenja podataka, da je 600 rukovalaca odredilo lice za zaštitu podataka o ličnosti i o tome obavestilo Poverenika, a u 2023. godini, do sada, imenovano je 70 lica za zaštitu.

Napominjem, kaže Marinović, da do 2023. godine nisu primenjivane, u većem obimu, represivne mere čiju primenu omogućava Zakon o zaštiti podataka o ličnosti, te su redovni inspekcijski nadzori bili fokusirani više na savetodavne i preventivne posete, prevashodno zbog COVID-19 mera, dok je plan da se ove godine to promeni, što će dovesti i do promena u postupanju lica koji obrađuju podatke o ličnosti.

Prošle su tri godine od početka primene novog Zakona o zaštiti podataka o ličnosti, koliko je rukovalaca i obrađivača odredilo lice za zaštitu podataka o ličnosti?

- Tokom 2022. godine Poverenika je o imenovanju lica za zaštitu podataka o ličnosti obavestilo 600 rukovalaca, tako da je od početka primene novog Zakona podatke o licima za zaštitu podataka dostavilo ukupno 4.378 rukovalaca, od kojih su 2.686 organi vlasti. Obavezu dostavljanja podataka o licu za zaštitu podataka o ličnosti u Republici Srbiji ima više od 12.000 subjekata, tako da navedene brojke nisu nešto čime bismo mogli da se pohvalimo. Zato podsećamo rukovaoce i obrađivače da neodređivanje lica za zaštitu podataka o ličnosti u slučajevima kada je to obavezno predstavlja prekršaj za koji je zaprećena novčana kazna u iznosu od 50.000 do 2.000.000 dinara, da neobjavljivanje kontakt podataka lica za zaštitu podataka o ličnosti i propust da se oni dostave Povereniku predstavlja prekršaj za koji je zaprećena kazna u iznosu od 100.000 dinara za pravna lica, 50.000 dinara za preduzetnike, odnosno 20.000 dinara za odgovorna lica, i da će Poverenik svoja zakonska ovlašćenja u pogledu prekršajnog kažnjavanja rukovalaca, odnosno obrađivača, početi da koristi u punom kapacitetu.

Poslodavci su takođe obavezni da izrade procenu uticaja na zaštitu podataka o ličnosti.

- Poštovanje obaveze vršenja procene uticaja na zaštitu podataka o ličnosti bitno je kako za rukovaoce, jer im omogućava da na sistematičan način identifikuju i minimiziraju postojeće rizike, i da u ranoj fazi planiranja radnji obrade eliminišu eventualne probleme, tako i za lica na koja se podaci odnose, jer im se izradom i objavljivanjem procene uticaja stavlja do znanja da rukovaoci vode računa o njihovim pravima i interesima – kaže Marinović.

Ivana Radoičić

Strategijom zaštite podataka o ličnosti za period do 2030. godine, čija je izrada u završnoj fazi, identifikovana je potreba za uvođenjem edukacije o zaštiti podataka o ličnosti u sadržaje planova i programa nastave i učenja na svim nivoima obrazovanja, naročito imajući u vidu razvoj informacionih tehnologija i njihovu sve širu primenu i dostupnost. Nadamo se da će Strategija biti usvojena u najkraćem roku i da će za njom uslediti odgovarajući akcioni plan koji će omogućiti realizaciju utvrđenih strateških ciljeva, kaže Marinović.

Poverenik će povodom obeležavanja Dana zaštiti podataka o ličnosti, 30. januara 2023. godine, objaviti štampano i onlajn izdanje brošure za decu „Podaci o ličnosti su naše blago, kako ih možemo zaštititi?“, autora Dragana Ilića, koju smo pripremili uz pomoć programa „Nova pismenost“, koji zajednički realizuju Američka agencija za međunarodni razvoj (USAID) i organizacija Propulsion. Ova brošura opisuje rizike po privatnost podataka o ličnosti dece na internetu, podučava ih o njihovim pravima, i objašnjava mehanizme pravne zaštite podataka o ličnosti od strane Poverenika i nadležnih sudova.

Pred kraj prošle godine otvorena je kancelarija u Novom Sadu.

-  Ponosni smo na činjenicu da smo pre isteka 2022. godine uspeli da otvorimo prvu kancelariju van sedišta Poverenika. Na ovaj način će građani u ovom delu Republike Srbije moći neposrednije da se informišu o svojim pravima utvrđenim Zakonom o zaštiti podataka o ličnosti i Zakonom o slobodnom pristupu informacijama od javnog značaja, i da lakše ostvaruju prava koja su od suštinske važnosti u svakom demokratskom društvu. U planu je otvaranje još dve kancelarije Poverenika tokom 2023. godine, u Nišu i Kragujevcu, što će se svakako pozitivno odraziti na rezultate našeg rada.