DA LI ĆE NAŠE ŠKOLE POSTATI ELEKTRONSKI LOGOR?/ OTVORENO PISMO JAVNOSTI SRBIJE

ŠTA JE U PITANjU?

U ovom trenutku, a sve na osnovu priče o digitalizaciji obrazovanja, u škole se, putem novog zakonodavstva iza koga stoji Vlada Srbije, uvode elektronski dnevnici, a učenicima treba da se dodeli JOB ( jedinstveni obrazovni broj ), koji treba da ih prati od vrtića do fakuleteta, ali i kasnije. Mi, dolepotpisani, smatrajući ovo neposrednim udarom na privatnost i slobodu ličnosti, šaljemo ovo otvoreno pismo javnosti i sve ljude dobre volje pozivamo da nam se pridruže u borbi za očuvanje osnovnih ljudskih prava.

DIGITALIZACIJA I LjUDSKA PRAVA

Proces digitalizacije, ma kako ga neko opravdavao razlozima tehničkog i ekonomskog progresa, mora da se odvija u granicama ustavnih odredbi o ljudskim pravima. Zaštita ličnih podataka o deci mora imati apsolutni prioritet u odnosu na zahteve digitalizacije, a svako prikupljanje, a naročito korišćenje ličnih podataka o deci i njihovim porodicama mora se svesti na minimum, uz ispunjenje strogog tehničkog i pravnog kontrolnog mehanizma u korist davaoca podataka. Najavljeno je da će se podaci o deci i njihovim porodicama, pošto se pri upisu dece daju i brojni podaci o porodičnom statusu, zdravstvenom stanju, koristiti ne samo u školske svrhe, već će se ovi podaci trajno arhivirati u ličnoj bazi podataka, zajedno sa podacima o profesionalnoj karijeri, ličnim primanjima itd, pa će korisnici ovih podataka biti i drugi državni organi (npr. Nacionalna služba zapošljavanja), a posredno i kompanije. Nasuprot tome, član 42 stav 2 Ustava Srbije propisuje da "zabranjena je i kažnjiva upotreba podataka o ličnosti izvan svrhe za koju su prikupljeni," pa shodno tome roditelj ne može dati državi generalnu saglasnost za prikupljanje i korišćenje podataka o detetu, već samo za školske svrhe.

TRAJNA STIGMATIZACIJA

Uz to, član 18 Ustava Srbije propisuje da se svako ljudsko pravo, pa i pravo na zaštitu podataka o ličnosti može zakonom ograničiti samo izuzetno. Stvaranje JISIP-a (Jedinstvenog informacionog sistema u prosveti) pretvara pravo na zaštitu podataka o ličnosti u izuzetak, dok ograničenje ovog prava, pod opravdanjem nužnosti digitalizacije, postaje pravilo. Koji podatak će biti tajan, ako se svi podaci o jednoj ličnosti, podjednako afirmativni i negativni, budu prikupljali, obrađivali i trajno čuvali? Posmatrano iz ugla ustanove brisanja osude u krivičnom zakonodavstvu, JISIP deluje kao trajna stigmatizacija, zbog koje će lice osuđeno na tri godine zatvora biti u povoljnijem položaju nego onaj koji je u pubertetu pravio incidente u školi. Pritom, nema govora o tehničkim rešenjima koji će omogućiti nosiocu podataka da pristupajući sistemu spreči zlopotrebu podataka i što je još važnije da mu omogući da se utvrdi pravi vinovnik ovakovog protivpravnog akta, koji neće moći da se sakriva iza anonimnog sistema. I najvažnije, ne ostavlja se pravo izbora licima koja ne žele da se njihovi podaci o njihovoj deci i porodici elektronski prikupljaju, obrađuju i čuvaju u jedinstvenoj elektronskoj bazi podataka, čime se drastično ugrožava pravo na dostojanstvo i slobodan razvoj ličnosti.

NEKOLIKO PITANjA

Od Vlade Srbije i Ministarstva prosvete tražimo odgovore na sledeća pitanja:

Da li isporučilac usluge elekronskog dnevnika i svih ostalih elemenata JISIP-a poseduje garanciju o kvalitetu proizvoda? Ko ga je i kada izdao i do kada traje?Da li su te garancije u skladu sa zakonima Srbije i da li su priznati u Srbiji?
Koje servere isporučilac koristi za pristup i skladištenje podataka, i da li ima validne sertifikate za sve servere sa aspekta bezbednosti podataka?
Koja su to, taksativno, fizička i pravna lica koja imaju prava pristupa serveru i sa kojim privilegijama (rolama)? Ko i kako administrira iste?
Koji su to sertifikati firme koja isporučuje softver i provajdera usluga sa aspekta privilegija njihovih radnika? Da li su njihovi ugovori sa zaposlenima o zaštiti podataka upotrebljivi u našem pravnom sistemu?
Kakav je protokol u slučaju njihovog napuštanja firme, neautorizovanih računara, adresa, kakav im je pristup van radnog vremena, van prostorija firme? Da li postoji privatna mreža i kakvo je administriranje iste? Kakav je sertifikat lica koji vrši administriranje servera? Kakav je protokol o zameni adminstratora, provajdera?
Koji su protokoli o zaštiti podataka od zlonamernih programa (virusi , malver, vorm, trojan ...) u upotrebi?
Kakvi su načini prepoznavanja neautorizovanog pristupa, pokušaja upada u sistem kao i protokoli u tim slučajevima?
8. Kakvi su protokoli o arhiviranju (backup) podataka kao i sertifikati o zaštiti arhiviranih podataka?Kakav je popis scenarija u slučaju tehničke havarije kao i havarija izazvanih prirodnim nepogodama lokalnog i globalnog karaktera?
Kakva je dostupnost servera? Kakav je sertifikat o dostupnosti servera i aplikaciji sa apekta vremena kao i prava pristupa? Koji je spisak adresa sa kojih se može pristupiti serverima, kakva je zaštita protoka i skladištenja podataka, koji sistemi enkripcije što se u radu koriste i na kom nivou?
Koji su sertifikati za autorizaciju pristupa podacima iz same aplikacije? Koji je spisak dozvola (permission) sa opisom koji podaci imaju pravo da se pregledaju i/ili ažuriraju? Kakav je spisak profila, kao i broj korisnika (users) po svakom profilu (npr. šta imaju pravo da vide i rade roditelji, nastavnici, razredne starešine, javne isntitucije, treća lica )?
Kakav je sertifikat o antidatiranju promena - da li su dozvoljene naknadne izmene u prošlosti, kojim korisnicima i u kojim okolnostima?
Postoji li evidencija i log-a o izmenama? Postoji li revizija podataka (ko, kada i šta menjao, pristupao, gledao)?
Koji je spisak dozvoljenih aktivnosti po profilu iz aplikacije?
Koji je spisak dozvoljenih aktivnosti direktno nad bazom van aplikacije po profilu?
Kakav je sertifikat o proveri autentičnosti podataka?
Koji su protokoli i scenariji koji su testirani, i koji su načini testiranja, kao i spisak svih testiranih scenarija? Koji je protokol o razvoju nove funkcionalnosti ili dorade postojećeg? Ko potvrđuje prihvatljivost novog poslovnog procesa i protokol o načinu isporuke (deploy-a)?

PONAVLjAMO PITANjA, DA SE NE IZGUBI IZ VIDA

Da li postoji vanelektronska evidencija preseka stanja - da li se štampaju svedočanstava, kada i gde se čuvaju i da li se pri upotrebi elektronskih podataka radi provera sa odštamapanim? Na primer, kod upisa na redovne studije može se desiti da neko ispravi podatke unazad i tako neopravdano stekne prava na štetu drugih đaka. Da li postoji ozbiljna zakonska regulativa ko i za šta sme koristiti te podatke? Da li je poznat konačan spisak institucija koje imaju pravo da koriste podatke, koje podatke i za kakvu svrhu? Vrlo je bitno kako se proverava autentičnost tih podataka i ko je garant istih (po kom sertifikatu). Da li su poznate procedure u slučaju nenamernih grešaka? Dobar softver se upravo po ovome prepoznaje. Kakav je protokol u slučaju loše unetog podatka, loše obrađenog podatka? Naročito je bitno kod naknadno uočene greške: recimo, uoči se greška tek kod upisa učenika na studije, a tamo postoji rok dostave dokumenata. Ko garantuje da će se greška ispraviti u potrebnom roku i kako se greška ispravlja? U ispravljanju može da se krije ili zloupotreba (ako je procedura nedovoljno rigorozna ) ili nemogućnost da se greška ispravi na vreme (ako je procedura suviše rigorozna ). Kakva je odgovornost u slučaju curenja podataka? Kakve su pravne, moralne i finansijske posledice ako se ispostavi da postoji upotreba podataka na nedozvoljen način, ili ako su upotrebljeni za nešto čemu nisu bili namenjeni?

Pozivamo Vladu i Ministarstvo prosvete, nauke i sporta Republike Srbije da na naša pitanja odgovori, a javnost da nam se pridruži u borbi za zaštitu privatnosti.