GDPR kao pretnja za WHOIS
Liberalno osmišljena baza podataka o imenima registranata domena moraće da se revidira u skladu s GDPR regulativom. Da li to znači da ćemo ostati bez popularnog WHOIS servisa?
Često se pitamo da li su ti besplatni servisi na internetu, koje svakodnevno koristimo, zaista besplatni? U životu su besplatne stvari zaista retke, pa je tako i u ovom slučaju. Sve te servise plaćamo, samo na drugi način, ne novcem niti kripto valutama, već ličnim podacima. Svaka nova afera u ovom segmentu otkriva da se prikuplja i obrađuje daleko veći set podataka nego što korisnici znaju i za šta su dali pristanak. Kao odgovor na ovako grubo kršenje ličnih prava i privatnosti ogromnog broja korisnika interneta od strane krupnih igrača, kao što su Google, Facebook, Apple i drugi, Evropska unija je donela „Opštu uredbu o zaštiti podataka o ličnosti“ (GDPR), koja stupa na snagu krajem maja 2018. i detaljno uređuje pitanje zaštite podataka o ličnosti u okviru EU. Ovaj propis pretenduje da nametne pravila i globalno, svima koji na bilo koji način žele da posluju na tržištu Evropske unije, bez obzira na njihovo sedište. Velike kompanije širom sveta ubrzano rade na tome da spremno dočekaju 25. maj 2018, a GDPR je već duže vreme tema broj jedan najvećih globalnih skupova koji se odnose na Internet ili poslovanje na internetu.
Jedna od stvari koje ovaj propis stavlja u žižu interesovanja jesu veoma visoke zaprećene novčane kazne za prekršaje. Način određivanja kazni je vezan za godišnji obrt sredstava kod rukovaoca podacima. Krupna novost koju donosi GDPR je i pravo na brisanje (right to be forgotten). Koreni ovog prava datiraju od slučaja u kom je sud priznao pravo jednom korisniku iz Španije, čiji su podaci bili predmet obrade, da zahteva brisanje sopstvenih ličnih podataka za koje je prestala potreba da budu javno dostupni.
Domen i lični podaci
GDPR‑om su utvrđeni principi po kojima se lični podaci prikupljaju (zakonito, fer i transparentno), pri čemu ne smeju da budu obrađivani na način koji ne odgovara svrsi za koju su prikupljeni. Isto tako, mogu da se obrađuju samo oni podaci koji su zaista neophodni za tu svrhu. Podaci moraju da budu tačni, pa će se netačni podaci ili ažurirati ili brisati. Vremensko ograničenje čuvanja podataka je takođe povezano sa svrhom, te podaci ne smeju da se čuvaju duže nego što je potrebno prema svrsi za koju su prikupljeni. Bezbednost podataka je uspostavljena kao princip, tako da će se podaci obrađivati na način kojim se obezbeđuje njihova odgovarajuća sigurnost, uključujući zaštitu od neovlašćene ili nezakonite obrade, kao i zaštitu od slučajnog gubitka, uništenja ili oštećenja.
Industrija internet domena se u velikoj meri oslanja na obradu ličnih podataka i nesumnjivo će pretrpeti opsežne promene. Iako su promene koje donosi GDPR veoma široke, primena se mahom svodi na pitanje sudbine WHOIS‑a. Ovakva diskusija je prisutna na poslednjih nekoliko skupova ICANN‑a (Internet korporacija za dodeljene nazive i brojeve), organizacije koja upravlja globalnom strukturom Interneta. Predstavnici registara, kako nacionalnih, tako i generičkih, javne administracije, Evropske komisije, ICANN‑a i drugi, diskutovali su u više navrata na temu efekata GDPR‑a na oblast registracije domena. Kako su uslovi koje propisuje GDPR izuzetno strogi, sve češće se postavlja pitanje da li je uopšte opravdano držati WHOIS kao servis. Na istoj liniji se postavlja i pitanje koja bi svrha ovog servisa bila ukoliko bi se set podataka koji se putem njega objavljuju sveo na beznačajan minimum. Ovo pitanje je posebno aktuelno zbog činjenice da se korisnici interneta najčešće interesuju za podatke o nazivima domena iza kojih stoje upravo fizička lica, jer su retki slučajevi da se kod cybersquatting‑a ili sajtova sa uvredljivim ili drugim problematičnim sadržajem, kao registranti pojavljuju firme.
U pogledu generičkih naziva domena ICANN će na jedinstven način urediti ovo pitanje za sve registre, po svemu sudeći sa određenim zakašnjenjem. Nacionalni registri poseduju autonomiju u razvoju svojih procedura i politika, pa ovo pitanje moraju samostalno da reše. U proteklom periodu, pitanje implementacije GDPR‑a je zauzimalo značajno mesto na radionicama CENTR‑a (Udruženje evropskih registara nacionalnih domena najvišeg nivoa). Ono oko čega postoji skoro konsenzus je da će WHOIS biti uskraćen, praktično, za sve lične podatke. Mnogi registri su u proteklih nekoliko godina već imali jedan talas sužavanja seta ličnih podataka koji se objavljuju putem WHOIS‑a, te su se ti podaci danas mahom sveli na lično ime i eventualno adresu e‑pošte.
Na sličan način i RNIDS je suzio skup podataka koji se objavljuju putem ovog servisa. Na počecima se, za registranta koji je fizičko lice, putem WHOIS‑a pored ličnog imena, mogla saznati i adresa prebivališta. Vremenom se to svelo na lično ime, kako je danas, a 2015. godine ukinuto je i prikupljanje JMBG‑a, koji nikad nije javno publikovan, već držan u bazi radi identifikacije registranata.
Opšti uslovi
Na bazi najbolje prakse nacionalnih registara koji su već pristupili implementaciji GDPR‑a, RNIDS je tokom 2017. radio na predlogu izmena i dopuna „Opštih uslova o registraciji naziva nacionalnih internet domena“, koje bi bile na liniji principa koje je definisao GDPR. U skladu s tim, planira se potpuno uklanjanje podataka o fizičkim licima iz prikaza WHOIS upita, što znači da se više neće prikazivati ni lično ime registranta. Zainteresovana lica će do ovih podataka moći da dođu tek ukoliko pribave zahtev nadležnog organa ili lica koje poseduje zakonsko ovlašćenje da takve podatke dobije.
Na polju dalje implementacije principa koje propisuje GDPR, RNIDS radi na usaglašavanju potrebnih dokumenata, među kojima su Politika privatnosti, koja će obuhvatiti i pitanje zaštite i sigurnosti podataka, kao i na nacrtu akta o ulozi, obavezama i odgovornosti RNIDS‑a u vezi prikupljanja podataka o registrantima. Pored toga, biće dokumentovane i utvrđene kategorije ličnih podataka i procedure pristupa ličnim podacima, pitanje izjava, prigovora, obaveštenja i zahteva koji se odnose na saglasnost za obradu podataka, ograničavanje obrade, izmene podataka, brisanje i drugo.
U pogledu sigurnosti, biće uređene tehničke i sigurnosne mere i kontrole, kao i dokumentovanje procesa u slučaju incidenta. Sprovešće se potrebno informisanje zaposlenih i davanje uputstava u vezi postupanja s ličnim podacima. Trenutno se razmatra i pitanje li je potrebno da RNIDS ima službenika za zaštitu ličnih podataka (DPO – Data Protection Officer).
RNIDS će i u saradnji sa svojim ovlašćenim registrima, kao procesorima podataka o ličnosti, kontinuirano raditi na usaglašavanju sa GDPR‑om svih potrebnih procedura i pravila koja se odnose na poslove registracije naziva domena.
Dejan Đukić