Zadržavanje podataka o komunikaciji u Srbiji: Koliko smo pod nadzorom?

26-12-2018

Pregled stanja u 2017. godini

U kontekstu digitalnih tehnologija savremene komunikacije, zadržani podaci (metapodaci) predstavljaju podatke o komunikaciji, odnosno podatke o tome ko je s kim, kada i gde razgovarao, koje je stranice posetio na internetu kao i kako se ponašao prilikom svog kretanja po internetu. Te podatke operatori telekomunikacionih usluga zadržavaju a državne službe mogu da koriste za sprovođenje istraga i u sverhe nacionalne bezbednosti, u skladu sa zakonom. Međutim, s obzirom na intruzivnost metapodataka za privatnost građana prostor za zloupotrebe je dosta širok.

Obavezno zadržavanje svih podataka o elektronskim komunikacijama (data retention) je praksa od koje se odustaje u Evropskoj uniji, što se može videti na osnovu dve presude Suda pravde Evropske unije iz 2014. i 2016. godine. Usvajanje novog seta EU propisa u oblasti zaštite podataka o ličnosti (Opšta uredba o zaštiti podataka o ličnosti – GDPR i tzv. “policijska Direktiva”) će takođe uticati na politike prikupljanja podataka građana.

Prošle godine smo objavili istraživanje o zadržavanju podataka u Srbiji od 2014. do 2016. godine, u kome smo predstavili podatke i trendove kada je reč o pristupu podacima o komunikacijama koje zadržavaju operatori telekomunikacionih usluga. Istraživanje smo nastavili i u 2018. godini, tražeći od Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti da nam dostavi evidencije o zahtevima za pristup zadržanim podacima za 2017. godinu koje su operatori elektronskih komunikacija i nadležni organi dostavili Povereniku u skladu sa članom 130a Zakona o elektronskim komunikacijama.

Tržište mobilne telefonije i “vrh ledenog brega” pristupa podacima

Prema izveštaju RATEL-a za drugi kvartal 2018. godine, najveće tržišno učešće po broju korisnika mobilne telefonije ima Telekom Srbija, budući da gotovo polovina građana Srbije koristi usluge ove kompanije, tačnije 45,4%. Slede Telenor sa 31,3% i VIP sa 23,2%.

Ilustracija iz kvartalnog izveštaja RATEL-a

Podaci RATEL-a pokazuju da u drugom kvartalu 2018. godine u Srbiji postoji oko 8,5 miliona aktivnih korisnika usluga mobilne mreže, što samo po sebi govori o značaju pristupa zadržanim podacima.

Nakon kontinuiranog rasta u prethodne tri godine, u 2017. godini se beleži pad broja zahteva za pristup zadržanim podacima. Naime, u 2017. godini, Telekom je registrovao 574 zahteva, što je za oko 100 manje nego tokom 2016. godine, Telenor 367, što je neznatno manje nego prethodne godine, dok je Vip imao blizu 200 zahteva za pristup zadržanim podacima. Zanimljivo je da je Vip jedini operator koji je imao povećanje broja zahteva – 2016. godine bilo je 114 zahteva dok je prošle godine taj broj iznosio 199.

Ukoliko se uporede ukupan broj zahteva upućenih ka ova tri operatora i izveštaj RATEL-a, može se reći da se broj zahteva u dobroj meri poklapa sa učešćem operatora na tržištu. Zahtevi za pristup zadržanim podacima predstavljeni na grafikonu ispod su samo “vrh ledenog brega”, jer su to zapravo samo zahtevi koje državnih organi šalju operatorima zajedno sa sudskom odlukom. Broj samostalnih pristupa, tj. onih slučajeva kada službe bezbednosti i policija direktno pristupaju bazama zadržanih podataka, značajno je veći – u slučaju Telenora, jedinog operatora koji ove pristupe beleži i prijavljuje, veći je 1000 puta od “zvaničnih” zahteva.

Tehnička specifikacija za omogućavanje samostalnog pristupa nadležnih organa navedena je u Pravilniku o zahtevima za uređaje i programsku podršku za zakonito presretanje elektronskih komunikacija i tehničkim zahtevima za ispunjenje obaveze zadržavanja podataka o elektronskim komunikacijama iz 2015. godine. Pravilnik u članu 9, stav 2 propisuje da “zadržani podaci o elektronskim komunikacijama moraju putem odgovarajućeg tehničkog interfejsa biti dostupni nadležnim državnim organima za period od poslednjih 12 meseci od dana obavljene komunikacije, a u skladu sa zakonom.”

Telenor

U odnosu na broj samostalnih elektronskih pristupa nadležnih organa, pisani zahtevi poneti Telenoru tokom 2017. su malobrojni. Važno je napomenuti da je Telenor i dalje jedini operator koji dostavlja Povereniku podatke o samostalne pristupe državnih organa zadržanim podacima, kojih je tokom 2017. godine bilo 381.758.

Podaci koje je Telenor dostavio Povereniku takođe govore koji su organi pisanim putem zahtevali kopiju zadržanih podataka. U 2017. godini najviše zahteva je poslalo Ministarstvo unutrašnjih poslova, sa oko 55% od ukupnog broja zahteva ove vrste.

Ono što se može primetiti iz dostavljenih podataka jeste da iako Telenor u svom izveštaju navodi da ne dostavlja podatke starije od 12 meseci, postoje 53 ispunjena zahteva u kojima su dostavljeni podaci stariji od 12 meseci. Praksa pokazuje da se jednom zatraženi i dostavljeni podaci čuvaju trajno, s tim da će ponovo biti dostavljeni u slučaju budućeg zahteva nadležnih organa. U Zakonu o elektronskim komunikacijama (član 130, stav 1, tačka 4) propisano je da operatori ne brišu podatke koje su jednom dostavili nadležnim organima, iz čega proizilazi da se oni čuvaju zauvek. To praktično znači da iako operatori imaju obavezu da zadržavaju podatke o ostvarenoj komunikaciji samo u periodu od 12 meseci, nadležni organi koji prikupljaju zadržane podatke ih mogu čuvati neograničeno i ponovo tražiti.

Vip

Vip beleži podatke o tome ko je podnosilac zahteva, te je tokom 2017. godine najviše zahteva uputila Uprava kriminalističke policije Ministarstva unutrašnjih poslova i to 160 zahteva od kojih je ispunjen 121 zahtev za pristup zadržanim podacima. Zanimljivo je da je od 199 zahteva upućenih Vipu 143 bilo bez navođenja pravnog osnova dok su u 21 zahtevu kao osnov navedena ovlašćenja policije iz člana 286 Zakonika o krivičnom postupku, što znači da ako postoje osnovi sumnje da je izvršeno krivično delo za koje se goni po službenoj dužnosti, policija je dužna da preduzme potrebne mere da se pronađe učinilac krivičnog dela, da se učinilac ili saučesnik ne sakrije ili ne pobegne, da se otkriju i obezbede tragovi krivičnog dela i predmeti koji mogu poslužiti kao dokaz, kao i da prikupi sva obaveštenja koja bi mogla biti od koristi za uspešno vođenje krivičnog postupka.

U prethodnoj godini VIP je odbio oko 30% zahteva nadležnih organa. Iz tabele koju je ova kompanija priložila svom izveštaju, može se zaključiti da se najčešće odbijaju zahtevi koji se odnose na podatke starije od 12 meseci, ali se takođe može primetiti da su ispunjena 2 zahteva u kojima su traženi podaci stariji od 12 meseci. Od celokupnog broja zahteva u najvećem broju slučajeva, odnosno u 178 slučajeva zahtevaju se podaci koji se odnose na period manji od jednog meseca, dok se za ostale periode upućuje u proseku 5% zahteva.

Telekom Srbija

Najveći operator usluga mobilne telefonije, Telekom Srbija, dostavio je Povereniku izveštaj prema zakonskom minimumu, koji ne pruža širi kontekst i detalje, kao što je slučaj kod Telenora. Izveštaj sadrži samo podatke o ukupnom i ispunjenom broju primljenih zahteva, te broju zahteva koji se odnose na podatke starije od 12 meseci. Prema izveštaju za prethodnu godinu može se videti da je ova kompanija primila oko 15% manje zahteva nego 2016. godine, odnosno primljeno je 574 zahteva dok je 452 zahteva ispunjeno.

Statistike operatora interneta

Operatori koji pružaju usluge interneta takođe su u obavezi da dostavljaju odgovarajuće izveštaje Povereniku, pa se tako na osnovu dostavljenih izveštaja može videti da je SBB primio skoro isti broj zahteva kao 2016. godine odnosno 80, dok je vrlo zanimljivo primetiti da se broj zahteva koje je Orion primio smanjio sa 90 koliko je bilo zahteva 2016. godine na samo 19 tokom prethodne godine. Takođe, ukupan broj zahteva upućenih internet operatorima se smanjio za oko 37%, odnosno tokom 2017. godine upućeno je ukupno 169 zahteva za pristup zadržanim podacima.

Izveštaji policije i bezbednosnih službi

Pored operatora koji pružaju usluge elektronskih komunikacija, državni organi nadležni za pristupanje zadržanim podacima takođe imaju obavezu Povereniku dostave godišnje izveštaje. Na taj način se doprinosi transparentnosti rada policije i službi bezbednosti i stiče uvid u njihove prakse kada je reč o pristupu zadržanim podacima.

MUP i VBA

Iz izveštaja koji je MUP dostavio Povereniku može se primetiti da MUP beleži znatni porast poslatih zahteva u odnosnu na prethodne godine, odnosno MUP je tokom 2017. godine poslao ukupno 127.670 zahteva od kojih je ispunjeno 127.654 dok je tokom 2016. godine mup zabeležio 97.064 poslata zahteva.

Ukupan broj zahteva za pristup koje je 2017. uputila VBA iznosi 3.591 od kojih je  ispunjeno 3.173 zahteva.

BIA

Bezbednosno-informativna agencija vodi evidenciju o zahtevima koji su upućeni sudovima i višim javnim tužilaštvima, te je tako tokom prethodne godine sudovima upućeno 28 zahteva od kojih je ispunjeno 23, dok je visokim javnim tužilaštvima upućeno 1506 zahteva od kojih je ispunjeno 1473.

Koliki je ukupan broj samostalnih pristupa državnih organa?

Kada sagledamo sve podatke o samostalnom pristupu zadržanim podacima sa makro-nivoa i uzmemo u obzir činjenicu da jedino Telenor vodi evidenciju, odnosno dostavlja izveštaj o samostalnom pristupu koji vrše državni organi, a obzirom da Telenor čini 30% udela na tržištu, praveći analogiju možemo reći da je ukupan broj samostalnih pristupa značajno veći u odnosu na podatke kojima raspolažemo. Iz dopisa koje je VBA dostavljala Povereniku se može zaključiti da i drugi operatori, Telekom Srbija, MTS i Vip, poseduju aplikacije za samostalni pristup državnih organa.

Registracija pripejd SIM kartica – velike implikacije, neizvesni rezultati

Donošenje novog Zakona o elektronskim komunikacijama se ponovo pojavilo kao tema početkom septembra ove godine, a kako stvari za sada stoje planirana je registracija korisnika pripejd mobilne telefonije. Pokušaja da se uvede obavezna registracija je bilo ranije, ali mera ipak nije ušla u finalni tekst trenutno važećeg zakona. Obzirom da se kao ključni argumenti za uvođenje registracije obično navode olakšavanje vođenja krivičnog postupka i zaštita nacionalne bezbednosti, suštinsko pitanje koje se postavlja jeste da li to zaista vodi efikasnosti rada državnih organa, tj. policije i službi bezbednosti.

Prema istraživanju GSM Asocijacije, globalnog udruženja mobilnih operatora, obavezna registracija pretplatnika koji koriste pripejd SIM kartice je kao mera razmatrana u više država širom sveta, koje su iz različitih razloga odustale od njene primene (Češka Republika, Rumunija, Kanada, Novi Zeland, Ujedinjeno Kraljevstvo). U Meksiku, državi za koju je poznato da ima ogromne probleme sa organizovanim kriminalom, navedena mera je propisana 2009. godine, da bi posle tri godine bila ukinuta. Fondacija “Panoptikon”, organizacija za zaštitu digitalnih prava iz Poljske, ukazala je na brojne probleme u praktičnoj primeni registracije pripejd kartica, poput prodaje ili ustupanja kartica koje su registrovane na tuđe ime i dodatnih troškova koje će snositi operatori i posledično građani koji koriste njihove usluge.

Zaključci u izveštaju GSM Asocijacije iz 2013. godine o obaveznoj registraciji pripejd SIM kartica su sledeći:

  • Gubitak pristupa komunikacionim uslugama kada se korisnicima deaktiviraju neregistrovane kartice;
  • Ograničavanje pristupa mobilnim komunikacionim uslugama u pogledu lokacija gde mogu da se kupe nove pripejd SIM kartice;
  • Moguća pojava “crnog tržišta” neregistrovanih ili ukradenih SIM kartica;
  • Povećanje zabrinutosti korisnika za privatnost i slobodu izražavanja;
  • Neproporcionalni troškovi za mobilne operatore koji bi mogli da utiču na manjak investicija u inovativne usluge i mrežnu infrastrukturu, naročito u nepristupačnim i ruralnim predelima.

U izveštaju GSM Asocijacije o obaveznoj registraciji pripejd SIM kartica iz aprila 2016. godine se ističe da i dalje ne postoje empirijski dokazi da ova praksa direktno utiče na smanjenje stope kriminala. Sa druge strane se navodi pristup dodatnim mobilnim i digitalnim uslugama (e-uprava, mobilno bankarstvo, itd) korisnicima koji ne bi mogli da koriste te usluge sa neregistrovanim pripejd karticama. Međutim, to ne znači da registracija svih korisnika treba da bude obavezna po zakonu, već da oni korisnici koji žele da koriste dodatne mobilne i digitalne usluge posredstvom mobilnih telefona mogu svojevoljno da registruju svoje pripejd SIM kartice kod operatora.

“Recikliranje” brojeva telefona se takođe može javiti kao problem: korisnika mobilne telefonije je sve više i postoji mogućnost da deaktivirani brojevi telefona u budućnosti pripadnu nekoj drugoj osobi. Ukoliko podaci nisu ažurirani, mogu nastati problemi sa dvostrukom verifikacijom putem SMS kodova (2-factor authentication) prilikom logovanja na onlajn naloge, a registrovana kartica se može povezati sa aktivnostima potpuno drugih osoba.

Da li zadržavanje podataka ima efekta?

Podaci o elektronskim komunikacijama svih građana se godinama zadržavaju, a nadležni organi im pristupaju u svrhe borbe protiv kriminala i zaštite nacionalne bezbednosti. Ipak, tokom dugogodišnje prakse zadržavanja podataka javnost u Srbiji nije upoznata sa rezultatima te mere, koja je veoma intruzivna po privatnost svih građana. Na primeru Telenora vidimo da se broj samostalnih pristupa povećava, što znači da su zahtevi na osnovu sudske odluke više izuzetak nego pravilo. Ipak, kako dva druga operatora u izveštajima Povereniku ne dostavljaju podatke o direktnom pristupanju podacima koje vrše nadležni organi, realan broj svih zahteva u toku jedne godine možemo samo da pretpostavimo.

Ukoliko ne dođe do promena u novom Zakonu o elektronskim komunikacijama, a sva je prilika da će uprkos razvoju situacije u EU zadržavanje podataka ostati kao mera u Srbiji, neophodno je insistirati na uvođenju pristupa zadržanim podacima u ustavom propisane tokove. Netransparentno korišćenje intruzivne mere direktnog pristupa, čiji je pravni osnov diskutabilan, a koje se povećava u poslednje dve godine, stvara utisak da se vrši masovno praćenje građana Srbije.