Ko državo zanima, kaj počnete na spletu
Podjetja, kot so Google, Meta, Apple in Microsoft, morajo na zahtevo podatke uporabnika deliti z državnimi organi
Ko uporabljamo računalnik ali pametne mobilne naprave, si običajno ne belimo glave s prebiranjem več strani dolgih pravnih podukov o splošnih pogojih uporabe določenih spletnih storitev ter politiki določenega podjetja na področju zasebnosti in varovanja osebnih podatkov. Tako se lahko po eni strani hitro znajdemo v vlogi, ko se z našimi podatki in zgodovino spletnega brskanja trguje ali brezplačno uporablja za nadaljnji razvoj platform, po drugi strani pa včasih naivno verjamemo, da ni nikomur mar, kaj počnemo na spletu. A ni povsem tako. V določenih primerih lahko to, kaj vse počnete na spletu, zanima tudi državne institucije in zahtevam držav o posredovanju podatkov o določenem uporabniku se morajo – vsaj na papirju – ukloniti tudi tehnološki giganti.
Nedavno objavljeno poročilo nizozemskega podjetja Surfshark o številu vladnih zahtev za dostop do podatkov uporabnikov, ki so jih države med letoma 2013 in 2020 zahtevale od tehnoloških korporacij Meta, Apple, Microsoft in Google, kaže, da se je globalno število zahtevkov povečalo. Slovenija ni izjema in se uvršča med države, kjer število podanih zahtevkov narašča.
Med 177 državami na 38. mestu
V poročilo je ponudnik navideznega zasebnega omrežja Surfshark vključil 177 držav, v katerih so med letoma 2013 in 2021 prejeli več kot 6,6 milijona zahtev za dostop do podatkov uporabnikov. V zadnjih letih se je številka eksponentno povečevala. Glede na število uporabniških računov, za katere je bila podana zahteva za vpogled, Slovenija zaseda 38. mesto v svetovnem merilu (52,3 zahteve za vpogled na 100.000 prebivalcev) in na 24. mesto med državami Evropske unije. Skupno je bilo podanih 1109 zahtev za pridobitev podatkov določenega uporabnika.
V katerih primerih lahko državni organi od tehnoloških podjetij zahtevajo posredovanje uporabnikovih podatkov? Odvisno od tega, kje živite, pravila igre so v ZDA drugačna kot v Evropski uniji. Tehnološki giganti pri odločitvi, ali bodo ugodili zahtevi in katere podatke bodo posredovali, upoštevajo zakonodajo države, kjer ima podjetje sedež (ameriška podjetja se v Evropi pravilom odločajo za Irsko), zakonodajo evropske države, v kateri je sedež podjetja, zakonodajo države, ki poda zahtevo po posredovanju uporabnikovih podatkov, in druge mednarodne standarde ter pravila podjetja.
Nič brez sodne odredbe
Kako je to področje urejeno v Sloveniji? »Ko gre za podatke, povezane s komunikacijo, ima Slovenija izjemno stroge predpise. 37. člen Ustave Republike Slovenije pogojuje poseg v tako imenovano komunikacijsko zasebnost z nujnostjo za uvedbo ali potek kazenskega postopka ali varnost države. Pridobivanje podatkov v povezavi s komunikacijami je pogojeno s sodno odredbo,« pojasnjuje odvetnica mag. Rosana Lemut Strle. Izjema so primeri, v katerih okoliščine kažejo na to, da se je komunicirajoči posameznik na spletu odpovedal svoji komunikacijski zasebnosti (da je denimo sam razkril svojo identiteto ali podatke, iz katerih je bila identiteta ugotovljena). Odvetnica konkretnih primerov, v katerih so bili zahtevani ali pridobljeni podatki s strani tehnoloških gigantov, ne pozna, je pa prepričana, da gre za zahteve, ki so bile utemeljene z izdano sodno odredbo.
Ob tem izpostavlja še v skupnem poročilu o delu državnih tožilstev v letu 2021 navedeno opozorilo vrhovnega državnega tožilstva, ki je posebej opozorilo na težavno pridobivanje potrebnih podatkov od tehnoloških gigantov, kot sta podjetji Meta in Google. »Težave imajo že pri določitvi države, ki bi bila pristojna za izvršitev odredbe, saj se večinoma države, v katerih imajo te družbe sedež, ne opredelijo kot pristojne ali pa odredb ne morejo realizirati,« še dodaja odvetnica.
Posredovanje zahtevanih podatkov mora biti zakonito tako na strani tistega, ki podatke posreduje, kot tudi tistega, ki jih zahteva (upoštevanje nacionalnih predpisov oziroma v primeru Evropske unije nadnacionalnih predpisov). »Tehnološki gigant bo sledil predpisom, ki veljajo v državi sedeža, tisti, ki zaproša, pa je dolžan slediti predpisom, ki veljajo v državi njegovega sedeža oziroma ustanovitve. Ker je slovenska zakonodaja stroga, z izdano sodno odredbo za pridobitev potrebnih podatkov najverjetneje zadosti tudi pogojem države sedeža konkretnega tehnološkega podjetja, od katerega se podatki zahtevajo. Težava nastane v primeru, ko se ta preprosto ne odzove ali pa posredovanje podatkov zavrne, saj zoper takšno odločitev ni vzpostavljenih mehanizmov,« zapleteno mrežo predpisov, ki jo je v teh primerih treba upoštevati, strne odvetnica.
Težave pri preiskovanju kaznivih dejanj
Ker je vse večji del našega življenja povezan s spletom, se pojavi vprašanje o primerni urejenosti slovenske zakonodaje na tem področju in ali bi veljalo vpeljati spremembe. Predpisi skušajo slediti trendu, pri čemer je treba vselej iskati sicer krhko ravnotežje med zasebnim in javnih interesom, poudarja odvetnica.
»Ne gre le za to, da lahko vsak na enostaven način deli svoje misli in mnenja, pri čemer kdaj tudi preseže meje svojih pravic in na nedopusten način poseže v tuje. Na spletu in prek drugih elektronskih komunikacijskih sredstev se v vseh fazah odvijajo tudi posli, zakoniti in nezakoniti. V ta namen se razvijajo tudi orodja, ki pomagajo udeležencem prikrivati ne le identiteto, tudi lokacijo, izvor komunikacije, samo komunikacijo in podobno. Ne nazadnje tudi podjetje Surfshark ponuja storitve, ki pomagajo pri ohranjanju zasebnosti na spletu, varujejo identiteto in otežujejo sledenje. Slovenski predpisi, tako kot predpisi drugih držav, poskušajo slediti razvoju tehnologije in spremembam naših navad«. Zadnja večja sprememba zakona o kazenskem postopku v tej smeri je bila narejena leta 2019.
Vrhovno državno tožilstvo v skupnem letnem poročilu za leto 2021 izpostavlja problematiko odsotnosti podatkov, potrebnih za preiskovanje kaznivih dejanj zaradi kratkih rokov hrambe po zakonu, ki ureja elektronske komunikacije. »Naj spomnim, da je Ustavno sodišče Republike Slovenije poleti 2014 razveljavilo določbe takrat veljavnega zakona o elektronskih komunikacijah, ki so operaterjem nalagale obvezno hrambo podatkov v zvezi z uporabo določenih telekomunikacijskih storitev – telefonske storitve v fiksnem in mobilnem omrežju, dostop do interneta, elektronske pošte in internetne telefonije za čas 14 oziroma 8 mesecev od komunikacije.« Po veljavnem zakonu, ki ureja elektronske komunikacije, se podatki hranijo le kratek čas, kar pomeni, da v času, ki je potreben za odkritje suma storitve kaznivega dejanja in utemeljitev potrebe po določenih podatkih, teh pogosto ni več. »Tožilci opozarjajo tudi na potrebne spremembe zakonodaje, ki bi omogočala pridobivanje prometnih podatkov tudi za tako imenovane varne komunikacije (viber, wickr mewe, whatsapp ...), in možnost izvajanja prikritih preiskovalnih ukrepov na teh komunikacijah. Praksa preiskovanja zlasti organiziranih kaznivih dejanj kaže na to, da komunikacija v zvezi s kaznivimi dejanji vse bolj poteka prek navedenih spletnih komunikacij in čedalje manj prek klasičnih,« dodaja Lemut-Strletova.
So torej spremembe potrebne ali ne? »V praksi odgovor na to, ali je treba spremeniti zakonodajo in v kateri smeri, ni preprost. Velika večina nas namreč tudi tako imenovane varne komunikacije uporablja zaradi zasebnosti pri povsem zakonitih opravilih. Prav tako ni videti splošnega in neselektivnega razloga za to, da bi bili naši podatki o prometu v elektronskih komunikacijah pri operaterjih na voljo dlje časa, kot je potrebno za ureditev obveznosti iz poslovnega odnosa med nami in operaterjem ali za druge namene.«
Več nezakonitih aktivnosti
V zadnjem desetletju opaženo povečanje zahtev držav za dostop do uporabniških računov predvsem v ZDA in Evropi odraža tudi vse močnejšo vlogo spleta in različnih spletnih orodij, od elektronske pošte in družbenih omrežjih do ogromnega skoka v uporabi pametnih mobilnih telefonov, v našem življenju.
»Poleg samega števila podanih zahtevkov je iz poročila Surfsharka razvidna tudi struktura oziroma porazdelitev zahtevkov po tehnoloških gigantih. Vidimo lahko, da v obdobju 2013–2021 ostaja število zahtev do Microsofta relativno konstantno oziroma je celo v upadanju, raste pa število zahtevkov do podjetij Apple, Meta in Google. Če upoštevamo vrste storitev, ki jih ti ponujajo, je rast logična, saj raste tudi obseg ponujenih storitev: Meta poleg facebooka ponuja tudi instagram, storitve youtuba so postale bolj razvejane, enako velja za storitve Googla – gmail, blogger ...« Tudi obdobje pandemija covida-19 je močno predrugačilo in zaznamovalo naš način uporabe spleta, ki ga ohranjamo tudi naprej, dodaja Rosana Lemut Strle. »Nove storitve tehnoloških gigantov so vabljive, primarno seveda za zakonite namene, z obsegom zakonite rabe pa neizogibno (statistično) raste tudi obseg nezakonitih aktivnosti na spletu. Tako ne preseneča ugotovitev Surfsharka, da se je število zahtev v letu 2021 glede na leto 2020 povečalo za približno 25 odstotkov.«