Отворено писмо јавности Србије: Да ли ће наше школе постати електронски логор?

Који податак ће бити тајан, ако се сви подаци о једној личности, подједнако афирмативни и негативни, буду прикупљали, обрађивали и трајно чували?

Извор: Печат

Шта је у питању?

У овом тренутку, а све на основу приче о дигитализацији образовања, у школе се, путем новог законодавства иза кога стоји Влада Србије, уводе електронски дневници, а ученицима треба да се додели ЈОБ (јединствени образовни број), који треба да их прати од вртића до факултета, али и касније. Ми, долепотписани, сматрајући ово непосредним ударом на приватност и слободу личности, шаљемо ово отворено писмо јавности и све људе добре воље позивамо да нам се придруже у борби за очување основних људских права.

Дигитализација и људска права

Процес дигитализације, ма како га неко оправдавао разлозима техничког и економског прогреса, мора да се одвија у границама уставних одредби о људским правима. Заштита личних података о деци мора имати апсолутни приоритет у односу на захтеве дигитализације, а свако прикупљање, а нарочито коришћење личних података о деци и њиховим породицама мора се свести на минимум, уз испуњење строгог техничког и правног контролног механизма у корист даваоца података.

Најављено је да ће се подаци о деци и њиховим породицама, пошто се при упису деце дају и бројни подаци о породичном статусу, здравственом стању, користити не само у школске сврхе, већ ће се ови подаци трајно архивирати у личној бази података, заједно са подацима о професионалној каријери, личним примањима итд, па ће корисници ових података бити и други државни органи (нпр. Национална служба запошљавања), а посредно и компаније. Насупрот томе, члан 42 став 2 Устава Србије прописује да „забрањена је и кажњива употреба података о личности изван сврхе за коју су прикупљени,“ па сходно томе родитељ не може дати држави генералну сагласност за прикупљање и коришћење података о детету, већ само за школске сврхе.

Трајна стигматизација

Уз то, члан 18 Устава Србије прописује да се свако људско право, па и право на заштиту података о личности може законом ограничити само изузетно. Стварање ЈИСИП-а (Јединственог информационог система у просвети) претвара право на заштиту података о личности у изузетак, док ограничење овог права, под оправдањем нужности дигитализације, постаје правило. Који податак ће бити тајан, ако се сви подаци о једној личности, подједнако афирмативни и негативни, буду прикупљали, обрађивали и трајно чували? Посматрано из угла установе брисања осуде у кривичном законодавству, ЈИСИП делује као трајна стигматизација, због које ће лице осуђено на три године затвора бити у повољнијем положају него онај који је у пубертету правио инциденте у школи.

Притом, нема говора о техничким решењима који ће омогућити носиоцу података да приступајући систему спречи злоупотребу података и што је још важније да му омогући да се утврди прави виновник оваквог противправног акта, који неће моћи да се сакрива иза анонимног система. И најважније, не оставља се право избора лицима која не желе да се њихови  подаци о њиховој деци и породици електронски прикупљају, обрађују и чувају у јединственој електронској бази података, чиме се драстично угрожава право на достојанство и слободан развој личности.

Неколико питања

Од Владе Србије и Министарства просвете тражимо одговоре на следећа питања:

  1. Да ли испоручилац услуге електронског дневника и свих осталих елемената ЈИСИП-а поседује гаранцију о квалитету производа? Ко га је и када издао и до када траје? Да ли су те гаранције у складу са законима Србије и да ли су признати у Србији?
  2. Које сервере испоручилац користи за приступ и складиштење података, и да ли има валидне сертификате за све сервере са аспекта безбедности података?
  3. Која су то, таксативно, физичка и правна лица која имају права приступа серверу и са којим привилегијама (ролама)? Ко и како администрира исте?
  4. Који су то сертификати фирме која испоручује софтвер и провајдера услуга са аспекта привилегија  њихових радника? Да ли су њихови уговори са запосленима о заштити података употребљиви у нашем прaвном систему?
  5. Какав је протокол у случају њиховог напуштања фирме, неауторизованих рачунара, адреса, какав им је приступ ван радног времена, ван просторија фирме? Да ли постоји приватна мрежа и какво је администрирање исте? Какав је сертификат лица који врши администрирање сервера? Какав је протокол о замени админстратора, провајдера?
  6. Који су протоколи о заштити података од злонамерних програма (вируси, малвер, ворм, тројан…) у употреби?
  7. Какви су начини препознавања неауторизованог приступа, покушаја упада у систем као и протоколи у тим случајевима?
  8. Какви су протоколи о архивирању (backup) података као и сертификати о заштити архивираних података? Какав је попис сценарија у случају техничке хаварије као и хаварија изазваних природним непогодама локалног и глобалног карактера?
  9. Каква је доступност сервера? Какав је сертификат о доступности сервера и апликацији са аспекта времена као и права приступа? Који је списак адреса са којих се може приступити серверима, каква је заштита протока и складиштења података, који системи енкрипције што се у раду користе и на ком нивоу?
  10. Који су сертификати за ауторизацију приступа подацима из саме апликације? Који је списак дозвола (permission) са описом који подаци имају право да се прегледају и/или ажурирају? Какав је списак профила, као и број корисника (users) по сваком профилу (нпр. шта имају право да виде и раде родитељи, наставници, разредне старешине, јавне институције, трећа лица)?
  11. Какав је сертификат о антидатирању промена – да ли су дозвољене накнадне измене у прошлости, којим корисницима и у којим околностима?
  12. Постоји ли евиденција и лог-а о изменама? Постоји ли ревизија података (ко, када и шта мењао, приступао, гледао)?
  13. Који је списак дозвољених активности по профилу из апликације?
  14. Који је списак дозвољених активности директно над базом ван апликације по профилу?
  15. Какав је сертификат о провери аутентичности података?
  16. Који су протоколи и сценарији који су тестирани, и који су начини тестирања, као и списак свих тестираних сценарија? Који је протокол о развоју нове функционалности или дораде постојећег? Ко потврђује прихватљивост новог пословног процеса и протокол о начину испоруке (deploy-а)?

Понављамо питања, да се не изгуби из вида

Да ли постоји ванелектронска евиденција пресека стања – да ли се штампају сведочанстава, када и где се чувају и да ли се при употреби електронских података ради провера са одштампаним? На пример, код уписа на редовне студије може се десити да неко исправи податке уназад и тако неоправдано стекне права на штету других ђака. Да ли постоји озбиљна законска регулатива ко и за шта сме користити те податке? Да ли је познат коначан списак институција које имају право да користе податке, које податке и за какву сврху? Врло је битно како се проверава аутентичност тих података и ко је гарант истих (по ком сертификату). Да ли су познате процедуре у случају ненамерних грешака? Добар софтвер се управо по овоме препознаје. Какав је протокол у случају лоше унетог податка, лоше обрађеног податка? Нарочито је битно код накнадно уочене грешке: рецимо, уочи се грешка тек код уписа ученика на студије, а тамо постоји рок доставе докумената. Ко гарантује да ће се грешка исправити у потребном року и како се грешка исправља? У исправљању може да се крије или злоупотреба  (ако је процедура недовољно ригорозна) или немогућност да се грешка исправи на време  (ако је процедура сувише ригорозна). Каква је одговорност у случају цурења података? Какве су правне, моралне и финансијске последице ако се испостави да постоји употреба података на недозвољен начин, или ако су употребљени за нешто чему нису били намењени?

Позивамо Владу и Министарство просвете, науке и спорта Републике Србије да на наша питања одговори, а јавност да нам се придружи у борби за заштиту приватности.

Потписи

  • Др Владимир Димитријевић
  • Др Слободан Јанковић, Београд
  • Проф. др Александар Липковски
  • Проф. др Дејан Мировић
  • Проф. др Зоран Чворовић
  • Десимир Ћировић, дипломирани инжењер информатике
  • Александар Лазић, уредник портала Стање ствари

Опрема: Стање ствари

(Блог Владимира Димитријевића, 5. 3. 2020)



Категорије:Моба

Ознаке:, , , , , , , , , ,

5 replies

  1. Испада да је дигитализација личних података, оцена, сведочанстава и осталих евиденција које се воде у систему просвете, суштински проблем личне слободе и прекретница у историји која раздваја слободу од ропства и потпуне контроле. Нажалост, није тако. Слободу нам је одузео наш савремени, градски начин живота, наша зависност од испорука струје, воде, хране, зависност од запослења у државним службама јер наше образовање и бирократске вештине на тржишту вреде мање од било којег занатског посла. Наша борба против чипованих личних карата се завршила у тренутку узимања пасоша или саобраћајне дозволе. Такви документи су доступни само у чипованој верзији. Употребом компјутера и мобилних телефона сагласили смо се са системом тоталне доступности свих наших комуникација, интересовања, приватности. Рођењем смо прихватили доделу ЈМБГ-а. Невероватно је да ни ЧЕКА, УДБА, ОЗНА нису имале дигиталне картотеке, па ипак…
    Наше школе неће постати електронски логор, јер то већ јесу, јер су део свакодневног живота породице, друштва, државе, света. Свет је увелико постао електронски логор, а и логор у физичком, опипљивом, смислу те речи.
    Ипак, у политичком смислу је ефектније борити се против дигитализације у просвети, него против мултинационалног капитализма у привреди. Свака политичка странка може да обећа да ће, по доласку на власт, да укине електронски дневник или Бус-плус, али ко сме да да обећа оснивање државне развојне банке или национализацију стратешке индустрије. Па и кад дођу на власт, неће да укину ништа. Можда ће мало да реформишу, да дограде, да побољшају, све у интересу грађана, разуме се.

    Свиђа ми се

  2. Pre prjemnog na fakultet, po ocenama sam bio 55-i, na prijemnom prvi, ukupno peti.Posle toga ocene i sve ono sto je bilo u srednjoj skoli je bilo nevazno (i na samom prijemnom je vecina onoga sto sam ucio u skoli bilo irelevantno), a osnovnu je smesno i pominjati.Ne vidim koji je onda cilj ocuvanja svih tih podataka (od zabavista, gde nema ocena, a vaspitacica sumnjive strucnosti, to je jedno od omiljenih partijskih zaposlenja, treba u dosijeu da napise sta?), sta bi oni obuhvatali, osim ocena, a primer prijemnog na fakultet, koji sam naveo, samo pokazuje besmisao cuvanja i podataka o ocenama, osim ako ti dosijei nisu siri i ne predstavljaju jednu vrstu psiholoskog profila pojedinca („karakteristike“ iz vremena socijalizma), a zapravo vrstu drustvene „stigmatizacije“, npr. troublemaker – socijalno neprilagodjen, radi drzanja pojedinca u odredjenoj vrsti socijalne izolacije u odnosu na odredjene polozaje i zaposlenja.

    Sam tekst mi nije jasan.Pocinje sa kritikom same ideje, ali zavrsava sa tehnickim pitanjima ko, kako, sa kojim ciljem…Znajuci o kakvoj se drzavi radi, a sa retroaktivnim popravljanjem vec zakljucenih ocena sam imao iskustva i u vreme neelektronskih „pravih vrednosti“, tehnicka pitanja su vise od tehnickih, a zapravo stvar treba preseci i pre nego sto se dodje do njih.

    Свиђа ми се

  3. Taчно, управо тако наше школе постају електронски логори. Електронски дневници постоје у појединим земљама ЕУ већ одавно.
    Оно што је тренутно стопирано у ЕУ јесте примена мини рачунара познати као (iPad), који би требало да замене свеске па можда чак и књиге једног дана.Али нису стопирали из разлога немогућности набавке, већ полигон за пробу треба да буду земље као Румунија, Бугарска, Србија и друге а нацрт за нешто такво долази баш из те ЕУ чију примену треба да спроведе наша министарка која је иначе задужена за дигитализацију.
    Према томе то није напредак већ контрола.

    Свиђа ми се

  4. Ако се погледа ЗАКОН о информационој безбедности (даље ЗИБ) („Службени гласник РС“, бр. 6 од 28. јануара 2016, 94 од 19. октобра 2017, 77 од 31. октобра 2019.) на линку http://www.pravno-informacioni-sistem.rs/SlGlasnikPortal/eli/rep/sgrs/skupstina/zakon/2016/6/5/reg види се да електронски дневник треба одмах буде стопиран а министарс и бројна службена и стручна лица у оковима спроведени у истражни затвор због основане сумње да су починили више кривичних дела из Кривичног законика Републике Србије са казнама од једне до 2 деценије тешке робије.
    Наиме електронски дневник и информациони системи у просвети су ИКТ системи од посебног значаја према члану 6 ЗИБ и самим тим оператер ИКТ система од посебног значаја има посебно велике обавезе.
    Мере заштите ИКТ система од посебног значаја (члан 7. ЗИБ) се односе на:
    1) успостављање организационе структуре, са утврђеним пословима и одговорностима запослених, којом се остварује управљање информационом безбедношћу у оквиру оператора ИКТ система;
    2) постизање безбедности рада на даљину и употребе мобилних уређаја;
    3) обезбеђивање да лица која користе ИКТ систем односно управљају ИКТ системом буду оспособљена за посао који раде и разумеју своју одговорност;
    4) заштиту од ризика који настају при променама послова или престанка радног ангажовања лица запослених код оператора ИКТ система;
    5) идентификовање информационих добара и одређивање одговорности за њихову заштиту;
    6) класификовање података тако да ниво њихове заштите одговара значају података у складу са начелом управљања ризиком из члана 3. овог закона;
    7) заштиту носача података;
    8) ограничење приступа подацима и средствима за обраду података;
    9) одобравање овлашћеног приступа и спречавање неовлашћеног приступа ИКТ систему и услугама које ИКТ систем пружа;
    10) утврђивање одговорности корисника за заштиту сопствених средстава за аутентикацију;
    11) предвиђање одговарајуће употребе криптозаштите ради заштите тајности, аутентичности и интегритета података;
    12) физичку зaштиту oбjeкaтa, прoстoрa, прoстoриjа oднoснo зoна у кojимa сe налазе средства и документи ИКТ система и oбрaђуjу пoдaци у ИКТ систeму;
    13) заштиту од губитка, оштећења, крађе или другог облика угрожавања безбедности средстава која чине ИКТ систем;
    14) обезбеђивање исправног и безбедног функционисања средстава за обраду података;
    15) заштиту података и средства за обраду података од злонамерног софтвера;
    16) заштиту од губитка података;
    17) чување података о догађајима који могу бити од значаја за безбедност ИКТ система;
    18) обезбеђивање интегритета софтвера и оперативних система;
    19) заштиту од злоупотребе техничких безбедносних слабости ИКТ система;
    20) обезбеђивање да активности на ревизији ИКТ система имају што мањи утицај на функционисање система;
    21) заштиту података у комуникационим мрежама укључујући уређаје и водове;
    22) безбедност података који се преносе унутар оператора ИКТ система, као и између оператора ИКТ система и лица ван оператора ИКТ система;
    23) испуњење захтева за информациону безбедност у оквиру управљања свим фазама животног циклуса ИКТ система односно делова система;
    24) заштиту података који се користе за потребе тестирања ИКТ система односно делова система;
    25) заштиту средстава оператора ИКТ система која су доступна пружаоцима услуга;
    26) одржавање уговореног нивоа информационе безбедности и пружених услуга у складу са условима који су уговорени са пружаоцем услуга;
    27) превенцију и реаговање на безбедносне инциденте, што подразумева адекватну размену информација о безбедносним слабостима ИКТ система, инцидентима и претњама;
    28) мере које обезбеђују континуитет обављања посла у ванредним околностима.
    Све ово се документује у виду Акта о безбедности ИКТ система од посебног значаја (члан 8 ЗИБ).
    Ако се погледа ситуација у просвети видеће се да је електронски дневник најобичнија дигитална дивља градња која не задовољава ни минималне стандарде из ЗИБ.
    Ни Министарство просвете, науке и технолошког развоја нити иједна основна и средња школа а такође и факултети нема Акт о безбедности ИКТ система од посебног значаја а то је прво што су морали да ураде када су се одлучили за дигитализацију. Другим речима ако дође до инцидента неовлашћеног приступа базама података у било којој школи или на било ком факултету нико не може да одговара јер не постоји Акт о безбедности ИКТ система од посебног значаја. Нет треба сумњати да је инцидената било и да су стране опбавештајне агенције већ све податке из електронског дневника копирале јер им то и јесте посао.
    Крајње неодговорно понашање свих укључених у дигитализацију у Србији јер су буквално СРЉАЛИ у дигитализацију не разумевајући шта то значи.
    Ово што се ради је злочин против садашњих и будућих генерација.

    Погледати:
    http://www.pravno-informacioni-sistem.rs/SlGlasnikPortal/eli/rep/sgrs/skupstina/zakon/2016/6/5/reg
    https://www.osce.org/sr/mission-to-serbia/404258?download=true

    Click to access Model%20Akta%20o%20bezbednosti.pdf

    Подзаконска акта
    2.1 Уредба о безбедности и заштити деце при коришћењу информационо-комуникационих технологија: 13/2020-29
    2.2 Уредба о поступку обавештавања о инцидентима у информационо-комуникационим системима од посебног значаја: 11/2020-5
    2.3 Уредба о утврђивању Листе делатности у областима у којима се обављају делатности од општег интереса и у којима се користе информационо-комуникациони системи од посебног значаја: 94/2019-51
    2.4 Уредба о криптобезбедности и заштити од компромитујућег електромагнетног зрачења: 57/2019-7
    2.5 Уредба о ближем уређењу мера заштите информационо-комуникационих система од посебног значаја: 94/2016-22
    2.6 Уредба о ближем садржају акта о безбедности информационо-комуникационих система од посебног значаја, начину провере и садржају извештаја о провери безбедности информационо-комуникационих система од посебног значаја: 94/2016-21
    2.7 Одлука о образовању Тела за координацију послова информационе безбедности: 8/2020-9
    2.8 Правилник о подацима које садржи евиденција оператора информационо-комуникационих система од посебног значаја: 9/2020-165
    2.9 Правилник о ближим условима за упис у Евиденцију посебних центара за превенцију безбедносних ризика у информационо-комуникационим системима: 12/2017-13

    Акт којима је пропис основ доношења
    Одлука о образовању Тела за координацију послова информационе безбедности: 8/2020-9
    Правилник о подацима које садржи евиденција оператора информационо-комуникационих система од посебног значаја: 9/2020-165
    Уредба о безбедности и заштити деце при коришћењу информационо-комуникационих технологија: 13/2020-29
    Уредба о криптобезбедности и заштити од компромитујућег електромагнетног зрачења: 57/2019-7
    Уредба о поступку обавештавања о инцидентима у информационо-комуникационим системима од посебног значаја: 11/2020-5
    Уредба о утврђивању Листе делатности у областима у којима се обављају делатности од општег интереса и у којима се користе информационо-комуникациони системи од посебног значаја: 94/2019-51

    Повезани пропис
    Закон о Безбедносно-информативној агенцији: 42/2002-17, 111/2009-35, 65/2014-99 (УС), 66/2014-3, 36/2018-33
    Закон о Војнобезбедносној агенцији и Војнообавештајној агенцији: 88/2009-35, 55/2012-183 (УС), 17/2013-3
    Закон о електронским комуникацијама: 44/2010-3, 60/2013-74 (УС), 62/2014-29
    Закон о електронском потпису: 135/2004-6
    Закон о заштити података о личности: 97/2008-3, 104/2009-13 (др. закон), 68/2012-41 (УС), 107/2012-4, 87/2018-54 (др. закон)
    Закон о инспекцијском надзору: 36/2015-3, 44/2018-27 (др. закон), 95/2018-383
    Закон о одбрани: 116/2007-3, 88/2009-3, 88/2009-31 (др. закон), 104/2009-13 (др. закон), 10/2015-3, 36/2018-11
    Закон о организацији и надлежности државних органа за борбу против високотехнолошког криминала: 61/2005-8, 104/2009-6
    Закон о тајности података: 104/2009-13
    Кривични законик: 85/2005-30, 88/2005-51 (исправка), 107/2005-171 (исправка), 72/2009-53, 111/2009-36, 121/2012-3, 104/2013-3, 108/2014-3, 94/2016-7

    Акти са којима је пропис повезан
    Закон о попису становништва, домаћинстава и станова 2021. године: 9/2020-38
    Закон о култури: 72/2009-3, 13/2016-3, 30/2016-3 (исправке), 6/2020-26
    Закон о туризму: 17/2019-50
    Закон о угоститељству: 17/2019-34
    Закон о основама система образовања и васпитања: 88/2017-3, 27/2018-3 (др. закон), 27/2018-22 (др. закон), 10/2019-5
    Закон о високом образовању: 88/2017-41, 27/2018-3 (др. закон), 73/2018-7
    Закон о електронској управи: 27/2018-25
    Закон о евиденцијама и обради података у области унутрашњих послова: 24/2018-47
    Уредба о начину преузимања, размене података, приступа и заштите података садржаних у Централном регистру становништва, као и другим техничким питањима од значаја за вођење Централног регистра становништва: 68/2019-4
    Стратегија развоја информационе безбедности у Републици Србији за период од 2017. до 2020. године: 53/2017-41
    Стратегија за борбу против високотехнолошког криминала за период 2019–2023. године: 71/2018-49
    Стратегија развоја мрежа нове генерације до 2023. године: 33/2018-3
    Фискална стратегија за 2018. годину са пројекцијама за 2019. и 2020. годину: 112/2017-8
    Стратегија развоја вештачке интелигенције у Републици Србији за период 2020–2025. година: 96/2019-5
    Правилник о стручном усавршавању матичара: 105/2016-38, 21/2017 (исправка)
    Правилник о утврђивању програма општег стручног усавршавања државних службеника из органа државне управе и служби Владе: 6/2017-6

    Liked by 1 person

  5. Придружујем се потписницима! Љиљана Чолић, редовни професор Београдског универзитета

    Свиђа ми се

Пошаљите коментар

Попуните детаље испод или притисните на иконицу да бисте се пријавили:

WordPress.com лого

Коментаришет користећи свој WordPress.com налог. Одјавите се /  Промени )

Google photo

Коментаришет користећи свој Google налог. Одјавите се /  Промени )

Слика на Твитеру

Коментаришет користећи свој Twitter налог. Одјавите се /  Промени )

Фејсбукова фотографија

Коментаришет користећи свој Facebook налог. Одјавите се /  Промени )

Повезивање са %s