Zamislite sledeću situaciju: uđete u poznatu prodavnicu odeće u centru grada, svidi vam se neka haljina, uđete u kabinu, probate je, a onda sutradan saznate da je u toj kabini postojala skrivena kamera koja snima žene koje probaju odeću. Ili, saznate da se ime, prezime, adresa i škola vašeg deteta nalaze “na izvol’te” svakome ko poželi da ih nađe na internetu. Ili, uradite neke zdravstvene analize, pa onda saznate da je laboratorija vaše rezultate poslala na neki vama nepoznati mejl. Ili, odjednom vaša fotografija iz lične karte dospe na naslovnu stranu tabloida sa optužbom da ste vođa škaljarskog klana, zato što imate nesreću da imate isto ime i prezime kao kriminalac.

Sve ovo su stvari koje se svakodnevno mogu desiti ako živite u Srbiji. Isto tako, ili, možda, upravo zbog toga, sve ovo su stvari koje godinama prolaze nekažnjeno: tužilaštva, policija i sudovi imaju jednocifreni broj presuda po krivičnim prijavama i tužbama za povredu privatnosti, a doslovce nijedan veliki slučaj – kada čitave baze osetljivih podataka građana dospevaju u javnost – nije ni došao do suda. U ovakvom stanju Srbija je dočekala Nedelju privatnosti, koja će se završiti u petak, 28. januara, obeležavanjem Međunarodnog dana zaštite podataka.

Svi pomenuti slučajevi nalaze se u bazi povreda privatnosti, koju od početka 2019. godine vode organizacije Partneri Srbija, SHARE Fondacija, Udruženje “Da se zna!”, Beogradska otvorena škola, NVO ATINA i Inicijativa A11. Organizacija Partneri Srbija je analizirala i sudsku praksu kada je reč o povredi privatnosti, i tokom perioda od 2015. do početka 2021. godine našla samo dve presude po članu 146 Krivičnog zakonika (krivično delo “neovlašćeno prikupljanje ličnih podataka”).

Prema rečima Uroša Mišljenovića iz ove organizacije, i u poslednjih godinu dana sudska praksa je ista, gotovo nepostojeća, a krivične prijave koje Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti podnosi, kako kaže, stoje u tužilaštvima i uopšte ne dolaze do suda.

“Nakon dve presude za pet godina, u proteklih godinu dana se povećao broj presuda, ukupno ih je bilo pet u tom periodu, ali nijedan veliki slučaj povrede privatnosti, kojih je bilo, nije dobio sudski epilog. Ponovo su to bili pojedinačni slučajevi: administrativni radnik opštine, dva policijska službenika, i još dve po privatnim tužbama građana, za kačenje nekih fotografija na Fejsbuk”, kaže za “Vreme” Mišljenović.

On dodaje da je zajedničko za sve ove presude da su uslovne, za pojedinačne slučajeve, sa niskom kaznom.

“Zabrinjavajuće da do suda nikada nisu došli oni veliki slučajevi povrede podataka, kada se upadne u velike baze, kada se zloupotrebe podaci iz istrage pa se pošalju tabloidima, kada se napravi namerna povreda zakona da bi se nekome naškodilo… Zaključak je isti kao i pre godinu dana: nema sudske odgovornosti za ozbiljne povrede privatnosti građana, bilo po pitanju ozbiljnog zadiranja u privatnost, bilo kada se radi o masovnim povredama prava”, kaže Mišljenović, navodeći da je problem u neadekvatnom postupanju tužilaštva i policije.

“FALIČNA” REGULATIVA

Verovatno najveći slučaj kršenja Ustavom garantovanog prava građana zaštitu podataka o ličnosti bio je “curenje” ogromne baze podataka Agencije za privatizaciju, sa podacima o više od pet miliona punoletnih građana Srbije – svih onih koji su se nekada prijavili za dobijanje besplatnih akcija državnih firmi. Ovi podaci – ime i prezime, adresa, jedinstveni matični broj, broj računa, telefon – stajali su na sajtu Agencije mesecima bez ikakve zaštite i sa mogućnošću njihovog preuzimanja, što je, izvesno, i zloupotrebljeno neznan broj puta. Osim masovnosti kršenja prava građana, ovaj slučaj se po ishodu ne razlikuje od bezbroj drugih: Agencija je u međuvremenu ugašena, prijave su zastarele i niko nikada nije odgovarao.

Prema rečima zamenika Republičkog javnog tužioca Gorana Ilića, problemi su kako u propisanim kaznama, koje su previše blage, tako i u ponašanju državnih službenika prilikom rukovanja osetljivim podacima.

“Kazne za ova dela su veoma blage. Postoji neka tradicija, nasleđeno stanje, jer nekada ugrožavanje privatnosti nije bilo tako učestalo, nije nosilo takvu količinu opasnosti po normalne ljudske kontakte, svakodnevni život i svaku individuu ponaosob, a sada se to dosta promenilo zbog tehnologije. Ako je zaprećena kazna jedna godina zatvora, ona može da se ublaži i da bude rad u javnom interesu, ili novčana kazna. To su zanemarljive kazne spram ugrožavanja privatnosti pojedinca.

Takođe, iz mog iskustva mogu da kažem da se u mnogim državnim organima ti osetljivi podaci ne pohranjuju na odgovarajući način. To je zaostatak iz ranijeg vremena kada to nije bila tema. Drugim rečima, krivično zakonodavstvo u ovoj oblasti nije pratilo promene koje su se događale u životu, posebno napredak tehnologije”, kaže Ilić.

On napominje i da su kršenja privatnosti tolikog obima da tu ne pomaže krivično pravo. “Tu je važna uloga medija – ako je jasno da se do nekog podatka došlo zloupotrebom nečije privatnosti, i ako mediji ne bi takve podatke plasirali u javnost, ne bi jurili za senzacionalizmom i podizali tiraž, to bi svakako demotivisalo ljude da se bave tuđom privatnošću kao biznisom. Ali, veliki problem u Srbiji je što taj princip samoregulacije ne funkcioniše, a krivično zakonodavstvo može da reši samo ekstremne slučajeve zloupotrebe i ataka na privatnost”, zaključuje Ilić.

Prema rečima Nevene Ružić iz Fondacije za otvoreno društvo, koja je godinama radila i u službi Poverenika, država Srbija nije prenela ključne odredbe GDPR regulative EU iz 2016. godine (General Data Protection Regulation), koja bi omogućila visoke novčane kazne za prekršioce – a to su često ogromne kompanije poput Gugla ili Fejsbuka.

“Upravna mera koja može da se izrekne po GDPR-u iznosi četiri odsto ukupnog globalnog prihoda kompanije ili 20 miliona evra, i to su one kazne o kojima slušamo, od više stotina miliona. To su ogromne brojke. Mi to nažalost nemamo, mi smo preuzeli spisak tih sankcionisanih radnji, ali ih sankcionišemo u prekršajnom postupku, a ne upravnim merama. Tu iznosi nisu toliki, već su apsolutni, a rokovi za vođenje prekršajnog postupka, odnosno zastarelost su ostali isti. Takođe, jedan od problema koji je ranije bio notiran jeste da, ako se i pokrenu ti prekršajni postupci, dugo traju i izostane sankcija; pa kad sankcija i bude izrečena, što je na primer bio slučaj sa Slavicom
Đukić-Dejanović, nije izrečena novčana kazna, zato što je sud imao u vidu njeno imovno stanje. I time dolazimo do druge strane – da kod nas imamo situaciju da su najveći problem i dalje organi vlasti”, kaže Ružić za “Vreme”.

Da podsetimo, ovo je bio jedan od najbrutalnijih slučajeva kršenja prava na privatnost – kada je glavni urednik “Informera” usred emisije na TV Pinku čitao medicinski izveštaj jednog od bivših direktora lista “Kurir”, sve sa ministrom zdravlja Zlatiborom Lončarem u studiju, koje je te izveštaje tumačio. Sve je prošlo sa najblažom mogućom kaznom. Nadzor Poverenika je tada ustanovio da je tadašnja direktorka klinike “Laza Lazarević” Slavica Đukić-Dejanović dala medicinski karton na zahtev MUP-a, a sve je završeno samo sa opomenom za direktorku, bez novčane kazne.

Upravo takvi, dramatični primeri zadiranja u privatnost građana najčešće su delo organa vlasti, odnosno službenih lica – a to je krivično delo koje tužilaštvo mora da goni po službenoj dužnosti. Za ostale povrede privatnosti, krivični zakonik predviđa privatnu krivičnu tužbu. Međutim, kao što smo videli, tužilaštva ove prijave Poverenika ne odbacuju, ali se sa njima ništa ne događa – policija ništa ne uradi na nalog tužilaštva, tužilaštvo na ovo ne reaguje i stvari se tako razvlače godinama, često i do zastarevanja.

Advokat Rodoljub Šabić, koji je skoro deceniju i po bio Poverenik, kaže za “Vreme” da se tokom njegovog obavljanja ove funkcije “aktivnost tužilaštva svodila uglavnom na podnošenje tužbi protiv Poverenika i sa zahtevima za poništaj njegovih odluka”, i dodaje: “Ne šalim se.”

“Odnos vlasti u Srbiji prema problemu zaštite privatnosti i, u okviru tog problema, zaštite podataka o ličnosti, jeste na krajnje zabrinjavajućem nivou. To važi za sve režime koji su se u međuvremenu menjali, ali je u tome aktuelna vlast bez ikakve konkurencije otišla najdalje. Reč nije samo o kršenju zakona o zaštiti podataka o ličnosti, nego i zakon o zaštiti prava pacijenata. Generalno, ti propisi ne samo da se krše nekažnjeno, već u nekim situacijama postoje frapantni primeri kršenja tih propisa u najjeftinije politikantske svrhe od strane predstavnika takozvane političke elite, i to po pravilu ostaje nekažnjeno”, kaže Šabić za “Vreme”.

On podseća na niz šokantnih primera koji su prošli bez ikakve kazne – medijsko izveštavanje o zdravstvenom stanju pokojne Jovanke Broz; situaciju kada je narodni poslanik Marijan Rističević zatražio i dobio od RFZO zdravstvene podatke koji su dostupni samo na osnovu naloga suda; slučaj švajcarskih fudbalera, etničkih Albanaca, koji su rođeni u Srbiji i čiji su dokumenti iz MUP-a objavljeni u tabloidu…

“Nakon sprovedenog postupka nadzora koji sam naredio, utvrdili smo da je to akcija u kojoj su matičari postupali po nalogu MUP-a, a MUP na zahtev Kancelarije za KiM. U takvoj bizarnoj situaciji učestvuju dva važna organa, oba neovlašćeno”, kaže Šabić.

Ipak, on navodi slučaj aplikacije “Moj doktor”, koju je promovisalo ministarstvo zdravlja, kao naročito težak slučaj. Šabić se priseća da je ministarstvo tada dalo dva različita imena firme sa kojom navodno sarađuje, sa dve različite adrese, a da se nijedno ime te firme nije moglo povezati sa bilo kojom adresom.

“Međutim, najveći problem je bio to što je u samoj aplikaciji izričito stajalo da će podaci iz aplikacije da se koriste i u marketinške i razne druge svrhe. Govorimo o medicinskim podacima. Posle toga je nestala ta famozna politika privatnosti, tako da naknadno na aplikaciji nije bilo nikakve politike privatnosti. Govorimo o ogromnoj bazi podataka, izuzetno delikatnoj, koja bi bila basnoslovno plaćena od strane bilo koga ko bi hteo njome da manipuliše – u kriminalne, marketinške, ili trgovačke svrhe: sa stanovišta trgovine lekovima, opremom, bilo čim, a da ne pričamo o direktnom zadiranju u privatnost. Naravno da su podnete i prekršajna i krivična prijava, o tome sam obavestio i BIA ali, koliko znam, i to je sve ostalo bez odgovora. Trenutna politička elita uverena je da sa ličnim podacima građana i njihovom privatnošću može da radi šta joj padne na pamet, a da sa visokim stepenom izvesnosti može računati da će ostati nekažnjena”, zaključuje Šabić.

Iz dosadašnjih primera, a ima ih još mnogo, jasno je da se pravo građana na privatnost krši masovno i u velikom broju. Prema pomenutoj bazi podataka, od 2019. godine je zabeleženo da to najčešće rade organi države, a potom i privatne kompanije. Od 2018. nijedan mobilni operater više ne dostavlja podatke o tome koliko puta su im tokom godine MUP, BIA ili druge bezbednosne službe zatražili (i dobili) tzv. zadržane podatke, odnosno podatke o komunikaciji – sa kim, odakle i koliko dugo ste razgovarali. Samo jedan operater je o tome izveštavao do 2018. i broj tih (udovoljenih) zahteva brojao je na stotine hiljada godišnje.

Međutim, šta je sa zloupotrebama koje čine kompanije, ili privatna lica? Šta može da se desi sa našim podacima?

“Najveći problem je što su rizici tek u budućnosti. Problem sa svim tim gomilanjem podataka na internetu jeste što se prave ogromne baze naših podataka, naših ponašanja, i mi zapravo i ne znamo kada će neko možda to zloupotrebiti. To je potencijalni rizik za sve nas, zato što nikada nije o svakome od nas postojao tako detaljan dosije”, kaže za “Vreme” Danilo Krivokapić iz SHARE Fondacije, dodajući da je problem sa time kada ti podaci iz domena običnog oglašavanja i marketinga pređu u neke druge vode.

“Najbolji primer kako se to politički zloupotrebljava jeste čuveni skandal Kembridž analitika: postojali su jako precizni profili ljudi i tačno se znalo ko su oni koji se razmišljaju da li da glasaju za Trampa ili za Hilari Klinton. I onda su njima slali reklamne poruke koje su suštinski bile lažne vesti, tipa da Hilari Klinton hoće da proda zemlju Rusima, pa su se ti ljudi onda odlučili da glasaju za drugu stranu. Ono što je ljudima bliže jeste da neko sa tvojim podacima može da se lažno predstavi da bi ostvario sebi korist, a poznato je da su 2014. iscurili lični podaci praktično o svim punoletnim građanima. Imali smo slučaj da je početkom epidemije bila otvorena baza podataka o zaraženim ljudima, pri čemu je veći problem bio što su podaci mogli i da se unose u bazu, a država je na osnovu tih podataka donosila odluke o zdravlju ljudi”, kaže Krivokapić.

Kao poseban problem navodi nedostupnost velikih kompanija u Srbiji. “Puno puta možeš da goniš i da okriviš te velike kompanije, pri čemu onda dolaziš u problem – a kako ćeš njih da goniš, ako oni ovde nemaju nikoga? Mi smo pokrenuli tu kampanju imenovanja predstavnika, i to je dobar put.

Međutim, Fejsbuk se, na primer, nikada nikome nije javio, ni Povereniku, ni nama. Na tome se mora raditi, jer se gro tih povreda dešava na velikim sajtovima – nekad sami sajtovi krše pravo na privatnost načinom na koji prikupljaju podatke, koriste ih, procesiraju, ali često se desi da jedino te platforme mogu da ti reše problem, a ti ne možeš da im se obratiš: na primer, hakovan ti je profil, neko je okačio neke slike, sve češće su situacije kačenja osvetničke pornografije… Moramo kao društvo da vidimo kako ćemo sa tim da se izborimo, jer prelazi naše granice i nedostaju nam ti mehanizmi. Bez aktivnog učešća i razumevanja tih kompanija da se ovde dešava život, da se ovde krše prava, nećemo puno puta moći da uradimo, naša država tu nema faktičku kontrolu nad tim stvarima”, zaključuje Krivokapić.

(Ovaj tekst napravljen je uz finansijsku podršku Evropske unije. Izraženi stavovi isključiva su odgovornost autora i ne odražavaju nužno stavove donatora.

Projekat “Povećanje učešća građana na polju Digitalne agende – ICEDA” sprovode Fondacija Metamorfosis (Severna Makedonija), Open data Kosovo (Kosovo), Akademija za eUpravu (Estonija), Partneri za demokratske promene Srbija (Srbija), NVO 35mm (Crna Gora) i Levizja Mjaft! (Albanija).)