Važni nalazi

HTTPS

Sigurna komunikacija sajta i korisničkog uređaja predstavlja elementarno merilo zaštite privatnosti na internetu, jer dodatnim slojem enkripcije štiti podatke od presretanja tokom razmene. Siguran protokol transfera hiperteksta (HTTPS) danas je preovlađujuće okruženje za korišćenje interneta. Ikonica katanca koja se nalazi ispred adrese sajta znak je da sajt koristi siguran protokol.

Gotovo svi medijski sajtovi obuhvaćeni analizom poseduju HTTPS, dok četiri (013 info, Politika, Pressek, Zoomer) nisu podesili automatsko učitavanje sigurne konekcije, pa su paralelno aktivni HTTP i HTTPS protokoli. Jedno od mogućih objašnjenja je pogrešna konfiguracija protokola, što primenu ovog značajnog sredstva za zaštitu privatnosti praktično čini besmislenom.

HOSTING i PUTANJA PODATAKA

Mesto na kom su skladišteni podaci od kojih je sačinjen sajt, uključujući i podatke o njegovim korisnicima, kao i trasa kojom podaci putuju od servera do korisnika i nazad, nisu samo tehnička pitanja organizacije. Različiti pravni režimi kroz koje prolaze podaci građana Srbije, ponekad mogu značiti izlaganje rizicima, a ponekad teži pristup mehanizmima zaštite.

Od 50 ispitanih medija, samo devet se opredelilo za hostovanje u Srbiji (B92, Telegraf, RTS, Alo, Srbija danas, 021.html">Radio 021, Dnevnik, TV Zona plus, Pirotske vesti), dok je 21 medijski sajt hostovan u državama članicama EU - pored Nemačke, sa čak 13 hostovanih sajtova, tu su i Švedska, Holandija, Finska, Slovenija i Francuska. Četiri sajta izabrala su jurisdikcije izvan Evrope: po dva u Sjedinjenim Državama (Blic, Noizz) i Kanadi (Kurir, Espreso).

Trasa kojom putuju podaci građana Srbije dok čitaju sajtove domaćih medija, od uređaja do servera, takođe može značajno uticati na privatnost. Za sajtove hostovane u EU kao vodeća tranzitna tačka izdvaja se Nemačka (16 sajtova) što je očekivano, imajući u vidu da se u ovoj zemlji nalazi najveće svetsko čvorište interneta - DE-CIX Frankfurt - odakle se internet paketi preusmeravaju u razne delove sveta. Tranzitne zemlje za hosting u Severnoj Americi, po pravilu su Irska za SAD i Francuska za Kanadu. Zanimljiv je primer portala Pirotske vesti, čija putanja do sajta, iako je hostovan u Srbiji, vodi preko SAD i Holandije.

POSREDNIČKI SERVISI

Porast tehničkih napada na sajtove medija i građanskih organizacija, uslovljava potrebu za posredničkim servisima, koji će zaštititi integritet i dostupnost njihovih sadržaja. Nesumnjivo opravdana primena ovog alata, međutim, onemogućava tehničku analizu putanje i mesta za skladištenje podataka, jer je preusmerava na posredničke servere.

Od 16 medija koji koriste usluge ovakvih posrednika - svuda je u pitanju Cloudflare servis - samo Mozzart Sport u svojoj politici privatnosti informiše korisnike gde se skladište njihovi podaci.

Cloudflare je kompanija sa sedištem u SAD, pa i podaci sajtova njihovih klijenata mahom prolaze kroz servere u SAD, jurisdikciji koja je raskinula sporazum sa EU o poštovanju standarda zaštite ličnih podataka.

Jasne i razumljive informacije o obradi ličnih podataka predstavljaju okosnicu evropskih standarda zaštite, ugrađenih i u zakon koji se u Srbiji primenjuje od 2019. Ova obaveza se po pravilu izvršava kroz takozvanu politiku privatnosti, dokument u kom se korisnik sajta obaveštava o svemu što je značajno za proces obrade - ko upravlja podacima i ko ih obrađuje, gde se čuvaju, kome se ustupaju, itd. Zakon takođe propisuje da sva ta obaveštenja budu jasna, jednostavna i razumljiva prosečnim čitaocima.

Dobre politike privatnosti imaju sajtovi B92, Mozzart Sport, BizLife i Danas. Način na koji su izložene tražene informacije je jasan, dosledan i informativan. Očigledno je da su u pitanju tekstovi koji su pisani za stvarne prilike u konkretnom mediju, u skladu sa obavezama koje propisuje domaći zakon i uz odgovarajuću pravnu podršku.

Samo 15 medija jasno navodi ko rukuje podacima o ličnosti. Konkretne lične podatke koji se prikupljaju, navodi u potpunosti 14 medija i još 21 u delimičnoj meri; svrhu obrade podataka navodi 20 medija; pravni osnov za obradu podataka pruža samo 9 medija; podatak o roku čuvanja pominje tek 5 od 50 analiziranih medija; informacija o tome da li se podaci dele, ustupaju, prodaju postoji kod 18 medija; ako se podaci dele, ustupaju, prodaju, 7 medija je navelo i kome; da li se podaci iznose iz Republike Srbije navelo je svega 6 medija; informacije o pravima lica na koje se podaci odnose, navelo je 14 medija (u potpunosti ili delimično); kontakt na koji se korisnici mogu obratiti sa pitanjem o obradi svojih podataka navelo je 4 medija.

Razumljivost i jasnost politike privatnosti često nije bilo ni moguće vrednovati: ili zato što takav dokument ne postoji na sajtu (Istočne vesti, Brif, Jugpress, TV Zona Plus, Bujanovačke, Pressek, Kragujevac danas, Pirotske vesti, Oblakoder, Zoomer i Pištaljka), ili zato što je objavljen na stranom jeziku (Espreso i Politika). Oko polovine analiziranih medija u svojoj politici privatnosti ne daje ni osnovne informacije propisane zakonom, ili im se ovaj dokument svodi na kratak i uopšten deklarativni sadržaj, po pravilu sa akcentom na privatnost, a ne na prikupljanje podataka o ličnosti. U mnogim slučajevima gde dokument sadrži osnovne informacije propisane zakonom, one su konfuzne, kontradiktorne, nedosledne, sa ponavljajućim tekstom u okviru više različitih naslova.

Među lošim praksama koje smanjuju transparentnost, mogu se prepoznati situacije u kojima medij ima očiglednu nameru da svojim čitaocima pruži neke informacije, ali nije sve do kraja razjašnjeno. Korišćenje dobrih šablona može značajno da pomogne u sastavljanju politike privatnosti, ali bez prilagođavanja specifičnim prilikama u konkretnom mediju, tuđa dobra praksa postaje loš saveznik. Izrazi nepoznati domaćem pravnom okviru, mešanje zaštite privatnosti sa uslovima korišćenja, pogrešne pravne kvalifikacije, samo su neki od jasnih znakova da ovaj važan dokument nije pisan s dužnom pažnjom, niti sa pravima čitalaca na umu.

Upotreba tehnologija za praćenje ponašanja ljudi na internetu, u Srbiji podleže zakonu o zaštiti ličnih podataka u slučaju ako kolačići i trekeri sadrže lične podatke. U takvom slučaju, pošto ovaj zakon ne reguliše upotrebu tehnologija praćenja, primenjuje se opšti režim. To znači da je potrebno odrediti pravni osnov obrade - recimo, pristanak ili legitimni interes.

Zakon o elektronskim komunikacijama zahteva da se korisnici jasno i potpuno obaveste o svrsi obrade, kao i da im se pruži prilika da takvu obradu odbiju. Dakle, izričit pristanak pre aktiviranja kolačića zasad još nije propisan, ali jeste standard kome treba težiti.

Korišćenje malicioznih trekera i nefunkcionalnih kolačića namenjenih oglašivačima, narušava reputaciju medija. Sajtovi posvećeni informisanju javnosti ne bi trebalo da se rukovode poslovnim modelima zasnovanim na preprodaji i zloupotrebi ličnih podataka.

Od 50 medija iz uzorka, 18 ne poseduje politiku o kolačićima, niti bilo kakvo obaveštenje o trekerima i drugim tehnologijama za praćenje ponašanja posetilaca na internetu. Od tih 18, samo je jedan medij (portal javnog servisa RTS) među najposećenijim medijskim sajtovima u Srbiji. Međutim, i kod onih koji imaju ovakav dokument, prilike su daleko od idealnih.

Samo dva medijska sajta (Nova.rs, N1) nemaju aktivne kolačiće bez izričite saglasnosti korisnika (opt-in). Mediji sa aktivnim kolačićima uglavnom nemaju jednostavnu opciju za povlačenje saglasnosti (opt-out) - imaju je samo Autonomija, Istočne vesti i Zoomer.

U proseku, najčešće su prisutni kolačići trećih strana, uglavnom posrednika u komunikaciji korisničkog uređaja i sajta, oglašivača i društvenih mreža, radi prikupljanja podataka o ponašanju na internetu, personalizovanja reklama i dalje preprodaje digitalnih profila. Najveći broj kolačića zabeležen je na sajtovima Direktno (81), Objektiv (74), Alo (46) i Večernje novosti (38). I marketinški kolačići su najprisutniji među najposećenijim sajtovima: Telegraf.rs (34), Objektiv (26), Direktno (26) i Večernje novosti (19).

Najinvazivniji trekeri koji izbegavaju blokere (canvas fingerprinting), beleže sesije (session recording) i unose (keystrokes capturing) registrovani su u nekoliko slučajeva. Tehnike izbegavanja blokera primenjuju sajtovi Telegraf, Alo i Večernje novosti. Beleženje sesija, uključujući aktivnosti korisnika na sajtu kao što su pomeranje miša, klikovi, otvaranje stranica, otkriveno je na sajtovima medija Nova.rs, N1 i Mondo. Beleženje unosa je nešto ređa praksa i podrazumeva prikupljanje podataka o unosu teksta prilikom registracije ili komentarisanja, čak i ako korisnik obriše napisan tekst pre objave. Mediji Moj Bečej i Bizlife koriste ovu metodu na svojim sajtovima.

Komunikacija i povezanost medija sa Fejsbukom i Guglom prisutne su kod polovine ispitanih sajtova. Mediji koji koriste deo koda poznat kao Facebook Pixel obaveštavaju ovu društvenu mrežu da je određeni korisnik posetio njihov sajt, čime olakšavaju Fejsbuku precizno targetiranje korisnika reklamama. Ovu opciju najčešće koriste najposećeniji mediji. Google Analytics prikuplja podatke o korisnicima, na osnovu kojih oglašivači ciljano plasiraju personalizovane reklame preko drugih sajtova. Od ukupnog broja medija, 35 ima ovu opciju u funkciji.

Formate prilagođene mobilnim platformama uglavnom koriste samo najposećeniji sajtovi. Analizom je utvrđeno da čak 16 medija u okviru svojih Android aplikacija imaju takozvane opasne dozvole po Guglovom kriterijumu, koje aplikaciji omogućavaju intruzivan nivo interakcije sa korisničkim uređajima. Ove dozvole obuhvataju pristup kameri, čitanje i izmenu memorijske kartice, utvrđivanje tačne geolokacije korisničkih uređaja i pronalaženje drugih korisničkih naloga na uređaju. U SHARE labs istraživanju iz 2015. godine, detaljno su ispitane dozvole na koje korisnici pristaju pri preuzimanju raznih mobilnih aplikacija, uz rizike koje pristanak na takve uslove povlači. Rast tržišta aplikacija sugeriše da su velike kompanije produbile intruzivnost.

Analiza mobilnih aplikacija razlikuje tehnologije praćenja u odnosu na to da li prikupljaju lične ili podatke koji se ne vezuju za identitet korisnika, kao što su dijagnostička analitika, problemi u korišćenju aplikacije i slično. Apple je po ovom pitanju napravio značajan korak sa novom verzijom operativnog sistema koja omogućava korisnicima da lakše ograniče mogućnost aplikacija da ih prate. Kako privatnost korisnika postaje sve važnija tema i Gugl sprema zaokret na svojim aplikacijama kada je reč o dozvolama i obaveštavanju korisnika.

U slučaju medija Srbija danas, Objektiv, Politika i Niške vesti analiza iOS aplikacija otkriva da se nikakvi podaci ne prikupljaju, dok za B92, Danas, Direktno, Insajder, Južne Vesti i Pirotske vesti nema detalja o podacima. U slučajevima gde detalji o podacima nisu pruženi naglašeno je da izrađivač aplikacije nije dostavio informacije, ali da će pri sledećem ažuriranju aplikacije to morati da učini. Ipak, spisak podataka koje iOS aplikacije mogu da prikupljaju je pozamašan i uključuje imena korisnika, finansijske informacije, podatke koji se koriste radi praćenja onlajn ponašanja, ali i podatke koji se ne smatraju ličnim.

Zakon o zaštiti podataka o ličnosti propisuje obavezu da se obrađuju samo oni lični podaci koji su neophodni da bi se ostvarila svrha obrade. Tako je onlajn medijima, koji žele da svojim korisnicima šalju njuzletere ili druge sadržaje, neophodno samo da znaju korisničku mejl adresu.

Od ukupno 50 analiziranih medija, kod 25 ne postoji opcija registracije korisnika, 18 medija pominje registraciju korisnika u politikama privatnosti, dok sedam medija nije uključilo registraciju korisnika u svoje politike privatnosti. Dve veb stranice imaju ponuđenu ovakvu opciju, ali ona služi samo za doniranje (Autonomija i Oblakoder) i korisnika vodi na poseban sajt za donacije. Četiri sajta navode da je registracija potrebna samo za komentarisanje, dok jedan sajt (B92) registraciju zahteva samo prilikom ulaska na blog i forum koji je neaktivan.

Od sajtova koji imaju opciju registracije korisnika, najviše podataka se može dati prilikom registracije na Blic.rs, i to: mejl adresu kao obavezan podatak, a dodatno se mogu ostaviti pol, datum rođenja, zemlja, obrazovanje, ogranak, profesija, broj mobilnog telefona i podaci o platnoj kartici. U svim slučajevima, prilikom registracije obavezni podaci su mejl, šifra i korisničko ime, dok su svi preostali podaci opcioni. U šest slučajeva, obavezno je navesti ime i prezime i to prilikom ostavljanja komentara na objavljene članke. Kada je reč o registraciji na blog B92, pored mejl adrese koja je obavezan podatak, dodatno se mogu ostaviti pol, datum rođenja, citat i opis “o meni”, a može se dodati avatar, mogu se uključiti privatne poruke i VIP lista, kao i odabrati vremenska zona. Pojedini sajtovi traže da se prilikom komentarisanja ostavi podatak kao što je “veb mesto”, dok sajt niskevesti.rs navodi da kada se korisnici registruju da bi ostavili komentar, tada njihova prijava ostaje aktivna i naredne dve nedelje.

U ukupno 18 politika privatnosti registracija se pominje, ali je primetno to da se ovaj broj ne poklapa sa brojem sajtova koji opciju registracije zaista i nude. U dva slučaja, politike privatnosti govore o tome da se korisnici mogu registrovati kako bi ostavljali komentare, ali sama opcija komentarisanja ne postoji (IST media i Bor 030). Uslovi korišćenja sajta Istocnevesti.com sadrže rečenicu “strogo zabranjeno lažno predstavljanje ispod komentara”, iako opcije registracije i ostavljanja imena i prezimena nema. Portal B92 navodi da prilikom posete stranici može doći do obrade podataka o ličnosti posetioca internet stranica. Pored toga, B92 koristi i druge kanale za komunikaciju sa publikom, kao što su Fejsbuk i Instagram stranice, Linkedin, i slično. Takođe, B92 registrovanim korisnicima dostavlja i biltene o najnovijim ponudama i vestima. U određenoj meri, podaci o ličnosti se mogu pronaći i u takvim vidovima komunikacije.

Kada se radi o svrsi registracije, u najvećem broju slučajeva (10) njena svrha je ostavljanje komentara, dok je u nešto manjem broju to dobijanje biltena (tri). U slučaju sajta Mojbečej.rs registracijom se dobijaju obavešenja o novostima i akcijama, a ukoliko to korisnici ne žele, mogu to i naglasiti tako što će se mediju obratiti preko naznačene mejl adrese. Na veb stranici Pressek se navodi da postoji registracija kojom se otvara mogućnost kupovine i postoji znak “Moja korpa”, ali se prilikom registracije javlja greška. S druge strane, pretplata na Blic Premium podrazumeva mogućnost preuzimanja izdanja Blica, NIN-a i Blic žene u PDF formatu, premium sadržaj i pristup specijalnim štampanim izdanjima i video materijalima, neograničen pristup portalima u inostranstvu, prema izboru interesovanja korisnika. Stranica medija Danas, registracijom omogućava učlanjenje u Klub čitalaca i pristup izdanjima u .pdf formatu, dok registracija na sajt Politike otvara pristup digitalnom i štampanom izdanju, oglašavanju i objavljivanju čitulja.

Kodeks novinara Srbije predstavlja etički standard profesionalnog postupanja novinara, a dužnost novinara je da slede profesionalne i etičke principe sadržane u Kodeksu i da se suprotstave pritiscima da te principe prekrše. Mediji su dužni da interes javnosti za potpunim, blagovremenim i istinitim informisanjem stave iznad svih drugih interesa. U kontekstu Kodeksa, interes javnosti podrazumeva objavljivanje svih važnih informacija, koje su publici od pomoći pri formiranju vlastitog mišljenja o pojavama i događajima.

Iako u Srbiji postoji ovakav etički kodeks, svedoci smo čestih medijskih utrkivanja za klikove, po cenu dostojanstva i pristojnosti ljudi. Izveštavajući o nesrećama, zločinima i drugim događajima, koji potencijalno potresaju javnost, mediji često objavljuju imena žrtava i počinilaca krivičnih dela, različite detalje iz privatnih života, kao i njihove fotografije.

Za potrebe ove analize, iz Kodeksa novinara Srbije izdvojeni su delovi koji se odnose na povrede privatnosti - odgovornost novinara i poštovanje privatnosti. Princip odgovornosti novinara relevantan je za ovaj indeks u principima opisanim u tački 3, koji se tiču privatnosti i identiteta osumnjičenog ili počinioca krivičnog dela, zaštite drugih podataka koji bi mogli da upute na identitet osumnjičenog ili počinioca krivičnog dela, identitet žrtve krivičnog dela, kao i u tački 5, koji se tiču dužnosti novinara da poštuje i štiti prava i dostojanstvo dece, žrtava zločina, osoba sa hendikepom i drugih ugroženih grupa.

Poštovanje ovih principa vrednovano je prema odlukama Komisije za žalbe Saveta za štampu, iz čije su baze korišćene odluke donete do kraja 2020. godine.

Od ukupno 50 analiziranih medija, njih devet je prekršilo neke od tačaka Kodeksa koje se odnose na privatnost. Tih devet, međutim, prekršilo je principe kodeksa o privatnosti 52 puta. Najviše takvih odluka doneto je protiv Informera (10), Kurira (12) i sajta Alo (13).