30.4.08

Kako je "porezni broj" postao "osobni identifikacijski broj"?

Porezni broj bio je tema ovih stranica u veljači, a trenutno zasjedanje Sabora, na kojem se po hitnom postupku usvaja Zakon o osobnom identifikacijskom broju broju, prava je prilika za dopunu tog zapisa.

Što se novo dogodilo u međuvremenu? Zakon je pred usvajanjem, a jedna od najvećih novosti je da se, umjesto termina "Porezni broj", koristi termin "Osobni identifikacijski broj". Ne radi se samo o terminološkoj novosti. Zakonom se predviđa korištenje osobnog identifikacijskog broja ne samo za prijavu i obradu poreza, nego u praktički bilo kojem segmentu djelovanja državnih tijela - od državne uprave, jedinica lokalne samopurave, svih pravnih osoba koje se financiraju državnim proračunom pa do pravnih osoba kojima su povjerene javne ovlasti. Neću ulaziti u ocjenu hoće li se popraviti djelovanje državne uprave te hoće li porezi biti prikupljeni na pravedniji i učinkovitiji način (što je naravno važna tema, no vjerujem da će biti obrađena na drugim mjestima). Mene zanima što takva formulacija znači za zaštitu privatnosti?

Imam nekoliko zamjerki na prijedlog Zakona o osobnom identifikacijskom broju, a sve proizlaze iz istog osnovnog uzroka: prijedlog Zakona posebno ne ističe, a čini mi se da niti ne uvažava, činjenicu da osobni identifikacijski broj ima sve karakteristike osobnog podatka. Zakonom se ne razlikuje definicija i primjena tog broja između fizičkih i pravnih osoba (osim tek u tehničkim detaljima oko dodjele samog broja). To mogu shvatiti sa stajališta državne uprave, no takav pristup može biti poguban za zaštitu privatnosti. Moramo shvatiti da će sveobuhvatnom primjenom ovog broja biti označen veliki broj podataka o životu svake osobe, kao i različite osobne aktivnosti ili transakcije. Jedinstveni broj olakšava kopanje i pretraživanje takvih podataka, a nekako sumnjam da će takva pretraživanja uvijek biti motivirana legitimnim i legalnim razlozima.

Naravno, ne iznosim glas protiv suštine takvog Zakona, već želim upozoriti da Zakon mora posebno istaknuti da, kada se osobnim identifikacijskim brojem označavaju podaci vezani za fizičke osobe, taj broj mora biti klasificiran kao osobni podatak (kako bi se prema njemu mogle primjeniti sve odredbe Zakona o zaštiti osobnih podataka). Usput, ovaj zakon pokazuje apsurd birokratske fraze "pravne osobe" - pravni entiteti ne mogu biti osobe. Na taj način se, također, gubi oštrina značaja zaštite osobnih podataka i zaštite privatnosti.

Široko i, kako se čini, neograničeno korištenje osobnog identifikacijskog broja imati će za posljedicu da će identifikacijski brojevi pojednih osoba biti opće poznata informacija (ili barem informacija do koje je veoma lako doći). Dakle, ne samo da će postojati veliki broj, ponekad i veoma delikatnih informacija označenih osobnim brojem, nego će taj broj biti dostupan praktički bilo kome. Postoji samo mali korak do njegove zloupotrebe.

Stoga mislim da bi Zakon ipak trebao biti restriktivan u pogledu upotrebe broja i propisati uvjete za korištenje osobnog identifikacijskog broja. Provedbeni bi akti potom trebali opisati slučajeve u kojima se ovaj broj koristi (tko, kada, u koje svrhe?).

Posebno bi trebalo posvetiti pažnju okolnostima u kojima organizacije koje nisu navedene u članku 5. kao korisnici osobnoga identifikacijskog broja koriste ovaj broj. Smiju li takve organizacije uopće koristiti taj broj? Zakon ih ne spominje, no nekako mi se čini da je zakonodavac predvidio da i oni budu uključeni uproces korištenja ovog broja. Stoga mislim da bi taj aspekt trebao biti dodatno uređen.

Nadalje, korištenje i obrada osobnog identifikacijskog broja trebala bi biti striktno regulirani mjerama informacijske sigurnosti. Zakonodavac je to možda i ostavio za provedbene pravilnike, no ukoliko propusti na ovom mjestu klasificirati ovaj broj kao osobni podatak, sumnjam da će provedbeni akti biti dostatni.

Osobni identifikacijski broja mora biti zaštićen na isti način kao i brojevi kreditnih kartica. Ne smiju se pohranjivati kod korisnika ovog broja, njihov sadržaj mora biti šifriran, a izmjena strogo kontrolirana. To ne bi trebalo paralizirati primjenu osobnog identifikacijskog broja, postoje različita informatička rješenja pomoću kojih će se omogućiti provedba zakona, a da se ne povećaju rizici od njegove zloupotrebe.

Također mislim da bi dobra mjera protiv zloupotrebe trebala biti i mogućnost svake osobe da provjeri način korištenja njegovog/njenog osobnog broja (naročito u slučajevima pretraživanja različitih baza podataka). To je izvedivo informatičkim rješenjima, ali nedostaje podloga u prijedlogu Zakona.

Zakon, na kraju, donosi i kaznene odredbe (članak 17.). Predviđena je kazna za obveznike koji ne koriste osobni identifikacijski broj na propisani način. Također postoji kazna za korisnike ali samo za slučajeve kada identifikacijske brojeve ne koriste u svakodnevnom radu. Zakonodavac nije predvidio kazne korisnicima za zloupotrebe osobnog identifikacijskog broja (mislim da zakonodavca ne opravdava činjenica da ne vidi mogućnosti zloupotrebe).

Naravno, inzistiranje na ovakvim zahtjevima tražiti će dodatna ulaganja, no vjerujem da će se u 110 milijuna kuna (koliko je predviđeno za provedbu ovog Zakona) naći nešto i za zaštitu privatnosti.

1 komentar:

sani kaže...

Postojanje identifikacijskog broja i kartice vidim samo kao prijelaznu fazu za implantaciju mikrochipva u nasa tijela, zbog lakse kontrole covjeka i covjecanstva od strane elite koja ocito uspjesno provodi plan za novi svjetski poredak.