Kompanije Telekom Srbija i Tesla iz Zagreba, koje su pravile sistem elektronskog dnevnika, imaju potpun pristup bazi podataka i obrađuju dečije lične podatke na način koji nije u potpunosti u skladu sa zakonom, upozorila je Državna revizorska institucija (DRI).
Ministarstvo prosvete, nauke i tehnološkog razvoja nije usvojilo pravila i procedure koje se odnose na bezbednost podataka kada su u pitanju ugovori sa Telekomom i Teslom.
I pored toga što u ugovorima sa ovim kompanijama postoji deo koji se odnosi na poverljivost podataka, nije uspostavljen mehanizam za kontrolu da li privatne firme zaista poštuju obaveze u vezi sa poverljivosti podataka.
Time se nije obezbedila obrada podataka o ličnosti na zakonom propisan način, što može da smanji pouzdanost sistema, piše u izveštaju.
“Sama činjenica da neko ima ideju da skuplja podatke sve dece, cele populacije, da ih stavlja u neki informacioni sistem, a da pre toga nije rađena procena rizika, da se pre toga niko nije bavio primenom Zakona o zaštiti podataka o ličnosti u okviru tog sistema je skaradna,“ ocenjuje Jelena Adamović iz Share Fondacije.
„Onda je sve ostalo što se u praksi dešava samo posledica te jedne velike nemarnosti prema poštovanju Zakona o zaštiti podatak o ličnosti u okviru te baze”, kaže Adamović.
Sa papirnim dnevnicima je bilo jasno, elektronski napravili problem
Elektronski dnevnici bi trebalo da budu samo digitalna forma papirnog dnevnika, objašnjava Adamović.
“I tu je kada se radi o papirnim dnevnicima jasno. Tu je škola rukovalac, u školi se svi ti dnevnici fizički nalaze, ne bi smeli da se iznose, ko god hoće nešto da sazna mora da dođe u školu, da tamo eventualno pretražuje podatke itd. Ako se sve digitalizuje, tim propisima je predviđeno i to da škole, umesto u papiru, mogu te dnevnike da vode i u digitalnoj formi.”
To je u praksi, objašnjava Adamović, može da se odradi tako da svaka škola angažuje IT firmu koja će da napravi digitalni dnevnik.
Google učionica: Rupe u znanju, a pljušte peticeUmesto toga, Ministarstvo je, zbog efikasnoti, svim školama obezbedilo jedinistveni sistem eDnevnik.
To je izvor ogromnih rizika, kaže Adamović.
“Kada imate obradu ličnih podataka počinjete sve sa svrhom, šta je svrha zbog koje ja obrađujem neke lične podatke. Ovde to nije jasno. Jasno je kada su u pitanju papirni dnevnici, da škola vodi dnevnik za svoje učenike. Da bilo šta što mora da se obrađuje na nekom višem nivou su stastički podaci. Ali je ovo sada toliko intruzivno da se svi ti podaci, ne stastički, nego sirovi, nalaze u jednoj te istoj bazi i dostupni su mnogo širem krugu ljudi i potencijalno su podobni nekim zloupotrebama,” objašnjava ona.
Ko je administrator?
Prema zakonskim rešenjima, Ministarstvo bi treblo da administrira sistemom, ali DRI upozorava da ovo „nije na adekvatan način prepoznato od strane Ministarstva“.
Nije usvojen osnovni akt o informacionog bezbednosti, procedura koja uređuju ovu oblast, a nisu ni propisane mere bezbednosti i zaštite podataka iz evidencija i registara.
Ministarstvo je u maju 2021. godine, kao obrađivač podataka kada su u pitanju evidencije koje vodi škola, potpisalo sa grupom firmi, koja radi na sistemu, Ugovor o obradi podataka. Ugovor se odnosio na regulisanje međusobnih prava i obaveza u vezi sa obradom podataka.
Dosije „Koliko nas je koštala online škola“Međutim, to nije u skladu sa Zakonom o zaštiti podataka o ličnosti, upozorava DRI. Zakonom je propisano da ako se obrada podataka vrši u ime rukovaoca (u ovom slučaju škole), rukovalac može da odredi kao obrađivača samo ono lice ili organ vlasti koji u potpunosti garantuje primenu odgovarajućih tehničkih, organizacionih i kadrovskih mera, navodi DRI.
Jedan obrađivač podataka može da poveri obradu drugom obrađivaču samo ako ga za to ovlasti rukovalac.
To nije bio slučaj, objašnjava DRI.
Škole koje rukuju podacima u evidenciji esDnevnik nisu poverile obradu podataka Ministarstvu (obrađivaču), pa Ministartvo nije moglo da ih poveri drugim obrađivačima (u ovom slučaju grupi pružaoci usluga).
Adamović objašnjava da ima logike da se proces optimizuje i da ne potpisuje svaka škola posbean ugovor, ali da nije postojao pravni sled i poštovanje zakona.
“Sve vreme se radi nezakonito zbog toga što se ne gledaju šta su pretpostavke koje moraju da budu ispunjene po Zakonu o zaštiti podataka o linčnosti da bi to sve funkcionisalo kako treba.”
Paralelni sistem u vlaništvu Tesle
U maju 2020. godine je došlo do neovlašćenog pristupa podacima učenika preko portala „moja.eskola.rs“ koji je u vlasništvu firme „Tesla software“ iz Beograda koja nije član grupe pružalace usluge, navodi DRI u svom izveštaju.
“Roditelji su počeli da se javljaju kako im je stigla ponuda da se prijave na eŠkolu. Njima je nuđeno da mogu da dobiju neke pakete i oni su se ulogovali na eŠkolu sa istim kredencijalima i ušli tamo i videli podatke svoje dece,” objašnjava Adamović.
Ministarstvo se tada obradilo i reklo da sistem nije namenjen za škole u državnom sistem već isključivo za privatne.
Međutim, iz politika privatnosti i dokumenata koji su se nalazili na ovom portalu se jasno videlo da to što je Ministarstvo reklo nije tačno, kaže Adamović.
“Oni su sve vreme imali tu ideju da sve te baze povezaju, odnosno da te IT firme koje su bile samo obrađivači, koje su trebale da samo naprave arhitektruu sistema, zapravo sve vreme imaju pristup sirovim podacima”, kaže ona.
DRI u svom izveštaju ističe da je u vezi sa ovim događajem pokrenut nadzor od strane Poverenika za informacije od javnog značaja i zaštitu podatak o ličnosti.
Kompaniija Tesla bliska bivšem ministru prosvete
Korišćenje elektronskih dnevnika je prvo započeto kao pilot projekat u 60 škola.
Kompanija Tesla je prvo dala školama na korišćenje program esDnevnik na godinu dana. Nakon toga, sredinom 2018. godine Ministarstvo je raspisalo tender vredan 1,6 miliona evra za kupovinu elektronskih dnevnika. Uslovi tenders su bili takvi da ih je ispunjavala samo zagrebačka Tesla, pisao je Krik.
Krik je otkrio da je tadašnji ministar prosvete Mladen Šarčević već poslovno sarađivao sa ovom kompanijom.
Naime, Šarčevićeva privatna škola “Ruđer Bošković” je bila prva u Srbiji koja je uvela programe za elektronsko obrazovanje koje su nudile firme Andreja Bezjaka, vlasnika kompanije Tesla.
Elektronski dnevnici se trenutno koriste u preko 500 osnovnih i srednjih škola i imaju potencijalno preko 1,3 miliona korisnika (učenika, roditelja i nastavnika).