Uzimanje kredita na tuđe ime postalo je alarmantno masovna pojava u Severnoj Makedoniji koju građani najčešće otkrivaju kada se već suočavaju sa šokom da moraju da vraćaju dugove koje nikada nisu napravili. Ovo je jedna od najčešćih zloupotreba ličnih podataka kroz krađu identiteta žrtava.
Međutim, stvarnost pokazuje drugi aspekt priče – umesto da same institucije zaštite građane od zloupotrebe – one ih čine potencijalnim metama sajber kriminala.
Zvanična dokumenta koja objavljuju državne institucije i opštine "dele" kompletne lične podatke građana – ime i prezime, broj socijalnog osiguranja, adresu stanovanja prema ličnoj karti, imejl adresu, banku u kojoj ostvaruju prihod i sam transakcioni račun.
S tako objavljenim ličnim podacima "na izvol'te" suočavaju se stotine običnih građana, kao i investitori i njihove kompanije. U "moru" ličnih podataka, RSE je pronašao i potpuno objavljeni identitet poznatog makedonskog biznismena, koji se nalazi na crnoj listi američkog Stejt departmenta.
Ljudi čiji su podaci javno objavljeni često ne znaju da su njihovi lični podaci dostupni na internetu, što ih može izložiti raznim oblicima zloupotrebe, objašnjava Liljana Pecova Ilievska, ekspertkinja s dugogodišnjim iskustvom u oblasti digitalne bezbednosti, u okviru nevladine organizacije IMPETUS.
"Te zloupotrebe mogu uključivati krađu identiteta, finansijske prevare, neovlašćeno korišćenje bankovnih računa, obmanjujuće aktivnosti putem imejla i socijalni inženjering. U nekim slučajevima, lični podaci mogu se koristiti i za nadzor, pretnje i druge oblike psihološkog i digitalnog uznemiravanja", kaže Pecova Ilievska.
Ona napominje da za propust nisu odgovorne samo institucije, već i Agenciji za zaštitu ličnih podataka, regulatorno telo odgovorno za nadzor zakonitosti obrade ličnih podataka i obezbeđivanje poverljivosti i zaštite.
Priznanje greške
RSE je kontaktirao menadžerku i suvlasnicu kompanije čiji su projekti objavljeni na portalima nekoliko opština širom zemlje. Javno dostupni dokumenti uključuju njeno ime i prezime, adresu i broj lične karte, kao i podatke druga dva suvlasnika.
"Proveravam sve projekte na kojima smo radili upravo sada dok ste mi saopštavali informacije i zapanjena sam. Nisam znala da je to otišlo do te mere i iskreno nisam bila svesna. Lako možemo postati žrtve zloupotrebe. Sećam se da su nas jednom kontaktirali iz opštine Bitolj sa zahtevom da sami zamaglimo lične podatke, što smo i uradili. Ali u svim ostalima koje sada vidim, oni su i dalje tu", kaže sagovornica RSE.
Ona je rekla da će biti primorana da kontaktira sve opštine u kojima je njena kompanija prisutna s projektima radi uklanjanja podataka koji bi trebalo da budu zaštićeni.
Prema Zakonu o zaštiti ličnih podataka i Opštoj uredbi o zaštiti ličnih podataka, sve javne institucije, uključujući ministarstva i opštine, imaju zakonsku obavezu da imenuju službenika (kontrolora) za zaštitu ličnih podataka.
Njihov zadatak je da obezbede poverljivost i zaštitu prilikom obrade ličnih podataka građana, a Agencija za zaštitu ličnih podataka je ključna za kontrolu i kažnjavanje prekršaja.
Zašto podaci u projektima kompanije nisu anonimni i zašto svako može da ih vidi na internetu, RSE je pitao dve opština koje su među onima koji najviše primenjuju ovu praksu – Štip i Ohrid. U opštini Štip RSE je naišao na ćutanje, dok su u opštini Ohrid službenici priznali grešku.
"Obaveštavamo vas da je u naznačenom dokumentu napravljen propust jer je u pitanju dokument pravnog lica i da nisu uočeni lični podaci vlasnika koji je trebalo da budu zaštićeni. Odmah je reagovano i date su smernice za otklanjanje nedostataka u vezi sa Zakonom o zaštiti ličnih podataka. Obaveštavamo vas da u budućnosti neće biti propusta", navela su u zajedničkom odgovoru dva službenika u opštini, Vladimir Risteski i Sašo Jovanoski.
Ovakvi slučajevi otkrivanja ličnih podataka građana i investitora mogu se naći u zvaničnim dokumentima koje je objavilo desetak opština u vezi s izgradnjom infrastrukturnih projekata. Ti dokumenti takođe objavljuju trenutno stanje kompanija iz Centralnog registra, sa svim ličnim podacima njihovih vlasnika.
Stav Agencije za zaštitu ličnih podataka je da lični matični broj, adresa stanovanja, broj telefona, imejl ili bankovni podaci fizičkih lica obično nisu neophodni zarad transparentnosti i ne bi trebalo da se javno objavljuju.
"Svaki kontrolor ima obavezu da sprovede procenu rizika pre objavljivanja, a ako se objavljuju lični podaci, da primeni sledeće mere: anonimizaciju ili pseudonimizaciju ličnih podataka, ograničavanje pristupa, vođenje evidencije o operacijama obrade ličnih podataka", navela je Agencija za RSE.
Ceo identitet od A do Š
RSE je zatražio mišljenje od Agencije, navodeći još jedan primer – objavljenu ponudu Zavoda za javne nabavke, u kojoj lice koje je pobedilo na tenderu nije zaštićeno prikrivanjem bilo kakvih ličnih podataka.
Direkcija za zaštitu ličnih podataka prebacuje odgovornost na sam Zavod za javne nabavke, ocenjujući da je objavljivanje matičnog broja građana "neprikladno, irelevantno i preterano u odnosu na svrhu za koju se obrađuje, čime se krši Zakon o zaštiti ličnih podataka".
"Ponuda koja sadrži lične podatke nije trebalo uopšte da bude objavljena, jer to nije predviđeno propisima o javnim nabavkama. Tako nije poštovana zakonska obaveza adekvatne zaštite ličnih podataka građana", navela je Direkcija za RSE.
Zavod za javne nabavke, u odgovoru za RSE, navodi da je imenovao službenike za zaštitu ličnih podataka, ali ističe da je odgovornost za informacije iz zaključenih ugovora koji se objavljuju na Elektronskom sistemu javnih nabavki na instituciji koja sprovodi tender.
Dodaje da, ako se radi o eventualnom kršenju, prijave i žalbe treba uputiti licu koje je odgovorno i ovlašćeno u instituciji.
"Ugovorni organ je dužan da priloži skeniranu kopiju samog ugovora, a takođe je odgovoran i za njegov sadržaj, potpunost ili anonimizaciju. Do sada nije bilo prijava ili žalbi Zavodu za javne nabavke u vezi s nepravilnom primenom Zakona o zaštiti ličnih podataka", odgovorio je Zavod za RSE.
Prema Zakonu o zaštiti ličnih podataka, ako pravno lice – kontrolor ili obrađivač podataka ne postupa u skladu s osnovnim principima za obradu ličnih podataka ili vrši nezakonitu obradu, može biti kažnjeno novčanom kaznom do četiri odsto od ukupnog godišnjeg prihoda ostvarenog u prethodnoj godini.
Pored toga, za kršenje obaveza u vezi s bezbednošću podataka može se izreći novčana kazna do dva odsto godišnjeg prihoda.
U oba slučaja, pored sankcije za pravno lice, predviđena je i novčana kazna u vrednosti od 300 do 500 evra za službenika u organizaciji.
U periodu od januara do avgusta 2025. godine, supervizori iz Agencijw za zaštitu ličnih podataka podneli su samo dva zahteva za pokretanje prekršajnog postupka u skladu sa zakonom. Za jedan zahtev izrečena je prekršajna kazna, za koju se vodi sudski postupak koji nije okončan. Za drugi zahtev postupak je još u toku pred Prekršajnom komisijom Agencije.
Prema rečima Pecove Ilievske, uloga Agencije za zaštitu ličnih podataka je ključna u sprečavanju takvih incidenata.
"Agencija može i treba aktivno da istražuje takve slučajeve, izriče sankcije i uvodi dodatne mere za jačanje sistema zaštite ličnih podataka", kaže ona.
Stara praksa koja se mora promeniti
Sajber bezbednost je danas jedan od ključnih nacionalnih prioriteta. S intenzivnijom digitalizacijom društva, rizik od sajber napada i incidenata značajno raste. Protekle godine su pokazale da Severna Makedonija nije imuna na takve pojave.
Da li se suočavamo s paradoksalnom situacijom u kojoj država donosi zakone o sajber bezbednosti, dok istovremeno njene institucije izlažu građane potencijalnom kriminalu, kaže ministar za digitalnu transformaciju Stefan Adnonovski – "to nije paradoks, već realnost s kojom se otvoreno suočavamo".
Prema njegovim rečima, digitalna transformacija podrazumeva brzu promenu procesa, ali istovremeno i značajno povećanje svesti i kapaciteta za zaštitu podataka.
"Ono što sada vidimo rezultat je višegodišnje prakse objavljivanja dokumenata bez dovoljnog posvećivanje pažnje privatnosti. Naš posao je da prevaziđemo tu situaciju i obezbedimo sistem u kome će lični podaci biti zaštićeni najvišim standardima, a institucije će imati punu odgovornost za njihovu bezbednost", rekao je Andonovski za RSE.
Dodao je da Ministarstvo digitalne transformacije ima jasan cilj, a to su novi najviši standardi za bezbednost sistema, izgradnja odgovorne kulture rada s podacima u svim administrativnim organima i informisanje građana kako bi se smanjio rizik da građani postanu mete krađe identiteta.
Severna Makedonija je prvi put usvojila Zakon o sajber bezbednosti kako bi zaštitila institucije i građane, a njegova primena će početi 1. januara sledeće godine.