S obzirom da Ministarstvo spoljne, unutrašnje trgovine i telekomunikacija planira da održi javne konsultacije u periodu od 10. juna do 1. jula 2013, u cilju pribavljanja mišljenja stručne i šire javnosti o Predlogu pravilnika o zahtevima za uređaje programsku podršku za zakonito presretanje elektronskih komunikacija i zadržavanje podataka o elektronskim komunikacijama (Pravilnik), kojim se ima detaljnije urediti sistem elektronskog nadzora u Republici Srbiji, SHARE Defense je uradio preliminarnu analizu predloženog pravilnika i utvrdio da ovaj predlog, iako u odnosu na prethodnu verziju predstavlja poboljšanje, ipak još uvek poseduje dosta odredbi koje možemo smatrati spornim a koje ugrožavaju prava građana.
Prilikom pripreme analize, pored teksta Pravilnika, imali smo u vidu i mišljenje Poverenika od 3. juna 2013. a osvrnuli smo se i na novodonesenu odluku Ustavnog suda od 13. juna 2013.
SHARE Defense je deo SHARE Fondacije (http://www.shareconference.net), organizacije posvećene odbrani prava i sloboda Internet građana, promociji vrednosti otvorenosti, decentralizacije, otvorenog pristupa i slobodnoj razmeni znanja, informacija i tehnologije.
PRAVILNIK O PRESRETANJU
Nova verzija Pravilnika iako suštinski predstavlja napredak u odnosu na nacrt od 2011. godine još uvek poseduje određene nejasnoće koje bi trebalo uzeti u razmatranje i nedostatke koje bi trebalo otkloniti. Pre nego što se osvrnemo na konkretne članove samog pravilnika, skrenuli bismo pažnju na dve generalne napomene. Prvo, da materija ovog pravlinika treba prvenstveno da se fokusira na tehničke zahteve o presretanju i zadržavanju komunikacije, i da to treba jasno razdvojiti od statusnih i proceduralnih stvari koje bi trebalo da su u domenu zakonskog regulisanja (poput uvođenja koncepta „monitoring centra“), te stoga ove dve stvari ne treba mešati. Drugo, imajući u vidu da se o ovom pitanju već dugo primenjuju ustaljeni standardi, kao što su ETSI standradi, pitanje uređenja tehničkih uslova je time umnogome olakšano, te smatramo da bi se njih i trebalo držati u pogledu prethodno pomenutih problema. Time bi se izbegle nepotrebne nejasnoće i pružio zadovoljavajući nivo garancije koji je već uveliko prihvaćen od strane drugih zemalja.
Što se tiče samog pravilnika, pre svega, suštinski je sporan ovako postavljen koncept „monitoring centra“ iz člana 2. tačke 6, jer uspostavlja obavezu operatora da za potrebe službi o svom trošku kupe kompletnu opremu za presretanje, obradu i skladištenje, pri čemu će se oprema nalaziti izvan prostorija i kontrole operatora. Ovo je u direktnoj suprotnosti i sa obavezom iz Zakona o elektronskim komunikacijama (ZEK) koja se ne odnosi na kupovinu opreme koju koriste isključivo „službe“, jer je smisao odredbi ZEK – a da oprema koji operatori imaju u svom posedu omogući nadležim ogranima u situacijama propisanim zakonom da mogu da pristupe zadržanim podacima i da presreću komunikaciju. Stoga je neophodno da oprema koju operatori imaju omogući te radnje i operatori moraju stvoriti tehničke uslove koji će službama omogućiti pristup. Sama oprema koja se nalazi u monitoring centru je obaveza državnih organa. Ovo takođe potvrđuje model zakonitog presretanja koji je utvrđen međunarodnim standardima. Naime, prema ETSI LI seriji standarda, jasno se razdvajaju domeni operatora i domeni službi, pri čemu se monitoring centar nalazi potpuno u domenu službi – kako u finansijskom, tako i u administrativnom i svakom drugom smislu. Dakle, to je oprema koju „službe“ nabavljaju, koriste i održavaju sredstvima iz svog budžeta.
Shodno navedenom, ono što je u tekstu pravilnika definisano kao „tačke pristupa nadležnih državnih organa“ (tačka 7) jeste prava definicija „monitoring centra“ iz ETSI LI serije standarda. Zato smatramo da bi jedino ispravno rešenje bilo da se obriše tačka 6, kao i svako dalje njeno pominjanje u tekstu Pravilnika i da se umesto toga insistira na definiciji iz tačke 7. (npr. član 4. stav 2. može sasvim dobro da funkcioniše i bez termina „monitoring centar“, samo sa „tačkom pristupa nadležnih državnih organa“). Pritom u prelaznim i završnim odredbama Pravilnika se vidi da se monitoring centar nalazi u prostorijama Bezbednosno-informativne agencije (BIA), iako za to do sad nije postojao osnov u zakonu. Samim tim, odredbe koje propisuju ostajanje „monitoring centara“ u okviru BIA dok se ne ispune određeni uslovi, odnosno dok se ne legalizuje protivpravno stanje koje trenutno postoji.
Član 25. stav 2. uvodi novinu koja bi umnogome doprinela sprečavanju mogućnosti da se operatori opterete nesrazmernim troškovima i zahtevima u pogledu nabavke opreme. U njemu se određuje da će RATEL propisati specifikaciju opreme u zavisnosti od mreže, odnosno usluge. Istina je da RATEL raspolaže informacijama koje mogu pomoći određivanju ko će i koliko opreme nabaviti, imajući u vidu da vodi registar operatora, ima uvid u ekonomska snaga operatora, obim njegove aktivnosti i brojne druge karakteristike, ali se postavlja pitanje da li je to neophodno i moguće. Iako ovo defitinitivno zvuči kao pravilnija i pouzdanija varijanata, ipak se postavlja pitanje da li RATEL uopšte ima nadležnosti da donosti takav akt kao što je specifikacija opreme, ali i zašto uopšte RATEL određuje specifikaciju? Čemu traženje mišljenja službi bezbednosti u vezi ove specifikacije? Zar baš ovaj Pravilnik nije mesto u kome treba da se uređuje specifikacija opreme? S obzriom da se u svetu već godinama u vezi sa ovim pitanjem koriste već dobro poznati ETSI LI standardi, ne vidimo čemu tolika dilema oko ovog pitanja. Dovoljno je da se pravilnik samo pozove na ove standarde kada je u pitanju određivanje opreme. Time se pružaju značajne garancije opratorima da bezbednosne službe i RATEL neće biti arbitrarni u odlučivanju o nabavci opreme ove vrste i da se operatorima neće nametati preveliki i nepotrebni troškovi. Dodatno, vezivanje izrade specifikacije za međunarodne standarde uvodi sigurnost u vezi sa ovim pitanjem i garantuje da će obim opreme biti prikladan i proporcionalan potrebi za koju se nabavlja, imajući u vidu da se radi o stvari koja je standardizovana.
Kad je u pitanju evidencija koju vode operatori i nadležni državni organi, pored uslova koje propisuju članovi 6. i 10. pravilnika (u skladu sa ZEKom), bilo bi korisno dopuniti Pravilnik i sa odredbom „da evidencija treba da poseduje podudarnost sa registrom sudskih odluka o zakonitom presretanju, odnosno pristupu zadržanim podacima“. Time se obezbeđuje da svako zakonito presretanje i pristup zadržanim podacima budu povezani sa odgovarajućim odlukama suda čime se uvode veće garancije i kontrola. Takođe, trebalo bi razmotriti sugestije Poverenika u vezi sa tim da bi evidencije „službi“ iz članova 6. i 10. trebalo da garantuju „neizbrisivost“ i „nepromenljivost“ s obzirom da je u trenutnom tekstu pravilnika neizbrisivost ograničena samo na evidencije u domenu operatora (član 17. stav 3. Pravilnika).
Posebno osetljivo pitanje je koje sve podatke operatori treba da čuvaju i šta se smatra zadržanim podacima. Član 8. tačka 1. i ceo član 16. ne samo da izlaze izvan okvira onoga što je propisano odredbama ZEK o zadržanim podacima (drugim rečima, ISP nisu dužni da zadržavaju podatke koji nisu vezani za komunikaciju korisnika, već za prisustvo/odsustvo uređaja u mreži), nego je pitanje da li se utvrđivanje lokacije lica i uređaja na takav način može primeniti kao „posebna istražna mera“ u skladu sa ZKP. Ovakva obaveza, iako možda ima legitimno opravdanje ipak izlazi van okvira zakona i predstavlja nesrazmerno opterećenje za operatore s obzirom da zahteva da se čuvaju sve informacije o lokaciji terminalnih uređaja u periodu od 12 meseci i to čak i u slučaju pokušaja ostvarivanja komunikacije bez uspeha, iako ZEK jasno propisuje da zadržani podaci nisu oni čije uspostavljanje nije uspelo (član 129 stav 2.). Svakako pitanje o tome šta se smatra zadržanim podatkom je materija koja bi trebalo da prvenstveno bude uređena zakonom, a ne podzakonskim aktom i u tom pogledu je stav zauzeo Ustavni sud utvrđujući da je odredba člana 129. stav 4. neustavna. Time je još jednom potvrđeno da koje podatke operatori treba da zadržavaju je materija koja se uređuje zakonom i da pitanje zadržavanja podataka ne bi smelo da se uređuje pravilnikom
Isti komentar se odnosi u odnosu na član 12. gde se u poslednjoj podtački tačke 2. propisuje da se zadržani podaci o odredištu komunikacije odnose na sve URL-ove koje korisnik poseti. Ne samo što je ovo kao što smo već objasnili neustavno nego je i neprkatično jer ove podatke operatori tradicionalno ne čuvaju, s obzirom da se radi o ogromnoj količini podataka (svaki HTTP request bi trebalo da se beleži, a za prikaz samo jedne web stranice može da bude potrebno na desetine HTTP requestova), pre svega zato što je monitoring posećenih sajtova već deo nadzora koji se obavlja u realnom vremenu (prisluškivanja), a ne predmet naknadne obrade zadržanih podataka. Stoga ovaj uslov pored svega predtavlja i nesrazmerno i nerazumno ograničenje, imajući u vidu infrastrukturu ovakve vrste komunikacija. Stoga je jako bitno imati na umu prilikom određivanja ovakvih uslova da sva ograničenja, pored toga što moraju biti propisana zakonski i služiti zaštiti legitimnih interesa, moraju biti i neophodna u demokratskom društvu. Ovo se posebno odnosi na njihovu srazmernost ciljevima koje štite i teretima koji se njima nameću.
ZNAČAJ ODLUKE USTAVNOG SUDA
Ustavni sud je na 20. sednici održanoj 13. juna 2013. godine utvrdio da odredbe člana 128. stav 1. u delu koji glasi: “u skladu sa zakonom kojim se uređuje krivični postupak“, kao i u delu koji glasi: “u skladu sa zakonima kojima se uređuje rad službi bezbednosti Republike Srbije i rad organa unutrašnjih poslova“, člana 128. stav 5. u delu koji glasi: “na zahtev nadležnog državnog organa, u skladu sa stavom 1. ovog člana“ i člana 129. stav 4. Zakona o elektronskim komunikacijama (“Službeni glasnik RS“, broj 44/10), nisu u saglasnosti sa Ustavom (predmet IUz-1245/2010).
Utvrđivanjem neustavnosti člana 128. još jednom je potvrđeno da se pristup zadržanim podacima može vršiti isključivo po odluci suda. Kao što se iz odluke može videti, proglašeno je neustavnim svako upućivanje na druge zakone (ZKP, VOA, VBA) u pogledu propisivanja zadržavanja podataka u određene svrhe i time je precizirano da ovlašćenje za takve radnje mora biti propisano u ZEK-u, a samim tim i ostali zakoni koji se bave ovim pitanjem moraju biti u skladu sa pravilima utvrđenim ZEK-om. Nadalje u pogledu člana 128. stava 5. jasno se vidi da kad je u pitanju odluka o presretanju komunikacije – akt mora biti preciziran i ne može se koristiti široka fomulacija kao što je na osnovu “odluke nadležnog državnog organa”. S obzirom da se u nedavnoj odluci Ustavni sud izjasnio po pitanju zakona o VOA i VBA da je ovakve radnje moguće vršiti samo po nalogu suda, jasno je da je i po pitanju tumačenja ZEK-a Ustavni sud ostao dosledan svojoj prethodnoj odluci i time konstatovao još jednom da je potrebna odluka suda! Imajući u vidu da stav 5. ovog člana upućuje na stav 1. istog člana jasno je tumačenjem oba člana da je upućivanje na ZKP i zakone o VOA i VBA oglašeno neustavnim usled činjenice da pomenuti zakoni sadrže sporne formulacije. To je dalje potvrđeno odlukom Ustavnog suda kojom su već proglašene neustavnim odredbe zakona o VOA i VBA (pristup zadržanim podacima po ovlašćenju direktora) dok se u pogledu ustavnosti ZKP-a još uvek čeka odluka pred Ustavnim sudom (pristup zadržanim podacima po odluci javnog tužioca).
Kad je u pitanju neustavnost člana 129. stav 4. ZEK-a, može se videti iz odluke suda da je jasno iznet stav da se Pravilnik kojim se dalje propisuju uslovi vezani za presretanje i zadržavanje podataka može baviti isključivo tehničkim aspektima tj. opremom i programskom podrškom, a ne zahtevima za zadržavanje podataka. Samim tim regulisanje podataka koji se smeju zadržati mora biti propisano zakonom, a ne Pravilnikom, što je i navedeno u stavu 1. člana 129. Shodno tome nema prostora za njihovo dalje preciziranje u Pravilniku jer to samo ostavlja prostor za “široka tumačenja” koja mogu biti osnov za razne zloupotrebe. Zakon jasno precizira ove podatke i on mora ostati jedini osnov za njihovo propisivanje. Stoga je neophodno članove u glavi III Pravilnika koji se tiču preciziranja podataka o izvoru, odredištu, vrsti komunikacije, terminalnoj opremi, itd, uskladiti sa odlukom suda. Pravilnik ne bi smeo da se bavi ovim pitanjima, a ukoliko ih se dotiče mora sadržati formulacije identične onima u zakonu, što trenutno nije slučaj.
Ova odluka Ustavnog suda je od velikog značaja, jer ne samo da je u skladu sa već prethodnom odlukom o zakonima o VOA i VBA potvrdila stav da se ovako intruzivne mere mogu sprovoditi samo uz najveće moguće garancije tj. odluku suda, nego je i pokazala jasan stav Ustavnog suda po ovom pitanju koji se može očekivati i po pitanju odluke o ustavnosti odredbi ZKP-a. Takođe, jasno je i potvđeno još jednom da se Pravilnik može i sme isključivo baviti tehničkim pitanjima, a da se sve proceduralne stvari moraju urediti zakonima. Shodno ovoj odluci, ministarstvo mora da odvoji materiju koja se odnosi na zakonito presretanje elektronskih komunikacija i materiju koja se odnosi na zadržane podatke. Materija koja se odnosi na uređaje i programsku podršku za zakonito presretanje komunikacija treba da se bliže uredi podzakonskim aktom, u skladu sa članom 127. stav 5, a materija zadržanih podataka mora da se reguliše isključivo zakonom, imajući u vidu da je Ustavni sud proglasio neustavnim član 129. stav 4, što znači da je “otpao” pravni osnov za uređivanje ove materije podzakonskim aktom i stoga su u najkraćem roku neophodne izmene Zakona o elektornskim komunikacijama.
Nadamo se da će nadležno ministarstvo uvideti značaj ove odluke i izvršiti neophodne izmene u cilju stvaranja jasnog, nedvosmislenog pravnog okvira za zakonito zadržavanje podataka i zakonito presretanje elektronskih komunikacija koji će biti u skladu sa Ustavom, evropskom regulativom i važećim standardima koji se odnose na ovu oblast.
SHARE Defense