Prethodnih nekoliko godina bili smo svedoci grubog kršenja ličnih prava i privatnosti ogromnog broja korisnika interneta od strane velikih kompanija poput Google, Facebook, Apple i dr. Kao kontra meru, u cilju suzbijanja takvog postupanja, EU je donela Opštu uredbu o zaštiti podataka o ličnosti (General Data Protection Regulation – GDPR), koja je stupila na snagu 25. maja 2018. Ovaj propis detaljno uređuje pitanje zaštite podataka o ličnosti u okviru EU, a uz to, nastoji da nametne ova pravila i globalno, svima koji na bilo koji način žele da posluju na tržištu EU, bez obzira na njihovo sedište.
GDPR-om su utvrđeni principi po kojima se lični podaci prikupljaju (zakonito, fer i transparentno), pri čemu ne smeju da budu obrađivani na način koji ne odgovara svrsi za koju su prikupljeni. Isto tako, mogu da se obrađuju samo oni podaci koji su zaista neophodni za tu svrhu. Pritom, podaci moraju da budu tačni, pa će se netačni podaci ili ažurirati ili brisati. Vremensko ograničenje čuvanja podataka je takođe povezano sa svrhom, te podaci ne smeju da se čuvaju duže nego što je potrebno prema svrsi za koju su prikupljeni. Bezbednost podataka je takođe uspostavljena kao princip, tako da će se podaci obrađivati na način kojim se obezbeđuje njihova odgovarajuća sigurnost, uključujući zaštitu od neovlašćene ili nezakonite obrade, kao i zaštitu od slučajnog gubitka, uništenja ili oštećenja.
Industrija internet domena se u velikoj meri oslanja na obradu ličnih podataka pa, iako su promene koje donosi GDPR veoma široke, u ovoj oblasti se primena mahom svodi na pitanje izmene WHOIS-a (servisa za prikaz podataka u vezi naziva internet domena). U pogledu generičkih naziva domena ICANN, kao organizacija koja se bavi strukturom interneta na globalnom nivou, na jedinstven način će urediti ovo pitanje za sve registre, ali očigledno sa određenim zakašnjenjem. Nacionalni registri, s obzirom da poseduju autonomiju u razvoju svojih procedura i politika, ovo pitanje su rešili samostalno. Velika većina evropskih registara je rešila da redukuje WHOIS i iz njega ukloni sve lične podatke.
Na bazi najbolje prakse nacionalnih registara koji su već pristupili implementaciji GDPR-a, Registar nacionalnog internet domena Srbije (RNIDS) je usvojio izmene i dopune Opštih uslova o registraciji naziva nacionalnih internet domena koje su na liniji principa koje je definisao GDPR. Podaci o fizičkim licima su potpuno uklonjeni iz WHOIS prikaza i više se ne prikazuje lično ime registranta. Zainteresovana lica do ovih podataka mogu da dođu tek ukoliko pribave zahtev nadležnog organa ili lica koje poseduje zakonsko ovlašćenje da takve podatke dobije. Kako je „talas panike“ koji je nadolazio sa 25. majem splasnuo, pojedini registri su počeli da razmatraju takoreći korekcije „zatamnjenog WHOIS-a“. Tako se sada kao opcije, koje se razmatraju, pojavljuju onlajn forme za stupanje u kontakt sa registrantom ili opt-in sistemi koji registrantu pružaju mogućnost da lične podatke svojevoljno učini javno dostupnim putem WHOIS-a. U tom smislu i RNIDS razmatra implementaciju jednog od ova dva metoda.
Oslanjajući se na principe koje propisuje GDPR, RNIDS je doneo novu Politiku privatnosti, koju je objavio na svom veb sajtu na adresi rnids.rs. Dokumentovane su i utvrđene kategorije ličnih podataka i procedure pristupa ličnim podacima, pitanje izjava, prigovora, obaveštenja i zahteva koji se odnose na saglasnost za obradu podataka, ograničavanje obrade, izmene podataka, brisanje i dr. U pogledu sigurnosti, uređene su tehničke i sigurnosne mere i kontrole, kao i dokumentovanje procesa u slučaju incidenta. Sprovedeno je potrebno informisanje zaposlenih i davanje uputstava u vezi postupanja sa ličnim podacima.
RNIDS od svojih ovlašćenih registara, kao procesora podataka o ličnosti, zahteva da obezbede eksplicitnu saglasnost za prikupljanje i obradu ličnih podataka registranata koji se unose u RNIDS-ovu bazu, ali i ličnih podataka koje prikupljaju radi realizacije finansijskih transakcija u vezi registracije naziva domena.