O čemu vodite računa kada birate Internet provajdera ili operatora telefonije? Da li prilikom kupovine na Internetu razmišljate o tome koje podatke ostavljate? Sledeći put kada budete želeli da koristite usluge neke od ovih kompanija, razmislite da li ste spremni da menjate privatnost za povoljniju cenu ili bolju ponudu paketa.
Po uzoru na organizaciju Electronic Frontier Foundation (EFF), SHARE Defense je sproveo istraživanje pod nazivom “Ko vam čuva leđa?”, kako bismo utvrdili koji pružaoci usluga najbolje štite privatnost korisnika. Ovim istraživanjem smo želeli da ukažemo na postupanje trideset operatora, Internet provajdera i kompanija koje se bave elektronskom trgovinom (e-commerce) kada je reč o standardima zaštite podataka o ličnosti korisnika usluga. Među ispitanim kompanijama su se našli veliki “igrači” na tržištu poput Telenora i SBB-a, ali i oni manji kao recimo EUnet i Radijus Vektor.
Sektor informacionih tehnologija dolazi u posed velikog broja podataka građana, posebno zbog toga što se njihovo poslovanje u velikoj meri zasniva na tim informacijama. Zato je od suštinske važnosti da ti pružaoci usluga posluju u skladu sa pravnim okvirom u ovoj oblasti, tj. u skladu sa Zakonom o zaštiti podataka o ličnosti. Razvili smo sedam kriterijuma koji mogu ukazati koliko kompanije zapravo poštuju zakon i brinu o svojim korisnicima. Ti kriterijumi se, između ostalog, odnose na zahtevanje naloga suda za pristup podacima o ličnosti korisnika, da li obaveštavaju korisnike o obradi njihovih podataka, kao i da li njihova kompanija ima politiku privatnosti.
Nakon što su razvijeni kriterijumi, odabrana je ciljna grupa, a zatim je sprovedena analiza javno dostupnih akata na sajtovima odabranih kompanija, kao što su Opšti uslovi korišćenja, Pretplatnički ugovori, Politike privatnosti i slično. Pronađene odgovore na kriterijume smo upisivali u tabelu, a nakon konačne obrade objavljenih akata, svim kompanijama smo uputili uputnike radi verfikacije pronađenih odgovora, odnosno kako bi nam poslale odgovore koje nismo pronašli ili ukazali na evenutalne propuste u istraživanju. Samo su nam tri kompanije (Telekom, Telenor i Limundo) odgovorile na uputnik, tako da se konačni rezultati istraživanja baziraju na analizi akata koji su dostupni na Internet stranicama kompanija.
Kada govorimo o rezultatima istraživanja, treba reći da kod 10 od 30 kompanija nije pronađen odgovor ni na jedan od naših kriterijuma. Takođe, 18 od 30 ispitanih kompanija ne zahteva nalog suda za pristup podacima korisnika i nema nikakvu proceduru u vezi sa tim, dok polovina kompanija obaveštava korisnike o obradi podataka. Svega 13 kompanija ima interne politike privatnost koje na celovit način regulišu ova pitanja, a kao primer jednostavno dostupne i napisane politike ističe se Politika privatnosti Verat net-a. Samo devet kompanija ima registrovanu bazu u Centralnom registru baza podataka, koji vodi Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti, što znači da 21 kompanija može biti novčano sankcionisana do iznosa od milion dinara.
Neprihvatljivo je da Telekom Srbija, iako posluje u skladu sa ISO standardima iz ove oblasti, nema javno dostupno Obaveštenje o obradi, odnosno “Privacy policy”. Isto važi i za Ikom, Beotel net i Tako lako, kompaniju koja se bavi elektronskom trgovinom. Dodatno, tokom izrade istraživanja smo kontaktirali sve kompanije kako bi nam pružile dodatne odgovore ili razjašnjenja, pa smo tako od Ikoma dobili odgovor da ova tema nije značajna za njih i da ne žele da učestvuju u istraživanju, a Verat net, iako je jedna od kompanija sa dobrom praksom, nas je mailom obavestila da oni nisu dužni da odgovore na naša pitanja. Sve ovo pokazuje da IT sektor u Srbiji još uvek nema “sluha” za zaštitu privatnosti svojih korisnika.
Iako ima primera dobre prakse, uopšteno gledano kompanije ne posluju u skladu sa zakonskim okvirom iz ove oblasti. Postojeći okvir predviđa novčane kazne do milion dinara (čl. 57 Zakona o zaštiti podataka o ličnosti) za kompanije koje ne obaveštavaju korisnika o obradi podataka, odnosno protivno zakonu ustupaju podatke trećim licima ili ih iznose iz zemlje, kao i za druge oblike nepropisnog postupanja. Izgleda da pretnja ovim kaznama nije dovoljan razlog da kompanije ozbiljno shvate zaštitu privatnosti svojih korisnika. Razlog za ovakvo nehajno postupanje leži u činjenici da ni korisnici uglavnom ne vode računa o svojim podacima i olako ih ostavljaju, ne razmišljajući o kasnijim posledicama koje ovakva nepromišljenost može da izazove. S druge strane, jedini nadležni organ u Srbiji koji može da pokreće postupke protiv kompanija je Poverenik. Kako su kapaciteti njegove kancelarije ograničeni, a broj kompanija i njihovih usluga je u konstantnom porastu, posledica je krajnje relaksirana pozicija kompanija koje u ovom trenutku mogu slobodno da koriste naše podatke za različite svrhe, uključujući i kreiranje korisničkih profila.
Smatramo da operatori, pružaoci Internet usluga i kompanije koje se bave elektronskom trgovinom treba više da se potrude da zaštite privatnost svojih korisnika. To više nije samo pitanje poštovanja propisa, već i dobrog imidža – manji operator može da privuče korisnike upravo tako što će im garantovati bolju zaštitu podataka.
Naučni rad „Who has your back“ koji je radio deo tima SHARE Defense-a, možete pročitati ovde:
PROTECTION OF PERSONAL DATA AND THE PRACTICES OF THE IT COMPANIES IN SERBIA