Отворено писмо јавности Србије: Да ли ће наше школе постати електронски логор?
Који податак ће бити тајан, ако се сви подаци о једној личности, подједнако афирмативни и негативни, буду прикупљали, обрађивали и трајно чували?
Шта је у питању?
У овом тренутку, а све на основу приче о дигитализацији образовања, у школе се, путем новог законодавства иза кога стоји Влада Србије, уводе електронски дневници, а ученицима треба да се додели ЈОБ (јединствени образовни број), који треба да их прати од вртића до факултета, али и касније. Ми, долепотписани, сматрајући ово непосредним ударом на приватност и слободу личности, шаљемо ово отворено писмо јавности и све људе добре воље позивамо да нам се придруже у борби за очување основних људских права.
Дигитализација и људска права
Процес дигитализације, ма како га неко оправдавао разлозима техничког и економског прогреса, мора да се одвија у границама уставних одредби о људским правима. Заштита личних података о деци мора имати апсолутни приоритет у односу на захтеве дигитализације, а свако прикупљање, а нарочито коришћење личних података о деци и њиховим породицама мора се свести на минимум, уз испуњење строгог техничког и правног контролног механизма у корист даваоца података.
Најављено је да ће се подаци о деци и њиховим породицама, пошто се при упису деце дају и бројни подаци о породичном статусу, здравственом стању, користити не само у школске сврхе, већ ће се ови подаци трајно архивирати у личној бази података, заједно са подацима о професионалној каријери, личним примањима итд, па ће корисници ових података бити и други државни органи (нпр. Национална служба запошљавања), а посредно и компаније. Насупрот томе, члан 42 став 2 Устава Србије прописује да „забрањена је и кажњива употреба података о личности изван сврхе за коју су прикупљени,“ па сходно томе родитељ не може дати држави генералну сагласност за прикупљање и коришћење података о детету, већ само за школске сврхе.
Трајна стигматизација
Уз то, члан 18 Устава Србије прописује да се свако људско право, па и право на заштиту података о личности може законом ограничити само изузетно. Стварање ЈИСИП-а (Јединственог информационог система у просвети) претвара право на заштиту података о личности у изузетак, док ограничење овог права, под оправдањем нужности дигитализације, постаје правило. Који податак ће бити тајан, ако се сви подаци о једној личности, подједнако афирмативни и негативни, буду прикупљали, обрађивали и трајно чували? Посматрано из угла установе брисања осуде у кривичном законодавству, ЈИСИП делује као трајна стигматизација, због које ће лице осуђено на три године затвора бити у повољнијем положају него онај који је у пубертету правио инциденте у школи.
Притом, нема говора о техничким решењима који ће омогућити носиоцу података да приступајући систему спречи злоупотребу података и што је још важније да му омогући да се утврди прави виновник оваквог противправног акта, који неће моћи да се сакрива иза анонимног система. И најважније, не оставља се право избора лицима која не желе да се њихови подаци о њиховој деци и породици електронски прикупљају, обрађују и чувају у јединственој електронској бази података, чиме се драстично угрожава право на достојанство и слободан развој личности.
Неколико питања
Од Владе Србије и Министарства просвете тражимо одговоре на следећа питања:
- Да ли испоручилац услуге електронског дневника и свих осталих елемената ЈИСИП-а поседује гаранцију о квалитету производа? Ко га је и када издао и до када траје? Да ли су те гаранције у складу са законима Србије и да ли су признати у Србији?
- Које сервере испоручилац користи за приступ и складиштење података, и да ли има валидне сертификате за све сервере са аспекта безбедности података?
- Која су то, таксативно, физичка и правна лица која имају права приступа серверу и са којим привилегијама (ролама)? Ко и како администрира исте?
- Који су то сертификати фирме која испоручује софтвер и провајдера услуга са аспекта привилегија њихових радника? Да ли су њихови уговори са запосленима о заштити података употребљиви у нашем прaвном систему?
- Какав је протокол у случају њиховог напуштања фирме, неауторизованих рачунара, адреса, какав им је приступ ван радног времена, ван просторија фирме? Да ли постоји приватна мрежа и какво је администрирање исте? Какав је сертификат лица који врши администрирање сервера? Какав је протокол о замени админстратора, провајдера?
- Који су протоколи о заштити података од злонамерних програма (вируси, малвер, ворм, тројан…) у употреби?
- Какви су начини препознавања неауторизованог приступа, покушаја упада у систем као и протоколи у тим случајевима?
- Какви су протоколи о архивирању (backup) података као и сертификати о заштити архивираних података? Какав је попис сценарија у случају техничке хаварије као и хаварија изазваних природним непогодама локалног и глобалног карактера?
- Каква је доступност сервера? Какав је сертификат о доступности сервера и апликацији са аспекта времена као и права приступа? Који је списак адреса са којих се може приступити серверима, каква је заштита протока и складиштења података, који системи енкрипције што се у раду користе и на ком нивоу?
- Који су сертификати за ауторизацију приступа подацима из саме апликације? Који је списак дозвола (permission) са описом који подаци имају право да се прегледају и/или ажурирају? Какав је списак профила, као и број корисника (users) по сваком профилу (нпр. шта имају право да виде и раде родитељи, наставници, разредне старешине, јавне институције, трећа лица)?
- Какав је сертификат о антидатирању промена – да ли су дозвољене накнадне измене у прошлости, којим корисницима и у којим околностима?
- Постоји ли евиденција и лог-а о изменама? Постоји ли ревизија података (ко, када и шта мењао, приступао, гледао)?
- Који је списак дозвољених активности по профилу из апликације?
- Који је списак дозвољених активности директно над базом ван апликације по профилу?
- Какав је сертификат о провери аутентичности података?
- Који су протоколи и сценарији који су тестирани, и који су начини тестирања, као и списак свих тестираних сценарија? Који је протокол о развоју нове функционалности или дораде постојећег? Ко потврђује прихватљивост новог пословног процеса и протокол о начину испоруке (deploy-а)?
Понављамо питања, да се не изгуби из вида
Да ли постоји ванелектронска евиденција пресека стања – да ли се штампају сведочанстава, када и где се чувају и да ли се при употреби електронских података ради провера са одштампаним? На пример, код уписа на редовне студије може се десити да неко исправи податке уназад и тако неоправдано стекне права на штету других ђака. Да ли постоји озбиљна законска регулатива ко и за шта сме користити те податке? Да ли је познат коначан списак институција које имају право да користе податке, које податке и за какву сврху? Врло је битно како се проверава аутентичност тих података и ко је гарант истих (по ком сертификату). Да ли су познате процедуре у случају ненамерних грешака? Добар софтвер се управо по овоме препознаје. Какав је протокол у случају лоше унетог податка, лоше обрађеног податка? Нарочито је битно код накнадно уочене грешке: рецимо, уочи се грешка тек код уписа ученика на студије, а тамо постоји рок доставе докумената. Ко гарантује да ће се грешка исправити у потребном року и како се грешка исправља? У исправљању може да се крије или злоупотреба (ако је процедура недовољно ригорозна) или немогућност да се грешка исправи на време (ако је процедура сувише ригорозна). Каква је одговорност у случају цурења података? Какве су правне, моралне и финансијске последице ако се испостави да постоји употреба података на недозвољен начин, или ако су употребљени за нешто чему нису били намењени?
Позивамо Владу и Министарство просвете, науке и спорта Републике Србије да на наша питања одговори, а јавност да нам се придружи у борби за заштиту приватности.
Потписи
- Др Владимир Димитријевић
- Др Слободан Јанковић, Београд
- Проф. др Александар Липковски
- Проф. др Дејан Мировић
- Проф. др Зоран Чворовић
- Десимир Ћировић, дипломирани инжењер информатике
- Александар Лазић, уредник портала Стање ствари
Извор:
СТАЊЕ СТВАРИ