Privatnost i registracija internet domena

Privatnost i registracija internet domena

Na koji su način povezani pravo na privatnost i registracija internet domena?

U nekoliko tekstova objavljenih na sajtu PravoIKT, naši autori su obradili nekoliko aspekata registracije internet domena. Pisali smo o značaju internet domena, uslovima registracije, i rešavanju sporova. Obradili smo i teme vezane za cybersquatting i zaštitu žiga i dali pregled najbitnijih reformi za naredni period.

Međutim, pravo na privatnost i registracija internet domena do sada nisu bili predmet naše rasprave, iako u ovoj oblasti postoji značajan broj problema vrednih pažnje.

privatnost i registracija internet domena: suprotstavljeni interesi?

Kupovinom i registracijom internet domena obavezujete se da obelodanite određene podatke o ličnosti.

Prirodu podataka neophodnih za registraciju jednostrano određuje Internet korporacija za dodeljene nazive i brojeve (eng. Internet Corporation for Assigned Names and Numbers – ICANN). To je privatna, neprofitna organizacija iz SAD, sa sedištem u Kaliforniji.

Ako vam činjenica da baš svaka registracija domena mora biti odobrena od strane jedne jedine privatne organizacije pod kontrolom samo jedne svetske vlade nije dovoljno zabrinjavajuća, zaboravimo priču o decentralizovanoj strukturi Interneta i druge probleme upravljanja Internetom i obratimo pažnju na aspekte koji se odnose isključivo na privatnost i registraciju internet domena.

Naime, od 2013. godine, Internet korporacija za dodeljene nazive i brojeve je pooštrila uslove registracije i nametnula dodatne obaveze čije ispunjavanje ima izuzetno negativne posledice po pravo na privatnost.

šta ne valja u postupku registracije?

Kada registrujete ime internet domena, na sebe prihvatate obavezu postupanja u skladu sa uslovima koje propisuje Internet korporacija za dodeljene nazive i brojeve. Između ostalog, ovi uslovi nalažu da svi lični i tehnički podaci u vezi sa registracijom datog internet domena budu sačuvani i dostupni ovo organizaciji, za svo vreme trajanja registracije, kao i naredne tri godine. Isto važi i za eventualne izmene ili dopune ovih podataka.

Podaci u pitanju su ime, prezime, broj telefona, adresa elektronske pošte itd. Oni se čuvaju u javno dostupnoj bazi podataka WHOIS. To konkretno znači da ako ste registrovali domen na svoje ime i u postupku registracije u formular uneli informacije koje se od vas zahtevaju, neko ko pretražuje ovu bazu može imati pristup vašem imenu, prezimenu, broju telefona, adresi, mejlu itd.

U većini slučajeva, ovi osetljivi, privatni podaci su dostupni javno. U malom broju slučajeva firme koje pružaju uslugu registracije internet domena mogu ove informacije sakriti. Ova mogućnost se često prodaje kao zasebna usluga, pod nazivom WHOIS Privacy.

Međutim, registri koji pružaju ovu vrstu usluge kojom se štiti privatnost lica koja registruju internet domene, zatečeni su između dve vatre. S jedne strane, pod pritiskom su Internet korporacije za dodeljene nazive i brojeve koja ih obavezuje da te informacije objave, a sa druge strane, primorani su poštovati zakone o zaštiti privatnosti i podataka o ličnosti zemlje gde su registrovani odnosno zemalja na čijim teritorijama posluju.

privatnost i registracija internet domena: reakcije

Ovakva politika Internet korporacije za dodeljene nazive i brojeve kojom se na direktan način ugrožava pravo na privatnost lica koja registruju internet domene izazvala je negativne reakcije širom sveta.

Pošto domaći pravni sistem u ovom domenu pokazuje tendenciju jako sporog, sporadičnog razvoja u kojoj donekle prati pravo EU, pažnju ćemo obratiti upravo na reakcije iz Evropske Unije.

Među njima, najznačajnija i najglasnija je reakcija Supervizora za zaštitu podataka o ličnosti EU (eng. European Data Protection Supervisor – EDPS), koji je Internet korporaciji za dodeljene nazive i brojeve uputio otvoreno pismo, zahtevajući poštovanje prava Evropske Unije u oblasti privatnosti i zaštite podataka o ličnosti.

Argumentacija Supervizora, koja čini okosnicu pisma i na kojoj se zahtev za poštovanje prava zasniva je vrlo jednostavna: proces registracije internet domena i obaveze koje se njime nameću nisu u skladu sa pravom EU.

Konkretno, u pismu se navode prikupljanje i obrada podataka koji nisu u srazmeri sa ciljem registracije. Isto tako, period na koji se podaci koji su u toku registracije internet domena prikupljeni je ekstenzivan, tj. nije proporcionalan svrsi obrade.

Novim uslovima registracije, registri se obavezuju da pored informacija koje smo već naveli čuvaju IP (eng. IP) adrese, podatke o transakciji (uključujući podatke o kreditnoj kartici korisnika), brojeve telefona u trenutku registracije i to za vremen od 180 dana. Supervizor u pismu konstatuje da ovo nije u skladu ni sa skorašnjom presudom Suda pravde EU kojom je Direktiva o zadržavanju podataka EU proglašena nevažećom.

Osim toga, Supervizor smatra da prikupljanje i obrada podataka koji su na ovaj način nametnuti nisu u skladu sa principom minimizacije podataka o ličnosti (eng. Data Minimisation Principle) koji nalaže prikupljanje i obradu samo neophondog minimuma podataka o ličnosti i njihovo čuvanje za tačno određeno vreme, dok postoji precizno određena svrha obrade.

Zbog njihovog značaja i za domaći pravni sistem, iz integralne verzije pisma prenosimo nekoliko najbitnijih paragrafa, koje zbog autentičnosti objavljujemo u originalu, na engleskom jeziku:

… the 2013 RAA and the Draft Specification continue to fall short of compliance with European data protection law.

The Draft Specification should only require collection of personal data, which is genuinely necessary for the performance of the contract between the Registrar and the Registrant (e.g. billing) or for other compatible purposes such as fighting fraud related to domain name registration. This data should be retained for no longer than is necessary for these purposes. It would not be acceptable for the data to be retained for longer periods or for other, incompatible purposes, such as law enforcement purposes or to enforce copyright.

Processing contrary to these recommendations would be contrary to three key principles of European data protection law set forth in Directive 95/46/EC. It would violate the principle of purpose limitation under Article 6(1)(b) of Directive 95/46/EC, which prohibits the processing of personal data for incompatible purposes4, the requirement under Article 7 of the Directive to have an appropriate legal ground for the processing of data, such as contract, consent or the legitimate interest of the controller, and the requirement of proportionality, including the requirement not to retain data ‘longer than is necessary for the purposes for which the data were collected or for which they are further processed’ (Article 6(1)(e)).

These provisions are specifications of the fundamental rights to privacy and the protection of personal data laid down in Articles 7 and 8 of the Charter of Fundamental Rights of the European Union.

šta dalje?

Očigledno je da privatnost i registracija domena na žalost imaju nekoliko dodirnih tačaka i da njihov trenutni odnos ide na štetu prava na privatnost. Međutim, postavlja se pitanje da li to mora da bude tako?

Iz kojih razloga Internet korporacija za dodeljene nazive i brojeve nameće ovakve obaveze i pored u trenutku kada svest o značaju privatnosti raste

Da li je za registraciju internet domena zaista neophodno kršiti zakone koji štite pravo na privatnost i jednom relativno jednostavnom, banalnom procedurom koja je uz to jednostrano nametnuta od strane jedne privatne organizacije zadirati u osnovno ljudsko pravo lica koja registruju internet domene, bez obzira gde se oni u svetu nalaze?

Isto tako, da li je neophodno nacionalnim registrima nametati obavezu da krše zakone sopstvenih država?

Čini se međutim da je ključno pitanje ipak vezano za upravljanje Internetom, odnosno za način na koji se internet domeni dodeljuju. Ukratko rečeno, dok ova oblast bude predmet monopola Internet korporacije za dodeljene nazive i brojeve, demokratsko odlučivanje o jednom globalnom resursu, očuvanje njegove otvorenosti, kao i o uzimanje u obzir ličnih prava i sloboda u ovoj oblasti neće biti moguće.

Kada su u pitanju privatnost i registracija internet domena, možemo se nadati da će u budućnosti situacija biti bolja, istovremeno sagledavajući štetu koja je do sada već učinjena.

Đorđe Đokić, LL.M.

Ekspert za privatnost i zaštitu podataka o ličnosti, Pravni savetnik za privatnost pri INTERPOL-u, Ekspert-evaluator Evropske komisije, Master prava EU, autor knjige ”Zaštita privatnosti na Internetu i Savet Evrope”,  Privacy by Design Ambassador.

  • googleplus
  • linkedin
  • twitter

One Comment

  1. Kolega, mislim da trea poci od lokalnog registra nacionalnih domena u analizi. koliko je meni poznato jedino osobe koje imaju direktan pristup bazama podataka o registrantima mogu videti sve podatke. Svako moze da plati uslugu neprikazivanja podataka, a sto je najvaznije morate traziti podatke o registrantu domen po domen. Znaci pitanje cuvanja privatnosti je pitane da li je moguce napraviti softver za registraciju domena tako da niko ne moze pristupiti bazi podataka o registrantima, pa cak ni autori softvera. Sa druge strane bas zbog potrebe na primer pravosudnih organa, da pronadju vlasnika domena ili internet adrese, neophodno je prikupiti ove podatke.

Comments are closed.