Važni nalazi

20222021

Mali onlajn mediji sa periferije centralnih tokova informacija napredovali su na tabeli krupnim koracima i pokazali više spremnosti da svoje poslovanje usklade sa zakonima Srbije nego neke od najvećih medijskih kuća. Tokom protekle godine zabeležene su mnoge promene: uzorak analize manji je za jedan sajt koji je u međuvremenu ugašen (); jedan medij više je odlučio da svoje i podatke svojih korisnika skladišti u Srbiji; broj medija koji su narušavali principe poštovanja privatnosti iz Kodeksa novinara ostao je isti (9) ali se zbir njihovih opomena uvećao za trećinu.

Najveći napredak ostvaren je kod jasnog i jednostavnog informisanja čitalaca o ličnim podacima koje sajtovi prikupljaju. Sledeći korak mogao bi da bude razumevanje medija da je zakon u Srbiji pisan po uzoru na evropski i da ista pravila važe za građane Srbije kao i za građane EU.

Osnovni tehnički parametri

HTTPS

Od 49 medijskih sajtova obuhvaćenih novom analizom, na dva (, ) još uvek nije podešeno automatsko učitavanje sigurne konekcije sa korisničkim uređajima pa su im istovremeno aktivni stari HTTP i novi HTTPS protokoli.

Siguran protokol transfera hiperteksta (HTTPS) dodatnim slojem enkripcije štiti podatke od presretanja tokom razmene. Na taj način se potvrđuje autentičnost sajta, dok se istovremeno štite privatnost i integritet podataka korisnika. Ikonica katanca ispred adrese znak je da sajt koristi siguran protokol.

HOSTING i PUTANJA PODATAKA

Kada se korisnički uređaj poveže sa serverom, njegova lokacija direktno utiče na rizike kojima su izložena prava građana čiji se podaci skladište na hosting serveru. To podrazumeva i različite pravne režime kroz koje prolaze podaci građana Srbije.

Ovogodišnja analiza pokazuje da je još jedan medijski sajt skućio svoj hosting server u Srbiji, pa ih je sada ukupno 10. Njih 19 je hostovano u državama EU – pored Nemačke, u kojoj su smešteni serveri 13 onlajn medija, među destinacijama su i Švedska, Holandija, Finska i Slovenija. Za tri sajta odabrane jurisdikcije hostovanja podataka nalaze se izvan Evrope: dva u Sjedinjenim Državama (, ) i jedan u Kanadi ().

Vodeća tranzitna tačka za lične podatke domaćih čitalaca sajtova koji su hostovani u zemljama EU jeste Nemačka (17 sajtova) gde se nalazi najveće svetsko čvorište interneta, DE-CIX Frankfurt, odakle se internet paketi preusmeravaju ka drugim svetskim destinacijama. Tranzitne zemlje za hosting u Severnoj Americi po pravilu su Irska za SAD i Francuska za Kanadu.

POSREDNIČKI SERVISI

Jedan od najčešćih načina odbrane od tehničkih napada na sajtove medija i građanskih organizacija, posrednički servisi štite integritet i dostupnost sadržaja. Međutim, ovaj alat onemogućava tehničku analizu putanje i mesta za skladištenje podataka, jer je preusmerava na posredničke servere. Odbrana je potrebna i opravdana, ali korisnici zaslužuju – što je pravo garantovano i zakonom – jasno obaveštenje o očekivanom režimu zaštite njihovih ličnih podataka.

Još jedan medij se opredelio za posredničke usluge i sada ih ima ukupno 17. Kod gotovo svih njih u pitanju je Cloudflare servis, osim u jednom slučaju gde se koristi Fastly. Prošle godine je samo informisao svoje korisnike o mestu gde se skladište njihovi podaci: sada su mu se pridružili još i i .

Cloudflare i Fastly su kompanije sa sedištem u SAD, pa i podaci sajtova njihovih klijenata uglavnom prolaze kroz servere u SAD, jurisdikciji koja je raskinula sporazum sa EU o poštovanju standarda zaštite ličnih podataka. Međutim, u martu 2022. najavljen je novi sporazum SAD i Evropske komisije koji bi trebalo da nadomesti nedostatke zbog kojih je Sud pravde EU 2020. stavio van snage prethodni okvir slobodnog protoka podataka, poznat kao EU-US Privacy Shield. S druge strane, sada iz Londona stižu signali da bi UK mogla da napusti režim usklađenih standarda zaštite.

Obaveštavanje korisnika

Jasne i razumljive informacije o obradi ličnih podataka građana predstavljaju temelj evropskih standarda zaštite, ugrađenih i u zakon koji se u Srbiji primenjuje od 2019. Ova obaveza se po pravilu izvršava kroz takozvanu politiku privatnosti, dokument u kom se korisnik sajta obaveštava o svemu što je značajno za proces obrade – ko upravlja podacima i ko ih obrađuje, gde se čuvaju, kome se ustupaju itd. Zakon takođe propisuje da sva ta obaveštenja budu jasna, jednostavna i razumljiva prosečnim čitaocima.

Dobrim politikama privatnosti na sajtovima , , i , ove godine pridružili su se i . Način na koji su potrebne informacije predstavljene je jasan, dosledan i informativan, a tekstovi tih dokumenata pisani su za stvarne prilike u konkretnom mediju, u skladu sa obavezama koje propisuje domaći zakon i uz odgovarajuću pravnu podršku. U odnosu na prošlogodišnju analizu, niz medijskih organizacija po prvi put objavljuje politike privatnosti ili ih značajno unapređuje: , , , , , , i .

U poređenju sa prethodnom godinom, po svim analiziranim kriterijumima obaveštavanja čitalaca o obradi njihovih ličnih podataka pokazuje se pomak na bolje. Umesto prošlogodišnjih 15, sada se na 23 medijska sajta jasno navodi ko rukuje podacima o ličnosti. Konkretne lične podatke koji se prikupljaju, navodi u potpunosti 25 medija i još 13 u delimičnoj meri; svrhu obrade podataka navodi 28 medija; pravni osnov za obradu podataka pruža njih 20; podatak o roku čuvanja pominje 14 od 49 analiziranih medija; informacija o tome da li se podaci dele, ustupaju, prodaju postoji kod 25 medija; ako se podaci dele, ustupaju, prodaju, 14 medija je navelo i kome; da li se podaci iznose iz Republike Srbije navelo je 16 medija; informacije o pravima lica na koje se podaci odnose navodi 22 medijskih sajtova (u potpunosti ili delimično); kontakt na koji se korisnici mogu obratiti sa pitanjem o obradi svojih podataka pružilo je 22 medija.

Razumljivost i jasnost politike privatnosti nije uvek bilo moguće vrednovati: ili zato što takav dokument ne postoji na sajtu (, , , , , , , i ), ili zato što je objavljen na stranom jeziku ( i ). Nažalost, i dalje veliki broj analiziranih medija u svojoj politici privatnosti ne daje ni osnovne informacije propisane zakonom, ili im se ovaj dokument svodi na kratak i uopšten deklarativni sadržaj, po pravilu sa akcentom na privatnost, a ne na prikupljanje podataka o ličnosti. U mnogim slučajevima gde dokument sadrži osnovne informacije propisane zakonom, one su konfuzne, kontradiktorne, nedosledne, sa ponavljajućim tekstom u okviru više različitih naslova.

Među lošim praksama koje smanjuju transparentnost, mogu se prepoznati situacije u kojima medij ima očiglednu nameru da svojim čitaocima pruži neke informacije, ali nije sve do kraja razjašnjeno. Korišćenje dobrih šablona može značajno da pomogne u sastavljanju politike privatnosti, ali bez prilagođavanja specifičnim prilikama u konkretnom mediju, tuđa dobra praksa postaje loš saveznik. Izrazi nepoznati domaćem pravnom okviru, mešanje zaštite privatnosti sa uslovima korišćenja, pogrešne pravne kvalifikacije, samo su neki od jasnih znakova da ovaj važan dokument nije pisan s dužnom pažnjom, niti sa pravima čitalaca na umu.

Kolačići i trekeri

U odnosu na prošlogodišnju analizu, broj medija koji ne poseduju nikakvo obaveštenje o korišćenju kolačića na svojem sajtu smanjio se sa 18 na 13. Portal javnog servisa i dalje ne daje nikakvo obaveštenje o svojoj politici kolačića na sajtu, što ga izdvaja iz grupe od 20 najposećenijih medijskih portala kao jedinog koji ni na koji način nije regulisao kako korisnici podležu kolačićima. Činjenica da ostalih 19 sajtova sa velikom publikom ipak vode računa o tome da svoje korisnike obaveste o prikupljanju kolačića predstavlja pozitivan nalaz. Takođe je važno napomenuti da je pet medija unapredilo načine obaveštavanja o korišćenju kolačića na svojim sajtovima, a samim tim i svoju transparentnost u odnosu na prošlu godinu. Situacija se ipak komplikuje kada se obrati pažnja na načine na koje se ovi mediji odnose prema prikupljanju kolačića.

Glavno pitanje odnosi se na opciju aktiviranja ili deaktiviranja kolačića na sajtu (opt-in i opt-out). Od 49 analiziranih medija ove godine oko polovine poseduje prethodno aktivirane kolačiće bez jednostavne opt-out opcije. Pored i kao jedinih prošle godine, sada i , i dopuštaju korisnicima da na jednostavan i vidljiv način odluče koje kolačiće žele da prihvate pre nego što počnu da koriste sajt (opt-in) - što za sajtove koji u prethodnoj godini uopšte nisu imali obaveštenje o kolačićima, predstavlja krupan napredak.

Jedini medijski sajt koji i dalje poseduje jasno vidljivu opciju za deaktiviranje kolačića na sajtu (opt-out) jeste , dok ju je u međuvremenu, nažalost, isključila a prestale da postoje. Sajtovi i koji prošle godine nisu imali obaveštenje sada ga nude, ali nemaju jednostavnu opciju putem koje korisnici mogu da biraju svoja podešavanja (opt-out).

U proseku, najveći je bio broj kolačića trećih strana, to jest kolačića koji uglavnom pripadaju posrednicima u korisničkoj komunikaciji, a tu je zabeležen i najveći porast u odnosu na prethodnu analizu. Ove kolačiće uglavnom koriste oglašivači i društvene mreže kako bi pratili korisnike i prikupljali informacije o njima preko drugih sajtova koje posećuju. Na ovaj način se olakšava personalizovanje reklama i građenje digitalnog identiteta korisnika preko različitih onlajn mreža. Prosek ovih kolačića na sajtovima medija koji nisu među najposećenijim bio je relativno nizak, od nula do deset, dok je u nekim slučajevima najposećenijih medija ovaj broj bio znatno viši: (76), (69), (51), (32) i (25). Što se tiče marketinških kolačića, odnosno kolačića koje u velikom broju slučajeva sam medij pristaje da koristi kako bi se gradili identiteti korisnika, brojevi su opet bili viši u slučaju najposećenijih sajtova, gde su opet prednjačili (32), (31), (29) i (25). Ukupan broj trekera na sajtovima je porastao od prošlog ciklusa istraživanja, s tim što je kod određenih medija taj porast značajan, kao na primer kod , čiji je ukupan broj trekera na sajtu porastao za 54, ili na sajtu gde je zabeleženo još 24 nova trekera. S druge strane, , i smanjile su ukupan broj trekera na svojim sajtovima za po 20, a najviše je smanjen broj kolačića trećih strana.

Iako su ove dve kategorije trekera bile prisutne kod gotovo svih medija, postojalo je i nekoliko izuzetaka gde su korišćeni mnogo invazivniji trekeri kao što su trekeri koji izbegavaju blokere (canvas fingerprinting), beleže sesije (session recording) i beleže unose (keystrokes capturing). Izbegavanje blokera odnosi se na tehnike prepoznavanja korisničkog uređaja bez ostavljanja kolačića, čime se zaobilaze tradicionalne metode blokiranja kolačića trećih strana. Ove tehnike su otkrivene na sajtovima , , , , i . Beleženje sesija podrazumeva praćenje i pamćenje korisničkih aktivnosti na samom sajtu, kao što su pomeranje miša, klikovi, otvaranje stranica itd, što vlasnicima sajtova pomaže da prate korisničko ponašanje. Beleženje sesija pronađeno je na sajtovima medija , i . Pamćenje unosa (keystrokes) nije posebno rasprostranjena praksa, a podrazumeva da sajt medija pamti tekst koji se unosi, bilo prilikom registracije na sajt ili ostavljanja komentara. Tehnika pamćenja unosa teksta je aktivna čak i ako se korisnik predomisli i obriše napisan tekst, koji može sadržati adresu, broj platne kartice ili komentar na sadržaj. Sajtovi , i koriste metodu beleženja unosa na svojim sajtovima.

Komunikacija i povezanost medija sa društvenim mrežama kao što su Fejsbuk i Gugl i dalje je prisutna kod polovine ispitanih sajtova. Mediji koji koriste deo koda poznat kao Facebook Pixel obaveštavaju društvenu mrežu da je određeni korisnik posetio sajt. Na ovaj način kasnije olakšavaju Fejsbuku da targetira te iste korisnike sa reklamama na njihovim profilima u zavisnosti od njihovih poseta. Interestantno je da dok su i prestale da koriste FB Piksel na svojim sajtovima, ovogodišnja analiza pokazuje da su , i inkorporirali ovaj kod u svoj portal. Alat još jednog tehno-giganta, Google Analytics prikuplja podatke o korisnicima koji kasnije omogućavaju oglašivačima da ciljano šalju personalizovane reklame istim korisnicima preko drugih sajtova koje posećuju koristeći opcije kao što su Google Ads. Slično kao sa FB Pikselom, iako su neki mediji prestali da koriste Gugl Analitiku na svojim sajtovima (, i ), broj medija koji su ga dodali od prošle godine je veći (, , i ). U grupi najposećenijih medija, samo i nisu koristili Gugl analitiku.

Analizom je otkrivena loša praksa pojedinih medija da na različite načine tretiraju čitaoce iz Srbije i one iz država članica EU, tako što domaćim čitaocima ne ostavljaju mogućnost da odbiju upotrebu kolačića, ili im je izbor bitno smanjen. Naime, kada se sajtu takvog medija pristupi sa IP adresom iz Srbije mogućnost odbijanja kolačića je sužena ili ne postoji u okviru pop-up prozora, dok pristup sa IP adresom iz EU država na istom sajtu omogućava odbijanje kolačića na granularan način u skladu sa dobrim EU praksama. Raskorak je utvrđen primenom alata za maskiranje IP adrese, koje većina prosečnih čitalaca iz Srbije ne koristi. Od 20 najčitanijih medija, dupli standardi obaveštenja o kolačićima otkriveni su na sajtovima 9 medija: , , , , , , , i .

Korišćenje malicioznih trekera i nefunkcionalnih kolačića koji služe samo oglašivačima narušava kredibilitet medija i može dovesti do urušavanja poverenja čitalaca. Ako se poslovni modeli ovih medija zasnivaju na preprodaji, ustupanju ili zloupotrebi ličnih podataka, korisnici bi s pravom mogli da odluče da izbegavaju takve medije radi sopstvene zaštite.

Mobilne aplikacije

Situacija sa mobilnim aplikacijama je ostala slična prošlogodišnjoj. Medij je i dalje jedini u grupi najčitanijih 20 koji nema aplikacije ni za Android ni iOS. U drugoj grupi samo i imaju aplikacije i za Android i Apple, dok se i više ne nalaze u ovoj grupi, ali i dalje imaju Android aplikacije, koje su od prošle analize takođe dodali i , i , pored i -a koji su i prošle godine imali aplikacije samo za Android.

Broj medija koji u okviru svojih Android aplikacija imaju takozvane opasne dozvole po Guglovom kriterijumu, koje omogućavaju aplikaciji intruzivan nivo interakcije sa korisničkim uređajima, porastao je na 19 od prošlogodišnjih 16.

U slučaju medija , , i analiza iOS aplikacija otkriva da se nikakvi podaci ne prikupljaju, dok za , , i i dalje nema detalja o podacima koje prikupljaju. U slučajevima gde detalji o podacima nisu pruženi, naglašeno je da izrađivač aplikacije nije dostavio informacije ali da će to morati da učini pri sledećem ažuriranju aplikacije.

Registracija korisnika

Prema Zakonu o zaštiti podataka o ličnosti predmet obrade mogu biti samo oni lični podaci koji su neophodni da bi se ostvarila svrha obrade. Prema tome, onlajn mediji treba da poštuju princip minimizacije podataka: lični podaci koji se prikupljaju moraju biti ograničeni samo na ono što je neophodno za konkretnu svrhu obrade, moraju biti primereni i relevantni upravo za tu svrhu, što u stvari predstavlja samo korisničku mejl adresu ako korisnicima žele da šalju biltene ili druge sadržaje.

Od ukupno 49 analiziranih medija, samo 12 njih ima opciju registracije korisnika, dok 37 nema ovakvu opciju, niti je uključuje u politiku privatnosti. U odnosu na prošlu godinu, jedan medij manje nudi opciju registracije. Treba napomenuti i da postoje slučajevi kada registracija ne funkcioniše, tačnije opcija načelno postoji, ali je registraciju nemoguće obaviti zbog tehničke greške (, ), pa su ovakvi primeri tretirani kao da registracija ne postoji. S druge strane, nekoliko sajtova registraciju traži samo kako bi korisnici mogli da ostave komentare, pri čemu se, kao i prošle godine, ponekad traži da se ostavi podatak kao što je “veb mesto”. Na sajtu i dalje se navodi da postoji registracija i postoji znak “Moja korpa”, ali se prilikom registracije javlja greška.

Politike privatnosti u 11 slučajeva sadrže informacije o registraciji korisnika, dakle u dokumentu se pominje registracija, ali se ovaj broj ne poklapa sa brojem sajtova koji opciju registracije zaista i nude. Naime, pet medija nudi registraciju, ali je ne uključuje u politiku privatnosti, a to su , , , i .

Kada je reč o svrsi registracije, u najvećem broju slučajeva svrha je ostavljanje komentara, dok je u nešto manjem broju to dobijanje biltena. Registracija četiri medija ne ispunjava uslove minimizacije, jer se od korisnika traže ime, prezime, mesto iz kog dolaze, ponekad adresa i slično. Ipak, primetno je i da su neki mediji uveli princip minimizacije podataka u odnosu na prošlu godinu (), ali i da su neki uveli nove podatke koji se traže od korisnika prilikom registracije ( i ).

Etički kodeks

Kao i u prošlogodišnjoj analizi, poštovanje Kodeksa novinara Srbije posmatrano je kroz odluke Komisije za žalbe Saveta za štampu, a koje se odnose na povrede privatnosti - odgovornost novinara i poštovanje privatnosti. Princip odgovornosti novinara relevantan je za ovaj indeks u principima opisanim u tački 3, koji se tiču privatnosti i identiteta osumnjičenog ili počinioca krivičnog dela, zaštite drugih podataka koji bi mogli da upute na identitet osumnjičenog ili počinioca krivičnog dela, identitet žrtve krivičnog dela, kao i u tački 5, koji se tiču dužnosti novinara da poštuje i štiti prava i dostojanstvo dece, žrtava zločina, osoba sa hendikepom i drugih ugroženih grupa.

Prethodna analiza dopunjena je odlukama donetim do kraja 2021. godine. Od ukupno 49 analiziranih medija, šest medija je u 18 navrata prekršilo principe kodeksa u delu o privatnosti. Najviše takvih odluka u prethodnom periodu doneto je protiv (5), (4), dok i imaju po tri takve odluke.