Zaštitnik građana podržao Mišljenje Poverenika o
presretanju elektronskih komunikacija
ponedeljak, 18 maj 2015 15:42
Zaštitnik građana Saša Janković u potpunosti podržava
stavove iznete u Mišljenju na Predlog pravilnika o zahtevima za uređaje i
programsku podršku za zakonito presretanje elektronskih komunikacija i
tehničkim zahtevima za ispunjenje obaveze zadržavanja podataka o elektronskim
komunikacijama. Ovo Mišljenje je Rodoljub Šabić, poverenik za informacija od
javnog značaja i zaštitu podataka o ličnosti, uputio Ministarstvu trgovine,
turizma i telekomunikacija.
Mišljenje poverenika
Broj: 011-00-00304/2015-02 Datum: 04.05.2015. godine
MINISTARSTVO TRGOVINE, TURIZMA I TELEKOMUNIKACIJA
g. Rasim Ljajić, ministar
11 000 Beograd
Nemanjina 22-26
Poštovani ministre,
Dana 04.05.2015. godine primio sam dopis državne
sekretarke g-đe Tatjane Matić, broj:
110-00-38/2015-07 od 30.04.2015, sa molbom za davanje mišljenje povodom
dostavljenog teksta Predloga pravilnika o zahtevima za uređaje i programsku
podršku za zakonito presretanje elektronskih komunikacija i tehničkim zahtevima
za ispunjenje obaveze zadržavanja podataka o elektronskim komunikacijama (u
daljem tekstu: Predlog pravilnika).
Činjenica da se Predlogom pravilnika uređuje oblast u
kojoj se vrši robusna i delikatna obrada podataka o ličnosti, uz istovremeno
odstupanje od Ustavom proklamovanog načela da se prikupljanje, držanje, obrada
i korišćenje podataka o ličnosti uređuje zakonom, predstavlja dovoljan razlog
da mišljenje uputim Vama i tako mu dam onaj značaj koji mu objektivno i
pripada.
Na davanje mišljenja u konkretnom slučaju neposredno me
ovlašćuje odredba sadržana u članu 127. stav 5. Zakona o elektronskim
komunikacijama (u daljem tekstu: ZEK) kojom je utvrđena obaveza Ministarstva da
pre bližeg propisivanja zahteva za uređaje i programsku podršku iz stava 4.
ovog člana i tehničkih zahteva za ispunjenje obaveze zadržavanja podataka iz
čl. 128. i 129. ZEK pribavi i mišljenje „organa nadležnog za zaštitu podataka o
ličnosti“. Međutim, iz sadržine dostavljenog Predloga jasno je da se isti ne
ograničava na navedene zahteve i da se ne radi o tehničkom propisu, kako bi se
to moglo zaključiti na osnovu njegovog naziva. Očigledno je naime da Predlog
pravilnika prevazilazi zadato ograničenje i upušta se u propisivanje pitanja
kojima je mesto u zakonu. Već je u članu 1. ovog podzakonskog akta predmet
uređivanja proširen i na „organizacione uslove“, čime se odstupa ne samo od
naziva Predloga pravilnika, već i od navedene odredbe ZEK kao osnova za njegovo
donošenje.
Uz prethodno date napomene, sa aspekta svoje nadležnosti
uređene članom 44. stav 1. Zakona o zaštiti podataka o ličnosti („Sl. glasnik
RS“, br. 97/08 i 104/09, 68/12 – odluka US i 107/2012, u daljem tekstu: ZZPL)
mišljenje o tekstu predloženog pravilnika sastojalo bi se u sledećem:
Dostavljenim Predlogom pravilnika uređuju se pitanja iz
oblasti ostvarivanja zagarantovanih, temeljnih ljudskih prava i sloboda,
proklamovanih i Ustavom Republike Srbije, kao što su: zaštita podataka o
ličnosti, sloboda mišljenja i izražavanja i pravo na tajnost pisama i drugih
sredstava komuniciranja.
S obzirom na nadležnosti Poverenika, obrada podataka o
ličnosti koju propisuje Predlog pravilnika sagledana je u ovom mišljenju pre
svega kroz prizmu ostvarivanje prava na
zaštitu podataka o ličnosti koje Ustav Republike Srbije jemči u članu 42. i
istovremeno propisuje, da se prikupljanje, držanje, obrada i korišćenje
podataka o ličnosti uređuje zakonom. Shodno tome, minimum pitanja koja moraju
da budu uređena zakonom jesu: svrha obrade podataka o ličnosti, vrste podataka
o ličnosti, način korišćenja podataka o ličnosti i rokovi njihovog čuvanja.
Uređivanje ovih pitanja u okviru podzakonskog akta, pa makar samo i u delu koji
se tiče navođenja vrsta podataka o ličnosti koji su predmet obrade, nije u
skladu sa Ustavom, niti predstavlja valjan način da se nadomeste manjkavosti
bilo kog zakona, pa tako ni Zakona o elektronskim komunikacijama ("Sl.
glasnik RS", br. 44/2010, 60/2013 - odluka US i 62/2014).
Podzakonskim aktom mogu se uređivati samo tehnička
pitanja u vezi sa obradom, pri čemu bi posebno trebalo imati u vidu činjenicu
da je i odlukom Ustavnog suda Srbije, br. I Uz-41/2010 ("Sl. glasniku
RS", br. 68/2012 od 18.07.2012.), potvrđeno da validan pravni osnov za
obradu podataka o ličnosti ne mogu predstavljati podzakonski akti, odnosno akti
manje pravne snage od zakona.
Napred navedeno proizilazi i iz načela zakonitosti
sadržanog u ZZPL, koji u članu 8. tačka 1) jasno propisuje da obrada podataka o
ličnosti nije dozvoljena ukoliko fizičko lice na koje se podaci odnose nije
dalo pristanak za obradu, odnosno ako se obrada vrši bez zakonskog ovlašćenja.
Pri tome, podatak o ličnosti, u značenju datom ZZPL, predstavlja svaku
informaciju koja se odnosi na fizičko lice i njegov identitet čini određenim
ili odredivim, u okviru jedne ili više radnji obrade koje su u vezi sa takvim
informacijama preduzete, kao što su prikupljanje, čuvanje, pretraživanje,
pohranjivanje, ukrštanje, obezbeđivanje, korišćenje, stavljanje na uvid,
otkrivanje, snimanje, otkrivanje putem prenosa itd, bez obzira da li se obrada
vrši automatski, poluautomatski ili na neki drugi način, kao i bez obzira na
oblik u kome je informacija izražena, na kakvom se nosaču informacija nalazi,
ili po čijem nalogu, u čije ime, odnosno za čiji je račun pohranjena.
U tom smislu, čuvanje podataka o ličnosti od strane
operatora, omogućavanje pristupa istima i njihovo korišćenje od strane
nadležnih državnih organa, jesu radnje obrade obrade podataka o ličnosti koje
se u odnosu na navedeni minimum pitanja moraju urediti zakonom.
Pre svega, zakonom se moraju urediti vrste podataka o
ličnosti na osnovu kojih je identitet fizičkog lica, kao korisnika elektronskih
komunikacionih usluga, moguće učiniti određenim ili odredivim. Međutim, to
zakonom ipak nije učinjeno, a u Predlogu pravilnika iste predstavljaju: podaci
o identitetu subjekta nadzora i njegovom saobraćaju (član 8. Predloga); podaci
o izvoru komunikacije (član 11.); o odredištu komunikacije (član 12.); o
početku, trajanju i završetku komunikacije (član 13.); o vrsti komunikacije
(član 14.); o terminalnoj opremi (član 15.), kao i o svim mobilnim terminalnim
uređajima koji su se pojavili na određenoj geografskoj, fizičkoj ili logičkoj
lokaciji (član 16. i član 21.).
U vezi sa napred navedenim potrebno je napomenuti da se
formulacija „podaci o identitetu subjekta nadzora“ iz člana 8. stav 1. tačka 2)
Predloga ne može smatrati prihvatljivom, budući da je svaku od vrsta
referentnih podataka (npr. ime i prezime, adresa stanovanja i sl.) potrebno
posebno propisati zakonom, u meri u kojoj se može očekivati da će subjekat
nadzora biti fizičko, a ne pravno lice.
Iako samo pojedine od napred navedenih vrsta podataka
direktno određuju identitet lica (npr. ime i prezime fizičkog lica sa svojstvom
pretplatnika ili registrovanog korisnika iz člana 11. tačka 1. alineja 2.
Predloga), svojstvo podataka o ličnosti imaju i svi drugi podaci koji se odnose
na fizičko lice i njegov identitet čine određenim ili odredivim, pri čemu neki
od njih upravo i vode ka utvrđivanju identiteta lica, kao što su na primer,
podaci o telfonskom broju sa koga je inicirana komunikacija, podaci o IP adresi
registrovanog korisnika iz opsega adresa dodeljeljenog operatoru, itd.
S druge strane, iako Poverenik nije nadležan da ceni obim
i vrstu podataka o ličnosti koji se u skladu i na način predviđen zakonom
obrađuju za potrebe nadležnih državnih organa, uz načelno dato napomenu
da je u svakoj obradi podataka potrebno voditi računa o srazmernosti
obrađivanih podataka u odnosu na svrhu koja se obradom želi postići, neizbežno
je dati komentar na Predloga pravilnika u delu kojim proširuje vrstu i obim
zadržanih podataka o komunikaciji, u odnosu na način kako je to urađeno u članu
129. ZEK. Ovo utoliko pre što Predlog pravilnika deklarativno ne odstupa od
ZEK, propisujući u članu 2. tačka 2) da su zadržani podaci, citiram ; „ ...
podaci koji se obrađuju prilikom prenosa i tarifiranja komunikacije unutar
elektronske komunikacione mreže, koje je operator dužan da zadrži u skladu sa
zakonom“.
S tim u vezi, napominjem, da odstupanja u vidu
ograničenja zagarantovanih, temeljnih ljudskih prava i slobode kao što su
zaštita podataka o ličnosti, ili pravo na tajnost pisama i drugih sredstava
komuniciranja, nisu nedozvoljena ukoliko
su ista u skladu sa zakonom i ako ograničenja dopušta Ustav u obimu neophodnom
da se ustavna svrha ograničenja zadovolji u demokratskom društvu i bez
zadiranja u suštinu zajemčenog prava (član 20. Ustava RS). Konkretno, u pogledu
tajnosti pisama i drugih sredstava opštenja Ustav dopušta odstupanja od nepovredivosti
navedenih prava propisujući da su ista dozvoljena samo na određeno vreme i na
osnovu odluke suda ako su neophodna radi vođenja krivičnog postupka ili zaštite
bezbednosti Republike Srbije, na način predviđen zakonom, dok u pogledu zaštite
podataka o ličnosti dozvoljava odstupanja u vidu njihove upotrebe izvan svrhe
za koju su prikupljeni, ali u skladu i na način predviđen zakonom, takođe za
potrebe vođenja krivičnog postupka ili zaštite bezbednosti Republike Srbije.
Dostignuti nivo ljudskih i manjinskih prava ne može se
smanjivati (član 20. Ustava), pogotovo ne podzakonskim aktom.
Međutim, pretendujući da uredi pitanja koja se moraju
uređivati normativno superiornijim aktom, dakle ZEK-om, Predlog pravilnika u
članu 16. predviđa i obavezu operatora da omogući prenos podataka o svim
mobilnim uređajima koji su se pojavili na određenoj geografskoj, fizičkoj ili
logičkoj lokaciji, što predstavlja „novinu“ koju svakako treba
prokomentarisati.
Iz sadržaja navedene odredbe ne može se jasno zaključiti,
da li se radi o prenosu podataka u realnom vremenu ili bi podatke o
pojavljivanju svih mobilnih uređaja trebalo uskladištiti i čuvati do trenutka
podnošenja zahteva nadležnog državnog organa.
Kako operator prema odredbama člana 129. ZEK nema obavezu
zadržavanja podataka o prisutnosti mobilnih uređaja koji nisu korišćeni za komunikaciju, obrada podataka
koji ne predstavljaju podatke o saobraćaju (podaci o pozivima čije
uspostavljanje nije uspelo) ne bi bila u skladu sa članom 123. ZEK ukoliko ne
postoji prethodni pristanak korisnika, zbog čega smatram da sistematsko
praćenje i beleženje prisutnosti svih mobilnih terminala, po svim mrežama, kao
i omogućavanje pristupa tim podacima predstavlja, i etički i pravni problem,
koji između ostalog aktuelizuje i pitanje dozvoljenosti obrade ukoliko je ista
očigledno nesrazmerna cilju zbog kojeg se vrši.
U konkretnom slučaju, radilo bi se o obradi podataka o
ličnosti veoma velikog broja lica i njihovom ugrožavanju privatnosti radi
utvrđivanja prisutnosti manjeg broja mobilnih uređaja, koji su se pojavili na
određenoj geografskoj, fizičkoj ili logičkoj lokaciji, a u pritežanju su
konkretnih fizičkih lica čiji se identitet može učiniti određenim ili
odredivim.
Mogućnost direktne ili kolateralne povrede privatnosti
velikog broja korisnika elektronskih komunikacionih usluga u vidu sistematskog
praćenja njihovog kretanja, profilisanja i dovođenja u vezu takvih podataka sa
kretanjem drugih terminala, predstavljala bi logičnu posledicu ovakve obrade.
Konačno, ukoliko bi ovakva obrada podrazumevala zaista i
pozicioniranje pasivnih korisnika koji nisu, niti su želeli da ostvare
komunikaciju, a zatekli su se, odnosno „pojavili“ na određenoj geografskoj,
fizičkoj ili logičkoj lokaciji, sa zabrinutošću mogu konstatovati da se radi o
vrlo delikatnoj i po privatnost vrlo opasnoj obradi podataka o ličnosti koja u
ovom trenutku nema svoje uporište, ne samo u
ZEK, već i u drugim zakonima, uključujući tu i Zakonik o krivičnom
postupku ("Sl. glasnik RS", br. 72/2011, 101/2011, 121/2012, 32/2013,
45/2013 i 55/2014).
Iz istih razloga, komentar zaslužuje i član 21. Predloga
pravilnika koji predviđa obavezu operatora da omogući prenos podataka o
trenutnoj geografskoj, fizičkoj ili logičkoj lokaciji pojedinačnog sredstva za
elektronsku komunikaciju.
S obzirom na to da se pojedinačno sredstvo u mobilnoj
mreži može locirati isključivo putem pojedinačnog, jedinstvenog telefonskog
broja (MSISDN), navedena odredba ukazuje na intenciju predlagača da pravilnikom
obaveže operatore na lociranje i onih korisnika koji nisu bili komunikaciono
aktivni, čije terminalne opreme nisu imale uspešnu, ili čak ni pokušanu
komunikaciju, što grubo izlazi iz okvira propisane obaveze zadržavanja podataka
o komunikacijama utvrđene u članu 129. stav 1. tačka 2) ZEK.
Uz ponovno podsećanje da član 129. stav 1. tačka 6) ZEK
utvrđuje obavezu operatora da uz ostale podatke zadrži i podatak o
lokaciji mobilne terminalne opreme korisnika u okviru komunikacione aktivnosti
korisnika, predloženi podzakonski akt ne bi mogao da derogira ili proširuje
obaveze operatora utvrđene ZEK i propisuje obavezu zadržavanja podataka o
lokaciji korisnika, odnosno njihove terminalne opreme, koja nije bila
komunikaciono aktivna.
Takođe, ukoliko predlagač „Podatake o izvoru
komunikacije“ (član 11. Predloga pravilnika) tretira kao zadržane podatke iz
člana 129. ZEK, što bi se moglo zaključiti na osnovu utvrđene obaveze operatora
da iste čuva, važno je konstatovati da je u slučaju internet pristupa,
elektronske pošte, ili usluge prenosa govora korišćenjem interneta, čuvanje
dodeljenog korisničkog identifikatora (user_id, skype_id i sl.) neizvodljivo bez ulaska u sadržaj samog
paketa, zbog čega smatram da ne mogu ni pripadati kategoriji zadržanih podatka,
a sledstveno tome ni pravnom režimu koji je za takvu vrstu podataka propisan.
Isto važi i za „Podatke o početku, trajanju i završetku komunikacije“ iz člana
13. Predloga pravilnika konkretno, za podatke koji se tiču datuma i vremena
slanja i primanja elektronske pošte i poziva putem internet telefonije, u
okviru odgovarajuće vremenske zone.
Upuštajući se u pravno regulisanje pitanja kojima je
mesto u zakonu, Predlog pravilnika uz ostalo "osavremenjuje" značenje
izraza „komunikacija“ koje daje ZEK, propisujući značenje izraza „sadržaj
komunikacije“ kao informaciju koja se može prenositi ili razmenjivati i između
dva uređaja, kao korisnika elektronske
komunikacione mreže. Na taj način predlagač prepoznaje i nastoji da
reguliše komunikaciju između inteligentnih uređaja (The Internet of Things - IoT), u kojoj se ipak ne može isključiti i
postojanje podataka o ličnosti.
Predlog pravilnika u članu 18. predviđa obavezu operatora
da omogući „pristup pristupnim tačkama“ u svojoj komunikacionoj mreži,
međunarodnim telekomunikacionim vezama uključujući i međunarodne tranzitne
veze, što je rešenje koje se nužno mora ozbiljno preispitati sa stanovišta
dodirnih tačaka sa zakonitim presretanjem komunikacija. Takođe je nužno oceniti
da li bi unošenje ovakve odredbe u tekst pravilnika moglo imati i negativne
ekonomske, pa i političke implikacije, pre svega, na razvoj međunarodnog
tranzitnog saobraćaja u Republici Srbiji, investiciona ulaganja krupnog biznisa
i sl.
U kontekstu ocene ukupne sadržine dostavljenog Predloga
pravilnika podsećam i na činjenicu da je Sud Evropske unije u aprilu 2014.
godine doneo presudu o proglašenju nevažećom Direktive 2006/24/EZ o zadržavanju
podataka o komunikacijama, iznoseći stav, da su usvajanjem navedene Direktive
zakonodavni organi EU prekoračili ograničenja koja nameće princip
proporcionalnosti i da ista ozbiljno krši osnovna prava na poštovanje privatnog
života i prava na zaštitu podataka o ličnosti.
I na kraju, mada sigurno nije najmanje važno, moram da
konstatujem da je lociranje odredbi o monitoring centru nad zakonitim
presretanjem elektronskih komunikacija u tekst jednog podzakonskog akta, sasvim
neadekvatno značaju ovog pitanja i samih aktivnosti, koje bi prema Predlogu
dostavljenog pravilnika trebalo da se sprovode u prostorijama
Bezbednosno-informativne agencije do sticanja Predlogom nedefinisanih uslova,
kada bi „nadležnim državnim organima bio omogućen neometan i samostalan
pristup“.
Na osnovu svih navedenih razloga, predloženi tekst
pravilnika, kao uostalom nijedan podzakonski akt ne može, niti bi smeo da
uređuje pitanja kojima je mesto u zakonu, mišljenja sam da ga (sa predloženom sadržinom) ne treba
donositi. Takvo mišljenje implicira zaključak o neophodnosti otvaranja šire
javne rasprave radi donošenja novog ZEK, eventualno izmena i dopuna postojećeg,
što sam slobodan da Vam i eksplicitno sugerišem.
S poštovanjem, POVERENIK Rodoljub Šabić
__________________________________________________________________________
Nema komentara:
Objavi komentar