Važni nalazi

HTTPS

Sajtovi svih 50 analiziranih medija sada poseduju HTTPS protokol i automatsko učitavanje sigurne konekcije na korisničkim uređajima, što je veoma značajno za opšte unapređenje privatnosti i bezbednosti.

Siguran protokol transfera hiperteksta (HTTPS) dodatnim slojem enkripcije štiti podatke od presretanja tokom razmene. Na taj način se potvrđuje autentičnost sajta, dok se istovremeno štite privatnost i integritet podataka korisnika. Ikonica katanca ispred adrese znak je da sajt koristi siguran protokol.

HOSTING i PUTANJA PODATAKA

Kada se korisnički uređaj poveže sa serverom, njegova lokacija direktno utiče na rizike kojima su izložena prava građana čiji se podaci skladište na hosting serveru. To podrazumeva i različite pravne režime kroz koje prolaze podaci građana Srbije.

Među medijima obuhvaćenih analizom 10 medija hostuje sajtove u Srbiji, te u tom pogledu nije bilo promena. Države članice Evropske unije (Nemačka, Finska, Slovenija, Poljska, Švedska, Holandija) hostuju skoro polovinu sajtova (21) među kojima je ponovo najdominantnija Nemačka sa 13 hostovanih medija. Kada je reč o drugim jurisdikcijama, u SAD je hostovan jedan medij (Blic) dok je Sputnik očekivano hostovan na teritoriji Ruske Federacije.

Vodeća tranzitna tačka za lične podatke domaćih čitalaca sajtova jeste Nemačka (17 sajtova) gde se nalazi najveće svetsko čvorište interneta, DE-CIX Frankfurt, odakle se internet paketi preusmeravaju ka drugim svetskim destinacijama. Takođe je važno napomenuti da je najčešće korišćeni hosting provajder među analiziranim medijima Hetzner (16 medija) koji pored servera u Nemačkoj poseduje i infrastrukturu u Finskoj.

POSREDNIČKI SERVISI

Jedan od najčešćih načina odbrane od tehničkih napada na sajtove medija i građanskih organizacija, posrednički servisi štite integritet i dostupnost sadržaja. Međutim, ovaj alat onemogućava tehničku analizu putanje i mesta za skladištenje podataka, jer je preusmerava na posredničke servere. Odbrana je potrebna i opravdana, ali korisnici zaslužuju – što je pravo garantovano i zakonom – jasno obaveštenje o očekivanom režimu zaštite njihovih ličnih podataka.

Posredničke usluge koristi 17 medija i kod svih je detektovan Cloudflare, globalno poznati servis za bezbednost infrastrukture. Ono što je karakteristično jeste da je put ka sajtovima gotovo svih medija koji koriste Cloudflare uslugu vodio do servera u Kanadi, koja pruža adekvatniji nivo zaštite podataka od SAD, a Mozzart sport i Kragujevačke su kroz politike privatnosti pružili preciznije informacije gde se podaci skladište.

Jasne i razumljive informacije o obradi ličnih podataka građana predstavljaju temelj evropskih standarda zaštite, ugrađenih i u zakon koji se u Srbiji primenjuje od 2019. Ova obaveza se po pravilu izvršava kroz takozvanu politiku privatnosti, dokument kojim se korisnik sajta obaveštava o svemu što je značajno za proces obrade – ko upravlja podacima i ko ih obrađuje, gde se čuvaju, kome se ustupaju itd. Zakon takođe propisuje da sva ta obaveštenja budu jasna, jednostavna i razumljiva prosečnim čitaocima.

Dobrim politikama privatnosti na sajtovima B92, Mozzart sport, BIZLife, Danas, Jugpress, Magločistač i Ozon press ove godine pridružio se i portal Bor 030. Iako nedostaje informacija o tome da li se podaci izvoze, način na koji su sve ostale informacije predstavljene je jasan, dosledan i informativan, a tekst dokumenta pisan je za stvarne prilike u konkretnom mediju, u skladu sa obavezama koje propisuje domaći zakon. Takođe, ove godine se izdvajaju i politike privatnosti na sajtovima Espreso, Kurir i Mondo koje su značajno unapređene u odnosu na prethodni period. Iako su ovi dokumenti sada kompletni u pogledu potrebnih informacija, primetno je da bi njihov stil pisanja mogao biti prilagođeniji čitaocima, kako smanjenjem obima tako i korišćenjem jednostavnije terminologije. U poređenju sa poslednjim analiziranim periodom, prema svim analiziranim kriterijumima obaveštavanja čitalaca o obradi njihovih ličnih podataka, evidentno je unapređenje.

Umesto prošlogodišnjih 23, sada se na 30 medijskih sajtova jasno navodi ko rukuje podacima o ličnosti. Konkretne lične podatke koji se prikupljaju u potpunosti navodi 30 medija i još 10 u delimičnoj meri; svrhu obrade podataka navode 33 medija; pravni osnov za obradu podataka pruža njih 27; podatak o roku čuvanja pominje 19 od 50 analiziranih medija; informacija o tome da li se podaci dele, ustupaju, prodaju postoji kod 30 medija; ako se podaci dele, ustupaju, prodaju, 22 medija je navelo i kome; da li se podaci iznose iz Republike Srbije navelo je 19 medija; informacije o pravima lica na koje se podaci odnose navodi 29 medijskih sajtova (u potpunosti ili delimično); kontakt na koji se korisnici mogu obratiti sa pitanjem o obradi svojih podataka pružilo je 29 medija.

Razumljivost i jasnost politike privatnosti nije uvek bilo moguće vrednovati - ili zato što takav dokument ne postoji na sajtu (TV Zona plus, Bujanovačke, Info Vranjske, Pirotske vesti, Oblakoder, Zoomer i Pištaljka), ili zato što je objavljen na stranom jeziku (Politika). I dalje veliki broj analiziranih medija u svojoj politici privatnosti ne daje ni osnovne informacije propisane zakonom, ili je u pitanju dokument sa svedenim, uopštenim, deklarativnim sadržajem, koji u glavnom u fokusu ima privatnost, a ne prikupljanje podataka o ličnosti. U mnogim slučajevima gde dokument sadrži osnovne informacije propisane zakonom, one su konfuzne, kontradiktorne, nedosledne, sa ponavljajućim tekstom u okviru više različitih celina.

Među lošim praksama koje smanjuju transparentnost, prepoznaju se i situacije u kojima medij pruža pojedine informacije posetiocima, ali ne na dovoljno jasan način. Dobri šabloni mogli bi pomoći u predstavljanju politike privatnosti. Međutim, bez prilagođavanja specifičnim prilikama i konkretnom mediju, tuđa dobra praksa postaje loš saveznik. Izrazi nepoznati domaćem pravnom okviru, mešanje zaštite privatnosti sa uslovima korišćenja, pogrešne pravne kvalifikacije, samo su neki od jasnih znakova da ovaj važan dokument nije pisan sa dovoljno pažnjom, niti uz uvažavanje prava čitalaca..

Iako su neki mediji zabeležili napredak od poslednje analize, kod nekolicine se stanje takođe pogoršalo kada su u pitanju politike obaveštavanja korisnika o korišćenju kolačića. Na sajtovima N1, Nova, Info Vranjske i Kruševac press zabeležena je najveća promena. Naime, ovi mediji promenili su svoju politiku obaveštavanja i sada umesto traženja izričite saglasnosti pre aktiviranja, poseduju obaveštenje o aktivnim kolačićima. Iako obaveštenje i dalje postoji, i jednostavno se može navigirati, činjenica je da su ovi mediji odučili da promene svoju politiku i pređu na manje transparentan i siguran način obaveštavanja korisnika. Sa druge strane, Bor 030, Južne vesti, Pirotske vesti i portal RTS su od prethodnog perioda analize dodali elementarno obaveštenje o korišćenju kolačića.

Važno je napomenuti da su u sklopu ovogodišnje analize politike obaveštavanja 20 najposećenijih domaćih medija takođe pregledane sa teritorije Evropske unije. Dok Blic i Kurir, dva najposećenija medijska portala iz Srbije, korisnike koji njihovim sajtovima pristupaju iz Srbije obaveštavaju o korišćenju kolačića bez jednostavnog načina da ih ugase, korisnicima koji pristupaju njihovim portalima iz Evropske unije jasno su predočene namene čuvanja podataka i kolačići nisu aktivni pre izričite saglasnosti. Mozzart sport je jedini medij u top 20 najposećenijih koji i u Srbiji i EU jasno i transparentno korisnicima daje mogućnost da se usaglase sa korišćenjem tehnologija za praćenje na njihovom sajtu. Pored toga, Alo, 021, Pink i Republika imaju aktivne kolačiće, ali postoji jednostavan i korisnicima iz EU vidljiv način da se isključe, dok za korisnike koji pristupaju iz Srbije to nije slučaj.

Ove razlike u politikama obaveštavanja mogu se povezati sa načinom na koji su korisnička prava regulisana u Evropskoj uniji, gde Zakon o kolačićima izričito zahteva od medija i drugih sajtova da dobiju saglasnost kako bi procesuirali korisničke podatke. U Srbiji je svest o važnosti pribavljanja saglasnosti i dalje niska, što pokazuju i rezultati analize po kojima devet medija ne poseduje nikakvo obaveštenje o kolačićima, a preko 60 odsto portala poseduje obaveštenje ali ne i jednostavan način upravljanja kolačićima. Samo dva medija - Mozzart sport (rangiran na 14. mesto) i Moj Bečej (24) - nemaju aktivne kolačiće pre dobijanja izričite saglasnosti od korisnika.

Najbrojniji zabeleženi kolačići u ovogodišnjoj analizi jesu kolačići trećih strana, to jest kolačići koji uglavnom pripadaju posrednicima u korisničkoj komunikaciji, a tu je zabeležen i najveći porast u odnosu na prethodnu analizu. Ove kolačiće uglavnom koriste oglašivači i društvene mreže kako bi pratili korisnike i prikupljali informacije o njima preko drugih sajtova koje posećuju. Na ovaj način se olakšava personalizovanje reklama i građenje digitalnog identiteta korisnika preko različitih onlajn mreža.

Ubedljivo najveći broj kolačića trećih strana na sajtu imala je Nova - 95 - kod koje je registrovano i 48 marketinških kolačića, te ukupno 145 trekera, što predstavlja veliku promenu od prošle godine kada je ukupan broj kolačića na ovom sajtu iznosio 29. Kao što je i očekivano, mediji koji su se našli u top 20 najposećenijih imali su značajno veći broj trekera od preostalih 30 medija koji su mahom lokalni i imaju manju posećenost, pa samim tim niži korisnički angažman. Od medija koji ne spadaju u 20 najposećenijih, Direktno je imao najveći broj trekera, ukupno 38. Interesantno je da je Telegraf smanjio broj trekera na svom sajtu skoro desetostruko, sa 103 u prošlom periodu analize na 10 u ovom.

Kada su u pitanju marketinški kolačići, odnosno kolačići koje u velikom broju slučajeva sam medij pristaje da koristi kako bi se gradili profili korisnika, brojevi su opet bili viši u slučaju najposećenijih sajtova, gde prednjači već pomenuta Nova (145), zatim Mondo (51), Sputnik (50), Republika (46) i Blic (42). Od medija koji su i prošle godine analizirani uočeno je da se u proseku smanjio broj trekera, dok je samo na par sajtova zabeležen umereni rast.

Iako su ove dve kategorije trekera bile prisutne kod gotovo svih medija, zabeleženo je 11 medija gde su korišćene invanzivne tehnologije kao što su trekeri koji izbegavaju blokere (canvas fingerprinting), oni koji beleže sesije (session recording) i unose (keystrokes capturing). Od prethodne analize, Alo, BIZLife, Informer, Insajder i Kurir počeli su da koriste invazivne trekere na svojim portalima. U poređenju sa prethodnim periodom analize, Kolubarske, N1, Srbija danas i Telegraf prestali su da koriste bilo kakve invazivne trekere.

Izbegavanje blokera odnosi se na tehnike prepoznavanja korisničkog uređaja bez ostavljanja kolačića, čime se zaobilaze tradicionalne metode blokiranja kolačića trećih strana. Ove tehnike uočene su na sajtovima medija Telegraf, Informer, Alo, Mozzart sport, Pirotske vesti, Sputnik i BIZLife.

Beleženje sesija podrazumeva praćenje i pamćenje korisničkih aktivnosti na samom sajtu, kao što su pomeranje miša, klikovi, otvaranje stranica itd, što vlasnicima sajtova pomaže da prate korisničko ponašanje. Beleženje sesija pronađeno je na sajtovima medija Sputnik i Insajder. Pamćenje unosa (keystrokes) nije posebno rasprostranjena praksa, a podrazumeva da sajt medija pamti tekst koji se unosi, bilo prilikom registracije na sajt ili ostavljanja komentara. Tehnika pamćenja unosa teksta je aktivna čak i ako se korisnik predomisli i obriše napisan tekst, koji može sadržati adresu, broj platne kartice ili komentar na sadržaj. Nijedan od medija u ovom periodu analize nije koristio ovu tehnologiju, a Nova je prestala da ga koristi.

Komunikacija i povezanost medija sa društvenim mrežama kao što su Fejsbuk i Gugl i dalje je prisutna kod polovine ispitanih sajtova. Mediji koji koriste deo koda poznat kao Facebook Pixel obaveštavaju društvenu mrežu da je određeni korisnik posetio sajt. Na ovaj način kasnije olakšavaju Fejsbuku da iste korisnike targetira sa reklamama na njihovim profilima u zavisnosti od njihovih poseta. Od prethodne analize, šest medija “odvezalo” je svoj portal od Fejsbuka: to su B92, Južne vesti, Kurir, N1, Niške vesti i Srbija danas. Još veći broj medija odustao je od Gugl Analitike, čak 30 odsto, između ostalih i B92, Blic, Danas, Insajder, Južne vesti, N1, Nova, RTS, Srbija danas i Telegraf.

Alat još jednog tehno-giganta, Google Analytics prikuplja podatke o korisnicima koji kasnije omogućavaju oglašivačima da ciljano šalju personalizovane reklame istim korisnicima preko drugih sajtova koje posećuju, koristeći opcije kao što su Google Ads. Google Analytics je ostao prisutan na većini medija kao u prethodnom periodu analize, samo su Radio 021 i Užice media prestali da ga koriste. U poređenju sa prethodnom analizom, samo sedam od 20 najposećenijih medija na svojim sajtovima koriste Google Analytics.

Korišćenje malicioznih trekera i nefunkcionalnih kolačića koji služe samo oglašivačima narušava kredibilitet medija i može dovesti do urušavanja poverenja čitalaca. Ako se poslovni modeli ovih medija zasnivaju na preprodaji, ustupanju ili zloupotrebi ličnih podataka, korisnici bi s pravom mogli da odluče da izbegavaju takve medije radi sopstvene zaštite.

Svi mediji u 20 najčitanijih imaju Android aplikaciju, dok četiri (Alo, Radio 021, Pink i Sputnik) nemaju aplikaciju za Apple uređaje. Srbija danas, Politika i Danas su jedini mediji u top 20 koji eksplicitno ne prikupljaju nikakve korisničke podatke kroz svoje iOS aplikacije, dok ostali mediji prikupljaju lične podatke kao što su ID, lokacija i kontakt. Važno je istaći da su N1, Nova, Novosti i Telegraf - čije aplikacije su u prethodnoj analizi prikupljale podatke koji nisu lični - sada prešli na prikupljanje ličnih podataka kroz svoje aplikacije.

Što se tiče Android aplikacija, oko 30 odsto medija u svojim aplikacijama zahteva takozvane opasne dozvole po Guglovom kriterijumu, koje aplikaciji omogućavaju intruzivan nivo interakcije sa korisničkim uređajima. U prethodnoj analizi 19 medija je imalo takve opcije u svojim aplikacijama, dok ih je sada 18.

Očigledno je da mediji do neke mere ažuriraju svoje aplikacije i imaju uvid u količine korisničkih podataka koje iz njih uzimaju, ali bi se moglo reći da je svest o potencijalnim problemima i kršenju korisničke privatnosti i dalje nedovoljna, što korisnike izlaže potencijalnim zloupotrebama i nebezbednim praksama.Gotovo polovina medija (22) nema ni jednu aplikaciju i tu se prilike nisu menjale od analize iz 2022. godine.

Od ukupno 50 analiziranih medija, 14 ima opciju registracije korisnika, dok 36 tu opciju nema. U odnosu na prethodno istraživanje, više medija nudi opciju registracije, ali treba napomenuti i to da su u istraživanje uključeni i novi mediji. Kao i u prethodnom istraživanju, registracija je uglavnom potrebna kako bi se ostavljali komentari, a ređe kako bi se primao bilten koji taj medij objavljuje. Na sajtu Pressek i dalje postoji znak “Moja korpa”, ali se prilikom registracije javlja greška (usluga uopšte nije aktivna).

Od medija koje imaju opciju registracije, njih 11 je uključuje u politiku privatnosti. Tri medija nude registraciju, ali se ona ne pominje u politici privatnosti, a to su: Oblakoder, Direktno i Zoomer.

Kada govorimo o minimizaciji podataka prilikom registracije, četiri medija ne ispunjavaju te uslove, pošto se za registraciju i dalje traže ime, prezime, lokacija i slično. To su: B92, Politika, Soinfo i Direktno.

Poštovanje Kodeksa novinara Srbije i ove godine smo posmatrali kroz odluke Komisije za žalbe Saveta za štampu. U obzir smo uzimali odluke koje se odnose na relevantne povrede Kodeksa - odgovornost novinara (odeljak IV) i poštovanje privatnosti (odeljak VII). Kada je reč o odgovornosti novinara, osvrnuli smo se na principe opisane u tačkama 3 i 5 ovog odeljka: poštovanje privatnosti i identiteta osumnjičenog ili počinioca krivičnog dela, kao i identiteta žrtve krivičnog dela, odnosno dužnost novinara da poštuje i štiti prava i dostojanstvo dece, žrtava zločina, osoba sa invaliditetom i drugih ugroženih grupa.

Analizu sprovedenu 2022. godine, sada smo dopunili odlukama donetim do kraja 2023. Analizirali smo 50 medija, pri čemu je ukupno 12 medija prekršilo principe kodeksa u smislu poštovanja privatnosti. Treba napomenuti da su ovogodišnjom analizom obuhvaćeni i novi mediji, pa je tako do kraja prošle godine ukupno najviše odluka doneto protiv sledećih medija: Alo (19), Informer (17), Kurir (16), Blic (13). Zatim, Telegraf ima sedam takvih odluka, Pink i Republika imaju po šest, protiv Politike je doneto njih pet, protiv Novosti tri, dok N1, Ozon press i Srbija danas imaju po jednu odluku.