Translate

19. 05. 2015.

Zaštitnik građana podržao Mišljenje Poverenika o presretanju elektronskih komunikacija



Zaštitnik građana podržao Mišljenje Poverenika o presretanju elektronskih komunikacija

ponedeljak, 18 maj 2015 15:42


Zaštitnik građana Saša Janković u potpunosti podržava stavove iznete u Mišljenju na Predlog pravilnika o zahtevima za uređaje i programsku podršku za zakonito presretanje elektronskih komunikacija i tehničkim zahtevima za ispunjenje obaveze zadržavanja podataka o elektronskim komunikacijama. Ovo Mišljenje je Rodoljub Šabić, poverenik za informacija od javnog značaja i zaštitu podataka o ličnosti, uputio Ministarstvu trgovine, turizma i telekomunikacija.



Mišljenje poverenika


Broj: 011-00-00304/2015-02                      Datum: 04.05.2015. godine                                                          
MINISTARSTVO TRGOVINE, TURIZMA I TELEKOMUNIKACIJA
g. Rasim Ljajić, ministar

11 000 Beograd
Nemanjina 22-26
  
Poštovani ministre,

Dana 04.05.2015. godine primio sam dopis državne sekretarke g-đe Tatjane Matić,  broj: 110-00-38/2015-07 od 30.04.2015, sa molbom za davanje mišljenje povodom dostavljenog teksta Predloga pravilnika o zahtevima za uređaje i programsku podršku za zakonito presretanje elektronskih komunikacija i tehničkim zahtevima za ispunjenje obaveze zadržavanja podataka o elektronskim komunikacijama (u daljem tekstu: Predlog pravilnika).

Činjenica da se Predlogom pravilnika uređuje oblast u kojoj se vrši robusna i delikatna obrada podataka o ličnosti, uz istovremeno odstupanje od Ustavom proklamovanog načela da se prikupljanje, držanje, obrada i korišćenje podataka o ličnosti uređuje zakonom, predstavlja dovoljan razlog da mišljenje uputim Vama i tako mu dam onaj značaj koji mu objektivno i pripada.

Na davanje mišljenja u konkretnom slučaju neposredno me ovlašćuje odredba sadržana u članu 127. stav 5. Zakona o elektronskim komunikacijama (u daljem tekstu: ZEK) kojom je utvrđena obaveza Ministarstva da pre bližeg propisivanja zahteva za uređaje i programsku podršku iz stava 4. ovog člana i tehničkih zahteva za ispunjenje obaveze zadržavanja podataka iz čl. 128. i 129. ZEK pribavi i mišljenje „organa nadležnog za zaštitu podataka o ličnosti“. Međutim, iz sadržine dostavljenog Predloga jasno je da se isti ne ograničava na navedene zahteve i da se ne radi o tehničkom propisu, kako bi se to moglo zaključiti na osnovu njegovog naziva. Očigledno je naime da Predlog pravilnika prevazilazi zadato ograničenje i upušta se u propisivanje pitanja kojima je mesto u zakonu. Već je u članu 1. ovog podzakonskog akta predmet uređivanja proširen i na „organizacione uslove“, čime se odstupa ne samo od naziva Predloga pravilnika, već i od navedene odredbe ZEK kao osnova za njegovo donošenje.

Uz prethodno date napomene, sa aspekta svoje nadležnosti uređene članom 44. stav 1. Zakona o zaštiti podataka o ličnosti („Sl. glasnik RS“, br. 97/08 i 104/09, 68/12 – odluka US i 107/2012, u daljem tekstu: ZZPL) mišljenje o tekstu predloženog pravilnika sastojalo bi se u sledećem:

Dostavljenim Predlogom pravilnika uređuju se pitanja iz oblasti ostvarivanja zagarantovanih, temeljnih ljudskih prava i sloboda, proklamovanih i Ustavom Republike Srbije, kao što su: zaštita podataka o ličnosti, sloboda mišljenja i izražavanja i pravo na tajnost pisama i drugih sredstava komuniciranja.

S obzirom na nadležnosti Poverenika, obrada podataka o ličnosti koju propisuje Predlog pravilnika sagledana je u ovom mišljenju pre svega  kroz prizmu ostvarivanje prava na zaštitu podataka o ličnosti koje Ustav Republike Srbije jemči u članu 42. i istovremeno propisuje, da se prikupljanje, držanje, obrada i korišćenje podataka o ličnosti uređuje zakonom. Shodno tome, minimum pitanja koja moraju da budu uređena zakonom jesu: svrha obrade podataka o ličnosti, vrste podataka o ličnosti, način korišćenja podataka o ličnosti i rokovi njihovog čuvanja. Uređivanje ovih pitanja u okviru podzakonskog akta, pa makar samo i u delu koji se tiče navođenja vrsta podataka o ličnosti koji su predmet obrade, nije u skladu sa Ustavom, niti predstavlja valjan način da se nadomeste manjkavosti bilo kog zakona, pa tako ni Zakona o elektronskim komunikacijama ("Sl. glasnik RS", br. 44/2010, 60/2013 - odluka US i 62/2014).

Podzakonskim aktom mogu se uređivati samo tehnička pitanja u vezi sa obradom, pri čemu bi posebno trebalo imati u vidu činjenicu da je i odlukom Ustavnog suda Srbije, br. I Uz-41/2010 ("Sl. glasniku RS", br. 68/2012 od 18.07.2012.), potvrđeno da validan pravni osnov za obradu podataka o ličnosti ne mogu predstavljati podzakonski akti, odnosno akti manje pravne snage od zakona.

Napred navedeno proizilazi i iz načela zakonitosti sadržanog u ZZPL, koji u članu 8. tačka 1) jasno propisuje da obrada podataka o ličnosti nije dozvoljena ukoliko fizičko lice na koje se podaci odnose nije dalo pristanak za obradu, odnosno ako se obrada vrši bez zakonskog ovlašćenja. Pri tome, podatak o ličnosti, u značenju datom ZZPL, predstavlja svaku informaciju koja se odnosi na fizičko lice i njegov identitet čini određenim ili odredivim, u okviru jedne ili više radnji obrade koje su u vezi sa takvim informacijama preduzete, kao što su prikupljanje, čuvanje, pretraživanje, pohranjivanje, ukrštanje, obezbeđivanje, korišćenje, stavljanje na uvid, otkrivanje, snimanje, otkrivanje putem prenosa itd, bez obzira da li se obrada vrši automatski, poluautomatski ili na neki drugi način, kao i bez obzira na oblik u kome je informacija izražena, na kakvom se nosaču informacija nalazi, ili po čijem nalogu, u čije ime, odnosno za čiji je račun pohranjena.

U tom smislu, čuvanje podataka o ličnosti od strane operatora, omogućavanje pristupa istima i njihovo korišćenje od strane nadležnih državnih organa, jesu radnje obrade obrade podataka o ličnosti koje se u odnosu na navedeni minimum pitanja moraju urediti zakonom.

Pre svega, zakonom se moraju urediti vrste podataka o ličnosti na osnovu kojih je identitet fizičkog lica, kao korisnika elektronskih komunikacionih usluga, moguće učiniti određenim ili odredivim. Međutim, to zakonom ipak nije učinjeno, a u Predlogu pravilnika iste predstavljaju: podaci o identitetu subjekta nadzora i njegovom saobraćaju (član 8. Predloga); podaci o izvoru komunikacije (član 11.); o odredištu komunikacije (član 12.); o početku, trajanju i završetku komunikacije (član 13.); o vrsti komunikacije (član 14.); o terminalnoj opremi (član 15.), kao i o svim mobilnim terminalnim uređajima koji su se pojavili na određenoj geografskoj, fizičkoj ili logičkoj lokaciji (član 16. i član 21.).

U vezi sa napred navedenim potrebno je napomenuti da se formulacija „podaci o identitetu subjekta nadzora“ iz člana 8. stav 1. tačka 2) Predloga ne može smatrati prihvatljivom, budući da je svaku od vrsta referentnih podataka (npr. ime i prezime, adresa stanovanja i sl.) potrebno posebno propisati zakonom, u meri u kojoj se može očekivati da će subjekat nadzora biti fizičko, a ne pravno lice.

Iako samo pojedine od napred navedenih vrsta podataka direktno određuju identitet lica (npr. ime i prezime fizičkog lica sa svojstvom pretplatnika ili registrovanog korisnika iz člana 11. tačka 1. alineja 2. Predloga), svojstvo podataka o ličnosti imaju i svi drugi podaci koji se odnose na fizičko lice i njegov identitet čine određenim ili odredivim, pri čemu neki od njih upravo i vode ka utvrđivanju identiteta lica, kao što su na primer, podaci o telfonskom broju sa koga je inicirana komunikacija, podaci o IP adresi registrovanog korisnika iz opsega adresa dodeljeljenog operatoru, itd.

S druge strane, iako Poverenik nije nadležan da ceni obim i vrstu podataka o ličnosti koji se u skladu i na način predviđen  zakonom  obrađuju za potrebe nadležnih državnih organa, uz načelno dato napomenu da je u svakoj obradi podataka potrebno voditi računa o srazmernosti obrađivanih podataka u odnosu na svrhu koja se obradom želi postići, neizbežno je dati komentar na Predloga pravilnika u delu kojim proširuje vrstu i obim zadržanih podataka o komunikaciji, u odnosu na način kako je to urađeno u članu 129. ZEK. Ovo utoliko pre što Predlog pravilnika deklarativno ne odstupa od ZEK, propisujući u članu 2. tačka 2) da su zadržani podaci, citiram ; „ ... podaci koji se obrađuju prilikom prenosa i tarifiranja komunikacije unutar elektronske komunikacione mreže, koje je operator dužan da zadrži u skladu sa zakonom“.

S tim u vezi, napominjem, da odstupanja u vidu ograničenja zagarantovanih, temeljnih ljudskih prava i slobode kao što su zaštita podataka o ličnosti, ili pravo na tajnost pisama i drugih sredstava komuniciranja,  nisu nedozvoljena ukoliko su ista u skladu sa zakonom i ako ograničenja dopušta Ustav u obimu neophodnom da se ustavna svrha ograničenja zadovolji u demokratskom društvu i bez zadiranja u suštinu zajemčenog prava (član 20. Ustava RS). Konkretno, u pogledu tajnosti pisama i drugih sredstava opštenja Ustav dopušta odstupanja od nepovredivosti navedenih prava propisujući da su ista dozvoljena samo na određeno vreme i na osnovu odluke suda ako su neophodna radi vođenja krivičnog postupka ili zaštite bezbednosti Republike Srbije, na način predviđen zakonom, dok u pogledu zaštite podataka o ličnosti dozvoljava odstupanja u vidu njihove upotrebe izvan svrhe za koju su prikupljeni, ali u skladu i na način predviđen zakonom, takođe za potrebe vođenja krivičnog postupka ili zaštite bezbednosti Republike Srbije.

Dostignuti nivo ljudskih i manjinskih prava ne može se smanjivati (član 20. Ustava), pogotovo ne podzakonskim aktom.

Međutim, pretendujući da uredi pitanja koja se moraju uređivati normativno superiornijim aktom, dakle ZEK-om, Predlog pravilnika u članu 16. predviđa i obavezu operatora da omogući prenos podataka o svim mobilnim uređajima koji su se pojavili na određenoj geografskoj, fizičkoj ili logičkoj lokaciji, što predstavlja „novinu“ koju svakako treba prokomentarisati.

Iz sadržaja navedene odredbe ne može se jasno zaključiti, da li se radi o prenosu podataka u realnom vremenu ili bi podatke o pojavljivanju svih mobilnih uređaja trebalo uskladištiti i čuvati do trenutka podnošenja zahteva nadležnog državnog organa.

Kako operator prema odredbama člana 129. ZEK nema obavezu zadržavanja podataka o prisutnosti mobilnih uređaja koji nisu  korišćeni za komunikaciju, obrada podataka koji ne predstavljaju podatke o saobraćaju (podaci o pozivima čije uspostavljanje nije uspelo) ne bi bila u skladu sa članom 123. ZEK ukoliko ne postoji prethodni pristanak korisnika, zbog čega smatram da sistematsko praćenje i beleženje prisutnosti svih mobilnih terminala, po svim mrežama, kao i omogućavanje pristupa tim podacima predstavlja, i etički i pravni problem, koji između ostalog aktuelizuje i pitanje dozvoljenosti obrade ukoliko je ista očigledno nesrazmerna cilju zbog kojeg se vrši.

U konkretnom slučaju, radilo bi se o obradi podataka o ličnosti veoma velikog broja lica i njihovom ugrožavanju privatnosti radi utvrđivanja prisutnosti manjeg broja mobilnih uređaja, koji su se pojavili na određenoj geografskoj, fizičkoj ili logičkoj lokaciji, a u pritežanju su konkretnih fizičkih lica čiji se identitet može učiniti određenim ili odredivim.

Mogućnost direktne ili kolateralne povrede privatnosti velikog broja korisnika elektronskih komunikacionih usluga u vidu sistematskog praćenja njihovog kretanja, profilisanja i dovođenja u vezu takvih podataka sa kretanjem drugih terminala, predstavljala bi logičnu posledicu ovakve obrade.

Konačno, ukoliko bi ovakva obrada podrazumevala zaista i pozicioniranje pasivnih korisnika koji nisu, niti su želeli da ostvare komunikaciju, a zatekli su se, odnosno „pojavili“ na određenoj geografskoj, fizičkoj ili logičkoj lokaciji, sa zabrinutošću mogu konstatovati da se radi o vrlo delikatnoj i po privatnost vrlo opasnoj obradi podataka o ličnosti koja u ovom trenutku nema svoje uporište, ne samo u  ZEK, već i u drugim zakonima, uključujući tu i Zakonik o krivičnom postupku ("Sl. glasnik RS", br. 72/2011, 101/2011, 121/2012, 32/2013, 45/2013 i 55/2014).

Iz istih razloga, komentar zaslužuje i član 21. Predloga pravilnika koji predviđa obavezu operatora da omogući prenos podataka o trenutnoj geografskoj, fizičkoj ili logičkoj lokaciji pojedinačnog sredstva za elektronsku komunikaciju.

S obzirom na to da se pojedinačno sredstvo u mobilnoj mreži može locirati isključivo putem pojedinačnog, jedinstvenog telefonskog broja (MSISDN), navedena odredba ukazuje na intenciju predlagača da pravilnikom obaveže operatore na lociranje i onih korisnika koji nisu bili komunikaciono aktivni, čije terminalne opreme nisu imale uspešnu, ili čak ni pokušanu komunikaciju, što grubo izlazi iz okvira propisane obaveze zadržavanja podataka o komunikacijama utvrđene u članu 129. stav 1. tačka 2) ZEK.

Uz ponovno podsećanje da član 129. stav 1. tačka  6) ZEK  utvrđuje obavezu operatora da uz ostale podatke zadrži i podatak o lokaciji mobilne terminalne opreme korisnika u okviru komunikacione aktivnosti korisnika, predloženi podzakonski akt ne bi mogao da derogira ili proširuje obaveze operatora utvrđene ZEK i propisuje obavezu zadržavanja podataka o lokaciji korisnika, odnosno njihove terminalne opreme, koja nije bila komunikaciono aktivna.

Takođe, ukoliko predlagač „Podatake o izvoru komunikacije“ (član 11. Predloga pravilnika) tretira kao zadržane podatke iz člana 129. ZEK, što bi se moglo zaključiti na osnovu utvrđene obaveze operatora da iste čuva, važno je konstatovati da je u slučaju internet pristupa, elektronske pošte, ili usluge prenosa govora korišćenjem interneta, čuvanje dodeljenog korisničkog identifikatora (user_id, skype_id i sl.)       neizvodljivo bez ulaska u sadržaj samog paketa, zbog čega smatram da ne mogu ni pripadati kategoriji zadržanih podatka, a sledstveno tome ni pravnom režimu koji je za takvu vrstu podataka propisan. Isto važi i za „Podatke o početku, trajanju i završetku komunikacije“ iz člana 13. Predloga pravilnika konkretno, za podatke koji se tiču datuma i vremena slanja i primanja elektronske pošte i poziva putem internet telefonije, u okviru odgovarajuće vremenske zone.

Upuštajući se u pravno regulisanje pitanja kojima je mesto u zakonu, Predlog pravilnika uz ostalo "osavremenjuje" značenje izraza „komunikacija“ koje daje ZEK, propisujući značenje izraza „sadržaj komunikacije“ kao informaciju koja se može prenositi ili razmenjivati i između dva uređaja, kao korisnika elektronske  komunikacione mreže. Na taj način predlagač prepoznaje i nastoji da reguliše komunikaciju između inteligentnih uređaja (The Internet of Things  - IoT), u kojoj se ipak ne može isključiti i postojanje podataka o ličnosti.

Predlog pravilnika u članu 18. predviđa obavezu operatora da omogući „pristup pristupnim tačkama“ u svojoj komunikacionoj mreži, međunarodnim telekomunikacionim vezama uključujući i međunarodne tranzitne veze, što je rešenje koje se nužno mora ozbiljno preispitati sa stanovišta dodirnih tačaka sa zakonitim presretanjem komunikacija. Takođe je nužno oceniti da li bi unošenje ovakve odredbe u tekst pravilnika moglo imati i negativne ekonomske, pa i političke implikacije, pre svega, na razvoj međunarodnog tranzitnog saobraćaja u Republici Srbiji, investiciona ulaganja krupnog biznisa i sl.

U kontekstu ocene ukupne sadržine dostavljenog Predloga pravilnika podsećam i na činjenicu da je Sud Evropske unije u aprilu 2014. godine doneo presudu o proglašenju nevažećom Direktive 2006/24/EZ o zadržavanju podataka o komunikacijama, iznoseći stav, da su usvajanjem navedene Direktive zakonodavni organi EU prekoračili ograničenja koja nameće princip proporcionalnosti i da ista ozbiljno krši osnovna prava na poštovanje privatnog života i prava na zaštitu podataka o ličnosti.

I na kraju, mada sigurno nije najmanje važno, moram da konstatujem da je lociranje odredbi o monitoring centru nad zakonitim presretanjem elektronskih komunikacija u tekst jednog podzakonskog akta, sasvim neadekvatno značaju ovog pitanja i samih aktivnosti, koje bi prema Predlogu dostavljenog pravilnika trebalo da se sprovode u prostorijama Bezbednosno-informativne agencije do sticanja Predlogom nedefinisanih uslova, kada bi „nadležnim državnim organima bio omogućen neometan i samostalan pristup“. 

Na osnovu svih navedenih razloga, predloženi tekst pravilnika, kao uostalom nijedan podzakonski akt ne može, niti bi smeo da uređuje pitanja kojima je mesto u zakonu, mišljenja sam da  ga (sa predloženom sadržinom) ne treba donositi. Takvo mišljenje implicira zaključak o neophodnosti otvaranja šire javne rasprave radi donošenja novog ZEK, eventualno izmena i dopuna postojećeg, što sam slobodan da Vam i eksplicitno sugerišem.
  
S poštovanjem,                                                                                                                                                                                                                                                                                                              POVERENIK                                                                                               Rodoljub Šabić
                                     

__________________________________________________________________________



Nema komentara:

Objavi komentar