MUP je tokom marta i aprila ove godine po drugi put izradio Procenu uticaja obrade na zaštitu podataka o ličnosti upotrebom savremenih tehnologija video- nadzora u okviru projekta “Sigurno društvo” u Beogradu.
Nove informacije iz Procene uticaja i kakve zamerke je ovoga puta izneo Poverenik u svom Mišljenju o “Sigurnom društvu”.→ SHARE Fondacija
Zbog niza propusta u upravljanju Informacionim sistemom Covid-19, Poverenik je izrekao opomenu Institutu za javno zdravlje “Dr Milan Jovanović Batut”. Ovi propusti utvrđeni su tokom nadzora Poverenika za zaštitu podataka nakon bezbednosnog incidenta koji je naša Fondacija otkrila sredinom aprila.
Kakve obaveze Batut kao rukovalac posebno osetljivih podataka o zdravlju građana nije ispunio u novom tekstu na našem sajtu. → SHARE Fondacija
Od aprila do jula meseca naša Fondacija zabeležila je preko 60 povreda digitalnih prava. Više od polovine slučajeva bili su pritisci zbog izražavanja i aktivnosti na internetu.
Kakve društvene okolnosti su uticale na veliki broj povreda, te ko su bile najčešće mete i još nalaza u novom izveštaju. → SHARE Fondacija
PLUS:
→ Andrej Petrovski o pametnom video-nadzoru → MINT / YouTube
→ Google proizvodi 41% rezultata na prvoj strani Google pretrage → The Markup
→ Pavel Durov, osnivač Telegrama: 7 mitova koje Apple koristi da opravda porez na aplikacije → Telegra.ph
Novi monitoring izveštaj SHARE Fondacije beleži povrede digitalnih prava u Srbiji u periodu od aprila do jula 2020, kada je registrovano preko 60 incidenata. Na veliki broj povreda svakako su uticale specifične društveno-političke okolnosti: vanredno stanje trajalo je do maja, u junu su održani parlamentarni izbori, dok su u julu izbili protesti u više gradova.
Usled pandemije, politička kampanja se mahom odvijala na internetu što, neočekivano, nije dovelo do značajnijih slučajeva povreda digitalnih prava. Izbornu kampanju, koju je SHARE Fondacija takođe pratila, svakako su obeležili onlajn nastupi predsednika Srbije, Aleksandra Vučića, okruženog ekranima sa kojih su ga pristalice pratile uživo.
Virtuelni miting nije bila jedina tehno-senzacija kojoj smo svedočili: pored pametnih kamera za masovni biometrijski nadzor koje se postavljaju na ulice Beograda bez ispunjenih zakonskih preduslova, Komunalna policija glavnog grada je nabavila vozila za kontrolu parkiranja koja snimaju ulice i automatski šalju kazne za nepropisno parkiranje.
Ugrožavanje podataka o zdravlju stanovništva
Na najznačajnijem ispitu odgovorne primene novih tehnologija u cilju suzbijanja pandemije, država je neslavno pala. Incident sa curenjem lozinke za pristup Informacionom sistemu Covid-19, koji je u trenutnim okolnostima jedan od najvažnijih i najosetljivih IKT sistema kojima država upravlja, još jednom je potvrdio da je primena standarda propisanih zakonom sistemski problem.
Kancelarija Poverenika za zaštitu podataka o ličnosti je povodom incidenta sprovela nadzor nad Institutom Batut, koji rukuje sistemom, i izrekla opomenu zbog niza neispunjenih zakonskih obaveza u vezi sa obradom podataka o ličnosti građana, koje se ne smeju zanemariti ni u uslovima velike društvene krize.
Od uspostavljanja IS Covid-19, namenjenog centralizovanoj obradi podataka o testiranim, zaraženim i preminulim osobama, do danas javnost još uvek nema jasan odgovor da li su podaci o širenju korona virusa u Srbiji koji se unose u taj sistem tačni i potpuni.
Nastavak čestih pritisaka zbog izražavanja na mreži
Najveći broj povreda, preko polovine svih zabeleženih, pripada kategoriji pritisaka zbog izražavanja i aktivnosti na internetu. Meta u većini slučajeva bili su istraživački mediji i novinari. Tako je tokom vanrednog stanja uhapšena novinarka portala Nova.rs Ana Lalić zbog teksta o uslovima rada i nedostatku zaštitne opreme za medicinsko osoblje u Kliničkom centru Vojvodine. Protiv novinarke je zbog ove reportaže pokrenuta kampanja diskreditovanja na Fejsbuku, sa objavama lažnih Fejsbuk stranica “COVID 19 Serbia” i “Javnost Srbije”, koja je plaćala promociju svojih objava.
Za vreme pandemije mnogi novinari i onlajn mediji bili su mete uvreda i neosnovanih optužbi, pretnji i objavljivanja neistina sa namerom da im se ugrozi reputacija. Takođe, mnogi mediji koji su izveštavali o stanju u srpskim bolnicama za vreme pandemije bili su na meti tabloida.
Tako je Kurir optužio novinare televizije N1 za proizvodnju neistina i širenje panike, čime se “urušava kredibilnost zdravstvenog sistema”. Tabloid Informer objavio je uvredljiv članak na svom portalu usmeren na Centar za istraživačko novinarstvo Srbije (CINS), nakon što je CINS objavio priču o tome kako je privatni avion Željka Mitrovića, vlasnika TV Pink, poslat bez dozvole na let za Moskvu radi nabavke medicinske opreme, a glavni i odgovorni urednik ovog tabloida vređao je urednicu i novinara ovog portala na svom tviter nalogu.
Novinari i onlajn mediji bili su na meti napada i nakon što je proglašen kraj vanrednog stanja. Pošto je predsednik Srbije Aleksandar Vučić u julu najavio da bi u Beogradu mogao da bude opet uveden policijski čas zbog epidemiološke situacije, došlo je do okupljanja nezadovoljnih građana pred Skupštinom Srbije. Protesti su se proširili i na druge gradove i trajali su nekoliko dana. Napetu situaciju na ulicama, pratile su tenzije i u onlajn sferi. Portal Alo označio je BIRN jednim od organizatora nasilnih protesta u Beogradu. Ta tvrdnja bazirana je na tvitu BIRN Srbija koji je sadržao savete kako se ponašati tokom protesta kako bi se izbegli sukobi sa policijom i grupom provokatora koji su podsticali nasilje. Tokom protesta, nepoznati muškarci su novinaru NIN-a Vuku Cvijiću oduzeli telefon i obrisali snimke koje je napravio. Telefon mu je potom vraćen.
Nisu samo novinari bili na meti napada tokom protesta. Student prava priveden je zbog poziva na miran protest. Naime, pripadnici Bezbednosno-informativne agencije (BIA) priveli su Nemanju Vučkovića, predsednika Studentskog kluba Pravnog fakulteta u Beogradu, nakon što je na Fejsbuku pozvao studente da se okupe ispred Narodne skupštine radi mirnog protesta.
Mreže dezinformacija
Zabeležene su i povrede iz kategorije manipulacije i propagande u digitalnom okruženju, iako znatno ređe. Od 10 registrovanih slučajeva, najupečatljiviji su bili oni koji su se ticali objavljivanja lažnih vesti i dezinformacija.
Nekoliko portala u Srbiji objavilo je vest da je BBC stavio Srbiju na drugo mesto liste zemalja sa “najboljim merama u borbi protiv pandemije”. Međutim, utvrđeno je da takva lista ne postoji. S druge strane, portal Vesti dana pokušao je da manipulativnim metodama proveri navodne “lažne vesti” objavljene na nekoliko drugih srpskih portala, kao što su N1 i Autonomija, a koje su zapravo bile lični stavovi i preneti sadržaji. Možda najdrastičniji slučaj manipulacija u digitalnom okruženju tiče se brojnih dezinformacija o protestima. Društvenim mrežama širili su se brojni primeri dezinformacija, manipulacija, neistina i teorija zavere o protestima protiv vlasti u nekoliko gradova u Srbiji i naročito u Beogradu. Sadržaji su najviše objavljivani na Fejsbuku, Instagramu i Tviteru.
Računarske prevare i nedostupnost sajtova
Jedan od ozbiljnijih primera narušavanja informacione bezbednosti je računarska prevara koja se širila elektronskom poštom kako bi se uređaji inficirali trojanskim malverom, na koju je Ministarstvo unutrašnjih poslova upozorilo javnost. Građanima je stizao lažni mejl sa obaveštenjem da ih je policija pozvala povodom tekuće istrage, te da pogledaju priložene dokumente koji su sadržali zlonamerni softver. Građani su bili meta i fišing kampanje putem lažnih bankovnih mejlova, koji su sadržali opasan virus, a navodno su ih poslale Banka Inteza i AIK Banka. Još jedna zabeležena fišing kampanja ticala se ponude zaštitne opreme. Lažni mejlovi su stigli sa adrese osobe navodno zaposlene u Institutu za javno zdravlje “Milan Jovanović Batut” i sadržali su maliciozni fajl u prilogu.
Nekoliko slučajeva činjenja sadržaja nedostupnim putem tehničkih metoda najviše su pretrpeli medijski portali. Tako je sajt novosadskog Radija 021 bio pod tehničkim napadom, što je rezultiralo usporenim učitavanjem sadržaja, a primarna meta napada bile su opcije za lajkovanje i dislajkovanje komentara čitalaca. Takođe, informativni portal Inđija cafe, koji je prethodno bio meta sajber napada sa ciljem pristupa administratorskom panelu, stavljen je van funkcije nakon još jednog ozbiljnog tehničkog napada u aprilu. Sajt N1 bio je meta tehničkog napada više puta u roku od mesec dana. U junu su ovaj sajt i mobilna aplikacija u jednom trenutku bili nedostupni, a do prekida rada došlo je zbog velikog broja zahteva za pristup. N1 je uživo prenosio proteste protiv vlasti u Beogradu i drugim gradovima, a u to vreme, kako je na Tviter stranici te televizije objavljeno, sajt N1 imao je poteškoće u radu zbog dva tehnička napada koja su se dogodila 9. jula.
SHARE Fondacija sprovodi stalni monitoring digitalnih prava i sloboda u Srbiji od 2014. godine. Baza svih zabeleženih slučajeva do sada broji preko 600 incidenata.
Anka Kovačević je istraživačica SHARE Fondacije. U fokusu njenog rada su monitoring digitalnih prava i sloboda i onlajn mediji.
Institut Batut dobio je opomenu zbog niza propusta u upravljanju Informacionim sistemom Covid-19, utvrđenih tokom nadzora Poverenika za zaštitu podataka nakon bezbednosnog incidenta sredinom aprila. Kao rukovalac posebno osetljivih podataka o zdravlju građana, Batut nije ispunio obaveze predviđene Zakonom o zaštiti podataka o ličnosti pre uspostavljanja sistema, dok neke od ovih obaveza nisu do kraja ispunjene ni nakon opomene Poverenika.
Podsetimo, istraživači SHARE Fondacije su 17. aprila pretragom na Guglu došli do javno dostupne stranice sa lozinkom za pristup Informacionom sistemu Covid-19, namenjenom prikupljanju i obradi podataka o testiranju, praćenju kontakata i lečenju građana. Nakon naše intervencije, stranica je uklonjena, dok je Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti pokrenuo postupak nadzora nad sprovođenjem Zakona o zaštiti podataka o ličnosti.
Na osnovu zahteva za pristup informacijama od javnog značaja, SHARE Fondacija je od Poverenika dobila celokupnu dokumentaciju nastalu tokom postupka nadzora.
Zbog propusta u rukovođenju sistemom koji su doveli do povreda zakona, Poverenik je izrekao opomenu rukovaocu sistema, Institutu za javno zdravlje “Dr Milan Jovanović Batut”. Između ostalog, Institut Batut nije zaključio ugovor sa obrađivačima sistema, pre svega Republičkim fondom za zdravstveno osiguranje koji je zadužen da pruža tehničku podršku korisnicima. Takvim ugovorom uređuju se prava i obaveze u vezi sa obradom ličnih podataka građana. Takođe, nisu bile preduzete odgovarajuće mere zaštite sistema, usled čega je i došlo do ovog incidenta, niti je bila urađena procena uticaja na zaštitu podataka, koja je prema Zakonu u ovom slučaju bila obavezna pre nego što je sistem pušten u rad.
Tokom trajanja nadzora, Institut Batut je izvršio neke od ovih obaveza, bar formalno, te sada postoji ugovor sa RFZO, dok je još uvek nepoznat status ugovora između Instituta Batut kao rukovaoca i institucija koje su korisnici sistema kao obrađivača. Izrađena je procena uticaja, na koju je pozitivno mišljenje dalo i lice za zaštitu podataka o ličnosti Instituta Batut. Međutim, uvidom u ovu procenu može se zaključiti da je njena sadržina još uvek sporna, jer ne ispunjava sve uslove koje Zakon predviđa, pre svega zbog površnog i šturog opisa svih relevantnih okolnosti koje prate jedan ovako kompleksan sistem, namenjenog obradi osetljivih podataka o zdravlju stanovništva.
Na osnovu dokumentacije koja je prikupljena u okviru postupka nadzora, takođe saznajemo okolnosti koje su pratile, ili još uvek prate rad IS COVID-19, a koje su razlog za zabrinutost.
Pre svega, u svom obaveštenju o incidentu, Institut Batut tvrdi da “nije zabeležen pokušaj logovanja” pre nego što su promenjeni pristupni podaci zbog incidenta. RFZO u izjašnjenju na dopis Poverenika navodi da “nije došlo do kompromitacije podataka”. Međutim, iz službene beleške Poverenika i korespondencije sa Nacionalnim CERT-om, saznajemo da su pripadnici obe službe po prijavi incidenta pristupali sistemu pomoću javno dostupnih kredencijala. To znači da se u okviru Informacionog sistema Covid-19 ne evidentiraju pristupi, što je pravna obaveza propisana Zakonom o informacionoj bezbednosti.
Sa stanovišta bezbednosti sistema, takođe je u najmanju ruku problematično to što se iz navodaDoma zdravlja na čijem je sajtu došlo do incidenta, može videti da se sistemu po pravilu pristupa sa nepersonalizovanim šiframa, dok korisnici sistema koji su obrađivači imaju slobodu da odluče da li će tražiti dodatne personalizovane naloge, što saznajemo od RFZO.
Rizik da lica koja unose podatke u sistem mogu neovlašćeno preuzeti ostale podatke, prepoznat je kao glavni rizik u proceni uticaja Instituta Batut.
[Ovaj rizik će biti] adresiran tako što će Rukovalac na odgovarajući način snimati rad ovlašćenih predstavnika Obrađivača prilikom njihovog rada sa podacima u slučaju korišćenja VPN pristupa, odnosno tako što će Rukovalac obezbediti prisutnost svojih predstavnika u slučaju primene fizičkog pristupa ovlašćenih predstavnika Obrađivača odnosnim podacima.
Akt o proceni uticaja IS COVID – 19 na zaštitu podataka o ličnosti, Institut Batut
Ostaje nejasno kako će u praksi funkcionisati bilo koja od svih navedenih mera, a pogotovo šta podrazumeva “snimanje rada” lica koja unose podatke u sistem, posebno u svetlu sporne činjenice da li se uopšte registruju i čuvaju logovi na sistem. Takođe, pitanje je da li ove mere mogu biti prekomerne i dovesti do povrede privatnosti lica koja koriste sistem.
Mere koje su planirane u cilju povećanja bezbednosti sistema, a o kojima je Institut Batut obavestio Poverenika, trebalo bi da direktno adresiraju navedene probleme. Međutim, ostaje veliko pitanje pouzdanosti sistema i tačnosti podataka u inicijalnom periodu njegovog rada, a što je u direktnoj vezi i sa pravom javnosti da ima uvid u statističke i istorijske podatke o pandemiji.
Dok su dokumentu s kraja prošle godine nedostajali formalni elementi kako bi se on smatrao Procenom uticaja obrade na zaštitu podataka o ličnosti, ovog puta je Poverenik imao ozbiljnije, materijalne zamerke, koje upućuju na to da upotreba masovnog biometrijskog nadzora može dovesti do povreda odredbi Zakona o zaštiti podataka o ličnosti.
MUP je tokom marta i aprila ove godine po drugi put izradio Procenu uticaja obrade na zaštitu podataka o ličnosti upotrebom savremenih tehnologija video nadzora u okviru projekta “Sigurno društo” u Beogradu. Iako ovaj dokument temeljnije prati formalne zahteve propisane Zakonom o zaštiti podataka o ličnosti, što nije bio slučaj sa prvim ovakvim dokumentom, te sadrži informacije sa kojima javnost do tada nije bila upoznata, mišljenje je Poverenika da za ovakav nadzor nije obezbeđen odgovarajući pravni osnov.
Sve više kamera. Detekcija svih lica. Profilisanje.
Do sada se brojem kamera uglavnom licitiralo u izjavama za medije čelnika policije, no ovaj dokument po prvi put zvanično navodi da će se u okviru ovog sistema za video nadzor koristiti 8100 kamera. Pored kamera na stubovima, policija je kupila i mobilne kamere (eLTE terminale), kamere za vozila te kamere koje su deo uniforme policajaca (bodycam).
U ovom dokumentu se eksplicitno navodi da će do kraja projekta MUP proširiti funkcionalnost video analitike uvođenjem funkcionalnosti – automatsko detektovanje lica iz kontinualnog video materijala. Softver za detekciju automatski detektuje lik svih koji prolaze kroz zonu nadzora kamera i izdvaja ih u vidu fotografije i kratkog video zapisa.
Sa druge strane, MUP navodi da će se identifikacija, odnosno prepoznavanje detektovanih lica vršiti samo u određenim situacijama i u skladu sa svrhama predviđenim ovim dokumentom. Pozivajući se na Zakon o zaštiti podataka o ličnosti, MUP je obradu podataka u okviru ovog sistema razdvojio na dve celine.
Posebni režim koji se odnosi na obradu podataka u vezi sa sprečavanjem i otkrivanjem krivičnih dela i prekršaja. U ovim slučajevima MUP planira da koristi softver za prepoznavanje lica kako bi se identifikovala lica:
za koja postoje osnovi sumnje da su izvršila krivično delo ili prekršaj;
za koja postoji osnovana sumnja da su izvršila krivično delo ili prekršaj;
koja su oštećena krivičnim delom ili prekršajem;
u vezi sa krivičnim delom (kao što su svedoci, lica koja mogu da obezbede informacije, povezana lica)
U okviru posebnog režima posebno je problematično što on uključuje i obrade koje se tiču sprečavanja i otkrivanja prekršaja,iako se u skladu sa Zakonom o zaštiti podataka o ličnosti ovaj režim odnosi isključivo na sprečavanje i otkrivanje krivičnih dela.
Opšti režim koji se odnosi na sve druge slučajeve, te MUP planira da koristi softver za prepoznavanje lica radi identifikovanja lica čiji je život ili zdravlje ugroženo ili je to neophodno radi zaštite zdravlja drugih (npr. sprečavanje širenja zaraze) te da da ovaj sistem koristi za:
ostvarivanje uvida u stanje saobraćaja;
informisanje javnosti o događajima od značaja za život u gradu;
obezbeđivanje materijala koji se koristi u edukaciji policijskih službenika;
obezbeđivanje materijala koji se koristi za daljeg razvoja i unapređivanja sistema video nadzora i statističke potrebe;
Ovako široko definisane svrhe za korišćenje masovnog biometrijskog nadzora, Ministarstvu daju mogućnost da ovaj sistem koristi arbitrarno u najrazličitijim situacijama.
Posebno je zanimljivo da se u cilju identifikacije lica, podaci koji su prikupljeni ovim putem, mogu upoređivati sa drugim podacima koje MUP poseduje uključujući i biometrijske podatke koji su sadržani u evidenciji ličnih isprava fizičkih lica, što praktično znači da se mogu koristiti podaci svih građana naše zemlje.
Dalje, navodi se da se video zapisi mogu preneti nedovoljno precizno definisanoj kategoriji ovlašćenih primaoca, i to upućivanjem na Zakon o zaštiti podataka o ličnosti. MUP je takođe istakao da će se u okviru ovog sistema koristiti profilisanje, mada nije baš najjasnije na koji način i šta uopšte MUP smatra profilisanjem u ovom kontekstu. Sami podaci o licima koja su identifikovana u okviru posebnog režima čuvaju se pet godina, a u opštem režimu u roku koji je neophodan za ostvarenje konkretne svrhe.
Na samom kraju ovog dokumenta navodi se da se informisanje građana vrši “putem postavljanja odgovarajućih znakova na kamernom mestu i upućivanju na internet stranicu MUP-a na kojoj su istaknute detaljne informacije o ovoj obradi podataka”. Ovu obavezu MUP nije ispunio, te građani i dalje nemaju relevantne informacije u vezi sa ovim sistemom. Posebno je zabrinjavajuće da kao ispunjenje ove obaveze MUP navodi da su na njihovoj stranici ažurirane informacije o kamernim mestima iako je građanska inicijativa #hiljadekamera mapirala gotovo trostruko više kamernih mesta u odnosu na broj koji je MUP objavio.
Mišljenje Poverenika 2.0
Poverenik je u Mišljenju od 29.05.2020. godine koje je uputio MUP-u konstatovao da “za nameravanu obradu biometrijskih podataka u cilju jedinstvene identifikacije lica upotrebom sistema za video nadzor nije obezbeđen odgovarajući pravni osnov”, te je upozorio MUP da se nameravanim radnjama obrade mogu povrediti odredbe Zakona o zaštiti podataka o ličnosti.
U okviru važećeg pravnog okvira Republike Srbije ne postoji pravni osnov za ovakvu obradu podataka o ličnosti i to zato što:
odredbama Zakona o policiji i Zakona o evidencijama i obradi podataka u oblasti unutrašnjih poslova nije određeno koje biomtrijske podatke MUP može obrađivati, te one ne mogu biti pravni osnov za obradu biometrijskih podataka i neophodno je da se ova oblast uredi posebnim zakonom;
član 13 Zakona o zaštiti podataka o ličnosti na koji se MUP poziva ne predstavlja pravni osnov za obradu već je njime na načelan način određena sadržina posebnih zakona kojima mora biti uređena ovakva obrada podataka.
MUP nije sproveo procenu neophodosti i srazmernosti vršenja radnji obrade u odnosu na svrhu obrade, što je obavezna sadržina Procene uticaja u odnosu na “opšti režim obrade” (nadzor koji se ne odnosi na sprečavanje i otkrivanje krivičnih dela).
Ministar unutrašnjih poslova nije doneo podzakonski akt kojim se propisuje način snimanja na javnom mestu i način saopštavanja namere o tom snimanju, što je propisano Zakonom o Policiji.
Ni na zahtev Poverenika, MUP nije dostavio projekte “Sigurno društvo” i “Siguran grad” koji su zaključeni sa kompanijom Huawei. Prethodno je MUP ove dokumente odbio da dostavi i SHARE Fondaciji u postupku za pristup informacijama od javnog značaja.
Poverenik je takođe konstatovao da se MUP nije izjasnio da li u ovom trenutku koristi softver za prepoznavanje lica.
EU-US Privacy Shield, pravni mehanizam za prenos podataka iz EU u SAD, proglašen je nevažećim presudom Suda pravde Evropske unije u slučaju “Šrems II”. Ova odluka imaće značajan uticaj na to kako će se ubuduće poslovati sa američkim kompanijama.
Analiza presude i njenih posledica po kompanije iz Srbije u autorskom tekstu advokatica Jelene Adamović i Dunje Tasić. → SHARE Fondacija
Epidemija Covid-19 nije bila samo test za javne zdravstvene sisteme širom sveta, već i za donosioce odluka u polju informacionog društva i zaštite podataka o ličnosti. “Da li smo bilo šta naučili iz prethodnih grešaka, kada smo pokušavali da odlučimo između lične bezbednosti i privatnosti ili ćemo opet da napravimo istu grešku?”
Odgovor na ovo pitanje i još pojedinosti o slovenačkoj Covid aplikaciji za praćenje kontakata u gostujućem tekstu Domena Saviča. → SHARE Fondacija
Covid-19 i globalna zdravstvena kriza podstakli su različite odgovore država širom sveta, kako zakonske, tako i tehnološke. Tokom pandemije, na Zapadnom Balkanu su zabeleženi brojni slučajevi povreda digitalnih prava i sloboda.
Kako velike krize utiču na osnovne demokratske tekovine i kakvi su izgledi za digitalna prava u regionu pročitajte u radu Danila Krivokapića, Bojana Perkova i Davora Marka. → SHARE Fondacija
Nova epizoda našeg kolažnog podkasta bavi se projektom “Siguran grad” i mogućim zloupotrebama sistema koji se implementiraju kao jednim od prvih problema na koje javnost i zajednica reaguju.
Sud pravde EU (eng. Court of Justice of the European Union – CJEU) je 16. jula 2020. godine doneo presudu kojom je EU-US Privacy Shield – pravni mehanizam koji je omogućavao prenos podataka o ličnosti iz EU u SAD – praktično proglašen nevažećim. Sud je presudu doneo na inicijativu Maksa Šremsa, austrijskog aktiviste i pravnika, koji je prethodno uspeo da “obori” i tzv. Safe Harbour mehanizam. Takođe, ova presuda je od direktnog značaja na prenos podataka iz Srbije u SAD.
Glavni zaključci presude
Sada kada je odluka Evropske komisije kojom je Privacy Shield mehanizam uspostavljen proglašena nevažećom, to će imati dalekosežne posledice na sve kompanije koje prenose podatke o ličnosti iz EU u SAD. Primera radi, outsourcing skladištenja podataka u američkim IT kompanijama poput Amazona ili Digital Ocean-a od strane kompanija na koje se primenjuje GDPR (uključujući i srpske kompanije na koje se GDPR primenjuje esktrateritorijalno), više neće biti moguć pozivanjem na Privacy Shield mehanizam.
Presuda takođe ima uticaj na tzv. standardne ugovorne klauzule (eng. Standard Contractual Clauses – SCC), koje su korišćene kao još jedan mehanizam za prenos ličnih podataka iz EU u treće zemlje za koje ne postoji važeća odluka o adekvatnosti. Naime, standardne klauzule predstavljaju ugovor koji u skladu sa GDPR-om potpisuju “izvoznik” i “uvoznik” podataka, na osnovu čega se smatra da je prenos podataka iz EU u treću zemlju dozvoljen. Problem je to što standarne klauzule vrlo često ostaju “mrtvo slovo na papiru”, jer onaj ko izvozi podatke ne može da obezbedi njihovo poštovanje u “zemlji uvoza”.
Ipak, presuda je ostavila standardne klauzule kao validan osnov za prenos, ali pod veoma komplikovanim uslovima. Glavna promena je što sada izvoznik podataka iz EU ima teret da proveri da li podatke koje pošalje svom američkom partneru taj partner može da zaista zaštiti od masovnog nadzora američkih državnih organa.
Primera radi, sada kada je Privacy Shield proglešen nevažećim, u teoriji bi standardne klauzule mogle da budu korišćene kao osnov prenosa ličnih podataka u SAD – kao i u bilo koju zemlju za koju odluka o adekavatnosti nikada nije ni postojala. Međutim, zbog presude one ne smeju biti korišćene od strane američkih kompanija koje su subjekt tamošnjih zakona koji omogućavaju masovni nazdor građana. To su pre svega kompanije provajderi usluga elektronskih komunikacija, koje moraju da američkim obaveštajnim službama (npr. NSA) obelodanjuju i podatke građana EU. Upravo je takvo obelodanjivanje podataka od strane Facebook-a njihov korisnik Maks Šrems smatrao kršenjem njegovih osnovnih prava zagarantovanih EU propisima. Kako su kompanije poput Facebook-a “uvezene” podatke građana EU delile sa NSA jer ih na to obavezuju američki zakoni, dolazilo je do apsurdne situacije da građanin EU nema uopšte saznanja o tome da ga NSA nadzire, niti može da zaštiti svoja prava pred njihovim organima.
Stoga je sud zaključio da više nije dovoljno koristiti standardne klauzule kao mehanizam transfera ličnih podataka iz EU, već da je potrebno da EU kompanija “izvoznik” podataka uzme u obzir i relevantne zakone i prakse u zemlji “uvoznika” – a pogotovo okolnost da li vlasti u zemlji “uvoznika” mogu imati pristup tim podacima. Ovakva analiza koja se stavlja na teret kompanije koja prenosi podatke iz EU može može konzumirati značajno vreme i imati ozbiljne finansijske posledice.
Ipak, određene stvari se i posle ovakve presude neće promeniti. “Neophodni” prenosi podataka o ličnosti u SAD mogu još uvek biti vršeni, jer je ovo pravilo takođe sadržano u GDPR, a i u našem zakonu. Primera radi, dozvoljen je prenos podataka koji je neophodan da bi se ispunio neki ugovor (na primer, zaključenje ugovora radi onlajn kupovine). Takođe, ukoliko lice želi da se njegov podatak “izveze” iz EU, to je dozvoljeno ukoliko to lice da svoj pristanak koji u svakom trenutku može da povuče. I dalje nije pravno problematično slanje mejla u SAD, rezervacija hotela u SAD i slično. Sve u svemu, dozvoljeni su oni prenosi podataka koje eksplicitno reguliše GDPR i naš zakon, ali za koje se moraju ispuniti određeni posebni uslovi.
Posledice po kompanije iz Srbije
Presuda je od direktnog značaja na prenos podataka iz Srbije u SAD, zbog toga što je našim Zakonom o zaštiti podataka o ličnosti predviđeno da je prenos podataka iz Srbije, između ostalog, dozvoljen u zemlje za koje je od strane EU utvrđeno da obezbeđuju primereni tj. adekvatni nivo zaštite podataka. SAD je uživala taj status zahvaljujući Privacy Shield odluci. To praktično znači da je sa stanovišta Srbije prenos podataka u SAD sada u istom režimu kao prenos u države poput Rusije,1 Kine ili Indije.
Veliki broj sprskih kompanija “autsorsuje” obradu ličnih podataka američkim IT kompanijama, na primer, koriste servere američkih kompanija poput Amazona ili Digital Ocean-a za skladištenje podataka. Jedan od odgovora je svakako da svoje poslovanje preusmere na neke druge teritorije u koje je prenos podataka ovog trenutka još uvek dozvoljen (evropske zemlje, Japan, Kanada, itd).
Sada kada više nije dozvoljeno da veliki broj američkih kompanija koriste EU standardne kluzule kao osnov za unos podataka u USA, ukoliko te podatke prema američkim zakonima moraju da dele sa NSA – postavlja se pitanje šta moraju da urade EU i srpske kompanije na koje se GDPR ekstrateritorijalno primenjuje koje sa njima sarađuju i prenose im lične podatke.
U slučaju da te kompanije ipak žele da vrše prenos podataka u USA na osnovu ovih klauzula, potrebno je da izvrše dodatne provere kako bi bilo moguće proceniti da li je prenos podataka konkretnoj američkoj kompaniji još uvek dozvoljen. Određene savete o tome na koji način je moguće pristupiti američkim partnerima daje upravo Maks Šrems. Na sajtu NOYB, nevladine organizacije koju je Šrems osnovao i koja se bavi pitanjima zaštite ličnih podataka, moguće je naći već pripremljene formulare tj. pisma koja je moguće korisititi u ovu svrhu.
Srpske kompanije koje nastave da vrše prenos u SAD koji je nakon presude postao nevažeći uočavaju se sa potencijalnim kaznama za nedozvoljen prenos prema domaćem zakonu. Dodatno, ukoliko je u pitanju srpska kompanija na koju se GDPR primenjuje direktno, ostaje kao mogućnost i kažnjavanje prema GDPR režimu, za koje je još uvek otvoreno pitanje kako bi bilo ostvareno u praksi.
Pravo na privatnost i profit
U evropskom pravnom prostoru privatnost je osnovno ljudsko pravo. To znači da fizička lica imaju širok spektar zagarantovanih prava u odnosu na svoje podatke o ličnosti koja mogu ostvariti pred evropskim sudovima. S druge strane, pravna lica i državni organi jasno postavljene granice dokle i na koji način smeju da zadiru u ta prava. Situacija u SAD je malo drugačija. Tamo privatnost nije u korpusu osnovnih ljudskih prava, a nakon otkrića koje je 2013. godine započeo Edvard Snouden, svima je jasno da američke vlasti imaju ovlašćenja za masovni nadzor i američkih i svih ostalih građana – pri čemu ta ovlašćenje nisu pod neposrednom sudskom kontrolom. Pri tome, stranci u SAD nemaju ni približno ista prava pred američkim sudovima kao američki građani.
Sve ovo je bio povod da Maks Šrems 2013. godine zatraži od Facebook-a, čiji je bio korisnik, da njegove podatke ne prenosi iz Evrope (gde se podaci prikupljaju i primarno obrađuju) u SAD, gde on kao građanin Evropske unije nema skoro nikakva prava. Pošto je Facebook taj zahtev odbio, Šrems je pokrenuo spor koji je u sledstvenom nizu pravnih postupaka završio pred najvećim sudskim autoritetom u Evropskoj uniji – CJEU. Sud je tom prilikom razmatrao argumente koji su izneti u prilog tvrdnje da je ovaj prenos dozvoljen na osnovu pravnog akta, koji se nazivao Safe Harbour Privacy Principles. To je bio dokument koji je bio dogovoren na nivou EU i vlasti u SAD, a koji je sa EU strane usvojila Evropska komisija. Ovaj akt je omogućavao američkim kompanijama da se pod određenim uslovima kvalifikuju kao pravno “bezbedni” uvoznici podataka o ličnosti iz Evrope, u skladu sa tada važećom EU Direktivom o zaštiti podataka. Ipak, 2015. godine je CJEU poništio odluku Evropske komisije o usvajanju Safe Harbour principa, sudskom odlukom koja se popularno naziva “Šrems I”.
Pošto je Safe Harbour akt prestao da važi, Evropska komisija i SAD su uskoro počele pregovore o novom pravnom instrumentu koji bi na sličan način sistematski rešio EU-SAD prenose ličnih podataka. Takav pravni akt je sa EU strane opet usvojen odlukom Evropske komisije u julu 2016. godine i nazivao se EU-US Privacy Shield.
Sa pravne strane, situacija je zapravo i komplikovanija od postojanja opštih pravni akata, kao što su Safe Harbour i Privacy Shield, jer je prenos ličnih podataka iz EU u SAD, ili bilo koju treću zemlju, kako je napomenuto gore, moguće vršiti i putem potpisivanja standardnih ugovornih klauzula, čiji tekst takođe odobrava Evropska komisija. Nakon Šrems I odluke, Facebook je zapravo tvrdio da oni prenos podataka u SAD vrše baš na osnovu ovih ugovornih klauzula koje su potpisale njihova kompanija sa sedištem u Irskoj i njihova kompanija u Kaliforniji.
Pošto je Maks Šrems bio uporan, on je 2015. godine odmah nastavio pravnu borbu insistirajući da je prenos njegovih podataka u SAD nezakonit. Suštinski, problem je u tome što Facebook prema američkom pravu ima obavezu da obezbedi masovni nadzor koji vrše američke vlasti, i zbog toga nikako ne može da garantuje pravnu bezbednost podataka evropskih građana, bez obzira na EU pravni akt koji koristi kao osnov za prenos podataka. Posle niza pravnih i sudskih peripetija njegov slučaj je ponovo došao do CJEU, koji je sada suštinski odlučivao o zakonitosti i EU-US Privacy Shield i EU standardnih klauzula.
1Rusija se nalazi na listi država u kojima se smatra da je obezbeđen primereni nivo zaštite podataka o ličnosti na osnovu odluke Vlade Srbije koja je objavljena u Službenom glasniku RS, br. 55/19 od 2.8.2019. godine.
Jelena Adamović je advokat i pravni istraživač u SHARE Fondaciji.
Dunja Tasić je advokatica i osnivačica Cyber Avocada. Bavi se zaštitom podataka o ličnosti i pružanjem pravnih usluga IT i povezanim sektorima.
Kao odgovor na pandemuju COVID-19, države širom sveta uvele su različite zakonske mere i tehnološka rešenja, što je izazvalo posebnu zabrinutost u vezi sa poštovanjem ljudskih prava tokom ove globalne krize javnog zdravlja. U takvim okolnostima, privatnost i zaštita podataka o ličnosti bili su među prvim žrtvama, dok je ubrzo došlo i kršenje ostalih prava, poput slobode izražavanja i informisanja. Zapadni Balkan nije izuzetak – tokom pandemije bilo je mnogo slučajeva kršenja digitalnih prava i sloboda, koji su pretili da dodatno umanje ukupno stanje ljudskih prava na krilima straha javnosti od velike zdravstvene krize.
Rad “State of pandemonium: Digital rights in the Western Balkans and COVID-19” autora Danila Krivokapića, Bojana Perkova i Davora Marka ima za cilj da ukaže kako velike krize utiču na osnovne demokratske tekovine, te da pokaže da se pandemija ni pod kojim uslovima ne sme koristiti za nepovratno smanjivanje standarda ljudskih prava, naročito ne korišćenjem intruzivnih tehnologija. Nalazi autora predstavljeni u radu naglašavaju da na Zapadnom Balkanu već postoji mnogo problema u pogledu digitalnih prava i sloboda, posebno kada je reč o privatnosti i bezbednosti podataka o ličnosti, širenju dezinformacija i napadima na novinare, koji su se samo pogoršali tokom pandemije COVID-19.
Autori ističu da su od ključnog značaja za budući period pre svega koraci u pogledu adekvatne primene politika i propisa u oblastima zaštite podataka i informacione bezbednosti, te omogućavanje razvoja povoljnog okruženja za nesmetan rad novinara i medija, uz unapređenje digitalne pismenosti i digitalnih kompetencija građana.
Epidemija Covid-19 nije bila samo test za javne zdravstvene sisteme širom sveta, već i za donosioce odluka u polju informacionog društva i zaštite podataka o ličnosti. Test je bio jednostavan: «Da li smo bilo šta naučili iz naših pređašnjih grešaka, kada smo pokušavali da odlučimo između lične bezbednosti i privatnosti, ili ćemo opet da napravimo istu grešku?»
Kratak odgovor: «Idemo ispočetka!»
Covid-19 aplikacije bile su jedna od ključnih karakteristika prvog talasa korona virusa. «Imamo aplikaciju za to!», uzviknula je industrija, dok su različite države bile zauzete implementacijom mobilnih aplikacija kao poslednjom linijom odbrane od virusa koji se globalno širio. Ali uprkos tome što uopšte nije bilo dokaza da aplikacije zaista sprečavaju širenje korona virusa ili da su sigurne po privatnost i uz sve veći broj dokaza koji govori upravo suprotno, nekoliko država bilo je spremno da krene sa upotrebom mobinih aplikacija koje su tvrdile nemoguće – da će zaštiti ljude, ograničiti izloženost virusu i sprečiti njegovo širenje.
Slovenija nije bila jedna od tih država. U prvom talasu korona virusa, bili smo previše zauzeti formiranjem desničarske vlade i omogućavanjem višemilionske pljačke javnog novca kroz čudan lanac poslovnih transakcija u vezi sa javnim nabavkama hirurških maski da bismo se usredsredili na formiranje države digitalnog nadzora. To smo rezervisali za drugi talas korona virusa.
Uprkos brojnim pozivima Poverenika za informacije, pravnika, organizacija civilnog društva koje se bave privatnošću i zabrinutih pojedinaca, Vlada je zakonski okvir za obaveznu korona aplikaciju unela u ogroman zakon koji se svime bavio, od subvencija za nezaposlene, do državne naknade za preduzeća koja su pogođena korona virusom. Zakon je praktično onemogućio odbacivanje obavezne aplikacije za praćenje virusa, a da se tako ne ukine i pomoć vlade ekonomiji i građanima.
Debata u parlamentu pokazala je dokle je desničarska koalicija spremna da ide da bi opravdala aplikaciju za praćenje virusa koja je postala obavezna za svaku zaraženu osobu i svaku osobu kojoj je država odredila karantin.
Svi argumenti o nedelotvornosti korona aplikacije, bazirani na izveštajima iz Nemačke, Islanda, Izraela i drugih zemalja koje su već implementirale takvo tehnkokratsko rešenje za socijalni problem, zatim argumenti o problematičnom digitalnom jazu koji će kočiti napore, budući da neće svi imatu neophodnu opremu ili digitalne veštine da koriste aplikaciju, te argumenti da aplikacija stvara lažni osećaj sigurnosti – odbačeni su.
U isto vreme, koalicija je iskoristila nekoliko faličnih argumenata da bi ubedila javnost, a i sebe, da nam je aplikacija za praćenje korona virusa apsolutno potrebna. Među argumentima je bio i novonastali, ali skroz pogrešan argument, da naše lične podatke Fejsbuk, Gugl i ostali internet giganti već koriste i da uopšte nema razloga da država nema istu privilegiju. Zagovornici zakona o korona virusu takođe su tvrdili da će aplikacija spasiti hiljade života (još jedan tipično pogrešan argument da je privatnost suprotstavljena bezbednosti) i čak su otišli tako daleko da su izmislili potpuno lažnu tvrdnju o tome da slovenačka policija nadgleda pojedine poslanike, u nekim slučajevima čak i pred ponoćnu misu (tvrdnja koja je razotkrivena kao potpuna laž NAKON završetka glasanja) kako bi pokazali da je privatnost mrtva, da svako špijunira svakoga, i da aktivisti i građani koji su svesni svoje privatnosti nemaju pravo da se protive legalizaciji aplikacije koja se bazira na tim principima.
Reakcija šire javnosti, već nezadovoljne desničarskom vladom koja je iskoristila prvi talas korona virusa da neovlašćeno iskoristi javna sredstva za kupovinu zaštitne opreme, bila je oštra i dan nakon glasanja, ministar za državnu upravu objasnio je da se u praksi neće primenjivati odredbe zakona koje navode da će aplikacija biti obavezna. Aplikacija za praćenje korona virusa biće stoga potpuno dobrovoljna. Vlada će, kako je ministar dodao, zadržati pravo na upotrebu obavezujuće odredbe «ako to smatra neophodnim».
Pitanje koje ostaje – koju aplikaciju će država koristiti? Javni poziv za razvoj aplikacije objavljen je u nedelju, a rok za podnošenje aplikacije bio je samo tri dana, što je podstaklo pretpostavke da Vlada već ima razvijenu aplikaciju i da joj je potreban zakon da bi je implementirala. Konačno, odlučeno je da se slovenačka aplikacija za praćenje virusa bazira na poznatoj nemačkoj aplikaciji otvorenog koda Corona-Warn-App, koja će biti prevedena na slovenački jezik i prilagođena kako bi slovenački organi vlasti mogli da je koriste. Cena projekta? 4000 evra.
Ali ako je korišćenje aplikacije potpuno dobrovoljno, zašto su se onda uopšte trudili da je legalizuju? Za sada ne znamo. Sve što znamo je da Vlada poseduje veoma jak mehanizam za finansijsko kažnjavanje, pa čak i hapšenje ljudi koji su zaraženi korona virusom ili koji krše karantin i ne koriste propisanu mobilnu aplikaciju.
Tužno je da to nije najveći problem. Problem koji očigledno ne želi da nestane je činjenica da nas vode javni funkcioneri koji su ubeđeni da će digitalna tehnologija biti odgovor na društvene probleme, da se država nadzora opravdava lažima i izazivanjem straha i da političari ignorišu epidemiologe, eksperte za privatnost i širu javnost, a sve u cilju da se progura represivni pravni okvir koji čak i nije potreban za postizanje navedenog cilja. Ali avaj, ne postoji aplikacija za to.
Domen Savič je direktor organizacije Državljan D sa sedištem u Ljubljani. Fokusiran je na zaštitu ljudskih prava u informacionom društvu, analizu medijskog pejzaža, razvoj programa medijske pismenosti i podsticanje aktivnih građana.
“Ovo nije običan video-nadzor. Ovo je biometrijski nadzor, pomoću koga svako može biti praćen u svakom trenutku, ako imate pokriven ceo grad.”
Bavimo se temom pametnih kamera od trenutka kada je najavljeno njihovo postavljanje u Beogradu, a sada vam predstavljamo kratki film u kome stručnjaci i zainteresovani građani analiziraju problem masovnog biometrijskog video-nadzora. → SHARE Foundation YouTube
Unapredili smo hiljade.kamera.rs, sajt zajednice pojedinaca i organizacija koje se zalažu za odgovornu upotrebu tehnologije za video-nadzor.
Pored objedinjenih javno dostupnih informacija o pametnim kamerama i poziva građanima na akciju mapiranja, novi sajt sadrži mapu pametnih kamera u Beogradu, kao i vesti o tehnologiji pametnog video-nadzora. → hiljade.kamera.rs
PLUS:
→ Da li se nove kamere koriste za prepoznavanje učesnika na protestima u Beogradu? → Amnesty International
→ Društvo pametnog video-nadzora kao pretnja po privatnost → Žunić Law
→ Šta znamo a šta ne znamo o pametnim kamerama u Beogradu → Netokracija
→ Pokrenuta inicijativa pred Evropskim sudom za ljudska prava povodom video-nadzora u Moskvi → Human Rights Watch
→ “Hiljade kamera” kao građanski odgovor na masovni biometrijski nadzor → Privacy International
