ZAPOSLENI U ANB PODNIJELI KRIVIČNU PRIJAVU SDT ZBOG SUMNJI U NEZAKONIT NADZOR: Pazi, snima se

Osim SDT-u, dio radnika ANB-a prijavio je Agenciji za zaštitu ličnih podataka i skupštinskom Odboru za bezbjednost i odbranu sumnje u nedozvoljeno praćenje zaposlenih, čak i mimo radnog vremena, putem aplikacije instalirane na njihovim službenim telefonima

Andrea PERIŠIĆ/Đurđa RADULOVIĆ

Dio zaposlenih u Agenciji za nacionalnu bezbjednost (ANB) podnio je, krajem aprila, anonimnu krivičnu prijavu Specijalnom državnom tužilaštvu (SDT), tvrdeći da su svi radnici te agencije nezakonito pod stalnim nadzorom ANB-a, putem aplikacije instalirane na službenom mobilnom telefonu. Oni su se, takođe anonimno, obratili i Agenciji za zaštitu za ličnih podataka (AZLP) i Odboru za bezbjednost i odbranu (Odbor).

Iz SDT-a, AZLP-a, kao i predsjedavajući skupštinskog Odbora Nikola Zirojević potvrdili su za Centar za istraživačko novinarstvo Crne Gore (CIN-CG) da su dobili ove dopise.

Prema krivičnoj prijavi koju je CIN-CG imao na uvid, službenici tvrde da postoji osnov sumnje da je “u ANB-u tokom 2025, najkasnije od juna, uspostavljen sistemski, masovni i neselektivni GPS, odnosno nadzor lokacije zaposlenih putem aplikacije ’Hexnode for work’, instalirane na službenim mobilnim uređajima, koji je prema raspoloživim saznanjima i dalje aktivan u vrijeme podnošenja prijave, suprotno ustavnim i zakonskim garancijama prava na privatnost i zaštitu ličnih podataka“.

Više nepovezanih izvora iz bezbjednosnog sektora sa kojima je CIN-CG razgovarao, potvrdilo je da je ova vrsta nadzora zaposlenih uspostavljena tokom 2025. godine.

Aplikacija “Hexnode For Work“ predstavlja MDM (Mobile Device Managment) sistem, odnosno rješenje za centralizovano upravljanje službenim uređajima, koje omogućava administratorima da daljinski instaliraju ili ograničavaju aplikacije, upravljaju određenim funkcijama uređaja i, zavisno od konfiguracije, prate podatke poput lokacije uređaja.

Sistem nadzora se, kako se navodi u dokumentaciji, primjenjuje “prema svim službenicima ANB-a, bez konkretnog i pojedinačno utvrđenog osnova ili sumnje u odnosu na određene osobe, bez jasnog razgraničenja radnog i van radnog vremena, bez valjano i transparentno saopštene svrhe obrade, te bez poznatog internog akta kojim bi unaprijed bili precizno uređeni pravni osnov, obim primjene, rokovi čuvanja podataka, krug ovlašćenih korisnika i odgovarajuće zaštitne garancije“, piše, između ostalog, u krivičnoj prijavi SDT-u, u koju je CIN-CG imao uvid.

Ističe se da je “određenim kategorijama zaposlenih, naročito operativnom kadru, nalagano da službeni mobilni telefon nose i van radnog vremena radi stalne dostupnosti za službene potrebe“. Praćenje zaposelnih u tom periodu “moglo bi obuhvatati i privatni život zaposlenih, njihovo kretanje, mjesto stanovanja, navike, kontakte i druge osjetljive okolnosti“, navodi grupa službenika ANB-a u krivičnoj prijavi.

Iz SDT-a su za CIN-CG kazali da je po ovoj krivičnoj prijavi formiran predmet i da je u toku izviđaj.

U dopisu Odboru za bezbjednost i odbranu, koji je CIN-CG imao na uvid, navodi se da “posebno zabrinjava mogućnost da je među zaposlenima stvoren osjećaj stalnog nadzora, psihološkog pritiska, nesigurnosti i nepovjerenja, što može dovesti do autocenzure, narušavanja profesionalne autonomije i odvraćanja od internog prijavljivanja eventualnih nezakonitosti i zloupotreba“.

Podnosioci prijave traže od SDT-a da provjeri da li su određeni ljudi u ANB-u uspostavljanjem ovakvog sistema nadzora počinili krivična djela neovlašćenog prikupljanja i korišćenja ličnih podataka, zloupotrebe službenog položaja i nesavjesnog rada u službi. Od AZLP-a traže da se utvrdi da li je došlo do kršenja Zakona o zaštiti ličnih podatka, dok od Odbora zahtijevaju da se ova tema ispita u domenu nadležnosti Parlamenta Crne Gore.

Iz AZLP-a su potvrdili za CIN-CG da su pokrenuli postupak u vezi sa ovim predmetom, ali da u ovoj fazi ne mogu dati više informacija.

„Kao predsjedavajući Odbora dobio sam prijavu službenika ANB-a, upoznat sam sa slučajem, ali Odbor još nije razmatrao ova pitanja“, rekao je predsjedavajući Odbora za bezbjednost i odbranu Nikola Zirojević u razgovoru za CIN-CG. Dodao je da će se Odbor posvetiti ovim ozbiljnim optužbama.

Novinarke CIN-CG-a su postavile više pitanja ANB-u o ovom slučaju, ali nijesu dobile odgovore do objave teksta.

Kako funkcioniše “Hexnode for work” sistem

Sistem, kako se navodi na oficijalnom sajtu proizvođača “Hexnode”, omogućava podešavanje periodičnog praćenja lokacije u intervalima od 15 minuta do 24 časa, trenutno očitavanje lokacije kroz opciju “Scan Location” i pregled istorije lokacija uređaja. Takođe se opisuju funkcije daljinskog upravljanja i nadzora uređaja, uključujući i mogućnost pregleda ekrana uređaja u realnom vremenu.

Aplikacija “Hexnode for work“ ima i trajni pristup lokaciji uređaja, u režimu “allow all the time“, odnosno može da pristupa lokaciji i onda kada aplikacija nije otvorena, niti je korisnik aktivno koristi. U krivičnoj prijavi se navodi da je ova opcija bila administrativno nametnuta, što znači da zaposleni nijesu mogli sami da je isključe ili ograniče.

Uz prijavu su dostavljene fotografije ekrana službenih telefona, na kojima se vidi da je aplikacija pristupala lokaciji službenika više puta istog dana. U jednom drugom slučaju, vidi se i opcija “use precise location“, odnosno korišćenje precizne lokacije, kao i oznaka “enabled by admin“, iz koje proizilazi da podešavanja nijesu bila pod kontrolom korisnika uređaja, već određenog administratora sistema.

U prijavi AZLP-u navodi se i da aplikacija ima pristup kameri, kontaktima, lokaciji, obavještenjima, telefonu i uređajima u blizini. 

“Hexnode for work“, prema dokumentaciji u koju je CIN-CG imao uvid, posjeduje i mogućnost preuzimanja fajlova bez prikazivanja obavještenja korisniku. To, kako se ističe u krivičnoj prijavi, dodatno ukazuje na visok stepen administratorske kontrole nad uređajima zaposlenih.

Hexnode omogućava dostupnost istorije podataka administratoru u lako čitljivim formatima, kao što je PDF ili CSV (tekstualni tabelarni format).

U prijavi se navodi da su zaposleni potpisivali samo interni dokument kojim potvrđuju da su upoznati sa pravilima korišćenja službenog telefona. U tom dokumentu, tvrde, piše da službenici ne smiju samoinicijativno instalirati ili brisati aplikacije, iznositi telefon iz države bez odobrenja ANB-a, niti vraćati uređaj na fabrička podešavanja bez saglasnosti. 

Kršenje načela Zakona o zaštiti podataka o ličnosti?

U prijavi AZLP-u, grupa zaposlenih u ANB-u traži da se pokrene ispitivanje da li je došlo do kršenja odredbi Zakona o zaštiti podataka o ličnosti (Zakon), “naročito obaveze da se lični podaci obrađuju na pošten i zakonit način, svrhu za koju su prikupljeni i u obimu koji je neophodan“, što se ističe u Zakonu.

,,Posebno se ukazuje da, prema raspoloživim saznanjima, zaposleni nijesu bili jasno obaviješteni o identitetu rukovaoca zbirke ličnih podataka, svrsi obrade, pravnom osnovu, korisnicima podataka, niti pravima koja im pripadaju, iako Zakon propisuje obavezu takvog informisanja“, navodi se u prijavi AZLP-u.

U ovom zakonu se navodi da rukovalac zbirkom ličnih podataka mora, osim ako posebnim zakonom nije drugačije propisano, “licu od kojeg neposredno prikuplja podatke dati obavještenje svom ličnom imenu, odnosno nazivu i adresi, svrsi i pravnom osnovu za obradu ličnih podataka, korisniku ličnih podataka i pravnom osnovu za davanje podataka na korišćenje“. 

Prema Zakonu, osobe pod nadzorom moraju imati izbor na saglasnost o davanju ličnih podataka i biti obaviještene o mogućim posljedicama odbijanja davanja tih podataka, a moraju imati i pravo da pristupe svojim podacima.

Rukovalac zbirkom ličnih podataka je dužan da obezbijedi tehničke, kadrovske i organizacione mjere zaštite, kao i automatske evidencije pristupa, korišćenja i obrade podataka u informacionom sistemu, što bi podrazumijevalo detaljnu obaviještenost službenika o pohranjenim podacima.

Zakon propisuje da se podaci koji omogućavaju utvrđivanje identiteta lica mogu čuvati samo onoliko dugo koliko je potrebno za svrhu, ali službenici ANB-a, tvrde, nemaju saznanja na koji način i na koji vremenski period se njihovi lični podaci čuvaju.

Do kršenja Zakona dolazi i u slučajevima kada je nadzor lokacije korišćen radi ocjenjivanja ponašanja, pouzdanosti, rezultata rada na radnom mjestu ili drugih ličnih svojstava zaposlenih, jer se zabranjuje da se zaposleni ocjenjuju isključivo na automatskoj obradi podataka.

Zakon sadrži i ograničenje prema kojem se zakon, izuzev odredbi koje se odnose na nadzor pokrenut pod odgovorajućim zakonskim uslovima, ne primjenjuje na obradu ličnih podataka za potrebe odbrane i nacionalne bezbjednosti, osim ako posebnim zakonom nije drugačije propisao.

,,Ukoliko ANB tvrdi da je riječ o obradi podataka radi potreba nacionalne bezbjednosti, dužna je da ukaže na poseban zakon, precizno određenu svrhu, obim primijenjene mjere i odgovarajuće zaštitne garancije. Ukoliko je, sa druge strane, riječ o internoj organizacionoj, disciplinskoj, kadrovskoj ili drugoj kontroli zaposlenih, tada se primjenjuju redovna pravila Zakona koja se odnose na zakonitost obrade, transparentnost, vođenje evidencija, rokove čuvanja i prava lica na koje se podaci odnose“, navode podnosioci prijave. 

MDM sistemi u EU pod strogim pravilima, Crna Gora još nema usklađen pravni okvir zaštite ličnih podataka

Iako bezbjednosne institucije imaju pravo da štite svoje podatke, komunikacije i opremu, to ne znači i da mogu nekontrolisano i masovno pratiti zaposlene.

Evropski standardi u oblasti zaštite privatnosti i ličnih podataka nalažu da nadzor zaposlenih bude jasno pravno utemeljen, nužan, proporcionalan i transparentan, i da se preduzima samo u izuzetnim okolnostima. To podrazumijeva da zaposleni moraju unaprijed znati da su praćeni, zašto, ko ima pristup njihovim ličnim podacima, koliko dugo se oni čuvaju i koja su njihova prava u tom procesu.

U uređenim državama Evropske unije (EU) MDM sistemi se koriste, ali pod jasnim pravilima i u okviru razvijenog evropskog sistema zaštite digitalnih prava. Oni služe za zaštitu službenih uređaja, instaliranje bezbjednosnih ažuriranja, sprečavanje neovlašćenog pristupa službenim podacima, pronalaženje izgubljenog ili ukradenog uređaja i odvajanje službenog od privatnog sadržaja. Međutim, njihova upotreba ne znači da poslodavac ima pravo na neograničen uvid u kretanje, komunikaciju ili privatni život zaposlenog.

Opšta uredba o zaštiti podataka (GDPR), koja se direktno primjenjuje u državama članicama EU, polazi od toga da obrada ličnih podataka mora biti zakonita, transparentna, ograničena na jasnu svrhu i svedena na ono što je zaista neophodno. Drugim riječima, institucija ili poslodavac ne mogu naknadno pravdati zašto su prikupljali lokaciju zaposlenih, već prije uvođenja takvog sistema moraju jasno da objasne šta prikupljaju, zašto to rade, koliko dugo te  podatke čuvaju, ko im pristupa i da li je isti cilj moguće postići blažom mjerom.

Pored GDPR-a, EU je usvojila i širi paket digitalnih propisa, uključujući Digital Services Act (DSA), kojim se uvode veći standardi odgovornosti, transparentnosti i nadzora u digitalnom prostoru. Iako se DSA prvenstveno odnosi na onlajn platforme, a ne direktno na MDM sistem, on pokazuje da u evropskom zakonodavstvu digitalne tehnologije ne mogu funkcionisati bez jasne kontrole i odgovornosti.

Za razliku od država članica EU, Crna Gora još nije zaokružila pravni okvir zaštite ličnih podataka i digitalne privatnosti prema evropskim standardima. Evropska komisija (EK) je u izvještajima za 2024. i 2025. godinu upozorila da domaći Zakon o zaštiti podataka o ličnosti još nije usklađen sa pravnom tekovinom EU, dok se pravila za obradu podataka u policijskom i bezbjednosnom sektoru i dalje usklađuju sa GDPR-om i evropskom Direktivom o obradi podataka u svrhe sprovođenja zakona.

EK je, povodom izmjena Zakona o unutrašnjim poslovima i novog Zakona o ANB-u, u martu 2026. ukazala i na to da odredbe o zaštiti podataka u tim zakonima još nijesu u potpunosti usklađene sa pravnom tekovinom EU, posebno sa Opštom uredbom o zaštiti podataka (GDPR) i Direktivom o sprovođenju zakona (Law Enforcement Directive - LED), koja uređuje obradu podataka u policijske i krivičnopravne svrhe.

Iako je Vlada Crne Gore u februaru 2026. usvojila neke amandmane i najavila usklađivanje, navodeći da su rezultat konsultacija sa EK, Ministarstvo unutrašnjih poslova (MUP) je tekst novog Zakona o zaštiti podataka o ličnosti tek krajem marta 2026. uputilo EK na mišljenje.

EU gleda na nadzor kao ozbiljnu prijetnju privatnosti

Francuska Agencija za zaštitu ličnih podataka, CNIL, nezavisni je državni regulator koji nadzire kako javne institucije i privatne kompanije prikupljaju, čuvaju i koriste lične podatke, uključujući podatke zaposlenih, GPS lokaciju, video-nadzor, kolačiće i druge digitalne sisteme. Riječ je o jednom od najuticajnijih organa za zaštitu podataka u EU.

U smjernicama o geolokaciji službenih vozila zaposlenih, CNIL navodi da se takvi sistemi mogu koristiti samo za konkretne i opravdane svrhe, kao što su bezbjednost zaposlenog, robe ili vozila, bolja organizacija terenskog rada, praćenje radnog vremena kada to nije moguće postići manje invazivnim sredstvima, ili pronalaženje ukradenog vozila. Istovremeno, CNIL upozorava da geolokacija ne smije postati sredstvo stalne kontrole zaposlenog, posebno van radnog vremena, te da zaposleni moraju imati mogućnost da isključe prikupljanje ili prenos lokacijskih podataka kada nijesu na poslu.

Da ovakva upozorenja nijesu deklarativna, pokazuje i praksa CNIL-a: u novembru 2023. ta agencija je izrekla deset sankcija poslodavcima, između ostalog zbog nezakonite geolokacije službenih vozila i video-nadzora zaposlenih. U tim slučajevima problem nije bila sama upotreba tehnologije, već njena nesrazmjerna i pretjerana primjena u odnosu na svrhu zbog koje je uvedena.

Španska agencija za zaštitu podataka takođe zahtijeva jasnu, izričitu i prethodnu informaciju zaposlenih o postojanju i karakteristikama GPS sistema i njihovim pravima.

Radna grupa Član 29 (WP 29), nekadašnji evropski nezavisni savjetodavni organ za zaštitu ličnih podataka, u Mišljenju iz 2017. upozorava da moderne tehnologije omogućavaju praćenje zaposlenih ne samo na random mjestu, već i na drugim mjestima uključujući dom, uz visok rizik netransparentnog i nesrazmjernog nadzora. U tom Mišljenju navodi se da zbog izražene neravnoteže moći između poslodavca i zaposlenog, saglasnost zaposlenog ne treba da  predstavlja valjan pravni osnov za obradu podataka.

Evropski sud za ljudska prava (ESLJP) je u više predmeta zauzeo stav da zaposleni ni na radnom mjestu ne gubi u potpunosti pravo na privatnost. Nadzor mora biti ograničen, obrazložen i podvrgnut kontroli, jer postoji rizik da dođe do zloupotrebe.

Jedan od najvažnijih primjera je predmet “Barbulescu protiv Rumunije”, u kojem je Veliko vijeće ESLJP-a utvrdilo povredu Evropske konvencije o ljudskim pravima (Konvencija), jer domaći sudovi nijesu dovoljno zaštitili privatnost zaposlenog čiju je komunikaciju poslodavac nadzirao. U presudi se naglašava da poslodavac, čak i kada ima legitimni interes da kontroliše korišćenje službenih sredstava, mora prethodno jasno da obavijesti zaposlenog o mogućnosti i obimu nadzora, da mu objasni razloge za takvu mjeru, da razmotri manje agresivne alternative i obezbijediti zaštitne mehanizme protiv zloupotreba.

Za Crnu Goru je važna i presuda “Antović i Mirković protiv Crne Gore”. U tom predmetu je ESLJP utvrdio da je video nadzor u univerzitetskim amfiteatrima, u kojima su profesori držali nastavu, predstavljao zadiranje u njihovo pravo na privatni život. 

Žele da kontrolišu i slobodu kretanja službenika

Posebno je problematično što se novim Zakonom o ANB-u dodatno proširuje prostor za kontrolu kretanja ovlašćenih službenika te agencije. 

Prema tom zakonu, ovlašćeni službenik ANB-a može da “putuje u inostranstvo uz prethodno mišljenje nadležne organizacione jedinice Agencije“, dok način i postupak ostvarivanja tog prava utvrđuje direktor ANB-a. U praksi, to otvara prostor da i privatna putovanja službenika zavise od prethodne interne procjene u toj agenciji, bez dovoljno jasno propisanih kriterijuma na osnovu kojih se takvo mišljenje daje.

Takvo rješenje, kaže za CIN-CG sagovornik koji je dobro upućen u bezbjednosni sistem, a koji je želio da ostane anoniman, sporno je sa stanovišta Ustava, jer se ne radi o pojedinačnoj mjeri prema službeniku za kojeg postoje konkretno obrazloženi bezbjednosni razlozi, već o opštem pravilu koje se odnosi na cijelu kategoriju zaposlenih.

„Time se zadire u slobodu kretanja, odnosno pravo građana da napuste Crnu Goru, koje Ustav Crne Gore jemči i koje se može ograničiti samo izuzetno, u zakonom propisanim slučajevima i uz poštovanje principa nužnosti i proporcionalnosti”, kaže CIN-CG-ov sagovornik.