]> http://www.blog.mico.sk/archives/cat_8/ osobné údaje, ich ochrana, informačná bezpečnosť a všetko čo s tým súvisí sk MICo 2008-10-27T07:00:14+01:00 http://www.blog.mico.sk/archives/2008/10/#e2008-10-27T06_57_22.txt 2008-10-27T06:57:22+01:00 MICo Zaujímavosti sociálna sieť obchodného registra SR. Odhliadnuc od toho, že moja prvotná reakcia bol „WTF?“ som si to hneď vyskúšal. Vyzeralo to na prvý a aj druhý pohľad veľmi funkčne.

Následne som sa však ako „data protection“ pozitívny človek zamyslel nad tým odkiaľ vlastne údaje o osobách a firmách pochádzajú a čo sa s nimi deje.

Nakoľko moje IT znalosti nie sú ani zďaleka bezbrehé, hľadal som dodatočné info o tomto webe. Tu mi bol nápomocný známy IT bezpečnostný búrlivák „oooo“, ktorý vyspovedal jedného z autorov FOAFu pre svoj blog.synopsi.com. Vďaka tomu vieme, že: „Databázu zaobstaráva MySQL a fulltextové vyhľadávanie je riešené cez rozšírenie jazyka Ruby. Databáza dnes obsahuje približne 170 tisíc unikátnych záznamov spoločností, približne 350 tisíc unikátnych záznamov osôb a pol milióna prepojení.“ Je len logické, že dáta pochádzajú z informačného systému Ministerstva spravodlivosti SR, ktoré prevádzkuje Obchodný register SR. V tom, že tieto údaje chalani získali pre svoj projekt zo stránky registra by som problém nevidel. Ide totiž o tzv. zverejnené údaje a ako také ich možno spracúvať bez súhlasu dotknutej osoby. Je však potrebné ich ako zverejnené označiť a v prípade žiadosti ÚOOÚ SR je prevádzkovateľ informačného systému povinný preukázať, že ide skutočne o zverejnené údaje.

K tomu by bolo vhodné doplniť ešte fakt, že disponovať takouto databázou nie je možné len tak. Dalo by sa povedať, že informačný systém podlieha napríklad povinnosti registrácie informačných systémov a prevádzkovateľ je povinný dodržiavať základné zásady ochrany osobných údajov vyplývajúce zo zákona o ochrane osobných údajov ako je napríklad presné vymedzeniu účelu a prostriedkov spracúvania. Takže chalani „bacha“ na takéto drobnosti. Plus by to chcelo nejakú Privacy Policy alebo Statement, aby bolo jasné o čo presne ide pri FOAF.sk.

Myšlienka je to zaujímavá. Držím palce.

Diskusia a komentáre ]]> http://www.blog.mico.sk/archives/2008/10/#e2008-10-02T05_11_26.txt 2008-10-02T05:11:26+01:00 MICo Zaujímavosti Pracovnej skupiny podľa článku 29 (dvorného vykladača Smernice Európskeho parlamentu a Rady 95/46/EC z 24. októbra 1995 o ochrane jednotlivcov pri spracúvaní osobných údajov a voľnom pohybe týchto údajov) a vo svojich stanoviskách to preberajú aj úrady na ochranu osobných údajov členských štátov (keďže ich predsedovia to čierne na bielom v pracovnej skupine schválili).

Ale k veci. Prečo vlastne niekto 4 čísla oddelené bodkami považuje za osobný údaj?

Pracovná skupina uviedla, že „poskytovatelia prístupu na internet a správcovia miestnych sietí môžu pomocou primeraných prostriedkov identifikovať užívateľov internetu, ktorým pridelili IP adresy pretože zvyčajne systematicky „zaznamenávajú“ do súboru dátum, čas, trvanie a dynamickú IP adresu pridelenú užívateľovi internetu. To isté možno povedať o poskytovateľoch internetových služieb, ktorí vedú prevádzkový denník na serveri HTTP. V týchto prípadoch možno nepochybne hovoriť o osobných údajoch…“ – viď jej stanovisko z minulého roku.

V stanovisku sa ďalej píše, že „najmä v prípadoch, keď sa IP adresy spracúvajú na účely identifikácie užívateľov počítača (napríklad vlastníkmi autorských práv, ktorí chcú stíhať užívateľov počítača za porušenie práv duševného vlastníctva) kontrolór – tu ide o pojem, ktorý by mal byť u nás skôr prekladaný ako prevádzkovateľ aby korešpondoval s terminológiou nášho zákona o ochrane osobných údajov - očakáva, že budú k dispozícii „prostriedky, u ktorých je primeraná pravdepodobnosť, že sa využijú“ na identifikáciu osôb, napríklad prostredníctvom súdov, na ktoré sa obrátia (inak nemá zhromažďovanie informácií žiadny význam), a preto by sa informácie mali považovať za osobné údaje.

Osobitným prípadom by boli určité druhy IP adries, ktoré za určitých okolností skutočne neumožňujú identifikáciu užívateľa z rôznych technických a organizačných dôvodov. Jedným z príkladov by mohli byť IP adresy pridelené počítaču v internetovej kaviarni, kde sa nevyžaduje žiadna identifikácia zákazníkov. Mohlo by sa namietať, že údaje zhromaždené o využívaní počítača X počas určitého časového rámca neumožňujú identifikáciu užívateľa primeranými prostriedkami, a preto nie sú osobnými údajmi. Je však nutné uviesť, že poskytovatelia internetových služieb pravdepodobne nebudú vedieť, či príslušná IP adresa je alebo nie je adresou, ktorá umožňuje identifikáciu, a že spracujú údaje spojené s touto IP adresou rovnakým spôsobom, ako spracúvajú informácie spojené s IP adresami užívateľov, ktorí sú riadne zaregistrovaní a identifikovateľní. Takže pokiaľ poskytovateľ internetových služieb nemôže s absolútnou istotou rozlíšiť, či údaje zodpovedajú užívateľom, ktorí sa nedajú identifikovať, bude musieť pre istotu spracovať všetky informácie IP ako osobné údaje“.

Napísať to nejako inak by znamenalo vymýšľať teplú vodu – preto som to proste pastol. Táto línia sa vďaka stanovisku pracovnej skupiny tiahne celou EÚ a výklad orientovaný týmto smerom by si mali osvojiť všetky dozorné orgány na ochranu osobných údajov v členských štátoch EÚ. Takže dynamická či pevná, v mnohých prípadoch môže IP-čka viesť k tomu, komu bola pridelená.

Diskusia a komentáre]]> http://www.blog.mico.sk/archives/2008/08/#e2008-08-24T11_13_51.txt 2008-08-24T11:13:51+01:00 MICo súkromie, ochrana osobných údajov, Zaujímavosti
My sme však v EÚ a v tomto priestore platí „naše“ právo. Po rozum v tejto veci nemusíme cestovať do D.C., ale stačí nám zabehnúť, hoc i virtuálne, do Bruselu. Prevádzkovatelia internetových vyhľadávačov a ochrancovia osobných údajov po sebe poškuľujú nejaký ten čas. Svedčí o tom viacero dokumentov, ktoré vyprodukovali obe strany. Primárne by som však chcel predstaviť práve ten posledný z tábora ochrancov dát. Pracovná skupina článku 29 (WP29) vytvorená Smernicou 95/46/EC o ochrane jednotlivcov pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Smernica 95/46/EC) má vo vzťahu ku Komisii poradný status. O tejto skupine sa príliš nehovorí napriek tomu, že je v Európskej únii „dvorným vykladačom“ smernice a problematiky ochrany osobných údajov.

Vo svojom stanovisku k vyhľadávačom uviedli predstavitelia WP29 zaujímavé pohľady na vec. Nejde síce o nijak záväzný dokument, ale fakt, že členovia WP29 sú predsedovia úradov na ochranu osobných údajov členských štátov EÚ mu výrazne dodáva na vážnosti. Predznamenáva totiž, že v prípade prešetrovania zásahov do ochrany osobných údajov týmito dozornými orgánmi, nebudú ich rozhodnutia nejako výrazne odbáčať od filozofického smeru, ktorý si tu vytýčili. V čom je teda posledné stanovisko k vyhľadávačom prelomové? Asi tým, že bez okolkov prisudzuje pre vyhľadávače povinnosť dodržiavať Smernicu 95/46/EC (často aj keď nemajú HQ - sídlo v EÚ priestore).

Podľa toho čo sa dá zo stanoviska vyčítať sa prevádzkovatelia vyhľadávačov musia správať k informáciám, ktoré majú o používateľoch ako k osobným údajom. Nejde iba o IP adresy a koláčiky (web cookies či flash cookies), ale za zaujímavé sa považujú aj tzv. logy.

U nás (v EÚ) sa teda na vyhľadávače plne vzťahuje legislatíva ochrany osobných údajov a každý vyhľadávač ju má dodržiavať. Na okrídlenú otázku „a co z toho jako vyplývá?“ teda ešte zhrnieme pár zásad, ktoré pre každý vyhľadávač platia:

• spracúvanie osobných údajov len a len na legitímne účely
• vymazanie alebo nezvratná anonymizácia po dosiahnutí účelu
• odôvodnená dĺžka doby uchovávania údajov ako aj expirácia cookies
• rozširovanie užívateľských profilov o údaje, ktoré neposkytli samotní užívatelia len s ich súhlasom
• súhlas treba mať aj na uchovávanie individuálnej histórie vyhľadávania.


A čo používatelia? Používatelia služieb vyhľadávačov majú právo na prístup ku všetkým svojim osobným údajom, vrátane svojich profilov a histórie vyhľadávania, na ich kontrolu a v prípade potreby na ich opravu. Krížová korelácia údajov pochádzajúcich z rôznych služieb patriacich poskytovateľovi vyhľadávača sa môže uskutočniť iba vtedy, ak užívateľ dal súhlas na túto osobitnú službu.

Koho to zaujíma viac, tu je link na Stanovisko k vyhľadávačom. Určite sa k nemu však vrátim, lebo obsahuje mnoho podnetných informácií z tejto oblasti.

Diskusia a komentáre]]> http://www.blog.mico.sk/archives/2008/07/#e2008-07-23T15_58_05.txt 2008-07-23T15:58:05+01:00 MICo súkromie, bezpečnosť, ochrana osobných údajov, Zaujímavosti Radio Frequency Identification – rádio frekvenčná identifikácia je technológia, ktorá si razí cestu do každodenného života nás všetkých veľmi rýchlo a bez akýchkoľvek okolkov sa hlási o slovo. Niet pochýb o tom, že môže uľahčiť život mnohých vo viacerých oblastiach ekonomického, spoločenského, kultúrneho či hocijakého iného aspektu života. Náhrada čiarových kódov, rôznych ceduliek označujúcich veci, identifikácia zvierat – toto všetko je fajn a praktické, ale...

Čo však v prípade, keď označený RFID čipom bude človek – ľudská bytosť – jednotlivec? V tomto prípade to už prestáva byť také zábavné. Využitie však má stále siahodlhý zoznam benefitov. Pacientov v nemocnici si personál už nikdy nepomýli čím odpadnú fatálne následky z náhodnej zámeny liekov (pokiaľ sú aj tieto označené), „očipované“ dieťa sa nezatúla a iné. Čo však obavy zo straty súkromia či obavy zo zásahu do práva na ochranu osobných údajov. O nositeľovi čipu je možné zaznamenávať celý rad dát, pričom báť sa nebudeme iba o dáta zaznamenané na čipe (viacero odborníkov sa predstavilo verejnosti s prekvapivo ľahkými spôsobmi ako skopírovať celý čip a vytvoriť jeho klon), ale aj o dáta, ktoré nositeľ vygeneruje svojim správaním.

Pokiaľ je čip v tovare a nie na samotnom človeku (v jeho tele) môže sa to javiť ako bezpečné. Najmä čo sa týka tovarov v obchodoch ide o pomerne zaujímavú pomôcku pri narábaní so skladovými zásobami či evidenciou tovaru prechádzajúceho cez pokladne. Hrozbou, ktorá však vie skrížiť krok súkromiu nakupujúceho môže byť napríklad spojenie tovaru s platobnou kartou kupujúceho a (v tom lepšom prípade) vytváranie nákupného profilu (čo pri niektorých citlivých druhoch tovaru môže byť zároveň aj ten horší prípad). Nepravdepodobné, že by mohlo isť o zásah do súkromia? Stačí si k tomu pridať vernostnú kartu s identifikačnými údajmi a profil je dokonalý. Už aj teraz je takéto profilovanie zákazníkov v zásade možné, pri vydávaní vernostných kariet si predajcovia nechávajú podpísať súhlas so spracúvaním osobných údajov na najrôznejšie účely. Výmenou za pár bodov a či halierové (čoskoro „milicentové“) zľavy takto majú k dispozícii unikátnu vzorku živých ľudí na marketingové či iné účely. Riziká zásahu do súkromia spočívajú aj v tom, že vzory správanie jednotlivca môžu byť zaznamenané často aj bez jeho vedomia.

Obavy z RFID vyjadrili na pôde EÚ aj šéfovia úradov na ochranu osobných údajov, ktorí ich zhrnuli do viacerých bodov – rizikovými sú pri použitím RFID:

• získavanie informácií priamo alebo nepriamo spojených s osobnými údajmi (napr. spájanie zakúpených tovarov s kupujúcimi)
• ukladanie údajov (napr. rôzne vstupné karty obsahujúce aj kontaktné – identifikačné údaje dotknutej osoby)
• odhaľovanie údajov o jednotlivcoch bez použitia tradičných identifikátorov (podľa nakupovaných tovarov možno napríklad odhaliť stravovacie návyky, zdravotný stav a pod.).

Vzhľadom na pomerne širokú definíciu pojmu osobný údaj bude v každom prípade potrebné posudzovať individuálne pre jednotlivé situácie či sa na použitie technológie RFID uplatní legislatíva ochrany osobných údajov alebo nie.]]> http://www.blog.mico.sk/archives/2008/07/#e2008-07-03T10_20_32.txt 2008-07-03T10:20:32+01:00 MICo súkromie, bezpečnosť, ochrana osobných údajov, osobné údaje, Zaujímavosti komisárka na ochranu súkromia (čosi ako náš ÚOOÚ SR) dostala koncom mája sťažnosť na porušenie Personal Information Protection and Electronic Documents Act a.k.a. PIPEDA (čosi ako náš zákon o ochrane osobných údajov) od skupinky študentov práva. Sťažnosť podali pod hlavičkou Canadian Internet Policy and Public Interest Clinic - CIPPIC vedení riaditeľkou tejto inštitúcie Philippou Lawson. Podľa ich analýzy FACEBOOK zlyhal v plnení viacerých požiadaviek vyplývajúcich z PIPEDA pričom:

• nešpecifikoval každý účel, na ktorý spracúva osobné údaje jednotlivých užívateľov
• nezískal informovaný súhlas užívateľov a neužívateľov na používanie a zverejňovanie ich osobných údajov
• neumožnil užívateľom použiť jeho služby bez toho aby mu dali súhlas na spracúvanie osobných údajov a viaceré osobné údaje, ktoré nie sú nevyhnutné na stanovený účel
• nezískal jednoznačný (výslovný) súhlas užívateľov na zdieľanie ich citlivých údajov
• neumožnil užívateľom, ktorí deaktivovali svoje účty jednoduché odvolanie ich súhlasu na zdieľanie informácií
• neobmedzil rozsah získavaných osobných údajov iba na tie údaje, ktoré sú nevyhnutné na dosiahnutie stanovených účelov ich spracúvania
• neinformoval čestne o svojich zámeroch využiť osobné údaje aj na reklamné účely ani o úrovni vplyvu užívateľa na riadenie nastavení týkajúcich sa jeho súkromia
• nezlikvidoval osobné údaje užívateľov, ktorí prestali využívať jeho služby
• nezabezpečil ochranu osobných údajov užívateľov pred neautorizovaným prístupom
• nevysvetlil politiku a procedúry poskytovania osobných údajov tretím stranám - rôznym inzerentom (poskytovateľom reklamy) či vývojárom aplikácií

čo však zrejme nie je všetko, lebo ako uvádza tlačová správa CIPPIC, študenti vo svojej 35-stranovej sťažnosti identifikovali až 22 zavinených porušení PIPEDA. To, že nejde o hon na čarodejnice podčiarkuje fakt, že niektorí zo študentov pracujúcich na tomto projekte sú zanietení používatelia obviňovanej sociálnej siete. Lisa Feinberg (jedna zo študentov pripravujúcich sťažnosť) v tlačovej správe uviedla: "Mali sme obavy, že FACEBOOK podvádza svojich užívateľov. Prezentuje sa ako sociálny nástroj, ale vykonáva tiež komerčné aktivity ako je cielená reklama. Užívateľa sa musia dozvedieť, že keď sa registrujú na FACEBOOKu, budú zdieľať svoje osobné údaje s poskytovateľmi reklamy".

Kanadské úrady (Privacy Commissioner of Canada) majú teraz rok na prešetrenie veci a sformulovanie záverov. Vzhľadom na to, že základné princípy ochrany osobných údajov sú vo veľkej miere všade rovnaké, bude zaujímavé sledovať výstupy z tejto kauzy.]]> http://www.blog.mico.sk/archives/2008/06/#e2008-06-15T11_10_46.txt 2008-06-15T11:10:46+01:00 MICo Zaujímavosti BARCAMP sa organizátorom skutočne vydaril, o tom niet pochýb. Rozmanitý okruh účastníkov,  ľudsky vybrané témy prednášok, možnosť stretnúť osôbky, ktoré človek pozná iba online aj na pôde real-space. To všetko boli fantastické devízy prvej akcie svojho druhu na Slovensku. Ja  osobne som sa síce mohol na vlastné oči a uši zúčastniť iba na pár prednáškach:

• Tvorba obsahu v dobe Web 2.0 - Vit Vrba', WebNode.sk
• Skúsenosti z budovania user generated content website - Richard Voda Pozrisi.sk
• Viral marketing - Michal Pastier, blog
• Next-Gen Technology powering today's Internet, artificial intelligence, future of humankind and how robots will (or already did?) conquer the world. - Juraj Bednár, Pavol Lukáč, Digmia

bol som však príjemne prekvapený.

Neodpustil som si ani stream prednášky - Najčastejšie bezpečnostné chyby vytvárané pri budovaní nového projektu a Web 2.0 bezpečnosť - Rastislav Turek (blog.synopsi.com), ale teším sa aj na ostatné.

Vzhľadom na skutočnosť, že počet návštevníkov ďaleko presiahol očakávania organizátorov, nechali sa už počuť, že na jeseň si dáme repete so všetkým čo k tomu patrí.

V prípade, že bude priestor povedať niečo aj o ochrane osobných údajov v online prostredí a pod., rád sa zaradím aj do tlupy prednášajúcich :-).]]>