Ochrana súkromia ­
prehľad súčasného stavu
Jozef Vyskoč
VaF, s.r.o. Bratislava & Univerzita sv.Cyrila a
Metoda Trnava
Dana Hašanová
Žilinská univerzita
Odkedy ochrana súkromia?
ˇ Osobné ,,tajomstvá" boli asi vždy, aj
záujem o ne (možnosť vydierania)
ˇ Ako právny a praktický problém až
s rozvojom technológií (najprv
fotografie)
Čo je vlastne ,,súkromie"?
ˇ Právo byť osamote
ˇ Právo (možnosť) kontrolovať
zhromažďovanie a šírenie
niektorých informácií o sebe
Zanechávame stopy...
... predovšetkým digitálne, ktoré
pretrvávajú dlhšie ako dokáže
uchovať obyčajná ľudská pamäť
...
história navštívených stránok, história
otvorených dokumentov, zábery z kamier,
lokačné informácie mobilných telefónov,
príspevky vo fórach, výpožičky v
knižniciach či videopožičovniach ...
Samostatný problém
Technológie umožňujú ľahšie
spájanie čiastkových údajov z
rôznych zdrojov na získanie novej
informácie z napohľad
bezvýznamných fragmentov údajov -
hrozba pre súkromie!
X opustila dlhoročná priateľka Z
X je niekoľko mesiacov v depresii
X videli v stredu podávať tiket Lotta
v stredu večer padol rekordný jackpot
Lotta
vo štvrtok ráno sa X prvýkrát po čase
usmieva
vo štvrtok na obed Z zistila, že bez X
vlastne nedokáže žiť a bezodkladne sa k
nemu vrátila...
Dokážete odvodiť novú informáciu o X?
Legislatívna ochrana súkromia
ˇ Zákon o ochrane osobných údajov
ˇ Na Slovensku aj zákon o použítí
informačnotechnických prostriedkov
(proti odpočúvaniu)
Ochrana súkromia však nie je len o ochrane
osobných údajov!
Zákon o ochrane osobných
údajov v ČR a v SR
ˇ CZ - zákon č. 101/2000 Sb.
(posledná novelizácia č.626/2004 Sb.)
ˇ SK - zákon č. 428/2002 Z.z.
(posledná novelizácia č.90/2005 Z.z.)
Čo tieto zákony upravujú
ˇ Zásady/práva a povinnosti pri
spracovaní osobných údajov
ˇ Cezhraničný tok osobných údajov
ˇ Zriadenie Úradu na ochranu
osobných údajov
Čo ešte tieto zákony upravujú
ˇ SK explicitne aj bezpečnosť osobných
údajov a ochranu práv dotknutých
osôb
ˇ CZ na rozdiel od SK - ustanovenia
zákona sa nepoužijú v prípade
,,činností spojených se
zpřístupňováním svazků bývalé
Státní bezpečnosti"
Vymedzenie pojmov
ˇ Okrem obecného pojmu osobné údaje CZ aj
citlivé údaje ako ,,,,osobní údaj vypovídající o
národnostním, rasovém nebo etnickém původu,
politických postojích, členství v odborových
organizacích, náboženství a filozofickém
přesvědčení, odsouzení za trestný čin, zdravotním
stavu a sexuálním životě subjektu údajů a
jakýkoliv biometrický nebo genetický údaj
subjektu údajů" "
Vymedzenie pojmov
SK obdobne, namiesto citlivých
údajov sa používa pojem osobitné
kategórie osobných údajov.
Navyše zvláštny dôraz na
všeobecne použiteľný
identifikátor (rodné číslo)
Explicitné obmedzenia v SK
ˇ Spracúvanie biometrických údajov len ak
to vyplýva zo zákona a osoba dala
písomný súhlas
ˇ Spracúvanie osobných údajov o
psychickej identite osoby alebo o jej
psychickej pracovnej spôsobilosti
môže vykonávať len psychológ alebo
ten, komu to umožňuje osobitný
zákon
Povinnosti pri spracúvaní o.ú.
ˇ Stanoviť účel, zásady spracovania a
pod.
ˇ SK explicitne požaduje toto stanoviť
pred spracovaním, CZ nešpecifikuje
Povinnosti pri spracúvaní o.ú.
ˇ Je potrebný súhlas dotknutej osoby
ˇ SK naviac súhlas si
prevádzkovateľ nesmie
vynucovať a ani podmieňovať
hrozbou odmietnutia zmluvného
vzťahu, služby, tovaru alebo
povinnosti ustanovenej mu zákonom.
Kedy súhlas nie je potrebný...
ˇ SK - spracúvanie osobných údajov je
nevyhnutné na účely tvorby umeleckých
alebo literárnych diel, pre potreby
informovania verejnosti
ˇ CZ - pokud poskytuje osobní údaje o
veřejně činné osobě, funkcionáři či
zaměstnanci veřejné správy, které
vypovídají o jeho veřejné anebo úřední
činnosti, ...
Čo keď dotknutá osoba nežije?
ˇ CZ - nie je zvlášť upravené
ˇ SK - ak dotknutá osoba nežije,
súhlas vyžadovaný podľa tohto
zákona môže poskytnúť jej
blízka osoba.... Súhlas nie je
platný, ak čo len jedna blízka
osoba písomne vyslovila
Niektoré zvláštne prípady
SK - explicitné zmienky aj pre
ˇ poskytovanie/vyžadovanie
osobných údajov pri vstupe do
budovy,
ˇ kopírovanie dokladov
ˇ monitorovanie priestoru
prístupného verejnosti pomocou
videozáznamu alebo
Bezpečnosť spracúvaných o.ú.
CZ ... stanovenie povinnosti
prijať a zdokumentovať
technické a organizačné
opatrenia na zaistenie ochrany
osobných údajov (2 odstavce
jedného paragrafu)
Bezpečnosť spracúvaných o.ú.
SK ... samostatná hlava, povinnosť
zaistiť bezpečnosť osobných údajov,
naviac špecifikácia kedy je toto
nevyhnutné zabezpečiť vypracovaním
(a realizáciou) bezpečnostného
projektu, ako aj možnosť vyžadovať
správu bezpečnostného auditu
Povinnosť mlčanlivosti
ˇ CZ ... aj o bezpečnostných
opatreniach
ˇ SK ... povinnosť mlčanlivosti aj pre
tretie strany (dodávatelia služieb,
napr. servisu IT)
Ďalšie povinnosti
SK ... explicitne požadovaná
povinnosť poučiť oprávnené osoby o
právach, povinnostiach a
zodpovednosti pri práci s osobnými
údajmi
Oznamovacia povinnosť
CZ ... registrácia (skoro) všetkých IS
na Úrade
SK ... rozlišuje medzi povinnosťou
registrácie (niektorých) IS na Úrade
a vedenia evidencie IS (v príslušnej
organizácii)
Dohľad nad spracúvaním o.ú.
SK ... povinnosť poveriť vybranú
osobu (osoby) výkonom dohľadu
nad spracúvaním osobných údajov v
organizácii a zabezpečiť jej
vyškolenie ... predĺžená ruka Uradu
v organizácii
ÚOOÚ - jeho činnosť
ˇ Kontrola
ˇ Vedenie registra
ˇ Výročné správy
ˇ SK naviac vydávanie odporúčaní a
stanovísk
ÚOOÚ - jeho financovanie
ˇ CZ ... samostatná kapitola štátneho
rozpočtu
ˇ SK ... súčasť kapitoly Úradu vlády
ÚOOÚ - menovanie predsedu
ˇ CZ ... prezident na návrh Senátu
ˇ SK ... parlament na návrh vlády
ÚOOÚ - predseda a inšpektori
ˇ CZ aj SK ... vysokoškolské vzdelanie
ˇ SK naviac ,, najmenej 10 rokov
odbornej praxe v oblasti informatiky
alebo práva a vek najmenej 35
rokov "
ÚOOÚ - oprávnenia
Okrem obvyklých...
ˇ CZ ... urobiť kópie médií obsahujúcich
o.ú.
ˇ SK ... vstup do IS do úrovne správcu a
overovanie totožnosti kontrolovaných
osôb, resp. osôb konajúcich v ich mene
Čo oba zákony neriešia...
ˇ Spätná väzba na prijaté legislatívne
opatrenia a jej vyhodnotenie
ˇ Sledovanie vývoja (výskum) v oblasti
ochrany súkromia a technológií
ˇ Monitoring kamerami
ˇ Profiling
ˇ Lokačné informácie
ˇ RFID, ...
Dá sa na to ísť aj inak...
Kalifornia ... v prípade bezp.
incidentu, ktorý môže mať za
následok zneužitie o.ú. obyvateľov
Kalifornie povinnosť bezokladne
týchto občanov informovať o tejto
hrozbe
Základný praktický problém
Aká je vlastne realita, stav v
oblasti ochrany súkromia, resp.
uplatňovania zákona na ochranu
osobných údajov?
Stav v oblasti ochrany
súkromia na Slovensku
v r. 2005
Prieskum stavu ochrany
súkromia
...vykonávaný týmito krokmi...
spracovanie štatistických údajov
zistených formou ankety
pohľad na Privacy policy na
slovenských webových stránkach
Anketami skúmané oblasti
stav ochrany súkromia a osobných údajov
stav a úroveň poznania zákona o ochrane
osobných údajov
...dosiahnuté zisťovaním...
postoja k predmetnej problematike:
dôležitosť ochrany súkromia
postoj k zákonu
riešenie vybraných situácií
kópia evidencie IS
Výsledné údaje z ankiet
200
28
14 8
všetci oslovení
reagujúci
odoslali spätne
anketu
odoslali spätne
kópiu evidencie IS
počet celkovo oslovených
respondentov
29 100%
počet vôbec reagujúcich 16 56%
počet tých, ktorí odoslali
spätne vyplnenú anketu
16 56%
počet oslovených 164
počet odpovedajúcich 164
1. anketa
2. anketa
3.anketa
Zaujímavé zistenia a závery
1. anketa
zistenia
- naše o.ú. bez nášho vedomia neustále niekam
putujú a sú kdesi zhromažďované
... jeden z respondentov pri vyžiadaní zavedenia
nemenovanej služby cez telefón napokon zistil,
že dotyčná firma pozná jeho údaje, ktoré ním
neboli poskytnuté, čoho dôkazom bola
čiastočne vyplnená zmluva prevzatá klientom...
- nespokojnosť s vyšetrovaním ÚOOÚ
... pri riešení osobného problému u jedného
z respondentov, keď jeho o.ú. boli napriek písomnému
zákazu poskytnuté materskej spoločnosti, ktorá tieto
údaje spracovávala v inej veci...
závery
nesplnené povinnosti vyplývajúce zo zákona!!!
organizácie vedú viaceré IS, ktoré si kontrolujú
vlastnou silou, avšak bezpečnostné projekty
vypracovávajú extérnymi dodávateľmi
organizácie uviedli, že sa nestretli so sťažnosťami 
prevádzka IS a operácie s o.ú. prebiehajú bez
problémov
zákon je potrebný, i keď podľa mienky zástupcov
organizácií, nezohľadňuje potreby a podmienky praxe
pri spracúvaní o.ú.
stav a úroveň poznania zákona v praxi štátnej a
verejnej správy akási je, no hĺbka vedomostí je odlišná
reakcia pri odpovediach a znalosť informácií o
vedených IS je viditeľná, čo súvisí s dennou praxou
2. anketa
zistenia
-zaradenie respondentov:
62% respondentov sa považuje za špecialistov na
otázky inf. bezpečnosti a ochrany údajov,
15% za špecialistov na otázky práva,
15% sa zaraďuje za obidva typy špecialistov,
avšak neistota odpovedí na niektoré otázky bola
zarážajúca a nepotvrdila vyššie uvedené hodnoty!!!
-názor na zákon č. 428/2002 Z.z.:
jeden z respondentov uviedol, že zákon je
nedotiahnutý, subjektívny a na rýchlo vytvorený,
dokonca pripúšťa, že sám zákon a všetko, čo zastupuje,
môže ísť proti nám, našim záujmom a právam
- k otázke na názor o informovanosti ľudí o
existencii a uplatňovaní spomínaného zákona, sa
dotyčná osoba vyjadrila:
,,Úrad nemá peniaze na informovanie ľudí, ľudí to
naviac nezaujíma a aj keď im zákon dáva ,,právo",
úrad nerobí nič, keď dostane sťažnosť a na súd sa
nedá spoľahnúť. V zahraničí má firma problémy,
pokiaľ bola obvinená zo zneužitia údajov, čomu tak u
nás nie je. Tak prečo sa informovať, keď to nič
neprinesie?"
- zaujímavé bolo obvinenie našich občanov z ich
pohodlnosti zo strany ďalšieho z respondentov, ktorý
považuje za najcitlivejšie údaje všetky, a svoj názor
odôvodnil prílišnou ľahkosťou ich zneužitia, kedy stačí
jeden týždeň a trocha mozgu
závery
individuálne odchýlky a extrémnejšie názory sú
vzhľadom k počtu reagujúcich pochopiteľné, avšak
istým spôsobom nelogické, pre samotné zaradenie
sa respondentov k danému typu špecialistov
v potrebe zákona ako aj v otázkach
bezpečnostných projektov (citlivé údaje, dôvody
zneužitia, príčiny narušenia ochrany) sa respondenti
zhodli
znalosť zákona je očividná, potvrdili to i odpovede
na vybrané otázky, v ktorých boli presne
vymenované paragrafy zákona a dôvody, pre ktoré
boli opatrenia IS realizované čiastočne
3. anketa
zistenia
- medzi slovenské organizácie zohrávajúce významnú úlohu
pri ochrane súkromia na Slovensku zaraďujú študenti práve
tieto:
,,Slovak Telekom, Orange, telefóny, operátory, televízie,
rozhlas, Microsoft, pošta, Armáda SR, OSN, MV SR, SIS,
SBS, Ombudsman, Parlament, ÚOOÚ, Ústavný súd,
kuriérske služby, NBÚ, Úrad vlády,..."
- 74% študentov sa priznalo, že zákon č.428/2002 Z.z. po
obsahovej stránke vôbec nepozná
- 90 respondentov udáva svoje meno a priezvisko do ankety
organizovanej školou len vtedy, ak musí a ďalším 40-tim
udanie svojich o.ú. vôbec neprekáža, 14 z nich údaje vôbec
neudáva a 13 zvyšných takéto ankety nevyplní
- K otázke týkajúcej sa listového tajomstva- stalo sa ti, že si
otvoril cudziu poštu- odpovedali študenti nasledovne:
74 ich udalo, že poštu otvára len po súhlase k otvoreniu
od adresáta
32 ich udalo, že cudziu poštu zásadne neotvára
25 študentov občas otvára poštu a to rodinným
príslušníkom
15 priznalo, že ich zvedavosť je ovplyvnená odosielateľom
- Na otázku o súkromí a prípadnej účasti na reality show, boli
odpovede nasledovné:
7% študentov uviedlo, že by im to vôbec neprekážalo
74% zo študentov by sa takého niečoho nikdy nezúčastnilo
19% sa priznalo, že lákavá odmena by ich prehovorila na
všetko, i keď to so sebou prináša istú stratu súkromia
- Zastúpenie jednotlivých možností na otázku, čo so SMS
ponechanou v MT prepožičanom druhej osobe:
a) prečítam si ju zo zvedavosti a následné ju vymažem 89
b) nečítam ju a vymažem ju 60
c) uložím ju pre budúce možné využitie 15
-Na otázku: ,,Keď človek zomrie, majú mať jeho blízki príbuzní
právo prístupu k jeho mailovej schránke, alebo nie?:
95 študenti odpovedali, že majú právo
75 ďalších si myslia, že nie
-Na otázku: " Prezeráš si históriu navštevovaných webových
stránok pred začatím svojej práce na počítači, ktorý slúži aj
iným?", bolo uvedených:
112 odpovedí v znení nikdy
49 odpovedí v znení niekedy
3 prezerajú históriu často
-Na otázku, či mažú študenti históriu navštevovaných
webových stránok, reagovali študenti nasledovne:
14 maže históriu hneď po skončení práce na internete
79 študentov príležitostne
7 z nich pravidelne za určitú dobu
61 ju nemaže nikdy
-Na otázku citlivú na zbieranie o. ú. či údajov vypovedajúcich
akékoľvek informácie o konkrétnej osobe, reagovali študenti
takýmto spôsobom:
17% z nich nechce, aby ktokoľvek zbieral ich o.ú. alebo
údaje o ich aktivitách"
59% študentov je v odôvodnených prípadoch ochotných
akceptovať získavanie ich o.ú. v nevyhnutne potrebnom
rozsahu, ale nie viac
16% z nich je ochotných poskytovať svoje o.ú. výmenou
za isté výhody
8% zvyšných nepripisuje veľkú váhu ochrane o.ú.
závery
informovanosť o existencii zákona je dostatočná,
avšak poznanie jeho obsahu je nízke ako aj záujem
o jeho bližšie zoznámenie
porozumenie pojmom ,,súkromie" a ,,osobné
údaje" je viditeľné, i miesto s prináležujúcou
hodnotou a váhou má pre ne vo svojom živote
vyčlenené každý študent
následky zneužitia a dôvody ochrany súkromia a
o.ú. sú známe
bola zistená istá ochota poskytnutia časti
súkromia a to z dôvodu nevyhnutnosti a verejnej
ochrany
známe je rešpektovanie súkromia druhého ako
aj očakávanie rovnakého konania zo strany druhej
Oblasti skúmané z
pohľadu na Privacy policy
viditeľnosť a informovanosť o Privacy policy
stav a úroveň Privacy policy
predmet zabezpečenia a zaručenia ochrany
spôsob realizácie zaručenia
ochrany osobných údajov daných klientov
a pod.
Závery u Privacy policy!!!
,,ochrana práv na súkromie na Internete v režime
on- line"
pp nie je na Slovensku zatiaľ tak známe- zabehané a
informovaniu o pp sa nevenuje zvláštna pozornosť
miesto pp na webových stránkach v podobe odkazu v
spodnej časti stránky
formulácie a obsah pp sa odvíjala od typu stránky
(typu poskytovaného tovaru a služby)
dôvody pre zbieranie informácií o klientovi
neprehliadnuteľné skutočnosti
100% ochrana osobných údajov, serióznosť
poskytovateľa, dôvera klienta, pravý zámer
poskytovateľa poskytujúceho pp (???)
Zhrnutie
verejnosť si je vedomá hodnoty a potreby ochrany
súkromia ako aj osobných údajov spracúvaných IS
hĺbka informovanosti o zákone č. 428/2002 Z.z.
(90/2005 Z.z.) je pomerne slabá
praktické uplatňovanie zákona o ochrane osobných
údajov ma ešte vážne medzery
boli zistené isté nedostatky:
v zákonodarstve
v odlišnosti chápania a riešenia problému ochrany
u odbornej komunity
v nedostatočnom oboznámení sa laickej verejnosti s
problematikou súkromia, čo sa môže zmeniť
zviditeľnením príslušných predpisov alebo znásobením
publikácií na danú tému
Zhrnutie II
Legislatíva je, chýba však
prehľad o stave, prioritách a
potrebách, a chýbajú aj
mechanizmy ako takýto prehľad
priebežne získavať...
Budúcnosť? Tlak na obmedzenie
úrovne ochrany súkromia...
ˇ zo strany orgánov činných v
trestnom konaní (dôvod - boj proti
terorizmu)
ˇ zo strany komerčne orientovaných
subjektov (RFID, Amazon a
patentovaná technológia
profilovania ľudí, ktorí nie sú jeho
klientmi...)
Ďakujeme za pozornosť
Jozef Vyskoč
&
Dana Hašanová