]> bezpečnosť http://www.blog.mico.sk/archives/cat_4/ osobné údaje, ich ochrana, informačná bezpečnosť a všetko čo s tým súvisí sk MICo 2008-04-16T08:48:32+02:00 http://www.blog.mico.sk/archives/2008/04/#e2008-04-16T08_37_11.txt Údaje o leteckých pasažieroch (PNR) na programe dňa 2008-04-16T08:37:11+02:00 MICo bezpečnosť, ochrana osobných údajov, osobné údaje monitorovanú societu ? Možno áno... Nasvedčuje tomu napríklad aj Návrh RÁMCOVÉHO ROZHODNUTIA RADY o využívaní osobných záznamov o cestujúcich (PNR) na účely presadzovania práva momentálne predložený na medzirezortné pripomienkové konanie. Odhliadnuc od toho, že už pomerne dlho funguje PNR zmluva EÚ s USA, ide o ďalší zásah do ochrany súkromia dotknutých osôb, ktorých údaje budú spracúvané na iný ako pôvodný účel.

Ako hovorí samotný návrh rámcového rozhodnutia - Údaje PNR sú vzhľadom na informácie, ktoré obsahujú, vhodné na účel predchádzania teroristickým trestným činnom a organizovanej trestnej činnosti a na boj proti nim a teda na zvýšenie vnútornej bezpečnosti.

Aby sme nehovorili o niečom abstraktnom, PNR požadované v návrhu od leteckých spoločností by mali obsahovať:
  • Lokalizačný záznam PNR („PNR record locator“)
  • Dátum rezervácie/vystavenia letenky
  • Termín(-y) plánovanej cesty
  • Meno(-á)
  • Adresa a kontaktné informácie (telefónne číslo, e-mailová adresa)
  • Informácie o všetkých spôsoboch platby, vrátane fakturačnej adresy
  • Celý priebeh cesty v prípade konkrétneho PNR
  • Informácie o častých cestujúcich („Frequent flyer“)
  • Cestovná kancelária/zástupca cestovnej kancelárie
  • Štádium cesty dotknutej osoby, vrátane potvrdení odletu, stavu odbavenia („check-in“), informácií o prípadoch, kedy sa osoba nedostavila k odletu (no show) alebo informácií o prípadoch, kedy sa dostavila bez rezervácie („go show“)
  • Oddelené/rozdelené PNR
  • Všeobecné poznámky (okrem citlivých informácií)
  • Informácie o vystavení letenky, vrátane čísla letenky, dátumu vystavenia letenky a jednosmerných leteniek, údajov zaznamenaných v rámci automatizovaného výpočtu cestovného („Automated Ticket Fare Quote“)
  • Číslo sedadla a ostatné informácie týkajúce sa sedadla
  • Kód na zdieľanie informácií
  • Všetky informácie o batožine
  • Počet a ďalšie mená cestujúcich v rámci jedného PNR
  • Akékoľvek iné zhromaždené informácie API (Advance Passenger Information - údaje o cestujúcich získavané pred cestou podľa smernice 2004/82/ES)
  • Všetky doterajšie zmeny v údajoch PNR uvedených v predchádzajúcich bodoch
Výpočet by však nebol úplný bez dodatočných údajov za neplnoleté osoby mladšie ako 18 rokov, cestujúce bez sprievodu:
  • Meno a pohlavie dieťaťa
  • Vek
  • Jazyk(-y), ktorým(-i) hovorí
  • Meno a kontaktné údaje opatrovníka pri odlete a vzťah k dieťaťu
  • Meno a kontaktné údaje opatrovníka pri prílete a vzťah k dieťaťu
  • Zástupca pri odlete a prílete
Podľa zhodnotenia iniciatívy Úradom na ochranu osobných údajov SR, komisia navrhuje, aby leteckí prepravcovia sprístupňovali údaje týkajúce sa príletov do EÚ a odletov z EÚ prostredníctvom špecializovaného vnútroštátneho útvaru (PIU - Passenger Information Unit). PIU by vykonával hodnotenie rizík a identifikáciu ľudí, ktorí budú podrobení vyšetrovaniu pri príchode/odchode do/z členského štátu EÚ a následne by takto zozbierané osobné údaje poskytoval podľa potreby zatiaľ nezverejnenému okruhu inštitúcii, ktoré si určia jednotlivé členské štáty. Patriť sem však podľa návrhu musia orgány zodpovedné za predchádzanie teroristickým trestným činom a organizovanej trestnej činnosti a boj proti nim.

Hoci aj v kruhoch európskych inštitúcií zaoberajúcich sa ochranou súkromia a osobných údajov (stanovisko k návrhu Pracovnej skupiny podľa článku 29 - WP29 a vyjadrenia Európskeho dozorného úradníka pre ochranu údajov všeobecne k PNR - EDPS) jasne vidieť výrazné obavy, prijatie bude s najväčšou pravdepodobnosťou neodvratné. V prípadoch ako je tento je totiž nanajvýš zložité hľadať rovnováhou medzi právom na súkromie a právom na bezpečnosť.]]> http://www.blog.mico.sk/archives/2008/04/#e2008-04-11T10_30_59.txt O Národnej koncepcii informatizácie verejnej správy 2008-04-11T10:30:59+02:00 MICo informatizácia, bezpečnosť, ochrana osobných údajov Národnej koncepcii informatizácie verejnej správy sa už napriek jej nedávnemu zverejneniu popísalo pomerne dosť. Niektoré servery a bloggeri stihli okomentovať nielen jej pozitíva, ale aj hrozby, ktoré sa za ňou zakrádajú.

Mnohých možno poteší, že v rámci e-Governmentu bude možné využívať open-source software a stavať by sa malo aj na otvorených štandardoch. Hlása sa tu technologická a softvérová neutralita, takže by v budúcnosti nemalo dochádzať k závislosti na monopolných dodávateľoch.

Plusy pre občana by mali byť zrejmé na prvý pohľad, a tak hľadíme vpred a už teraz sa môžeme tešiť na:

  • služby typu jedenkrát a dosť (pri zmene údajov – priezvisko či adresa - ich stačí nahlásiť len raz)
  • služby riadené udalosťami (niektoré veci by sa konečne mohli diať aj bez toho, aby si ich človek musel odsledovať) - systém by mal napr. notifikovať držiteľa dokladov, že ich platnosť čoskoro vyprší
  • spätnú väzbu
  • dostupnosť 24/7
  • minimalizáciu návštev úradov (úplné odbúranie chodenia po úradoch je však sci-fi)
  • user friedly interface (bez neho informatizácia nemá absolútne žiadny zmysel)

Ďalšia vec, ktorá síce mnohých veľmi neočarí, ale čaká sa na ňu už dlhú dobu, je IFO (identifikátor fyzickej osoby). Konečne by sa malo obmedziť používanie rodného čísla a vo sférach digitálnych by mal byť podporený koncept jednoznačného bezvýznamového identifikátora. Podobné snahy boli známe už v roku 2005 avšak nanešťastie smerovali výrazne dostratena.

Ako je však možné popreklápať dáta len tak zo starých databáz do nových? Nejde len o technickú stránku. Podľa koncepcie by mali byť vytvorené viaceré informačné systémy (register fyzických osôb, register právnických osôb, kataster a register adries), do ktorých by mali byť posúvané údaje z existujúcich databáz (z matrík, obcí, súdov a pod.). V mnohých prípadoch tak môže dôjsť k zmene účelu spracúvania osobných údajov, alebo k poskytovaniu údajov takým inštitúciám verejnej správy, pri ktorých to zákony nepredpokladali. Bez analýzy právneho podhubia (zákonov, ktoré oprávňujú orgány verejnej správy spracúvať osobné údaje) a bez primeranej lavíny novelizácií (čo by mohlo podobné konanie legalizovať v očiach ochrany osobných údajov) sa tvorcovia koncepcie nepohnú ani o krok. Snáď o tom kompetentní vedia.

Tŕňom v oku každého odborníka však zostáva bezpečnosť. Povinnosť chrániť osobné údaje a postarať sa o ich bezpečnosť síce vyplýva z existujúcej legislatívy, ale dosiahnutie primeranej bezpečnosti môže byť v prostredí verejnej správy problematické z viacerých dôvodov (nedostatok kvalitných ľudí demonštroval hlavne Národný bezpečnostný úrad v nezabudnuteľnej afére, ktorú v tejto súvislosti pripomína každý, kto sa k téme vyjadruje).

Nedá sa ešte nespomenúť veta, ktorá bola v súvislosti so zabezpečením informačných systémov prorocky spomenutá na viacerých miestach:

Nespomínam si, že by zákon o ochrane osobných údajov v súčasnom znení šiel až do takej úrovni detailov, že by postihol aj prípad cacheovania osobných údajov, takže (pokiaľ sa medzitým nezmení) sa črtajú zaujímavé dôsledky.

Prezentoval sa ňou J. Vyskoč na svojom blogu a prevzatá bola aj redaktorom zive.sk. Pripomenúť tu snáď treba len, že zákon spravidla neupravuje technické detaily, ale problematiku má pokrývať všeobecne. Akékoľvek dáta v cache, prípadne zálohy (cacheovanie a zálohovanie osobných údajov sú operácie zahrnuté do pojmu spracúvanie osobných údajov) obsahujúce osobné údaje podliehajú aj v tomto prípade zákonnej ochrane. A pokiaľ sú opatrenia zabezpečujúce informačný systém prijaté vo forme bezpečnostného projektu, treba tam zahrnúť aj cache a zálohy.

V tejto chvíli treba asi už len počkať, ako sa všetko okolo informatizácie vyvinie. Predbežne sa však zdá, že Slovenská verejná sprava kráča (či je to smer dobrý, zistíme časom).

]]>