Foto: Jinyoung Kim
Osnivač kancelarije, advokat Dragan Milić, prisustvovao je 84. konferenciji Asia-Pacific Top Level Domain Association conference, u Seulu, od 18 do 21 septembra, gde je zajedno sa Dejanom Đukiće, direktorom Fondacije Registra Nacionalnog Internet Domena Srbije, održao trening pod nazivom “GDPR for ccTLDs: Cruising between the Devil and the Deep Blue Sea” za posetioce koji su došli iz skoro svih nacionalnih registara iz Azija – Pacifik oblasti.
Kako se cc TLD registri sve više suočavaju sa izazovima zaštite s jedne strane nosioca prava intelektualne svojine ili drugih lica koja žele da ostvare svoja prava i s druge prava na privatnost registranata, potreba da se podigne nivo svesti kod registara i znanja, predstavlja primaran zadatak organizatora ovakvih konferecija. Balanisranje između prava ove dve opozitne strane, predstavlja sve samo ne lak posao u svetlu današnjih propisa koji regulišu zaštitu podataka o ličnosti.
Primaran fokus treninga bio je napre teroretsko upoznavanje sa GDPR-om i regulacijom zaštite podataka o ličnosti generalno, a potom i za širenjem dobre prakse i savetovanje registara kako da uz što veću efikasnost urede svoje interne politike postupanja.
Osnova za trening bilo je i izlaganje teme obuhvaćene naučnim radom čiji su autori Dejan Đukić i Dragan Milić – PITANJE UTVRĐIVANJA IDENTITETA REGISTRANATA NAZIVA INTERNET DOMENA U SVETLU VAŽEĆIH PROPISA O ZAŠTITI PODATAKA O LIČNOSTI, objavljene u zborniku Kopaoničke škole prirodnog prava – Dr Slobodan Perović, u decembru 2022. godine.
U situacijama kada su prava trećih lica povređena posredstvom nečijeg internet sajta ili samom registracijom određenog naziva internet domena, da bi došlo do ostvarenja pravne zaštite i pokretanja odgovarajućeg postupka, jedan od prvih koraka ka tom cilju je utvrđivanje identiteta lica koje se pojavljuje kao registrant predmetnog naziva internet domena koji je registrovan ili na kom domenu se predmetni vebsajt nalazi. Stupanjem na snagu novih propisa o zaštiti podataka o ličnosti u EU i Republici Srbiji, pristup podacima o registrantu, fizičkom licu, u velikoj meri je otežan i ograničen samo na lica koja imaju pravni osnov za obradu tih podataka o ličnosti. Na koji način se ta prava ostvaruju i pod kojim uslovima, kakva je trenutna praksa i sa kojim problemima se lica koja teže da ostvare svoja prava sreću, predmet je analize ovog članka, u kom su pored kratkih pojašnjenja strukture interneta, pravne prirode naziva internet domena, pojašnjeni i osnovni instituti i načela zaštite podataka o ličnosti, sa osvrtom na pravni osnov zakonitosti obrade podataka o registrantu, kao i aktuelnim rešenjima registara naziva internet domena.
Do skoro je praksa vršenja uvida u podatke registranta funkcionisala na način što je zainteresovano lice jednostavno uz pomoć „WHOIS“ servisa, unošenjem naziv internet domena dobijao informacije o registrantu, njegovom kontaktu, odnosno administrativnom i tehničkom kontaktu koji je nadležan za predmetni naziv internet domena. Delimično ograničen pristup ovim informacijama, važio je samo ukoliko je od strane registranta bila aktivirana posebna usluga „privatnosti“ koja se doplaćivala. U svim ostalim slučajevima, podaci o registrantu bili su lako dostupni zainteresovanim licima. Međutim, od početka primene novih propisa na teritoriji EU, ali i mnogim drugim zemljama, koji imaju za cilj da strožije regulišu zaštitu podataka o ličnosti, pristup ovim informacijama nije moguć po ovom pojednostavljenom principu, što donosi mnogo problema u praksi, kako organizacijama koje upravljaju nazivima internet domena, tako i trećim zainteresovanim licima.
Stupanje na snagu Opšte uredbe o zaštiti podataka Evropske unije (dalje: Uredba ili GDPR)[1], kao i srpskog Zakona o zaštiti podataka o ličnosti (dalje: ZZPL)[2] koji je preuzeo rešenja ovog propisa, stavio je na test mnoge prakse koje se tiču obrade podataka o ličnosti koje su do tada nesmetano funkcionisale i rezultiralo njihovim preispitivanjem odnosno ograničavanjem ili ukidanjem.
Neki od ciljeva uredbe su da zaštiti podatke o ličnosti u većoj meri, da njihovu obradu učini transparetnijom i svede je samo na minimalan obim i samo ukoliko za to postoji valjan zakonski osnov. Ovi ciljevi regulisani su kroz principe odnosno načela, koja se primenjuju direktno na rukovaoce i obrađivače podataka.
Dakle, registri svoj osnov za postupanje zasnivaju na potrebi titulara za zaštitom određenih njihovih prava, poštujući ograničenja koja postavljaju propisi u oblasti zaštite podataka o ličnosti. Videli smo da postoje raznovrsne prakse, u smislu, da li podatke otkrivaju i stranama i njihovim punomoćnicima ili samo nadležnim organima. Međutim, ono što je zajedničko kod ovih registara je to, da pravna pomoć, zbog koje se podaci zahtevaju treba da bude usmerena na konkretnu zaštitu prava određenog lica. Po našem stanovištu ovakav stav registara je potpuno ispravan s obzirom na to da propisi u oblasti zaštite podataka o ličnosti, između ostalog nalažu, da obrada bude usklađena sa načelima Zakona odnosno principima GDPR-a. Na prvom mestu obrada mora da bude zakonita i bazirana na odgovarajućem zakonskom osnovu, poput legitimnog interesa ili prava na vršenje službenih ovlašćenja (načelo zakonitosti). Takođe mora da bude i srazmerna svrsi odnosno, svedena na neophodan obim, čime se postiže i poštovanje „načela ograničenosti u odnosu na svrhu obrade“ i „načela minimizacije“ obrade podataka o ličnosti.[1]
U svakom slučaju, postupanje nadležnih registara se u velikoj meri svodi na balansiranje između prava i interesa strana koje zahtevaju informacije o registrantima i prava i interesa registranata, a kroz uspostavljanje dobrih praksi i procedura, bilo na bazi smernica dobijenih od krovnih organizacija poput ICANN-a ili kroz prakse koje su se iz iskustva drugih registara pokazale najadekvatnijim. Ono što je neophodno da registri u svojim politika i pravilima pomire, to je zaštita prava korisnika, tako što neće dozvoliti da dolazi do nesrazmerne obrade podataka o ličnosti, ali sa druge strane svoj sistem ne treba da zatvore do te mere, da subjekti čija su prava povređena ne mogu da ostvare odgovarajuću pravnu zaštitu.
[1] Zakon o zaštiti podataka o ličnosti, Sl. glasnik RS, br. 87/2018, član 5.
[1] General Data Protection Regulation (EU) 2016/679.
[2] Zakon O zaštiti podataka o ličnosti (“Sl. Glasnik rs”, br. 87/2018).