Već godinama vlada pokušava da uvede masovni biometrijski nadzor na javnim površinama, preko javnih preduzeća kupuje sofisticiranu opremu za tajni nadzor, policija nabavlja lažne mobilne bazne stanice i zloupotrebljava softvere donirane radi borbe protiv organizovanog kriminala za nezakonito praćenje aktivista.
AI generisana ilustracija
To su samo neki od skandala koje su u skorije vreme otkrili istraživački novinari i organizacije civilnog društva a koji su uzburkali javnost. Ova vlast je opsednuta nadzorom nad stanovništvom, a naročito nad neistomišljenicima, ne mareći za zakonska ograničenja. Prikupljeni materijal se, uz tendenciozne interpretacije, servira preko tabloida kako bi diskreditovao kritičare vlasti, a odnedavno se koristi i za njihovu kriminalizaciju.
I dok su gorepomenuti primeri s one strane zakona, pokušali smo da proverimo kako u Srbiji funkcioniše i koliko se kontroliše tajni nadzor komunikacija koji je zakonski regulisan. Nalazi su, očekivano, razočaravajući. Tehnološki razvoj nadmašuje zakonske okvire i tehnička znanja kontrolnih instanci. Građani mogu samo da naslute razmere nadzora i potencijalnih zloupotreba, pošto su zvanične evidencije sve manje dostupne javnosti, pa čak i nadležnim institucijama.
Zakonska ograničenja tajnog nadzora komunikacija
U Srbiji je dozvoljen tajni nadzor komunikacija u dve svrhe: vođenje krivičnog postupka (prikupljanje dokaza, hapšenje) i zaštita nacionalne bezbednosti. Sprovode ga policija, ali i Bezbednosno-informativna agencija (BIA) i Vojnobezbednosna agencija (VBA) na osnovu sudske naredbe. U javnosti je, opet zbog brojnih afera, najpoznatija mera prisluškivanja, odnosno presretanja komunikacija. Ona podrazumeva uvid u sadržaj razgovora. Manje poznato je zadržavanje podataka o elektronskoj komunikaciji i pristup evidencijama, odnosno telefonskim listinzima.
U Srbiji je ova mera detaljno uređena Zakonom o elektronskim komunikacijama iz 2010. godine, odnosno onim što je od njega ostalo nakon usvajanja novog istoimenog zakona 2023. godine. Odredbama koje su i dalje na snazi obavezuju se svi operatori, tj. telekomunikacioni i internet provajderi, da zadrže metapodatke o svim komunikacijama svih svojih korisnika i čuvaju ih godinu dana za slučaj da neki od njih zatrebaju nadležnim organima. Predstavu o obimu ovih baza podataka, daje nam izveštaj RATEL-a za 2024. godinu, u kojem se navodi da je preko 8 miliona brojeva mobilnih telefona u upotrebi u Srbiji. Oni su za 12 meseci razgovarali 20,57 milijardi minuta, poslali 3.64 milijarde SMS i 13.09 miliona MMS poruka, i iskoristili 1.238.400 terabajta mobilnih podataka.
Podaci koji se zadržavaju ne uključuju sadržaj komunikacije, već obuhvataju njen tip, vreme, trajanje i lokaciju, između koga se odvija i sa kojih uređaja. Međutim, već na osnovu tih podataka može se dosta otkriti o licu, kakve su mu navike, s kim se druži, kuda se kreće. Zato ova mera predstavlja zadiranje u pravo na privatnost i mora da zadovolji ustavne i zakonske kriterijume, o čemu odlučuje sud pre nego što je odobri na predlog tužioca, direktora policije ili direktora agencije. Tom prilikom sudija, između ostalog, mora da vaga da li je predložena mera opravdana i srazmerna zakonom propisanoj svrsi, odnosno da li postoji osnov sumnje za konkretno lice da je učinilo ili priprema određeno krivično delo te da li ugrožava nacionalnu bezbednost, kao i da li se podaci mogu prikupiti na manje intruzivan način.
Upotreba novih tehnologija koje ne poznaju (zakonske) granice
Odluka kojom sudija odobrava meru zahteva ne samo poznavanje normi, već i određenu tehničku potkovanost. Zato je vrlo važno da tužioci i nadležne sudije budu verzirani da razumeju različite tehnologije koje koriste policija i službe bezbednosti - kako korišćeni softveri i oprema funkcionišu, kakve sve podatke prikupljaju, da li je to suviše nametljivo i neselektivno i može li tehnički da se ograniči. U praksi, međutim, sudije i tužioci i ne postavljaju ova pitanja, a odgovore za sebe čuvaju samo organi koji te tehnologije direktno primenjuju.
Istraživački novinari su tako otkrili da policija i BIA za tajni nadzor komunikacija koriste spajvere i malvere čije su mogućnosti daleko veće od opravdanog obima zakonitog zadiranja u privatnost. Oni mogu da zabeleže sve aktivnosti na telefonu, uključujući i poruke koje nikada nisu poslate. To je postalo jasno iz spisa predmeta, u kojem mnoge informacije o nadziranom licu nisu smele da završe. Prikupljanje nerelevantnih informacija treba što je više moguće sprečiti odnosno ograničiti, a potom izdvojiti iz spisa i uništiti.
Novinari su otkrili i da MUP godinama nabavlja tzv. IMSI kečere, uređaje koji oponašaju bazne stanice i mogu da prate komunikacije sa svih telefona u radijusu od sto metara. Pravilnik koji tehnički preciznije uređuje primenu zakonitog prisluškivanja i pristupa zadržanim podacima usvojen je pre deset godina i nikako nije menjan kako bi išao u korak sa tehnološkim razvojem. Upotreba tehnologija iz navedenih primera nije izričito zabranjena, ali obim nadzora koji omogućava nije srazmeran svrsi, te stoga ne bi trebalo da bude dozvoljen. Da bi se sveo u zakonske okvire, ovaj obim mora da bude ograničen na podatke i lica iz sudske naredbe, a pitanje je da li je to tehnički izvodljivo.
Očigledno je, pak, da se upotrebom novih tehnologija zaobilaze operatori, koji inače za sve zahteve koje prime treba da provere da li se zasnivaju na sudskoj naredbi, i da odbiju one koji su manjkavi. Bez operatora kao posrednika stepen nadzora je manji - kako prije primene mere, tako i posle - jer se ona neće naći u zvaničnim evidencijama. Naime, svi operatori elektronskih komunikacija, ali i policija i službe bezbednosti moraju da vode evidenciju o zahtevima za pristup zadržanim podacima i o tome godišnje izveštavaju Poverenika za zaštitu podataka o ličnosti.
Samo je Telenor svojevremeno beležio i direktne pristupe nadležnih organa svojim bazama i tu statistiku dostavljao Povereniku. Taj broj je 2017. godine bio hiljadu puta veći od broja zahteva koje je Telenor formalno primio. Već naredne godine ovaj operator je prestao da dostavlja te podatke. Štaviše, od tada su evidencije postepeno postajale sve manje dostupne javnosti.
Nadzirači sve više izmiču nadzoru
Beogradski centar za bezbednosnu politiku svake godine putem zahteva za pristup informacijama od javnog značaja traži od Poverenika zbirnu statistiku o pristupu zadržanim podacima o elektronskim komunikacijama. Nadležni organi i operatori dužni su da svoju evidenciju dostave Povereniku do kraja januara za prethodnu godinu. U proseku, Poverenik prima nešto više od stotinu takvih evidencija godišnje. Mi smo tražili podatke o najvažnijim - MUP, BIA i VBA kao nadležni organi i tri najveća operatora mobilne telefonije - Telekom, A1/VIP i Jetel/Telenor. Nikad ne znamo šta ćemo na kraju dobiti.
Poverenik je uglavnom redovno dostavljao tražene evidencije čak i ako su bile označene kao poverljive, jer je izvršio test javnosti i zaključio da objavljivanje zbirnih godišnjih podataka ne šteti ni nacionalnom interesu ni poslovnim interesima operatora. Zbog toga je ušao i u sporove sa službama bezbednosti. Nakon izmena Zakona o slobodnom pristupu informacijama od javnog značaja 2021. godine, Poverenik nam je uskratio izvode iz evidencija službi i Telekoma i njima prosledio naš zahtev, ali samo Telekom je odgovorio. U odgovoru na poslednji naš zahtev iz maja 2025. godine, Poverenik je obnovio staru dobru praksu - testirao interese tajnosti i javnosti i dostavio nam sve tražene evidencije koje je posedovao. Međutim, ispostavilo se da mu BIA već dve godine ne dostavlja svoje evidencije i time krši zakon, dok ni Jetel do maja nije dostavio svoj izveštaj za 2024. godinu.
Iz krnjih podataka koje jesmo dobili proizilazi niz nelogičnosti (videti grafikone). Tako, na primer, u 2020. godini, poslednjoj u kojoj imamo kompletirane podatke, broj zahteva o kojima su izvestili nadležni organi bio je 60 puta veći od onog koji se vidi u evidencijama operatora. Ova diskrepancija se stalno ponavlja, čak i ako izuzmemo kasnije nedostupne evidencije službi bezbednosti. Takođe je nelogično da BIA, sa daleko širim opsegom nadležnosti, upućuje operatorima manje zahteva nego VBA. Iako operatori više ne izveštavaju o direktnim pristupima svojim bazama, ovaj nesklad između brojeva upućuje da su takvi pristupi, kojima se zaobilazi posredovanje operatora, u praksi dominantni.
Ako su ovi podaci nedostupni javnosti, a sumnje u nepravilnosti rastu, Poverenik ima na raspolaganju nadzorna ovlašćenja i morao bi da ispita šta se ovde dešava, kao i da pokrene prekršajne postupke zbog nedostavljanja evidencija. Davne 2012. godine Zaštitnik građana i Poverenik su sproveli nadzor u ovoj oblasti i našli niz propusta, te dali precizne preporuke za unapređenje zakonskog okvira i prakse. Danas se ove institucije retko oglase čak i o dosta vidljivijim skandalima povodom nezakonitog nadzora i zloupotrebe ličnih podataka. Za to vreme, nadležni skupštinski odbori nastavljaju da hvale organe bezbednosti i dodeljuju im plakete, umesto da ih kontrolišu.
Izvori za grafikone: Odgovori Poverenika na zahteve BCBP-a za pristup informacijama od javnog značaja od 1. 4. 2021, 10. 5. 2022, 11. 4. 2023. i 20. 5. 2025, Telekom Srbija 25. 4. 2023. Za prethodne godine (2014-2019): Šer fondacija.
Jelena Pejić Nikić, viša istraživačica i programska menadžerka BCBP-a
Tekst je objavljen u okviru projekta koji finansira Ministarstvo spoljnih poslova i međunarodne saradnje Republike Italije. Za iznete stavove odgovoran je autor i oni ni na koji način ne predstavljaju stavove Ministarstva spoljnih poslova i međunarodne saradnje.