Приватност и регистрација интернет домена

Приватност и регистрација интернет домена

На који су начин повезани право на приватност и регистрација интернет домена?

У неколико текстова објављених на сајту ПравоИКТ, наши аутори су обрадили неколико аспеката регистрације интернет домена. Писали смо о значају интернет домена, условима регистрације, и решавању спорова. Обрадили смо и теме везане за cybersquatting и заштиту жига и дали преглед најбитнијих реформи за наредни период.

Међутим, право на приватност и регистрација интернет домена до сада нису били предмет наше расправе, иако у овој области постоји значајан број проблема вредних пажње.

приватност и регистрација интернет домена: супротстављени интереси?

Куповином и регистрацијом интернет домена обавезујете се да обелоданите одређене податке о личности.

Природу података неопходних за регистрацију једнострано одређује Интернет корпорација за додељене називе и бројеве (енг. Internet Corporation for Assigned Names and Numbers – ICANN). То је приватна, непрофитна организација из САД, са седиштем у Калифорнији.

Ако вам чињеница да баш свака регистрација домена мора бити одобрена од стране једне једине приватне организације под контролом само једне светске владе није довољно забрињавајућа, заборавимо причу о децентрализованој структури Интернета и друге проблеме управљања Интернетом и обратимо пажњу на аспекте који се односе искључиво на приватност и регистрацију интернет домена.

Наиме, од 2013. године, Интернет корпорација за додељене називе и бројеве је пооштрила услове регистрације и наметнула додатне обавезе чије испуњавање има изузетно негативне последице по право на приватност.

шта не ваља у поступку регистрације?

Када региструјете име интернет домена, на себе прихватате обавезу поступања у складу са условима које прописује Интернет корпорација за додељене називе и бројеве. Између осталог, ови услови налажу да сви лични и технички подаци у вези са регистрацијом датог интернет домена буду сачувани и доступни ово организацији, за сво време трајања регистрације, као и наредне три године. Исто важи и за евентуалне измене или допуне ових података.

Подаци у питању су име, презиме, број телефона, адреса електронске поште итд. Они се чувају у јавно доступној бази података WHOIS. То конкретно значи да ако сте регистровали домен на своје име и у поступку регистрације у формулар унели информације које се од вас захтевају, неко ко претражује ову базу може имати приступ вашем имену, презимену, броју телефона, адреси, мејлу итд.

У већини случајева, ови осетљиви, приватни подаци су доступни јавно. У малом броју случајева фирме које пружају услугу регистрације интернет домена могу ове информације сакрити. Ова могућност се често продаје као засебна услуга, под називом WHOIS Privacy.

Међутим, регистри који пружају ову врсту услуге којом се штити приватност лица која региструју интернет домене, затечени су између две ватре. С једне стране, под притиском су Интернет корпорације за додељене називе и бројеве која их обавезује да те информације објаве, а са друге стране, приморани су поштовати законе о заштити приватности и података о личности земље где су регистровани односно земаља на чијим територијама послују.

приватност и регистрација интернет домена: реакције

Оваква политика Интернет корпорације за додељене називе и бројеве којом се на директан начин угрожава право на приватност лица која региструју интернет домене изазвала је негативне реакције широм света.

Пошто домаћи правни систем у овом домену показује тенденцију јако спорог, спорадичног развоја у којој донекле прати право ЕУ, пажњу ћемо обратити управо на реакције из Европске Уније.

Међу њима, најзначајнија и најгласнија је реакција Супервизора за заштиту података о личности ЕУ (енг. European Data Protection Supervisor – EDPS), који је Интернет корпорацији за додељене називе и бројеве упутио отворено писмо, захтевајући поштовање права Европске Уније у области приватности и заштите података о личности.

Аргументација Супервизора, која чини окосницу писма и на којој се захтев за поштовање права заснива је врло једноставна: процес регистрације интернет домена и обавезе које се њиме намећу нису у складу са правом ЕУ.

Конкретно, у писму се наводе прикупљање и обрада података који нису у сразмери са циљем регистрације. Исто тако, период на који се подаци који су у току регистрације интернет домена прикупљени је екстензиван, тј. није пропорционалан сврси обраде.

Новим условима регистрације, регистри се обавезују да поред информација које смо већ навели чувају ИП (енг. IP) адресе, податке о трансакцији (укључујући податке о кредитној картици корисника), бројеве телефона у тренутку регистрације и то за времен од 180 дана. Супервизор у писму констатује да ово није у складу ни са скорашњом пресудом Суда правде ЕУ којом је Директива о задржавању података ЕУ проглашена неважећом.

Осим тога, Супервизор сматра да прикупљање и обрада података који су на овај начин наметнути нису у складу са принципом минимизације података о личности (енг. Data Minimisation Principle) који налаже прикупљање и обраду само неопхондог минимума података о личности и њихово чување за тачно одређено време, док постоји прецизно одређена сврха обраде.

Због њиховог значаја и за домаћи правни систем, из интегралне верзије писма преносимо неколико најбитнијих параграфа, које због аутентичности објављујемо у оригиналу, на енглеском језику:

… the 2013 RAA and the Draft Specification continue to fall short of compliance with European data protection law.

The Draft Specification should only require collection of personal data, which is genuinely necessary for the performance of the contract between the Registrar and the Registrant (e.g. billing) or for other compatible purposes such as fighting fraud related to domain name registration. This data should be retained for no longer than is necessary for these purposes. It would not be acceptable for the data to be retained for longer periods or for other, incompatible purposes, such as law enforcement purposes or to enforce copyright.

Processing contrary to these recommendations would be contrary to three key principles of European data protection law set forth in Directive 95/46/EC. It would violate the principle of purpose limitation under Article 6(1)(b) of Directive 95/46/EC, which prohibits the processing of personal data for incompatible purposes4, the requirement under Article 7 of the Directive to have an appropriate legal ground for the processing of data, such as contract, consent or the legitimate interest of the controller, and the requirement of proportionality, including the requirement not to retain data ‘longer than is necessary for the purposes for which the data were collected or for which they are further processed’ (Article 6(1)(e)).

These provisions are specifications of the fundamental rights to privacy and the protection of personal data laid down in Articles 7 and 8 of the Charter of Fundamental Rights of the European Union.

шта даље?

Очигледно је да приватност и регистрација домена на жалост имају неколико додирних тачака и да њихов тренутни однос иде на штету права на приватност. Међутим, поставља се питање да ли то мора да буде тако?

Из којих разлога Интернет корпорација за додељене називе и бројеве намеће овакве обавезе и поред у тренутку када свест о значају приватности расте

Да ли је за регистрацију интернет домена заиста неопходно кршити законе који штите право на приватност и једном релативно једноставном, баналном процедуром која је уз то једнострано наметнута од стране једне приватне организације задирати у основно људско право лица која региструју интернет домене, без обзира где се они у свету налазе?

Исто тако, да ли је неопходно националним регистрима наметати обавезу да крше законе сопствених држава?

Чини се међутим да је кључно питање ипак везано за управљање Интернетом, односно за начин на који се интернет домени додељују. Укратко речено, док ова област буде предмет монопола Интернет корпорације за додељене називе и бројеве, демократско одлучивање о једном глобалном ресурсу, очување његове отворености, као и о узимање у обзир личних права и слобода у овој области неће бити могуће.

Када су у питању приватност и регистрација интернет домена, можемо се надати да ће у будућности ситуација бити боља, истовремено сагледавајући штету која је до сада већ учињена.

Ђорђе Ђокић, LL.M.

Експерт за приватност и заштиту података о личности, Правни саветник за приватност при ИНТЕРПОЛ-у, Експерт-евалуатор Европске комисије, Мастер права ЕУ, аутор књиге ”Заштита приватности на Интернету и Савет Европе”,  Privacy by Design Ambassador.

  • googleplus
  • linkedin
  • twitter

One Comment

  1. Kolega, mislim da trea poci od lokalnog registra nacionalnih domena u analizi. koliko je meni poznato jedino osobe koje imaju direktan pristup bazama podataka o registrantima mogu videti sve podatke. Svako moze da plati uslugu neprikazivanja podataka, a sto je najvaznije morate traziti podatke o registrantu domen po domen. Znaci pitanje cuvanja privatnosti je pitane da li je moguce napraviti softver za registraciju domena tako da niko ne moze pristupiti bazi podataka o registrantima, pa cak ni autori softvera. Sa druge strane bas zbog potrebe na primer pravosudnih organa, da pronadju vlasnika domena ili internet adrese, neophodno je prikupiti ove podatke.

Comments are closed.