Thu Jul 24 20:49:29 CEST 2008
Email - osobný údaj?
Viackrát som dostal otázku o tom či si myslím, že emailová adresa je osobným
údajom alebo nie. Rozhodol som sa preto týmto smerom pohnať najnovší príspevok
na blog. Neviem či sa mi však podarí uspokojiť všetkých zvedavcov, lebo na
túto otázku podľa môjho názoru nie jej jednoznačná odpoveď. Prečo je tomu
podľa mňa tak?
Osobnými údajmi sú totiž údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby...atď. A tu je kameň úrazu. Povedal by som, že emailové adresy by sme mohli rozdeliť na také, ktoré za osobné údaje možno považovať a také, ktoré by osobnými údajmi za určitých okolností nemali byť. Ale poďme sa na to pozrieť bližšie.
Kedy by mal byť email (teda emailová adresa) osobným údajom? Osobným údajom by mal byť za predpokladu, že z neho možno vyčítať meno, priezvisko a zamestnávateľa. Napríklad ministerstvá, ostatné ústredné alebo iné orgány štátnej správy a v podstate celý verejný sektor by mal používať emailové adresy v tvare meno.priezvisko@zamestnávateľ.sk. Aj keď nie všetky inštitúcie toto pravidlo dodržiavajú, z takejto emailovej adresy možno zistiť, že napríklad „Meno Priezvisko“ pracuje na úrade či ministerstve. Nepriamo ochrana týchto údajov vyplýva aj zo zákona o slobodnom prístupe k informáciám, ktorý takýto údaj umožňuje sprístupniť iba o vybranej skupine úradníkov na vedúcich či inak dôležitých postoch. U radového zamestnanca sa zachováva jeho právo na súkromie a ochranu osobných údajov a žiadne informácie o jeho osobných údajoch sa proste nesprístupňujú (pokiaľ na to nedal písomný súhlas alebo to neurčil osobitný zákon).
Nielen orgány verejnej správy, ale aj obchodné spoločnosti používajú často pre svojich zamestnancov emailovú adresu v tvare meno.priezvisko@nazov_firmy.sk a v prípadoch väčšiny takýchto spoločností je malá šanca, že by šlo o falošné meno imaginárneho zamestnanca.
V mnohých prípadoch na identifikáciu osoby postačí aj uvedenie jej mena a priezviska s dodatkom určujúcim zamestnávateľa (v tomto prípade môže byť osoba rovno z týchto údajov identifikovaná). V iných je zasa na základe týchto dát jednoduché dohľadať hoci aj na internete či v telefónnych zoznamoch (tie sú vlastne tiež na webe) adresu a telefónne číslo (dotknutá osoba by tak mohla byť identifikovateľná). Tu by som teda povedal, že skutočne je na mieste hovoriť aj o osobných údajoch.
Ak by sa však jednalo o emailovú adresu v nejakom „uletenom tvare“, ktorá vyzerá ako keby prešla cez generátor náhodných „číslo-písmenkových“ znakov (čosi ako sejasd798hhdfj565@gmail.com) a nešlo by o prípadnú prezývku notoricky spájanú s dotknutou osobou, ťažko by sa dalo hovoriť o osobných údajoch.
Toľko teda zbežne k emailovej adrese a k dileme či je alebo nie je osobným údajom. Ako som povedal na začiatku, odpoveď nie je jednoznačná a nedá sa použiť všeobecne. Keď však už dôjdeme k názoru, že nejaká emailová adresa je osobným údajov, ešte to nemusí automaticky znamenať, že sa na ňu vzťahuje zákon o ochrane osobných údajov so svojim ochranným dáždnikom..
Ale o tom snáď inokedy.
Diskusia a komentáre
Osobnými údajmi sú totiž údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby...atď. A tu je kameň úrazu. Povedal by som, že emailové adresy by sme mohli rozdeliť na také, ktoré za osobné údaje možno považovať a také, ktoré by osobnými údajmi za určitých okolností nemali byť. Ale poďme sa na to pozrieť bližšie.
Kedy by mal byť email (teda emailová adresa) osobným údajom? Osobným údajom by mal byť za predpokladu, že z neho možno vyčítať meno, priezvisko a zamestnávateľa. Napríklad ministerstvá, ostatné ústredné alebo iné orgány štátnej správy a v podstate celý verejný sektor by mal používať emailové adresy v tvare meno.priezvisko@zamestnávateľ.sk. Aj keď nie všetky inštitúcie toto pravidlo dodržiavajú, z takejto emailovej adresy možno zistiť, že napríklad „Meno Priezvisko“ pracuje na úrade či ministerstve. Nepriamo ochrana týchto údajov vyplýva aj zo zákona o slobodnom prístupe k informáciám, ktorý takýto údaj umožňuje sprístupniť iba o vybranej skupine úradníkov na vedúcich či inak dôležitých postoch. U radového zamestnanca sa zachováva jeho právo na súkromie a ochranu osobných údajov a žiadne informácie o jeho osobných údajoch sa proste nesprístupňujú (pokiaľ na to nedal písomný súhlas alebo to neurčil osobitný zákon).
Nielen orgány verejnej správy, ale aj obchodné spoločnosti používajú často pre svojich zamestnancov emailovú adresu v tvare meno.priezvisko@nazov_firmy.sk a v prípadoch väčšiny takýchto spoločností je malá šanca, že by šlo o falošné meno imaginárneho zamestnanca.
V mnohých prípadoch na identifikáciu osoby postačí aj uvedenie jej mena a priezviska s dodatkom určujúcim zamestnávateľa (v tomto prípade môže byť osoba rovno z týchto údajov identifikovaná). V iných je zasa na základe týchto dát jednoduché dohľadať hoci aj na internete či v telefónnych zoznamoch (tie sú vlastne tiež na webe) adresu a telefónne číslo (dotknutá osoba by tak mohla byť identifikovateľná). Tu by som teda povedal, že skutočne je na mieste hovoriť aj o osobných údajoch.
Ak by sa však jednalo o emailovú adresu v nejakom „uletenom tvare“, ktorá vyzerá ako keby prešla cez generátor náhodných „číslo-písmenkových“ znakov (čosi ako sejasd798hhdfj565@gmail.com) a nešlo by o prípadnú prezývku notoricky spájanú s dotknutou osobou, ťažko by sa dalo hovoriť o osobných údajoch.
Toľko teda zbežne k emailovej adrese a k dileme či je alebo nie je osobným údajom. Ako som povedal na začiatku, odpoveď nie je jednoznačná a nedá sa použiť všeobecne. Keď však už dôjdeme k názoru, že nejaká emailová adresa je osobným údajov, ešte to nemusí automaticky znamenať, že sa na ňu vzťahuje zákon o ochrane osobných údajov so svojim ochranným dáždnikom..
Ale o tom snáď inokedy.
Diskusia a komentáre
Posted by MICo | Permalink | Categories: súkromie, ochrana osobných údajov, osobné údaje, zákon o ochrane osobných údajov
Wed Jul 23 15:58:05 CEST 2008
RFID už dávno nie je len budúcnosť
RFID je zvláštny fenomén modernej doby. Radio Frequency Identification –
rádio frekvenčná identifikácia je technológia, ktorá si razí cestu do
každodenného života nás všetkých veľmi rýchlo a bez akýchkoľvek okolkov sa
hlási o slovo. Niet pochýb o tom, že môže uľahčiť život mnohých vo viacerých
oblastiach ekonomického, spoločenského, kultúrneho či hocijakého iného aspektu
života. Náhrada čiarových kódov, rôznych ceduliek označujúcich veci,
identifikácia zvierat – toto všetko je fajn a praktické, ale...
Čo však v prípade, keď označený RFID čipom bude človek – ľudská bytosť – jednotlivec? V tomto prípade to už prestáva byť také zábavné. Využitie však má stále siahodlhý zoznam benefitov. Pacientov v nemocnici si personál už nikdy nepomýli čím odpadnú fatálne následky z náhodnej zámeny liekov (pokiaľ sú aj tieto označené), „očipované“ dieťa sa nezatúla a iné. Čo však obavy zo straty súkromia či obavy zo zásahu do práva na ochranu osobných údajov. O nositeľovi čipu je možné zaznamenávať celý rad dát, pričom báť sa nebudeme iba o dáta zaznamenané na čipe (viacero odborníkov sa predstavilo verejnosti s prekvapivo ľahkými spôsobmi ako skopírovať celý čip a vytvoriť jeho klon), ale aj o dáta, ktoré nositeľ vygeneruje svojim správaním.
Pokiaľ je čip v tovare a nie na samotnom človeku (v jeho tele) môže sa to javiť ako bezpečné. Najmä čo sa týka tovarov v obchodoch ide o pomerne zaujímavú pomôcku pri narábaní so skladovými zásobami či evidenciou tovaru prechádzajúceho cez pokladne. Hrozbou, ktorá však vie skrížiť krok súkromiu nakupujúceho môže byť napríklad spojenie tovaru s platobnou kartou kupujúceho a (v tom lepšom prípade) vytváranie nákupného profilu (čo pri niektorých citlivých druhoch tovaru môže byť zároveň aj ten horší prípad). Nepravdepodobné, že by mohlo isť o zásah do súkromia? Stačí si k tomu pridať vernostnú kartu s identifikačnými údajmi a profil je dokonalý. Už aj teraz je takéto profilovanie zákazníkov v zásade možné, pri vydávaní vernostných kariet si predajcovia nechávajú podpísať súhlas so spracúvaním osobných údajov na najrôznejšie účely. Výmenou za pár bodov a či halierové (čoskoro „milicentové“) zľavy takto majú k dispozícii unikátnu vzorku živých ľudí na marketingové či iné účely. Riziká zásahu do súkromia spočívajú aj v tom, že vzory správanie jednotlivca môžu byť zaznamenané často aj bez jeho vedomia.
Obavy z RFID vyjadrili na pôde EÚ aj šéfovia úradov na ochranu osobných údajov, ktorí ich zhrnuli do viacerých bodov – rizikovými sú pri použitím RFID:
Čo však v prípade, keď označený RFID čipom bude človek – ľudská bytosť – jednotlivec? V tomto prípade to už prestáva byť také zábavné. Využitie však má stále siahodlhý zoznam benefitov. Pacientov v nemocnici si personál už nikdy nepomýli čím odpadnú fatálne následky z náhodnej zámeny liekov (pokiaľ sú aj tieto označené), „očipované“ dieťa sa nezatúla a iné. Čo však obavy zo straty súkromia či obavy zo zásahu do práva na ochranu osobných údajov. O nositeľovi čipu je možné zaznamenávať celý rad dát, pričom báť sa nebudeme iba o dáta zaznamenané na čipe (viacero odborníkov sa predstavilo verejnosti s prekvapivo ľahkými spôsobmi ako skopírovať celý čip a vytvoriť jeho klon), ale aj o dáta, ktoré nositeľ vygeneruje svojim správaním.
Pokiaľ je čip v tovare a nie na samotnom človeku (v jeho tele) môže sa to javiť ako bezpečné. Najmä čo sa týka tovarov v obchodoch ide o pomerne zaujímavú pomôcku pri narábaní so skladovými zásobami či evidenciou tovaru prechádzajúceho cez pokladne. Hrozbou, ktorá však vie skrížiť krok súkromiu nakupujúceho môže byť napríklad spojenie tovaru s platobnou kartou kupujúceho a (v tom lepšom prípade) vytváranie nákupného profilu (čo pri niektorých citlivých druhoch tovaru môže byť zároveň aj ten horší prípad). Nepravdepodobné, že by mohlo isť o zásah do súkromia? Stačí si k tomu pridať vernostnú kartu s identifikačnými údajmi a profil je dokonalý. Už aj teraz je takéto profilovanie zákazníkov v zásade možné, pri vydávaní vernostných kariet si predajcovia nechávajú podpísať súhlas so spracúvaním osobných údajov na najrôznejšie účely. Výmenou za pár bodov a či halierové (čoskoro „milicentové“) zľavy takto majú k dispozícii unikátnu vzorku živých ľudí na marketingové či iné účely. Riziká zásahu do súkromia spočívajú aj v tom, že vzory správanie jednotlivca môžu byť zaznamenané často aj bez jeho vedomia.
Obavy z RFID vyjadrili na pôde EÚ aj šéfovia úradov na ochranu osobných údajov, ktorí ich zhrnuli do viacerých bodov – rizikovými sú pri použitím RFID:
- získavanie informácií priamo alebo nepriamo spojených s osobnými údajmi (napr. spájanie zakúpených tovarov s kupujúcimi)
- ukladanie údajov (napr. rôzne vstupné karty obsahujúce aj kontaktné – identifikačné údaje dotknutej osoby)
- odhaľovanie údajov o jednotlivcoch bez použitia tradičných identifikátorov (podľa nakupovaných tovarov možno napríklad odhaliť stravovacie návyky, zdravotný stav a pod.).
Posted by MICo | Permalink | Categories: súkromie, bezpečnosť, ochrana osobných údajov, Zaujímavosti
Thu Jul 3 10:20:32 CEST 2008
V Kanade vyšetrujú FACEBOOK
Kanadská komisárka na ochranu súkromia
(čosi ako náš ÚOOÚ SR) dostala koncom mája sťažnosť na
porušenie Personal Information Protection and Electronic Documents Act a.k.a.
PIPEDA (čosi ako náš zákon
o ochrane osobných údajov) od skupinky študentov práva. Sťažnosť podali
pod hlavičkou Canadian Internet Policy and Public
Interest Clinic - CIPPIC vedení riaditeľkou tejto inštitúcie Philippou
Lawson. Podľa ich analýzy FACEBOOK zlyhal v plnení viacerých požiadaviek
vyplývajúcich z PIPEDA pričom:
Kanadské úrady (Privacy Commissioner of Canada) majú teraz rok na prešetrenie veci a sformulovanie záverov. Vzhľadom na to, že základné princípy ochrany osobných údajov sú vo veľkej miere všade rovnaké, bude zaujímavé sledovať výstupy z tejto kauzy.
- nešpecifikoval každý účel, na ktorý spracúva osobné údaje jednotlivých užívateľov
- nezískal informovaný súhlas užívateľov a neužívateľov na používanie a zverejňovanie ich osobných údajov
- neumožnil užívateľom použiť jeho služby bez toho aby mu dali súhlas na spracúvanie osobných údajov a viaceré osobné údaje, ktoré nie sú nevyhnutné na stanovený účel
- nezískal jednoznačný (výslovný) súhlas užívateľov na zdieľanie ich citlivých údajov
- neumožnil užívateľom, ktorí deaktivovali svoje účty jednoduché odvolanie ich súhlasu na zdieľanie informácií
- neobmedzil rozsah získavaných osobných údajov iba na tie údaje, ktoré sú nevyhnutné na dosiahnutie stanovených účelov ich spracúvania
- neinformoval čestne o svojich zámeroch využiť osobné údaje aj na reklamné účely ani o úrovni vplyvu užívateľa na riadenie nastavení týkajúcich sa jeho súkromia
- nezlikvidoval osobné údaje užívateľov, ktorí prestali využívať jeho služby
- nezabezpečil ochranu osobných údajov užívateľov pred neautorizovaným prístupom
- nevysvetlil politiku a procedúry poskytovania osobných údajov tretím stranám - rôznym inzerentom (poskytovateľom reklamy) či vývojárom aplikácií
Kanadské úrady (Privacy Commissioner of Canada) majú teraz rok na prešetrenie veci a sformulovanie záverov. Vzhľadom na to, že základné princípy ochrany osobných údajov sú vo veľkej miere všade rovnaké, bude zaujímavé sledovať výstupy z tejto kauzy.
Posted by MICo | Permalink | Categories: súkromie, bezpečnosť, ochrana osobných údajov, osobné údaje, Zaujímavosti