MICo's blog

Čo so spamom v skutočnej poštovej schránke?

MICo — 2009-02-14T19:07:41+01:00

Každý sa už aspoň raz stretol s prípadom, keď si vo svojej (skutočnej) poštovej schránke objavil záhadnú zásielku s veľkým nápisom: „VYHRALI STE“. Takéto zásielky obsahujúce reklamné informácie ako aj oznámenia o miliónovej výhre adresáta spamujú naše poštové schránky pomerne často. Adresované sú spravidla konkrétnej osobe, pričom na obálke sú uvedené údaje potrebné na doručenie zásielky. Ide o meno, priezvisko a adresu, prípadne aj titul osoby, ktorá je zásielkou oslovovaná. Kto sú však tieto záhadné firmy ponúkajúce fantastický nákup či astronomické výhry?

Odosielateľom je vo väčšine prípadov spoločnosť zaoberajúca sa tzv. priamym marketingom pričom cielene oslovuje konkrétne osoby. Takáto firma disponuje rozsiahlymi databázami, ktoré obsahujú osobné údaje mnohých dotknutých osôb. Nikto nemusí loviť v pamäti kedy komu dal súhlas ich spracúvanie. Pokiaľ je rozsah údajov obmedzený iba na titul, meno, priezvisko a adresu a ich využitie je určené výhradne pre potreby prevádzkovateľa (teda spomínanej firmy) v poštovom styku s dotknutou osobou (s nami) a evidencie týchto údajov – súhlas nie je potrebný. Nehovoriac o tom, že firmy s priamym marketingom v predmete činnosti si môžu svoje databázy osobných údajov vymieňať, dopĺňať a opravovať (proste poskytovať spôsobom aký si vyberú).

Sme však preto rukojemníci? Dá sa dostať von z tohto kolotoča? Odpoveď znie „ÁNO“, ale treba preto aj niečo urobiť. Zákon o ochrane osobných údajov nás nenecháva úplne bezbranných. Očakáva však aktívny prístup každého, kto sa chce zbaviť tohto poštového spamu. V ruke každého z nás je nástroj, ktorý nám má napomôcť k zabráneniu používania našich údajov na tieto účely. Ide o námietku, ktorá patrí medzi základné práva dotknutých osôb v kontexte ochrany osobných údajov.

Namietať, a to najlepšie doporučeným listom (aby sme mali dôkaz v podobe podacieho lístka na pošte a kópie listu), možno proti:

spracúvaniu jej osobných údajov, o ktorých predpokladá, že sú alebo budú spracúvané na účely priameho marketingu bez jej súhlasu a žiadať ich likvidáciu,
využívaniu osobných údajov (titul, meno, priezvisko, adresa = t, m, p, a) na účely priameho marketingu v poštovom styku, alebo
poskytovaniu osobných údajov (t, m, p, a) na účely priameho marketingu.

Zdá sa to byť zložité? Nie... Stačí napísať: „Podľa § 20 odsek 3 zákona č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov namietam proti..." (a jednu z tých troch možností uvedených vyššie – vlastne možno uviesť podľa potreby trebárs aj všetky tri :-) ). Odosielateľ by mal so svojím pozdravom našich poštových schránok skončiť.

Pre prípad, že by sa tak nestalo máme už spomínaný podací lístok a kópiu listu s námietkou. Tieto dokumenty môžeme priložiť k oznámeniu o porušení zákona o ochrane osobných údajov, ktoré možno podať na Úrade na ochranu osobných údajov SR.

Diskusia a komentáre...

Vyhľadávače v zornom poli ochrancov osobných údajov

MICo — 2008-08-24T11:13:51+01:00

Po webe možno nájsť hromadu diskusií o tom čo sú osobné údaje a čo nie, rovnako ako aj diskusie o tom aké informácie o svojich používateľoch vyhľadávače zbierajú. No a občas sa nájde aj nejaký odvážlivec, ktorý tieto dve témy spojí dokopy a zamyslí sa nad tým či informácie o požívateľoch, ktoré „buldozérom“ vyhľadávače zhŕňajú do svojich skladov, kde ich do úmoru podrobujú analýzam, možno považovať za osobné údaje alebo skutočne nie. Je však evidentné, že to vôbec nie je jednoduché skonštatovať. Názory sa totiž líšia nielen v závislosti od toho z akého tábora pochádza odvážlivec (vyhľadávače alebo ochrancovia dát), ale aj od toho či je ochranca dát z USA alebo z EÚ. Pohľady na ochranu osobných údajov v týchto dvoch regiónoch vykazujú výrazné rozdiely a vďaka tomu si tieto dva „data protection gangy“ občas nevedia prísť na meno. Jedna strana nepovažuje úroveň ochrany osobných údajov druhej za dostatočnú a tá druhá si „pre zmenu“ to isté myslí o tej prvej.

My sme však v EÚ a v tomto priestore platí „naše“ právo. Po rozum v tejto veci nemusíme cestovať do D.C., ale stačí nám zabehnúť, hoc i virtuálne, do Bruselu. Prevádzkovatelia internetových vyhľadávačov a ochrancovia osobných údajov po sebe poškuľujú nejaký ten čas. Svedčí o tom viacero dokumentov, ktoré vyprodukovali obe strany. Primárne by som však chcel predstaviť práve ten posledný z tábora ochrancov dát. Pracovná skupina článku 29 (WP29) vytvorená Smernicou 95/46/EC o ochrane jednotlivcov pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Smernica 95/46/EC) má vo vzťahu ku Komisii poradný status. O tejto skupine sa príliš nehovorí napriek tomu, že je v Európskej únii „dvorným vykladačom“ smernice a problematiky ochrany osobných údajov.

Vo svojom stanovisku k vyhľadávačom uviedli predstavitelia WP29 zaujímavé pohľady na vec. Nejde síce o nijak záväzný dokument, ale fakt, že členovia WP29 sú predsedovia úradov na ochranu osobných údajov členských štátov EÚ mu výrazne dodáva na vážnosti. Predznamenáva totiž, že v prípade prešetrovania zásahov do ochrany osobných údajov týmito dozornými orgánmi, nebudú ich rozhodnutia nejako výrazne odbáčať od filozofického smeru, ktorý si tu vytýčili. V čom je teda posledné stanovisko k vyhľadávačom prelomové? Asi tým, že bez okolkov prisudzuje pre vyhľadávače povinnosť dodržiavať Smernicu 95/46/EC (často aj keď nemajú HQ - sídlo v EÚ priestore).

Podľa toho čo sa dá zo stanoviska vyčítať sa prevádzkovatelia vyhľadávačov musia správať k informáciám, ktoré majú o používateľoch ako k osobným údajom. Nejde iba o IP adresy a koláčiky (web cookies či flash cookies), ale za zaujímavé sa považujú aj tzv. logy.

U nás (v EÚ) sa teda na vyhľadávače plne vzťahuje legislatíva ochrany osobných údajov a každý vyhľadávač ju má dodržiavať. Na okrídlenú otázku „a co z toho jako vyplývá?“ teda ešte zhrnieme pár zásad, ktoré pre každý vyhľadávač platia:

• spracúvanie osobných údajov len a len na legitímne účely
• vymazanie alebo nezvratná anonymizácia po dosiahnutí účelu
• odôvodnená dĺžka doby uchovávania údajov ako aj expirácia cookies
• rozširovanie užívateľských profilov o údaje, ktoré neposkytli samotní užívatelia len s ich súhlasom
• súhlas treba mať aj na uchovávanie individuálnej histórie vyhľadávania.

A čo používatelia? Používatelia služieb vyhľadávačov majú právo na prístup ku všetkým svojim osobným údajom, vrátane svojich profilov a histórie vyhľadávania, na ich kontrolu a v prípade potreby na ich opravu. Krížová korelácia údajov pochádzajúcich z rôznych služieb patriacich poskytovateľovi vyhľadávača sa môže uskutočniť iba vtedy, ak užívateľ dal súhlas na túto osobitnú službu.

Koho to zaujíma viac, tu je link na Stanovisko k vyhľadávačom. Určite sa k nemu však vrátim, lebo obsahuje mnoho podnetných informácií z tejto oblasti.

Diskusia a komentáre

Email - osobný údaj?

MICo — 2008-07-24T20:49:29+01:00

Viackrát som dostal otázku o tom či si myslím, že emailová adresa je osobným údajom alebo nie. Rozhodol som sa preto týmto smerom pohnať najnovší príspevok na blog. Neviem či sa mi však podarí uspokojiť všetkých zvedavcov, lebo na túto otázku podľa môjho názoru nie jej jednoznačná odpoveď. Prečo je tomu podľa mňa tak?

Osobnými údajmi sú totiž údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby...atď. A tu je kameň úrazu. Povedal by som, že emailové adresy by sme mohli rozdeliť na také, ktoré za osobné údaje možno považovať a také, ktoré by osobnými údajmi za určitých okolností nemali byť. Ale poďme sa na to pozrieť bližšie.

Kedy by mal byť email (teda emailová adresa) osobným údajom? Osobným údajom by mal byť za predpokladu, že z neho možno vyčítať meno, priezvisko a zamestnávateľa. Napríklad ministerstvá, ostatné ústredné alebo iné orgány štátnej správy a v podstate celý verejný sektor by mal používať emailové adresy v tvare meno.priezvisko@zamestnávateľ.sk. Aj keď nie všetky inštitúcie toto pravidlo dodržiavajú, z takejto emailovej adresy možno zistiť, že napríklad „Meno Priezvisko“ pracuje na úrade či ministerstve. Nepriamo ochrana týchto údajov vyplýva aj zo zákona o slobodnom prístupe k informáciám, ktorý takýto údaj umožňuje sprístupniť iba o vybranej skupine úradníkov na vedúcich či inak dôležitých postoch. U radového zamestnanca sa zachováva jeho právo na súkromie a ochranu osobných údajov a žiadne informácie o jeho osobných údajoch sa proste nesprístupňujú (pokiaľ na to nedal písomný súhlas alebo to neurčil osobitný zákon).

Nielen orgány verejnej správy, ale aj obchodné spoločnosti používajú často pre svojich zamestnancov emailovú adresu v tvare meno.priezvisko@nazov_firmy.sk a v prípadoch väčšiny takýchto spoločností je malá šanca, že by šlo o falošné meno imaginárneho zamestnanca.

V mnohých prípadoch na identifikáciu osoby postačí aj uvedenie jej mena a priezviska s dodatkom určujúcim zamestnávateľa (v tomto prípade môže byť osoba rovno z týchto údajov identifikovaná). V iných je zasa na základe týchto dát jednoduché dohľadať hoci aj na internete či v telefónnych zoznamoch (tie sú vlastne tiež na webe) adresu a telefónne číslo (dotknutá osoba by tak mohla byť identifikovateľná). Tu by som teda povedal, že skutočne je na mieste hovoriť aj o osobných údajoch.

Ak by sa však jednalo o emailovú adresu v nejakom „uletenom tvare“, ktorá vyzerá ako keby prešla cez generátor náhodných „číslo-písmenkových“ znakov (čosi ako sejasd798hhdfj565@gmail.com) a nešlo by o prípadnú prezývku notoricky spájanú s dotknutou osobou, ťažko by sa dalo hovoriť o osobných údajoch.

Toľko teda zbežne k emailovej adrese a k dileme či je alebo nie je osobným údajom. Ako som povedal na začiatku, odpoveď nie je jednoznačná a nedá sa použiť všeobecne. Keď však už dôjdeme k názoru, že nejaká emailová adresa je osobným údajov, ešte to nemusí automaticky znamenať, že sa na ňu vzťahuje zákon o ochrane osobných údajov so svojim ochranným dáždnikom..

Ale o tom snáď inokedy.

Diskusia a komentáre

RFID už dávno nie je len budúcnosť

MICo — 2008-07-23T15:58:05+01:00

RFID je zvláštny fenomén modernej doby. Radio Frequency Identification – rádio frekvenčná identifikácia je technológia, ktorá si razí cestu do každodenného života nás všetkých veľmi rýchlo a bez akýchkoľvek okolkov sa hlási o slovo. Niet pochýb o tom, že môže uľahčiť život mnohých vo viacerých oblastiach ekonomického, spoločenského, kultúrneho či hocijakého iného aspektu života. Náhrada čiarových kódov, rôznych ceduliek označujúcich veci, identifikácia zvierat – toto všetko je fajn a praktické, ale...

Čo však v prípade, keď označený RFID čipom bude človek – ľudská bytosť – jednotlivec? V tomto prípade to už prestáva byť také zábavné. Využitie však má stále siahodlhý zoznam benefitov. Pacientov v nemocnici si personál už nikdy nepomýli čím odpadnú fatálne následky z náhodnej zámeny liekov (pokiaľ sú aj tieto označené), „očipované“ dieťa sa nezatúla a iné. Čo však obavy zo straty súkromia či obavy zo zásahu do práva na ochranu osobných údajov. O nositeľovi čipu je možné zaznamenávať celý rad dát, pričom báť sa nebudeme iba o dáta zaznamenané na čipe (viacero odborníkov sa predstavilo verejnosti s prekvapivo ľahkými spôsobmi ako skopírovať celý čip a vytvoriť jeho klon), ale aj o dáta, ktoré nositeľ vygeneruje svojim správaním.

Pokiaľ je čip v tovare a nie na samotnom človeku (v jeho tele) môže sa to javiť ako bezpečné. Najmä čo sa týka tovarov v obchodoch ide o pomerne zaujímavú pomôcku pri narábaní so skladovými zásobami či evidenciou tovaru prechádzajúceho cez pokladne. Hrozbou, ktorá však vie skrížiť krok súkromiu nakupujúceho môže byť napríklad spojenie tovaru s platobnou kartou kupujúceho a (v tom lepšom prípade) vytváranie nákupného profilu (čo pri niektorých citlivých druhoch tovaru môže byť zároveň aj ten horší prípad). Nepravdepodobné, že by mohlo isť o zásah do súkromia? Stačí si k tomu pridať vernostnú kartu s identifikačnými údajmi a profil je dokonalý. Už aj teraz je takéto profilovanie zákazníkov v zásade možné, pri vydávaní vernostných kariet si predajcovia nechávajú podpísať súhlas so spracúvaním osobných údajov na najrôznejšie účely. Výmenou za pár bodov a či halierové (čoskoro „milicentové“) zľavy takto majú k dispozícii unikátnu vzorku živých ľudí na marketingové či iné účely. Riziká zásahu do súkromia spočívajú aj v tom, že vzory správanie jednotlivca môžu byť zaznamenané často aj bez jeho vedomia.

Obavy z RFID vyjadrili na pôde EÚ aj šéfovia úradov na ochranu osobných údajov, ktorí ich zhrnuli do viacerých bodov – rizikovými sú pri použitím RFID:

získavanie informácií priamo alebo nepriamo spojených s osobnými údajmi (napr. spájanie zakúpených tovarov s kupujúcimi)
ukladanie údajov (napr. rôzne vstupné karty obsahujúce aj kontaktné – identifikačné údaje dotknutej osoby)
odhaľovanie údajov o jednotlivcoch bez použitia tradičných identifikátorov (podľa nakupovaných tovarov možno napríklad odhaliť stravovacie návyky, zdravotný stav a pod.).

Vzhľadom na pomerne širokú definíciu pojmu osobný údaj bude v každom prípade potrebné posudzovať individuálne pre jednotlivé situácie či sa na použitie technológie RFID uplatní legislatíva ochrany osobných údajov alebo nie.

V Kanade vyšetrujú FACEBOOK

MICo — 2008-07-03T10:20:32+01:00

Kanadská komisárka na ochranu súkromia (čosi ako náš ÚOOÚ SR) dostala koncom mája sťažnosť na porušenie Personal Information Protection and Electronic Documents Act a.k.a. PIPEDA (čosi ako náš zákon o ochrane osobných údajov) od skupinky študentov práva. Sťažnosť podali pod hlavičkou Canadian Internet Policy and Public Interest Clinic - CIPPIC vedení riaditeľkou tejto inštitúcie Philippou Lawson. Podľa ich analýzy FACEBOOK zlyhal v plnení viacerých požiadaviek vyplývajúcich z PIPEDA pričom:

nešpecifikoval každý účel, na ktorý spracúva osobné údaje jednotlivých užívateľov
nezískal informovaný súhlas užívateľov a neužívateľov na používanie a zverejňovanie ich osobných údajov
neumožnil užívateľom použiť jeho služby bez toho aby mu dali súhlas na spracúvanie osobných údajov a viaceré osobné údaje, ktoré nie sú nevyhnutné na stanovený účel
nezískal jednoznačný (výslovný) súhlas užívateľov na zdieľanie ich citlivých údajov
neumožnil užívateľom, ktorí deaktivovali svoje účty jednoduché odvolanie ich súhlasu na zdieľanie informácií
neobmedzil rozsah získavaných osobných údajov iba na tie údaje, ktoré sú nevyhnutné na dosiahnutie stanovených účelov ich spracúvania
neinformoval čestne o svojich zámeroch využiť osobné údaje aj na reklamné účely ani o úrovni vplyvu užívateľa na riadenie nastavení týkajúcich sa jeho súkromia
nezlikvidoval osobné údaje užívateľov, ktorí prestali využívať jeho služby
nezabezpečil ochranu osobných údajov užívateľov pred neautorizovaným prístupom
nevysvetlil politiku a procedúry poskytovania osobných údajov tretím stranám - rôznym inzerentom (poskytovateľom reklamy) či vývojárom aplikácií

čo však zrejme nie je všetko, lebo ako uvádza tlačová správa CIPPIC, študenti vo svojej 35-stranovej sťažnosti identifikovali až 22 zavinených porušení PIPEDA. To, že nejde o hon na čarodejnice podčiarkuje fakt, že niektorí zo študentov pracujúcich na tomto projekte sú zanietení používatelia obviňovanej sociálnej siete. Lisa Feinberg (jedna zo študentov pripravujúcich sťažnosť) v tlačovej správe uviedla: "Mali sme obavy, že FACEBOOK podvádza svojich užívateľov. Prezentuje sa ako sociálny nástroj, ale vykonáva tiež komerčné aktivity ako je cielená reklama. Užívateľa sa musia dozvedieť, že keď sa registrujú na FACEBOOKu, budú zdieľať svoje osobné údaje s poskytovateľmi reklamy".

Kanadské úrady (Privacy Commissioner of Canada) majú teraz rok na prešetrenie veci a sformulovanie záverov. Vzhľadom na to, že základné princípy ochrany osobných údajov sú vo veľkej miere všade rovnaké, bude zaujímavé sledovať výstupy z tejto kauzy.

Nie všetko patrí na web...

MICo — 2008-06-28T07:08:58+01:00

O WEB 2.0 sa už popísalo mnoho. Koncoví užívatelia - jednotlivci, ktorí boli pomerne dlho iba konzumentmi obsahu sa skokom dostali do úplne novej pozície. Začali generovať svoj vlastný obsah a publikovať ho. Túto možnosť dostali náhle a bez akéhokoľvek návodu, bez poznania všetkých dôsledkov, ktoré im môže priniesť. Prišla k nim spolu s nástupom aplikácií vytvorených práve na tento účel – dať bežnému človeku s prístupom na internet šancu a priestor na to, aby sa podelil so svojimi odbornými skúsenosťami, ale (bez ohľadu na to aký je) aj so svojim súkromným životom.

Typickým príkladom je BLOG, ktorý registrovaným užívateľom umožňuje vytvárať si internetové stránky a kŕmiť ich obsahom podľa vlastného uváženia. Takýto užívateľ spravidla podlieha povinnosti dodržiavať všeobecné podmienky portálov a odkliknutím súhlasu vezme na vedomie aj zoznam vecí, ktoré na jeho webstránku nepatria. Nikto mu však nepovie, že na web proste nemá nerozvážne uploadovať osobné údaje. Z pravidiel portálov zväčša vyplýva, že blogger nemá zverejňovať osobné údaje iných osôb bez ich súhlasu. Bloggeri si však často neuvedomujú, že opatrní by mali byť aj vo vzťahu k osobným údajom, ktoré sa týkajú ich vlastnej osoby.

Zverejňovanie osobných údajov má pomerne rozsiahle dôsledky aj do budúcna. Prakticky je to licencia na spracúvanie osobných údajov pre kohokoľvek, kto sa k nim dostane. Bez súhlasu dotknutej osoby možno osobné údaje spracúvať vtedy (okrem iného), ak sa spracúvajú už zverejnené osobné údaje. V týchto prípadoch treba osobné údaje náležite označiť a byť pripravený, že ak to bude potrebné (napr. návšteva inšpektora z UOOU SR) treba preukázať, že spracúvané osobné údaje boli už zverejnené. Domáhať sa ochrany proti spracúvaniu zverejnených údajov podľa zákona o ochrane osobných údajov je potom prinajmenšom problematické.

Táto otázka je dôležitá aj z pohľadu detských bloggerov či microbloggerov. Deti sa ešte stále zžívajú s internetom ľahšie ako ich rodičia. Otvorene pritom píšu o všetkom čo zažívajú, alebo čo ich trápi. Vytvárajú fotogalérie, uploadujú videá zo svojich mobilov, popisujú seba a svojich rodičov. Nerozlišujú medzi bežnými neškodnými informáciami a osobnými údajmi či dokonca citlivými osobnými údajmi. O tom, že takýmto správaním priťahujú pozornosť rôznych typov surferov asi netreba písať. Je samozrejme na rodičoch ako sa k tomu postavia.

Na pomoc novodobým redaktorom (bloggerom a ostatným čo publikujú online) rovnako ako aj ich (občas aj prekvapeným) rodičom prichádza viacero webov zameraných na problematiku súkromia:

Bezpečne na internete - jednoducho o bezpečnosti na internete
Projekt OOU - niečo k ochrane osobných údajov
Zodpovedne.sk - rovnako nabáda k ostražitosti
Cookie.sk - čo to povie aj televízia

a určite sa nájde aj viacero iných stránok, ktoré pomôžu všetkým čo majú záujem dozvedieť sa z tejto oblasti čo najviac. V prípadoch keď práve blogger je tá osoba, ktorá píše a zverejňuje obsah, totiž nebude mať možnosť hnevať sa na niekoho iného za zverejnenie dát nepatriacich na svetlo internetu.

Údaje o leteckých pasažieroch (PNR) na programe dňa

MICo — 2008-04-16T08:37:11+01:00

Kráča Európska únia pomaličky k tomu, že ju bolo možné považovať za monitorovanú societu ? Možno áno... Nasvedčuje tomu napríklad aj Návrh RÁMCOVÉHO ROZHODNUTIA RADY o využívaní osobných záznamov o cestujúcich (PNR) na účely presadzovania práva momentálne predložený na medzirezortné pripomienkové konanie. Odhliadnuc od toho, že už pomerne dlho funguje PNR zmluva EÚ s USA, ide o ďalší zásah do ochrany súkromia dotknutých osôb, ktorých údaje budú spracúvané na iný ako pôvodný účel.

Ako hovorí samotný návrh rámcového rozhodnutia - Údaje PNR sú vzhľadom na informácie, ktoré obsahujú, vhodné na účel predchádzania teroristickým trestným činnom a organizovanej trestnej činnosti a na boj proti nim a teda na zvýšenie vnútornej bezpečnosti.

Aby sme nehovorili o niečom abstraktnom, PNR požadované v návrhu od leteckých spoločností by mali obsahovať:

Lokalizačný záznam PNR („PNR record locator“)
Dátum rezervácie/vystavenia letenky
Termín(-y) plánovanej cesty
Meno(-á)
Adresa a kontaktné informácie (telefónne číslo, e-mailová adresa)
Informácie o všetkých spôsoboch platby, vrátane fakturačnej adresy
Celý priebeh cesty v prípade konkrétneho PNR
Informácie o častých cestujúcich („Frequent flyer“)
Cestovná kancelária/zástupca cestovnej kancelárie
Štádium cesty dotknutej osoby, vrátane potvrdení odletu, stavu odbavenia („check-in“), informácií o prípadoch, kedy sa osoba nedostavila k odletu (no show) alebo informácií o prípadoch, kedy sa dostavila bez rezervácie („go show“)
Oddelené/rozdelené PNR
Všeobecné poznámky (okrem citlivých informácií)
Informácie o vystavení letenky, vrátane čísla letenky, dátumu vystavenia letenky a jednosmerných leteniek, údajov zaznamenaných v rámci automatizovaného výpočtu cestovného („Automated Ticket Fare Quote“)
Číslo sedadla a ostatné informácie týkajúce sa sedadla
Kód na zdieľanie informácií
Všetky informácie o batožine
Počet a ďalšie mená cestujúcich v rámci jedného PNR
Akékoľvek iné zhromaždené informácie API (Advance Passenger Information - údaje o cestujúcich získavané pred cestou podľa smernice 2004/82/ES)
Všetky doterajšie zmeny v údajoch PNR uvedených v predchádzajúcich bodoch

Výpočet by však nebol úplný bez dodatočných údajov za neplnoleté osoby mladšie ako 18 rokov, cestujúce bez sprievodu:

Meno a pohlavie dieťaťa
Vek
Jazyk(-y), ktorým(-i) hovorí
Meno a kontaktné údaje opatrovníka pri odlete a vzťah k dieťaťu
Meno a kontaktné údaje opatrovníka pri prílete a vzťah k dieťaťu
Zástupca pri odlete a prílete

Podľa zhodnotenia iniciatívy Úradom na ochranu osobných údajov SR, komisia navrhuje, aby leteckí prepravcovia sprístupňovali údaje týkajúce sa príletov do EÚ a odletov z EÚ prostredníctvom špecializovaného vnútroštátneho útvaru (PIU - Passenger Information Unit). PIU by vykonával hodnotenie rizík a identifikáciu ľudí, ktorí budú podrobení vyšetrovaniu pri príchode/odchode do/z členského štátu EÚ a následne by takto zozbierané osobné údaje poskytoval podľa potreby zatiaľ nezverejnenému okruhu inštitúcii, ktoré si určia jednotlivé členské štáty. Patriť sem však podľa návrhu musia orgány zodpovedné za predchádzanie teroristickým trestným činom a organizovanej trestnej činnosti a boj proti nim.

Hoci aj v kruhoch európskych inštitúcií zaoberajúcich sa ochranou súkromia a osobných údajov (stanovisko k návrhu Pracovnej skupiny podľa článku 29 - WP29 a vyjadrenia Európskeho dozorného úradníka pre ochranu údajov všeobecne k PNR - EDPS) jasne vidieť výrazné obavy, prijatie bude s najväčšou pravdepodobnosťou neodvratné. V prípadoch ako je tento je totiž nanajvýš zložité hľadať rovnováhou medzi právom na súkromie a právom na bezpečnosť.

Asociácia zodpovedných osôb

MICo — 2008-04-14T23:01:15+01:00

Prednedávnom vznikla na Slovensku nová asociácia pod názvom Asociácia osôb poverených dohľadom nad ochranou osobných údajov. Teda podľa výpisu z REGISTERA OBČIANSKYCH ZDRUŽENÍ vzniklo toto profesijné združenie tzv. zodpovedných osôb už 27.02.2008, no pozornosti sa jej dostalo až minulý týždeň. Médiá si ju všimli po tom čo sa jej predstavitelia prezentovali prvými vyjadreniami na verejnosti.

Kto sú vlastne tie záhadné zodpovedné osoby? Podľa zákona o ochrane osobných údajov sú to osoby poverené výkonom dohľadu nad ochranou osobných údajov. Každý prevádzkovateľ s viac ako piatimi zamestnancami je povinný takúto osobu mať.

Postup je jasný:

najskôr si ju vyberie (najlepšie z radov vlastných zamestnancov - len nie štatutára alebo jeho zástupcu)
skontroluje jej výpis z registra trestov (uloží si ho u seba)
potom zabezpečí jej vyškolenie (naštudovať zákon si môže aj sama)
vyplní formulár pre nahlasovanie zodpovedných osôb
a pošle ho na Úrad na ochranu osobných údajov SR

Zodpovedné osoby majú zo zákona na starosti pomerne dosť úloh, ktoré musia zabezpečovať a zodpovednosť, o ktorej podľa čelných predstaviteľov asociácie možno ani nevedia. Vzhľadom na požiadavku ovládať zákon o ochrane osobných údajov by tomu síce tak nemalo byť, ale zaručiť sa to nedá. Pri ich množstve 40 tisíc nahlásených sa to však vylúčiť zrejme nedá a vzhľadom na to, že im hrozí pomerne vysoká pokuta ak si povinnosti nesplnia (100 tis.), určite bude pozítívne, ak si aj novopečení "strážcovia a pomocníci" zodpovedných osôb povedia svoje.

Rodné číslo na webe? Hrozia problémy.

MICo — 2008-04-13T22:36:07+01:00

Asi nikoho neprekvapí skutočnosť, že rodné číslo je pre ochranu súkromia jeden z kľúčových elementov. Pozitívne je tiež potrebné brať aj to, že ho za kľúčový považujú respondenti prieskumu ktorý si dal k výročnej správe pripraviť orgán na dozor nad ochranou osobných údajov kompetentný - Úrad na ochranu osobných údajov SR. Posledná výročná správa uvádza, že "v porovnaní s výskumami realizovanými v apríli 2003 a marci 2005 nedošlo k zásadným posunom v pohľade verejnosti na zisťovanú problematiku, keď najcitlivejší osobný údaj z ich pohľadu je rodné číslo. Myslí si to 76 percent opýtaných.".

Používanie (alebo inak spracúvanie) rodného čísla je limitované viacerými požiadavkami zákona o ochrane osobných údajov, ktorý rodné číslo alias všeobecne použiteľný identifikátor označuje za tzv. citlivý údaj. Čo však treba brať do úvahy VŽDY? "Zverejňovať všeobecne použiteľný identifikátor sa zakazuje!" - hovorí zákon. Z toho vyplýva, že je zakázané vyvesovanie rodného čísla po úradných tabuliach, vysielanie v rozhlase či televízií, ale aj prezentovanie na webe alebo iný spôsob zverejňovania.

Publikovanie rodných čísel na internetových stránkach je v každom prípade porušením zákona a možno ho označiť za spracúvanie neprípustnou formou, konanie spôsobom odporujúcim zákonu a podľa charakteru spracúvania by sa určite našli aj iné skutkové podstaty podobne honorovateľné okrúhlou sumičkou z kategórie sankcií (ľudovo pokút), ktoré má k dispozícii príslušný úrad. Pokiaľ na svojom webe niekto rodné čísla má, treba ich odstrániť čo najskôr. To, že je to s nimi myslené úplne vážne dokazuje aj medializovaný súdny spor Ministerstvo spravodlivosti SR verzus Úrad na ochranu osobných údajov SR, keď sa ministerstvo pokúšalo senát krajského súdu presvedčiť o tom, že pre nich zákazy neplatia a nepochodilo (a to nielen doslova).

Pozor však na internetom zverejňované rodné čísla (dajú sa nájsť aj pomocou internetových vyhľadávačov - stačí vhodné kľúčové slovo), lebo keď sa raz ocitnú napr. v cache GOOGLE tak je prakticky nemožné ich odtiaľ dostať.

O Národnej koncepcii informatizácie verejnej správy

MICo — 2008-04-11T10:30:59+01:00

O Národnej koncepcii informatizácie verejnej správy sa už napriek jej nedávnemu zverejneniu popísalo pomerne dosť. Niektoré servery a bloggeri stihli okomentovať nielen jej pozitíva, ale aj hrozby, ktoré sa za ňou zakrádajú.

Mnohých možno poteší, že v rámci e-Governmentu bude možné využívať open-source software a stavať by sa malo aj na otvorených štandardoch. Hlása sa tu technologická a softvérová neutralita, takže by v budúcnosti nemalo dochádzať k závislosti na monopolných dodávateľoch.

Plusy pre občana by mali byť zrejmé na prvý pohľad, a tak hľadíme vpred a už teraz sa môžeme tešiť na:

služby typu jedenkrát a dosť (pri zmene údajov – priezvisko či adresa - ich stačí nahlásiť len raz)
služby riadené udalosťami (niektoré veci by sa konečne mohli diať aj bez toho, aby si ich človek musel odsledovať) - systém by mal napr. notifikovať držiteľa dokladov, že ich platnosť čoskoro vyprší
spätnú väzbu
dostupnosť 24/7
minimalizáciu návštev úradov (úplné odbúranie chodenia po úradoch je však sci-fi)
user friedly interface (bez neho informatizácia nemá absolútne žiadny zmysel)

Ďalšia vec, ktorá síce mnohých veľmi neočarí, ale čaká sa na ňu už dlhú dobu, je IFO (identifikátor fyzickej osoby). Konečne by sa malo obmedziť používanie rodného čísla a vo sférach digitálnych by mal byť podporený koncept jednoznačného bezvýznamového identifikátora. Podobné snahy boli známe už v roku 2005 avšak nanešťastie smerovali výrazne dostratena.

Ako je však možné popreklápať dáta len tak zo starých databáz do nových? Nejde len o technickú stránku. Podľa koncepcie by mali byť vytvorené viaceré informačné systémy (register fyzických osôb, register právnických osôb, kataster a register adries), do ktorých by mali byť posúvané údaje z existujúcich databáz (z matrík, obcí, súdov a pod.). V mnohých prípadoch tak môže dôjsť k zmene účelu spracúvania osobných údajov, alebo k poskytovaniu údajov takým inštitúciám verejnej správy, pri ktorých to zákony nepredpokladali. Bez analýzy právneho podhubia (zákonov, ktoré oprávňujú orgány verejnej správy spracúvať osobné údaje) a bez primeranej lavíny novelizácií (čo by mohlo podobné konanie legalizovať v očiach ochrany osobných údajov) sa tvorcovia koncepcie nepohnú ani o krok. Snáď o tom kompetentní vedia.

Tŕňom v oku každého odborníka však zostáva bezpečnosť. Povinnosť chrániť osobné údaje a postarať sa o ich bezpečnosť síce vyplýva z existujúcej legislatívy, ale dosiahnutie primeranej bezpečnosti môže byť v prostredí verejnej správy problematické z viacerých dôvodov (nedostatok kvalitných ľudí demonštroval hlavne Národný bezpečnostný úrad v nezabudnuteľnej afére, ktorú v tejto súvislosti pripomína každý, kto sa k téme vyjadruje).

Nedá sa ešte nespomenúť veta, ktorá bola v súvislosti so zabezpečením informačných systémov prorocky spomenutá na viacerých miestach:

Nespomínam si, že by zákon o ochrane osobných údajov v súčasnom znení šiel až do takej úrovni detailov, že by postihol aj prípad cacheovania osobných údajov, takže (pokiaľ sa medzitým nezmení) sa črtajú zaujímavé dôsledky.

Prezentoval sa ňou J. Vyskoč na svojom blogu a prevzatá bola aj redaktorom zive.sk. Pripomenúť tu snáď treba len, že zákon spravidla neupravuje technické detaily, ale problematiku má pokrývať všeobecne. Akékoľvek dáta v cache, prípadne zálohy (cacheovanie a zálohovanie osobných údajov sú operácie zahrnuté do pojmu spracúvanie osobných údajov) obsahujúce osobné údaje podliehajú aj v tomto prípade zákonnej ochrane. A pokiaľ sú opatrenia zabezpečujúce informačný systém prijaté vo forme bezpečnostného projektu, treba tam zahrnúť aj cache a zálohy.

V tejto chvíli treba asi už len počkať, ako sa všetko okolo informatizácie vyvinie. Predbežne sa však zdá, že Slovenská verejná sprava kráča (či je to smer dobrý, zistíme časom).