Autor: Rodoljub Šabić
Uvođenje sistema e-tiketinga i monitoringa u javni gradski prevoz u Beogradu je tema koja privlači sve više pažnje. Bar sudeći po porukama i pitanjima koje primam, ne malo ljudi ta tema asocira na famoznog „Velikog brata", odnosno na neke od brojnih varijacija orvelovskih vizija totalitarne kontrole, na mogućnost narušavanja privatnosti, odnosno kršenja Zakona o zaštiti podataka o ličnosti.
Stoga, nije suvišno napisati nešto o tome. Inače, Poverenik za (informacije od javnog značaja i) zaštitu podataka o ličnosti je još tokom jula meseca, nakon prijema obaveštenja o nameri otpočinjanja vršenja obrade i uspostavljanja zbirke podataka o ličnosti koju su nazvali „Evidencija vlasnika preplatnih legitimacija za korišćenje javnog gradskog prevoza u Beogradu", preko ovlašćenih lica izvršio prethodne provere nameravanih radnji obrade podataka o ličnosti u preduzeću „Apex Solution Technology", d.o.o. Beograd, koje se u realizaciji navedenog sistema pojavljuje u svojstvu pravnog lica koje će u okviru navedenog sistema obrađivati lične podatke građana koji budu koristili personalizovane isprave za korišćenje usluga javnog gradskog prevoza.
Tokom vršenja nadzora nisu postojale informacije o konačnom izgledu i sadržaju obrasca za izdavanje vozne isprave i samih kartica, ali sada je izvesno da je njihova sadržina određena odredbama Pravilnika o tarifnom sistemu u javnom linijskom prevozi putnika na teritoriji Grada, koji je u međuvremenu, na sednici održanoj 29. jula 2011. godine, donet od strane Gradskog veća Grada Beograda, a kojim su definisani dokumenti, odnosno podaci koji će biti potrebni za izdavanje kartica za različite kategorije lica.
Na osnovu prikupljenih podataka, korisniku će se na licu mesta štampati kartica i kodirati u bezkontaktnom memorijskom čipu sa potrebnim parametrima tzv. transportne aplikacije, kako bi njena upotreba bila moguća u javnom prevozu.
Ti podaci (ime, prezime, fotografija, JMBG, kategorija, datum, vreme, mesto, serijski broj) u realnom vremenu smeštaće se na server u data centru, dok će se u istom trenutku informacija o izdatoj kartici (kategorija, serijski broj) prosleđivati i u bazu podataka na serveru drugog data centra, kako bi se izdata kartica svrstala u status aktivnih.
Nijedan od podataka o ličnosti neće ostati sačuvan u radnoj stanici na punktu gde se kartica izdaje.
Validatori, koji će biti postavljeni pored svih vrata u vozilima gradskog prevoza, prilikom validiranja karte trebalo bi da očitavaju: tarifu, vremensku validnost, kategoriju korisnika i serijski broj karte, i podatke o naplaćenim vožnjama, vremenima i lokacijama putem GPRS ili WLAN prenose na servere Sistema naplate u zadatim intervalima. Pri tome ne čuvaju niti prenose bilo kakve podatke o ličnosti, budući da oni u procesu validacije uopšte nisu ni dostupni. Prenose samo podatke o lokaciji validacije (vozilo, validator, linija, stanica), vremenu validacije (datum i vreme), iznosu validacije (tarifa, zona i relacija) i o samom medijumu (broj kartice).
Prilikom vršenja nadzora Povereniku su pružena uveravanja da neće postojati mogućnost „uparivanja" podataka o ličnosti korisnika personalizovanih kartica koji će se čuvati u okviru jednog data centra i podataka sa validatora o vremenu i mestu upotrebe određene kartice koji će se smeštati na server u okviru drugog data centru. Ipak, Poverenik je svojim aktom od 04.08.2011. godine i zvanično upozorio „Apex Solution Technology" da je neophodno da otkloni bilo kakvu mogućnost „uparivanja" podataka iz ovih data centara.
Postupanje u skladu sa tim Upozorenjem trebalo bi da garantuje zaštitu privatnosti lica koja ovakve karte koriste. Nepostupanje bi ostavilo očiglednu mogućnost praćenja velikog broja građana preko utvrđivanja vremena i mesta njihovog kretanja. Valjda je suvišno naglašavati, nezakonitu i veoma opasnu mogućnost na koju bi Poverenik morao reagovati zabranom obrade podataka i nalogom za uništavanje uspostavljenih baza podataka. I valjda, baš zato, nije suviše očekivati da to neće biti potrebno.