Отворено писмо јавности Србије: Да ли ће наше школе постати електронски логор?

jisp-pecfat

Који податак ће бити тајан, ако се сви подаци о једној личности, подједнако афирмативни и негативни, буду прикупљали, обрађивали и трајно чували?

Шта је у питању?

У овом тренутку, а све на основу приче о дигитализацији образовања, у школе се, путем новог законодавства иза кога стоји Влада Србије, уводе електронски дневници, а ученицима треба да се додели ЈОБ (јединствени образовни број), који треба да их прати од вртића до факултета, али и касније. Ми, долепотписани, сматрајући ово непосредним ударом на приватност и слободу личности, шаљемо ово отворено писмо јавности и све људе добре воље позивамо да нам се придруже у борби за очување основних људских права.

Дигитализација и људска права

Процес дигитализације, ма како га неко оправдавао разлозима техничког и економског прогреса, мора да се одвија у границама уставних одредби о људским правима. Заштита личних података о деци мора имати апсолутни приоритет у односу на захтеве дигитализације, а свако прикупљање, а нарочито коришћење личних података о деци и њиховим породицама мора се свести на минимум, уз испуњење строгог техничког и правног контролног механизма у корист даваоца података.

Најављено је да ће се подаци о деци и њиховим породицама, пошто се при упису деце дају и бројни подаци о породичном статусу, здравственом стању, користити не само у школске сврхе, већ ће се ови подаци трајно архивирати у личној бази података, заједно са подацима о професионалној каријери, личним примањима итд, па ће корисници ових података бити и други државни органи (нпр. Национална служба запошљавања), а посредно и компаније. Насупрот томе, члан 42 став 2 Устава Србије прописује да „забрањена је и кажњива употреба података о личности изван сврхе за коју су прикупљени,“ па сходно томе родитељ не може дати држави генералну сагласност за прикупљање и коришћење података о детету, већ само за школске сврхе.

Трајна стигматизација

Уз то, члан 18 Устава Србије прописује да се свако људско право, па и право на заштиту података о личности може законом ограничити само изузетно. Стварање ЈИСИП-а (Јединственог информационог система у просвети) претвара право на заштиту података о личности у изузетак, док ограничење овог права, под оправдањем нужности дигитализације, постаје правило. Који податак ће бити тајан, ако се сви подаци о једној личности, подједнако афирмативни и негативни, буду прикупљали, обрађивали и трајно чували? Посматрано из угла установе брисања осуде у кривичном законодавству, ЈИСИП делује као трајна стигматизација, због које ће лице осуђено на три године затвора бити у повољнијем положају него онај који је у пубертету правио инциденте у школи.

Притом, нема говора о техничким решењима који ће омогућити носиоцу података да приступајући систему спречи злоупотребу података и што је још важније да му омогући да се утврди прави виновник оваквог противправног акта, који неће моћи да се сакрива иза анонимног система. И најважније, не оставља се право избора лицима која не желе да се њихови  подаци о њиховој деци и породици електронски прикупљају, обрађују и чувају у јединственој електронској бази података, чиме се драстично угрожава право на достојанство и слободан развој личности.

Неколико питања

Од Владе Србије и Министарства просвете тражимо одговоре на следећа питања:

  1. Да ли испоручилац услуге електронског дневника и свих осталих елемената ЈИСИП-а поседује гаранцију о квалитету производа? Ко га је и када издао и до када траје? Да ли су те гаранције у складу са законима Србије и да ли су признати у Србији?
  2. Које сервере испоручилац користи за приступ и складиштење података, и да ли има валидне сертификате за све сервере са аспекта безбедности података?
  3. Која су то, таксативно, физичка и правна лица која имају права приступа серверу и са којим привилегијама (ролама)? Ко и како администрира исте?
  4. Који су то сертификати фирме која испоручује софтвер и провајдера услуга са аспекта привилегија  њихових радника? Да ли су њихови уговори са запосленима о заштити података употребљиви у нашем прaвном систему?
  5. Какав је протокол у случају њиховог напуштања фирме, неауторизованих рачунара, адреса, какав им је приступ ван радног времена, ван просторија фирме? Да ли постоји приватна мрежа и какво је администрирање исте? Какав је сертификат лица који врши администрирање сервера? Какав је протокол о замени админстратора, провајдера?
  6. Који су протоколи о заштити података од злонамерних програма (вируси, малвер, ворм, тројан…) у употреби?
  7. Какви су начини препознавања неауторизованог приступа, покушаја упада у систем као и протоколи у тим случајевима?
  8. Какви су протоколи о архивирању (backup) података као и сертификати о заштити архивираних података? Какав је попис сценарија у случају техничке хаварије као и хаварија изазваних природним непогодама локалног и глобалног карактера?
  9. Каква је доступност сервера? Какав је сертификат о доступности сервера и апликацији са аспекта времена као и права приступа? Који је списак адреса са којих се може приступити серверима, каква је заштита протока и складиштења података, који системи енкрипције што се у раду користе и на ком нивоу?
  10. Који су сертификати за ауторизацију приступа подацима из саме апликације? Који је списак дозвола (permission) са описом који подаци имају право да се прегледају и/или ажурирају? Какав је списак профила, као и број корисника (users) по сваком профилу (нпр. шта имају право да виде и раде родитељи, наставници, разредне старешине, јавне институције, трећа лица)?
  11. Какав је сертификат о антидатирању промена – да ли су дозвољене накнадне измене у прошлости, којим корисницима и у којим околностима?
  12. Постоји ли евиденција и лог-а о изменама? Постоји ли ревизија података (ко, када и шта мењао, приступао, гледао)?
  13. Који је списак дозвољених активности по профилу из апликације?
  14. Који је списак дозвољених активности директно над базом ван апликације по профилу?
  15. Какав је сертификат о провери аутентичности података?
  16. Који су протоколи и сценарији који су тестирани, и који су начини тестирања, као и списак свих тестираних сценарија? Који је протокол о развоју нове функционалности или дораде постојећег? Ко потврђује прихватљивост новог пословног процеса и протокол о начину испоруке (deploy-а)?

Понављамо питања, да се не изгуби из вида

Да ли постоји ванелектронска евиденција пресека стања – да ли се штампају сведочанстава, када и где се чувају и да ли се при употреби електронских података ради провера са одштампаним? На пример, код уписа на редовне студије може се десити да неко исправи податке уназад и тако неоправдано стекне права на штету других ђака. Да ли постоји озбиљна законска регулатива ко и за шта сме користити те податке? Да ли је познат коначан списак институција које имају право да користе податке, које податке и за какву сврху? Врло је битно како се проверава аутентичност тих података и ко је гарант истих (по ком сертификату). Да ли су познате процедуре у случају ненамерних грешака? Добар софтвер се управо по овоме препознаје. Какав је протокол у случају лоше унетог податка, лоше обрађеног податка? Нарочито је битно код накнадно уочене грешке: рецимо, уочи се грешка тек код уписа ученика на студије, а тамо постоји рок доставе докумената. Ко гарантује да ће се грешка исправити у потребном року и како се грешка исправља? У исправљању може да се крије или злоупотреба  (ако је процедура недовољно ригорозна) или немогућност да се грешка исправи на време  (ако је процедура сувише ригорозна). Каква је одговорност у случају цурења података? Какве су правне, моралне и финансијске последице ако се испостави да постоји употреба података на недозвољен начин, или ако су употребљени за нешто чему нису били намењени?

Позивамо Владу и Министарство просвете, науке и спорта Републике Србије да на наша питања одговори, а јавност да нам се придружи у борби за заштиту приватности.

Потписи

  • Др Владимир Димитријевић
  • Др Слободан Јанковић, Београд
  • Проф. др Александар Липковски
  • Проф. др Дејан Мировић
  • Проф. др Зоран Чворовић
  • Десимир Ћировић, дипломирани инжењер информатике
  • Александар Лазић, уредник портала Стање ствари

Извор:
СТАЊЕ СТВАРИ