Sudski vještak za Direktno: U osobnoj iskaznici neće biti upisani zdravstveni podaci, ali ako se unutra ubaci potvrda o cijepljenju, to je kršenje GDPR-a

Činjenica je da zdravstvena iskaznica digitalizacijom u zdravstvu već dulje vrijeme nema funkciju osim u ljekarni prilikom podizanja lijekova. Fizički oblik zdravstvene iskaznice također nije potreban ni kako bi se evidentiralo je li zdravstveno osiguranje važeće ili je isteklo s obzirom na to da su to sve podaci koji su dostupni u elektroničkom obliku i pohranjeni u određenim bazama podataka. Čemu onda čuđenje što će se matični broj osiguranika uskoro naći na osobnoj iskaznici?

"Ono čemu osobna služi jest da se vidi identifikacija osobe i u Hrvatskoj bi zakonski trebalo uvesti da osobna iskaznica treba biti  dokument koji služi za identifikaciju i pomoću kojeg se mogu konzumirati svi državni i javni servisi, što trenutno nije slučaj", kazao je Hrnjak. 

"Zapravo je došlo do nekakve ideje da se uz OIB na istu iskaznicu stavi i matični broj osiguranika. Kao što OIB predstavlja državnoj birokraciji jedinstvenu oznaku građana tako i MBO predstavlja jednu jedinstvenu oznaku u informacijskom sustavu zdravstva. Ne dobivamo dva u jedan, nego jednostavno i dalje koristimo osobnu kao sredstvo identifikacije, a sustav omogućuje provjeru koja su prava te osobe i po kojoj osnovi je osigurana, sve ono što su radili i do sada", analizira naš sugovornik.

Stavljanje potvrde o cijepljenju u osobnu je kršenje GDPR-a

Sve pretpostavke su već otprije osigurane pa čak i sam HZZO nudi na svojim stranicama uslugu da ako upišeš svoj OIB možeš dobiti svoj MBO.

Na novom dokumentu neće biti upisani zdravstveni podaci nego će isključivo tamo biti upisan MBO pomoću kojeg će osobe koje su ovlaštene, kao što je liječnik opće medicine, moći ući u zdravstveni karton. Hrnjak smatra da postoje i svi preduvjeti da se na istu iskaznicu smjeste i podaci s vozačke dozvole.

Ono što je izazvalo bojazan su izjave ministra unutarnjih poslova Davora Božinovića koji je početkom tjedna rekao da nove osobne iskaznice "u ovom trenutku" neće sadržavati podatke o cijepljenju, što je odmah potaknulo pitanja znači li to da će se kad-tad potvrde o cijepljenju ipak naći na novim osobnim iskaznicama.

Hrnjak odbacuje takvu mogućnost: "U načelu bi se vjerojatno moglo tehnički to postaviti na osobnu, samo što to već onda ide u smjeru 'Velikog brata', tako da bi to po meni bilo kršenje GDPR-a. Zdravstveni podaci su kategorija posebno osjetljivih podataka". 

Certifikati u oblaku

Za portal Direktno dodatno je pojasnio što točno novom iskaznicom građani dobivaju.

Pojašnjava da je do sada osobna iskaznica imala čip na kojem su se nalazili naši osobni certifikat i privatni ključ. "To je bio takav kvalificirani uređaj koji je onemogućavao da se taj ključ iskopira. Iza toga našeg privatnog ključa stoji visoka razina sigurnosti kojeg osobna čuva i ona se do sada mogla koristiti za digitalni potpis. Ono što je bilo nezgodno je da bi se ona koristila, morali ste imati čitač za osobnu i prateću programsku podršku".

Ono čemu se sada teži novim izmjenama je da se krene s certifikatima u oblaku, gdje će određena institucija koja pruža usluge od povjerenja kao što su to FINA ili AKD čuvati naš certifikat.

"Ideja je tog certifikata u oblaku da se za digitalni potpis mogu koristiti i tablet i mobilni uređaj, što do sada nije bio slučaj jer jednostavno nismo imali mehanizam kako ćemo pročitati taj certifikat s osobne koji je na čipu, koji je dosadašnjom programskom podrškom bio ograničen na stolna i prijenosna računala".

Novom osobnom i dalje radimo protivno europskoj Direktivi

Tu ipak ostaje nejasno, ističe, da Hrvatska i dalje ovime ne ispunjava svoju zakonsku obavezu koja je propisana Uredbom EU 910/2014 i to točkom 17. koja kaže da države članice trebaju poticati privatni sektor na korištenje sredstava elektroničke komunikacije.

"To se u Hrvatskoj recimo redovito ne događa, odnosno stavljaju se različite tehničke, financijske, i administrativne prepreke da se to ne ispuni. AKD za pružanje usluge digitalnog potpisa traži naknadu za uspostavu tog servisa i još dodatno godišnje naplaćuje korištenje svog servisa. To je izmišljeni trošak, dok druge zemlje kao Estonija to rade tako da daju testne kartice, testni sustav, daju javno otvoreni izvorni kod, daju primjere kako se to koristi i oni doista tu potiču privatni sektor da koriste ta sredstva elektroničke komunikacije", kazao je Hrnjak.

"Kada je bilo zadnje e-savjetovanje oko Zakona o elektroničkim osobnim iskaznicama ja sam tamo predložio članak Zakona kojim sam sugerirao da osobna iskaznica treba biti obvezan element za konzumaciju javnih servisa, ali ne i jedini. Nitko ne brani da si netko kupi i FINA karticu ili neku drugu karticu koja omogućava elektronički identitet korisnika i da s njom konzumira dostupne servise, ali ono što se trenutno događa i što je malo bezobrazno jest da FINA ne omogućava korištenje pojedinih usluga bez njihove kartice", smatra Hrnjak.

"Hrvatska Vlada se zbilja trudi, kako mi je to jednom rekla kolegica informatičarka, da bude sigurna da nitko neće koristiti hrvatsku elektroničku iskaznicu - to je najbolji zaključak u kojoj smo mi fazi. Tu imamo nekakvo zaključavanje javnih servisa koji su uglavnom u vlasništvu nekog od Ministarstva, a događa se da onaj tko je tehnički izvršitelj te obrade, kao što su FINA ili AKD, zaključava te javne servise na svoje kartice  i privatiziraju nešto što bi trebala biti javna usluga", konstatirao je naš sugovornik.

Usluge AKD-a i FINA-e moguće zamijeniti potpisom na osobnoj iskaznici

"Recimo da biste koristili uslugu e-dražbe, morate koristiti FINA-inu karticu, da bi se fiskalizirao račun kupuje se FINA certifikat iako stvarno nema razloga da ovlaštena osoba ne bi upotrijebila certifikat sa svoje elektroničke iskaznice i potpisala taj račun koji će ići fiskalizirati", objašnjava na primjeru. 

Kada govorimo o nedavno puštenoj usluzi za otvaranje tvrtke putem interneta, za to je također u jednom trenutku potrebno otići u FINA-u  po njihovu karticu.

"Tu vidimo to stalno zaključavanje, da se zapravo pokušava od privatnog sektora namaknuti novac koji je zagarantiran FINA-i tako da imaju zakonski osiguran monopol, iako su to standardni certifikati kakve nudi cijeli niz tvrtki za pružanje usluga od povjerenja unutar Europske unije. Onaj dio koji nije zakonski propisan je da je FINA tehnički izvoditelj određenih javnih usluga i kada netko želi pristupiti e-dražbi ili otvoriti tvrtku opet mora otići osobno na šalter FINA-e da bi mogao završiti taj proces.

Zapravo je ta digitalizacija u Hrvatskoj zamjena jednih šaltera s drugima. Kada elektronskim putem na MUP-ovoj stranici tražimo produljenje vozačke dozvole, onda se prvo na MUP-u unesu podaci koji su potrebni, da bi onda korisnik bio usmjeren na stranice AKD-a i onda opet bio vraćen natrag na stranice MUP-a. U stvarnom svijetu to bi bio pandan tome da vas iz zgrade policije pošalju kod javnog bilježnika na ovjeru potpisa pa se onda vratite nazad", kaže Hrnjak o nelogičnostima u korištenju digitalnih potpisa u javnoj upravi. 

I opet se krši GDPR

Cijeli taj postupak je nelegalan, kaže dalje, jer se krše odredbe Opće uredbe  za zaštitu podataka. 

"Podaci korisnika se na ovaj način prenose trećoj strani, tako su arhitekti te hrvatske digitalizacije zamislili taj postupak i žele da se neminovno u taj proces uključuju tvrtke poput FINA-e i AKD-a iako za to nema realne potrebe".

Upravo je EK svojom uredbom kao direktnu zamjenu za vlastoručni potpis uvela kvalificirani vlastoručni potpis, koji bi trebao biti sredstvo u potpunoj kontroli korisnika, što u Hrvatskoj nije slučaj.

"Čip kao i osobna je bio u našoj potpunoj kontroli. Iako potpis u oblaku ima sve elemente naprednog elektroničkog potpisa, on nije u potpunosti u našoj kontroli jer je udomljen od strane AKD-a koji uvijek traži autorizaciju korisnika bilo putem sms-a ili odobravanjem nekakve 'push' notifikacije. Tu postoje razlike i zapravo je pitanje na koji način se pravno kvalificira takav potpis", zaključio je Hrnjak.