Само 13,46 проценти од државните институции поврзани на Платформата за интероперабилност ги користат податоците од Централниот регистар на население, додека кај приватните компании овој процент е 36,36 отсто. Недостигот на системски контроли за размената на податоци носи ризик за заобиколување на правилата и ја доведува во прашање безбедноста на личните податоци на граѓаните, се вели во ревизорскиот извештај за извршената ревизија на информациски системи, како ревизија на усогласеност на тема: „Усогласеност на процедури за безбедност на податоците од Централниот регистар на население“.
-Со извршената ревизија утврдено е дека само 13,46% од државните институции поврзани на платформата за интероперабилност ги користат податоците од Централниот регистар на население, додека кај приватните компании овој процент е речиси трипати повисок и изнесува 36,36%. Дополнително, отсуството на системски контроли за размената на податоци меѓу институциите укажува на ризик од заобиколување на правилата за користење на единствениот регистар, што ја доведува во прашање безбедноста на личните податоци на граѓаните, велат од ДЗС.
Државниот завод за ревизија извршил ревизија на информациски системи како ревизија на усогласеност на тема „Усогласеност на процедури за безбедност на податоците од Централен регистар на население“ кај Министерството за дигитална трансформација, правен наследник на МИОА за период од 2019 година до 2024 година.
Врз основа на извршената ревизија, преку примена на ревизорски техники и методологија, добиено било разумно уверување дека освен за состојбите кои се однесуваат на капацитетот на човечки ресурси, недефинирани чувствителни работни позиции, отсуство на процедури за активностите поврзани со функционирање на ЦРН, отсуство на процедури за утврдување на исполнување на стандардите за квалитет на податоците, отсуство на дефинирани стандарди за примена на ИТ безбедност, отсуство на системски контроли за размена на податоци меѓу институциите кои би спречиле заобиколување на ЦРН, во сите материјални аспекти се во согласност со релевантната законска и подзаконска регулатива, стратешки документи, договори и воспоставени политики.
-Централниот регистар на население е интегрирана база на лични податоци на населението во Република Македонија и се води во електронска форма во Министерството за дигитална трансформација. Базата се генерира врз основа на автоматско интегрирање на податоците содржани во поединечните бази на податоци што ги водат надлежните органи, како Министерството за внатрешни работи, Министерството за дигитална трансформација -Управа за водење на матични книги и надлежниот орган за водење на адресниот регистар на Република Македонија. Законот за Централниот регистар на население го уредува водењето на поединечните бази на податоци, како и пристапот и обработката на податоците содржани во регистарот од страна на другите субјекти. Овие податоци се однесуваат на личните податоци на граѓаните на Република Македонија, како и на податоците за странски државјани со регулиран престој подолг од една година, појаснуваат од Државниот завод за ревизија.
Во рамки на спроведената ревизија биле опфатени две клучни области и тоа: законската рамка и безбедност на личните податоци кај ЦРН и изворниците на податоци, Министерство за внатрешни работи и Управа за водење на матични книги.
-Секој изворник на податоци е должен извршениот упис, промена или бришење во поединечната база на податоци да го интегрира во ЦРН во реално време, со отстапување од 5 минути од времето на уредно извршениот упис, промена или бришење. Од направените анализи утврдено е дека синхронизацијата на податоците меѓу изворниците со ЦРН е на дневна основа , што остава можност за фреквентни промени на податоци кај изворниците во текот на 24 часа без синхронизација со ЦРН. Ваквата состојба овозможува можни разлики на податоците помеѓу податоците во ЦРН и податоците во изворникот, со што се зголемува ризикот институциите да користат и обработуваат не ажурирани податоци за граѓаните, се вели во соопштението од ДЗР.
Од направените анализи на имплементацијата на законската и подзаконската регулатива која се однесува на Централниот регистар на население утврдено било дека отсуствуваат механизми за потврдување на стандардизиран квалитет на податоците во изворниците на податоци, како и отсуство на Правилник за стандардите и правилата за безбедност на информациските системи што се користат во органите за електронска комуникација.
-Дополнително, постои и неусогласеност во однос на барањата за интеграцијата и синхронизацијата на податоците од изворниците во реално време. Исто така, Регистарот за правните лица кои имаат пристап до ЦРН, не содржи целосни податоци за правните лица. Пристапот до податоците од ЦРН е овозможен единствено преку Платформата за интероперабилност, а институциите и субјектите се должни да обезбедат усогласеност со технолошките стандарди за да пристапат до податоците од ЦРН. Иако органите на државната управа, единиците на локалната самоуправа и другите државни органи основани согласно со Уставот и со закон, кои обезбедуваат услуги за остварување на правата и обврските од интерес и за потребите на населението во Република Македонија се должни да ги користат податоците од Регистарот единствено заради остварување на своите законски утврдени надлежности или заради извршување на дејноста за која се регистрирани и имаат право на пристап до податоците од ЦРН, само 52 институции и 11 приватни компании се поврзани на платформата за интероперабилност што укажува на ограничена примена на системот и недоволна искористеност на неговиот капацитет, се вели во соопштението од ДЗР.
Анализата на правните лица приклучени на Платформата за интероперабилност покажала дека државните институции во значително помал процент ги користат податоците од ЦРН, само 13,46 отсто, во споредба со приватните компании, кај кои овој процент изнесува 36,36 отсто.
Извршена била анализа на доставените извештаи за преземени податоци од ЦРН, при што утврдено било дека од воспоставувањето на регистарот вкупно се реализирани 19.769.806 повици, од кои 44.261 биле неуспешни. Процентот на успешност на повиците изнесува високи 99,78 отсто што укажува на стабилна техничка функционалност на системот.
-Објавениот регистар на надлежни органи и други субјекти што користат податоци од ЦРН на веб страната на Министерството за дигитална трансформација, содржи нецелосна евиденција на податоците за овие правни субјекти, но и до кои податоци граѓаните имаат дозвола за пристап. Овие состојби не се усогласени со законски утврдените надлежности на институциите, што може да ја наруши заштитата на личните податоци и да ја намали довербата во институциите. Во делот на безбедност на личните податоци во ЦРН и изворниците на податоци утврдено е дека отсуствуваат системски контроли за размена на податоци меѓу институциите кои би спречиле заобиколување на ЦРН. Воедно отсуствуваат пишани процедури за доделување на пристап на правните субјекти кои ги користат податоците, како и контролни механизми за потврдување на минималните стандарди за административна безбедност на системите кај изворниците на податоците, велат од ДЗР.
Со ревизијата е утврдено дека постои недоволен број на вработени кои се ангажирани за извршување на активности за реализација на должностите во повеќе сектори и одделенија, како и отсуство на раководители во клучни организациски единици. Дополнително, не биле дефинирани чувствителни работни позиции во актот за систематизација на работните места во министерството за дигитална трансформација, а отсуствуваат и процедури за активностите поврзани со функционирање на ЦРН од страна на надлежното министерство.
За надминување на констатираните состојби ДЗР дал препораки со цел преземање на мерки и активности за подобрување на состојбите со зајакнување на човечките капацитети, воведување пишани процедури и прирачници, системски контроли за безбедност и размена на податоци, како и автоматизиран надзор на несовпаѓања во базите на лични податоци.
