Zadržavanje podataka o komunikaciji u Srbiji. Koliko smo pod nadzorom? (2014-2016)

29-08-2017

On prvi put shvati da čovek koji hoće da sačuva tajnu mora da je sakrije i od samog sebe. Mora sve vreme znati da je ona tu, ali ne sme je, dokle god ne postane potrebna, pustiti da u bilo kom obliku kome se može dati ime prodre u svest.
Džordž Orvel, 1984.

Razvoj društva metapodataka

Kada je Evropski sud pravde, krajem 2016. godine, proglasio opšte, neselektivno zadržavanje podataka o komunikaciji “neopravdanom” i visoko invazivnom merom, nespojivom sa demokratskim društvom, zaštitnici ljudskih prava u digitalnom okruženju, a naročito prava na privatnost, slavili su značajnu pobedu.

Konačno je potvrđeno da se iza tehničkog eufemizma “zadržani podaci” zapravo krije praksa masovnog skladištenja podataka o komunikaciji svih građana koji koriste mobilne telefone i surfuju internetom. Za ovaj naopaki politički koncept po kom je svako od nas potencijalni kriminalac, pa nas sve treba stalno držati na oku za svaki slučaj, svetska javnost saznala je zahvaljujući Snoudenovim otkrićima o masovnom nadzoru koji države sprovode nad svojim i stranim građanima. Od tada praktično traje planetarni sukob između ljudskih prava s jedne, i interesa tzv. nacionalne bezbednosti, ali i komercijalnih gigantskih korporacija, s druge strane – u kom je ova presuda Evropskog suda privremeni epilog samo jedne od mnogih bitaka.

Munjevit razvoj ekonomije podataka koja leži u osnovi poslovnih modela raznovrsnih “besplatnih” servisa na internetu – poput društvenih mreža i platformi za razmenu sadržaja i usluga, u značajnoj meri je zasenila tradicionalni koncept privatnosti. Danas retko koji korisnik Fejsbuka želi da bude “ostavljen na miru”, dok često i sam pristup nekim od primamljivih onlajn servisa podrazumeva dobrovoljno ustupanje ličnih podataka.

Front se, međutim, u međuvremenu proširio na pitanje jednog od osnovnih ljudskih prava, koje se u demokratskom društvu teško može adekvatno zameniti za onlajn usluge. Naprotiv, upravo je sloboda govora i informisanja ugrađena u temelje globalne Mreže, na šta računaju čak i oni korisnici u čijem je fizičkom okruženju na snazi režim koji ove slobode bitno ograničava. Ali, možemo li govoriti o slobodi govora uz saznanje da neko prati našu komunikaciju, da zna s kim, kada i gde smo razgovarali, šta čitamo i o čemu diskutujemo na internetu? Najnoviji izveštaj koji je UNESCO posvetio zaštiti novinarskih izvora u digitalnom dobu, upravo apostrofira “rastući trend delegiranja odgovornosti sa državnih bezbednosnih službi na internet i telekomunikacione kompanije, uključujući zahteve za ugrađivanje propusta u mreže” kako bi omogućile sprovođenje nadzora nad korisnicima.

Sam dizajn digitalnih tehnologija savremene komunikacije podrazumeva neprestanu, masovnu “proizvodnju” podataka o tome ko je s kim, kada i gde razgovarao, kuda se kretao po internetu i šta je tamo radio. To su podaci koje kompanije zadržavaju, a koje državne službe koriste za sprovođenje nadzora: metapodaci, ili “podaci o podacima” – ono što zapravo definiše i opisuje podatke i procese.

Prirodno, na meti kritike nalaze se najrazvijenije države u skladu sa resursima koje imaju na raspolaganju, ali i sa odgovornošću za tokove globalne politike. No, trend masovnog nadzora nije mimoišao ni male zemlje u razvoju, pa ni Srbiju.

Srbija između slobode i nadzora

U periodu nakon 2010. godine usvojen je niz zakona koji su, suprotno ustavnim odredbama, dozvoljavali tužilaštvima i tajnim službama da pristupaju komunikaciji građana i zadržanim podacima bez odluke suda. Zahvaljujući reakciji javnosti, pre svega organizacija za zaštitu ljudskih prava, 2012. godine su odlukom Ustavnog suda oborene odredbe zakona o vojnim tajnim službama (VBA i VOA), kojima su Vojno-bezbednosnoj agenciji data ovlaščenja da od telekomunikacionih operatora prikuplja podatke o korisnicima i njihovoj komunikaciji. Godinu dana kasnije, tri odredbe iz zakona o civilnoj tajnoj službi, Bezbednosno-informativnoj agenciji, proglašene se neustavnim jer su omogućavale proizvoljna odstupanja od ustavnih garancija nepovredivosti sredstava komunikacije. Sredinom iste godine, u junu 2013, Ustavni sud je proglasio neustavnim i niz odredbi Zakona o elektronskim komunikacijama koje su ignorisale ustavna načela zaštite i omogućavale pristup zadržanim podacima bez odluke suda. Osim toga, istraživanje SHARE Fondacije pokazalo je da je krajem 2011. godine najmanje jedna bezbednosna služba Srbije pregovarala o kupovini, dok se Ministarstvo odbrane pojavljuje kao probni korisnik špijunskog softvera kompanije “Hacking Team” iz Milana, dizajniranog upravo za potrebe državnih službi.

U nameri da istraži razmere elektronskog nadzora u Srbiji, SHARE Fondacija je 2014. godine, na osnovu zahteva za pristup informacijama od javnog značaja, preuzela oko 2000 stranica dokumenata iz Poverenikovog izveštaja o izvršenom nadzoru nad sprovođenjem i izvršavanjem Zakona o zaštiti podataka o ličnosti od strane operatora mobilne i fiksne telefonije u Srbiji. Kroz analiziranu dokumentaciju domaćih operatora, izveštaj je zapravo detaljno opisivao praksu bezbednosnih i drugih državnih službi tokom 2012. godine, kada su protivustavne odredbe zakona još uvek bile na snazi.

Danas je situacija u normativnom smislu značajno bolja. Zadržani podaci su odlukom Ustavnog suda priznati kao podaci o komunukaciji, čime je postalo jasno da se na njih primenjuje Ustavom zajamčena zaštita privatne komunikacije, te da više nema pravnog osnova da se zadržanim podacima pristupa bez odluke suda. Dodatno, izmenama Zakona o elektronskim komunikacijama iz 2014. godine regulisana je obaveza operatora da vode evidencije o svakom pristupu zadržanim podacima, te da izveštaje o tome dostavljaju Povereniku. Identična obaveza nametnuta je i državnim službama koje ove podatke koriste u okviru svojih nadležnosti.

Ovim rešenjima trebalo je unaprediti načelo transparentnosti rada svih aktera koji učestvuju u zakonitom zadržavanju podataka, kao i službi koje ovim podacima pristupaju sa odgovarajućim ovlašćenjem. SHARE Fondacija se stoga ponovo obratila Povereniku – ovog puta, tražili smo upravo godišnje izveštaje o evidencijama koje vode domaći operatori, i to za period od 2014. do  2016. godine. Dokumenta su prikupljena u skladu sa Zakonom o slobodnom pristupu informacijama od javnog značaja, za potrebe nove pravne i tehničke analize SHARE Fondacije iz perspektive zaštite ljudskih prava u digitalnom okruženju.

Izveštaji kompanija na čijim mrežama građani Srbije svakodnevno ostavljaju podatke o svojoj privatnoj komunikaciji, pružaju neke zanimljive uvide u interne prakse prihvatanja ili odbijanja zahteva za pristup koje operatorima rutinski i na različite načine dostavljaju nadležni organi. Iz ovih podataka mogli su se izvesti i interesantni statistički preseci i vizualizacije trendova. Utvrdili smo, takođe, i određena odstupanja koja bi mogla ukazati na proizvoljnu primenu zakona među telekomunikacionim kompanijama u Srbiji.

Potom smo, po istom osnovu, od Poverenika zatražili godišnje izveštaje koje mu u skladu sa zakonom dostavljaju nadležni organi koji ovim podacima pristupaju, među kojima su policija, obaveštajne službe i drugi. Neki od ovih organa su svoje izveštaje Povereniku obeležili stepenima tajnosti “Poverljivo” (VBA) i “Strogo poverljivo” (BIA). Imajući u vidu da sadržaj ovih dokumenata čine statistički podaci čije otkrivanje ne ugrožava javni interes, Poverenik je ocenio da oznake stepena tajnosti ne predstavljaju suštinski razlog za ograničavanje prava na pristup informacijama, te da ove evidencije jesu informacije od javnog značaja.

No, pre nego što se pozabavimo konkretnim podacima, razjasnićemo ukratko pravni i tehnički režim u kom se podaci o komunikaciji stvaraju i zadržavaju.

Regulatorni okvir elektronskih komunikacija

Zakon o elektronskim komunikacijama (ZEK) predviđa obavezu operatora da zadrži podatke o elektronskim komunikacijama svojih korisnika u periodu od godinu dana. Iz pobrojanih vrsta zadržanih podataka (član 129), jasno je da je reč o metapodacima, a ne o sadržaju komunikacije. Metapodaci podrazumevaju sve one podatke koje uređaji automatski generišu prilikom tri vrste elektronske komunikacije: govorni pozivi, razmena SMS poruka i internet protok podataka. S obzirom na to da se svaki od ovih tipova komunikacije uspostavlja na specifičan način, te da im je stoga i priroda različita, postoje podaci koji su tipični za svaku vrstu komunikacije, ali je najveći deo zadržanih podataka isti za sve.

Podaci koji se zadržavaju uglavnom se tiču tzv. zapisa o pozivu (Call detail record, CDR):

  1. Telefonski broj pozivaoca
  2. Telefonski broj pozvanog
  3. Serijski broj uređaja pozivaoca (IMEI)
  4. Serijski broj uređaja pozvanog (IMEI)
  5. Serijski broj SIM kartice pozivaoca (IMSI)
  6. Serijski broj SIM kartice pozvanog (IMSI)
  7. Bazna stanica pozivaoca (šifra, adresa)
  8. Bazna stanica pozvanog (šifra, adresa)
  9. Vreme i datum komunikacije
  10. Vrsta komunikacije (poziv, SMS, podaci)
  11. Trajanje poziva
  12. Količina podataka
  13. Destinacijski server (vebsajt koji je posećen)
  14. Vrsta usluge (email, VoIP, www, itd.)
  15. Lista uređaja u kojima je SIM kartica korišćena
  16. Lista SIM kartica koje su korišćene u datom uređaju

Ukrštanjem ovih podataka sa podacima iz evidencije koju telekomunikacioni operatori vode o svojim korisnicima za potrebe, između ostalog, izdavanja mesečnog računa za usluge, a koji uključuju ime, prezime, adresu i druge podatke, ozbiljno se snižavaju granice privatnosti korisnika, ali i njihovih sagovornika. Stoga ne čudi što se ovi, naoko tehnički podaci, tretiraju kao podaci o ličnosti, sa svim merama ustavne zaštite koje se na njih primenjuju.

Surveillance2c-02-02

Arhitektura celularne mreže

Za potrebe analize, pojednostavićemo opis tzv. ćelijske, odnosno celularne mreže, uz osvrt na nekoliko značajnih tačaka telekomunikacionog sistema, kako bismo donekle razjasnili složeni tehnički sistem koji proizvodi, prikuplja i zadržava metapodatke. Konkretno, reč je o standardnoj GSM mreži, u kojoj se komunikacija odvija preko namenskog kanala ili kola, sa protokolima tri generacije. Arhitektura LTE mreže četvrte generacije (4G) zasnovana je na tzv. paketima.

Mobilni uređaj se povezuje na mrežu istog trenutka kada se uključi u rad, sa ili bez SIM kartice, što između ostalog omogućava pozive službama za hitne intervencije čak i kad se SIM kartica ne nalazi u uređaju. Za sve ostale usluge mobilne telefonije neophodna je kartica, osnosno modul za identifikaciju pretplatnika (Subscriber Identification Module, SIM) koji “komunicira” sa sistemom operatora čije se usluge koriste, uspostavljajući jedinstven, međunarodni pretplatnički identitet (International Mobile Subscriber Identity, IMSI). Na ovaj način mreža “zna” kom uređaju usmerava poziv, tarifira usluge, računa “kredit”, i slično.

Pored međunarodnog identifikatora pretplatnika, postoji i međunarodni identifikator uređaja (International Mobile Equipment Identity, IMEI), što je takođe jedinstven broj koji se može dodeliti samo jednom uređaju na svetu.

Fizička mreža mobilnih operatora sastoji se od baznih stanica nalik velikim antenama, od kojih svaka signalom pokriva određeno polje ili “ćeliju”. Zato se mreža opisuje kao ćelijska, odnosno celularna. Ova polja se u izvesnoj meri međusobno preklapaju, kako bi se olakšalo “preuzimanje” uređaja od jedne do druge bazne stanice kada je korisnik u pokretu. To je ujedno i sigurnosni mehanizam u slučaju da jedna bazna stanica prestane da radi. Korisnički uređaj je u svakom trenutku povezan na onu baznu stanicu koja mu je najbliža, odnosno koja ima najjači signal. Veza između bazne stanice i uređaja uspostavlja se tako što bazna stanica registruje jedinstvene IMSI i IMEI brojeve sa uređaja, koji ih automatski šalje.

Uključen uređaj koji je na ovaj način povezan na mrežu, u stalnoj je vezi sa baznom stanicom najjačeg signala, bez obzira da li je u upotrebi. Kada treba da uspostavi poziv, uređaj koristi ovu vezu sa baznom stanicom kako bi poslao informaciju da korisnik A želi da pozove korisnika B. U tom trenutku baznoj stanici je, osim pune identifikacije uređaja koji poziva, poznat samo telefonski broj koji se poziva.

Bazna stanica prosleđuje ove informacije telefonskoj centrali mobilnog operatora (Mobile Switching Centre, MSC), u kojoj se utvrđuje odgovarajući IMSI identifikator broja koji se poziva. Proces je donekle složeniji kada se poziva broj koji nije u istoj operatorskoj mreži, odnosno kada matična MSC centrala nema podatke o telefonskom broju koji se poziva. U tom slučaju, centrala uspostavlja trasu poziva prema numeričkom formatu broja – ako je to, na primer, +38163XXXXXXX svaka centrala na svetu prepoznaće +381 kao nacionalni kod Srbije, a onda i kod lokalnog operatora (63). Bili u istoj mreži ili ne, poziv između dva korisnika uspostavlja se kada centrala utvrdi IMSI pozivanog broja, kao i koja ga bazna stanica u tom trenutku ima registrovanog u svojoj ćeliji.

Surveillance1C-01

Svi ovi postupci odvijaju se munjevitom brzinom. Sprovode ih kompjuterski sistemi sa odgovarajućim softverom koji neprestano “proizvode” ogromne količine zapisa, sačinjenih od jedinstvenih identifikatora korisničkih uređaja, lokacija baznih stanica, i svih drugih podataka koji su neophodni da bi se komunikacija odvijala nesmetano. Većina ovih podataka ljudskom oku izgleda kao nerazumljiv skup nasumičnih brojeva; to su metapodaci o komunikaciji, mašine ih lako čitaju, a jasni su i stručnjacima.

U telefonskoj centrali mobilnog operatora koja je spojila dva korisnika, “proizvode” se svi podaci o komunikaciji – ko je koga zvao, geografske koordinate korišćenih baznih stanica, vreme trajanja poziva, uz druge već postojeće podatke o korišćenim uređajima, karticama, istoriji njihove upotrebe, i sličnim, a koji su potrebni za uspešno uspostavljanje poziva.

Tehnički, kada se uspostavljeni poziv završi, najveći deo metapodataka o obavljenoj komunikaciji više nije potreban. Međutim, podaci se zadržavaju iz različitih razloga, od komercijalnih do zakonskih, kopiraju se u zapis o detaljima poziva (Call detail record, CDR) koji se zatim dalje koristi ili arhivira. Ukoliko nacionalna regulativa to zahteva, operator je obavezan da zadrži podatke u periodu propisanom zakonom.

Čitava procedura slična je i prilikom razmene SMS poruka, osim što se u tom slučaju ne formira kanal komunikacije između dva korisnika, već se poruka samo prenosi sa jednog uređaja na drugi.

Kada je reč o prenosu podataka, odnosno usluzi mobilnog interneta, komunikacija se uspostavlja na nešto drugačiji način, jer je internet arhitektura bazirana na “paketima” podataka umesto na kanalima između uređaja. To znači da se podaci potrebni za uspostavljanje komunikacije razmenjuju unutar paketa TCP/IP protokola koji imaju standardizovanu strukturu, zaglavlje i sadržaj, a najvažniji segmenti su adresa porekla i adresa destinacije. Detaljima ovog tipa komunikacije SHARE Labs se bavio u jednom od svojih istraživanja nevidljivih infrastruktura.

Elektronski nadzor

Statistike tri operatora mobilne telefonije

Prema izveštaju RATEL-a za poslednji kvartal 2016. godine, najveće tržišno učešće po broju korisnika ima Telekom, budući da gotovo polovina građana Srbije koristi usluge ove kompanije. Slede Telenor sa 31% i VIP sa 22%.

Ilustracija iz kvartalnog izveštaja RATEL-a

Međutim, izveštaji o pristupu zadržanim podacima ne potvrđuju eventualno očekivanje da najveći operator prima srazmerno najviše zahteva za pristup. Tako je drugi po veličini operator telekomunikacionih usluga u Srbiji, Telenor, registrovao znatno više zahteva za pristup koje su tokom 2014, 2015. i 2016. godine uputili državni organi (MUP, BIA, VBA, sudovi). Naime, Telenor je 2014. registrovao 4611 zahteva, dok je 2287 zahteva primljeno tokom naredne godine. U 2016. godini došlo je do značajnog smanjenja, te je registrovano svega 356 zahteva. Ovaj nagli pad u broju primljenih zahteva uslovljen je pre svega primenom novog programa za neposredan pristup državnih organa IKT sistemu operatora.

U isto vreme, najveći operator Telekom beleži daleko manje zahteva. Tako je ova kompanija primila samo 344 zahteva za pristup zadržanim podacima u drugoj polovini 2014. Naredne godine, Telekom je primio 745 zahteva, dok je 2016. primljeno 684 zahteva. Treći operator, Vip, prijavio je najmanje zahteva – 109 u 2014. godini, 146 u 2015. godini i 114 u 2016. godini.

Sam broj zahteva za pristup ne odražava broj pojedinačnih korisnika čijim je podacima pristupljeno. Jedan zahtev može se odnositi na jedan telefon u periodu od, recimo dva dana, ali se može odnositi i na čitavu baznu stanicu i ukupan saobraćaj koji je na toj baznoj stanici ostvaren u periodu od više nedelja, što može obuhvatiti preko 300 različitih komunikacionih identiteta. Za razliku od zahteva koji se odnose na konkretne SIM kartice (IMSI) ili konkretne uređaje (IMEI) osoba čiji se podaci prikupljaju na osnovu sudskog naloga u okviru sprovođenja istrage, u slučaju kada se pristupa kompletnom saobraćaju ostvarenom preko jedne ili više baznih stanica reč je o tzv. netargetovanom nadzoru. To znači da se prikupljaju podaci svih građana koji su prošli određenom trasom, odnosno čiji su se uređaji u nekom trenutku određenog perioda povezali sa konkretnom baznom stanicom. S obzirom na zakonsku odredbu po kojoj se jednom traženi podaci praktično čuvaju zauvek, o čemu će kasnije biti više reči, ova praksa posebno zabrinjava sa stanovišta neselektivnog kršenja privatnosti građana.

Pored znatne količine zahteva za pristup, pitanje kontrole vođenja evidencije i provere izveštaja prijavljenih Povereniku posebno otvara činjenica da najveći operator ima relativno zanemarljiv broj zahteva u poređenju sa sledećim po veličini. Takođe, podatke o neposrednim pristupima organa javne vlasti u IKT sistem kompanije, u svrhe pretrage zadržanih podataka, registrovao je samo Telenor, ili je samo ovaj operator uneo ove pristupe u svoj izveštaj. Broj neposrednih, odnosno samostalnih pristupa je višestruko veći u odnosu na dostavljene zahteve.

Ipak ukoliko se samo broj pismenih zahteva upućenih Telenoru u periodu od 2014. do 2016. godine, uporedi sa ukupnim, nespecifikovanim zahtevima koje su registrovali VIP i Telekom, slika u većoj meri odražava odnos ovih operatora na tržištu.

Bez odgovarajućih podataka, nemoguće je dokazati utisak koji se nameće da se podaci koje su preostala dva operatora dostavili Povereniku, zapravo odnose na pismene zahteve. No, ovde svakako ostaje pitanje da li su druga dva operatora evidentirala elektronske zahteve, koje Telenor 2014. i 2015. broji u hiljadama, i samostalne pristupe nadležnih službi, koji se u Telenoru mere u stotinama hiljada.

Telenor

Drugi po veličini operator mobilne telefonije u Srbiji jedini je koji, pored zahteva primljenih u redovnoj proceduri, registruje – ili je jedini koji prijavljuje registrovani broj direktnih pristupa zadržanim podacima koje su ostvarili nadležni organi. S obzirom na obim ovih pristupa, čini se logičnim pretpostaviti da praksa neposrednih pristupa nadležnih organa postoji i kod drugih operatora, ali da oni ili ne beleže ove pristupe ili ne žele da ih prijavljuju Povereniku. Potvrdu ovog zaključka našli smo u izveštaju Vojnobezbedonosne agencije, gde se navodi da se “za pristup zadržanim podacima o elektronskim komunikacijama koriste pristupne aplikacije operatora VIP, Telenor, MTS i Telekom”.

Upadljiv je trend smanjenja broja zahteva upućenih Telenoru u posmatranom periodu od tri godine, pa je 2015. broj zahteva prepolovljen u odnosu na prethodnu godinu, dok je sledeće ovaj broj desetostruko manji nego dve godine ranije. Trend je posledica implementacije novog informacionog sistema za direktan pristup nadležnih organa, usled čega je sredinom 2015. godine policija prestala da šalje elektronske zahteve za pristup podacima.

Elektronski zahtevi

Zahteve koji su Telenoru dostavljani putem elektronske pošte, slala je isključivo policija i to preko dve akreditovane tačke za komunikaciju – Službe za specijalne istražne metode Uprave kriminalističke policije (UKP-SSIM) i gradskog odeljenja Uprave za Beograd (UKP-GSUP). Nijedan od ovih zahteva nije odbijen jer, kako je navedeno u izveštajima Telenora, stručne ekipe MUP-a proveravaju izvodljivost zahteva pre formalnog upućivanja a Telenor nije u mogućnosti da proverava pravni osnov ovih zahteva, te ih odobrava na osnovu poverenja u ovlašćenog državnog organa. Policija je na ovaj način 2014. godine uputila 4372 zaheva za pristup zadržanim podacima od kojih, dakle, nijedan nije odbijen. U 39 zahteva je tražen kompletan pripejd saobraćaj ostvaren preko jedne ili više baznih stanica, dok su zaposleni u Telenoru na osnovu zahteva izvršili 12.796 pretraga zadržanih podataka. Razjašnjenja radi, svaka pretraga se odnosi na jedan komunikacioni identitet (MSISDN – sim kartica, IMEI – uređaj, bazna stanica). Sredinom 2015. godine, kada je implementiran novi sistem, policija u potpunosti prestaje da koristi ustaljeni sistem elektronskih zahteva, usled čega je i ukupan broj ovih zahteva upućenih Telenoru prepolovljen, pa kompanija beleži 1959 zahteva. U 41 zahteva je tražen kompletan saobraćaj ostvaren preko jedne ili više baznih stanica, dok su zaposleni u Telenoru na osnovu zahteva izvršili 4566 pojedinačnih pretraga i 887 pretraga po baznim stanicama.

Pismeni zahtevi

Telenor takođe prima i pismene zahteve od različitih državnih organa, međutim u ovom slučaju postoje i odbijeni zahtevi bez ograde od kontrole osnovanosti kao kod elektronskih zahteva, iz čega bi se moglo zaključiti da Telenor u ovim slučajevima proverava da li su zahtevi dostavljeni u skladu sa Ustavom i zakonom, tj. uz valjanu sudsku odluku. U 2014. primljeno je 284 zahteva, od čega je 12 odbijeno jer su se odnosili na podatke starije od 12 meseci. U 49 zahteva je tražen kompletan saobraćaj ostvaren preko jedne ili više baznih stanica, dok su zaposleni u Telenoru na osnovu zahteva izvršili 1.811 pretraga zadržanih podataka. Broj ovih zahteva je relativno stabilan i u dužem periodu, pa je tako u 2015. primljeno 328 zahteva, od čega je 30 odbijeno. U 108 zahteva je tražen kompletan saobraćaj ostvaren preko jedne ili više baznih stanica, dok su zaposleni u Telenoru na osnovu zahteva izvršili 469 pojedinačnih pretraga i 2367 pretraga po baznim stanicama. Tokom 2016. godine primljeno je 356 zahteva, od čega je 44 odbijeno. U 149 zahteva je

tražen kompletan saobraćaj ostvaren preko jedne ili više baznih stanica, dok su zaposleni u Telenoru na osnovu zahteva izvršili 489 pojedinačnih pretraga, 4105 pretraga po baznim stanicama, a po prvi put su registrovane i pretrage po IP adresama i to njih 131.

Tabele koje je Telenor dostavio Povereniku takođe govore i koji organi su pismenim putem zahtevali zadržane podatke. Istini za volju, ovi podaci postoje samo za 2015. i 2016. godinu. U tom periodu najviše zahteva je poslala policija iz Beograda, sa preko dve trećine od ukupnog broja zahteva ove vrste. Zanimljivo je da je drugi najčešći tražilac Osnovni sud iz Vršca koji je u periodu od dve godine upitio 59 zahteva za pristup zadržanim podacima.

Period za koji su traženi podaci

Nadležni organi nekad zahtevaju zadržane podatke samo za jedan dan, a ponekad se ovi zahtevi odnose i na period duži od jedne godine, u zavisnosti od toga za koje potrebe se koriste. Analiza elektronskih zahteva koje je Telenoru uputila policija, pokazuje da se najviše zahteva odnosilo na period do 90 dana i na period do 180 dana. Iz toga se može zaključiti da je reč o prikupljanju podataka u okviru predistražnog i istražnog postupka, u skladu sa zakonom, no to ne umanjuje rizik po privatnost građana čiji se podaci o kretanju i listinzi potom čuvaju unedogled. S druge strane, pismeni zahtevi se najčešće odnose na period od jednog dana, pa bi se moglo zaključiti da se ovi zahtevi pre svega dostavljaju za potrebe izvođenja dokaza u nekom sudskom postupku, gde se informacije o određenom vremenskom trenutku ili osobi već znaju.

Period – elektronski zahtevi

Period – pismeni zahtevi

Samostalni pristupi nadležnih organa

Osim zahteva za pristup koji su primljeni u redovnoj proceduri, tokom 2014. Telenorov IKT sistem registrovao je 201.879 samostalnih pristupa zadržanim podacima, i to: MUP – 199.818, BIA – 993, VBA – 1068. Naredne godine ukupno je ostvareno 300.845, dok je 2016. godine ostvareno 293.244 samostalnih pristupa.

Za razliku od zahteva za pristup, odnosno dostavljanje zadržanih podataka, koji podrazumeva neposredno obraćanje ovlašćene državne službe operatoru, običnom ili elektronskom poštom, u slučaju samostalnog pristupa nadležni organi neposredno pristupaju zadržanim podacima posredstvom IT infrastrukture Telenora, a u skladu sa članom 9, stav 2, odgovarajućeg pravilnika. Ovaj član propisuje da zadržani podaci o elektronskim komunikacijama, putem odgovarajućeg tehničkog interfejsa, moraju biti dostupni nadležnim državnim organima za period od poslednjih 12 meseci od dana obavljene komunikacije.

Sredinom 2015. godine, Telenor je implementirao novi informacioni sistem za samostalni pristup (Call detail record, CDR sistem) omogućavajući nadležnim organima funkcije koje u starom, info sistemu nisu postojale. Između ostalog, to je pristup podacima o saobraćaju postpejd korisnika preko baznih stanica ili IMEI broja. Nakon uvođenja CDR sistema, mogućnost samostalnog pristupa podacima očigledno je uticao na smanjenje broja zahteva dostavljenih operatoru u redovnoj proceduri.

U poređenju sa ukupnim brojem zahteva, broj neposrednih pristupa zadržanim podacima je daleko veći i čini se da znatno bolje odražava razmere nadzora koji sprovode državnim organi. Ipak, treba naglasiti da je i količina ovakvih pristupa posledica načina na koji je sistem ustrojen, te da ne odražava stvaran broj građana čijim se podacima pristupa. Na primer, za duže intervale pristupanja podacima, nadležni organi moraju da ostvaruju više upita, što će sistem registrovati kao novi samostalni pristup; takođe, broj pristupa uvećava se i ukoliko dođe do greške zbog koje se identični upiti ponavljaju.

Relevantne podatke treba tražiti u jedinstvenim komunikacionim identitetima koji su bili predmet diretknih pristupa, dakle u broju jedinstvenih SIM kartica, telefonskih uređaja ili baznih stanica. Dakle, Telenor je za 2014. godinu naznačio da se ukupan broj od 201.879 samostalnih pristupa zapravo odnosi na 49.740 jedinstvenih komunikacionih identiteta. Prelaskom na novi sistem ovaj broj raste, pa je tako u 2015. godini ostvaren pristup podacima 69.835 jedinstvenih komunikacionih identiteta. Naredne godine ovaj broj se penje do 73.845. Sada je reč samo o podacima iz novog, CDR sistema, jer podaci iz info sistema, čija je upotreba gotovo zamrla, nisu dostupni.

VIP

Iako se u izveštajima koje je dostavio treći po veličini operator nalaze samo primljeni zahtevi za pristup zadržanim podacima, tabele koje ova kompanija dostavlja Povereniku sadrže više kategorija sa nešto više detalja o tome ko i zašto traži podatke.

Kada je reč o samom obimu, VIP registruje relativno malo zahteva pa je tako u 2014. godini registrovano svega 109, od čega je 58 zahteva ispunjeno. U 2015. godini došlo je do manjeg povećanja pa je registrovano 146 zahteva, od čega je ispunjeno 71, dok se u 2016. godini broj zahteva približio onom od dve godine ranije, te je od 114 zahteva ispunjeno 60.

VIP takođe beleži podatke o tome ko je podnosilac zahteva, te je u periodu od tri godine najviše zahteva uputio MUP i to 59. Zanimljivo je da je i ovde sledeći najčešći zahtevalac Osnovni sud iz Vršca, koji je u periodu od tri godine podneo 57 zahteva. Slede Viši Sud u Beogradu, Drugo osnovno javno tužilaštvo iz Beograda, Osnovni i Viši sud iz Novog Sada i drugi.

Poreklo zahteva za pristup podacima, VIP

U tabelama koje je VIP dostavio Povereniku zabeležene su i odredbe zakona, odnosno pravni osnov pristupanja zadržanim podacima, iz čega se mogu utvrditi razlozi za pristup. Najviše zahteva, ukupno 86, odnosi se na član 286 Zakona o krivičnom postupku koji reguliše ovlašćenja policije da u predistražnom postupku, po nalogu suda, pribavlja evidenciju ostvarene telefonske komunikacije i korišćenih baznih stanica, ili da izvrši lociranje mesta sa kojeg se obavlja komunikacija. U 24 slučaja ovi podaci su traženi u okviru postupaka koji su se ticali krivičnog dela neovlašćene proizvodnje i stavljanja u promet opojnih droga, a isto toliko je bilo slučajeva u vezi krivičnog dela ugrožavanja sigurnosti. Potom slede krivična dela nasilja u porodici, silovanja, uvreda i tako dalje. U preko stotinu slučajeva nije naveden nikakav pravni osnov zahteva za pristup zadržanim podacima.

Pravni osnov zahteva za pristup, VIP

Gotovo po pravilu, VIP odbija preko 50% zahteva nadležnih organa. Iz tabele koju je ova kompanija priložila svom izveštaju, može se zaključiti da se najčešće odbijaju zahtevi koji se odnose na podatke starije od 12 meseci, dok u pojedinim slučajevima nema obrazloženja zašto se nije postupilo po zahtevu. Najviše zahteva odbijeno je MUP-u, kao najčešćem tražiocu, ali je upadljivo veći broj odbijenih (36) nego usvojenih (23) zahteva iz ovog izvora. Sledeći po broju odbijenih zahteva je Osnovni sud u Vršcu (18) kojem je, s druge strane, prihvaćeno 39 zahteva. Po negativnom skoru, odnosno po procentu zahteva koji nisu u skladu sa zakonom, izdvajaju se Osnovni i Viši sud iz Novog Sada, Osnovni sud iz Kragujevca, te osnovni sudovi iz Čačka i Požarevca, koji su uputili po četiri zahteva a da ni po jednom nije postupljeno.

U svojim izveštajima, VIP nije dostavio podatke o samostalnim pristupima nadležnih organa zadržanim podacima.

Telekom Srbija

Najveći operator usluga mobilne telefonije, Telekom Srbija, koji drži gotovo polovinu tržišta u Srbiji, dostavlja Povereniku najoskudniji izveštaj, na jednoj jedinoj stranici, koji sadrži samo podatke o ukupnom i ispunjenom broju primljenih zahteva, te broju zahteva koji se odnose na podatke starije od 12 meseci. Prema tim izveštajima, ova kompanija je primila svega 344 zahteva za pristup zadržanim podacima u drugoj polovini 2014. godine, od kojih je 280 ispunjeno. Naredne godine, Telekom je primio 745 zahteva i ispunio njih 546, dok je 2016. godine primljeno 684, a ispunjeno 496 zahteva

Telekom Srbija u svojim izveštajima ne dostavlja podatke o samostalnim pristupima nadležnih organa zadržanim podacima.

Statistike operatora interneta

Operatori koji pružaju usluge interneta takođe su u obavezi da dostavljaju odgovarajuće izveštaje Povereniku. Po prirodi stvari, zahtevi za pristup zadržanim podacima koje ovi operatori primaju od nadležnih organa znatno su malobrojniji. Naime, za razliku od podataka prikupljenih mobilnim telefonom, iz kojih se može utvrditi gde je određena osoba bila u svakom trenutku, podaci o korišćnjenju određene IP adrese eventualno mogu otkriti kada je osoba kod kuće ili na poslu, odnosno koji uređaj koristi. Takođe, listinzi mobilnih telefona lako otkrivaju ko je, s kim i koliko dugo komunicirao, dok podaci koji se zadržavaju nakon korišćenja usluge interneta govore kada je i koji sajt posećen, ali ne i s kim je korisnik komunicirao. Drugim rečima, za dublje praćenje komunikacije na internetu potrebno je nešto više od podataka koje zadržavaju operatori, iako je potencijal metapodataka koje ostavljamo na internetu jako veliki što je u svojim posebnim istraživanjimaSHARE Fondacija detaljno izložila.

Izuzev kompanije SBB koja godišnje prima nešto preko 50 zahteva, i Orion Telekoma koji je značajniji broj zahteva imao u 2016, operatori koji su podneli izveštaje Povereniku u protekle tri godine ne registruju naročito veliki broj zahteva.

Zbirno gledano, podaci iz izveštaja ipak ukazuju na trend rasta zahteva koje upućuju nadleženi organi. U 2014. ukupno je registrovano 113 zahteva, u 2015. bilo je 168, a u 2016. godini je registrovano 268 zahteva.

Zanimljivo je povećanje broja zahteva koje je registrovao Orion Telekom sa gotovo desetostruko većim brojem u 2016. nego prethodnih godina. Podatak je neobičan i u svetlu ranije analize SHARE Fondacije u kojoj je dokumentovana činjenica da je BIA još 2010. godine instalirala svoj sistem u prostorije Orion Telekoma, i tako stekla potpun i slobodan uvid u zadržane podatke ovog operatora.

Stoga i izveštaje operatora interneta treba posmatrati sa određenom zadrškom, budući da se odnose samo registrovane, odnosno prijavljene zahteve. Posebno treba imati u vidu saznanja da se pojedina javna tužilaštva obraćaju operatorima fiksne i mobilne telefonije i interneta sa zahtevima za dostavljanje drugih zadržanih podataka o komunikaciji, bez odluke suda, te da čak i izriču kazne u slučaju nepostupanja po zahtevu.

Statistike i crna hronika

Kada je sredinom 2015. ministar policije izvestio javnost o “novim dokazima” u istrazi ubistva braće Bitići, stručna javnost ostala je u nedoumici. Ministar je, naime, govoreći o manjkavostima u prethodim istragama pomenuo “mogućnost veštačenja log-ofova sa baznih stanica mobilne telefonije koje ukazuju na prisustvo određenih ljudi za koje se nije smatralo da su bili prisutni, ili nije utvrđeno da su bili prisutni, a sada bazna stanica kaže drugačije”. Reč je o ubistvu američkih državljana poreklom sa Kosova, u bazi specijalnih jedinica MUP kod Kladova davne 1999. godine, u doba kada ni mobilna telefonija ni pristup podacima nisu bili regulisani.

Nema pravnih ni tehničkih objašnjenja o kakvim je logovima reč, kada im je pristupljeno i po kom osnovu se čuvaju 18 godina, niti je o ovoj istrazi više bilo reči.

No, da se zadržani podaci koriste u policijskim istragama, a ne samo za praćenje bezbednosno ili politički “interesantnih” lica, jasno je već i na prvi pogled. Digitalne tehnologije značajno su olakšale i ubrzale proces prikupljanja informacija u istražnim postupcima. Takođe su, međutim, izložile riziku i građane čiji podaci o kretanju i komunikaciji nemaju nikakve veze sa istragom, osim nesrećnog sticaja okolnosti da su registrovani na istoj baznoj stanici kao i podaci osumnjičenih.

Pregledom izveštaja o preko 4000 zahteva po kojima je Telenor postupao tokom 2014. godine, može se uočiti kako državni organi koriste zadržane podatke u okviru svojih nadležnosti. Mada je logično, ipak iznenađuje u kojoj se meri datumi udarnih vesti iz crne hronike poklapaju sa datumima za koje je traženo najviše zadržanih podataka.

Recimo, MUP će za 14. novembar te godine zatražiti podatke sa četiri bazne stanice, pri čemu su neselektivno obuhvaćeni podaci za preko 630 različitih komunikacionih identiteta (jedinstvenih brojeva SIM kartica i uređaja). To je dan kada je izvršen pokušaj ubistva na beogradskog biznismena Milana Beka.

Zahtevom koji je podnet 14. avgusta traženi su podaci za preko 390 različitih komunikacionih identiteta, u periodu od 24. jula do 11. avgusta. To se poklapa sa periodom istrage nestanka, odnosno ubistva Tijane Jurić.

U noći 25. jula, na Brankovom mostu u Beogradu, automobil je udario Luku Jovanovića (19), koji je sa drugovima gurao pokvarenu “ladu”. Luka je preminuo dva dana kasnije u bolnici, a za ovaj dan MUP će od operatora zatražiti podatke za preko 90 različitih komunikacionih identiteta, u istrazi poznatoj pod nazivom “afera kantrimen”, po automobilu počinioca.

Nakon što je 16. maja, ispred splava na Novom Beogradu, ubijen vođa jedne od navijačkih grupa Crvene Zvezde, Velibor Dunjić, MUP je uputio Telenoru zahtev za pristup podacima za preko 300 komunikacionih identiteta generisanih tog dana.

Većina građana čiji su zadržani podaci predati policiji na osnovu neselektivnog zahteva za masovni pristup, nema nikakve veze sa krivičnim delom koje se istražuje. Njihova privatnost suspendovana je samo na osnovu činjenice da su se u određenom trenutku zatekli u blizini ciljane bazne stanice. Njihovi metapodaci, zajedno sa podacima stvarnih osumnjičenih, ostaće u arhivama operatora u skladu sa odredbom o neograničenom čuvanju već zahtevanih podataka. U većini slučajeva, ti građani verovatno ni danas nisu svesni da im je privatnost na ovaj način narušena.

Javne evidencije tajnih službi

Pored operatora koji omogućavaju pristup podacima o komunikaciji građana, identičnom zakonskom obavezom o evidenciji svih zahteva za pristup zadržanim podacima i dostavljanju godišnjih izveštaja Povereniku obuhvaćeni su i nadležni organi koji pristupaju ovim podacima. Iako su smatrali da ovi statistički podaci zaslužuju oznaku poverljivosti, Poverenik je u skladu sa svojim ovlašćenjima procenio da je reč o podacima od značaja za demokratsku javnost u razvoju.

Osim što pružaju uvid u opseg nadzora koji sprovode državne službe, ove evidencije su i koristan izvor za rekonstrukciju nedostajućih podataka iz izveštaja koje operatori mobilne telefonije dostavljaju Povereniku. Iz evidencija je takođe vidljivo da za državne službe ne postoji standardizovana terminologija, opis i klasifikacija procedura pristupa zadržanim podacima.

MUP

MInistarstvo unutrašnjih poslova je za 2014. godinu uputio Povereniku dva dopisa na istu temu. Jedan je stigao sa adrese kabineta ministra, s potpisom Nebojše Stefanovića, a u njemu se navodi da je od ukupno 76.624 zahteva za pristup zadržanim podacima koje je poslao MUP, ispunjeno 76.217 zahteva. Drugi dopis je Povereniku poslala Direkcija policije, s potpisom tadašnjeg direktora Milorada Veljovića. Ovde se pojašnjava da se dopis odnosi na zahteve koje je tokom te godine slala Služba za specijalne istražne metode Uprave kriminalističke policije (SSIM UKP), i to ukupno 76.590, od čega je 76.188 zahteva ispunjeno.

Mada u dopisu nije precizirano, utisak je da su podaci iz kabineta ministra objedinjeni, odnosno da je ukupnom broju priključen i broj zahteva iz drugog dopisa. Zanimljivo je da se u izveštaju SSIM navodi da broj zahteva označava broj jedinstvenih parametara za pristup, kao što su listinzi pretplatničkih brojeva mobilne i fiksne telefonije, listinzi baznih stanica, listinzi po IMEI brojevima mobilnih telefonskih aparata, lociranja mobilnih pretplatničkih brojeva i slično. Ovaj opis gotovo u potpunosti odgovara onome što Telenor označava kao jedinstveni komunikacioni identitet.

U 2015. godini MUP dostavlja samo objedinjeni izveštaj sa adrese kabineta ministra, iz kog se vidi da se broj poslatih zahteva popeo na 95.338. Od ukupnog broja, ispunjeno je 95.281 zahteva. Naredna godina takođe beleži povećanje, ali ne tako značajno – od 97.064 poslatih zahteva, ispunjeno je 97.040

BIA

U svojoj evidenciji o zahtevima za pristup zadržanim podacima, Bezbedonosno-informativna agencija razlikuje pravni osnov za pristup podacima. Naime, BIA je ovlašćena da uz sudsku odluku pristupa zadržanim podacima u skladu sa Zakonom o Bezbedonosno-informativnoj agenciji i to za potrebe zaštite nacionalne bezbednosti, dok u skladu sa Zakonikom o krivičnom postupku BIA pristupa zadržanim podacima za potrebe sprečavanja i otkrivanja krivičnih dela.

U 2014. godini na osnovu člana 13 Zakona o BIA i za potrebe zaštite nacionalne bezbednosti, Višem sudu u Beogradu je upućeno 94 predloga za odobrenje pristupa zadržanim podacima, od čega je 80 predloga odobreno. Po istom pravnom osnovu u 2015. godini je upućeno 110 predloga, od čega je 84 odobreno. Do određenog smanjenja dolazi 2016. godine, kada je od 58 predloga odobreno 41.

Kada su u pitanju pristupi zadržanim podacima na osnovu članova 178 i 286 Zakonika o krivičnom postupku, kojima se uređuje primena posebnih dokaznih radnji, odnosno radnji u predistražnom postupku, BIA navodi da je, tokom 2014. godine, nadležnim višim javnim tužilaštvima uputila 1356 “inicijativa za predlaganje nadležnom sudiji za prethodni postupak donošenje naredbe kojom se odobrava pristup zadržanim podacima”. Pristup je odobren u 1339 slučajeva, u 9 slučajeva je predlog odbijen, dok u 8 slučajeva sud nije doneo nikakvu odluku. Tokom 2015. godine, BIA je uputila 1536 ovakvih predloga, od čega je 1523 odobreno. U četiri slučaja sud je odbio predlog, dok u 9 navrata nije odgovoreno. U 2016. godini upućeno je 1607 ovakvih predloga, odobreno je 1592, u 11 slučajeva sud je odbio predlog, dok u četiri slučaja nije odgovoreno.

VBA

Budući da je Vojnobezbednosna agencija u svojim dopisima Povereniku jasno navela da su zahtevi za pristup zadržanim podacima ostvarivani “putem pristupnih aplikacija operatora VIP, Telenor, MTS i Telekom”, razjašnjena je dilema da li ovakve pristupne aplikacije postoje kod sva tri operatora mobilne telefonije, a ne samo kod Telenora koji je jedini izvestio Poverenika o toj vrsti pristupa.

Tako se podaci o samostalnim pristupima ostvarenim kod ostalih operatora mogu delimično rekonstruisati na osnovu izveštaja VBA koja, recimo, u izveštaju Povereniku za 2014. godinu navodi da je uputila ukupno 2.422 zahteva za pristup operatorima, od čega je ispunjeno 2.420. Ako znamo da je u toj godini Telenor registrovao 1068 direktnih pristupa, razliku od skoro 1200 zahteva za direktan pristup VBA čine pristupi kod drugih operatora, što oni nisu evidentirali iako su na to zakonom obavezani.

Inače, ukupan broj zahteva za pristup koje je 2014. uputila VBA, na osnovu odluka nadležnih sudova, odnosi se na 169 različitih telefonskih brojeva.

U 2015. godini dolazi do određenog smanjenja obima elektronskog nadzora koji sprovodi ova služba, pa je VBA podnela ukupno 1.578 zahteva, od čega je ispunjeno 1.306. VBA takođe navodi da se odbijeni zahtevi odnose na one telefone za koje nije bilo zadržanih podataka, jer “nisu bili korišćeni u traženom vremenskom periodu”. Osim samog broja zahteva za pristup, smanjena je i količina individualnih telefonskih brojeva čijim se podacima pristupalo, i to na 87.

Poslednje godine posmatranog perioda, 2016. dolazi do značajnijeg porasta sa 5.710 zahteva koje je podnela VBA, od čega je ispunjeno 5.230. Odbijeni zahtevi se i ove godine odnose na one telefone za koje nije bilo zadržanih podataka. Ukupna količina zahteva se odnosila na 154 različita telefonska broja.

Jednom zahtevani podaci čuvaju se zauvek

U Srbiji preko 9 miliona aktivnih korisnika usluga mobilne telefonije i oko 4,5 miliona korisnika interneta svakodnevno “proizvodi” metapodatke koji se, u skladu sa zakonskim odredbama, zadržavaju 12 meseci bez izuzetka. Međutim, kada neko od nadležnih organa jednom ostvari pristup zadržanim podacima, obaveza njihovog čuvanja produžava se bez ograničenja. Naime, Zakon o elektronskim komunikacijama (član 13, stav 1, tačka 4) obavezuje operatore da one podatke koje su jednom dostavili nadležnim organima čuvaju zauvek. Ove podatke operatori čuvaju u svojim arhivama kako bi im omogućili pristup, na odsnovu sudske odluke, i godinama nakon što su nastali. Ovakvo zakonsko rešenje osigurava čuvanje “originalne kopije” zadržanih podataka koji su već jednom bili predmet istrage ili sudskog procesa, kako bi se omogućila eventualna revizija, apelacija, ili druga vrsta zaštite prava ponovnim veštačenjem dokaza. Takođe, na ovaj način se osigurava zaštita od eventualnog narušavanja integriteta dokaza. S druge strane, međutim, privatnost građana ovako se izlaže dodatnim rizicima, te su potrebni posebni napori da se ova dva konfliktna interesa zaštite bez međusobnog ugrožavanja.

Pisci Zakona o elektronskim komunikacijama propustili su da izričito obavežu organe javne vlasti da, pošto su upotrebili podatke koji su im operatori dostavili na zahtev, unište one za koje ne postoji razlog daljeg čuvanja. Takva obaveza predviđena je Zakonom o zaštiti podataka o ličnosti, koji propisuje da se svaki podatak o ličnosti mora uništiti nakon što više ne postoji valjan pravni osnov da se on koristi.

Ko još sme da zna šta ste radili prošlog leta?

Jeste li već čuli da… osim nadležnih organa, kojima sudska odluka daje ovlašćenje da pristupe vašim podacima koje čuvaju operatori, postoji još neko ko ima to pravo? Da, postoji, a to ste upravo vi. Svaki građanin Srbije, korisnik usluga mobilne telefonije i interneta, na osnovu Zakona o elektronskim komunikacijama, ima ekskluzivno pravo pristupa svojim podacima. Štaviše, bez odgovarajućeg sudskog naloga, niko ne može da pristupi vašim podacima bez vašeg pristanka. To znači da je operator, uz vašu saglasnost, dužan da vam dostavi podatke koje ima o vama. I ne samo to, već vam Zakon o zaštiti podataka o ličnosti daje pravo na uvid i kopiju ličnih podataka koje kompanije imaju o vama.

Tri člana tima SHARE Fondacije, pretplatnici kod različitih operatora mobilne telefonije, zatražili su 2015. godine podatke o geolokaciji svojih telefonskih uređaja određenog dana. Zahtevi su poslati u skladu sa Zakonom o zaštiti podataka ličnosti, koji nalaže odgovor u zakonskom roku od 15 dana. Sve tri kompanije su u svojim inicijalnim odgovorima odbile da dostave tražene podatke. Neselektivan, masovni pristup podacima građana omogućava se službama gotovo rutinski, ali se ispunjavanje zakonske obaveze dostavljanja podataka njihovim vlasnicima, građanima, ispostavilo kao problem. Iz obrazloženja odluka o odbijanju zahteva bilo je jasno da ili operatori ne poznaju ni domaći pravni sistem, ni tehničke karatkeristike vlastitih usluga, budući da su tvrdili da zadržani podaci “nisu podaci o ličnosti” kao i da “ne čuvaju podatke o lokaciji” – ili je po sredi bilo svesno izvrdavanje obaveze. Naravno, na svaki od ovih odgovora upućena je odgovarajuća žalba Povereniku za informacije od javnog značaja i zaštitu podataka o ličnosti, koji je mobilnim operatorima naložio da smesta dostave tražene podatke, što su oni potom i učinili. Podaci koje smo dobili variraju od približnih adresa gde je naš telefon primećen, pa do oznake tačnih serijskih brojeva baznih stanica i precizne geografske lokacije.

Ovakvo testiranje rada i obaveza operatora, značajan je mehanizam provere celokupnog pravnog okvira u oblasti elektronskih komunikacija, ali i sredstvo osnaživanja građana da i sami preduzmu korake ka zaštiti svojih prava.

Monitoring centar

Evidencije i izveštaji operatora mobilne telefonije i interneta, ali i evidencije nadležnih organa, rečito govore o razmerama elektronskog nadzora u Srbiji, čak i ako se ima u vidu utisak da otkrivaju samo vrh ledenog brega. Disproporcija u brojevima zahteva između Telenorovog i izveštaja druga dva operatora, navodi na zaključak da u ovoj oblasti ne postoji potpuna transparentnost, te da izveštaji ne prikazuju stvarno stanje.

Tokom 2015. godine donet je Pravilnik  o zahtevima za uređaje i programsku podršku za zakonito presretanje elektronskih komunikacija i tehničkim zahtevima za ispunjenje obaveze zadržavanja podataka o elektronskim komunikacijama (“Sl. glasnik RS”, br. 88/2015), uprkos mišljenju Poverenika koji je ocenio da je sadržaj tada predloženog pravilnika suprotan Ustavu i važećim zakonima. Jedna od novina u odnosu na zakonsko rešenje je i tzv. monitoring centar, koji se definiše kao “lokacija na kojoj se nalaze uređaji i programska podrška koje je operator obavezan da obezbedi za potrebe zakonitog presretanja elektronskih komunikacija u skladu sa Zakonom i ovim pravilnikom”. Faktički, monitoring centar predstavlja mesto gde je moguće pristupiti svim elektronskim komunikacijama i zadržanim podacima.

Odredbe Pravilnika propisuju da monitoring centar treba da bude smešten u prostoru koji je pod stalnim nadzorom nadležnih državnih organa i koji omogućava njihov neometan i samostalan pristup. Međutim, nigde nije navedeno gde će se monitoring centar fizički nalaziti, osim što je predviđeno da se monitoring centar, do formiranja u skladu sa Pravilnikom, nalazi u prostorijama Bezbednosno-­informativne agencije. Iz ovakve formulacije može se zaključiti da je BIA imala neku vrstu monitoring centra i pre donošenja Pravilnika. Dodatno, budući da se monitoring centar fizički nalazi u BIA, te da je predviđeno da državni organi imaju direktan pristup bazama podataka, praktično se službama predaju svi zadržani podaci kojima oni mogu da pristupaju, bez adekvatnog nadzora i pravnog osnova.

Obavezna registracija pripejd brojeva u Srbiji

Ministarstvo trgovine, turizma i telekomunikacija je krajem 2016. predstavilo Nacrt novog zakona o elektronskim komunikacijama. Ovim nacrtom je predviđeno da će odredbe trenutno važećeg Zakona o elektronskim komunikacijama, koje se odnose na tajnost elektronskih komunikacija, zakonito presretanje i zadržavanje podataka, nastaviti da se primenjuju i nakon donošenja novog zakona i to sve do izrade posebnog zakona koji bi uredio ova pitanja. To znači da su predlagači Nacrta odlučili da u ovom trenutku ne menjaju pravni okvir u ovoj oblasti. Ipak, činjenica da je predviđeno donošenje posebnog zakona koji bi regulisao ova pitanja, otvara nove mogućnosti, naročito u pogledu usklađivanja domaćeg pravnog okvira sa najnovijim trendovima u okviru EU, ali i rizik da se umanji nivo garantovanog prava građana na privatnost.

S druge strane, inovacija predviđena ovim Nacrtom jeste član 144 kojim se propisuje obavezna registracija “pretplatnika pre početka pružanja usluge preko javne mobilne komunikacione mreže“ (stav 1). Budući da nije definisano na koje se korisnike zapravo odnosi ova obaveza, ona se bez jasne ograde može primenjivati i na pripejd korisnike mobilne telefonije, što u važećem Zakonu nije slučaj. Stoga se može zaključiti da je svrha ove odredbe da pokrije jedinu preostalu “rupu” u sistemu nadzora, te da se ukrštanjem zadržanih podataka i podataka koje operatori imaju o svojim pretplatnicima omogući utvrđivanje identiteta svih korisnika, a ne samo onih koji imaju pretplatnički ugovor sa operatorom.

SHARE Fondacija je zauzela stav da bi uvođenje obavezne registracije pripejd SIM kartica korisnika mobilne telefonije u Srbiji predstavljalo intruzivnu meru po većinu građana, bez objektivnh garancija da ova mera doprinosi borbi protiv kriminala i zaštiti nacionalne bezbednosti, što su uobičajeni argumenti u prilog mere. Upravo je zabrinjavajuća činjenica da se obavezna registracija predlaže bez adekvatne analize društvenih i ekonomskih efekata, koja bi obrazložila nastojanja da se takva mera primeni. U vezi s tim, značajno je napomenuti da se u prošlogodišnjem izveštaju GSM Asocijacije ističe da i dalje ne postoje empirijski dokazi da ova praksa direktno utiče na smanjenje stope kriminala.

U okviru javne rasprave, SHARE Fondacija je nadležnom Ministarstvu uputila komentare na predloženu registraciju pretplatnika, sa stavom da bi član 144 Nacrta zakona o elektronskim komunikacijama trebalo izbrisati iz konačne verzije Nacrta.

Zadržavanje podataka u svetu: EU i SAD

Opšte zadržavanje podataka o svim elektronskim komunikacijama više ne može da se smatra standardom. Raznolika praksa pokazuje da države članice EU nastoje da bliže urede zadržavanje podataka, kako ne bi postojala mogućnost za masovno narušavanje privatnosti građana, bilo da je reč o mejlovima, telefonskim razgovorima ili posećenim vebsajtovima.

Posle ukidanja Direktive o zadržavanju podataka 2014. godine, krovnog dokumenta Evropske unije koji je postavio pravni okvir za zadržavanje podataka, države članice su krenule u reviziju standarda koji su do tada bili propisani. Do sada je nekoliko ustavnih sudova država članica EU proglasilo zadržavanje podataka neustavnim – reč je o Austriji, Belgiji, Bugarskoj, Holandiji, Rumuniji, Poljskoj, Slovačkoj i Sloveniji. Takođe, zadržavanje podataka je stavljeno na razmatranje pred vrhovnim sudovima Estonije i Irske. Međutim, pojedine države, poput Belgije, Bugarske ili Slovačke, nakon ustavnih odluka pokrenule su nove zakonske inicijative koje bi propisale zadržavanje podataka na nacionalnom nivou, uz dodatne zaštitne i kontrolne mere pristupa i čuvanja podataka. Nemačka je još jedna članica Unije u kojoj su ponovo uvedene mere zadržavanja podataka, ali uz brojne zaštitne mehanizme, koji podrazumevaju da dve osobe uvek moraju da odobre tehnički pristup podacima, kao i obavezu kripto-zaštite i čuvanja beleški o pristupu podacima i drugo. Kao naročito važnu treba istaći odluku Ustavnog suda Slovenije, koji je 2014. preduzeo dodatne korake kako bi operatori izbrisali podatke korisnika koje su zadržali.

Najvažniji trenutak u razmatranju zadržavanja podataka o elektronskim komunikacijama u Evropskoj uniji jeste svakako odluka Suda pravde EU iz decembra 2016. Slučaj je najpre pokrenut tako što je 2014. švedski operator Tele2 obavestio nacionalnog regulatora za telekomunikacije da će prestati da zadržava podatke korisnika, kao i da planira da izbriše sve do tada sačuvane podatke. Kasnije je švedskom slučaju Sud pravde EU pridružio i predstavku britanskog poslanika Toma Votsona i drugih, zbog sličnosti pitanja koje je trebalo da se razmotri. Stav suda je bio da kada je reč o opštem i neselektivnom zadržavanju podataka o elektronskim komunikacijama, pravo Evropske unije ima prvenstvo u primeni u odnosu na nacionalno zakonodavstvo država članica, u konkretnom slučaju Švedske i Ujedinjenog Kraljevstva. Dakle, kako je Sud pravde EU procenio, države operatorima ne mogu da propišu opštu obavezu zadržavanja podataka. Međutim, ostavljena je mogućnost da države članice posebnim merama uvedu “ciljano” zadržavanje podataka radi borbe protiv ozbiljnih zločina, uz dodatne uslove zaštite zadržanih podataka i nezavisne kontrole pristupa nadležnih organa.

Savet EU je u februaru 2017. potvrdio da opšte i nediskriminatorno zadržavanje podataka radi prevencije zločina ili zbog drugih razloga zaštite bezbednosti prema “Tele2” presudi ne može biti propisano kao obaveza na nacionalnom nivou, kao što nije na nivou Unije. Čini se da je na osnovu takvog tumačenja spomenute presude Suda pravde EU jasno da se obaveza opšteg zadržavanja podataka o komunikacijama ne može više smatrati evropskim standardom.

Zadržavanje podataka o elektronskim komunikacijama u Sjedinjenim Državama nije propisano kao obavezno nijednim federalnim propisom, ali ukoliko provajderi čuvaju podatke svojih korisnika, organi vlasti im mogu pristupati na osnovu Zakona o sačuvanim komunikacijama (Stored Communications Act). Operatori elektronskih komunikacija su tako dužni da zadrže podatke korisnika u periodu do 180 dana, ukoliko to državni organi od njih zatraže. Da bi se pristupilo sadržaju komunikacije neophodna je odluka nadležnog suda, dok je u slučaju pristupa metapodacima, koji predstavljaju glavnu vrstu zadržanih podataka o komunikacijama, dovoljan samo administrativni nalog koji ne izdaju sudovi.