Земањето кредит на туѓо име стана алармантно масовна појава која граѓаните ја откриваат најчесто кога веќе се соочуваат со шокот - да враќаат долгови што никогаш не ги направиле. Ова е една од најчестите злоупотреби на лични податоци преку кражба на идентитет на жртвите.
Но, реалноста покажува и друг аспект на приказната - наместо самите институции да ги заштитат граѓаните од злоупотреби - ги прават потенцијална мета на сајбер криминал.
Официјални документи објавени од државни институции и општини „споделуваат“ целосни лични податоци на граѓаните - име и презиме, матичен број, адреса на живеење според лична карта, е-мејл пошта, во која банка остваруваат приходи и самата трансакциска сметка.
Со вака објавени лични податоци на „изволте“ се соочуваат стотици обични граѓани, но и инвеститори со нивните компании. Во „морето“ лични податоци, РСЕ пронајде и целосно објавен идентитет и на познат македонски бизнисмен, кој се наоѓа на црната листа на американскиот Стејт департмент.
Лицата чии податоци се јавно објавени често не знаат дека нивните лични информации се достапни на интернет, што може да ги изложи на различни форми на злоупотреба, објаснува Лилјана Пецова Илиевска, експерт со долгогодишно искуство во полето на дигиталната безбедност, дел од невладината „ИМПЕТУС“.
„Овие злоупотреби може да вклучуваат кражба на идентитет, финансиски измами, неовластено користење на банкарските сметки, измамнички активности преку е-мејл и социјален инженеринг. Во некои случаи, личните информации може да се користат и за следење, закани и други форми на психолошко и дигитално вознемирување“, вели Пецова Илиевска.
Таа напоменува дека пропустот не е само на институциите, туку и на Агенцијата за заштита на личните податоци, која е регулаторен орган за вршење надзор над законитоста на обработката на личните податоци и обезбедување тајност и заштита.
Признаена грешка
РСЕ контактираше управителка и косопственичка на компанија, чии проекти се објавени на веб-страниците на повеќе општини ширум државата. Во документите достапни јавно, ги има нејзиното име и презиме, адреса и матичен број, како и на останатите двајца косопственици.
„Ги проверувам сите проекти на кои сме работеле сега во моментов додека ми ја кажавте информацијата и сум запрепастена. Не знаев дека ова е до тој степен отидено и искрено не бев свесна. Можеме лесно да станеме жртви на злоупотреби. Се сеќавам дека еднаш не контактираа од општина Битола со барање да ги замаглиме сами личните податоци, тоа и го сторивме. Но, во сите останати што ги гледам сега, тие си стојат“, вели нашата соговорничка.
Таа ни кажа дека ќе биде принудена да се обрати до сите општини каде се присутни со проекти да ги отстранат податоците кои треба да бидат заштитени.
Според Законот за заштита на личните податоци и Општата регулатива за заштита на личните податоци, сите јавни институции, вклучувајќи ги министерствата и општините имаат законска обврска да назначат офицер (контролор) за заштита на личните податоци.
Нивната задача е при обработката на личните податоци на граѓаните, да обезбедат нивна тајност и заштита, а Агенцијата за заштита на личните податоци е клучна да ги контролира и казнува прекршоците.
Зошто не се анонимизирани податоците во проектите на компанијата и се направени видливи за секого на интернет, прашавме во две од повеќето општини кои спроведуваат ваква пракса- Штип и Охрид. Од општина Штип добивме молк, додека од општина Охрид, офицерите ја признаа грешката.
„Ве информираме дека во посочениот документ направен е превид затоа што се работи за документи од правно лице и не се увидени личните податоци на сопствениците кои требало да се заштитат. Веднаш е постапено и се дадени насоки за отстранување на недостатоците во врска со Законот за заштита на личните податоци. Ве информираме дека во иднина нема да бидат направени пропусти“, ни вратија во заеднички одговор двата офицери во општината Владимир Ристески и Сашо Јованоски.
Вакви случаи со откривање на лични податоци на граѓани и инвеститори има во официјални документи објавени од дузина општини кои се поврзани со изградба на инфраструктурни проекти. Во овие документи, објавени се и тековни состојби на компаниите од Централниот регистар, со сите лични податоци на нивните сопственици.
Ставот на Агенцијата за заштита на личните податоци е дека матичниoт број, адреса на живеење, број на телефон, е-пошта или банкарски податоци на физички лица, најчесто не се неопходни за целите на транспарентноста и не треба јавно да се објавуваат.
„Секој контролор има обврска да спроведе проценка на ризик пред објавувањето, и доколку се објавуваат лични податоци, да ги примени следните мерки: анонимизација или псевдонимизација на личните податоци, ограничување на пристап, водење на евиденција на операциите на обработка на личните податоци“, велат од Агенцијата за РСЕ.
Целосен идентитет од А до Ш
РСЕ побара мислење од Агенцијата посочувајќи и друг пример - објавена понуда на Бирото за јавни набавки, во која на лицето добитник на тендерот не е заштитен со сокривање на ниту еден личен податок.
Агенцијата за заштита на личните податоци одговорноста ја вперува во самото Биро за јавни набавки, оценувајќи дека објавувањето на матичниот број на граѓанинот е „несоодветен, нерелевантен и прекумерен во однос на целта за која се обработува, со што е направена повреда на Законот за заштита на личните податоци“.
„Понудата која содржи лични податоци воопшто не требало да биде објавена, бидејќи тоа не е предвидено со прописите за јавни набавки. Со тоа, не е испочитувана законската обврска за соодветна заштита на личните податоци на граѓаните“, рекоа од Агенцијата за РСЕ.
Од Бирото за јавни набавки во одговор за РСЕ велат дека имаат назначено офицери за заштита на личните податоци, но, посочуваат дека одговорноста за информациите од склучените договори кои се објавени на Електронскиот систем за јавни набавки е институцијата која го спроведува тендерот.
Дополнуваат дека ако се работи за евентуален прекршок, пријавите и жалбите е потребно да се насочат кон лицето кое што е одговорно и овластено во институцијата.
„Договорните органи задолжително прикачуваат и скенирана копија од самиот договор, и воедно се одговорни за неговата содржина, комплетност или анонимизирање. До сега до Бирото за јавни набавки немало ниту пријави, ниту пак жалби во однос на неправилна примена на Законот за заштита на личните податоци“, одговорија од Бирото за РСЕ.
Согласно Законот за заштита на личните податоци, доколку правното лице - контролор или обработувач на податоците не постапува согласно основните начела за обработка на лични податоци или врши незаконита обработка, може да биде казнет до 4% од неговиот вкупен годишен приход остварен во претходната година.
Дополнително, за прекршување на обврските поврзани со безбедноста на податоците, може да се изрече глоба во висина до 2% од годишниот приход.
Во двата случаи, покрај санкцијата за правното лице, се предвидува и парична казна од 300 до 500 евра за офицерот во организацијата.
Во периодот од јануари до август 2025 година супервизорите во Агенцијата за заштита на личните податоци имаат поднесено само 2 барања за поведување на прекршочна постапка, согласно закон. За едното барање е изречена прекршочна казна за која се води судска постапка и постапката сѐ уште не е завршена согласно закон. За второто барање, сѐ уште е во тек постапката пред Прекршочната комисија на Агенцијата.
Според Пецова Илиевска, улогата на Агенцијата за заштита на личните податоци е клучна во превенцијата на ваквите инциденти.
„Агенцијата може и треба активно да ги истражува ваквите случаи, да изрекува санкции и да воведува дополнителни мерки за зајакнување на системот за заштита на личните податоци“, вели таа.
Стара пракса која мора да се промени
Сајбер - безбедноста во денешно време претставува еден од клучните национални приоритети. Со поинтензивната дигитализација на општеството, ризикот од сајбер напади и инциденти значително се зголемува. Изминатите години покажаа дека Северна Македонија не е имуна на ваквите појави.
Дали се соочуваме со парадоксална ситуација во која државата носи закони за сајбер безбедност, а паралелно нејзините институции ги изложуваат граѓаните на потенцијален криминал, министерот за дигитална трансформација Стефан Адноновски вели - „тоа не е парадокс, туку реалност со која отворено се соочуваме“.
Според него, дигиталната трансформација подразбира брза промена на процесите, но истовремено и значително подигнување на свеста и капацитетите за заштита на податоците.
„Она што го гледаме сега е резултат на години стари практики на објавување документи без доволно внимание на приватноста. Нашата работа е токму да ја надминеме оваа состојба и да обезбедиме систем во кој личните податоци ќе бидат заштитени со највисоки стандарди, а институциите ќе ја имаат целосната одговорност за нивната безбедност“, вели Андоновски за РСЕ.
Тој додава дека Министерството за дигитална трансформација, има јасна цел и тоа нови највисоки стандарди за безбедност на системите, градење одговорна култура на работа со податоци во сите органи на управата и информирање на граѓаните со цел да се намали ризикот граѓаните да станат мета на кражба на идентитет.
Државата за првпат донесе Закон за сајбер безбедност за заштита на институциите и граѓаните, а неговата примена ќе отпочне од 1 јануари следната година.
