Poverenik za informacije od javnog značaja Rodoljub Šabić ocenio je stanje privatnosti na internetu u Srbiji kao zabrinjavajuće.
Razgovarali smo sa njim o problemima u zakonodavstvu, odnosu države prema zaštiti podataka, kao i o načinima povećanja bezbednosti na internetu.
1. Kako izgleda privatnost na internetu u Srbiji – koliko građani zaista obraćaju pažnju na sajber bezbednost i da li je zakonodavstvo u tom domenu adekvatno?
Neću reći ništa novo, više puta sam o tome govorio, kad kažem da je odnos prema privatnosti kod nas, generalno, loš, veoma loš. U tom kontekstu nije ni moguće ni realno očekivati drugačiju ocenu u vezi sa internetom. Ta zabrinjavajuća ocena važi kako za odnos samih građana prema privatnosti, tako i za odnos države prema tom pitanju, pa i za stanje zakonodavstva.
Sopstvenu privatnost neretko neoprezno i neodgovorno ljudi sami krše. I što je još gore, često, ne samo sopstvenu, nego i privatnost drugih ljudi.
Što se zakonodavstva tiče, važeći zakon sadrži, posebno kad je internet u pitanju, rigidna, anahrona rešenja. Ilustracije radi, npr. iako je neformalni elektronski pristanak u različitim oblicima uobičajeni način komunikacije na internetu, on je u Srbiji, blago rečeno, krajnje diskutabilan sa stanovišta Zakona o zaštiti podataka o ličnosti Srbije.
Rigidna, potpuno konzervativna rešenja iz zakona, koja sam od početka kritikovao, priznaju isključivo formalan potpis, kao da živimo u prvoj polovini prošlog, a ne ovog veka.
A što se novog Nacrta zakona o zaštiti podataka o ličnosti tiče, stvari stoje još gore. Već sam javno ocenio da je ispod minimalno prihvatljivog nivoa i praktično neprimenljiv. Nemamo ni vremena ni prostora da nabrajamo sve nedostatke, ali će, mislim, za ilustraciju biti dovoljna jedna stavka.
Taj “zakon” za koji Ministarstvo pravde, koje ga je i lansiralo, tvrdi da je “u potpunosti usklađen sa GDPR” predviđa da će srpski poverenik za zaštitu podataka o ličnosti moći da izriče kazne maksimalno 400 evra. A GDPR za njegove evropske kolege ostavlja mogućnost kažnjavanja do 4% godišnjih prihoda preduzeća ili 20 miliona evra. Mislim da je svaki komentar suvišan.
2. Koliko često se u svom poslu susrećete sa narušavanjem privatnosti ili bezbednosti na internetu? Da li biste podelili neki poseban slučaj?
Kod nas je, po dimenzijama, izuzetno markantan slučaj kompromitacije baza ličnih podataka Agencije za privatizaciju. Reč je o bazi ličnih podataka svih lica koja su bila obuhvaćena postupkom raspodele besplatnih akcija. Bila je prijavljena kao posebno zaštićena, sa pristupom rezervisanim za uzak krug lica, uz odgovarajuće šifre, odnosno autorizaciju.
Baza je praktično zatečena potpuno nezaštićena, u nju se moglo ući, pa se naravno moglo i preuzeti preko otvorenog linka na sajtu Agencije. Intervenisali smo i “zatvorili rupu”, ali ne treba imati iluziju, neki su izvesno iskoristili mogućnost da preuzmu lične podatke 5,2 miliona ljudi, praktično kompletne punoletne populacije Srbije. S nekim konsekvencama suočavaćemo se trajno.
Epilog svega ilustruje koliko je odnos države prema zaštiti privatnosti veliki problem, jer je stvar “završena” tako što niko nije snosio odgovornost. Prekršajni postupci koje je protiv odgovornih lica pokrenuo Poverenik su zbog internog postupanja suda zastareli, a javni tužilac nije pokrenuo nikakav krivični postupak.
3. Pre nekoliko dana odigrao se slučaj Cambridge Analytica – zloupotrebljeni su podaci 50 miliona Fejsbuk korisnika. Da li mislite da je u pitanju jedinstven slučaj ili odražava generalno stanje privatnosti na društvenim mrežama?
Nije u pitanju izolovan slučaj. I ranije je bilo, u različitim oblicima, velikih prodora u privatnost na internetu. S vremena na vreme, ovakvi dramatični ekscesi, tačnije skandali, podsete na opasnost od mogućih zloupotreba i to u dimenzijama koje su do skoro bile teško i zamislive.
Dobro je što je Fejsbuk za to, ako još ne sudski i administrativno, bar na tržištu žestoko kažnjen. Zna se da je usled dramatičnog pada vrednosti njegovih akcija izgubio gotovo 40 milijardi dolara. “Kazna” jeste velika, ali je svakako sasvim zaslužena. A dopada mi se da verujem da je dodatna vrednost te kazne potvda rasta svesti ljudi o potrebi daleko odgovornijeg odnosa prema podacima o ličnosti.
4. Na šta treba posebno obratiti pažnju kada su u pitanju društvene mreže – koje informacije ne treba objavljivati?
Ljudi su različiti, neki su ekstrovertniji od drugih u životu, pa i na internetu. Tako da ni kriterijumi u pogledu restriktivnosti u objavljivanju informacija o sebi nisu isti. Ali svakako, generalno, za sve bi trebalo da važi da se treba uzdržavati od objavljivanja kopija ličnih dokumenata ili kompleksnih ličnih podataka poput famoznog JMBG-a ili npr. podatak o bankovnim računima i slično.
Razume se, treba biti oprezan i sa šiframa sopstvenih naloga za komunikaciju na interenetu, odnosno društvenim mrežama. Neretko se usled kompromitacije i zloupotrebe ovih naloga ljudi mogu suočiti sa štetom koja je neprijatnija od one merljive novcem.
5. Da li imate neki konkretan savet – kako najbolje kontrolisati koje informacije delimo i sa kim? Postoje li neke korisne alatke za povećavanje bezbednosti na internetu?
Ponavljam, generalni savet je biti maksimalno odgovoran prema ličnim podacima i svojim i tuđim, nikada sa njima ne postupati olako, bez razmišljanja, bez svesti o mogućim posledicama. U skladu s tim i razume se, individualnim shvatanjima, to može podrazumevati i izbor i korišćenje nekih od postojećih posebnih alata kojima se obezbeđuje bezbednost komunikacije.
Ipak, glavni savet je onaj koji već godinama upućujem državi. Neophodna je potpuna promena odnosa prema zaštiti podataka o ličnosti, generalno. Tek tada je moguće očekivati rezultate i na planu promene dominantnog mentaliteta i na planu uspostavljanja neophodnih mehanizama za zaštitu podataka, odnosno na stvarnom inkorporiranju standarda modernog demokratskog sveta u naš pravni poredak.
Naglašavam, govorim o nužnim, stvarnim, ne papirnim, ukrasnim rezultatima. Jer, šta može da vredi Zakon o elektronskim komunikacijama, manje ili više dobar ili loš, ako za nadzor nad njegovom primenom nadležno državno ministarstvo ima samo 2 inspektora?
Ili još “bolje”, šta može da vredi državna Strategija zaštite podataka o ličnosti, ako Vlada sa donošenjem Akcionog plana za njenu realizaciju kasni 8 godina?