Debian Bug Squashing Party in Tirana

On 3 March I attended a Debian Bug Squashing Party in Tirana. Organized by colleagues at Open Labs Albania Anisa and friends and Daniel. Debian is the second oldest GNU/Linux distribution still active and a launchpad for so many others.

A large number of Kosovo participants took place, mostly female students. I chose to focus on adding Kosovo to country-lists in Debian by verifying that Kosovo was missing and then filing bug reports or, even better, doing pull requests.

apt-cache rdepends iso-codes will return a list of packages that include ISO codes. However, this proved hard to examine by simply looking at these applications on Debian; one would have to search through their code to find out how the ISO MA-3166 codes are used. So I left that for another time.

I moved next to what I thought I would be able complete within the event. Coding is becoming quite popular with children in Kosovo. I looked into MIT’s Scratch and Google’s Blockly, the second one being freeer software and targeting younger children. They both work by snapping together logical building blocks into a program.

Translation of Blockly into Albanian is now complete and hopefully will get much use. You can improve on my work at Translatewiki.

Thank you for the all fish and see you at the next Debian BSP.


Report on education and internet in Kosovo / Raport për arsimin dhe internetin në Kosovë

Shqip më poshtë

2016-coverA report I have written on the role of internet in support of the right to education in Kosovo for Global Information Society Watch (GISWatch) has been published by the Association for Progressive Communications (APC) and International Development Research Centre (IDRC) and presented at the recent Internet Governance Forum in Mexico.

The theme in 2016 is Economic, social and cultural rights and the internet. Reports from 41 countries have been

contributed, presenting a kaleidoscope of topics on the theme. The report was written over the summer, before the results of the 2015 PISA test for Kosovo became available. I hope the report will contribute to the ongoing debate.

A future yet to be delivered: The education system’s failure to take advantage of widespread internet access (PDFHTML)


Një raport që kam shkruar për Global Information Society Watch (GISWatch) mbi rolin e internetit në mbështetjen e së drejtës për arsim  është botuar nga Association for Progressive Communications (APC) dhe International Development Research Centre (IDRC) dhe paraqitur në Forumin për Qeverisje të Internetit në Meksikë.

Tema për vitin 2016 ishte “Të drejtat ekonomike, sociale dhe kulturore dhe interneti”. Janë kontribuar raporte nga 41 vende, duke paraqitur një kaleidoskop të temave të ndërlidhura. Raporti është shkruar gjatë verës, para se rezultatet e testit të vitit 2015 të PISA-s për Kosovën të bëheshin të ditura. Shpresoj që raporti të kontribuojë në debatin që është hapur.

E ardhmja e parealizuar: Dështimet e sistemit arsimor në shfrytëzimin e qasjes së gjerë në internet (PDF)

ADS-B reciever up


So finally my Flightradar24 feed is up and I am all very excited. The “radar” is actually a receiver for the open ADS-B signal being transmitted on 1090 MHz. The system consists of a Beaglebone computer in a nice metal case, an external Mode-S omni-directional antenna (55 cm), and a GPS antenna for data timing precision and MLAT (not shown).

I received this system from Flightradar24 and have to feed coverage data to them in exchange for a premium account. It is not open data although the public does get access to the result at

You can also build your own ADS-B receiver using a Raspberry Pi and a low cost DVB-T USB stick (terrestrial tv receiver). Your receiver will run Flightradar24’s Rasbian-based Pi24 client to track flights within 200-400 miles and will automatically share data with Flightradar24. You can track flights directly off your Pi24 device or via

There are some options to keep the data you collect while losing access to the data of other receivers — Planeplotter seems to be the more mature one — but unfortunately none of them seems to be under active development and all are proprietary and most Windows-based.


Basic setup with internal antenna, DVB-T dongle and Raspberry Pi/PC


Reciever Coverage

Based on relief around my receiver in Gjakova, I’m providing good coverage of western Kosovo. My house is situated slightly below the immediate terrain and 60 m below the Gjakova airport runway midpoint 7.5 km to the north, meaning I might not be able to see aircraft on the ground once that airport is operational. I also have high mountains 8-16 km from south-west to north-west and further away facing south. Below is a polar plot of the aircraft being seen, with north to east coverage clearly dominating, also a result of traffic routes.




Rooftop view north-east



View of Gjakova Airport

Gratitude to antenna master Teki Dobroshi for helping with its setup and Yll Ferizi for troubleshooting network cabling problems.

Happy hacking!

Open Data Index 2015 – Kosovo

Open Knowledge Foundation has Published its 2015 edition of Open Data Index. Taiwan has taken 1st place away from the UK. Kosovo is judged 43% open, ranking 35th, down from 31st place last year. In the neighbourhood, Albania ranked 37th after a large jump and Macedonia ranked 69th. Others have not been scored.

Overall the process this year was much more rigokfn2015ksorous.

The 2015 index has been extended to 15 data sets, compared to 10 last year. The extra data sets are: Government Procurement Tenders, Water quality, Land Ownership, Weather Forecast and Health Performance, although this last one was not counted due to issues with methodology.

The drop in ranking is due to three reasons. First, not making any advancements during 2015 on what gets counted towards the index.

Second, improper copyright notices marking content in public websites as protected when it is actually in public domain according to the Law on Copyright, causing unnecessary legal uncertainty.

Third, addition of new data sets where Kosovo ranks particularly bad. Ex. the Hydro-meteorology Institute collects the required weather data on their website but they are published only for a few days and then removed but they are not published.

Once again, while Kosovo does a fine job in collecting the data in question, they are not made publicly available on what I suspect are for the most part pure organizational reasons rather than political, policy or technical ones. While this is unfortunate, the good news is that improvement would be quite easy.

What I believe would really make a difference though and is politically difficult to achieve is land ownership transparency. A more transparent cadastre would go a long way towards a better governed Kosovo.

Unless some dedication is put on this issue, other countries will advance while Kosovo remains at standstill, like it did this year.

Open Data in Kosovo – so close and yet so far

The Economist had an article a few weeks ago how internatitional indices have been cropping up all over place, and more specifically how they determine the fate of nations and yet could be abused by massaging the numbers.

Open Data Index is another of these indices, this time on the concept of open data. The survey checks 10 rather simple datasets:

  • Transport Timetables
  • Government Budget
  • Government Spending
  • Election Results
  • Company Register
  • National Map
  • National Statistics
  • Legislation
  • Postcodes/Zipcodes
  • Pollutant Emissions

against 9 questions:

  • Does the data exist
  • Is data in digital form
  • Publicly available
  • Is the data available for free
  • Is the data available online
  • Is the data machine readable
  • Available in bulk
  • Openly licensed
  • Is the data provided on a timely and up to date basis

Out of the 108 countries crowdsourced for this index (mostly me in the case of Kosovo) and checked by reviewers (mostly Besfort Guri in the case of Kosovo), Kosovo ranks 32st with a score of 515 out of 1000. UK scores first, and other usual Open Government well governed suspects follow. So at least  on the ladder we did pretty well on this new thing that still very few people know about in Kosovo (likely because the foreign founders haven’t either 😀 ). This is way better than Kosovo’s normal numbers on other indices.

What gives?

For one, these are simple datasets that most countries have, so the requirements are modest to start with. Here, Kosovo is completely missing two datasets: transport timetables, probably due to nonexistent public inter-city transport, and no postcodes with relevant geographic boundaries.

Our data is in digital format, again not a fancy requirement today since having it otherwise makes it more burdensome for public officials.

Our copyright law is rather good in placing public documents in the public domain so free use, including for commercial use, it not hindered (except for the national map, in this case a simple requirement, but in Kosovo all maps are highly protected and commercialized by the Cadastre agency). The Law on Access to Public Documents is another matter, however, since it stops use of documents accessed through this law “for commercial or propaganda purposes”.

On machine readability, which allows easy manipulation without further human intervention, it startes getting tricky as we are not meeting this requirement on 7 datasets.

On bulk availability — that is all data downloadable in one go — we again miss out on 7 out of 10 dataset. Here we would probably miss all of them if it was not for some of the datasets being quite simple to make sense as Excel files. We have quite a bit of spreadsheets and not enough databases, and when we have good databases such as the case of the business registry, we don’t have access to them in bulk. To get around this problem BIRN tried scraping the public face of it  and I did try without success to FOI the whole database.

We score well on time and up to date provision, but once again requirements are not very high here. Pollution data for air pollution only, for example, are required on a yearly basis.

Where do we go from here?

Some bright spots are already apparent. The guys at Open Data Kosovo with UNDP support have been doing an excellent job liberating and applying data to questions as well as training young people to make use of them. Democracy for Development has launched an indicators’ panel,  GAP has built an open spending tool and FOL has done an asset declaration panel of high officials. And GIZ is very serious about and has a dedicated project to open cadastre data. We need to bring all the data that feeds this work together and coordinate it in an efficient manner.

In the Open Government Partnership Action Plan (Albanian only) (on the drafting of which I participated consulting for Ipko Foundation) we managed to put the following (my translation):

Action Item 12. Government of Kosovo through the state portal will develop policies and
build a portal where it will publish open government data.
Sub-action 12.1 . Government in collaboration with the World Bank will start the procedures for conducting an Open Data Readiness Assessment.

(By 1 September 2014, the Information Society Agency will identify the data at or collected from public institutions by the Statistics Agency, the Treasury and Regulatory Authority of Electronic and Postal Communications and encourage their publication on their institutional web sites.
By 1 October 2014, distribution and licensing policies for the publication of data will be formalized through a Government decision.
By 1 March 2015, a central portal for publishing open data will be built.
By 1 June 2015, public institutions will publish all data collected from there on.
By 1 January 2016, all other archival data will be published.

As far as I am aware, we are behind on the first two items and there are no plans yet to build the government open data portal. Now that the government has been caretaking for the past 5 months, this looks like an overly ambitions plan, but we were not ambitious, since countries like Romania in our neighborhood have had open data portals for years. If anything, we’re behind.

The Readiness Assessment is scheduled to take place in February. And the Office of the Prime Minister in November was discussing amending the Law on Access to Information to include the EU Directive on the re-use of public sector information which will provide a strong legal basis for opening public data.

Fresh devotion needs to be found about this topic once again. Not that I have any illusions that this will be the panacea to the problems we face, but I strongly believe that it will strengthen transparency and evidence-based policy making and be a strong base for all other things well-intentioned people are working on in Kosovo.

Why Kosovo’s new draft law on interception is still wrong

On 29 April Government of Kosovo said it would be sending to Parliament a revised Draft Law on Interception of Electronic Communication. The Draft has undergone some positive changes but is still unacceptable in this form.

Here are the problems with it:

Interception interfaces. First and major problem is the separate interception  interface it provides to the intelligence agency AKI. While the draft requires court warrants also for the AKI, in practice AKI has their own interface. The law calls for two types of electronic solutions: the monitoring facilities, placed at the authorized institutions who would be getting the feed that they have been authorized for upon showing the warrant,  and the interception interfaces placed at communication companies that do the actual feeding of the data. But AKI also gets one of these interfaces at their own facility. This is unacceptable as it provides no means to control against abuse and practically gives the Agency, which has been scoring negative headlines daily, a carte blanche to intercept.

Data retention. Second major problem. Despite promises by the Minister and the CJEU ruling annulling the Directive, data retention is still there, albeit in a somewhat lighter version. Data to be retained  for 12 month include (Article 12):

– the calling telephone number;
– the name and address of the subscriber or registered user;
– the user identification allocated;
– the user identification and telephone number allocated to any communication entering the public telephone network;
– the name and address of the subscriber or registered user to whom the internet protocol address or telephone number was allocated at the time of the communication;
– the numbers dialed, and, in cases involving supplementary services such as call forwarding or call transfer, the number or numbers to which the call is routed;
– the name and address of the subscriber or registered user;
– the user identification or telephone number of the intended recipient of an internet telephony call;
– the name and address of the subscriber or registered user and user identification of the intended recipient of the communication;
– concerning fixed network and mobile telephony, the date and time of the start and end of the communication;
– the date and time of the log-in and log-off of the internet access service, together with the IP address allocated by the internet access service provider to a communication, and the user identification of the subscriber or registered user;
– the date and time of the log-in and log-off of the internet e-mail service or internet telephony service;
– concerning fixed network and mobile telephony, the telephone service used;
– concerning internet access, internet e-mail and internet telephony, the internet service used;
– the calling and called telephone numbers;
– the international mobile subscriber identity of the calling and the called party;
– the international mobile equipment identity of the calling and the called party;
– in the case of pre-paid anonymous services, the date and time of the initial activation of the service and the location label from which the service was activated;
– the calling telephone number for the dial-up access;
– the digital subscriber line or other end point of the originator of the communication;
– the location label at the start of the communication;
– data identifying the geographic location of cells by reference to their location labels during the period for which communications data are retained.

Since sponsoring Minister Vlora Çitaku has stated that the Draft has been approved by the European Commission, and EU Special Representative / Head of EU Office in Kosovo  Samuel Žbogar  has said that the law, while not perfect, meets minimum standards, I wonder if the dragnet surveillance of the above data is the new interpretation of CJEU ruling by the Commission?

Authorized institutions. The Draft Law does not limit the “special laws” that could be used for issuing warrants to be complied with under this law. This means that if the law is passed in this form, permanent attention will be required to make sure that other institutions don’t get access through other less onerous laws through this back-door.

Purpose (Art 1 and 12.7). The EU directive was specifically directed at the fighting of serious crime, although we know that through implementation it became subject to much abuse. In the Draft the reference to the Directive has been expunged but limiting of scope to “serious crime” has now been introduced. This is an advancement, provided it does not get abused, which from European experience we know will happen.

Notification. The Law refers to the Criminal Code and the AKI Law as two of the legal basis for getting warrants. While the criminal code has the concept of notification of citizen upon surveillance built in, the AKI law does not. Therefore, no citizen would be allowed to know that they had been surveilled by the AKI, since unless otherwise expressly allowed by another law, the notification is prohibited by this one. As ruled by the ECtHR, notification is a right, hence the Draft is in violation of this Convention which Kosovo has unilaterally embraced but its citizens still can’t seek redress from its court due to Kosovo not being party to the Convention.

Interception assistance (Art. 9). “Based on a lawful inquiry, in full compliance with the Criminal Procedure Code of Kosovo” the Draft allows for the breaking of anonymity of a citizen by requesting the identity of a target in preparation for the interception. Indirectly this article states that no warrant would be required for this procedure. Furthermore, notification principle is once again violated in this article as it is expressly prohibited.

Records of interception (Arts. 11 & 13). Request to keep records and provide data on the number of  interception requests is a positive change in this draft. Yet this point becomes somewhat moot when considering that AKI will have its own interface. In the reporting requirements, there is no criteria about the effectiveness and indispensability of data retained to combat crime, only on the effectiveness of the ability to provide data, which privacy advocates in Europe have argued with regard to the Data Retention Directive.

Penalties (Art. 15). For violations of non-compliance a network operator or service provider could be fined with a penalty of at least 86,000 EUR and up to 7% of the annual income from their economic activity in electronic communication. There are no penalties foreseen for the violations that harm the privacy of citizens, clearly favoring the sharing of citizen’s data with the authorities.

Data transmission security standards (Art. 5.5). The law refers to data security standards used otherwise by the operator, or relegates this matter to secondary legislation.

There you have it.

Looking at how well done the relevant parts of the Criminal Code and the Criminal Procedure Code are, it seems to me that there could be only two reasons to push this new law: data retention and extension of AKI’s ability to tap.

Interception Draft Law sent to Parliament / Projektligji për përgjimet dërgohet në Kuvend

Government of Kosovo announced today that it will send to the Parliament the Draft Law on the Interception of Electronic Communications.

On first look it looks pretty bad. Comments will follow.

Qeveria e Kosovës ka njoftuar sot se do të procedoj në Kuvend Projektligjin për Përgjimin e Komunikimeve Elektronike.

Në shikim të parë duket mjaft i keq. Komentet do pasojnë.

Draft i ri – disa probleme të vjetra

Të hënën Ministria e Integrimeve Evropiane ka dërguar te një pjesë e shoqërisë civile një draft të ri të Draft-ligjit për përgjimin e komunikimeve elektronike, pas komenteve që janë bërë në draftin e parë. Drafti i dërguar është ky (gabim) në fakt ky. Më poshtë është përgjigja që e kam dërguar në MIE.

E nderuar Ministri e Integrimeve Evropiane,

Po ju shkruaj në lidhje me Draft-ligjin për përgjimin e komunikimeve publike të dërguar për konsultim te disa organizata të shoqërisë civile me datë 7 prill. Në përgjithësi ky është një draft shumë më preciz juridik dhe me përparime të dukshme. Fatkeqësisht, disa shqetësime të ngritura herën e kaluar ende mbesin.

Së pari, kam një ankesë procedurale. Vetëm një numër i vogël nga shoqëria civile është përfshirë në konsultimin publik përkundër faktit që kjo fushë prek të drejtat themelore të njeriut. Organizatat për mbrojtjen e të drejtave të njeriut, si Këshilli për Mbrojtjen e të Drejtave e të Lirive të Njeriut (KLMDNJ), duhet të jenë pjesë kyçe e këtij debati. Edhe pse unë kam dërguar komente herën e kaluar, jam detyruar ta siguroj draftin e amandamentuar përmes palëve tjera.

Kushtetuta e Kosovës ia ka kushtuar një nen të plotë privatësisë. Paragrafi 3.1 i Kushtetutës thotë: “Fshehtësia e korrespondencës, telefonisë dhe komunikimit tjetër, është e drejtë e pacenueshme. Kjo e drejtë mund të kufizohet vetëm përkohësisht, në bazë të vendimit gjyqësor, nëse është e domosdoshme për ecurinë e procedurës penale ose për mbrojtjen e vendit, në mënyrën e parashikuar me ligj.

Të kalojmë te baza tjetër ligjore duke filluar me çështjen e mbajtjes së të dhënave (Neni 12 – Kategoritë e të dhënave që duhet ruajtur). Më 8 prill, Gjykata e Drejtësisë e BE-së përmes vendimit në rastet e bashkuara C-293/12 dhe C-594/12 ka shpallur të pavlefshme Direktivën 2006/24/EC për mbajtjen e të dhënave (termi “ruajtje” që përdorët në draft nuk është më i sakti i mundshëm). Kjo Direktivë ka qenë shtyllë e ligjit. Po i përmendi disa paragraf kryesor nga vendimi i Gjykatës sepse Gjykata ka trajtuar edhe përgjimet në përgjithësi, e jo vetëm mbajtjen e të dhënave.

Gjykata thekson se kërkesa për të mbajtur të dhënat dhe pastaj për t’i bërë ato të qasshme për autoritetet kombëtare “ngre pyetje në lidhje me respektimin e jetës private dhe të komunikimit në bazë të nenit 7 të Kartës [së BE-së për të Drejtat Themelore], mbrojtjen e të dhënave personale sipas nenit 8 të Kartës dhe të respektimit të lirisë së shprehjes në bazë të Nenit 11 të Kartës (para 25).

Në vendim, Gjykata, duke iu referuar Direktivës, thekson se ajo “së pari, mbulon në mënyrë të përgjithësuar të gjithë personat dhe të gjitha mjetet e komunikimit elektronik si dhe të gjitha të dhënat e trafikut  pa  çfarëdo dallimi, kufizimi ose përjashtimi duke u bërë në dritën e objektivit të luftës kundër krimeve të rënda” (para. 57).  Pastaj, “Mbi të gjitha, qasja nga autoritetet kompetente kombëtare të dhënat e pashpërndara nuk bëhet e varur nga një rishikim paraprak i kryer nga një gjykatë ose nga një organ i pavarur administrativ vendimi i të cilit kërkohet për të kufizuar qasjen në të dhënat dhe përdorimin e tyre për sa është e domosdoshme me qëllim të arritjesqëllimi të synuar dhe i cili ndërhyn pas një kërkese të arsyetuar të këtyre autoriteteve të paraqitura në kuadrin e procedurave të parandalimit, zbulimit apo ndjekjeve penale” (para. 62).

Gjykata e citon deklaratën e Avokatit të Përgjithshëm:Fakti që të dhënat ruhen dhe pastaj përdoren pa pajtimin ose informimin e përdoruesit të regjistruar ka gjasa të gjeneroj në mendjen e personave në fjalë një ndjenjë se jeta e tyre private është subjekt i mbikëqyrjes të vazhdueshme” (para. 37).  Keni parasysh që Gjykata po adreson vetëm metatëdhënat këtu. Gjykata vlerëson se duke adoptuar Direktivën, “legjislativi i BE-së ka tejkaluar kufijtë që imponon parimi i proporcionalitetit (para. 69). Me këtë mund të përfundohet se vëzhgimi i përgjithshëm i qytetarëve të padyshuar për krime të rënda pa autorizim të Gjykatës nuk është as i nevojshëm e as proporcional.

Ashtu siç edhe thuhet shpesh nga vet BE-ja, Kosova ka probleme me sundimin e ligjit dhe kontrollin demokratik të ekzekutivit nga Kuvendi. Standardet e diskutueshme individuale të BE-së bëhen edhe me te diskutueshme në Kosovë ku standardet e kontrollit demokratik dhe gjyqësorit nuk janë arritur paralelisht.

Ne e inkurajojmë sponsorin e këtij draft-ligji të vlerësoj draftin karshi 13 Parimeve Ndërkombëtare mbi Zbatimin e të Drejtave të Njeriut në Përgjimin e Komunikimeve të mbështetura nga mbi 400 organizata të shoqërisë civile dhe mbi 50 ekspertë ligjorë dhe akademik nga e gjithë bota, disa prej të cilave janë mishëruar edhe në Kushtetutën e Kosovës.  Kyçe mes tyre është e drejta e palëve të përgjuara për t’u informuar se kanë qenë të përgjuar kur ky përgjim nuk i shërben më ndjekjes penale.

Nuk është marrë parasysh as rekomandimi që të sigurohet transparenca e softuerit përmes publikimit të kodit për të siguruar që pajisjet do të jenë në shërbim vetëm të palëve të autorizuara e jo edhe palëve të treta. Gjatë viteve 2004-2005 është zbuluar që një palë e tretë ka instaluar softuer të përgjimit në një central telefonik në Greqi duke përgjuar telefonat e rreth 100 zyrtarëve të lartë grek, duke përfshirë kryeministrin dhe shumë ministra. Kush do të siguroj që softueri i instaluar për përgjim të ligjshëm nuk do të kontrollohet nga palë të treta?

Duke krijuar interfejsa të ri paralel e të pakontrollueshëm të qasjes në komunikime ky ligj e rritë ekspozimin ndaj ndërhyrjeve të jashtme por në të njëjtën kohë i lejon operatorët të operojnë me praktikat standarde të sigurisë. AKI përmes zgjidhjes teknike poashtu praktikisht do të ketë mundësinë të përgjoj e pakontrolluar.

Për shkeljet, ky projekt-ligj vendos standarde të dyfishta. Parasheh dënime substanciale vetëm për operatorët për shkeljet që dëmtojnë sigurinë kombëtare por kërkon vetëm masa standarde të sigurisë dhe nuk parasheh ndëshkime për shkelje që cenojnë privatësinë e qytetarëve të cilat mund të jenë rrjedhojë edhe e standardeve që do t’i përcaktoj vet AKI-ja për vetveten, e për të cilën nuk parashihet kurrfarë dënimi.

Për përfundim:

Duke konsideruar që e drejta për privatësi është e drejtë themelore e mbrojtur me Kushtetutën e Kosovës, kërkojmë edhe njëherë që:

– Të merren parasysh Parimet Ndërkombëtare mbi Zbatimin e të Drejtave të Njeriut në Përgjimin e Komunikimeve për të siguruar nivel të lartë të mbrojtjes në përputhje me kontekstin e zhvillimit demokratik e ligjor të Kosovës.

– Duke konsideruar edhe vendimin e GJDBE-së, të hiqet mbajtja e përgjithshme e të dhënave si jo-proporcionale me qëllimet.

– Të hiqet interfejsi paralel për përgjim për AKI-në sepse kjo efektivisht do të thotë qasje e pakontrolluar për këtë organizatë.

– Shkeljes së privatësisë së qytetarëve t’i jepet e njëjta peshë me dëmin që mund t’i shkaktohet hulumtimeve të krimeve dhe sigurisë publike. Për shkak se do të hapen vektor të ri të sulmit, zgjidhjet teknike për mbrojtjen e privatësisë së qytetarëve duhet të jenë më të larta se ato të zakonshmet që përdorën nga operatorët.

– Standardet e sigurisë të vendosen nga një organizatë e tretë si ARKEP e cila ka kapacitetin teknik për t’i kuptuar problemet dhe në transparencë të plotë ndaj publikut. Softueri të jetë i hapur për të siguruar që bënë atë për të cilin është dedikuar.

Me nderime,

Arianit Dobroshi

Anëtar i Bordit Ekzekutiv të FLOSS Kosova

Kosovo is considering a dragnet surveillance law

Kosovo government through the Ministry of European Integration has been considering for the third time a problematic dragnet electronic interception and data retention draft law. The draft is undergoing consultation until Friday 3rd April with the aim of sending it to the Parliament for approval, before it dissolves in a couple of weeks for early elections.

The media have reported that the reason for it being drafted by the Ministry of European Integration is that the Government might want to bypass the Intelligence Agency Oversight and Security Parliamentary Committee which has turned down two previous drafts. Currently surveillance in Kosovo is permitted by the Penal Code with a warrant although more detail rules are lacking.

The law would give the Kosovo Intelligence Agency the ability to tap into communication networks for the purpose of recording internet and telephone metadata. Court warrant is not mandatory, instead, only lawful authorisation is mentioned.

The Minister of European Integration says that the law has been signed off by the EU and the Council of Europe. My emails to the EU Mission in Kosovo have not been returned – it is possible that that is the case. Directive 2006/24/EC on data retention being transposed in this law is highly problematic even in the EU countries. Article 5 on the type of data to be retained is exhaustive. They are, of course, metadata, but metadata can reveal plenty. Implementations of the Directive have been thrown out by high courts in Germany, Czech Republic, and Romania and are being contested in Austria, Ireland and Slovenia. Sweden was threatened for years with heavy fines by the European Commission to implement it, as was Romania. The Directive assumes that we are all potential criminals who can’t be trusted.

In Kosovo we have received a rule of law mission from the EU in order to fix what EU considers a weak legal system, yet by mandating this law in the process of visa liberalisation with Kosovo, EU is creating great opportunities for abuse with the data collected.

The current draft law foresees hefty fines in cases of violations that affect national security but none in cases of violations of citizens’ privacy.

Four concerns that should be clarified in the law are:

a) All electronic interception should be done with a court warrant only;
b) The Intelligence Agency or other institutions should not have parallel means of wire-taping electronic communications;
c) Wire-tapping devices should be open source that is publicly available to ensure that there are no backdoors similar to those unveiled by Snowden;
d) The data retention obligation should be removed because it is disproportionate, highly contested by the Courts, endangers citizens’ privacy in case of data breaches, and the legal system in Kosovo is too weak to ensure it won’t be abused by government institutions. Furthermore, as the draft currently stands, it is in violation of Article 1.1 of Directive 2006/24/EC as it does not limit the scope for which the data can be used to serious crimes only.

Please tell the sponsors of this draft law, as the sticker goes, to come back with a warrant.

Arianit is Member of the Board of FLOSS Kosova, an NGO promoting free software in Kosovo.

This article was first posted on Digjitale.

Përgjigja në konsultimin publik për Projektligjin për përgjimin e komunikimeve elektronike

Projektligji i komentuar

E nderuara Ministri e Integrimeve Evropiane,

Po e shkruaj reagimin në lidhje me projektligji për përgjimin e komunikimeve elektronike në këtë formë sepse më jep më shumë mundësi për të adresuar problemet përmes çështjeve më të thella që i ngritë ky projektligj.

Më 2011 kam kryer studimet LLM në Universitetin Leiden si bursist i Young Cells Scheme, ku si pjesë e tezës së diplomës mbi transferimin e të dhënave në transportin ajror kam studiuar kuadrin ligjor të BE-së për mbrojtjen e të dhënave.

Besoj që e keni ndjekur sadopak aferën Snowden, e cila ka zbuluar shkelje masive të të drejtave të qytetarëve amerikan dhe se agjencitë e përgjimit elektronik në SHBA dhe Britani janë jashtë çfarëdo kontrolli ligjor dhe demokratik në dy nga demokracitë më të vjetra në botë. Besoj që ky projektligj duhet të shihet nën dritën e këtyre zhvillimeve.

Së pari, për korrektësi, drafti në këtë formë duhet të riemërohet “për përgjimin masiv të komunikimeve elektronike dhe mbajtjen masive të të dhënave”, kjo e dyta një koncept i ndërlidhur por me probleme tjera.

Ky draft parasheh përgjimin nga AKI pa autorizim të gjykatës, që e bënë atë të papranueshëm në këtë formë. Në SHBA pjesë e skandalit të plasur është pikërisht kjo, që NSA po bënte interpretime të ligjeve që mundësonin përgjimin “incidental” (në fakt shumica janë) të qytetarëve amerikan. Ky draft efektivisht është rikthyer në formën e kaluar, me përjashtim që evidenca nuk mund të përdorët në ndjekje gjyqësore. Por siç e dimë, ka edhe mënyra të tjera të ndjekjes. Kjo mbrojtje do të qëndronte sikur Kosova të kishte një demokraci dhe institucione të forta që do t’i rezistonin kësaj sirene. Nga Snowden kemi kuptuar që NSA rregullisht i ka përcjellë informacione agjencive të rendit të cilat pastaj janë përdorur në procese gjyqësore. Kush do të garantoj që kjo nuk do të ndodhë në Kosovë?

Autorizimi ligjor (Neni 1.2) – Definicioni i autorizimit ligjor ka ndryshime mes versionit shqip dhe anglisht, sidoqoftë është i papranueshëm në të dy gjuhët. Autorizim ligjor duhet të lëshoj vetëm gjykata, ashtu që të sigurohet kontrolli efektiv dhe mbrojtja e të drejtave të qytetarëve.

Konfidencialiteti i përgjimit (Neni 8, Neni 7.1) – Qytetarët duhet ta kenë mundësinë të dinë që janë përgjuar dhe të kërkojnë dosjen që mbahet mbi ta, pas periudhës kur është pushuar ndjekja ndaj tyre dhe ruajtja e përgjimeve nuk i shërben më ndonjë arsye të paraparë me ligj.

Asistenca në qasje në të dhënat e subjektit për përgjim (Neni 9) – kjo dispozitë shkel të drejtën e qytetarit për privatësi dhe anonimitet, duke mundësuar zbulimin e identitetit të një personi i cili mund të dëshiroj të qëndroj anonim pa ndonjë arsyetim që do të vlerësohej nga gjykata. Neni thotë se ky informacion nuk mund të përdorët për të përgjuar subjektin, por me AKI-në me qasje të plotë në përgjim, kush do ta garantoj se kjo nuk do të ndodhë?

Siguria e përgjimeve (Neni 10) – Nga Snowden kemi kuptuar për operacionet masive të NSA-së për të infiltruar pajisjet e komunikimit. Një softuer i instaluar në mënyrë të fshehtë në centralet e komunikimit i cili mund të aktivizohet sipas dëshirës thuhej se ishte instaluar edhe në Prishtinë. Përmes kërkesës për instalimin e këtyre pajisjeve, Kosova do t’u mundësoj një shpijunim të tillë palëve të treta miqësore ose armiqësore, qeveritare ose private. Te siguria e përgjimeve, duhet të sigurohet që pajisjet dhe softueri që lejon këtë mundësi është me kod burim të hapur i qasshëm nga të gjithë për t’u siguruar që nuk ka dyer të fshehta (backdoors) të cilat mundësojnë përgjimin nga palët e treta. Besimi i kësaj përgjegjësia AKI-së do të ishte e papranueshme sepse teknikisht do t’ia dorëzonte mundësinë për përgjim AKI-së pa marr parasysh ku vendosen pajisjet e përgjimit ose nëse do të kërkohen urdhrat ligjor edhe për kërkesat nga AKI. Unë dhe organizata FLOSSK ku bëj pjesë jemi të gatshëm të ndihmojmë në krijimin e kritereve për softuer të cilat do të mbronin përdoruesit dhe qëndronin nën kontrollin e vetëm palëve të autorizuara me ligj.

Mbajtja e të dhënave (Neni 12) – Është shqetësuese që Direktiva 2006/24/EC për mbajtjen e të dhënave është përfshirë në këtë ligj. Së pari, a është kërkuar adoptimi i kësaj direktive nga BE-ja? Duke kërkuar mbajtjen e të dhënave për të gjithë qytetarët, duke përfshirë edhe atë shumicë absolute që janë të pafajshëm, kjo dispozitë është në kundërshtim me parimin e proporcionalitetit. Nuk ka asnjë evidencë të pavarur se mbajtja e të dhënave mundëson luftimin e krimit që përndryshe nuk do të ishte e mundur pa të. Në të kundërtën, duke detyruar kompanitë e komunikimit dhe ato që ofrojnë shërbime në internet, për të ruajtur të dhënat, këto të dhëna bëhen pre e infiltruesëve të ndryshëm duke vënë kështu në rrezik masiv privatësinë e qytetareve. Kjo direktivë është jashtëzakonisht e diskutueshme duke u kundërshtuar nga qeveri dhe gjykata të larta në shtetet e BE-së. Ja disa shembuj.

Belgjikë – një rast pritet të merret në shqyrtim nga Gjykata Kushtetuese në vitin 2015.

Irlandë dhe Austri – qytetarë dhe organizata për mbrojtjen e të drejtave të qytetarëve në këto dy vende kanë ngritur raste të cilat pastaj Gjykatat e këtij vendi (Gjykata e Lartë në Irlandë dhe ajo Kushtetuese në rastin e Austrisë) i kanë dërguar në GJDBE. Rasti është dëgjuar por akt-gjykimi ende nuk është dhënë. Në Opinionin e tij, Avokati i Përgjithshëm ka thënë se Direktiva si tërësi është në mospërputhshmëri me kërkesat e parapara nga Karta e të Drejtave Themelore të Bashkimit Evropian. Sipas Avokatit të Përgjithshëm, Direktiva përbën një ndërhyrje serioze në të drejtën themelore të qytetarëve për privatësi.

Suedi – Komisioni Evropian ka paditur Suedinë për refuzim të transponimit të direktivës edhe 7 vjet pas nxjerrjes së saj duke e kërcënuar me gjobë prej 3 milion EUR.

Slloveni – Komisionari i Informacionit ka ngritur rast në Gjykatën Kushtetuese rreth proporcionalitetit të ruajtjes masive të të dhënave si dhe faktin që po përdorën edhe për arsye të sigurisë kombëtare dhe nga Agjencia e Inteligjencës (të dy këto arsye nuk bien nën krimet e rënda të paraparë me Direktivë).

Republika Çeke – zbatimi i direktivës është hedhur poshtë nga Gjykata Kushtetuese për shkak të proporcionalitetit. Ngjashëm kanë vendosur edhe Gjykatat në Gjermani, Qipro, Bullgari dhe Rumani. Rumania ka zbatuar direktivën për herë të dytë pasi Komisioni Evropian kishte kërcënuar me dënim prej 30,000 EUR në ditë.

Arsyetimi i Komisionit ka qenë se duke vënë kufij të epërm të mbajtjes së të dhënave në fakt po rritej mbrojtja, por në Kosovë kjo çështje tash është e rregulluar në favor të shkatërrimit të të dhënave, dhe jo mbajtjes. Në cilindo rast, kjo çështje meriton një debat të ndarë nga përgjimi. Kosova nuk e ka sistemin juridik për të garantuar mbrojtjen e këtyre të dhënave.

Nga sa u tha më lartë apeloj që:

a) Të gjitha përgjimet të bëhen vetëm përmes një urdhri të gjykatës;

b) AKI apo institucionet tjera të mos kenë mundësi paralele autonome të përgjimit;

c) Pajisjet e përgjimit të kenë softuer me kod burimor të hapur i cili është publik për të siguruar se bënë atë për të cilën është destinuar dhe asgjë më tepër;

d) Obligimi për mbajtjen e të dhënave të hiqet sepse është jo efektiv, i kontestuar nga shumë Gjykata në bazë të mungesës së proporcionalitetit, rrezikon privatësinë e qytetarëve, dhe sistemi juridik në Kosovë nuk mund të garantoj mos-keqpërdorimin e të dhënave.

Me nderime,