Aj taký bol rok 2011

1. Rok sa nám začal síce klasicky januárom, ale o to „magickejšie“ počas Dňa ochrany osobných údajov, keď kúzla s dátumami predviedol Úrad na ochranu osobných údajov SR. Bloger Vyskoč zdokumentoval záhadné obsahové zmeny stránky http://www.uoou.sk, s odkazom na minimalistický a zároveň lokálny dopad aktivít na propagáciu problematiku ochrany osobných údajov. Držíme palce, aby sa tohtoročný reparát dozornému orgánu podaril. Deň ochrany osobných údajov (28.1.2012) treba totiž v rámci (aj finančných) možností náležite osláviť a spropagovať .

Info:
http://vyskoc.blog.sme.sk/c/254737/Magia-dna-ochrany-osobnych-udajov.html
Deň ochrany osobných údajov 2011

2. V marci nám zahviezdila rovno Národná rada Slovenskej republiky, keď zo zverejňovaných materiálov, medzi ktorými bol aj životopis predsedu Úradu na ochranu osobných údajov SR, pozabudla vymazať rodné číslo. Tento krok si zaslúži pomyselnú „zlatú malinu“ za extra FAIL a dôkaz o tom, že život (najmä ten politický) je najväčší recesista a osobné údaje toho kto dozerá na ich ochranu sa vedia túlať internetom rovnako jednoducho ako každého z nás. Nemáme vedomosť o tom či mal tento prípad dohru v podobe finančnej sankcie.

Info:
NRSR FAIL RC predseda
NRSR vs Zakon

3. Koniec marca priniesol spoza rieky Moravy skutočne rázny závan čerstvého vzduchu. Ústavný súd ČR sa totiž stotožnil s názorom, že právna úprava o uchovávaní údajov v telekomunikačnej prevádzke porušuje ústavnoprávne limity, keďže nespĺňa požiadavky vyplývajúce z princípu právneho štátu a je v rozpore s požiadavkami pre obmedzenie základného práva na súkromie v podobe práva na informačné sebaurčenie v zmysle článku 10 odsek 3 a článku 13 Listiny základných práv a slobôd, ktoré vyplývajú z princípu proporcionality. Ako FAIL na Slovensku to uvádzame preto, lebo u nás si táto úprava cestu na Ústavný súd SR nenašla. Uvidíme či sa jej to podarí v roku 2012.

Info: http://www.eisionline.org/index.php/sk/projekty-m-2/ochrana-sukromia/6-eisi-podalo-navrh-na-generalnu-prokuraturu-sr

4. Priam prvoaprílovo znie jarná trenica medzi premiérkou a Úradom na ochranu osobných údajov SR o konaní/nekonaní v 4 roky starej veci zverejnenia údajov poslankyňou NR SR Janou Valovou o neúčasti opozičných poslancov NR SR v druhom pilieri dôchodkového systému. Pani premiérka bola vtedy poslankyňou NR SR a v tomto prípade vystupovala ako oznamovateľka a dotknutá osoba. Obrana dozorného orgánu viedla až k odváženiu a vyfotografovaniu 11 kilového spisového materiálu (fotografia z webu Úradu už zmizla…)

Takéto komédie (týka sa oboch strán) ochrane osobných údajov na Slovensku prospievajú skutočne najmenej.

5. V apríli skončil ešte pred dverami Vlády SR návrh novely zákona o ochrane osobných údajov pripravovaný 3 roky. Čiastočne pre nedostatok politickej vôle, ale aj pre niektoré kontroverzné inštitúty. Treba však povedať, že skončil v Legislatívnej rade, ktorá prerokovala návrh zákona a neodporučila vláde návrh v predloženom znení schváliť s tým, že odporúča predkladateľovi vypracovať nový zákon o ochrane osobných údajov, resp. ešte predtým vypracovať vecný zámer, v ktorom by sa vecne vyriešila otázka postavenia a nezávislosti Úradu na ochranu osobných údajov. Odvtedy sa na túto tému v legislatívnych kruhoch mlčí.

6. V máji nás prekvapilo Sčítanie 2011. Možno ani nie tak nás, ako skôr Štatistický úrad, ktorý si napriek identifikácii všetkých čo vyplnili sčítacie formuláre neprestajne opakoval mantru – „nemáme osobné údaje, sčítanie je anonymné a my sme nič neporušili“. Úrad na ochranu osobných údajov SR proti tomu zakročil, ale nešťastným spôsobom, ktorý mal za následok zapojenie Generálnej prokuratúry – bohužiaľ však žalostne neznalej vecnej stránky problematiky ochrany osobných údajov.

Info:
Sčítanie po slovensky

7. Sčítanie doznievalo aj v júli, keď sa Úrad na ochranu osobných údajov prezentoval vyhlásením o tom, že svoje tvrdenie o neanonymite sčítania nezmenil ani po vydaní „Rozhodnutia o proteste prokurátora“, ktorým svoje stanovisko zrušil z dôvodu istých procesných, nie vecných pochybení. Procesné pochybenie spočíva v tom, že úrad nedoručil stanovisko z 20. mája 2011 Štatistickému úradu v zmysle správneho poriadku, čo mu vytýkala Generálna prokuratúra úradu v proteste. Svojim rozhodnutím teda vyhovel protestu Generálnej prokuratúry SR. Vecnou stránkou je však tvrdenie úradu, že považuje sčítanie v etape získavania údajov za neanonymné. Výsledok zatiaľ nebol nemedializovaný, ale možno predpokladať, že ochrancovia údajov to nenechali len tak. Dúfajme, že niečo z ich vyšetrovania presiakne aj na verejnosť, lebo momentálne pri slove „sčítanie“ horkne slina, každému koho zaujíma ochrana jeho súkromia a osobných údajov.

8. November spustil vlnu prepisov odposluchov z rôznych zdrojov. Od Kaliňáka inštruujúceho novinárku Pravdy, až po Pentu riadiacu celú republiku. Pekné spracovanie Wanda-Kaliňák spravilo SME a Gorilu (Penta vs. SR) si trochu nešťastne aj s rodnými číslami zavesilo na svoj server napríklad aj TA3.

9. November ani december nás nenechali na pochybách o tom, že nielen samospráva, ale aj naše televízie stále nechápu, čo znamená absolútny zákaz zverejňovania rodných čísel. A tak radnica v Stropkove, rovnako ako aj tá v Ružomberku sa pridali spoločne s televíziami Markíza a TA3 (ešte teraz sú rodné čísla online) do klubu nepoučiteľných.

Info:
http://www.espektrum.sk/index.php?text=4106-mesto-nerespektuje-ochranu-osobnych-udajov
http://www.stropkov.sk/resources/File/spektrum_2011_45.pdf
http://www.ta3.com/clanok/6531/ruzomberok-zverejnil-osobne-udaje-obyvatelov-na-internete.html
Televízie stále zverejňujú rodné čísla
http://static.ta3.com/public/data/Article/6172/file/gorila.txt

Aj taký bol rok 2011…o rozpočtovej kríze radšej ani nehovorme. Spoločne preto poprajme ochrane osobných údajov, ale aj nám všetkým, aby bol rok 2012 po všetkých stránkach lepším! 🙂

Rebríček najväčších PRIVACY PRÚSEROV 2011

Končiaci sa rok 2011 bol bohatý na prúsery v oblasti ochrany osobných údajov súkromia, a to tak doma ako i vo svete. Portál https://www.privacyrights.org zhrnul poltucet tých najvýznamnejších vo svojom malom rebríčku:

1. Ako prvý uviedli FAIL z dielne SONY, kde sa vraj v apríli zastavil istý hacker, ktorý sa zásobil menami, adresami, emailovými adresami, dátumami narodenia, heslami do sietí Playstation a Qriocity, prihlasovacími menami a ID viacerých užívateľov. Predpokladá sa, že útočník mohol získať aj históriu nákupov užívateľov, fakturačné adresy a tiež informácie o password security question. O niekoľko mesiacov neskôr bolo zistené, že hacker získal prístup k 101,6 miliónom záznamov, vrátane 12 mil. nezašifrovaných čísel kreditných kariet.
INFO:
http://www.huntonprivacyblog.com/2011/04/articles/gaming-security-breach-only-on-playstation/
http://attrition.org/security/rant/sony_aka_sownage.html

2. Ďalšou hviezdou v poradí bol americký poskytovateľ služieb elektronickej pošty, ktorý rovnako v apríli ohlásil bezpečnostný incident s dopadom na 75 klientských firiem. Konzervatívne odhady vravia o úniku 50-60 mil. emailových adries a až 250 miliónov emailov sa tak ocitlo v nebezpečenstve. Hoci meno a email, možno neznejú príliš tragicky, podvodníkom využívajúcim phishing to však v mnohých prípadoch stačí na ich nekalé ciele.
INFO:
http://www.databreaches.net/?p=17374

3. Sutter Physicians Services a Sutter Medical Foundation si celkom užili len pred pár mesiacmi, keď po krádeži nešifrovaného počítača z kancelárskych priestorov zmenili držiteľa zdravotné záznamy 4,2 milióna pacientov. Medzi údajmi v počítači boli mená, adresy, diagnózy, emaily, telefóny dátumy narodenia. Hoci medzi uniknutými údajmi neboli čísla sociálneho zabezpečenia a ani žiadne finančné informácie, Sutter Health sa nevyhol žalobe pre nedbanlivosť ohľadom bezpečnosti spracúvaných údajov.

4. Kontrolný úrad v Texase sa problémom nevyhol po tom, čo údaje o z viacerých dôchodkových inštitúcií bolo možné prečítať z verejného serveru. Údaje (mená, čísla sociálneho zabezpečenia, čísla vodičákov, adresy a dátumy narodenia) sa mohli týkať 2-3,5 milióna texasanov, v ktorých mene bola samozrejme podaná spoločná žaloba.

5. Health Net zase prišlo o 9 serverov s osobnými údajmi 1,9 milióna dotknutých osôb, pričom sa bavíme o menách, adresách zdravotných dátach, číslach sociálneho zabezpečenia, ale aj finančných informáciách. Rozsah tohto bezpečnostného incidentu zväčšuje aj skutočnosť, že prevádzkovateľ si nesplnil povinnosť informovať dotknuté osoby o úniku ich údajov, aby mohli prijať aspoň minimálne opatrenia na odvrátenie škôd.

6. Posledným v rebríčku PrivacyRights.org je TRICARE, o ktorom sme písali aj u nás. Približne 5 miliónov dotknutých osôb a celá plejáda zdravotných a finančných údajov. Novinkou je snáď informácia o žalobe podanej štyrmi dotknutými osobami. Požadovaná náhrada škody sa šplhá k piatim miliardám dolárov, čo by znamenalo tisícku pre každého, čo z pohľadu firmy môže byť veľa ale s ohľadom na jednotlivca to nie je žiadne terno.
INFO: USA reportujú ohrozenie miliónov-zdravotných-údajov

Aj takýto bol teda rok 2011 čo sa týka ochrany osobných údajov a súkromia vo svete či skôr prevažne v USA. Zaujímavo by však mohli vyzerať aj podobné rebríčky na Slovensku. U nás neplatí povinnosť oznamovať bezpečnostné incidenty, takže je nemožné získať podobné štatistiky. Bruselskí legislatívci nám však chystajú revíziu smernice pre ochranu údajov, ktorá by s Data Breach Notification mala počítať.

ZDROJ:
https://www.privacyrights.org/top-data-breach-list-2011