Monitoring digitalnih prava i sloboda u Srbiji za 2018: godina povreda privatnosti

07-11-2018

Kako se kraj godine približava, vreme je da se uvide trendovi i prikažu najznačajniji nalazi monitoringa digitalnih prava i sloboda SHARE Fondacije tokom 2018. godine. Bilo je zanimljivo pratiti nove oblike povreda prava u digitalnom okruženju, posebno one povezane sa informacionom privatnošću i zaštitom ličnih podataka, koje su se dešavale tokom cele godine. Prethodno može da se poveže sa nedostatkom efektivne primene Zakona o zaštiti podataka o ličnosti i  izvršenju kazni, kao i “igre čekanja” sa novim zakonom po uzoru na Opštu uredbu o zaštiti podataka Evropske Unije (GDPR).

U prvom periodu monitoringa, od januara do marta, tehnički napadi bili su najupečatljivije forme povrede digitalnih prava i sloboda, posle dužeg perioda povremenih pojavljivanja. Najupadljiviji slučaj tehničkog napada bio je onesposobljavanje zvanične Fejsbuk stranice Nezavisnog udruženja novinara Srbije (NUNS), uklanjanje administratorskih naloga koji upravljaju stranicom i objavljivanje neprikladnog sadržaja. SHARE CERT, tim za hitne intervencije u slučajevima sajber incidenata SHARE Fondacije za onlajn i građanske medije, kontaktirao je predstavnike Fejsbuka kako bi našli rešenje za ovu situaciju, ali administracija nad NUNS-ovom stranicom nije povraćena. Kao rezultat, Fejsbuk stranica NUNS-a je isključena, pa je NUNS napravio novu. Sličan slučaj dogodio se organizaciji civilnog društva “Da se zna”, čiji su Tviter i Instagram nalozi hakovani početkom aprila. Ove pretnje su u nastajanju u smislu da su u ranijim slučajevima mete bile vebsajtovi organizacija civilnog društva i nezavisnih medija, čiji napadači su uglavnom vršili DDoS, odnosno “preplavljivanje” servera zahtevima kako bi sajt bio nedostupan.

Tokom drugog perioda monitoringa digitalnih prava i sloboda, od aprila do juna, najrelevantniji slučajevi za našu analizu bili su u vezi sa zloupotrebom ličnih podataka građana u Srbiji. Ovo je takođe bio prvi monitoring izveštaj urađen u skladu sa novom metodologijom koju je razvila SHARE Fondacija, kao odgovor na promenjenu prirodu povreda digitalnih prava i sloboda. Nova verzija monitoring metodologije proširila je kategorije povreda prava koje su počele sve češće da se dešavaju, kao što su zabranjena obrada ličnih podataka građana ili plaćena promocija problematičnog sadržaja na društvenim mrežama.

Najveći upad u lične podatke tokom 2018. godine bio je prikupljanje podataka preko mobilne aplikacije “Izabrani doktor”, koju je krajem maja predstavilo Ministarstvo zdravlja. Aplikacija je omogućila građanima da zakazuju preglede kod izabranih lekara, ali je imala veoma upitnu politiku prikupljanja i obrade podataka o ličnosti korisnika. Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti upozorio je građane da ovu aplikaciju pažljivo koriste, jer postoji opasnost prikupljanja posebno osetljivih podataka o njihovom zdravstvenom stanju bez njihove saglasnosti i zbog nekoliko drugih problema. Dalja obrada podataka od strane kompanije koja je napravila aplikaciju je takođe zabranjena, što govori o ozbiljnosti ovog incidenta. Poverenik je dostavio informaciju o aplikaciji Višem javnom tužilaštvu i predložio da javni tužilac istraži moguću krivičnu odgovornost za neovlašćeno prikupljanje ličnih podataka.

Sledeći problem koji smo pronašli u vezi sa postupanjem ličnim podacima građana, posebno specifično osetljivim podacima kao što su informacije o društvenom i materijalnom statusu, jeste taj da državni organi vrlo često ne štite podatke građana u saglasnosti sa Zakonom o zaštiti podataka o ličnosti, što uzrokuje da ovi podaci postanu čak i javno dostupni.

Takav je bio slučaj više Centara za socijalni rad u nekoliko gradova u Srbiji, koji su podatke građana o socijalnoj zaštiti, žrtvama nasilja, nacionalnoj pripadnosti, polu, jeziku, zdravstvenoj zaštiti i socijalnoj pomoći bez ikakvog pravnog osnova učinili dostupnim preduzetniku, koji je angažovan da napravi uputstvo za upotrebu softvera centara. Ovom preduzetniku poverene su veoma osetljive lične informacije, koje su bile postavljene na njegovom sajtu bez ikakve adekvatne zaštite, što znači javno dostupne. Izbegavanje odgovornosti za ovu vrstu nemarnog ponašanja državnih institucija je gotovo pravilo kada je reč o povredi prava građana na privatnost i zaštitu podataka o ličnosti. U drugom sličnom slučaju, Poverenik je morao da podnese krivičnu prijavu protiv NN službenog lica u Opštini Požega, koje je neovlašćeno prikupljalo lične podatke. Fejsbuk stranica “Glas Požega” objavila je podatke građana o društvenom i materijalnom statusu i finansijskoj pomoći, koje je opština prethodno dobavila od nadležnih organa.

Drugu polovinu godine obeležile su drugačije vrste izazova za privatnost i, shodno tome, slobodu izražavanja: pokušaji deanonimizacije korisnika Tvitera, koji je popularna društvena mreža za izražavanje političkih i društvenih pogleda u Srbiji. Anonimnost je ključ za potpuno uživanje slobode izražavanja i informisanja, posebno u društvu kao što je Srbija, sa neprijateljskom klimom prema kritičarima politike vlasti i postupaka državnih zvaničnika. Na Tviteru je postavljena fotografija anonimnog korisnika poznatog po kritici vlasti, identična biometrijskoj fotografiji registrovanoj u Ministarstvu unutrašnjih poslova na ličnoj karti. Fotografija je objavljena uglavnom na anonimnim nalozima, čiji tvitovi uglavnom podržavaju vladajuću koaliciju. U vezi sa ovim slučajem, Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti pokrenuo je postupak nadzora u Ministarstvu unutrašnjih poslova. Takođe,  posebno zabrinjavajući slučaj bila je javna potražnja podataka o Tviter korisniku pod pseudonimom “Baz Kilington”, za šta je bila ponuđena nagrada na Instagramu u objavi kontroverzne organizacije za zaštitu životinja “Levijatan”, u kojoj se navodi da je korisnik “trovač i provokator”. Ovaj problem može prouzrokovati “efekat smrzavanja” među korisnicima društvenih mreža i obeshrabriti ih da javno govore.

Privatni akteri takođe su pokazali manjak poštovanja za zaštitu ličnih podataka – podaci više od 2000 građana koji su se prijavili za TV kviz bili su javno dostpuni na vebsajtu kompanije koja je organizovala kviz. Imena i prezimena, jedinstveni matični brojevi, adrese, brojevi telefona, mejlovi i zanimanja bile su samo neke od informacija o približno 2300 građana koje su bile javno dostupne, kao i još nekoliko hiljada građana čija su imena i prezimena objavljena, što je uzrokovalo da Poverenik reaguje i zahteva odgovornost.

Kao što možemo videti, ovo je bila godina ozbiljnih izazova za zaštitu ličnih podataka i privatnost građana u Srbiji, što može da se poveže sa dugotrajnim procesom usvajanja novog Zakona o zaštiti podataka o ličnosti i veoma malim šansama za izvršenje krivičnih i prekršajnih sankcija. Novi Zakon o zaštiti podataka o ličnosti, koji se bazira na GDPR-u, predviđa nova prava građana i dodatne obaveze za sve one koji prikupljaju i obrađuju podatke. Međutim, sporna je implementacija novog zakona, posebno jer sadrži odredbe o ograničavanju prava građana, koje će verovatno biti proglašene neustavnim.

Monitoring baza SHARE Fondacije: Povrede digitalnih prava i sloboda