Vesti
Pristup bez transparentnosti – praksa zadržavanja podataka u 2018.
U odnosu na prethodne godine, nemamo više jasnu informaciju o direktnim pristupima zadržanim podacima o komunikacijama građana Srbije koje ostvaruju policija i službe bezbednosti. Informacije kojima smo raspologali ukazivale su da je bazama zadržanih podataka, koje skladište operatori telefonije i interneta, direktno pristupano više stotina hiljada puta.
Pojam “zadržani podaci” u oblasti elektronskih komunikacija odnosi se na metapodatke, tj. podatke o komunikaciji: automatski generisane informacije o tome s kim smo razgovarali, gde, koliko dugo i uz pomoć kojih uređaja, uključujući i uređaje koji posreduju u komunikaciji (ruteri, serveri provajdera, bazne stanice/antene i slično). Sadržaj razgovora se ne nalazi u metapodacima.
Šta sve čini zadržane podatke definisano je Zakonom o elektronskim komunikacijama, kojim je utvrđena i obaveza operatora (provajdera telefonskih i internet usluga) da čuva zadržane podatke 12 meseci od dana obavljene komunikacije svih svojih korisnika. Zakonom je takođe definisano ko i pod kojim uslovima sme da pristupa ovim podacima, te na koji način se takav pristup dokumentuje i prati. Ovim ograničenjima štite se prava i slobode građana, a ugrađena su u Ustav i zakone Srbije.
Pristup zadržanim podacima nadležne službe, isključivo na osnovu odluke suda, mogu ostvariti direktno, preko povezanih uređaja opremljenih odgovarajućim softverom, ili na osnovu pisanih zahteva dostavljenih provajderu. U prvom slučaju, provajderi evidentiraju pristupe svojim bazama kroz serverske logove, dok se pisani zahtevi ručno evidentiraju.
Mada je Evropski sud pravde pre tri godine proglasio opšte, neselektivno zadržavanje podataka o komunikaciji neopravdanom i vrlo invazivnom merom, nespojivom sa demokratskim društvom, mnoge države Evropske unije i dalje primenjuju ovu praksu.
Nezavisna kontrolna tela, poput nacionalnih poverenika za informacije, kao i stručne i aktivističke organizacije predstavljaju značajan oslonac građanima da se njihova prava neće narušavati, odnosno da će dobiti adekvatnu zaštitu u slučaju da je do narušavanja došlo.
SHARE Fondacija je pre četiri godine počela da se bavi praksom pristupa zadržanim podacima u Srbiji, posebno iz perspektive zaštite ustavnih prava građana i poštovanja zakonskih obaveza operatora i službi kojima je pristup omogućen pod određenim uslovima.
Prva analiza ticala se nadzora koji je Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti sproveo nad provajderima usluga mobilne i fiksne telefonije tokom 2012. godine. Sledeći put, bavili smo se evidencijama koje su provajderi dostavili Povereniku u periodu od 2014. do 2016, dok smo prošle godine analizirali evidencije za 2017.
Zahvaljujući zakonskoj obavezi operatora da dokumentuju sve pristupe zadržanim podacima svojih korisnika, a godišnje izveštaje o tome redovno dostavljaju Povereniku, zainteresovana javnost je u prilici da stekne uvid u razmere ovog segmenta elektronskog nadzora građana.
Tačnije, javnost bi bila u takvoj prilici u slučaju da operatori telefonskih i internet usluga u Srbiji poštuju zakon. Evidencije pristupa zadržanim podacima koje operatori dostavljaju Povereniku sadrže sve manje obaveznih informacija, a ovakvim običajima priklonio se na kraju i Telenor, koji je godinama dostavljao najdetaljnije izveštaje.
U skladu sa zakonskom procedurom, SHARE Fondacija je od Poverenika zatražila evidencije operatora za 2018. godinu. Analiza njihovog sadržaja ukazuje da stepen transparentnosti rada provajdera u Srbiji iz godine u godinu opada.
Trogodišnji rast broja zahteva za pristup nakratko je prekinut 2017. ali je u prethodnoj godini opet došlo do blagog porasta. Polovina ukupno evidentiranih zahteva kod tri najveća operatora upućena je kompaniji Telekom Srbija koja je u većinskom državnom vlasništvu.
Nijedan provajder u svoje izveštaje Povereniku nije uključio evidenciju direktnih pristupa bazama zadržanih podataka. Do prethodne godine, Telenor je jedini evidentirao ovu vrstu pristupa, ali je u izveštaju za 2018. naveden samo broj pisanih zahteva.
Svi operatori u svojim izveštajima navode da su ispunili samo zahteve za pristup podacima koji nisu stariji od 12 meseci, ali ove tvrdnje više nije moguće proveriti – ranije su operatori evidentirali period kada su zadržani podaci i vreme kada im je zatražen pristup.
Telenor
Prema dostavljenoj evidenciji, pisani zahtevi podneti Telenoru tokom prethodne godine su malobrojni. Telenor u svom izveštaju navodi da je primio 390 zahteva za pristup zadržanim podacima, od čega je pozitivno odgovorio na 330. Ova kompanija i dalje evidentira pravni osnov primljenih zahteva za pristup: 242 zahteva je podneto po osnovu člana 286 Zakonika o krivičnom postupku koji uređuje ovlašćenja policije, što znači da ako postoje osnovi sumnje da je izvršeno krivično delo za koje se goni po službenoj dužnosti, policija je dužna da preduzme potrebne mere da se pronađe učinilac krivičnog dela, da se učinilac ili saučesnik ne sakrije ili ne pobegne, da se otkriju i obezbede tragovi krivičnog dela i predmeti koji mogu poslužiti kao dokaz, kao i da prikupi sva obaveštenja koja bi mogla biti od koristi za uspešno vođenje krivičnog postupka.
U izveštaju Telenora se precizira da je po primljenim zahtevima ukupno izvršeno 9.345 pretraga baznih stanica kao i 181 pretraga IP adresa.
Telenor je prestao da dostavlja Povereniku podatke o samostalnim pristupima državnih organa zadržanim podacima, kojih je tokom 2017. godine bilo 381.758. Takođe, ovog puta su izostavljene informacije o organima koji su tražili pristup zadržanim podacima.
Vip
Vip navodi da je u 2018. godini imao 222 zahteva, a na sve zahteve odgovoreno je pozitivno. Poređenja radi, u 2017. godini Vip je odbio oko 30% zahteva nadležnih organa. Ovaj operator u svom izveštaju beleži podatke o tome ko je podnosilac zahteva, te je tako tokom 2018. godine najviše zahteva uputila Uprava kriminalističke policije Ministarstva unutrašnjih poslova, skoro 85% zahteva, dok su ostale zahteve za pristup uputili različiti osnovni i viši sudovi kao i osnovna tužilaštva.
Vip je prestao da evidentira podatke o pravnom osnovu zahteva za pristup zadržanim podacima.
Telekom Srbija
Najveći operator usluga mobilne telefonije, Telekom Srbija, dostavio je Povereniku izveštaj koji ne pruža širi kontekst i detalje, već samo podatke o ukupnom i ispunjenom broju primljenih zahteva, te broju zahteva koji se odnose na podatke starije od 12 meseci. Prema izveštaju za prethodnu godinu, ova kompanija je primila 615 zahteva dok je 501 zahtev ispunjen, uz napomenu da nije ispunjen nijedan zahtev koji se odnosi na podatke starije od godinu dana.
Statistike internet operatora
Operatori koji pružaju usluge interneta takođe su u obavezi da dostavljaju odgovarajuće izveštaje Povereniku, pa se iz tih evidencija može videti da se ukupan broj zahteva upućenih internet operatorima povećao za oko 20% u odnosu na prethodnu godinu: tokom 2018. godine upućeno je ukupno 204 zahteva za pristup zadržanim podacima, od čega je pozitivno odgovoreno na njih 149. Samo kompanija SBB primila je 140 zahteva, što je skoro duplo više nego 2017. godine.
Osim provajdera usluga, obavezu da Povereniku šalju godišnje izveštaje o pristupu zadržanim podacima imaju i oni koji takve zahteve upućuju.
MUP i VBA
Iz izveštaja koji je policija dostavila Povereniku vidljivo je smanjenje poslatih zahteva za skoro 12.000 u odnosu na prethodnu godinu: MUP je tokom 2018. godine poslao ukupno 115.713 zahteva za pristup, od čega je ispunjeno 115.698.
S obzirom na značajnu razliku u broju zahteva koje je evidentirao MUP i onih koje su prijavili operatori, otvoreno je pitanje tačnosti evidencija operatora, kao i zakonitosti načina na koji MUP pristupa zadržanim podacima.
Ukupan broj zahteva za pristup koje je 2018. godine uputila Vojno-bezbednosna agencija (VBA) iznosi 4.654, što je za nekih 30% više nego prethodne godine. Zanimljivo je primetiti i da je na sve zahteve VBA odgovoreno pozitivno.
Posebno značajan podatak iz izveštaja VBA govori da su svi pristupi ove agencije upućeni VIP-u, Telenoru i Telekomu, ostvareni putem pristupnih aplikacija operatora. To je indirektna potvrda da sva tri operatora imaju aplikacije za podnošenje zahteva ali da ne vode, ili ne dostavljaju evidenciju o tome. Operatori, naime, u svojim izveštajima navode da su ukupno primili 1227 zahteva, dok izveštaj VBA sadrži skoro četiri puta veći broj. Takođe, sporno je pitanje sudske odluke, odnosno pravnog osnova za pristupanje zadržanim podacima.
BIA
Bezbednosno-informativna agencija vodi evidenciju o zahtevima koji su upućeni sudovima i višim javnim tužilaštvima. Prema izveštaju za prethodnu godinu na osnovu Zakona o BIA Višem sudu u Beogradu upućeno je 29 zahteva, od kojih je ispunjeno 26, dok je na osnovu Zakonika o krivičnom postupku višim javnim tužilaštvima upućeno 1.086 zahteva, od kojih je ispunjeno 1.071. U odnosu na 2017, broj zahteva koje je podnela BIA smanjen je za oko 30%.
Šta nas čeka?
U uslovima smanjenja transparentnosti pristupa zadržanim podacima, promenjenih praksi operatora i najave uvođenja još jednog sloja prikupljanja podataka kroz registrovanje pripejd SIM kartica, smatramo da je od izuzetnog značaja da se preispitaju legalnost i proporcionalnost direktnih pristupa bazama zadržanih podataka. Ono što takođe ne znamo jeste da li se direktni pristupi ostvaruju uz priložene odluke suda.
Dodatno, izmenama Zakona o elektronskoj trgovini, propisa koji uređuje pružanje usluga informacionog društva i komercijalne aspekte onlajn okruženja, uvedena je obaveza da pružalac usluga informacionog društva koji prenosi elektronske poruke korisnika čuva podatke o korisniku, a naročito podatke o IP adresi sa koje korisnik pristupa uslugama. Ova obaveza, propisana članom 16, stav 3 Zakona, važi tokom pružanja usluge informacionog društva i minimum 30 dana nakon prestanka pružanja usluge korisniku. Može se reći da je na ovaj način uvedena obaveza zadržavanja podataka ne samo na nivou tehničke infrastrukture, odnosno telekom operatora, već i na nivou pružalaca sadržaja. Iako pristup nadležnih organa ovim podacima nije eksplicitno propisan zakonom, možemo da pretpostavimo da će se podacima korisnika usluga informacionog društva pristupati na sličan način kao što je to slučaj sa operatorima.