Kakvu zaštitu privatnosti na Internetu nam pruža postojeći zakonodavno tehnološki okvir?
Stručnjaci u sukobu
Žustra rasprava, da ne kažem bitka, povela se nedavno između vrhunskih svjetskih stručnjaka na temu naoko jednostavnog pitanja koje je na LinkedIn-u postavila direktorica Ostendo Consultinga, hrvatsko-britanske tvrtke specijalizirane za informacijsku sigurnost.
Je li ili nije IP adresa osobni podatak, koliko je to uopće važno i kako to utječe na društvo? Raspravljali su stručnjaci za informacijske tehnologije, sigurnost, online marketing, pravnici, ... Rezultati rasprave su blago rečeno uznemirujući.
Nije osobni podatak
IP adresa neophodna je za komunikaciju između računala povezanih u računalnu mrežu, prvenstveno se ovdje misli na Internet. Želite li poslati pismo, morate znati adresu na koju ga šaljete, a očekujete li odgovor, pošiljatelju morate poslati svoju adresu. Isto vrijedi i za Internet. Kada pristupate bilo kojoj web stranici, vaše računalo šalje joj svoju IP adresu kako bi mu poslužitelj mogao odgovoriti sadržajem web stranice. U većini slučajeva, IP adresa s koje posjećujemo web stranicu je promjenjiva, odnosno nije direktno vezana za nas. Kad se spajamo na Internet, dodjeljuje nam je naš pružatelj usluga spajanja na Internet (ISP) i samo on je taj koji zna kome je dao koju adresu u koje vrijeme. Web stranica koju posjećujete dakle dobije vašu IP adresu, ali ne i informaciju o osobi kojoj je ona u tom trenutku pripadala. Problem je u tome da većina web stranica pamti s koje je IP adrese došao posjet i što je taj posjetitelj točno radio na web stranici. Sama po sebi, vlasniku web poslužitelja IP adresa ne može poslužiti za identifikaciju njenog vlasnika.
Je osobni podatak
Kontraverzna je presuda Europskog suda pravde u slučaju Breyer prema kojoj se promjenjiva IP adresa može smatrati osobnim podatkom ako postoji druga strana (ISP) koja ima pohranjene informacije o tome kome je adresa pripadala u koje vrijeme, a vlasnik web poslužitelja legalno može doći do ovog podatka. Sud konkretno navodi da se u slučaju cyber napada vlasnik web poslužitelja može obratiti za pomoć nadležnom tijelu (policiji) koje od ISP-a može zatražiti ime korisnika kojem je dodijeljena IP adresa. Ovaj je slučaj jaaako nategnut i ne jamči da bi policija ime vlasnika IP adrese dala vlasniku web poslužitelja. Ipak, u teoriji, to je moguće. Vlasnici web poslužitelja brane se da je pohranjivanje IP adresa neophodno radi zaštite od cyber napada, što je samo djelomično točno, a ukoliko ove adrese ne bi bilo moguće povezati s vlasnikom ne bi bilo ni sporno. Istina je zapravo nešto drugačija. Za obranu od cyber napada, IP adrese je potrebno pohranjivati na kratak rok. Nakon njegova isteka, mogu se obrisati. Zapisivanje IP adresa na dulje vrijeme se uglavnom radi zbog statističkih analiza za povećanje prodaje, ciljani marketing i sl. Neki to rade sami, a negdje to radi Google i drugi specijalizirani igrači. Naizgled, sve je OK. Web poslužitelj zapravo ne zna tko su posjetitelji, zapisuje njihove IP adrese, prati njihovo ponašanje i time ne krši ničija prava, ali...
Lake halje privida internetske sigurnosti
Okrenimo sad malo priču. Velika većina, ako ne i svi korisnici interneta imaju poneku internetsku tajnu. Posjećivali su on-line kockarnice, pornografske sadržaje, stranice za varanje bračnih partnera, ilegalno preuzimanje filmova, muzike... Sve su to stranice čijim vlasnicima nije za vjerovati i dobro je da ne znaju tko su im posjetitelji.
Zamislite sad scenarij u kojem u nekom ISP-u procuri popis dodijeljenih IP adresa i završi na internetu. Svaki će se ISP zakleti da to nije moguće, ali budimo realni. Ako ga ISP može dati temeljem sudskog naloga, onda može i procuriti. To je puno manje nategnuto od presude u spomenutom slučaju Breyer. Vlasnici web stranica mogli bi tada pomoću IP adresa jednostavno povezati prikupljene podatke o ponašanju svojih korisnika sa stvarnim imenima. Ne samo to. Dobrim dijelom web stranica kompromitirajućeg sadržaja upravljaju ljudi ne baš visokih moralnih načela. Oni bi informacije o svojim posjetiteljima mogli zloupotrijebiti za ucjenjivanje. Čak i da to nije slučaj, brojne web stranice su pune ranjivosti, pa podatke o IP adresama posjetitelja često nije neki problem ni ukrasti. Procure li zapisi o dodijeljenim IP adresama iz ISP-a, car je gol. Svi mi nosimo prozirne i neobično lake halje privida internetske sigurnosti koje za nas šije ISP.
