METODOLOGIJA
Procena zaštite privatnosti čitalaca onlajn medija u Srbiji oslanja se na nesporne standarde globalne tehničke i građanske zajednice čija se primena može meriti, zatim na izričite obaveze utvrđene Zakonom o zaštiti podataka o ličnosti i, konačno, na etička načela profesije. Indikatori su grupisani u šest kategorija: osnovni tehnički parametri, obaveštavanje korisnika, kolačići i trekeri, mobilne platforme, registracija korisnika i novinarski kodeks.
Za analizu je odabrano 50 medija koji su u prvoj polovini 2021. godine poslovali na teritoriji Srbije, odnosno plasirali svoje sadržaje publici iz Srbije. Reč je isključivo o informativnim, uredničkim sajtovima posvećenim vestima i aktuelnostima, u formi neposrednih ili periodičnih objava. Od ukupnog broja, 20 medijskih sajtova ostvaruje najveću posetu u Srbiji prema analitici globalnog saobraćaja na internetu, dok je ostalih 30 od značaja za geografsko područje koje pokrivaju, uzrasnu grupu kojoj su namenjeni, ili javni interes koji ostvaruju.
Raspon indeksa je od 0 do 100, gde je 100 vrednost koja označava najbolji rezultat.
15bodovaOsnovni tehnički parametri
Osnovni tehnički parametri (15 poena) obuhvataju četiri pokazatelja. Sertifikat za siguran protokol povezivanja uređaja i sajta (HTTPS) vidljiv je iz adresnog polja (ikona katanca pre adrese) i neophodno je da se učitava automatski. Mrežni alati (ping, traceroute, Check Host) korišćeni su za praćenje putanje podataka od korisničkog uređaja do servera, utvrđivanje lokacije servera i primene posredničkih servisa.
Dobijene informacije o putanji i lokaciji podataka vrednovane su prema pravnom režimu država koje učestvuju u saobraćaju, odnosno u kojima se nalaze hosting serveri i serveri kompanija koje pružaju usluge posredovanja sadržaja. Republika Srbija se rukovodi standardima zaštite podataka utvrđenim Konvencijom 108 Saveta Evrope ili Konvenciji ekvivalentnim standardima. Sjedinjene Američke Države se po ovim standardima smatraju za srednju vrednost između država sa adekvatnim i neadekvatnim režimom zaštite, usled pravne nesigurnosti izazvane raskidanjem sporazuma između EU i SAD 2020. godine.
Opis i vrednovanje indikatora
Da li sajt ima podešen HTTPS protokol?
- Da (9 poena)
- Ne (0 poena)
U kojoj jurisdikciji se nalazi hosting server?
- Srbija i adekvatne države po pravu RS (2 poena)
- SAD (1 poen)
- Treća država (0 poena)
- Maskirana lokacija, bez obaveštenja u politikama privatnosti (0 poena)
Da li podaci prolaze kroz države sa neadekvatnim standardima?
- Ne (2 poena)
- SAD (1 poen)
- Da (0 poena)
Da li se koriste usluge posredovanja sadržaja između hostinga i korisnika i gde se servis nalazi?
- Ne ili Da, u adekvatnim državama (2 poena)
- Da, u SAD (1 poen)
- Da, u neadekvatnim državama (0 poena)
30bodovaObaveštavanje korisnika
Obaveštavanje korisnika (30 poena) je kategorija sa najviše indikatora, sačinjenih prema obavezama izričito opisanim u Zakonu o zaštiti podataka o ličnosti (članovi 23 i 24). Medijska organizacija se po zakonu smatra rukovaocem ličnim podacima građana, koji je dužan da svoje korisnike ili pretplatnike obavesti o čitavom procesu obrade podataka, uključujući svrhu i pravni osnov obrade, načine na koje se obrada vrši i nizu drugih detalja. Osim ovih kvantitativnih kriterijuma, zakon zahteva ispunjavanje i kvalitativnih kriterijuma - da se korisnici informišu jednostavnim i razumljivim jezikom, na javno i lako dostupan način.
Opis i vrednovanje indikatora
Da li sajt poseduje politiku privatnosti (izjavu, obaveštenje) i da li je dokument objavljen?
- Da (3 poena)
- Ne (0 poena)
Da li je naveden rukovalac podacima?
- Da (1 poen)
- Ne (0 poena)
Da li je konkretno navedeno koji se sve podaci o ličnosti prikupljaju?
- Da (2 poena)
- Delimično (1 poen)
- Ne (0 poena)
Da li je navedena svrha obrade podataka?
- Da (2 poena)
- Delimično (1 poen)
- Ne (0 poena)
Da li je naveden pravni osnov obrade podataka?
- Da (2 poena)
- Delimično (1 poen)
- Ne (0 poena)
Da li je naveden rok čuvanja podataka?
- Da (2 poena)
- Delimično (1 poen)
- Ne (0 poena)
Da li je navedeno da li se podaci dele, ustupaju, prodaju?
- Da (2 poena)
- Delimično (1 poen)
- Ne (0 poena)
Ako se podaci dele, ustupaju, prodaju, da li je navedeno kome?
- Da (2 poena)
- Delimično (1 poen)
- Ne (0 poena)
Da li je navedeno da li se podaci iznose iz Republike Srbije?
- Da (2 poena)
- Delimično (1 poen)
- Ne (0 poena)
Da li politika privatnosti informiše korisnike o pravima koja imaju u vezi sa svojim podacima o ličnosti (pristup, brisanje, izmena, dopuna, itd)?
- Da (2 poena)
- Delimično (1 poen)
- Ne (0 poena)
Da li politika privatnosti sadrži kontakt na koji se građani mogu obratiti povodom pitanja obrade njihovih podataka?
- Da (1 poen)
- Ne (0 poena)
Da li politika privatnosti na transparentan i razumljiv način pruža informacije o obradi podataka o ličnosti?
- 1 - najbolje (9 poena)
- 2 - srednje (4 poena)
- 3 - najslabije (0 poena)
25bodovaKolačići i trekeri
Kolačići i trekeri (25 poena) pripadaju tehničkoj kategoriji gde se kroz pokazatelje vrednuju upotreba, broj i vrsta paketa podataka koje server preko sajta unosi u korisnički uređaj za vreme posete. Ove tehnologije koriste se za praćenje aktivnosti posetilaca sajtova, u različite svrhe i različitih nivoa intruzivnosti. Kod upotrebe kolačića vrednuje se informisanje korisnika, kao i prisustvo vidljive i jednostavne opcije za kontrolu kolačića.
Broj trekera se proverava uz pomoć tehničkog alata (Blacklight) koji skenira sajtove i prikazuje trekere po vrstama. Najintruzivniji trekeri služe za izbegavanje blokera oglasa, beleženje sesija i praćenje korisničke tastature. Tehnologije praćenja ponašanja korisnika na internetu koje koriste tehno-giganti, Fejsbuk piksel i Gugl analitika, obrađene su kao posebni indikatori.
Opis i vrednovanje indikatora
Kako se sajt odnosi prema kolačićima?
- Kolačići nisu aktivni pre izričite saglasnosti, opt-in (10 poena)
- Kolačići su aktivni, ali postoji jednostavan i svima vidljiv način da se isključe, opt-out (6 poena)
- Postoji obaveštenje da sajt prikuplja kolačiće, ali nema jednostavne opt-out opcije (2 poena)
- Ne postoji obaveštenje o kolačićima (0 poena)
Broj trekera
- 0-20 (2 poena)
- 21-50 (1 poen)
- 51+ (0 poena)
Vrste trekera - Marketinški trekeri: po broju
- 0-10 (3 poena)
- 11-20 (2 poena)
- 21-40 (1 poen)
- 41+ (0 poena)
Vrste trekera - Kolačići trećih strana: po broju
- 0-10 (3 poena)
- 11-20 (2 poena)
- 21-40 (1 poen)
- 41+ (0 poena)
Vrste trekera - Fejsbuk piksel
- Da (0 poena)
- Ne (1 poen)
Vrste trekera - Gugl analitika
- Da (0 poena)
- Ne (1 poen)
Vrste trekera - Trekeri koji izbegavaju blokere, beleženje sesija, beleženje unosa
- Da (0 poena)
- Ne (5 poena)
10bodovaMobilne aplikacije
Mobilne aplikacije (10 poena) nemaju svi mediji, a njihovo odsustvo je iz perspektive zaštite privatnosti građana vrednovano kao jedna prilika manje za ugrožavanje ličnih podataka, maksimalnim brojem poena. Analizirane su mobilne aplikacije medija za Android i iOS operativne sisteme i to u odnosu na prikupljanje podataka i potencijalni uticaj na funkcionalnost mobilnih uređaja.
Za analizu broja trekera unutar Android aplikacija i potencijalno opasnih dozvola koje aplikacije traže od uređaja, korišćena je platforma organizacije Exodus Privacy, koja generiše analitičke izveštaje o aplikacijama dostupnim na Google Play servisu.
Kod iOS aplikacija (Apple uređaji) analizirano je šta prikupljaju od podataka korisnika prema napomeni o privatnosti (App Privacy) na Apple prodavnici, npr. da li prikupljaju samo dijagnostičke i slične podatke ili osetljivije podatke poput lokacije. Posebno problematičnu praksu predstavlja odsustvo informacija o podacima koje prikuplja entitet koji je razvio aplikaciju.
Opis i vrednovanje indikatora
Android aplikacije - Trekeri: po broju
- Medij nema aplikaciju (3 poena)
- 0 (3 poena)
- 1-5 (2 poena)
- 6-10 (1 poen)
- 11+ (0 poena)
Android aplikacije - Opasne dozvole: po broju
- Medij nema aplikaciju (2 poena)
- 0 (2 poena)
- 1-3 (1 poen)
- 4+ (0 poena)
iOS podaci
- Medij nema aplikaciju (5 poena)
- Podaci se ne prikupljaju (5 poena)
- Prikupljaju se podaci koji nisu lični (5 poena)
- Prikupljaju se lični podaci kao što su ID, lokacija, kontakt info (2 poena)
- Nema informacija o podacima koji se prikupljaju (0 poena)
10bodovaRegistracija korisnika
Registracija korisnika (10 poena), ukoliko nije reč o naplati pristupa sadržajima (paywall), predstavlja praksu kojom mediji grade stabilnu publiku, a vernost korisnika nagrađuju posebnim pogodnostima, dodatnim sadržajima i slično. I plaćena i neplaćena pretplata podrazumevaju individualizovan odnos sa korisnicima i obradu određenih podataka prilikom registracije.
Mediji koji se nisu odlučili za ovaj vid obrade podataka ocenjeni su maksimalnim brojem poena, jer nisu izložili podatke korisnika još jednom potencijalnom riziku. U vrednovanju pokazatelja koji meri odnos količine podataka prikupljenih registracijom i svrhe njihove obrade, oslonac je zakonski propis, tj. načelo minimizacije podataka (član 5 Zakona o zaštiti podataka o ličnosti).
Opis i vrednovanje indikatora
Da li je registracija obuhvaćena politikom privatnosti?
- Ne postoji registracija (5 poena)
- Da (5 poena)
- Ne (0 poena)
Da li se skuplja minimum podataka u odnosu na svrhu registracije?
- Ne postoji registracija (5 poena)
- Da (5 poena)
- Ne (0 poena)
10bodovaEtički kodeks
Etički kodeks (10 poena) je kategorija sa samo jednim indikatorom, brojem odluka koje je protiv medija donela Komisija za žalbe Saveta za štampu, samoregulacionog tela koje prati poštovanje etičkih i profesionalnih standarda u štampanim i onlajn medijima.
U obzir se uzimaju odluke koje se odnose na kršenje principa iz Kodeksa novinara Srbije koji se direktno ili posredno tiču prava na privatnost (IV Odgovornost novinara - stavovi 3 i 5; VII Poštovanje privatnosti - stavovi 1-4). Obuhvaćene su odluke protiv medija do 31.12.2021. koje se nalaze u pretraživoj Bazi žalbi Saveta za štampu.
Opis i vrednovanje indikatora
Da li je medij kršio privatnost u izveštavanju? (broj odluka)
- Nema prekršaja (10 poena)
- 1-4 (7 poena)
- 5-9 (4 poena)
- 10+ (0 poena)