GDPR kao pretnja po WHOIS kakav poznajemo

FacebookTwitterLinkedinEmail
13/01/2020
Dejan Đukić GDPR domen.rs

Često se pitamo da li su ti besplatni servisi na internetu, koje svakodnevno koristimo, zaista besplatni. U životu su besplatne stvari zaista retke, pa je tako i u ovom slučaju. Sve te servise plaćamo, samo na drugi način, ne novcem ili kripto valutama, već ličnim podacima. Svaka nova afera u ovom segmentu otkriva da se prikuplja i obrađuje značajno veći set podataka nego što korisnici znaju i za šta su dali pristanak. Kao odgovor na ovako grubo kršenje ličnih prava i privatnosti ogromnog broja korisnika interneta od strane krupnih igrača, kao što su Google, Facebook, Apple i dr, EU je donela Opštu uredbu o zaštiti podataka o ličnosti (GDPR), koja je stupila na snagu u maju 2018. i detaljno uređuje pitanje zaštite podataka o ličnosti u okviru EU. Uz to, ovaj propis pretenduje da nametne ova pravila i globalno, svima koji na bilo koji način žele da posluju na tržištu EU, bez obzira na njihovo sedište. Veliki deo rešenja iz ovog propisa je preuzela i Srbija, i unela ih u novi Zakon o zaštiti podataka o ličnosti, čija je primena počela u avgustu 2019. godine.

GDPR-om su utvrđeni principi po kojima se lični podaci prikupljaju (zakonito, fer i transparentno), pri čemu ne smeju da budu obrađivani na način koji ne odgovara svrsi za koju su prikupljeni. Isto tako, mogu da se obrađuju samo oni podaci koji su zaista neophodni za tu svrhu. Pritom, podaci moraju da budu tačni, pa se netačni podaci ili ažuriraju ili brišu. Vremensko ograničenje čuvanja podataka je takođe povezano sa svrhom, te podaci ne smeju da se čuvaju duže nego što je potrebno prema svrsi za koju su prikupljeni. Bezbednost podataka je takođe uspostavljena kao princip, tako da se podaci obrađuju na način kojim se obezbeđuje njihova odgovarajuća sigurnost, uključujući zaštitu od neovlašćene ili nezakonite obrade, kao i zaštitu od slučajnog gubitka, uništenja ili oštećenja.

GDPR i WHOIS

Industrija internet domena se u velikoj meri oslanja na obradu ličnih podataka i, u vezi sa ovim, pretrpela je opsežne promene. Iako su promene koje donosi GDPR veoma široke, primena se mahom svodi na pitanje sudbine WHOIS-a (servisa koji omogućava prikaz podataka o registrovanom nazivu domena). Razmatranje ovog pitanja je angažovalo puno resursa kako kod registara nacionalnih, tako i kod registara generičkih domena. Kako su uslovi koje propisuje GDPR izuzetno strogi, često se postavlja pitanje da li je uopšte opravdano držati WHOIS, kao servis, u životu. Na istoj liniji se postavlja i pitanje koja bi svrha ovog servisa bila ukoliko bi se set podataka koji se putem njega objavljuju sveo na beznačajan minimum. Ovo pitanje je posebno aktuelno zbog činjenice da se korisnici interneta najčešće interesuju za podatke o nazivima domena iza kojih stoje upravo fizička lica, jer su retki slučajevi da se kod cybersquatting-a ili sajtova sa uvredljivim ili drugim problematičnim sadržajem, kao registranti pojavljuju pravna lica.

U pogledu generičkih naziva domena ovo pitanje se uređuje na jedinstven način, za sve registre. Sa druge strane, nacionalni registri, s obzirom da poseduju autonomiju u razvoju svojih procedura i politika, ovo pitanje samostalno uređuju. Kod ovih registara praktično postoji konsenzus i WHOIS je uskraćen za skoro sve lične podatke. Mnogi registri su u proteklih nekoliko godina već imali jedan talas sužavanja seta ličnih podataka koji se objavljuju putem WHOIS-a, te su se ti podaci danas mahom sveli na lično ime i eventualno adresu e-pošte. Na sličan način i RNIDS je vršio sužavanje skupa podataka koji se objavljuju putem ovog servisa. Na samom početku, za registranta koji je fizičko lice, putem WHOIS-a se, pored ličnog imena, mogla saznati i adresa prebivališta. Vremenom se to svelo samo na lično ime, a 2018. godine je RNIDS izmenio svoje Opšte uslove o registraciji naziva nacionalnih internet domena da bi bili na liniji principa koje je definisao GDPR, pa su iz WHOIS prikaza uklonjeni svi podaci o fizičkim licima. Zainteresovana lica od tada do ovih podataka mogu da dođu tek ukoliko pribave zahtev nadležnog organa ili lica koje poseduje zakonsko ovlašćenje da takve podatke dobije.

 

Primer WHOIS prikaza podataka o registrovanom nazivu domena kada je registrant fizičko lice:

WHOIS

 

FacebookTwitterLinkedinEmail