Policija nezakonito pridobivala podatke o bralcih spletnih portalov
V 31 izmed 35 primerov so podatke želeli pridobiti brez odredbe sodišča, v 23 primerih so se jim upravljavci portalov tudi uklonili. Največkrat pri najbolj branem portalu pri nas, 24ur.com.
Policija je v letu 2012 podatke o bralcih spletnih portalov od upravljavcev portalov brez sodne odredbe, kar je v nasprotju z zakonom, zahtevala v 31 primerih, le v štirih primerih pa so imeli sodno odredbo zanje. Kljub nezakoniti poizvedbi so upravljavci spletnih portalov v 23 primerih podatke o njihovih bralcih tudi posredovali, kaže 2. decembra lani izdano poročilo Informacijskega pooblaščenca (.doc dokument).
Članek je objavljen tudi na spletnem portalu Slo-Tech
Informacijski pooblaščenec je nadzor nad delom policije opravil na podlagi prijave enega izmed upravljavcev portala, je razvidno iz poročila, ki smo ga dobili z zahtevo na podlagi zakona o dostopu do informacij javnega značaja. V prijavi je upravljavec policiji očital, da je podatke o uporabnikih njegovega portala zahtevala brez sodne odredbe.
»Sodna odredba predstavlja osnovni element neodvisnega nadzora, kot jamstva pred neupravičenimi posege v človekove pravice, ki preprečuje arbitrarnost delovanja policije in drugih državnih organov. Varstvo posameznika v razmerju do policije je eden ključnih pokazateljev stopnje demokratičnosti države in neodvisna sodna presoja pri izvajanju policijskih pooblastil je eden temeljnih garantov uravnoteženosti želja policije in varstva temeljnih človekovih pravic,« je namestnik Informacijskega pooblaščenca Andrej Tomšič odgovoril na naše vprašanje, do kakšnih zlorab lahko pride, če policija podatke pridobiva mimo sodišč.
Sklicevanje na napačne zakone
Posredovanje podatkov o bralcih spletnih portalov ureja osmi člen Zakona o elektronskem poslovanju na trgu (ZEPT), ki se glasi:
Ponudniki storitev morajo vsem pristojnim organom na njihovo zahtevo najkasneje v roku treh dni od njenega prejema sporočiti podatke, na podlagi katerih je mogoče identificirati prejemnike njihove storitve (ime in priimek, naslov, firma, elektronski naslov). Navedene podatke morajo ponudniki storitev sporočiti zaradi odkrivanja in preprečevanja kaznivih dejanj na podlagi odredbe sodišča, brez odredbe sodišča pa, če tako določa področni zakon.
Trenutno po vedenju Informacijskega pooblaščenca ne obstaja noben drug zakon, ki bi omogočal pridobivanje komunikacijskih podatkov mimo sodišč, nam je pojasnil Andrej Tomšič.
A policija upravljavcev spletnih portalov na to ni opozorila, saj se v nobenem primeru ni sklicevala na osmi člen ZEPT, temveč je do podatkov poskušala priti na podlagi določil drugih, napačnih zakonov. Na primer s sklicevanjem na 142. člen Zakona o kazenskem postopku (ZKP). Ta določa, da morajo vsi državni organi sodiščem in drugim organom, ki sodelujejo v kazenskem postopku, dajati potrebno pomoč, zlasti če gre za odkrivanje kaznivih dejanj ali za izsleditev storilcev. Kot ugotavljajo pri Informacijskem pooblaščencu, upravljavci spletnih portalov v nobenem od pregledanih primerov niso bili državni organi.
V nekaterih zahtevah so navajali tudi 143. člen istega zakona, ki določa, da mora upravljavec osebnih podatkov te na zahtevo posredovati sodišču (kot ugotavlja informacijski pooblaščenec, policija ni sodišče). Največkrat pa so do podatkov o uporabnikih portala hoteli priti prek 148. člena ZKP, ki policiji zapoveduje ukrepanje ob sumu kaznivih dejanj, tudi z zbiranjem obvestil in preiskavami vozil ter poslovnih prostorov. Toda, kot opozarja Informacijski pooblaščenec, je vrhovno sodišče že leta 1996 v načelnem pravnem mnenju ugotovilo, da policija za pridobitev osebnih podatkov, kamor štejemo tudi podatke o uporabnikih portalov, potrebuje sodno odredbo.
Policija molči
Informacijski pooblaščenec tako ugotavlja, da »policija očitno ne pozna ali ignorira določbe ZEPT, saj se niti v eni zahtevi v letu 2012 ni sklicevala na omenjene določbe ZEPT, temveč se sklicuje na neustrezne določbe Zakona o kazenskem postopku, Zakona o policiji ali celo Zakona o varstvu osebnih podatkov, v nekaterih primerih pa celo ni navedla nobene pravne podlage.«
Informacijski pooblaščenec je policijo zaprosil tudi za pojasnilo, zakaj se v svojih zahtevah namesto na ZEPT sklicuje na napačne zakone. Odgovora niso dobili.
Na naše vprašanje, zakaj podatke pridobivajo nezakonito, pa so na policiji odgovorili, da so takoj po izdanih ugotovitvah Informacijskega pooblaščenca začeli delovati v skladu z njimi. Obenem je direktorat notranjega ministrstva za policijo in druge varnostne naloge na ministrstvo za pravosodje podal prošnjo za pridobitev ustreznega pravnega tolmačenja določenih določb zakonodaje, saj se z vsemi ugotovitvami Pooblaščenca ne strinjajo. Odgovora jim pravosodno ministrstvo še ni dalo.
Policija je sicer podatke o uporabnikih spletnih portalov največkrat zahtevala zaradi suma javnega spodbujanja sovraštva, nasilja ali nestrpnosti (v 14 odstotkih zaprosil), zaradi suma kraje identitete (osem odstotkov zaprosil), in zaradi suma obrekovanja (šest odstotkov zaprosil). V tridesetih odstotkih pa je podatke želela pridobiti kar brez navedbe sumov kaznivega dejanja. Največkrat je zahtevala IP številke uporabnikov portalov, s pomočjo katere lahko nato prek poizvedbe pri ponudnikih interneta ugotovi identiteto naročnika internetnega priključka.
Spletni portali so se uklonili
Kljub nezakonitosti zahtev je večina spletnih portalov podatke policiji posredovala (pdf). To je največkrat storila družba Proplus, upravljavka po njihovih besedah najbolj obiskane spletne strani v Sloveniji 24ur.com in njenih satelitov (moskisvet.com, frendi in flirt…). Proplus je brez sodne odredbe posredovala IP številke in uporabniška imena petih njihovih uporabnikov. V dveh izmed teh primerov je posredovala tudi naslov spletne pošte uporabnika, v enem primeru pa še ime in priimek ter datum rojstva osebe. Sledi ji založnik Nova obzorja (portal politikis.si), ki je podatke brez sodne odredbe policiji posredoval v primeru štirih uporabnikov. Od večjih upravljavcev portalov so policiji podatke brez odredbe sodišča posredovali še upravljavci spletnih strani bolha.com, izklop.com, med.over.net in dnevnik.si. Podatkov policiji niso posredovali upravljavci portalov Domenca d.o.o. (avtomobilizem.com), Slo-Tech (slotech.com), in Report, d.o.o. (pozareport.si).
Informacijski pooblaščenec tako na podlagi rezultatov analize zaključuje, da »Določb ZEPT očitno tudi ponudniki storitev informacijske družbe ne poznajo, saj v veliki večini primerov podatke dostavijo policiji tudi brez odredbe sodišča.«
Na Urad Informacijskega pooblaščenca smo se obrnili tudi z vprašanjem, ali bodo policijo zaradi nezakonitega delovanja sankcionirali. »Pooblaščenec je poročilo o ugotovitvah poslal na Ministrstvo za notranje zadeve, Direktorat za policijo in druge varnostne naloge ter na Vrhovno državno tožilstvo RS. Glede na njihov odziv se bomo odločili o nadaljnjih ukrepih,« so nam odgovorili.
Sodišče ne more upoštevati nezakonitih dokazov
Neupravičen poseg v komunikacijsko zasebnost bralcev pa ni edina negativna posledica svojeglavosti policije. Informacijski pooblaščenec opozarja tudi na potencialno visoko ceno nezakonitega delovanja policije v poznejšem sodnem postopku.
Kot ugotavljajo, v tem primeru »ne gre samo za vprašanje zakonitosti obdelave osebnih podatkov (tako posredovanja kot nadaljnje uporabe osebnih podatkov), ki jo nadzira Pooblaščenec, ki na podlagi pristojnosti tudi izreka sankcije. Zastavlja se tudi vprašanje uporabljivosti tako zbranih dokazov v matičnem – kazenskem postopku. Nemogoče je spregledati ureditev izločanja nedovoljenih dokazov, začenši z drugim odstavkom 18. člena ZKP in 83. členom tega zakona. Če gre v takih primerih za dokaze, ki so bili pridobljeni s kršitvijo ustavno varovanih človekovih pravic in temeljnih svoboščin oziroma za dokaze, pridobljene s kršitvijo določb ZKP oziroma za tako imenovane zastrupljene sadeže, potem sodišče ne bo moglo opreti sodne odločbe na take dokaze.«
Omenjena člena ZKP določata, da je treba nezakonito pridobljene dokaze izločiti iz sodnega postopka. Zaradi tako pridobljenih dokazov je bila na prvi stopnji oproščena večina obdolžencev v primeru Balkanski bojevnik. Nadalje 37. člen Ustave RS določa, da je zagotovljena tajnost pisem in drugih občil, samo zakon pa lahko predpiše, da se na podlagi odločbe sodišča za določen čas ne upošteva varstvo tajnosti pisem in drugih občil ter nedotakljivost človekove zasebnosti, če je to nujno za uvedbo ali potek kazenskega postopka ali za varnost držav. Ker spadajo glede na odločbo Ustavnega sodišča iz leta 1997 med varovano tajnost občil ne samo vsebina sporočil, temveč tudi tako imenovani prometni podatki (npr. telefonska številka klicateljev in kličočih, IP naslovi uporabnikov svetovnega spleta…), so vsi podatki, ki jih je policija pridobila od upravljavcev spletnih portalov mimo sodišč, najverjetneje nezakonito pridobljeni dokazi, in zato v morebitnih sodnih postopkih brez veljave.
Podatke bi v nasprotju z ustavo pridobivala tudi SOVA
Policija pa ni edina, ki želi podatke o uporabnikih svetovnega spleta pridobivati brez sodne odločbe. Lani je naša obveščevalno-varnostna služba SOVA v Zakon o elektronskih komunikacijah (ZEKom) želela vriniti določbo, s katero bi lahko policija, SOVA in drugi varnostni organi med drugim podatke o uporabnikih svetovnega spleta od ponudnikov internetnega dostopa pridobivali le s pisno zahtevo varnostnega organa. Tudi za pridobitev teh podatkov policija po trenutni zakonodaji potrebuje odredbo sodišča.
Nujnost določbe, ki se je glasila: »Posredovanje podatkov o naročniku elektronskega komunikacijskega priključka na podlagi pisne zahteve državnega organa skladno z določbami 149. člena tega zakona se ne šteje za posredovanje hranjenih prometnih podatkov, četudi mora operater za izvedbo te zahteve vpogledati v hranjene podatke,« so utemeljevali z obrazložitvijo, da je nastala kot odraz potrebe prakse, ko operaterji v primerih gostovanja tujega telefonskega priključka v mobilnem omrežju slovenskega operaterja, te obveze [posredovanja določenih podatkov o uporabniku, ki že zdaj ne zahtevajo odredbe sodišča] niso mogli izvršiti brez vpogleda v bazo hranjenih podatkov.« Varnostni organi namreč na podlagi določil kazenskega zakonika prek naročniških baz mobilnih operaterjev lahko dostopajo do nekaterih zasebnih podatkov o posamezniku, tudi o tem, kdo je lastnik mobilnega telefona. A dostop je bil možen le pod pogojem, da ste naročnik slovenskega ponudnika mobilnih storitev (torej da ne uporabljate predplačniškega paketa mobilnih storitev).
Obrazložitev je bila neresnična. Naši mobilni operaterji namreč ne hranijo (in niti ne morejo hraniti) podatkov o lastniku komunikacijskega priključka, če ta ni njihova stranka. Tako varnostni organi niti s predlagano spremembo ZEKoma ne bi mogli dostopati do podatkov, do katerih so želeli na podlagi obrazložitve priti brez odredbe sodišča. Informacijska pooblaščenka Nataša Pirc Musar je takrat povedala, da pisci obrazložitve »lažejo in zavajajo«, resničen namen predlaganega člena pa je lažji dostop do IP številk uporabnikov svetovnega spleta mimo nadzora sodišč: »Časi, ko smo komunicirali samo po telefonu, so minili. policija se tega dobro zaveda in zato si želi lažji dostop do imetnikov IP številk. Ta namen je v ozadju, saj se večina komunikacije seli na internet.«
Poslanci so takrat tudi po posredovanju Informacijske pooblaščenje sporni člen umaknili iz predloga zakona.
Porocilo – uporaba pooblastil za posredovanje podatkov o uporabnikih interenta_nov2013 (.doc doukument)
Priloga 1 – Analiza zahtevkov_2012 (.pdf dokument)
Nastanek tega članka ste omogočili bralci z donacijami. Podpri Pod črto
Deli zgodbo 0 komentarjev
0 komentarjev