SHARE istražuje: Ko (sme da) zna gde ste bili prošlog leta

16-06-2016

Kada je krajem prošle decenije počela komercijalna eksploatacija geolokacijskih tehnologija, mogućnost „digitalne interakcije sa fizičkim okruženjem“ odvela je globalno umreženo društvo još jedan korak dalje od starih ideja o privatnosti. Gejmifikovane aplikacije za objavljivanje mesta sa kog se korisnik uključuje na Mrežu postale su statusno obeležje, uprkos upozorenjima na potencijalne rizike, dok je geomarketing izrastao u gigantski biznis bez kog bi dobar deo poslovanja danas bio nezamisliv.

I softver i korisnici su u međuvremenu postali pametniji, uglavnom zahvaljujući aktivistima za zaštitu privatnosti, pa su se uskoro proredili i viralni vicevi o nevoljama zbog nesmotrenog otkrivanja prave lokacije mami, šefu, partneru ili konkurenciji.

Na red su, međutim, došle mnogo ozbiljnije priče o nadzoru i prikupljanju podataka o lokaciji bez znanja građana i opcije izuzeća.

Stoga je SHARE Fondacija nedavno sprovela probno istraživanje među tri operatora mobilne telefonije – Telekom, Telenor i VIP – da bi ustanovila kako domaće kompanije tretiraju ovu vrstu ličnih podataka svojih korisnika.

Geolokacijske tehnologije omogućavaju identifikaciju mesta sa kog se uređaj povezuje na internet, bilo da je reč o kompjuteru, pametnom satu, telefonu ili automobilskoj navigaciji. Ukoliko je ove podatke, izražene u tačnim koordinatama geografske širine i dužine, moguće vezati za konkretnu ličnost, geolokacija uređaja se smatra podatkom o ličnosti.

Nacionalne jurisdikcije širom sveta građanima pružaju uglavnom ujednačenu zaštitu ovih podataka. U Srbiji, važeći Zakon o zaštiti podataka o ličnosti izričito navodi da svako ima pravo na uvid i kopiju svojih ličnih podataka. Lični podatak je „svaka informacija koja se odnosi na fizičko lice, bez obzira na oblik u kome je izražena i na nosač informacije” (član 3), dok su institucije i kompanije u zakonskoj obavezi da omoguće pristup podacima svakom građaninu o kojem prikupljaju podatke.

U slučaju mobilnih operatora, između ostalog, reč je o podacima o lokaciji telefona čije je vlasnike moguće identifikovati (pretplatnici), a koji se prikupljaju merenjem jačine signala prema tri najbliže bazne stanice ili upotrebom GPS navigacionog sistema. Uz pozvani broj, vreme trajanja razgovora i druge podatke, geolokacija telefona čini „paket” informacija o obavljenom telefonskom razgovoru, koji zakonodavac naziva „zadržani podaci”. Prema Zakonu o elektronskim komunikacijama, operator je dužan da zadržane podatke čuva 12 meseci.

Osim vlasnika telefona, pristup ovim podacima omogućen je i nadležnim državnim organima ali samo pod određenim uslovima, definisanim Ustavom i zakonima. Javnost u Srbiji pamti neke od velikih istraga u kojima su zadržani podaci o lokaciji telefona žrtve ili osumnjičenih igrali značajnu ulogu. Takva je, na primer, bila istraga otmice i ubistva devojčice iz Subotice 2014, slučaj „Kantrimen” sredinom iste godine, pa čak i istraga egzekucije braće Bitići iz sada već drevnih vremena komunikacionih tehnologija.

I za građane ovi podaci mogu biti značajni, ne samo pri pokušaju da lociraju svoj izgubljen ili ukraden uređaj, već i da u slučaju nesreće emituju svoj položaj spasilačkim ekipama. Takođe, prilikom sudskog spora lokacija može biti sredstvo dokazivanja sopstvenog kretanja. U razvijenim zemljama geolokacija je najčešće stvar veće udobnosti u „pametnim” gradovima, dok za globalni Jug može biti od životne važnosti.

Uvid u vlastite podatke građani mogu da ostvare slobodno i bez nadoknade, ne računajući troškove izrade i predaje kopije podataka.

Propozicije su, dakle, prilično jasne i jednostavne pa su istraživači SHARE Fondacije poslali zahteve za pristup svojim ličnim podacima operatorima mobilne telefonije sa kojima su zaključili korisnički ugovor. Zanimljivo je da su sve tri kompanije odbile da dostave tražene informacije.

U svom prvom odgovoru, kompanija VIP je navela da ne vrši obradu podataka „koji se odnose na podatke o lokaciji”, iako su obrada i zadržavanje tih podataka definisani zakonom (Zakon o elektronskim komunikacijama, član 128).

Iz kompanije Telenor je stigla ocena da podaci o lokacijama i terminalnoj opremi „nisu podaci o ličnosti” na čiji uvid korisnik ima pravo, što nije u skladu sa važećim Zakonom o zaštiti podataka o ličnosti. Telenor je od korisnika koji je podneo zahtev takođe tražio utvrđivanje identiteta, tako što će lično dati pristanak u pisanoj formi ili dostaviti pristanak overen u sudu ili kod javnog beležnika.

Slično tome, Telekom Srbija je dostavio obaveštenje da traženi podaci ne spadaju u podatke o ličnosti, već u podatke o terminalnoj opremi koji se izdaju isključivo na zahtev nadležnog organa ili odgovarajući sudski akt. U ovom slučaju, pored već uobičajenog nerazumevanja šta su to podaci o ličnosti, posebno zabrinjava Telekomovo tumačenje uslova za suspenziju zaštite podataka o ličnosti koji, osim Ustavom propisane sudske odluke, uključuju i proizvoljan zahtev „nadležnog organa”. Ustavni sud je svojevremeno oborio odredbe Zakona o elektronskim komunikacija koje su predviđale ovakve oblike neustavnih izuzeća.

Na svaki od ovih odgovora, SHARE Fondacija je uputila žalbe Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti, koji je mobilnim operatorima naložio da dostave tražene podatke. Telenor je, uz izvinjenje zbog nesporazuma, dostavio detaljan ispis podataka o baznim stanicama, dok je VIP dostavio samo adrese na kojima se bazne stanice nalazeTelekom Srbija je, po prijemu žalbe Povereniku, poslao odgovor u kome su navedene sve relevantne informacije o korišćenim baznim stanicama za određeni dan – lokacije, vreme korišćenja usluge, brojeve telefona sa kojima je uspostavljena komunikacija, vrstu komunikacije i slično.

Nakon ovog probnog istraživanja, SHARE će obuhvatiti i druge podatke o ličnosti koji se prikupljaju i skladište na serverima operatora.

Međunarodna praksa u vezi sa zadržavanjem podataka

Zadržavanje podataka o elektronskim komunikacijama (data retention) već dve godine nije standard u Evropskoj uniji, nakon što je Direktiva o zadržavanju podataka proglašena nevažećom. Iako nova Direktiva nije usvojena, niti postoje planovi za donošenje novih propisa na nivou EU, praksa zadržavanja podataka je i dalje deo pravnog poretka Srbije. Nema jedinstvenog evropskog standarda kada je reč o zadržavanju podataka, pa su ustavni sudovi pojedinih država članica, poput Belgije, Slovačke, Rumunije i Bugarske, proglasili zadržavanje podataka neustavnim.

Danska, Finska, Estonija, Hrvatska i Litvanija su pokrenule procese revizije režima zadržavanja podataka. Međutim, postoje i slučajevi da zadržavanje podataka nije u potpunosti ukinuto, već su kroz nove zakonodavne incijative predložene ili uvedene odredbe o unapređenim zaštitnim mehanizmima prilikom pristupa zadržanim podacima (Finska, Bugarska, Nemačka). Takođe, zanimljivo je da su u Mađarskoj i Švedskoj, civilni sektor, odnosno industrija, preduzeli pravne korake protiv obaveze zadržavanja podataka posle ukidanja Direktive. Mađarska unija za građanska prava (TASZ) je pokrenula postupak protiv operatora zbog toga što su nastavili da zadržavaju podatke korisnika, a švedska telekomunikaciona kompanija Tele2 je zatražila mišljenje od Evropskog suda pravde o tome da li je i dalje u obavezi da zadržava podatke. TASZ je nastavila da vodi samo jedan postupak, i to protiv Telenora, koji takođe posluje u Mađarskoj.

Početkom 2016. godine u Nemačkoj je na snagu stupio savezni zakon o zadržavanju podataka, koji obavezuje operatore telefonije i Interneta da čuvaju sve metapodatke, čak i sadržaj SMS poruka, u periodu od 10 nedelja, dok za zadržavanje geolokacijskih podataka važi pravilo od 4 nedelje. Radi bolje zaštite zadržanih podataka, u zakonu su detaljno opisane tehničke mere koje operatori treba da primene.

Van Evrope, Australija spada među zemlje koje su nedavno uvele obavezno zadržavanje podataka. Izmenama i dopunama Zakona o presretanju i pristupu podacima o telekomunikacijama koje su usvojene 2015, previđeno je da se metapodaci, pa tako i podaci o lokaciji opreme, čuvaju dve godine i da su operatori dužni da ih enkriptuju, kako bi bili zaštićeni od neovlašćenog pristupa.

U Sjedinjenim Državama, zaštita podataka o lokaciji mobilnih uređaja zadobila je težak udarac nedavnom odlukom Apelacionog suda u Virdžiniji. Stav većine članova sudskog veća je da pristupanje državnih organa geolokacijskim podacima mobilne telefonije nije „pretres” prema četvrtom amandmanu Ustava SAD, te da samim tim policiji i službama bezbednosti nije potreban sudski nalog za prikupljanje tih podataka. Rezonovanje suda se zasniva na tzv. „doktrini treće strane”, prema kojoj potrošači ne mogu imati razumna očekivanja zaštite privatnosti ako su svoje podatke svojevoljno i znajući predali nekome.

Uradi sam – kako da dobijem svoje geolokacijske podatke od operatora?  

Prvo, neophodno je da imate zaključenu bilo kakvu vrstu ugovora o pružanju usluga elektronskih komunikacija sa jednim od operatora mobilne telefonije, kako biste mogli da dokažete da je broj telefona zaista vaš i da ga lično koristite.

Zatim, potrebno je da podnesete zahtev za uvid i izdavanje kopije podataka o ličnosti. Najbolje je da precizirate određeni datum, kako bi bilo što jasnije na koje se podatke zahtev tačno odnosi. Primer zahteva za ostvarivanje prava u vezi sa obradom podataka o ličnosti je dostupan na sledećem linku: https://www.dropbox.com/s/qbxqk1kg9o91yt7/Zahtev_template.docx?dl=0.

Ukoliko operator odbije vaš zahtev, potrebno je da podnesete žalbu Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti. Primer anonimizovane žalbe protiv VIP-a dostupan je na ovom linku. Žalba se može poslati i elektronskim putem na adresu office@poverenik.rs.