Krádež identity vs zákon o ochrane osobných údajov

Pravdou je, zákon o ochrane osobných údajov sa krádežou identity nezaoberá a sociálne inžinierstvo vníma ako metódu narušenia integrity, dôvernosti a dostupnosti z pohľadu rizík, ktoré hrozia osobným údajom spracúvaným v informačných systémoch. Dôvod pre tento fakt je prozaický. Zákon o ochrane osobných údajov sa vzťahuje iba niektoré aspekty nakladania s osobnými údajmi. Nie je to dané ľubovôľou zákonodarcu, ale vyplýva to z legislatívy EÚ a RE, ktorá bola buď transformovaná do našej legislatívy alebo sa na jej znenie museli brať v procese normotvorby ohľady. Zákon o ochrane osobných údajov sa teda vzťahuje výlučne na osobné údaje systematicky spracúvané úplne alebo čiastočne automatizovanými prostriedkami spracúvania alebo inými ako automatizovanými prostriedkami spracúvania, ktoré sú súčasťou informačného systému alebo sú určené na spracúvanie v informačnom systéme (§ 1 odsek 4). Netýka sa osobných údajov, ktoré spracúva fyzická osoba pre vlastnú potrebu v rámci výlučne osobných alebo domácich činností, ako je vedenie osobného adresára alebo korešpondencia a netýka sa ani osobných údajov, ktoré boli získané náhodne bez predchádzajúceho určenia účelu a prostriedkov spracúvania, bez zámeru ich ďalšieho spracúvania v usporiadanom systéme podľa osobitných kritérií a nie sú ďalej systematicky spracúvané (§ 2a).

Tak z pozitívneho ako aj z negatívneho vymedzenia pôsobnosti zákon vyplýva skutočnosť, že nerieši nakladanie s osobnými údajmi, ktoré nie sú súčasťou informačných systémov alebo z nich aspoň nepochádzajú. Spoločne s úzkym rozsahom pôsobnosti zákona sa nevyhnutne spája aj možnosť dozorného orgánu konať v otázkach jeho porušenia. Aby to bolo ešte jednoduchšie, zoznam skutkových podstát správnych deliktov, za ktoré môže Úrad na ochranu osobných údajov SR (ďalej len „Úrad“) uložiť sankciu je uvedený priamo v zákone (§ 49). Tento zoznam je v zásade konečný a nemožno ho svojvoľne rozširovať. Jediná flexibilita je daná hornou a dolnou hranicou finančnej sankcie, čo však nemožno vnímať ako negatívne. Predsa len ide o konanie správneho orgánu rozhodujúceho o právach a povinnostiach fyzických a právnických osôb, a tak presne vymedzené mantinely sú alfou a omegou jeho legality.

Ako je však zrejmé, krádež identity v tomto zozname deliktov nenájdeme. A tým by táto odpoveď teoreticky mohla skončiť. Dalo by sa však ďalej povedať, že krádež identity je istý spôsob konania, ktorý môže viesť k páchaniu trestnej činnosti. Zriedkakedy totiž zostáva osamotená a bez akéhokoľvek ďalšieho kontextu. Väčšinou je len čiastkovým cieľom a páchateľ sa snaží ovládnuť identitu iného s konkrétnym nekalým zámerom. Môže ním byť spáchanie niektorého z trestných činov podvodu (uvedenie inej osoby do omylu, že je niekým iným) alebo sa páchateľ maskujúci identitou niekoho iného môže dopustiť iného protiprávneho konania. V konečnom dôsledku môže spáchať akýkoľvek z trestných činov a identitu ukradne v snahe vrhnúť tieň podozrenia na inú osobu a odvrátiť hrozbu trestného stíhania od seba samého. Z tohto dôvodu si svoje miesto pri odhaľovaní a boji proti takejto forme spoločensky neprijateľného správania nachádzajú orgány činné v trestnom konaní. Ako náhle však vo veci koná orgán činný v trestnom konaní, Úrad zaťahuje ručnú brzdu (odloží vec povinne – § 45 odsek 3 písmeno a) alebo môže odložiť vec lebo chce § 45 odsek 4 písmeno a). Niet sa čo diviť, že Úrad v prípade podozrenia zo spáchania trestného činu podáva bezodkladne trestné oznámenie a uvoľní priestor orgánom činným v trestnom konaní. Je to v súlade so zásadou hospodárnosti konania a tiež v súlade s rozdelením kompetencií jednotlivých orgánov verejnej moci.

Je to teda koniec? NIE…
Úrad sa môže stále za určitých okolností vrátiť na scénu. Nie však ako orgán pranierujúci páchateľa krádeže identity, ale ako orgán, ktorý potrestá prevádzkovateľa informačného systému, z ktorého unikli osobné údaje použité na krádež identity a prikáže mu vykonať opatrenia na nápravu. Táto situácia však môže nastať len za predpokladu, že je zdroj údajov možné jednoznačne identifikovať a údaje unikli pochybením prevádzkovateľa informačného systému. Prevádzkovateľ je totiž povinný zabezpečiť systém a údaje v ňom spracúvané (§ 15). Na tento účel povinne prijme primerané personálne, technické a organizačné opatrenia, ktoré vo väčšine prípadov aj zdokumentuje v bezpečnostnej dokumentácie zvanej Bezpečnostný projekt. Únik dát zo systému je spravidla dôkazom, že niektoré z opatrení boli zanedbané a práve tu nachádzame prienik so sociálnym inžinierstvom ako jednou z metód, ktorou možno zaútočiť na informačný systém cez personál prevádzkovateľa.

Okrem plátania dier, z ktorých unikli údaje a snahe Úradu donútiť prevádzkovateľov informačných systémov k bezpečnému nakladaniu s nimi nemá ďalšie možnosti postupovať vo veci krádeže identity. Môže sa už len snažiť vplývať na zvyšovanie povedomia tak prevádzkovateľov ako aj samotných dotknutých osôb.

Čo teda s falošnými účtami?
Falošné účty na sociálnych sieťach či emailových službách si spravidla dotknutá osoba reportuje priamo u poskytovateľa danej služby a pokiaľ dôjde k poškodeniu povesti alebo inej ujme na osobnostných právach tak je spravidla príslušný civilný súd. V otázkach zverejnených údajov odkazuje zákon o ochrane osobných údajov na občianskoprávne konanie hneď na dvoch miestach – § 7 odsek 4 písmeno a) a tiež § 7 odsek 7, ktorý výslovne uvádza, že ten, kto mieni zverejniť osobné údaje dotknutej osoby, nesmie svojím konaním neoprávnene zasahovať do práva na ochranu jej osobnosti a súkromia; ich zverejnenie nesmie byť v rozpore s oprávnenými záujmami dotknutej osoby.

Všetky odkazy na paragrafy, ktoré som tu uviedol smerujú do zákona o ochrane osobných údajov v aktuálnom znení . Snáď by som bolo ešte zaujímavé pozrieť sa na Trestného zákon na trestný čin neoprávneného nakladania s osobnými údajmi v § 374 (ale to sme už v trestnom konaní).

Pridaj komentár