EN
Na uglu Zmaja od Noćaja i Cara Uroša, u blizini Kalemegdana, stoji nova zgrada, a na njoj nekoliko kamera sa oznakama kineske državne firme za video nadzor Hikvision.
Kamere sa rotacijom od 360 stepeni mogu da snimaju obe ulice – daleko od samog ulaza u zgradu koju obezbeđuju.
Ovaj ćošak je možda miran, ali moćne Hikvision kamere koje ga obezbeđuju, svedoci su problema preteranog i često neregulisanog video nadzora i prikupljanja i obrade ličnih podataka u Srbiji.
Od kupovine kamera za prepoznavanje lica za škole do stanara koji mogu uživo da posmatraju ulaz u svoju zgradu na TV-u, stručnjaci kažu da je upotreba video nadzora u Srbiji izmakla kontroli i da često krši i Zakon o zaštiti podataka o ličnosti i Zakon o privatnom obezbeđenju.
„Jedan od najčešćih problema je nepravilno postavljanje kamera ili uopšte postavljanje kamera bez prethodno urađene procene rizika i plana bezbednosti“, kaže Mila Kisić, pravnica sa sertifikatom u oblasti zaštite ličnih podataka.
„Nasumično postavljanje kamera ne samo da nije u skladu sa Zakonom o zaštiti podataka o ličnosti, nego ni u skladu sa Zakonom o privatnom obezbeđenju.“
Ovi zakoni su na snazi u Srbiji već nekoliko godina, ali stručnjaci kažu da se često ignorišu.
„Kao na pijaci, daj mi 35 kamera, daj mi 114 kamera, daj mi stavi portira“, opisuje Mladen Raonić, stručnjak za bezbednost i osnivač kompanije Absolut Support.
„Veliki deo privrede još nema adekvatno uređenu tu oblast i veliki deo i stambenih objekata, škola, vrtića takođe nema adekvatno uređenu ovu oblast.“
Oprema za video nadzor nabavlja se ‘neselektivno’
Prema Zakonu o privatnom obezbeđenju iz 2018. godine u Srbiji, pre postavljanja sistema za obezbeđenje, u koje spada i video nadzor, kompanija mora da sprovede procenu rizika i izradi plan bezbednosti.
Međutim, analiza javnih nabavki pokazuje da čak i javne institucije i firme još uvek raspisuju tendere za procenu rizika tek po što su već nabavile opremu za obezbeđenje.
Među njima je i kompanija Infrastruktura železnice Srbije, koja je 2022. godine raspisala tender za usluge obezbeđenja na novoj brzoj liniji Beograd – Novi Sad. Kada su ponuđači pitali da li je sprovedena procena rizika, kompanija je odgovorila da će to učiniti u toku godine, pokazuje dokumentacija objavljena na Portalu javnih nabavki.
Bez procene rizika, kaže Raonić, firme uvode obezbeđenje praktično nasumično, a mere su često nepotrebno invazivne.
„Oprema se naručuje paušalno“, rekao je.
Čak i kada kompanije urade procenu rizika i izrade plan bezbednosti, Raonić kaže da često ukrašavaju ili izostavljaju informacije. Ipak, čak i takve procene i planovi ispunjavaju standarde koje je postavilo Ministarstvo unutrašnjih poslova.
Procene rizika sprovode licencirane kompanije sa bar jednim zaposlenim koji ima odgovarajuću licencu Ministarstva unutrašnjih poslova; neke firme, uz ovu, imaju i licencu za uvođenje bezbednosnih sistema. Ovo je međutim rizična praksa, kaže Raonić, jer onda ove kompanije mogu da navedu da treba nabaviti opremu, za kojom zapravo ne postoji realna potreba, kako bi zaradile više novca.
Zakon takođe navodi da privatna oprema za obezbeđenje „ne sme da se koristi na način koji narušava privatnost drugih“, da obaveštenje o video nadzoru mora da bude jasno istaknuto u prostoru koji je pod kamerama i da firme moraju da omoguće pristup podacima na zahtev osoba čiji se podaci prikupljaju. Međutim, to nije uvek slučaj.
Ranije ove godine, BIRN je identifikovao desetine javnih preduzeća, institucija, opština i škola koje su nabavile kamere sa mogućnostima prepoznavanje lica uprkos tome što je prikupljanje biometrijskih podataka dozvoljeno samo u najizuzetnijim slučajevima.
Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti Srbije kontaktirao je dve škole u Požegi, za koje je Opština Požega nabavila kamere sa funkcijom prepoznavanja lica. Iz jedne su negirali nabavku ovih kamera, dok su u drugoj rekli da neće pokrenuti sistem obezbeđenja dok ne provere njegove mogućnosti. Poverenik nije komentarisao druge institucije koje su naručivale ove opremu i uputio je BIRN na Ministarstvo unutrašnjih poslova, napisavši da je ovo Ministarstvo nadležno za nadzor nad primenom Zakona o privatnom obezbeđenju i tehničkim sredstvima privatnog obezbeđenja ima i vršenjem video nadzora.
Bivši poverenik Rodoljub Šabić, međutim, osporava ove navode.
„Nadležnost MUP-a da vrši nadzor (nad Zakonom o privatnom obzbeđenju) ne isključuje nadzorna ovlašćenja drugih službi ili organa, samim tim ni ovlašćenja Poverenika“, kaže on.
„Video nadzor od pre 10 godina nije identičan sa sadašnjim video nadzorom. Sadašnji video nadzor radi – uz naravno dodatne softvere – dubinsku analitiku […] Ti podaci, kada se stave u jedan softver, mogu da isprofilišu lice do maksimalnih detalja, da se tačno vidi njegova socijalna struktura, s kim se druži, kada dolazi na posao.“ – Mladen Raonić, stručnjak za bezbednost i osnivač kompanije Absolut Support
Video nadzor sa karakteristikama prepoznavanja lica od januara ove godine je u upotrebi u osnovnoj školi u Novoj Pazovi. Iz ove škole su ranije za BIRN naveli da imaju urađenu procenu rizika i drugu potrebnu dokumentaciju, ali taj potez je izazvao dodatnu zabrinutost zbog privatnosti i potencijalnih rizika. BIRN je identifikovao najmanje 28 osnovnih i srednjih škola koje su nabavile opremu za video nadzor sa mogućnostima prepoznavanja lica.
„Klijenti u prvom momentu razmišljaju o zaštiti svoje imovine, a zaštita podataka o ličnosti uvek nekako u drugom planu“, kaže Vitko Stanković, menadžer za bezbednost u kompaniji E-Security, privatnoj kompaniji za obezbeđenje licenciranoj za sprovođenje procena rizika.
U izveštaju objavljenom u januaru, Poverenik je naveo druge primere sporne upotrebe opreme za video nadzor, među kojima su kamere na ulazima u stambene zgrade koje stanarima omogućavaju da uživo posmatraju ulaz na svojim televizorima – Poverenik je ovu praksu proglasio nedozvoljenom.
U obrazovnim ustanovama, Poverenik je identifikovao ono što je nazvao prekomernim video nadzorom osoblja i učenika, a protiv Poljoprivredne službe u Bačkoj Topoli podneo je prekršajnu prijavu zbog kontinuiranog snimanja zaposlenih.
Snimci sa video nadzora se preuzimaju i dele bez ovlašćenja
Prema rečima stručnjaka, drugi rizik leži u neadekvatnom skladištenju i zaštiti podataka prikupljenih video nadzorom. Zakon o privatnom obezbeđenju navodi da se snimci čuvaju 30 dana, dok Zakon o zaštiti podataka o ličnosti zahteva sprovođenje niza organizacionih, tehničkih i kadrovskih mera kako bi se sprečio neovlašćeni pristup ili zloupotreba.
Mila Kisić navodi da ipak često dolazi do zloupotreba.
„Šta najčešće srećemo u praksi? Neovlašćeno preuzimanje i deljenje snimaka, ali i upotrebu video zapisa u svrhe koje nisu prvobitno predviđene“, kaže ona za BIRN.
„Iako je video nadzor koristan alat za zaštitu imovine i lica, njegova njegovo protivpravno korišćenje može ozbiljno da ugrozi privatnost podataka o ličnosti i zato je od suštinske važnosti da svi rukovaoci pažljivo planiraju, implementiraju i nadziru sisteme video nadzora, kako bi bili sigurni da osim što štite svoje poslovanje, štite i prava pojedinaca na privatnost.”
U nekim kompanijama se ne zna ko sve može da ima pristup snimcima.
„Na velikom broju objekata i ne postoje server sobe onakve kakve bi trebalo da postoje, već su tamo samo nekakvi rekromani koji su u posebnoj tehničkoj prostoriji. Kao kompanija koja radi održavanje, nemamo kontrolu nad tim ko pristupa serverima. Retko gde ćete pronaći dobro organizovan sistem procedura koji diktira ko može da pristupi video nadzoru, gleda snimke uživo, itd“, kaže Stanković za BIRN.
Mladen Raonić kaže da je oprema danas toliko napredna da poslodavci mogu da saznaju gotovo sve o zaposlenima.
„Video nadzor od pre 10 godina nije identičan sa sadašnjim video nadzorom“, rekao je Raonić.
„Sadašnji video nadzor radi – uz naravno dodatne softvere – dubinsku analitiku koja može da izazove ozbiljne gubitke po podatke o ličnosti i ozbiljna ugrožavanja. […] Ti podaci, kada se stave u jedan softver, mogu da isprofilišu lice do maksimalnih detalja, da se tačno vidi njegova socijalna struktura, s kim se druži, kada dolazi na posao.“
„U mnogim slučajevima, organizacije ne posvećuju dovoljno pažnje usklađivanju sa Zakonom o zaštiti podataka.“ – Mila Kisić, pravnica sa sertifikatom u oblasti zaštite ličnih podataka
U skladu sa Zakonom o zaštiti podataka o ličnosti, sve kamere ili drugi uređaji koji prikupljaju podatke kao što su prepoznavanje lica, otisci prstiju ili skeniranje dužice zahtevaju prethodnu procenu mogućeg uticaja na zaštitu podataka o ličnosti.
„Da bi se instalirao bilo koji video nadzor, potrebno je imati svrhu, i svi polaze od legitimnog interesa izraženog kroz zaštitu lica i imovine visoke vrednosti – jer to je jedino što bi moglo opravdati to“, rekao je Denis Tul, IT stručnjak i stručnjak za zaštitu podataka o ličnosti.
Bez prethodne procene uticaja, „imamo obradu podataka bez svrhe“, kaže Raonić za BIRN, „ili obradu ličnih podataka bez legitimnog interesa“.
Ali Tul kaže da „procenu uticaja prilično mali broj ljudi u praksi zna da sprovede“ dodajući da to je regulativa nerazvijena.
„Nije poznato koje stručne kvalifikacije su neophodne za izrađivača Procene uticaja- je li to pravnik, IT-evac, ili zajedno,“ rekao je Tul.
„Ne postoji licencirano telo kome bih se obratio u slučaju da klijent zatraži izradu Procene uticaja.“
U slučaju da Procena uticaja pokaže da bi obrada podataka o ličnosti predstavljala visok rizik po prava i slobode pojedinaca, kompanija mora da zatraži mišljenje Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti.
To se desilo u sedam navrata u poslednje dve godine.
Ana Toskić Cvetinović, izvršna direktorka organizacije Partneri Srbija, rekla je da neke procene uticaja namerno potcenjuju rizike kako bi se izbegla obaveza traženja mišljenja Poverenika.
„Mislim da se zaključak da je rizik visok često izbegava kako se ne bi došlo do mišljenja Poverenika, odnosno da Poverenik ne bi eventualno zaustavio obradu podataka,“ kaže Toskić Cvetinović.
Kisić, sertifikovano lice za zaštitu podataka, smatra da bi kancelarija Poverenika trebalo da bude proaktivnija.
„U mnogim slučajevima, organizacije ne posvećuju dovoljno pažnje usklađivanju sa Zakonom o zaštiti podataka,“ kaže Kisić za BIRN.
„Razlog za to leži u nedostatku adekvatne reakcije i akcije od strane Poverenika. Poverenik treba da ima aktivniju ulogu, ne samo u edukaciji, već i u sprovođenju zakona. Kancelarija Poverenika bi morala da pokaže svoju represivnu stranu i primora privredu na poštovanje Zakona o zaštiti podataka.“
Iz kancelarije Poverenika kažu da se Poverenik „suočava sa činjenicom“ da ne poštuju svi rukovaoci, koji poseduju ili obrađuju lične podatke, zakon u pogledu, između ostalog, imenovanja lica za zaštitu podataka, vođenja evidencije o obradi podataka i davanja prava pojedincima da pristupe tim podacima.
„Realno [se] može pretpostaviti da i obavezu vršenja procene uticaja obrade, odnosno podnošenja zahteva Povereniku za davanje mišljenja na akt o proceni uticaja, ne izvršavaju svi rukovaoci“, rekli su iz ove kancelarije.
Izvor: BIRN
