Skandal u NCVVO-u: Je li došlo do kompromitacije osobnih podataka stotina tisuća građana?

Nacionalni centar za vanjsko vrednovanje obrazovanja (NCVVO) prema navodima anonimnih djelatnika Centra koji se potpisuju kao “Očajni djelatnici Centra” potresa skandal. Naime, djelatnici tvrde da je nedavno došlo do kibernetičkog napada na Nacionalni centar za vanjsko vrednovanje obrazovanja (NCVVO) koji je doveo do kompromitacije osobnih i ispitnih podataka stotina tisuća građana. U e-mailu koji je stigao i na našu adresu detaljno su opisane ključne povrede zakona, propusti odgovornih osoba, institucionalna šutnja i pokušaji zataškavanja, kao i potencijalne pravne i međunarodne posljedice.

Zbog potencijalne ozbiljnosti ovog skandala u jednom od najvažnijih tijela u hrvatskom obrazovnom sustavu navedeni e-mail prenosimo u cijelosti.

“Više od tjedan dana prošlo je od ozbiljnog sigurnosnog incidenta u NCVVO-u, a javnost o njemu nije obaviještena. Građani čiji su osobni podaci prikupljani, obrađivani i čuvani od strane NCVVO-a tijekom proteklih 15 godina, a koji su sada kompromitirani, nisu dobili nikakvu informaciju o incidentu, nitko ih nije kontaktirao, niti im je pružena mogućnost da poduzmu mjere za zaštitu svojih prava.

Nitko nije reagirao

Niti jedan medij nije zaprimio službeno priopćenje NCVVO-a ili Ministarstva znanosti, obrazovanja i mladih, iako se radi o povredi osobnih podataka više stotina tisuća građana.

AZOP – tijelo zaduženo za nadzor nad zaštitom osobnih podataka – do trenutka slanja ovog dopisa nije izdalo nikakvu javnu informaciju o incidentu, iako je prema članku 33. Opće uredbe o zaštiti podataka (GDPR) bio zakonski obvezan biti obaviješten najkasnije u roku od 72 sata od saznanja za povredu.

Još je ozbiljnije što, prema članku 34. iste Uredbe, u slučaju kada postoji visok rizik po prava i slobode pojedinaca – a kompromitacija podataka učenika, većinom maloljetnika, to svakako jest – tijelo obrade dužno je izravno obavijestiti svakog pojedinca o povredi. Ni to se nije dogodilo. Skandalozna je šutnja – šute ravnatelj NCVVO-a, Upravno vijeće NCVVO-a i ministar obrazovanja, dok građani ne znaju da su im podaci potencijalno preuzeti, distribuirani ili iskorišteni.

>Ministarstvo obrazovanja objavilo koliko će nastavnicima rasti plaće

“Centar vode osobe koje ne posjeduju stručne kvalifikacije”

Centar koji upravlja sustavom državne mature danas vode osobe koje ne posjeduju stručne kvalifikacije ni profesionalne kompetencije potrebne za vođenje tako osjetljivog i kompleksnog tijela.

Ravnatelj NCVVO-a Vinko Filipović nikada nije uspostavio formalni protokol zaštite podataka, niti je imenovao odgovornu osobu za informacijsku sigurnost, iako je Centar više od šest mjeseci bio bez sistemskog informatičkog inženjera. Iako pravomoćno osuđen za mobbing, zaposlen je na poziciji v. d. ravnatelja bez ispunjavanja propisanih uvjeta iz natječaja, koji su uključivali aktivno poznavanje stranog jezika, komunikacijske i organizacijske sposobnosti, strateško planiranje, poznavanje europskih obrazovnih politika i vrednovanja u obrazovanju – kriterije koje Filipović ne zadovoljava, što je jasno pokazao ne samo kroz ozbiljne propuste u ovom incidentu, već i u svojim javnim nastupima i izjavama.

Posebno zabrinjava činjenica da se na sastancima s međunarodnim partnerima, uključujući Svjetsku banku, sustavno koristio prevoditelja za simultano prevođenje, iako je aktivno znanje stranog jezika bio uvjet za tu funkciju.

Pomoćnica ravnatelja Tihana Šimunić, odgovorna za organizaciju i analizu provedbe ispita, nije reagirala na sigurnosni kolaps iako je bila dužna nadzirati regularnost ispitnih procedura. Osim što je imenovana bez prethodnog iskustva u ispitnim sustavima, na poziciju je došla izravnom intervencijom Ministarstva znanosti i obrazovanja, koje ju je preuzelo iz Agencije za odgoj i obrazovanje. Time je zaobiđen svaki transparentan postupak, a dodatnu težinu njezinoj odgovornosti daje činjenica da je već obnašala funkciju pomoćnice ravnatelja u jednoj od najvažnijih obrazovnih institucija.

Politički utjecaj i pogodovanje

Takva praksa jasno ukazuje na politički utjecaj i pogodovanje, a otvara i pitanje kako je moguće da ista osoba ima dvije visoke funkcije, uključujući i onu pomoćnice ravnatelja NCVVO-a. Umjesto odgovornog vođenja, Šimunić je svojim zapanjujućim neznanjem i potpunim nerazumijevanjem sigurnosnih rizika doprinijela urušavanju sustava. Nije riječ o šutnji, već o aktivnom zataškavanju problema, što je dodatno kompromitiralo povjerenje u sustav i ukazalo na duboku institucionalnu neodgovornost.

Unatoč svemu tome, Filipović je dao suglasnost za pristup sustavu iz inozemstva, što je u konačnici omogućilo kompromitaciju. Ira Tretinjak, voditeljica sektora za nacionalno i međunarodno vrednovanje, upravo je ona osoba koja je iz inozemstva zatražila pristup sustavu bez ikakve sigurnosne zaštite, bez autorizacije i mimo protokola.

Kao dugogodišnja zaposlenica NCVVO-a koja je obnašala niz voditeljskih funkcija, trebala je biti potpuno svjesna zakonskih ograničenja i tehničkih protokola koje je takav zahtjev kršio.

Time je pokazala ne samo neodgovornost, već i moguće namjerno zaobilaženje propisa u korist vlastitog interesa, što dodatno pojačava sumnju u zlouporabu položaja i ovlasti. Time je, svjesno i s pozicije dugogodišnje zaposlenice NCVVO-a koja je u više navrata obnašala voditeljske funkcije, postupila u suprotnosti s temeljnim načelima zakonite obrade podataka i tehničke sigurnosti sustava. Kao osoba s takvim iskustvom, Tretinjak je nedvojbeno znala da takav čin predstavlja ozbiljno kršenje zakona.

Moguće kazneno djelo zlouporabe položaja i ovlasti

Riječ je ne samo o institucionalnom propustu, već i o mogućem kaznenom djelu zlouporabe položaja i ovlasti, jer je iskoristila svoju funkciju kako bi zaobišla interne sigurnosne mjere i omogućila pristup zaštićenim informacijama. Već otprije poznata medijima, Tretinjak je bila predmet ozbiljnih optužbi 2021. godine jer je neovlaštenim ulaskom u bazu podataka dijelila osobne podatke bez dozvole, čime je prekršila Kazneni zakon RH (čl. 146. – Neovlaštena uporaba osobnih podataka) i Zakon o zaštiti osobnih podataka.

>Sindikati zadovoljni odazivom, Fuchs ponovio da štrajk nije opravdan

Time je ne samo ugrozila pristupnike, već i samu medijsku zajednicu, dovodeći novinare u poziciju nenamjernog sudjelovanja u nezakonitoj distribuciji zaštićenih informacija. Posebno je problematično što su, prema dostupnim informacijama, i dokumenti koji se odnose na prigovore učenika – premda navodno anonimizirani – dostavljeni pojedinim novinarima.

Iako se tvrdi da nije moguće utvrditi identitet učenika, sadržaj takvih prigovora često sadrži osobne izraze, okolnosti i podatke iz kojih se, osobito u manjim sredinama, učenika može neizravno identificirati. T

akvo postupanje ozbiljno dovodi u pitanje zakonitost i etičnost upravljanja povjerljivim podacima unutar NCVVO-a. Zašto ju je Upravno vijeće NCVVO-a tada zaštitilo od otkaza, unatoč ozbiljnom kaznenom prijestupu i izravnom kršenju zakona, ostaje nepoznato – i otvara dodatna pitanja o političkom pokroviteljstvu, pogodovanju i nedostatku institucionalnog integriteta.

IT struke u centru više nema

Renato Podbojec, voditelj sektora za opće, pravne i računovodstvene poslove, pravnik po struci i bivši ravnatelj Doma zdravlja Varaždinske županije, član stranke Reformista i bivši zaposlenik Hrvatske vatrogasne zajednice, što dodatno otvara pitanje njegove stručne i profesionalne povezanosti sa zadacima informacijskog upravljanja i sigurnosti u jednom od najosjetljivijih javnih sustava.

Kao pravnik, bio je dodatno svjestan zakonskih obveza vezanih uz zaštitu osobnih podataka, postupanje u skladu s propisima Opće uredbe o zaštiti podataka (GDPR), kao i obveze savjesnog upravljanja povjerljivim informacijama. Upravo zato, njegov je propust da spriječi kompromitaciju podataka, ali i njegova aktivna uloga u izdavanju naloga za ukidanje sigurnosnih zaštita, izrazito zabrinjavajući.

>Učenici pulske škole ni danas nisu došli na nastavu; roditelji imaju četiri uvjeta

Odgovornost osobe koja upravlja pravnim poslovima NCVVO-a u ovom je slučaju višestruka – jer nije samo sudjelovao u postupku koji je omogućio sigurnosni proboj, već je time narušio i vlastiti profesionalni integritet i obezvrijedio temelje pravne zaštite podataka u sustavu obrazovanja.

Usprkos tome, od trenutka kada je Ivan Slivar, struč. spec. ing. info. techn., napustio Centar zbog ponižavajućeg odnosa ravnatelja, Podbojec je primao dodatak na plaću za informatičke poslove, iako ne posjeduje odgovarajuće kvalifikacije i nije poduzeo potrebne mjere za uspostavu stručnog IT nadzora unutar Centra. Upravo on je potpisao nalog za ukidanje zaštitnog sloja na poslužitelju, čime je otvoren put prema kompromitaciji sustava. Ništa od toga nije učinjeno u suradnji s IT stručnjakom – jer IT struke u Centru više nema.

Ovo nije samo nacionalni, već i međunarodni skandal

Ovo nije samo nacionalni, već i međunarodni skandal. Hrvatska još nije članica OECD-a, ali se nalazi u postupku pridruživanja, a jedan od ključnih elemenata procjene jest razina povjerenja u obrazovni sustav i institucionalnu vjerodostojnost.

U tom je kontekstu posebno značajno nedavno priopćenje Ministarstva znanosti, obrazovanja i mladih, u kojem stoji da je OECD potvrdio usklađenost hrvatskih politika u području obrazovanja i vještina s politikama zemalja članica OECD-a te su prepoznata nastojanja Republike Hrvatske za jačanje obrazovanja i vještina te održavanje koraka s europskim i svjetskim dobrim praksama, a s ciljem dodatnoga međunarodnog umrežavanja i jačanja nacionalnoga obrazovnog sustava.

Upravo zato, ovakva povreda sigurnosti podataka i institucionalna šutnja koja ju prati ne predstavljaju samo nacionalni propust, već i ozbiljan udarac na međunarodnu reputaciju i povjerenje koje Hrvatska nastoji graditi u ovom procesu.. Kompromitacija osobnih podataka učenika, rezultata nacionalnih ispita i baza međunarodnih istraživanja, uključujući PISA, TIMSS i PIRLS, može ozbiljno ugroziti proces pristupanja, ali još više – učiniti Hrvatsku nepouzdanim partnerom u međunarodnim znanstvenim, obrazovnim i istraživačkim mrežama.

Javnost bez odgovora

Usprkos ozbiljnosti incidenta, nitko od odgovornih nije preuzeo odgovornost, Centar ne funkcionira više od tjedan dana, a javnost je ostala bez odgovora – tko će snositi posljedice, tko će platiti oporavak sustava, i što će biti s podacima građana? Posebno zabrinjava šutnja ministra znanosti, obrazovanja i mladih prof. dr. sc. Radovana Fuchsa, koji kao čelna osoba resora snosi političku i institucionalnu odgovornost za sigurnost obrazovnog sustava i rad ustanova u njegovu sastavu, uključujući NCVVO.

Njegovo nepostupanje i izostanak javne reakcije dodatno produbljuju krizu povjerenja i ostavljaju dojam institucionalnog zataškavanja. Sve to upućuje na ozbiljno kršenje više zakona, uključujući GDPR, Zakon o zaštiti osobnih podataka, Kazneni zakon (čl. 146.), Zakon o obveznim odnosima i Zakon o pravu na pristup informacijama.

Građani – posebno roditelji i učenici – imaju pravo zatražiti zaštitu i odštetu zbog pretrpljene materijalne i nematerijalne štete. Svako daljnje nepostupanje institucija može se smatrati suodgovornošću u zataškavanju ovog sigurnosnog sloma.

Ovo je trenutak za odlučno djelovanje. Stoga je odgovornost da se ovaj incident ispita ne samo moralna, već i zakonska.

>Posljedice Istanbulske konvencije: U upitniku u hrvatskim školama traže se nebinarni učenici

Ako se to ne učini, sve institucije koje su primile ovaj dopis – uključujući nadležna tijela, političke stranke, javne osobe i medije – postaju dijelom šutnje koja štiti sustavsku nesavjesnost i potiče nekažnjivost u upravljanju podacima građana Republike Hrvatske.

Budući da smo vam pisali u nekoliko navrata o drugim kažnjivim radnjama Vinka Filipovića, Tihane Šimunić i Ire Tretinjak, i uvijek je sve bilo zataškano, pitamo se – hoćete li i ovo zataškati?, za koga?, tko ih štiti i zašto?”

Očajni djelatnici Centra

Upiti ministarstvu i NCVVO-u

S ciljem rasvjetljavanja ovog slučaja poslali smo upite resornom ministarstvu i NCVVO-u. Njihove odgovore objavit ćemo po primitku.

Izvor: narod.hr