Korona virus, Srbija i zaštita podataka: BBC istražuje - zašto su kovid redari, ni krivi ni dužni, imali pristup ličnim podacima građana

U istraživanju učestvovao Lazar Čovs, BBC data novinar

Ovako je izgledala stranica posle uèitavanja kju-ar koda na digitalnom zelenom sertifikatu do èetvrtka 23. decembra 2021. godine/BBC

Od kada je pre dva meseca postao kovid redar, ugostitelj Dragan Joksić nije ni pomišljao da svaki put kada skenira kju-ar kod na kovid propusnici gosta, postupajući prema propisima, u njegovom mobilnom telefonu ostaju linkovi koji vode do ličnih podataka posetilaca kafića.

Ugostitelj kaže da do nedavno "nije bio svestan" da na ovaj način ima pristup osetljivim podacima gostiju - jedinstvenom matičnom broju građana (JMBG) i medicinskim podacima.

"Nisam znao, a mislim da je strašno jer narušava poverenje između ugostitelja i mušterija", kaže Joksić za BBC na srpskom.

Kovid redari su imali pristup ovim podacima građana do četvrtka 23. decembra, kada su novinari BBC-ja predočili ovaj problem predstavnicima Kancelarije za informacione tehnologije (IT) i elektronsku upravu (eUprava).

Posle razgovora, sa linkova su uklonjeni osetljivi podaci prethodno prikazivani prilikom očitavanja kju-ar koda.

Od tada, pri očitavanju sertifikata se može videti samo datum rođenja, dok su imena i prezimena delom prekrivena zvezdicama.

Ovako sada izgleda stranica posle uèitanog kju-ar koda na sertifikatu/BBC

"Kada nas je redakcija BBC-ja kontaktirala, dala nam je odličan povod da primenimo tehničko rešenje o kojem razmišljamo već neko vreme", kaže Milan Josimov, zadužen za zaštitu podataka o ličnosti u Kancelariji IT i eUpravu, za BBC na srpskom.

Kancelarija radi pri Vladi Srbije i nadležna je za portal eUprava, koji građanima omogućava da usluge državnih institucija koriste elektronski.

Iz institucije Poverenika za informacije od javnog značaja i zaštitu podatka o ličnosti kažu da "nisu učestvovali" u uvođenju digitalnih zelenih sertifikata i kovid propusnica, kao i da "nisu dobili zvanično obaveštenje" o ovom slučaju.

"JMBG i podaci o vakcinaciji, preležanoj bolesti ili testiranju, koji spadaju u osetljive medicinske podatke morali bi da budu zaštićeni, taman posla da svako može da im pristupa preko interneta", kaže Milan Marinović, poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti.

"Ako je tako, situacija je preozbiljna."

• Koliko traje kovid propusnica, a koliko digitalni sertifikat u Srbiji i inostranstvu
• Kovid propusnice i digitalni sertifikati - odgovori na vaša pitanja
• Aplikacija umesto lekara: Srpski sajt proverava da li imate korona virus
• Kako na granicu, a kako u kafić u EU sa srpskim kovid sertifikatom

Poverenik navodi da je 20. decembra, istog dana kada su BBC novinari poslali upit Kancelariji za IT i eUpravu, od nadležnog Ministarstva zdravlja dobio molbu da dostavi mišljenje da li je prvobitno rešenje u skladu sa zakonom.

Rok za njegov odgovor je dva meseca.

Iz Kancelarije za IT najavljuju i da će "promeniti način očitavanja digitalnog zelenog sertifikata" i onemogućiti očitavanje kamerom mobilnog telefona ukoliko kovid redar nema posebnu aplikaciju koju planiraju da naprave.

Digitalni zeleni sertifikat (DZS) uveden je u maju 2021. godine i koristi ga najveći broj građana - svi koji su se vakcinisali, preležali kovid ili obavili testiranje.

Izdaje ga Institut za javno zdravlje "Dr Milan Jovanović Batut", dok Kancelarija za IT i eUpravu omogućava elektronsko korišćenje ove usluge.

Iz Ministarstva zdravlja, kao ni iz "Batuta", državnih institucija nadležnih za podatke građana u ovom slučaju, nisu odgovorili na pitanja BBC novinara do objavljivanja ovog teksta.

Zaključno sa 27. decembrom 2021, u Srbiji je izdato više od 2,5 miliona digitalnih zelenih sertifikata, rečeno je iz Kancelarije za IT za BBC na srpskom.

Mogućnost deljenja podataka o ličnosti kao "prihvatljiv rizik"

Potvrda o vakciniji ne sadrži osetljive podatke, ali se prilikom oèitavanja DZS do skoro prikazivao JMBG i osetiljivi medicinski podaci graðana/BBC

Kroz lokal u kojem radi Dragan Joksić svakog dana prođu desetine, nekad i stotine gostiju.

Kada su krajem oktobra uvedene kovid propusnice, Uredbom Vlade propisano je da se u tu svrhu koristi digitalni zeleni sertifikat (DZS).

Od tada Dragan svake večeri proverava da li njegovi gosti mogu da ostanu u lokalu posle 20 časova, kada u kafiću mogu da borave samo oni sa validnom kovid propusnicom.

Propusnice proverava tako što kju-ar kod skenira kamerom na pametnom telefonu, jer za razliku od evropskih, za očitavanje kju-ar kodova na DZS nije potrebna specijalizovana aplikacija ni uređaj.

Prilikom očitavanja, na ekranu Draganovog telefona pojavljuje se prozorčić sa linkom koji vodi do sajta eUprava, gde se prikazuje sertifikat gosta.

Dragan je za jedno veče skenirao više kju-ar kodova, ni ne sluteći koji su mu sve podaci dospevali u ruke svaki put.

Linkovima, koji ostaju sačuvani u istoriji pretraživača, može se pristupiti još bezbroj puta, uverili su se BBC novinari.

U prethodna dva meseca, u mobilnim telefonima kovid redara širom Srbije tako su se našle hiljade linkova sa ličnim podacima građana Srbije.

"Nikada ne bih poželeo da budem policajac mojim gostima, a kamoli da se pojavi trunka sumnje da bih mogao da zloupotrebim njihovo poverenje", kaže Joksić.

Iz Kancelarije za IT i eUpravu kažu da su se za prvobitno softversko rešenje odlučili jer su procenili da se radi o "prihvatljivom riziku".

"Analizirali smo razne aspekte, uključujući i zaštitu podataka o ličnosti i smatrali smo da smo primenili sve tehničke mere koje su potrebne da ne dođe do narušavanja podataka o ličnosti u velikom obimu", navodi Milan Josimov.

Poverenik Marinović smatra da samo posedovanje linka "nije sporno".

"Međutim, ukoliko je putem linkova moguće ponovo pristupiti podacima, u mobilnim telefonima nastaju baze podataka, što je u suprotnosti sa Zakonom o zaštiti podataka o ličnosti", kaže. Da li kovid redari treba da brinu da su nesvesno prekršili zakon?

Poverenik Marinović kaže da bi skladištenje linkova koji vode do ličnih podataka građana u mobilnim telefonima "bila neovlašćena obrada podataka".

Ovaj postupak bi nosio krivičnu odgovornost.

Međutim, kovid redari ne treba da brinu, kaže poverenik.

"Ovo je sistemsko pitanje i ne možemo da govorimo o subjektivnoj odgovornosti kovid redara, već se postavlja pitanje zaštićenosti sistema". Mnogo je načina za zloupotrebu ličnih podataka, a jedan od primera je krađa identiteta, ističe Jelena Adamović, pravnica Šer fondacije, nevladine organizacija za unapređenje ljudskih prava i internet sloboda.

"Svi podaci u DZS su osetljivi, a što više podataka neko ima o vama, to mu je lakše da se predstavlja kao vi - pred bankom, poslodavcem ili slično", dodaje.

Kaže i da "ne postoji nijedan identifikator koji je tako jedinstven za bilo kog građanina kao što je JMBG".

"Za mene nije sporno što se nalazi na kovid potvrdama, ali redari možda nisu morali da imaju uvid ni u ovaj podatak", objašnjava.

Pored JMBG-a, na digitalnim sertifikatima su se do četvrtka nalazili i medicinski podaci - vrsta vakcine, datum i mesto vakcinacije, odnosno informacije o testiranju ili preležanoj bolesti.

"Medicinski podaci spadaju u posebno osetljive podatke o ličnosti, što znači da je njihova obrada zabranjena i može se vršiti samo pod tačno propisanim uslovima", ističe poverenik Marinović.

• Da li aplikacija za identifikaciju poziva krši vašu privatnost
• Kako hakeri koriste strah od korone da šire kompjuterske viruse

BBC novinari su, koristeći sopstvene sertifikate, utvrdili da je link moguće podeliti sa bilo kim na internetu, na isti način kao što se šalju pesme sa Jutjuba, vesti ili fotografije.

To znači da je do 23. decembra, kada je Kancelarija za IT i eUpravu smanjila količinu podataka koji se prikazuju, svako ko je imao link do nečijeg sertifikata i internet vezu mogao bezbroj puta da pristupi tuđim ličnim podacima i prosledi ga dalje.

Poverenik Marinović smatra da kovid redari treba samo da proveravaju da li građani "imaju ulaznicu", ali ne i da imaju uvid u lične podatke.

"Baš kao što kada kupite ulaznicu za pozorište, onaj ko cepa karte ne pita za JMBG", navodi.

Iz Kancelarije za IT i eUpravu ističu da im do sada "nije prijavljen nijedan slučaj zloupotrebe ili povrede podataka".

"Trenutno radimo na tome da utvrdimo da li je došlo do zloupotreba", kaže Josimov.

Nijedan slučaj povrede ličnih podataka do sada nije prijavljen ni instituciji Poverenika.

Josimov podseća su digitalni zeleni sertifikati uvedeni u maju 2021. godine, "pred sezonu godišnjih odmora".

U to vreme, Srbija još uvek nije izdavala EU digitalne zelene sertifikate (EU DZS), koji su u skladu sa evropskim standardom i na kojima kju-ar kodove nije moguće očitati kamerom mobilnog telefona.

"Za prvobitno rešenje smo se odlučili kako bismo omogućili građanima da nesmetano putuju u inostranstvo".

"U podatke koji se prikazuju prilikom očitavanja uvrstili smo JMBG i medicinske podatke kako bi građani mogli da dokažu identitet, kao i da ispunjavaju uslov za ulazak u stranu zemlju", kaže.

Josimov navodi da, usled uvođenja EU DZS za građane Srbije sredinom novembra, "više nije potrebno da se ovi podaci prikazuju prilikom očitavanja DZS", jer se više ne koristi za putovanja u EU.

"Zato smo i planirali da ih uklonimo", tvrdi Josimov.

DZS se, međutim, i dalje koristi za putovanja u zemlje van Evropske unije.

Vlada Srbije radi na potpisanju niza sporazuma o priznavanju srpskog digitalnog zelenog sertifikata u raznim zemljama sveta, kažu iz Kancelarije za IT i eUpravu. Kju-ar kod direktora Kancelarije za IT i eUpravu od novembra dostupan na internetu

Na naslovnoj fotografiji članka koji je 15. novembra objavila Radio-televizija Vojvodine prikazan je kju-ar kod.

BBC novinari skenirali su ga kamerom mobilnog telefona i utvrdili da vodi ka digitalnom zelenom sertifikatu Mihaila Jovanovića, direktora Kancelarije za IT i eUpravu.

"Fotografija kju-ar koda je isto što i kju-ar kod", pojašnjava programer Andrija Jakovljević za BBC na srpskom.

"Zato je očitavanje podatka moguće".

Kada su BBC novinari očitali kju-ar kod 17. decembra, JMBG i podaci o vakcinaciji direktora Jovanovića još uvek su bili dostupni na sajtu eUprava.

BBC novinari su se mejlom obratili Jovanoviću za komentar, ali odgovora nije bilo.

Objašnjenje je nekoliko dana kasnije dao Milan Josimov.

"Gospodin Jovanović je bio svestan šta radi i postupio je altruistički u želji da promoviše digitalne zelene sertifikate", kaže on. Da li se mladi vakcinišu zbog kovid propusnica Pravni okvir: Kju-ar kodovi u doba kovida

analiza, Dejan Lučka, konsultant za ljudska prava i sajber pravo

Pristupanje ličnim podacima građana prilikom skeniranja kju-ar koda pokreće brojna pitanja u vezi sa ljudskim pravima tokom i posle pandemije.

Ustav Republike Srbije garantuje zaštitu podataka o ličnosti.

Konvencija za zaštitu ljudskih prava i osnovnih sloboda, kao i Međunarodni pakt o građanskim i političkim pravima osiguravaju pravo na poštovanje privatnog i porodičnog života.

Javna vlast se može mešati u ova prava ukoliko je to u interesu zaštite zdravlja ili prava ostalih građana.

Svako mešanje treba da bude proporcionalno svrsi i ne sme prekomerno da zadire u prava pojedinca.

Zakonom o zaštiti podataka o ličnosti definisano je šta je sve podatak o ličnosti.

To su podaci na osnovu kojih se može utvrditi identitet lica, kao što su ime i prezime, broj telefona, broj lične karte, JMBG…

Iako upotreba kju-ar kodova može biti korisna u raznim oblastima života, kju-ar kodovi koji građani nose sa sobom, a sadrže linkove na kojima se nalaze njihovi podaci o ličnosti, mogu da postanu predmet zloupotrebe.

Ako ih je neko do sada eksterno sačuvao, sasvim je moguća i njihova dalja eksploatacija.

Sama tehnologija je ranjiva na hakerske napade, izvlačenje podataka ili preusmeravanje skenera na druge URL adrese i druge pretnje po sajber bezbednost.

Neophodno je da vlasti posvete vreme i resurse kako bi predupredili takve napade i da zaštite bezbednost i privatnost podataka građana.

Stav Poverenika: 'Kovid redari ne treba da imaju pristup ličnim podacima građana'

BBC

Uvođenjem kovid propusnica, Srbija je dobila kovid redare - fizička lica koja su dobila ovlašćenja da skeniraju sertifikate.

Posle osam sati uveče, svi koji bi poželeli da odu u kafić, restoran, bioskop ili koncert pokazivali bi propusnice na ulazu.

Josimov kaže da "verovatno mnogi nisu bili svesni da kovid redari imaju uvid u lične podatke".

"Moramo raditi na informisanosti građana, ali oni jesu bili obavešteni koji će se podaci naći na sertifikatu i dali su za to pristanak kada su se za njih prijavili", naglašava Josimov.

Poverenik Marinović ističe da su građani "pristali samo na ono o čemu su bili obavešteni".

On smatra da, bez obzira da li građani daju pristanak, kovid redari "ne treba da imaju pristup ličnim podacima građana".

"Samo treba da proveravaju da li imate važeći sertifikat", smatra poverenik.

"Ne treba da imaju uvid u vaše lične podatke, a kamoli mogućnost da ih skladište, prenose drugim licima ili arhiviraju", ističe.

• "Ima li pandemija radno vreme": Kako je izgledala prva noć provere kovid propusnica u Beogradu
• Pet stvari koje treba da znate o kovid propusnicama
• Lažne kovid propusnice u Srbiji - gde su se pojavile i kolike su kazne

Još jedan potencijalni problem jeste što očitavanjem sertifikata kovid redar zna da ste u određeno vreme bili na određenom mestu, ističe poverenik.

"Ni policija ne sme da zna gde ste se kretali ako nema nalog", ističe Marinović.

Iz Kancelarije za IT i eUpravu priznaju da smanjenjem broja podataka koji se prikazuju ova mogućnost nije otklonjena.

"Smatramo da je rizik od praćenja nizak i da ne ugrožava prava i slobode građana", navodi Josimov.

Najavljuje da će se u narednom periodu praksa validacije kovid propusnica promeniti.

"Planiramo da uvedemo posebnu aplikaciju, a DZS više neće moći da se očitava kamerom mobilnog telefona".

Za čitanje EU digitalnih zelenih sertifikata u Srbiji već postoji aplikacija Očitaj EU DZS, uvedena početkom decembra 2021. godine.

Kako su se lični podaci građana Srbije našli na Guglu

Sve do 23. decembra, postojao je još jedan, očigledniji način za pristupanje digitalnim zelenim sertifikatima - svako je mogao da ih pronađe na Guglu.

BBC novinari primetili su da su se linkovi do originalnih DZS pojavili na prvim stranama pretrage na pretraživačima Gugl i Bing.

"Nemamo objašnjenje kako se to dogodilo", kaže Milan Josimov iz Kancelarije za IT i eUpravu.

Dok su BBC novinari pronašli sertifikate sedmoro ljudi, iz Kancelarije su utvrdili da su se u pretrazi našla "tri sertifikata".

"Radi se o pravim sertifikatima stvarnih lica objavljenim na sajtu eUprava", potvrđuje Josimov.

Skeniranjem sertifikata se, zapravo, pristupa internet stranici, objašnjava Nenad Smiljanić, programer u beogradskoj IT kompaniji Freja.

Svaki put kada se na sajtu eUprava kreira novi sertifikat, na internetu se pojavi nova stranica.

Pretraživači, poput Gugla i Binga, evidentiraju nove stranice tako što ih upisuju na "neku vrstu mape postojećih stranica", objašnjava Smiljanić.

"Kada Gugl evidentira stranicu, kažemo da je indeksirana", kaže on.

Jedan od razloga što su se linkovi koji vode ka podacima građana pojavili u pretrazi mogao bi da bude propust da tokom programiranja "nije zabranjeno indeksiranje sertifikata ili na bilo koji drugi način sprečeno da budu vidljivi u pretraživaču", smatra Smiljanić.

Josimov tvrdi da je Kancelarija "sprečila indeksiranje sertifikata".

"Intenzivno pokušavamo da shvatimo šta se dogodilo, a pretpostavljamo da je došlo do potencijalnih zloupotreba, gde su određena lica omogućila da linkovi sa sajta eUprava budu vidljivi u pretrazi", navodi.

Priznaje da "nije uobičajeno" da se sertifikati pojave u rezultatima internet pretrage, ali ističe da se radi o "malom broju sertifikata".

"U odnosu na više od 2,5 miliona izdatih sertifikata, tri ili sedam je zaista mali broj", smatra Josimov.

Navodi da je Kancelarija radila na osmišljavanju softverskog rešenja, dok su za kodiranje angažovane spoljne IT kompanije.

Iz Kancelarije do objavljivanja teksta nisu odgovorili na pitanja BBC novinara koje su kompanije sprovele ovo rešenje i koliko je koštalo uvođenje DZS.

Kako je u drugim zemljama?

Kju-ar kodovi se koriste širom Evrope, ali ih je moguæe oèitati samo uz pomoæ posebne aplikacije/Getty Images

U evropskim zemljama, kju-ar kod na sertifikatu ne može se očitati kamerom mobilnog telefona, već je potrebno instalirati specijalizovanu aplikaciju.

U Švedskoj se za skeniranje digitalnih zelenih sertifikata koristi nekoliko zvaničnih aplikacija, a prva koja je dobila pečat poverenja švedskih vlasti bila je aplikacija Freja eID (Freja eID).

Freja je rođena u jednoj kancelariji u centru Beograda, a osmislio ju je tim srpskih IT stručnjaka.

"Aplikacija je nastala pre nekoliko godina, a ideja je bila da omogućimo korisnicima da na bezbedan način koriste razne državne usluge - od zakazivanja lekarskih pregleda, preko prijave poreza do podizanja paketa u pošti", objašnjava programer Andrija Jakovljević za BBC na srpskom.

Radi se o besplatnoj aplikaciji koja građanima omogućava kreiranje elektronskog identiteta.

Kada na profil dodaju lična dokumenta, Šveđani koriste Freju za elektronsku komunikaciju za institucijama.

Pošto aplikacija barata osetljivim podacima, inženjeri su mnogo razmišljali o bezbednosti.

• Jedan dan sa kovid propusnicom u Parizu
• Jedan dan sa kovid propusnicom u Italiji - "život više nije isti"
• Kako je haker ukrao stotine hiljada dinara mojim prijateljima sa Fejsbuka
• "Iz zabave sam ukrao 700 miliona podataka korisnika Linkdina”

Njihovo rešenje je da se prilikom skeniranja na ekranu prikazuju samo ime i prezime, datum rođenja i osnov za dobijanje potvrde - vakcinacija, preležana bolest ili testiranje.

"Podaci očitavanja sertifikata drugih ljudi se ne mogu sačuvati u aplikaciji", navodi dizajnerka proizvoda Sofija Jovandić za BBC na srpskom.

"Tako smanjujemo mogućnost zloupotrebe", dodaje.

U skladu sa Opštom uredbom o zaštiti podataka o ličnosti (GDPR), korisnici Freje u svakom trenutku mogu da obrišu svoj kovid sertifikat iz aplikacije.

"Brišemo sve što je bilo sačuvano u bazi, kao da kovid sertifikat nikada nije ni postojao", ističe Jovandić. Šta je GDPR?

Opšta uredba o zaštiti podataka o ličnosti (General Data Protection Regulation - GDPR)) je regulativa Evropske unije (EU) iz 2018. godine, koja obavezuje svih 28 članica, ali i sve druge zemlje koje na bilo koji način obrađuju podatke o ličnosti građana EU.

Ona je zamenila dotadašnje propise po kojima je svaka država članica donosila sopstvenu regulativu.

Pored direktne primene, Opšta uredba obuhvata nove tehnologije poput mobilnih aplikacija i društvenih mreža.

Iako van Evropske unije, kompanije u Srbiji koje na bilo koji način obrađuju podatke građana moraju da poštuju ovu regulativu.

U praksi, to znači da u predviđenim situacijama moraju da traže pisanu saglasnost za obradu podataka o ličnosti, predoče građanima koje podatke obrađuju i na koji način, kao i da im omoguće da zatraže brisanje podataka iz baze.

Srbija je u januaru 2019. usvojila novi Zakon o zaštiti podataka o ličnosti, čime je zakonodavstvo uskladila sa GDPR-om. U Velikoj Britaniji se za skeniranje kju-ar kodova koristi zvanična aplikacija Nacionalne zdravstvene službe (National Health Service - NHS).

Ni ova aplikacija ne prikuplja lične podatke.

Prilikom skeniranja kju-ar koda, na ekranu se prikazuju samo ime, prezime i da li je sertifikat validan.

Nakon očitavanja, podaci nestaju sa ekrana i nije ih moguće sačuvati. Aplikacija koja spasava živote Pratite nas na Fejsbuku i Tviteru. Ako imate predlog teme za nas, javite se na bbcnasrpskom@bbc.co.uk