UTICAJ GDPR-A NA PRIKUPLJANJE, OBRADU I OBJAVLJIVANJE LIČNIH PODATAKA REGISTRANATA


Već sa prvom najavom Nove uredbe o zaštiti podataka ličnosti (GDPR) koja će stupiti na snagu 25. Maja ove godine, nakon dvogodišnjih priprema za njenu implementaciju, postavilo se pitanje kako će se ista odraziti na lične podatke koje registri internet domena  prikupljaju, obrađuju i čine dostupnim javnosti.

Prema dosadašnjoj praksi i propisima međunarodne ICANN organizacije koja upravlja internet domenima, svi podaci koji se tiču pojedinačnih internet domenskih naziva, objavljivani su javno i svako je mogao da im pristupi kroz tzv WHO IS upite na raznim internet servisima. Podaci koji su se na taj način prikupljali i objavljivali uključivali su između ostalog ime i prezima registranta, rezidencijalnu adresu, email, lica određena kao administrativni i tehničko kontakt, naziv servera itd.

Pooštravanjem uslova pod kojim ovi podaci mogu biti javno dostupni, koji će stupanjem GDPR-a krenuti da se primenjuju, postavilo se i pitanje daljeg oblika u kom će WHO IS upit funkcionisati, za građane i teritorije obuhvaćene Uredbom. Pored WHO IS servisa (Registration Data Directory Services), koji je posebno karakterističan jer informacije direktno čini izloženim javnosti, Uredba stavlja pred ICANN niz drugih zadataka koje mora rešiti da bi poslovanje i opšte akte uskladio sa novim regulativom.

Zbog toga je Internet korporacija za dodeljene nazive i brojeve, 28. Februara ove godine publikovala analizu odnosa trenutne regulative koja propisuje obradu ličnih podataka i GDPR-a i istovremeno promovisala (privremeni) model po kom se može izvršiti usklađivanje ovih propisa.


ICANN zajednica je imala ispred sebe zadatak da reši nekoliko ključnih pitanja, kako funkcionisanje DNS servisa (Domain Name System) ne bi bilo ugroženo s regulativne strane:

  1. Da li je i pod kojim uslovima registrima dozvoljeno da nastave da prikupljaju informacije o administrativnim i tehničkim kontaktima i prosleđuju ih drugim ovlašćenim registrima i Escrow provajderima
  2. Da li je anonimna email adresa (iz koje se ne može zaključiti ime/naziv pravnog /fizičkog lica) može supstituisati kontakt informacije registranta, administrativnog i tehničkog kontakta u javno dostupnom WHO IS servisu
  3. Dali će i pod kojim uslovima registrima i registratorima biti dozvoljeno da čine dostupnim javnosti WHO IS upit sa svim sadržanim podacima i pre razvijanja akredationog pragrama za uslovni pristup.
  4. Da li će registrima i registratorima biti dozvoljeno da primenjuju model globalno ili samo na tržištu za koje su nadležni
  5. Da li će se model primenjivati na kontakt podatke pravnih lica, dostavljene od strane registanta.

I               POSTOJANJE LEGITIMNOG INTERESA ZA OBJAVLJIVANJE PODATAKA

Ključna činjenica za formiranje odgovora na postavljena pitanja, je da li ICANN i registri mogu dokazati legitiman interes da učine dostupnim sve lične podatke registranata javnosti.

Analizirajući stepen personalnog u podacima, jačinu potencijalnog interesa javnosti da im pristupi, sve u konktekstu GDPR-a, malo je verovatno da bi publikovanje podataka registranta po dosadašnjem principu bilo zakonito.

Zbog toga model predlaže formiranje višestepenog rangiranja ovlašćenja za pristup podacima, razdvojeni posebnom akreditacijom koju bi izdavali registri.

II             SVRHA

Dalje, potrebno je analizirati i svrhu prikupljanja podataka i dokazati potrebu da isti u tom nivou butu prikupljani. Zbog toga je potrebno obezbediti da svrha WHO IS upita bude isključivo obezbeđivanje tačnih, pouzdanih i saobraznih podataka. Zatim je potrebno ustanoviti pouzdane mehanizam za pristup podacima i uzeti u obzir regulativu koja propisuje zaštitu intelektualne svojine, krivična dela vezana za internet, istragu u vezi s njima i prava potrošača.

III            POTREBA I POTVRDA

Potrebno je preispitati da li su svi podaci koji se trenutno prikupljaju zaista i potrebni. Posebno se ističe sumnja u potrebu da se od registranata zahtevaju podaci o administrativnom i tehničkom kontaktu. Naročito imajući u vidu da su u većini slučajeva u pitanju ista lica.

Dodatni zahtev GDPR-a bi mogao biti potvrđivanje svih dostavljenih podataka. Odnosno na registrima bi bio zadatak da nađu efikasan model za proveru i potvrdu svih dostavljenih podataka.

IV            TRANSFER PODATAKA

Posebnu pažnju treba pokloniti transferu podataka između registara, registratora i provajdera. Zaključak modela je da se u svim tokovima razmene informacija između pomenutih lica, mora voditi računa da svi dostupni podaci moraju biti prosleđeni.

V             TERITORIJALNA I PERSONALNA PRIMENA MODELA

Registri i registratori će biti obavezni da primenjuju preporuke iz Modela, vezano za podatke pravnih i fizičkih lica, ukoliko su:

  1. osnovani na teritoriji EEA (EU + Norveška, Island, Lihtenštajn) i obrađuju lične podatke u okviru podataka potrebnih za registraciju
  2. osnovani na teritoriji izvan EEA ali nude/pružaju usluge registrantima lociranim na teritoriji EEA.
  3. Osnovani izvan EEA i nude/pružaju usluge takođe izvan EEA, ali angažuju registratore koji su locirani unutar EEA oblasti.

Ukoliko se registracija odnosi na registranta, registar, registratora ili angažovanog obrađivača koji se ne odnosi na teritorije iz prethodnog stava, registar ima mogućnost ali ne i obavezu da primenjuje model.

S tim u vezi i dalje je otvoreno pitanje globalne primene modela. Dok su jedni za to da ICANN preporuči njegovu primenu u celom svetu bez obzira na GDPR, sa argumentom da postoji još mnogo zakonodavstava sa oštrom politikom privatnosti, kao i onih koji će implementirati i sam GDPR, postoji i druga struja koja propagira slobodniji pristup obrade podataka na teritorijama gde to zakoni dozvoljavaju. Međutim, u tim situacijama se postavlja i problem povlašćenog i potčinjenog položaja subjekata koji nisu odnosno jesu u obavezi da poštuju striktnu politiku privatnosti.

Takođe, važno je uzeti u obzir i činjenicu da GDPR ne predviđa zaštitu podataka pravnih lica, dok ih model stavlja u isti režim sa fizičkim, čime odstupa i čak proširuje dejstvo Uredbe i na ove pravne subjekte.


ŠTA ĆE REGISTRI BITI OVLAŠĆENI DA ČINE DOSTUPNIM PREKO WHO IS SERVISA

Registri će moći da publikuju informacije o primarnom i sekundarnom serveru sa registrovanim imenima, status domena, datum registracije domena, datum isteka registracije i minimum ličnih podataka u vidu anonimne email adrese ili web forme za kontakt, države i grada registranta.

Kroz WHO IS će biti vidljiv DNSSEC i poslednji datum ažuriranja baze podataka.

Ime registranta neće biti javno dostupno, kao ni detaljna adresa u vidu ulice i broja, telefon niti faks.

Takođe, imena administrativnih i tehničkih kontakata neće biti javno dostupna, kao ni njihovi kontakt podaci, uključujući lične email adrese, već samo anonimne, kao i u slučaju registranata.


KO MOŽE DA PRISTUPI LIČNIM PODACIMA REGISTRANTA INERNET DOMENA I NA KOJI NAČIN

Registri će obezbediti pristup podacima koji su okarakterisani kao „nejavni“, samo posebno sertifikovanim subjektima, koji su prošli poseban proces akreditacije kod ICANN-a, kao što su državni organi, izvršiteljske kancelarije i advokati koji se bave intelektualnom svojinom.  Registar akreditovanih lica će se voditi pri organizaciji ICANN.

Za sada je u planu implementacija jednog od dva modela pristupa, s tehničkog aspekta. Jedan je pristup s IP adrese koja se nalazi u registru, a drugi način je preko PIN/token pristupa uz proštovanje Registration Data AccessProtokola.


Advokat Dragan Milić