EDPB predstavil pravidlá pre spracúvanie údajov na základe zmluvy

Európsky výbor pre ochranu údajov sprístupnil na verejnú debatu text Stanoviska 2/2019 o spracúvaní osobných údajov podľa článku 6 odsek 1 písmeno b) GDPR Zatiaľ je k dispozícii iba v anglickej verzii, ale z celkovo štrnástich strán sme pripravili výpis hlavných myšlienok, ktoré sa najviac dotknú praktického nakladania s osobnými údajmi spracúvanými podľa právneho základu, ktorý ľudovo označujeme ako „zmluvu“.

V prípade tohto právneho základu nepotrebuje prevádzkovateľ súhlas dotknutej osoby . Veľmi zjednodušene povedané, vystačí si aj s textom zmluvy medzi ním a dotknutou osobou. Takéto spracúvanie je samozrejme limitované tak rozsahom údajov potrebnými na plnenie zmluvy ako aj samotným použitím dát, ktorým je samotné plnenie zmluvy a úkony s ním priamo súvisiace. Činnosti presahujúce zmluvný rámec je nutné legitimizovať iným právnym základom, ktorým môže byť napríklad súhlas dotknutej osoby, právny predpis určujúci zákonnú povinnosť či oprávnený záujem prevádzkovateľa.

Všeobecné poznámky

  • bez ohľadu na právny základ, každý prevádzkovateľ je viazaný základnými zásadami spracúvania osobných údajov (niektoré si vypichneme v nasledujúcich bodoch);
  • zákonnosť spracúvania stojí a padá na platnosti zmluvy v zmysle záväzkového práva (v prípade detí sa prihliada na spôsobilosť vstupovať do záväzkových vzťahov podľa práva členského štátu);
  • účel musí byť jasne špecifikovaný, pričom vágne frázy typu „zvyšovanie spokojnosti zákazníkov“, „marketingové účely“, IT bezpečnosť“ alebo „budúci výskum“ spravidla neprejdú bez dodatočného upresnenia;
  • pre citlivé údaje uvedené v článku 9 odsek 1 GDPR (rasa, etnický pôvod, politické názory, náboženstvo, zdravotné údaje,…) zmluva ako právny základ nestačí a prevádzkovateľ musí mať výslovný súhlas dotknutej osoby alebo uplatní niektorú z ďalších výnimiek podľa druhého odseku tohto článku;
  • keďže sa bavíme o spracúvaní nevyhnutnom pre plnenie zmluvy alebo zavedenie predzmluvných vzťahov, musí ísť o skutočne objektívnu potrebu (skúška správnosti sa robí otázkou či ako prevádzkovateľ dokážem plniť aj bez týchto údajov);
  • pri posudzovaní objektívnej nevyhnutnosti musí prevádzkovateľ prihliadať aj fundamentálne právo na ochranu súkromia a osobných údajov ako aj možnosti dosiahnuť svoj cieľ menej invazívnym spôsobom;
  • nestačí len spomenúť, že na účely zmluvy sa zbierajú údaje, ale potreba spracúvania údajov musí vyplývať zo praktickej podstaty zmluvného plnenia a objektívnej nutnosti;
  • prevádzkovateľ si musí byť vedomý toho, že bude preukazovať nevyhnutnosť spracúvania vo vzťahu k vzájomne dohodnutému účelu a mal by brať do úvahy rozumové možnosti priemernej dotknutej osoby;

Príklad 1: eshop zbiera údaje o doručovacej adrese pre účely doručenia tovaru, no v prípade osobného odberu je tento údaj zbytočný.

Príklad 2: eshop chce vyskladať profil zákazníka na základe jeho návštev internetovej stránky, no pre účely realizácie samotného predaja tovaru to nevyhnutné nie je (ani keby to výslovne spomenuli v zmluve).

  • spájanie viacerých služieb/zmlúv do balíka a postavenie dotknutej osoby do situácie „buď zober všetko alebo nič“ môže naraziť pri posudzovaní nevyhnutnosti vo vzťahu k individuálnej požiadavke dotknutej osoby (súhlas alebo oprávnený záujem prevádzkovateľ to však môže napraviť);
  • „zmluva“ ako právny základ nezahŕňa automaticky všetky situácie, ktoré pri životnom cykle zmluvného vzťahu môžu vzniknúť, určite však zahŕňa upomienky za zmeškané platby či upozornenia na porušenie zmluvy a s nimi spojené žiadosti o zjednanie nápravy (patrí sem aj zmluvná záruka a s ňou spojené úkony ovplyvňujúce aj dobu uchovávania údajov);
  • po skončení zmluvného vzťahu je rozumné očakávať, že spracúvanie viac nie je nevyhnutné na účely plnenia zmluvy (vo vzťahu k zásadám spracúvania by však výmena právneho základu za iný pôsobila nespravodlivo, s výnimkou existencie platného súhlasu podľa GDPR);
  • skončenie zmluvy je spájané s likvidáciou údajov, avšak nie v prípade existencie zákonnej povinnosti alebo nutnosti spracúvania údajov na preukazovanie, uplatňovanie či obhajovanie právnych nárokov (to už sú ale iné právne základy);
  • skončenie zmluvy nemá vplyv na spracúvanie pre oddelené účely s iným právnym základom, pokiaľ je v súlade s GDPR;

Príklad 3: zmluva skončí a dáta sú zlikvidované, prevádzkovateľ má však naďalej zákonnú povinnosť uchovávať účtovné doklady (dotknutá osoba o tom musí byť informovaná).

  • predzmluvné vzťahy sú samostatná kapitola a účelom spracúvania je práve uzavretie vyššie spomínanej zmluvy na žiadosť dotknutej osoby (sem sa nepočíta ani nevyžiadaná komunikácia ani vstupy tretej osoby);

Príklad 4: tento právny základ je v poriadku pre situáciu, keď dotknutá osoba zadá svoje PSČ na overenie dostupnosti služby v jej oblasti.

Príklad 5: inou situáciou je overenie totožnosti zákazníka v banke, keďže ide o zákonnú povinnosť a teda právnym základom je článok 6 odsek 1 písmeno c) GDPR.

A poďme ešte na konkrétne prípady spracúvania:

  • zvyšovanie spokojnosti zákazníkov – vo väčšine prípadov si so zmluvným právnym základom nevystačíme pre nedostatok nevyhnutnosti vo vzťahu k plneniu zmluvy, siahnúť však možno po súhlase alebo oprávnenom záujme (podmienkou je samozrejme balančný test a zistenie či nad záujmom prevádzkovateľa neprevažujú záujmy alebo základné práva a slobody dotknutej osoby);
  • predchádzanie podvodom – aj v tomto prípade spracúvanie prekračuje medze zmluvného právneho základu, no iná možnosť sa vo všeobecnosti nevylučuje (trebárs súhlas alebo oprávnený záujem);
  • online behaviorálna reklama
    • sledovanie a profilovanie za účelom zobrazovania reklamy sa často používa ako spôsob financovania online služieb, nezmestí sa však do podmienky nevyhnutnosti pre zmluvný vzťah s dotknutou osobou a to bez ohľadu na to, že prevádzka služby stojí a padá na zdrojoch z reklamy,
    • prevádzkovatelia proste musia požiadať o súhlas na používanie cookies (bodka),
    • ani vytváranie cieľových skupín (cez sledovanie a profilovanie jednotlivcov) pre účely zobrazovania reklamy nie je schodné cez zmluvný právny základ (opäť pre nedostatok zmluvnej nevyhnutnosti).
  • personalizácia obsahu – nemusí byť úplne mimo misu zmluvného právneho základu, pokiaľ:
      • vyplýva z povahy poskytovanej služby,
      • je súčasťou zmluvných podmienok,
      • dá sa predpokladať, že ho na základe informácií o službe očakáva aj priemerne zdatný používateľ.

Príklad 6: online služba ponúkajúca zobrazovanie správ z rôznych zdrojov na základe preferencií používateľa si vystačí aj so zmluvou ako právnym základom.

Príklad 7: ak vyhladávač ubytovacích služieb profiluje dotknutú osobu na základe jej výdavkov a na základe toho je upravuje výsledky vyhľadávania, bude potrebovať iný právny základ.

Príklad 8: na zmluvný právny základ sa nemôže spoliehať eshop zobrazujúci personalizovaný obsah podľa toho čo prezerali ostatní zákazníci.

 

Pokuty, pokuty, pokuty…

Blížime sa k výročiu účinnosti GDPR a tak namieste je aspoň stručná sumarizácia:

  1. U susedov v Českej republike je miestny úrad pomerne zdielny. Na svojich stránkach zverejňuje celý rad informácií dostupných podľa infozákona. Vďaka tomu vieme, že úrad právoplatne udelil pokuty v rozsahu od 10 do 30 tisíc českých korún a neprávoplatne (stále beží nejaká forma odvolacieho konania) ešte 2 pokuty vo výške 50 a 250 tisíc korún. Celkovo sa tak bavíme o ôsmych pokutách, pričom porušenia sa týkali článkov 5 (4 pokuty), 6 (2 pokuty) a 15 (2 pokuty) GDPR. Prevádzkovatelia tak v Čechách a na Morave majú predbežne najväčšie problémy s právnym základom a s uplatňovaním práv dotknutých osôb.
  2. Na sever od nás bola udelená takmer miliónová pokuta. Keďže však hovoríme o poľskej mene, tak ide “len” o 220 000,- eur. V tomto prípade sa jedná o spoločnosť spracúvajúcu osobné údaje z verejných zdrojov. Porušenie sa malo týkať nesplnenia informačnej povinnosti vo vzťahu k 6 miliónom dotknutých osôb. Argument “stálo by nás to 7 miliónov eur” nepomohol a tak v prípade právoplatnosti rozhodnutia bude prevádzkovateľ platiť pokutu a zároveň tie náklady vytiahne z vrecka tak či tak.
  3. Rovný 1 milión HUF (niečo málo cez 3100,- eur) sa ušiel prevádzkovateľovi v Maďarsku, ktorý obmedzil právo dotknutej osobe vo vzťahu ku kamerovému záznamu. Miestna legislatíva určovala povinnosť dotknutej osoby preukázať oprávnený záujem, no GDPR takúto požiadavku nepozná. Kolíziu noriem vyriešili v prospech GDPR.
  4. Portugalský úrad si zgustol na zdravotníckom zariadení po zistení, že k zdravotným údajom pacientov pristupujú zdravotníci pod fiktívnymi profilmi (aj ex-zamestnancov) a nebol zabezpečená minimalizácia ani proporcionalita. Pokuta 400 tisíc eur chvíľu viedla rebríček GDPR sankcií.
  5. Prekonal ju samozrejme Google s 50 miliónmi eur od francúzskeho úradu CNIL za nedostatočné splnenie informačnej povinnosti, nehovoriac o Facebooku s 500 tisícmi za Cambridge Analytica (ešte spred GDPR) s čím dodnes bojuje.
  6. Ešte pred účinnosťou GDPR neoprávnene obchodovala spoločnosť Bounty Limited (prevádzkovateľ tehotenského/rodičovskeho portálu) s údajmi svojich používateľov. Nezákonné poskytovanie sa týkalo 14 miliónov dotknutých osôb. Práve teraz sa dočkali pokuty, ktorá však napriek predGDPRovej dobe nie je vôbec nízka. Jej výška 400 tisíc libier ukazuje, že komisár v Spojenom kráľovstve ani v minulosti netrpel nedostatkom sankčných kompetencií.
  7. Taliansky úrad udelil svoju prvú pokutu podľa GDPR. Týkala sa nedostatočných bezpečnostných opatrení. Nešlo by o nič výnimočné, keby túto pokutu dostal prevádzkovateľ informačného systému (Controller). Taliansky dozorný orgán však pokutoval sprostredkovateľa (Processor). Prvýkrát sa tak stalo, že za konanie sprostredkovateľa netrpel prevádzkovateľ ako podľa starej legislatívy, ktorá s prevádzkovateľmi nemala zľutovanie a problémy sprostredkovateľa hádzala na plecia prevádzkovateľa, ktorý si ho vybral. Uvedomenie tejto skutočnosti by malo pomôcť zmeniť pohľad subdodávateľov – sprostredkovateľov na bezpečnosť osobných údajov, ako aj na riziká, ktorým sa prípadnou nedôslednosťou vystavujú. Ak ste sprostredkovateľom pre nejakého prevádzkovateľa, tak oboznámenie sa s týmto prípadom je proste nevyhnutnosť.
  8. V Nemecku udelili dozorné orgány (v jednotlivých spolkových krajinách majú samostatné) dokopy 41 pokút, pričom najvyššia z nich bola 80 000,- eur.

Čo ďalej?

Tri veci, ktoré sme sa počas prvého roka o pokutovaní podľa GDPR naučili sú: (a) pokút bude v tomto roku viac (vlaňajšok bol aj pre dozorné orgány len taký warmup a oboznámenie sa s možnosťami GDPR), (b) spolupracujte a dostanete nižší trest (nemecká prax) a na záver (c) pokuty nelietajú v oblakoch (ak si odmyslíme Google).

Od pseudonymizácie k anonymizácii a nie späť

Európski občania majú základné právo na súkromie, preto je dôležité, aby si existenciu tohto práva uvedomovali aj organizácie, ktoré spracúvajú osobné údaje. Pokiaľ sa vykonávajú efektívne, anonymizácia a pseudonymizácia môžu byť použité na ochranu práva na súkromie dotknutých osôb a zároveň umožnia organizáciám vybalansovať toto právo vo vzťahu k ich legitímnym cieľom.

Na to, aby sme mohli zmysluplne hovoriť o anonymizácii a pseudonymizácii je nevyhnutné ujasniť si základné body:

  • Nezvratne a účinne anonymizované údaje nie sú „osobnými údajmi“ a zásady ochrany údajov sa v súvislosti s týmito údajmi nemusia dodržiavať. Pseudonymizované údaje zostávajú osobnými údajmi a aplikujeme na ne požiadavky GDPR.
  • Ak sa zdrojové údaje neodstránia v tom istom čase, keď sa pripravia „anonymizované“ údaje, pričom zdrojové údaje by sa mohli použiť na identifikáciu jednotlivca z „anonymizovaných“ údajov, údaje sa môžu považovať len za „pseudonymizované“, a teda stále „osobné údaje“ podľa príslušných právnych predpisov o ochrane údajov. Zanonymizované budú až po odstránení vstupných dát.
  • Údaje sa môžu považovať za „anonymizované“ z hľadiska ochrany údajov, ak subjekty údajov nie sú identifikované alebo identifikovateľné, so zreteľom na všetky metódy, ktoré prevádzkovateľ alebo akákoľvek iná osoba primerane použije na identifikáciu dotknutej osoby, priamo alebo nepriamo.

Čo sú osobné údaje?

Osobné údaje sú akékoľvek informácie týkajúce sa identifikovaného alebo identifikovateľného jednotlivca. Táto osoba je tiež známa ako „dotknutá osoba“. Identifikovateľný jednotlivec je ten, ktorého možno priamo alebo nepriamo identifikovať, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, údaje o polohe, online identifikátor alebo jeden alebo viac faktorov špecifických pre fyzické, fyziologické, genetické mentálnej, ekonomickej, kultúrnej alebo sociálnej identity tohto jednotlivca.

Vyššie uvedená definícia odráža znenie GDPR a prakticky každého zákona o ochrane osobných údajov v členských štátov EÚ. Údaje o fyzických osobách, ktoré boli anonymizované tak, že z nich nie je možné identifikovať dotknutú osobu ani spolu s niektorými ďalšími informáciami GDPR neupravuje a nepodlieha obmedzeniam spracovania ako osobné údaje.

Čo je to anonymizácia?

„Anonymizácia“ údajov znamená ich spracovanie s cieľom nezvratne zabrániť identifikácii jednotlivca, ktorého sa týka. Údaje sa môžu považovať za efektívne a dostatočne anonymizované, ak sa nevzťahujú na identifikovanú alebo identifikovateľnú fyzickú osobu alebo ak boli anonymné takým spôsobom, že dotknutá osoba nie je identifikovateľná alebo už nie je identifikovateľná.

V súčasnosti prebieha veľa výskumov v oblasti anonymizácie a znalosti o účinnosti rôznych anonymizačných techník sa neustále menia. Preto nie je možné povedať, že konkrétna technika bude naveky 100% účinná pri ochrane identity dotknutých osôb. O čo sa snažíme je pomoc pri identifikácii a minimalizácii rizík pre dotknuté osoby pri anonymizácii ich osobných údajov. V prípade anonymizácie pod pojmom „identifikácia“ rozumieme možnosť získania napr. mena a adresy osoby, ale aj potenciálnu identifikovateľnosť vyčlenením, prepojením a odvodením.

Čo je to pseudonymizácia?

Pseudonymizácia údajov znamená nahradenie všetkých identifikačných charakteristík údajov pseudonymom, alebo hodnotou, ktorá neumožňuje priamu identifikáciu dotknutej osoby.

GDPR definuje pseudonymizáciu ako spracovanie osobných údajov takým spôsobom, aby sa osobné údaje nemohli ďalej pripisovať konkrétnej dotknutej osobe bez použitia dodatočných informácií za predpokladu, že

  • takéto doplňujúce informácie sú oddelené a
  • prostredníctvom technických a organizačných opatrení je zabezpečené, že osobné údaje nebudú priradené identifikovanému alebo identifikovateľnému jednotlivcovi.

Hoci má pseudonymizácia mnoho spôsobov použitia, poskytuje len obmedzenú ochranu identity dotknutých osôb, lebo stále umožňuje identifikáciu pomocou nepriamych prostriedkov. Tam, kde sa používa pseudonym, je často možné identifikovať dotknutú osobu analýzou podkladových alebo súvisiacich údajov.

Použitie anonymizácie a pseudonymizácie

Údaje, ktoré boli nezvratne anonymizované, prestanú byť „osobnými údajmi“ a spracovanie týchto údajov nevyžaduje dodržiavanie zákona o ochrane osobných údajov. V zásade to znamená, že prevádzkovatelia by ho mohli používať na iné účely, než na ktoré boli pôvodne získané, a že by sa mohli uchovávať na dobu neurčitú.

V niektorých prípadoch nie je možné účinne anonymizovať údaje, či už z dôvodu povahy alebo kontextu údajov, alebo z dôvodu použitia, na ktoré sa údaje zhromažďujú a uchovávajú. Aj za týchto okolností však môžu prevádzkovatelia chcieť použiť techniky anonymizácie alebo pseudononymizácie:

  • ako súčasť stratégie ochrany súkromia už v štádiu návrhu, aby sa zabezpečila lepšia ochrana dotknutých osôb;
  • ako súčasť stratégie minimalizácie rizika pri zdieľaní údajov so sprostredkovateľmi alebo inými prevádzkovateľmi;
  • aby sa zabránilo neúmyselnému porušeniu ochrany údajov, ku ktorému dochádza pri prístupe zamestnancov k osobným údajom;
  • v rámci stratégie „minimalizácie údajov“ zameranej na minimalizáciu rizika porušenia ochrany údajov pre dotknuté osoby.

Aké metódy anonymizácie by sa mali použiť?

Rozhodovanie o vhodnej metóde anonymizácie sa musí robiť od prípadu k prípadu so zreteľom na všetky relevantné rizikové faktory uvedené vyššie a na zamýšľaný účel anonymizovaných údajov. Prevádzkovatelia musia vyvážiť potrebu uchovávať všetky informácie potrebné na účel, na ktorý sa majú anonymizované údaje používať, s identifikačnými rizikami, ktoré predstavuje zahrnutie podrobnejších informácií do súboru údajov. Ak údaje nemožno účinne anonymizovať, musia sa stále považovať za osobné údaje. Legislatíva nepredpisuje žiadnu konkrétnu techniku ​​pre anonymizáciu, takže je na jednotlivých prevádzkovateľoch, aby zabezpečili, že proces anonymizácie, ktorý si zvolia, bude dostatočne silný.

Všeobecne povedané, existujú dve rôzne skupiny techník anonymizácie:

  • znáhodnenie a
  • zovšeobecnenie.

Pri znižovaní rizika identifikácie môžu hrať úlohu aj iné techniky, ako napríklad:

  • maskovanie alebo
  • pseudonymizácia,

ktoré sú zamerané výlučne na odstránenie určitých identifikátorov. V mnohých prípadoch tieto techniky fungujú najlepšie, keď sa používajú spoločne, aby sa bojovalo proti rôznym typom identifikačného rizika.

Znáhodnenie (Randomizácia)

Randomizačné techniky zahŕňajú zmenu údajov s cieľom znížiť prepojenie medzi jednotlivcom a údajmi bez straty hodnoty v údajoch. Tieto typy techník sa môžu použiť, ak pre zamýšľaný účel anonymizovaných údajov nie sú potrebné presné informácie. Randomizačné techniky môžu pomôcť znížiť riziko vyvodzovania z anonymizovaných údajov, ako aj riziko zhody údajov medzi súbormi údajov, pokiaľ iné dostupné súbory údajov nepoužijú rovnaké znáhodnené hodnoty.

Randomizácia môže zahŕňať pridanie „šumu“ alebo náhodných malých zmien do údajov, aby sa obmedzila schopnosť útočníka pripojiť údaje k jednotlivcovi. Napríklad v databáze, ktorá zaznamenáva výšku jednotlivcov, by sa mohli urobiť malé zvýšenia alebo zníženia výšky každého subjektu údajov a údaje sa môžu uvádzať ako presné iba v rozsahu dodatkov a odčítaní. Je dôležité zabezpečiť, aby škála šumu, ktorý sa má pridať, bola v súlade so škálou surových hodnôt, aby tento proces nevytváral výsledky úplne mimo skutočných výsledkov. Napríklad v databáze výšky jednotlivcov, sčítanie alebo odčítanie medzi 1 cm a 10 cm môže dosiahnuť prijateľnú úroveň anonymity, ale pridanie alebo odčítanie 1 m nemusí prinášať užitočné údaje, a mohlo by to v niektorých prípadoch dať jasne najavo, na koho údaj odkazuje.

„Permutácia“ je ďalším typom randomizačnej techniky. To zahŕňa výmenu určitých údajov medzi záznamami jednotlivcov, čo sťažuje identifikáciu jednotlivcov prepojením rôznych informácií, ktoré sa ich týkajú. Napríklad v prípade výšky jednotlivcov sa namiesto pridávania náhodného šumu do dát poprehadzujú hodnoty výšky pre rôznych jednotlivcov, takže už nie sú spojené s inými informáciami o tejto osobe. Toto je užitočné, ak potrebujete zachovať presné rozdelenie hodnôt výšky v anonymizovanej databáze, ale nemusíte si udržiavať korelácie medzi hodnotami výšky a inými informáciami o dotknutých osobách.

Zovšeobecnenie (Generalizácia)

Zovšeobecnenie zahŕňa zníženie granularity údajov, takže sú zverejnené iba menej presné údaje. To znamená zníženie pravdepodobnosti, že jednotlivci môžu byť indentifikovaní, pretože viac ľudí bude zdieľať rovnaké hodnoty. Napríklad databáza, ktorá obsahuje vek subjektov údajov, môže byť upravená tak, aby sa zaznamenalo len to, ktoré pásmo vekov jednotlivec spadá (napr. 18-25, 25-35, 35-45,…).

Táto technika však môže byť slabá, ak údaje, ktoré sú spojené so zovšeobecneným poľom, umožňujú jednotlivcovi, aby sa vybral. Napríklad v databáze môže byť 5 ľudí, ktorí žijú v Bratislave, ale ak je iba jeden z nich vyšší ako 1,9 m, budú identifikovateľní.

Maskovanie

Maskovanie je užitočné pri dopĺňaní ďalších anonymizačných techník. Zahŕňa odstránenie zrejmých alebo priamych osobných identifikátorov z údajov. Nevyhnutným predpokladom anonymizácie je, aby anonymný súbor údajov neobsahoval žiadne priame alebo zjavné identifikátory. Takéto informácie môžu obsahovať mená, adresy alebo obrázky.

Samotné maskovanie často umožňuje veľmi vysoké riziko identifikácie, a preto sa za normálnych okolností nebude považovať za anonymizáciu. Je to preto, že takáto technika by umožnila vidieť všetky pôvodné neodmaskované údaje, čím by sa ohrozilo používanie techník porovnávania údajov na odhalenie identity dotknutej osoby.

Pseudonymizácia ako anonymizačná technika

Ak sa pseudonymizácia používa samostatne, nesie podobné riziká ako maskovanie, pretože väčšina pôvodných, nezmenených údajov bude obsiahnutá v pseudonymizovaných údajoch, a preto by techniky porovnávania údajov mohli identifikovať jednotlivé dotknuté osoby. Ďalšou nevýhodou je, že ak sa pseudonym opätovne použije, umožňuje prepojenie rôznych záznamov týkajúcich sa tej istej osoby, čo by spôsobilo ďalšie identifikačné riziká.

Výhodou pseudonymizácie je však možnosť prepojenia rôznych záznamov týkajúcich sa toho istého jednotlivca bez uloženia priamych identifikátorov do údajov. To je užitočné najmä v dlhodobých štúdiách alebo na iné účely, kde je potrebné prepojiť zber údajov v rôznych časoch týkajúcich sa tej istej dotknutej osoby.

V niektorých prípadoch sa môže kombinovať s inými technikami, aby sa umožnilo prepojenie anonymizovaných údajov s tou istou osobou, avšak ak sa tak stane, musí sa pri každom novom súbore údajov zvážiť, či existuje identifikačné riziko so zreteľom na existujúce anonymizované údaje. Pseudonymizácia by sa nikdy nemala považovať za účinný prostriedok anonymizácie, ale možno ju považovať za opatrenie na zvýšenie bezpečnosti  a na zníženie „prepojiteľnosti“ súboru údajov.

 

Tento článok vychádza z rozsiahlejšieho textu dostupného na webe írskeho komisára na ochranu osobných údajov.

Direct Marketing v B2B segmente a GDPR

Zaujímavý post sa objavil na sociálnej sieti Linkedin. Pochádza od Sarah Day, ktorá komunikovala s úradom Komisára pre informácie v UK. Ide o dozorný orgán pre ochranu osobných údajov v UK, niečo ako slovenský Úrad na ochranu osobných údajov SR. Položila otázku ohľadom marketingovej komunikácie na biznisové emailové adresy a právneho základu pre komunikáciu správ priameho marketingu. Obstaranie stanoviska trvalo cez dva mesiace, ale odpoveď je v zásade pozitívna a na konci dňa aplikovateľná aj u nás vďaka mechanizmu konzistentnosti (ľudskou rečou – úrady naprieč EÚ by si nemali protirečiť). Oprávnený záujem prevádzkovateľa je v tomto prípade považovaný za použiteľný právny základ a predchádzajúci súhlas nie je potrebný. Je pravdepodobné, že by sa s týmto názorom stotožnil aj náš dozorný orgán, hoci istotu by sme mali po formálnom posvätení. Pre všetkých čo rozmýšľali nad tým ako spojiť potrebu komunikácie na potenciálnych obchodných partnerov (spoznaných pri rôznych neformálnych príležitostiach) práve s aplikáciou tvrdého znenia GDPR, je práve toto potvrdením vhodnej cesty.

Voľný preklad príspevku od Sarah je:

Trvalo to 67 dní, ale som rada, že som dnes ráno dostanala oficiálnu odpoveď od tímu Office Case. Moja konkrétna otázka bola: „Odpovedzte „áno/nie“ na to, či oprávnené záujmy môžu byť vhodné (ako právny základ spracúvania osobných údajov) na posielanie marketingových e-mailov zamestnancom v právnickej osobe na ich osobné firemné e-mailové adresy (napríklad menoapriezvisko@firma.com) soft-opt in neplatí (napr. ak osoba nie je existujúcim zákazníkom). “ Odpoveď ICO je: „Ak posielate marketingový e-mail podnikateľovi, napríklad menoapriezvisko@firma.com, potom pred odoslaním marketingového e-mailu nepotrebujete predchádzajúci súhlas … Bolo by možné spoľahnúť na legitímne záujmy, ktoré oprávňujú niektorý z vašich podnikov k obchodnému marketingu“.

Netreba však opomenúť fakt, že emailová adresa obsahujúca meno a priezvisko zamestnanca v spojení s zamestnávateľom, môže byť bez akýchkoľvek problémov považovaná za osobný údaj a podlieha pravidlám nakladania s osobnými údajmi v zmysle GDPR, vrátane informačnej povinnosti, technických a organizačných opatrení ako aj uplatňovania práv dotknutých osôb. Potvrdenie oprávneného záujmu od komisára v UK je však dobrá správa pre všetkých čo využívajú túto formu marketingu v komunikácii na biznisových zákazníkov. Ani v tomto prípade by sme však nezabúdali na možnosť odhlásenia z odberu správ (unsubscribe) v každej jednej správe.

Čo by ste mali vedieť o GDPR

Od 25.5.2018 vstupuje do účinnosti nové Všeobecné nariadenie o ochrane osobných údajov (GDPR). Na Slovensku to bude implementované prostredníctvom nového Zákona o ochrane osobných údajov, ktorý bol schválený 29.11.2017.

 

Dobré správy

Toto nové nariadenie je podľa nás principiálne správne a prináša prispôsobenie súčasnej dobe a lepšiu ochranu osobných údajov ľudí. Slovenský zákon je aj teraz dosť prísny, takže ak ho spĺňate, do veľkej miery (určite však nie na 100%) spĺňate aj požiadavky GDPR. Zároveň sa, oproti súčasnému zákonu, znižuje administratívna náročnosť na organizácie – napr. už nebude potrebné vypracovať bezpečnostný projekt. Dobrou správou je aj to, že zo zoznamu osobných údajov osobitnej kategórie zmizlo rodné číslo.

 

Pokuty

Ak vás niekto straší likvidačnými pokutami, pravdepodobne chce na vás zarobiť. Pokuty sú naozaj veľké (4% z obratu až do výšky 20.000.000 Eur), no musia zohľadňovať veľkosť/obrat organizácie a veľkosť „prúseru“. Zároveň musia byť v celej EU uplatňované rovnako – teda za rovnako závažné porušenie rovnako veľká organizácia musí dostať približne rovnako veľkú pokutu v Luxembursku, v Bulharsku, či na Slovensku. Maximálna hranica pokuty je síce likvidačná, no ak sa úradníci budú riadiť zdravým rozumom (a krajiny západnej európy snáď ostatným nedovolia úplne sa ustreliť), tak by udeľovanie likvidačných pokút malo byť skôr výnimočné. Samozrejme len v prípade, že sa aj vy budete riadiť pri spracovaní osobných údajov riadiť zdravým rozumom a rešpektovať právo na ochranu osobných údajov a na ochranu súkromia ľudí. Ak si aj vypracujete potrebnú dokumentáciu (ktorá je oveľa jednoduchšia, ako prikazuje súčasný zákon) a budete dodržiavať pravidlá (ktoré sú trochu prísnejšie, ako doterajšie), tak pokutu nemáte za čo dostať.

 

Čo to znamená pre vás

V prvom rade upozorňujeme na to, že už od roku 2001 u nás platí Zákon o ochrane osobných údajov, ktorý na vás (ak spracúvate osobné údaje (ak ste právnická osoba, tak s najväčšou pravdepodobnosťou nejaké spracúvate)) kladie dosť prísne požiadavky (viac info tu). Určite vám odporúčame splniť súčasné požiadavky lebo aktuálny zákon bude účinný ešte cca pol roka.

GDPR od vás napr. vyžaduje, aby ste si zmapovali, aké údaje spracúvate, o kom, odkiaľ a akým spôsobom ich získavate (a ešte pár ďalších vecí).

Ak máte nad 250 zamestnancov, alebo spracúvate osobné údaje osobitnej kategórie (údaje, ktoré odhaľujú rasový pôvod alebo etnický pôvod, politické názory, náboženskú vieru, filozofické presvedčenie, členstvo v odborových organizáciách, genetické údaje, biometrické údaje, údaje týkajúce sa zdravia alebo údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby), musíte to zdokumentovať v rozsahu podobnom súčasným evidenčným listom (čo nie je veľký rozsah) plus doplniť záznamy o spracovateľských činnostiach. Vyzerá to tak, že by na to mohla stačiť jedna tabuľka s rádovo 15 ridkami a jedným stĺpcom pre každý informačný systém. Dajte nám dole email a pošleme vám vzor, keď budeme mať viac informácií o tom, ako by taká dokumentácia mala konkrétnejšie vyzerať.

Vašich zamestnancov budete musieť písomne zaviazať k mlčanlivosti. Súčasný zákon vyžadoval ich špeciálne poučenie s niekoľkostranovou osnovou a protokolom. Po novom, zdá sa, bude stačiť klauzula v pracovnej zmluve. Ak pre vás spracúvajú osobné údaje externé subjekty (sprostredkovatelia), tak to s nimi musíte ošetriť zmluvne.

Ľuďom, o ktorých údaje spracúvate, budete musieť zrozumiteľne, jasne a jednoducho vysvetliť ich práva. Dôležité sú slová „zrozumiteľne, jasne a jednoducho“, takže už nebude stačiť im niekde zverejniť Copy-Paste text zo zákona. Tiež sa chystáme zverejniť vzor takéhoto poučenia.

Ak vo veľkom rozsahu spracúvate osobitné kategórie osobných údajov, alebo robíte profilovanie s právnymi následkami, alebo robíte monitorovanie verejných priestorov vo veľkom rozsahu, alebo spĺňate ďalšie podmienky, ktoré ešte upresní slovenský úrad na ochranu osobných údajov, tak budete musieť vypracovať aj Posúdenie vplyvu na ochranu osobných údajov.

 

Sledujte nás a bezplatne získate prístup k množstvu praktických zdrojov

Ako prví na Slovensku sme zverejnili vzor dokumentácie, ktorú vyžaduje doterajší (starý) zákon a do jari 2018 plánujeme tak urobiť aj pre nový zákon a GDPR.

V októbri sme zrealizovali bezplatný workshop o tomto zákone – záznam tu.

Aktuálne hľadáme financovanie na to, aby sme mohli vytvoriť sériu bezplatných videoškolení, ktoré vám vysvetlia problematiku a zrozumiteľne vás naučia, ako sa môžete sami zosúladiť s novým nariadením. Sústredíme sa hlavne na tretí sektor, no pravidlá sú pre všetkých rovnaké, takže to môže byť použiteľné aj pre firmy.

Ak máte záujem byť medzi prvými, ktorí dostanú tieto cenné materiály, zapíšte sa do nášho mailinglistu:



Pre aktuálne informácie sledujte aj náš facebook.

Skutočné riziká recyklovania hesiel (1)

V decembri roku 2016 spoločnosť Yahoo oznámila, že odhalila masívny hackerský útok, ktorý skompromitoval viac ako 1 miliardu užívateľských účtov. A to už v roku 2014 bolo v dôsledku bezpečnostného incidentu ohrozených viac ako 500 miliónov používateľov. Zatiaľ čo používatelia zvyčajne obviňujú prevádzkovateľov postihnutých webových stránok, skutočného vinníka však často nájdu v zrkadle vlastnej kúpeľne.

Mnohé incidenty sú spôsobené jedným zdanlivo nevinným spoločným faktorom: „používatelia počítačov a mobilných zariadení až v alarmujúcom rozsahu používajú svoje heslá na viacerých webových stránkach“.

Sme len ľudia a jedna vec, ktorú máme všetci spoločnú je obťiažnosť spomenúť si na trilión hesiel, ktoré používame každý deň na prihlásenie k e-mailom, bankovým účtom, obchodom s aplikáciami a zoznamkám,…

Mnohí používatelia prichádzajú s tým, čo považujú za vynikajúce riešenie. Prečo nepoužívať rovnaké heslo na všetkých stránkach alebo službách, ku ktorým pristupujú? Problém zapamätania všetkých týchto hesiel je okamžite vyriešený!

Nie tak rýchlo.

Štúdia vykonaná na 500 000 počítačoch sledovaných v priebehu troch mesiacov už v roku 2006 zistila, že každý používateľ má v priemere 25 účtov, ale iba 6,5 ​​hesiel. To znamená, že každý užívateľ použil rovnaké heslo v priemere na 4 miestach. Štúdia tiež ukázala, že sa recykluje veľké percento hesiel, ktoré sú považované za slabé. Znamená to, že ak hacker získa prístup k kombinácii používateľského mena a hesla používanej na jednej webovej stránke, existuje veľká šanca, že rovnaké informácie mu otvoria dvere k iným webovým stránkam a službám.

Hoci hackeri používajú na získanie prístupu k súkromným účtom používateľov nástroje ako keylogger či rôzny iný malware, stále je najjednoduchším spôsobom, ako získať prístup ku ktorejkoľvek skupine účtov práve cesta najmenšieho odporu. Tou sú duplicitné kombinácie prihlasovacieho mena a hesla, ktoré boli zozbierané pri prienikoch do iných webových stránok alebo služieb.

V tejto sérii článkov sa pozrieme na to, prečo je opakované používanie hesla zlý zvyk a aké môžu byť dôsledky tejto praxe. Povieme si aj čo môžu používatelia robiť, aby sa tohto zlozvyku zbavili. A spomenieme si niektoré aplikácie a služby, ktoré pomôžu vytvoriť, zapamätať si a spravovať heslá a ďalšie cenné informácie.

Prečo je teda recyklovanie hesiel zlé?

Zatiaľ čo veľká väčšina používateľov vie, že opätovné používanie hesiel je zlé, robia to naďalej. Prieskum uskutočnený vývojármi aplikácie na správu hesiel Lastpass na vzorke 2000 používateľoch internetu z USA, Nemecka, Francúzska, Nového Zélandu, Austrálie a Veľkej Británie ukázal, že:

  • 91% opýtaných vie ako nebezpečné je znovu použiť heslá, ale 61% z nich to aj tak robí (ich hlavný dôvod na zmenu hesla je zábudlivosť),
  • iba 29% respondentov z bezpečnostných dôvodov mení svoje heslá.

Respondenti, ktorí sa zúčastnili prieskumu, venovali najväčšiu pozornosť ochrane svojich online bankových účtov (69%), účtov v eshopoch (43%), prihláseniu na sociálnych sieťach (31%) a v rôznych účtov k službách  venovaným zábave (20%).

V štúdii sa tiež uvádza, že v roku 2014:

  • až 110 miliónov Američanov vo veku nad 18 rokov malo svoje osobné informácie kompromitované hackermi,
  • približne 19 ľudí sa stalo obeťami krádeže identity každú 1 minútu.
  • trvá priemerne 18 mesiacov a 200 hodín práce, kým sa odstránia následku krádeže identity.

Pomôže niektorá z týchto informácii používateľom rozmyslieť si opakované používanie jedného hesla? Určite by mala.

Ľudská nátura je vo veľkom rozsahu vinná za situáciu, ktorej teraz čelíme. Je to také ľudské, že keď sme konfrontovaní s ohromným počtom webových stránok, zariadení, aplikácií a sietí, ktoré vyžadujú prihlasovacie údaje, tak nás skôr či neskôr zasiahne únava z bezpečnosti. Tá môže zmeniť postoj k opätovnému použitiu hesla, z ktorého sa stane jednoducho cesta najmenšieho odporu.

Aj naša osobnosť nás môže ohroziť. Štúdia z dielne Lastpass poukazuje na dva vzorové typy správania používateľov:

  • Typ A sú ľudia, ktorí veria, že aj napriek recyklovaniu hesiel nie sú ohrození vďaka vlastnému organizovanému systému a proaktívnym zručnostiam.
  • Typ B sú ľudia, ktorí veria, že ich účty majú malú hodnotu pre hackerov, čo im umožňuje udržiavať príležitostný postoj k opakovanému použitiu hesla.

Chcete dostať menší šok? Preverte si svoje emailové adresy na https://haveibeenpwned.com/ a zistite, či prístup k niektorému z vašich účtov, kde adresu používate ako login nebol ohrozený. Je ľahké sledovať ako jedna kompromitovaná služba môže viesť k ďalším a veľkým dôvodom je opakované použitie hesla.

V marci tohto roka hackerská skupina známa ako „Turkish Crime Family“ tvrdila, že má prístup k 250 miliónom účtu iCloud. Hoci sa niektoré ich vyjadrenia nepotvrdili, predsa poskytli ZDNetu prístupy k 54 iCloudovým účtom, z ktorých mnohé boli potvrdené ako platné. Hackerská skupina požadovala výkupné v Bitcoinoch. Vyhrážali sa, že zresetujú milióny účtov a zároveň vzdialene povymazávajú zariadenia, ktoré sú s nimi spárované.

Apple tvrdil, že ak skupina skutočne má k dispozícii prihlasovacie informácie iCloud, tak to nebolo hacknutím serverov iCloud. „Zdá sa, že údajný zoznam e-mailových adries a hesiel bol získaný z kompromitovaných služieb tretích strán,“ uviedol Apple vo vyhlásení pre CNET. Väčšina používateľov iCloud, ktorí boli na 54 člennom zozname hackerov potvrdila pre ZDNet, že používali svoju e-mailovú adresu a heslo z iCloudu aj inde, napríklad na Facebooku, Twitteru a iných obľúbených stránkach. Avšak tri z kontaktovaných osôb uviedli, že ich prihlasovacie údaje boli použité len na iCloude.

Turkish Crime Family oznámila 10. apríla 2017 víťazstvo. Tvrdili, že ​​Apple to vzdal a vyplatil im výkupné. Podľa stavu ich peňaženky bolo výkupné v bitcoinoch skutočne zaplatené. Či už Apple platil alebo nie, neexistujú žiadne správy o zresetovaných účtoch na iCloud a vymazaných zariadeniach.

Aj keď neexistuje spôsob, ako to dokázať, opakované používanie hesla by mohlo byť jednou z príčin iCloud hacku. Jeho užívatelia, ktorí majú svoj účet chránený dvojfaktorovou autentifikáciou však môžu byť v kľúde. Hackeri by nemali mať prístup k ich účtom, keďže na prihlásenie do účtu iCloud na nedôveryhodnom počítači alebo mobilnom zariadení sú potrebné ďalšie doplňujúce informácie okrem hesla.

Opakované používanie rieši problém so zabúdaním hesiel, môže však výrazne ovplyvniť náš život. Vedome tak hackerom zľahčujeme napadnutie našich účtov.

Tento článok je prvým dielom série o recyklovaných heslách a bol vytvorený v spolupráci PIXEL PRIVACY.

Skontrolujte si nastavenia súkromia vo Windows 10

To, že výrobcovia softvéru to občas riadne preženú sa môžeme presvedčiť aj na smutnom príklade jedného zo softvérových gigantov. Hriešnikom je práve Microsoft, ktorý si svojich fanúšikov pohneval funkcionalitami novej verzie operačného systému Windows 10. Okrem toho, že si bez informovaného a aktívneho súhlasu používateľa chcel posielať celý rad privátnych dát, inštaloval aj zbytočné služby, ktoré mnohí používatelia nepotrebovali. Niektorých to viedlo až k vytvoreniu skriptu, ktorý tieto funkcie zakázal a nepotrebné súčasti odinštaloval.

Svojim prístupom si na seba Microsoft privolal zaslúženú pozornosť holandskej alternatívy nášho Úradu na ochranu osobných údajov. Dozorný orgán preveril ignorovanie požiadavky na informovaný a aktívny súhlas používateľa pre zber dát, ktorý mal Windows 10 v rozpore s požiadavkami miestneho zákona o ochrane osobných údajov automaticky zapnutý. Ak ho používateľ ručne nedeaktivoval, tak na serveri Microsoftu odchádzali z jeho zariadenia informácie o jeho polohe, reklamných preferenciách, vyhľadávaných slovách či otázkach položených virtuálnej asistentke Cortane alebo telemetrické dáta, ktoré nebolo vôbec možné úplne vypnúť. Korunu tomu všetkému Micorosoft nasadil aktualizáiou Creators Update, ktorou opätovne pozapínal všetky tieto funkcionality, aj keď ich používateľ pri prvej inštalácii cielene vypol.

Všetky najdôležitejšie informácie o tejto kauze nájdete v sumárnej správe z vyšetrovania holandského úradu a na ich internetovej stránke.

Ak si chcete preveriť, ktoré zo spomínaných nastavení máte vo svojom počítači zapnuté, tak choďte do Windows 10 menu Nastavenia (Settings) a kliknite na sekciu Súkromie (Privacy). Nájdete v nej položky ako Poloha, Kamera, Mikrofón, Notifikácie a iné. Jednoducho môžete povypínať všetko, čo nechcete do Microsoftu posielať, ale aj určiť aplikácie, ktorým povolíte prístup ku kamere, mikrofónu, kontaktom či kalendáru.

Pokročilejší používatelia môžu siahnuť po vyššie uvedenom skripte alebo iných ľahko dostupných nástrojoch.

Hrozby falošných priateľov na sociálnych sieťach

Nezriedka sa môže stať, že nás so žiadosťou o priateľstvo osloví osoba, ktorú vôbec nepoznáme. Hoci nás rozšírenie počtu priateľov môže tešiť, nemali by sme bezhlavo potvrdzovať kohokoľvek. Je dôležité uvedomiť si, že akceptovaním priateľstva získava neznáma osoba prístup širokému rozsahu údajov, ktoré o nás nemusia byť verejne známe. V prípade nekalých úmyslov, môže neznámy „priateľ“ zneužiť údaje z privátneho profilu:

  • na uhádnutie jednoduchších hesiel či odpovedí na bezpečnostné otázky k účtom na sociálnej sieti alebo na iných stránkach či službách (resetnutie prihlasovacích údajov napríklad aj k emailovým účtom – vymknúť používateľa a zneužiť účet na zasielanie spamu),
  • na to, aby sa prinajmenšom v online svete vydával za svoju obeť,
  • získanie dôveryhodnosti a následne môže následne zverejňovať príspevky s odkazmi na nebezpečné stránky, ktoré by sme my alebo naši priatelia za normálnych okolností ignorovali,
  • budovanie zoznamov emailových adries na rozosielanie spamu

V neposlednom rade, akceptovaním priateľstva neznámeho so nekalými úmyslami ohrozujeme aj svojich skutočných priateľov, keďže sa takáto neznáma osoba dostáva aj informáciám na ich profiloch zdieľaných v režime viditeľnosti „priatelia priateľov“.

V prípade, že by útočník dokázal ovládnuť profil na sociálnej sieti (uhádnuť heslo alebo resetnúť prihlasovacie údaje), riziko sa rozširuje na:

  • priateľov našich priateľov (pri profiloch so stovkami kontaktov je dopad o to výraznejší),
  • FB stránky či firemné profily, ktoré spravujeme prostredníctvom súkromných účtov,
  • účty, do ktorých sa prihlasujeme s rovnakým heslom,
  • stránky a služby, na ktoré sa prihlasujeme prostredníctvom samotného účtu na sociálnej sieti.

Ako sa chrániť?

Najdôležitejšie je byť obozretný pri akceptovaní žiadostí o priateľstvo od neznámych ľudí. Nič nepokazí, keď si so žiadateľom vymeníme zdvorilú správu o tom, či a odkiaľ sa poznáme alebo dôvodoch jeho žiadosti. Zabúdať by sme nemali ani na nastavenia súkromia nášho profilu v rámci sociálnej siete. Od nich závisí napríklad aj to, či a ako nás možno vyhľadať a kontaktovať.

Plus klasika:

  • nepoužívať jednoduché heslá,
  • nerecyklovať heslá na viacerých weboch či službách,
  • zamyslieť sa nad tým, čo všetko o sebe odhaľujem svojimi príspevkami a nad tým kto ich môže vidieť, napríklad aj v režime viditeľnosti „priatelia priateľov“. Počet ľudí, ktorým sú informácie takto dostupné môže byť až prekvapivo veľký (priatelia priateľov,…).

Tomáša z tímu Súkromie.digital k tejto téme vyspovedalo aj RTVS do rozhlasovej reportáže: Cudzinci na internete a ich žiadosti o priateľstvá