GDPR као претња по WHOIS какав познајемо

Често се питамо да ли су ти бесплатни сервиси на интернету, које свакодневно користимо, заиста бесплатни. У животу су бесплатне ствари заиста ретке, па је тако и у овом случају. Све те сервисе плаћамо, само на други начин, не новцем или крипто валутама, већ личним подацима. Свака нова афера у овом сегменту открива да се прикупља и обрађује значајно већи сет података него што корисници знају и за шта су дали пристанак. Као одговор на овако грубо кршење личних права и приватности огромног броја корисника интернета од стране крупних играча, као што су Google, Facebook, Apple и др, ЕУ је донела Општу уредбу о заштити података о личности (GDPR), којa је ступила на снагу у мају 2018. и детаљно уређује питање заштите података о личности у оквиру ЕУ. Уз то, овај пропис претендује да наметне ова правила и глобално, свима који на било који начин желе да послују на тржишту ЕУ, без обзира на њихово седиште. Велики део решења из овог прописа је преузела и Србија, и унела их у нови Закон о заштити података о личности, чија је примена почела у августу 2019. године.

GDPR-ом су утврђени принципи по којима се лични подаци прикупљају (законито, фер и транспарентно), при чему не смеју да буду обрађивани на начин који не одговара сврси за коју су прикупљени. Исто тако, могу да се обрађују само они подаци који су заиста неопходни за ту сврху. Притом, подаци морају да буду тачни, па се нетачни подаци или ажурирају или бришу. Временско ограничење чувања података је такође повезано са сврхом, те подаци не смеју да се чувају дуже него што је потребно према сврси за коју су прикупљени. Безбедност података је такође успостављена као принцип, тако да се подаци обрађују на начин којим се обезбеђује њихова одговарајућа сигурност, укључујући заштиту од неовлашћене или незаконите обраде, као и заштиту од случајног губитка, уништења или оштећења.

GDPR и WHOIS

Индустрија интернет домена се у великој мери ослања на обраду личних података и, у вези са овим, претрпела је опсежне промене. Иако су промене које доноси GDPR веома широке, примена се махом своди на питање судбине WHOIS-a (сервиса који омогућава приказ података о регистрованом називу домена). Разматрање овог питања је ангажовало пуно ресурса како код регистара националних, тако и код регистара генеричких домена. Како су услови које прописује GDPR изузетно строги, често се поставља питање да ли је уопште оправдано држати WHOIS, као сервис, у животу. На истој линији се поставља и питање која би сврха овог сервиса била уколико би се сет података који се путем њега објављују свео на безначајан минимум. Ово питање је посебно актуелно због чињенице да се корисници интернета најчешће интересују за податке о називима домена иза којих стоје управо физичка лица, јер су ретки случајеви да се код cybersquatting-a или сајтова са увредљивим или другим проблематичним садржајем, као регистранти појављују правна лица.

У погледу генеричких назива домена ово питање се уређује на јединствен начин, за све регистре. Са друге стране, национални регистри, с обзиром да поседују аутономију у развоју својих процедура и политика, ово питање самостално уређују. Код ових регистара практично постоји консензус и WHOIS је ускраћен за скоро све личне податке. Многи регистри су у протеклих неколико година већ имали један талас сужавања сета личних података који се објављују путем WHOIS-а, те су се ти подаци данас махом свели на лично име и евентуално адресу е-поште. На сличан начин и РНИДС је вршио сужавање скупа података који се објављују путем овог сервиса. На самом почетку, за регистранта који је физичко лице, путем WHOIS-а се, поред личног имена, могла сазнати и адреса пребивалишта. Временом се то свело само на лично име, а 2018. године је РНИДС изменио своје Опште услове о регистрацији назива националних интернет домена да би били на линији принципа које је дефинисао GDPR, па су из WHOIS приказа уклоњени сви подаци о физичким лицима. Заинтересована лица од тада до ових података могу да дођу тек уколико прибаве захтев надлежног органа или лица које поседује законско овлашћење да такве податке добије.

Пример WHOIS приказа података о регистрованом називу домена када је регистрант физичко лице: