]> súkromie http://www.blog.mico.sk/archives/cat_1/ osobné údaje, ich ochrana, informačná bezpečnosť a všetko čo s tým súvisí sk MICo 2008-08-25T14:32:11+02:00 http://www.blog.mico.sk/archives/2008/08/#e2008-08-24T11_13_51.txt Vyhľadávače v zornom poli ochrancov osobných údajov 2008-08-24T11:13:51+02:00 MICo súkromie, ochrana osobných údajov, Zaujímavosti
My sme však v EÚ a v tomto priestore platí „naše“ právo. Po rozum v tejto veci nemusíme cestovať do D.C., ale stačí nám zabehnúť, hoc i virtuálne, do Bruselu. Prevádzkovatelia internetových vyhľadávačov a ochrancovia osobných údajov po sebe poškuľujú nejaký ten čas. Svedčí o tom viacero dokumentov, ktoré vyprodukovali obe strany. Primárne by som však chcel predstaviť práve ten posledný z tábora ochrancov dát. Pracovná skupina článku 29 (WP29) vytvorená Smernicou 95/46/EC o ochrane jednotlivcov pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Smernica 95/46/EC) má vo vzťahu ku Komisii poradný status. O tejto skupine sa príliš nehovorí napriek tomu, že je v Európskej únii „dvorným vykladačom“ smernice a problematiky ochrany osobných údajov.

Vo svojom stanovisku k vyhľadávačom uviedli predstavitelia WP29 zaujímavé pohľady na vec. Nejde síce o nijak záväzný dokument, ale fakt, že členovia WP29 sú predsedovia úradov na ochranu osobných údajov členských štátov EÚ mu výrazne dodáva na vážnosti. Predznamenáva totiž, že v prípade prešetrovania zásahov do ochrany osobných údajov týmito dozornými orgánmi, nebudú ich rozhodnutia nejako výrazne odbáčať od filozofického smeru, ktorý si tu vytýčili. V čom je teda posledné stanovisko k vyhľadávačom prelomové? Asi tým, že bez okolkov prisudzuje pre vyhľadávače povinnosť dodržiavať Smernicu 95/46/EC (často aj keď nemajú HQ - sídlo v EÚ priestore).

Podľa toho čo sa dá zo stanoviska vyčítať sa prevádzkovatelia vyhľadávačov musia správať k informáciám, ktoré majú o používateľoch ako k osobným údajom. Nejde iba o IP adresy a koláčiky (web cookies či flash cookies), ale za zaujímavé sa považujú aj tzv. logy.

U nás (v EÚ) sa teda na vyhľadávače plne vzťahuje legislatíva ochrany osobných údajov a každý vyhľadávač ju má dodržiavať. Na okrídlenú otázku „a co z toho jako vyplývá?“ teda ešte zhrnieme pár zásad, ktoré pre každý vyhľadávač platia:

• spracúvanie osobných údajov len a len na legitímne účely
• vymazanie alebo nezvratná anonymizácia po dosiahnutí účelu
• odôvodnená dĺžka doby uchovávania údajov ako aj expirácia cookies
• rozširovanie užívateľských profilov o údaje, ktoré neposkytli samotní užívatelia len s ich súhlasom
• súhlas treba mať aj na uchovávanie individuálnej histórie vyhľadávania.


A čo používatelia? Používatelia služieb vyhľadávačov majú právo na prístup ku všetkým svojim osobným údajom, vrátane svojich profilov a histórie vyhľadávania, na ich kontrolu a v prípade potreby na ich opravu. Krížová korelácia údajov pochádzajúcich z rôznych služieb patriacich poskytovateľovi vyhľadávača sa môže uskutočniť iba vtedy, ak užívateľ dal súhlas na túto osobitnú službu.

Koho to zaujíma viac, tu je link na Stanovisko k vyhľadávačom. Určite sa k nemu však vrátim, lebo obsahuje mnoho podnetných informácií z tejto oblasti.

Diskusia a komentáre]]> http://www.blog.mico.sk/archives/2008/07/#e2008-07-24T20_49_29.txt Email - osobný údaj? 2008-07-24T20:49:29+02:00 MICo súkromie, ochrana osobných údajov, osobné údaje, zákon o ochrane osobných údajov
Osobnými údajmi sú totiž údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby...atď. A tu je kameň úrazu. Povedal by som, že emailové adresy by sme mohli rozdeliť na také, ktoré za osobné údaje možno považovať a také, ktoré by osobnými údajmi za určitých okolností nemali byť. Ale poďme sa na to pozrieť bližšie.

Kedy by mal byť email (teda emailová adresa) osobným údajom? Osobným údajom by mal byť za predpokladu, že z neho možno vyčítať meno, priezvisko a zamestnávateľa. Napríklad ministerstvá, ostatné ústredné alebo iné orgány štátnej správy a v podstate celý verejný sektor by mal používať emailové adresy v tvare meno.priezvisko@zamestnávateľ.sk. Aj keď nie všetky inštitúcie toto pravidlo dodržiavajú, z takejto emailovej adresy možno zistiť, že napríklad „Meno Priezvisko“ pracuje na úrade či ministerstve. Nepriamo ochrana týchto údajov vyplýva aj zo zákona o slobodnom prístupe k informáciám, ktorý takýto údaj umožňuje sprístupniť iba o vybranej skupine úradníkov na vedúcich či inak dôležitých postoch. U radového zamestnanca sa zachováva jeho právo na súkromie a ochranu osobných údajov a žiadne informácie o jeho osobných údajoch sa proste nesprístupňujú (pokiaľ na to nedal písomný súhlas alebo to neurčil osobitný zákon).

Nielen orgány verejnej správy, ale aj obchodné spoločnosti používajú často pre svojich zamestnancov emailovú adresu v tvare meno.priezvisko@nazov_firmy.sk a v prípadoch väčšiny takýchto spoločností je malá šanca, že by šlo o falošné meno imaginárneho zamestnanca.

V mnohých prípadoch na identifikáciu osoby postačí aj uvedenie jej mena a priezviska s dodatkom určujúcim zamestnávateľa (v tomto prípade môže byť osoba rovno z týchto údajov identifikovaná). V iných je zasa na základe týchto dát jednoduché dohľadať hoci aj na internete či v telefónnych zoznamoch (tie sú vlastne tiež na webe) adresu a telefónne číslo (dotknutá osoba by tak mohla byť identifikovateľná). Tu by som teda povedal, že skutočne je na mieste hovoriť aj o osobných údajoch.

Ak by sa však jednalo o emailovú adresu v nejakom „uletenom tvare“, ktorá vyzerá ako keby prešla cez generátor náhodných „číslo-písmenkových“ znakov (čosi ako sejasd798hhdfj565@gmail.com) a nešlo by o prípadnú prezývku notoricky spájanú s dotknutou osobou, ťažko by sa dalo hovoriť o osobných údajoch.

Toľko teda zbežne k emailovej adrese a k dileme či je alebo nie je osobným údajom. Ako som povedal na začiatku, odpoveď nie je jednoznačná a nedá sa použiť všeobecne. Keď však už dôjdeme k názoru, že nejaká emailová adresa je osobným údajov, ešte to nemusí automaticky znamenať, že sa na ňu vzťahuje zákon o ochrane osobných údajov so svojim ochranným dáždnikom..

Ale o tom snáď inokedy.

Diskusia a komentáre]]> http://www.blog.mico.sk/archives/2008/07/#e2008-07-23T15_58_05.txt RFID už dávno nie je len budúcnosť 2008-07-23T15:58:05+02:00 MICo súkromie, bezpečnosť, ochrana osobných údajov, Zaujímavosti Radio Frequency Identification – rádio frekvenčná identifikácia je technológia, ktorá si razí cestu do každodenného života nás všetkých veľmi rýchlo a bez akýchkoľvek okolkov sa hlási o slovo. Niet pochýb o tom, že môže uľahčiť život mnohých vo viacerých oblastiach ekonomického, spoločenského, kultúrneho či hocijakého iného aspektu života. Náhrada čiarových kódov, rôznych ceduliek označujúcich veci, identifikácia zvierat – toto všetko je fajn a praktické, ale...

Čo však v prípade, keď označený RFID čipom bude človek – ľudská bytosť – jednotlivec? V tomto prípade to už prestáva byť také zábavné. Využitie však má stále siahodlhý zoznam benefitov. Pacientov v nemocnici si personál už nikdy nepomýli čím odpadnú fatálne následky z náhodnej zámeny liekov (pokiaľ sú aj tieto označené), „očipované“ dieťa sa nezatúla a iné. Čo však obavy zo straty súkromia či obavy zo zásahu do práva na ochranu osobných údajov. O nositeľovi čipu je možné zaznamenávať celý rad dát, pričom báť sa nebudeme iba o dáta zaznamenané na čipe (viacero odborníkov sa predstavilo verejnosti s prekvapivo ľahkými spôsobmi ako skopírovať celý čip a vytvoriť jeho klon), ale aj o dáta, ktoré nositeľ vygeneruje svojim správaním.

Pokiaľ je čip v tovare a nie na samotnom človeku (v jeho tele) môže sa to javiť ako bezpečné. Najmä čo sa týka tovarov v obchodoch ide o pomerne zaujímavú pomôcku pri narábaní so skladovými zásobami či evidenciou tovaru prechádzajúceho cez pokladne. Hrozbou, ktorá však vie skrížiť krok súkromiu nakupujúceho môže byť napríklad spojenie tovaru s platobnou kartou kupujúceho a (v tom lepšom prípade) vytváranie nákupného profilu (čo pri niektorých citlivých druhoch tovaru môže byť zároveň aj ten horší prípad). Nepravdepodobné, že by mohlo isť o zásah do súkromia? Stačí si k tomu pridať vernostnú kartu s identifikačnými údajmi a profil je dokonalý. Už aj teraz je takéto profilovanie zákazníkov v zásade možné, pri vydávaní vernostných kariet si predajcovia nechávajú podpísať súhlas so spracúvaním osobných údajov na najrôznejšie účely. Výmenou za pár bodov a či halierové (čoskoro „milicentové“) zľavy takto majú k dispozícii unikátnu vzorku živých ľudí na marketingové či iné účely. Riziká zásahu do súkromia spočívajú aj v tom, že vzory správanie jednotlivca môžu byť zaznamenané často aj bez jeho vedomia.

Obavy z RFID vyjadrili na pôde EÚ aj šéfovia úradov na ochranu osobných údajov, ktorí ich zhrnuli do viacerých bodov – rizikovými sú pri použitím RFID:
  • získavanie informácií priamo alebo nepriamo spojených s osobnými údajmi (napr. spájanie zakúpených tovarov s kupujúcimi)
  • ukladanie údajov (napr. rôzne vstupné karty obsahujúce aj kontaktné – identifikačné údaje dotknutej osoby)
  • odhaľovanie údajov o jednotlivcoch bez použitia tradičných identifikátorov (podľa nakupovaných tovarov možno napríklad odhaliť stravovacie návyky, zdravotný stav a pod.).
Vzhľadom na pomerne širokú definíciu pojmu osobný údaj bude v každom prípade potrebné posudzovať individuálne pre jednotlivé situácie či sa na použitie technológie RFID uplatní legislatíva ochrany osobných údajov alebo nie.]]> http://www.blog.mico.sk/archives/2008/07/#e2008-07-03T10_20_32.txt V Kanade vyšetrujú FACEBOOK 2008-07-03T10:20:32+02:00 MICo súkromie, bezpečnosť, ochrana osobných údajov, osobné údaje, Zaujímavosti komisárka na ochranu súkromia (čosi ako náš ÚOOÚ SR) dostala koncom mája sťažnosť na porušenie Personal Information Protection and Electronic Documents Act a.k.a. PIPEDA (čosi ako náš zákon o ochrane osobných údajov) od skupinky študentov práva. Sťažnosť podali pod hlavičkou Canadian Internet Policy and Public Interest Clinic - CIPPIC vedení riaditeľkou tejto inštitúcie Philippou Lawson. Podľa ich analýzy FACEBOOK zlyhal v plnení viacerých požiadaviek vyplývajúcich z PIPEDA pričom:
  • nešpecifikoval každý účel, na ktorý spracúva osobné údaje jednotlivých užívateľov
  • nezískal informovaný súhlas užívateľov a neužívateľov na používanie a zverejňovanie ich osobných údajov
  • neumožnil užívateľom použiť jeho služby bez toho aby mu dali súhlas na spracúvanie osobných údajov a viaceré osobné údaje, ktoré nie sú nevyhnutné na stanovený účel
  • nezískal jednoznačný (výslovný) súhlas užívateľov na zdieľanie ich citlivých údajov
  • neumožnil užívateľom, ktorí deaktivovali svoje účty jednoduché odvolanie ich súhlasu na zdieľanie informácií
  • neobmedzil rozsah získavaných osobných údajov iba na tie údaje, ktoré sú nevyhnutné na dosiahnutie stanovených účelov ich spracúvania
  • neinformoval čestne o svojich zámeroch využiť osobné údaje aj na reklamné účely ani o úrovni vplyvu užívateľa na riadenie nastavení týkajúcich sa jeho súkromia
  • nezlikvidoval osobné údaje užívateľov, ktorí prestali využívať jeho služby
  • nezabezpečil ochranu osobných údajov užívateľov pred neautorizovaným prístupom
  • nevysvetlil politiku a procedúry poskytovania osobných údajov tretím stranám - rôznym inzerentom (poskytovateľom reklamy) či vývojárom aplikácií
čo však zrejme nie je všetko, lebo ako uvádza tlačová správa CIPPIC, študenti vo svojej 35-stranovej sťažnosti identifikovali až 22 zavinených porušení PIPEDA. To, že nejde o hon na čarodejnice podčiarkuje fakt, že niektorí zo študentov pracujúcich na tomto projekte sú zanietení používatelia obviňovanej sociálnej siete. Lisa Feinberg (jedna zo študentov pripravujúcich sťažnosť) v tlačovej správe uviedla: "Mali sme obavy, že FACEBOOK podvádza svojich užívateľov. Prezentuje sa ako sociálny nástroj, ale vykonáva tiež komerčné aktivity ako je cielená reklama. Užívateľa sa musia dozvedieť, že keď sa registrujú na FACEBOOKu, budú zdieľať svoje osobné údaje s poskytovateľmi reklamy".

Kanadské úrady (Privacy Commissioner of Canada) majú teraz rok na prešetrenie veci a sformulovanie záverov. Vzhľadom na to, že základné princípy ochrany osobných údajov sú vo veľkej miere všade rovnaké, bude zaujímavé sledovať výstupy z tejto kauzy.]]> http://www.blog.mico.sk/archives/2008/06/#e2008-06-28T07_08_58.txt Nie všetko patrí na web... 2008-06-28T07:08:58+02:00 MICo súkromie, bezpečnosť, ochrana osobných údajov, osobné údaje, zákon o ochrane osobných údajov WEB 2.0 sa už popísalo mnoho. Koncoví užívatelia - jednotlivci, ktorí boli pomerne dlho iba konzumentmi obsahu sa skokom dostali do úplne novej pozície. Začali generovať svoj vlastný obsah a publikovať ho. Túto možnosť dostali náhle a bez akéhokoľvek návodu, bez poznania všetkých dôsledkov, ktoré im môže priniesť. Prišla k nim spolu s nástupom aplikácií vytvorených práve na tento účel – dať bežnému človeku s prístupom na internet šancu a priestor na to, aby sa podelil so svojimi odbornými skúsenosťami, ale (bez ohľadu na to aký je) aj so svojim súkromným životom.

Typickým príkladom je BLOG, ktorý registrovaným užívateľom umožňuje vytvárať si internetové stránky a kŕmiť ich obsahom podľa vlastného uváženia. Takýto užívateľ spravidla podlieha povinnosti dodržiavať všeobecné podmienky portálov a odkliknutím súhlasu vezme na vedomie aj zoznam vecí, ktoré na jeho webstránku nepatria. Nikto mu však nepovie, že na web proste nemá nerozvážne uploadovať osobné údaje. Z pravidiel portálov zväčša vyplýva, že blogger nemá zverejňovať osobné údaje iných osôb bez ich súhlasu. Bloggeri si však často neuvedomujú, že opatrní by mali byť aj vo vzťahu k osobným údajom, ktoré sa týkajú ich vlastnej osoby.

Zverejňovanie osobných údajov má pomerne rozsiahle dôsledky aj do budúcna. Prakticky je to licencia na spracúvanie osobných údajov pre kohokoľvek, kto sa k nim dostane. Bez súhlasu dotknutej osoby možno osobné údaje spracúvať vtedy (okrem iného), ak sa spracúvajú už zverejnené osobné údaje. V týchto prípadoch treba osobné údaje náležite označiť a byť pripravený, že ak to bude potrebné (napr. návšteva inšpektora z UOOU SR) treba preukázať, že spracúvané osobné údaje boli už zverejnené. Domáhať sa ochrany proti spracúvaniu zverejnených údajov podľa zákona o ochrane osobných údajov je potom prinajmenšom problematické.

Táto otázka je dôležitá aj z pohľadu detských bloggerov či microbloggerov. Deti sa ešte stále zžívajú s internetom ľahšie ako ich rodičia. Otvorene pritom píšu o všetkom čo zažívajú, alebo čo ich trápi. Vytvárajú fotogalérie, uploadujú videá zo svojich mobilov, popisujú seba a svojich rodičov. Nerozlišujú medzi bežnými neškodnými informáciami a osobnými údajmi či dokonca citlivými osobnými údajmi. O tom, že takýmto správaním priťahujú pozornosť rôznych typov surferov asi netreba písať. Je samozrejme na rodičoch ako sa k tomu postavia.

Na pomoc novodobým redaktorom (bloggerom a ostatným čo publikujú online) rovnako ako aj ich (občas aj prekvapeným) rodičom prichádza viacero webov zameraných na problematiku súkromia: a určite sa nájde aj viacero iných stránok, ktoré pomôžu všetkým čo majú záujem dozvedieť sa z tejto oblasti čo najviac. V prípadoch keď práve blogger je tá osoba, ktorá píše a zverejňuje obsah, totiž nebude mať možnosť hnevať sa na niekoho iného za zverejnenie dát nepatriacich na svetlo internetu.]]> http://www.blog.mico.sk/archives/2008/06/#e2008-06-12T11_05_04.txt Malé zhrnutie - k "Dáta pripraviť! A odovzdať!" 2008-06-12T11:05:04+02:00 MICo súkromie, legislatívne pohyby článok, ku ktorému je tento malý súhrn vzbudil pomerne slušnú odozvu v mediálnych kruhoch. Hoci sa tejto téme top denníky spravidla vyhli, článok si našiel svoje miesto na viacerých zaujímavých weboch: Vďaka skutočnosti, že ho zviditeľnili portály s návštevnosťou o niekoľko rádov vyššou ako je pôvodný blog autora, problematiky sa chopili aj iní. Nasledoval seriál článkov: Ak som niečo vynechal, môžem doplniť.

Vlnu diskusie (pri uvedených článkoch, mimo nich, ale aj v médiách iných foriem) zdvihla nielen snaha polície mať prístup k dátam bez súhlasu súdu alebo prokurátora, ale aj rozširovanie právomocí polície, ktoré sú v tejto oblasti obmedzené zatiaľ len na trestné konanie a "lokalizačné tendencie".

Z toho čo sa premlelo médiami a mimo nich:
  • nesúhlas s lokalizáciami (uvidíme či aj s niečom iným) vyjadril minister spravodlivosti, čo treba vnímať vyslovene pozitívne, keďže "spravodliví" boli aj minulý rok medzi tými, ktorí podobnými snahami "ministerstva vnútorných veci" neboli nadšení
  • plus by sme mohli prirátať snáď aj generálnu prokuratúru (hoci odtiaľ sa zatiaľ nič na verejnosť nedostalo) a
  • úrad na ochranu osobných údajov (pripomienky).
Priestor mali ešte dovčera (11.6.2008) všetky inštitúcie, ktoré sa zúčastňujú na pripomienkovom konaní. Výsledky sa dozvieme, keď sa vec dostane na rokovanie vlády. Potom teda uvidíme odkiaľ vietor zafúka.]]> http://www.blog.mico.sk/archives/2008/06/#e2008-06-06T10_30_32.txt Dáta pripraviť! A odovzdať! 2008-06-06T10:30:32+02:00 MICo súkromie, legislatívne pohyby návrh novely policajného zákona. Zaujímavosťou, okrem pomerne komplexnej úpravy poskytovania informácií a osobných údajov v rámci EÚ, je hlavne novinka - nový § 33 (bod 19): „Oprávnenie na údaje vytvorené prevádzkou internetu“. Pokiaľ tento materiál prejde celú strastiplnú cestu procesu normotvorby bez zásadných zmien bude si môcť policajt pri plnení všetkých svojich úloh určených policajným zákonom pýtať od prevádzkovateľa web servera a poskytovateľa pripojenia do internetu tzv. logovacie súbory.

Okrem logov si však policajt bude môcť k plneniu vybraných úloh vypýtať aj informácie (=čokoľvek) a osobné údaje ich klientov. Rozsah osobných údajov, ktoré bude môcť policajt takto požadovať je obmedzený na meno, priezvisko, rodné číslo, dátum a miesto narodenia a adresa pobytu.

Pri kých vybraných úlohách by mal mať policajt takéto oprávnenia?
  • ochrana života, zdravia, osobnej slobody a bezpečnosti osôb a ochrana majetku,
  • odhaľovanie trestných činov a zisťovanie ich páchateľov,
  • odhaľovanie daňových únikov, nezákonných finančných operácií a legalizácie príjmov z trestnej činnosti,
  • vyšetrovanie o trestných činoch
  • boj proti terorizmu a organizovanému zločinu,
  • zaistenie osobnej bezpečnosti prezidenta, premiéra a iných vybraných osôb,
  • ochrana vybraných objektov,
  • odhaľovanie priestupkov a zisťovanie ich páchateľov,
  • pátranie po osobách a pátranie po veciach,
  • poskytovanie ochrany a pomoci ohrozenému svedkovi a chránenému svedkovi,
  • kriminalisticko-expertízna a znalecká činnosť.
Navrhovaná úprava by podľa dôvodovej správy mala policajtom pomôcť v boji proti detskej pornografii, softvérovému pirátstvu, útokom hackerov, poplašným správam či ohováraniu. Aj za súčasného stavu je však možné dostať sa k týmto údajom a donútiť prevádzkovateľa web servera a poskytovateľa internetového pripojenia dáta vydať. Proces je však zložitejší lebo je naviazaný na súhlas predsedu senátu súdu alebo prokurátora. Takýto postup sa policajtom zrejme javí ako pomalý a neefektívny.

Nie je to prvýkrát čo sa Ministerstvo vnútra pokúša o čosi podobné. Pokus zbaviť sa súhlasu súdu či prokurátora tu bol aj minulý rok. Schovaný bol za harmonizačnú novelu zákona o elektronických komunikáciách. Vtedy sa voči týmto snahám postavilo Ministerstvo spravodlivosti, generálny prokurátor, ale aj Úrad na ochranu osobných údajov. Skončilo to ústupom, na ktorý „vnútráci“ zavelili, hoci v médiách sa nechali počuť, že to skúsia inou cestou.

Zdá sa teda, že „cesta“ je na svete. Uvidíme či bude zarúbaná ochrancami základných ľudských práv a slobôd alebo sa to ministerstvu na druhýkrát podarí.]]>