Policija pri pridobivanju podatkov o bralcih portalov spet sistematično kršila ustavo
Informacijski pooblaščenec je konec 2012 ugotovil sistematično zlorabo pooblastil policije pri pridobivanju podatkov o bralcih portalov. Zdaj se je zgodba ponovila.
Verzija tega prispevka je objavljena na portalu Slo-Tech
Policija je v lanskem letu v kar 21 primerih podatke o bralcih spletnih portalov oziroma komentatorjih ali naročnikih malih oglasov od upravljavcev spletnih portalov zahtevala brez sodne odločbe ter s tem kršila ustavo in zakon, je januarja letos ugotovil informacijski pooblaščenec. Ta je nadzor nad delovanjem policije sprožil po razkritju zaprosila policije časnika Finance za podatke o spletnem komentatorju foruma Financ, ki smo ga objavili na podcrto.si.
Policija je v omenjenih 21 primerih od upravljavcev spletnih portalov brez sodne odredbe izrecno zahtevala posredovanje IP številke internetnega priključka bralca portala, s katero lahko nato od operaterja omrežja pridobi podatke, kdo je naročnik internetnega priključka. Pridobivanje teh, tako imenovanih prometnih podatkov, mimo odredbe sodišča, prepoveduje 37. člen ustave in 8. člen zakona o elektronskem poslovanju na trgu (ZEPT). Oba namreč določata, da organi pregona, vključno s policijo, za pridobitev podatkov o komunikaciji posameznika (kamor spada IP številka bralca), potrebujeta odredbo sodišča.
Z letošnjimi ugotovitvami informacijskega pooblaščenca se ponavlja zgodba s konca leta 2013, ko je pooblaščenec prvič ugotovil sistematično nezakonito pridobivanje podatkov od upravljavcev spletnih portalov. V letu 2012 je po takratnih ugotovitvah informacijskega pooblaščenca, ki smo jih v začetku leta 2014 skupaj s spletnim medijem Slo-Tech razkrili na podcrto.si, policija podatke nezakonito in neustavno poskušala pridobiti 31-krat.
Leta 2012 so kljub nezakonitosti na zahtevo policije upravljavci portalov podatke posredovali v 23 primerih. Med njimi so bili tudi veliki medijski hiši PRO Plus in Dnevnik ter portal za male oglase bolha.com. V letošnjem nadzoru pa je informacijski pooblaščenec ugotovil, da podatkov policije na podlagi nezakonite zahteve ni posredoval niti en upravljavec portalov. »Določeni ponudniki storitev informacijske družbe podatkov o prometu svojih uporabnikov ne posredujejo brez odredbe sodišča, zato lahko štejemo, da se je njihovo poznavanje pravnih podlag za posredovanje osebnih podatkov glede na ugotovitve iz leta 2013 izboljšalo,« je to dejstvo v povzetku ugotovitev zadnjega nadzora komentiral informacijski pooblaščenec.
Primer je portal bolha.com podjetja Bolha d.o.o. Po ugotovitvah pooblaščenca je policija leta 2012 to podjetje brez sodne odredbe trikrat zaprosila za prometne podatke, Bolha je policiji zahtevane podatke dvakrat nato tudi posredovala. Leta 2015 pa je bila Bolha tarča večine nezakonitih poizvedb policije, saj je slednja na Bolho naslovila kar 19 od 21 zahtevkov za prometne podatke obiskovalcev portala. Bolha je tokrat vse zahteve zavrnila. Prometne podatke je policija po enkrat zahtevala še od RTV Slovenija in podjetja Popcom, d.o.o. (upravljavec portala igre123.com). Ta sta prav tako zavrnila posredovanje podatkov.
Hude težave policije pri zagotavljanju zakonitosti delovanja
Zadnje ugotovitve informacijskega pooblaščenca še dodatno kažejo na hude težave policije pri zagotavljanju zakonitosti svojega delovanja na področju pridobivanja podatkov o bralcih portalov. Po prvem razkritju sistematičnega nezakonitega in neustavnega zbiranja podatkov v začetku leta 2013 je policija obljubila, da bo s to prakso prekinila. A še v istem letu smo policijo pri podcrto.si še dvakrat ujeli pri nezakonitem pridobivanju podatkov. Na podlagi našega poročanja je policija takrat izvedla notranji nadzor in potrdila naše ugotovitve.
Policijo smo v sredo zaprosili za komentar zadnjih ugotovitev informacijskega pooblaščenca, a ga do objave članka nismo dobili. V odgovoru informacijskemu pooblaščencu na njegove ugotovitve pa je policija po navedbah Andreja Tomšiča, namestnika pooblaščenke, ugotovitve o svojem nezakonitem delovanju sprejela in »je pristopila k sprejemu […] ukrepov«. Na policiji bodo zdaj, tako Tomšič, pripravili »enotni obrazec, s katerim bodo policisti na enoten način zahtevali podatke, do katerih so upravičeni brez odredbe sodišča, prometnih podatkov pa ne bodo zahtevali brez odredb sodišča. Glede na to, da delo policije usmerja tožilstvo, pa bomo skupaj z njimi poiskali rešitve za enotno razumevanje in izvajanje zakonodaje«.
Kot je razvidno iz policijskega odgovora pooblaščencu, je namreč v nekaterih primerih celo tožilstvo od policistov zahtevalo, da prometne podatke od upravljavcev portalov pridobijo nezakonito – torej brez sodne odredbe.
Tomšiča smo povprašali tudi za komentar o stalnih sistematičnih kršitvah policije pri pridobivanju podatkov. »Težko komentiramo. Ne stališča informacijskega pooblaščenca ne zakonodaja glede zadevnih vprašanj se niso spremenili, zato mora policija zagotoviti, da je njena praksa enotna in zakonita. Zakonitost pridobivanja osebnih podatkov mora biti v interesu policije, tudi če ne bi bilo inšpekcijskega nadzora IP.«
Policija namreč z nezakonitim zbiranjem podatkov tvega njihovo neuporabnost v sodnem postopku. Ti podatki v skladu z doktrino »sadežev zastrupljenega drevesa« ne morejo biti dokaz v sodnem postopku, niti ne morejo kot dokaz služiti ostale informacije, ki so bile pridobljene na podlagi teh nezakonito pridobljenih podatkov.
Policija je po podatkih informacijskega pooblaščenca v letu 2015 podatke o bralcih portalov največkrat – v skoraj polovici primerov – zahtevala zaradi preiskovanja kaznivega dejanja goljufije. Sledi kaznivo dejanje tatvine in velike tatvine. V kar 18 odstotkih primerov pa policija upravljavcu portala ob zaprosilu za posredovanje podatkov ni pojasnila, katero kaznivo dejanje preiskuje. »Policija bi morala kot vsak drug uporabnik osebnih podatkov v zahtevku za posredovanje podatkov navesti toliko podatkov, da se lahko upravljavec prepriča o obstoju pravnega temelja in potrebnosti zahtevanih informacij. Torej mora zahteva vsebovati vsaj pravno kvalifikacijo obravnavanega kaznivega dejanja, ki se preganja po uradni dolžnosti,« je ob tej ugotovitvi zapisal informacijski pooblaščenec.
Do zdaj brez sankcij za kršitelje
Namestnika pooblaščenke Tomšiča smo še vprašali, ali bodo policijo zaradi nezakonitega delovanja sankcionirali. »Glede na to, da podatki dejansko niso bili pridobljeni, niso podane podlage za uvedbo prekrškovnega postopka. Namen inšpekcijskega postopka je bil ugotoviti, ali policija podatke zahteva skladno z zakonskimi podlagami in odpraviti ugotovljene nepravilnosti. Glede na odziv policije menimo, da so k saniranju stanja pristopili z vso resnostjo.« Toda: da bodo problem rešili, je policija pooblaščencu obljubila že leta 2013 po razkritju rezultatov prvega nadzora nad pridobivanjem podatkov.
V tokratnem odgovoru pooblaščencu so na policiji zapisali, da bodo direktorje policijskih uprav pozvali, naj ukrepajo zoper posamezne policiste, ki so poskušali nezakonito pridobiti podatke. Na policijo smo se obrnili z vprašanjem, kakšne bodo te sankcije. Odgovora nismo dobili. Ko smo spomladi leta 2013 na podcrto.si policijo spet ujeli pri nezakonitem pridobivanju podatkov, je policija dva kršitelja kaznovala z razgovorom pri nadrejenemu.
Ustavni pravnik Andraž Teršek z Univerze na Primorskem je takšno prakso za podcrto.si novembra lani komentiral z besedami: »Nimam kaj filozofirati. Policija nadaljuje s kršitvami, motivacija za to pa je nekaznovanost za te kršitve. Enkrat se jim bo zgodilo, da bodo protiustavno izsledili nekega težkega kriminalca in bo zadeva zaradi tega padla na sodišču. Takrat bo v njihovih očeh glavni krivec ustava in ne oni sami.«
Dokumenti
Poročilo – uporaba pooblastil za posredovanje podatkov o uporabnikih interneta_
Nastanek tega članka ste omogočili bralci z donacijami. Podpri Pod črto
Deli zgodbo 2 komentarja
2 komentarja
TadejM 17. 2. 2016, 17.26
Problem je računalniško izredno enostavno rešiti. Redno brisanje dnevniških datotek spletnega strežnika. To počne na primer tudi Informacijski pooblaščenec, kjer na spletni strani https://www.ip-rs.si/info/zasebnost.html#LINK1 piše: "Dnevniške datoteke spletnega strežnika se hranijo 24 ur, nato se brišejo." V tem primeru pa če policija zahteva dnevniške zapise (IP številke računalnika, ki so dostopali do spletne strani), jih upravljalec spletnega portala preprosto ne more dati, ker jih nima, pa če to policija tudi s sodno odločbo zahteva. Pravno pa tole ne more biti sporno, če le-to počne tudi Informacijski pooblaščenec. Prav tako na primer na portalu podcrto.si preberete vse komentarje preden se objavijo, tako da neustrezne komentarje ne objavljate, tako da policija niti nima nekega interesa, da bi zahtevala prometne podatke od vašega portala.
Me pa zanima, kakšno ima politiko glede teh dnevniških logov portal podcrto.si? Nikjer na portalu nisem zasledil. Če bi to imeli urejeno kot na primer informacijski pooblaščenec in kje na portalu napisali, bi to dodatno prispevalo k zaupanju vašu portalu. Jaz bi na primer to informacijo dal nekje zraven "ABOUT (ENG)", napisal pa bi "ZASEBNOST" in bi poleg te informacije napisal tudi, da portal podcrto.si uporablja izključno https povezavo od brskalnika do spletnega strežnika, kar pomeni, da nihče v tranzitu (npr. Telekom) ne more videti, kaj bralci berejo na portalu.
TadejM 17. 2. 2016, 17.35
Kako se to naredi?
a) na Linux se uporabi sistemski ukaz logrotate
b) ali pa sorodna funkcionalnost spletnega strežnika (rotatelog).
Računalniški administratorji portala bi to morali znati narediti ali pa vsaj znati poiskati na internetu, kako se to naredi.
P.S. Lahko svojim računaničarjem rečete, da naj odpravijo sledeči problem. Če v polje E-mail ne vpišeš pravega naslova (sem se ravnokar zatipkal in nisem vpisal @ znaka) in tako vaš portal javi napako: "ERROR: please enter a valid email address". Ko v brskalniku klikneš "nazaj", potem zgubiš celotno natipkano besedilo. Najbolj prijazno do uporabnika je narediti tako, da je gumb Objavi onemogočen, dokler niso vsa polja pravilno izpolnjena.