Pracovná skupina podľa článku 29, ktorá je poradným orgánom Európskej komisie a pozostáva zo šéfov jednotlivých úradov na ochranu osobných údajov všetkých členských štátov EÚ sa opäť zaoberala WhatsAppom. Medzi hlavné výčitky smerom k poskytovateľovi služieb instantnej komunikácie zaraďuje list adresovaný CEO WhatsAppu (na kópii je aj Facebook) nedostatky súhlasu ako neposkytnutie informácii dotknutým osobám (používateľom), dopredu zaškrtnutý checkbox pri súhlase, vynucovanie súhlasu s Privacy Policy či posúvanie údajov Facebooku.

Rok 2016 prináša najväčšie zmeny v ochrane osobných údajov za posledných 20 rokov

Pracovná skupina podľa článku 29 (A29WP), ktorá je poradným orgánom Európskej komisie v oblasti ochrany osobných údajov a súkromia zverejnila minulý týždeň svoj Akčný plán na rok 2016. Týka sa implementácie európskeho nariadenia o ochrane údajov, ktoré pre A29WP znamená aj zmenu modelu vlastného fungovania. Nový model fungovania A29WP kladie väčší dôraz na postavenie národných dozorných orgánov (DPA) a tiež vzájomnú spoluprácu medzi nimi a novou Európskou radou pre ochranu údajov (EDPB), na ktorú sa má A29WP transformovať.

A29WP identifikovala na rok 2016 štyri zásadné body, ktorým sa bude primárne venovať:

  • Zriadenie EDPB po štrukturálnej a administratívnej stránke, ktoré zahŕňa rozpočet, IT, ľudské zdroje, ale najmä nový systém zabezpečujúci tzv. „one-stop-shop“. Najmä one-stop-shop možno považovať za výhodu novej legislatívy ochrany osobných údajov, lebo umožňuje subjektom s aktivitami vo viacerých členských štátoch EÚ vybaviť všetky formality na jednom DPA v jedinom členskom štáte. To isté platí aj pre dotknuté osoby, ktorých osobné údaje sú predmetom spracúvania. Tieto sa budú môcť domáhať ochrany svojich práv na ktoromkoľvek DPA v EÚ.
  • Ďalším bodom Akčného plánu na rok 2016 je príprava samotného fungovania one-stop-shop systému. Otvorené zostávajú otázky ustanovenia Vedúcej DPA pre cezhraničné otázky spracúvania osobných údajov prevádzkovateľom informačného systému, ktorá bude koordinátorom spolupráce jednotlivých zainteresovaných DPA. Pozornosť však A29WP plánuje venovať aj spolupráci pri vynucovaní rozhodnutí a zabezpečení toho, aby bol rozhodovací proces konzistentný naprieč celou EÚ.
  • V pláne A29WP je tiež vypracovanie pravidiel pre:
    • portabilitu – možnosť vziať si svoje osobné údaje od prevádzkovateľa a preniesť ich k niekomu inému,
    • pojem „vysoké riziko“ najmä v súvislosti s oznamovaním bezpečnostných incidentov samotnej dotknutej osobe,
    • Data Protection Impact Assessment (DPIA) – hodnotenie dopadov na ochranu osobných údajov,
    • certifikáciu,
    • interný dozor nad ochranou osobných údajov u prevádzkovateľa – Data Protection Officer (u nás nazývaný aj „Zodpovedná osoba“).
  • V neposlednom rade musí A29WP meniaca sa na EDPB venovať pozornosť komunikačnej stratégii. V procese implementácie nového európskeho nariadenia o ochrane údajov bude potrebné predstaviť odbornej i laickej verejnosti nielen nové predpisy, ale aj staronovú úlohu EDPB v procese ochrany osobných údajov.

Zdá sa, že ani A29WP nemôže rozumne očakávať, že všetky plány naplní ešte tohto roku a tak termíny ohraničila rokom 2017.

Zdroj: Statement on the 2016 action plan for the implementation of the General Data Protection Regulation (GDPR)

Ochrana osobných údajov 2012-2013

Pracovná skupina podľa článku 29, ako európsky poradný orgán pre ochranu osobných údajov, mieni v rokoch 2012-2013 sústrediť svoju činnosť na šesť hlavných strategických tém a niektoré aktuálne otázky, ktoré považuje z hľadiska ochrany údajov za najrelevantnejšie:

  • Implementácia existujúcej smernice o ochrane údajov a príprava na uplatňovanie budúceho právneho rámca
  • Účinnejšie fungovanie pracovnej skupiny zriadenej podľa čl. 29 a orgánov na ochranu údajov
  • Reagovanie na technologické výzvy (cloud computing, rozpoznávanie tváre, používanie anonymizačných techník, vyhľadávanie pomocou prístroja na odoberanie odtlačkov/prístrojová identifikácia, usmernenia týkajúce sa aplikácií pre smartfóny)
  • Zabezpečenie súdržného a účinného prístupu k ochrane údajov v priestore slobody, bezpečnosti a spravodlivosti
  • Riešenie otázok globalizácie a medzinárodného prenosu údajov
  • Aktuálne otázky (elektronická štátna správa, biometria,…)

Celé znenie pracovného programu skupiny nájdete na:
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp190_sk.pdf

DO-NOT-TRACK je na dobrej ceste aj v EÚ

Už pomerne dlhú dobu prebieha komunikácia medzi zástupcami odvetvia behaviorálného marketingu a Pracovnou skupinou podľa článku 29. Kým jedna strana dala do obehu svoj Code of Conduct, druhá zase prispela svojim stanoviskom Opinion 16/2011 on the EASA/IAB Best Practice Recommendation on Online Behavioural Advertising. Ako sa však zdá, spoločná reč je stále ešte otázkou dlhých rokovaní a kompromisov. Ani nové pravidlá, ktoré si osvojili behaviorálni marketéri totiž podľa ochrancov osobných údajov nespĺňajú požiadavky stanovené v ePrivacy Directive. Skupina29 síce ocenila snahy marketérov pri zavádzaní rôznych mechanizmov, ako výbornú funkciu však vyzdvihla mechanizmus DO-NOT-TRACK z dielne W3C, aj keď úplnú súhru so smernicou ePrivacy nenašla ani tu. DO-NOT-TRACK protokol by mal byť najskôr globálne rozšírený, plus ako tvrdia ochrancovia dát, aby mohol byť v súlade so smernicou, musí umožňovať predchádzajúci súhlas so získavaním osobných údajov priamo v internetovom prehliadači a nesmie vynechať súčasnú opt-out webstránku .

Kde a kedy vznikne kompromis sa ešte budeme musieť nechať prekvapiť.

Zdroj: http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2012/20120301_reply_to_iab_easa_en.pdf

OPT-IN vs. OPT-OUT

EU FLAG
Pracovná skupina podľa článku 29 (WP29), ktorá je poradným orgánom Európskej komisie, zloženým z čelných predstaviteľov dozorných orgánov na ochranu osobných údajov jednotlivých členských štátov Európskej únie, sa zišla 14. septembra 2011 za zatvorenými dverami so zástupcami Interactive Advertising a ďalších záujmových onlinemarketingových skupín, aby prediskutovala obavy zo samoregulačných mechanizmov zavedených v odvetví internetovej reklamy. Výsledkom tohto stretnutia bolo konštatovanie WP29, že princíp opt-out zaužívaný v online reklame porušuje princípy ochrany osobných údajov stanovené európskou legislatívou. Smernica Európskeho parlamentu a Rady 95/46/EC o ochrane jednotlivcov pri spracovaní osobných údajov a voľnom pohybe týchto údajov totiž vyžaduje pri získavaní osobných údajov súhlas dotknutej osoby vyjadrenie jej súhlasu so spracúvaním, pričom opt-out metóda automaticky predpokladá, že súhlas existuje až do momentu kým dotknutá osoba neuskutoční konkrétne vymedzené kroky na zabránenie spracúvaniu jej údajov. Podľa WP29 takýto prístup, keď dotknutá osoba z akýchkoľvek príčin voči spracúvaniu jej údajov nenamietne, nemožno v žiadnom prípade stotožňovať s explicitne vyjadreným súhlasom. Ako vyplýva z tlačového vyhlásenia WP29: „Iba vyjadrenia a úkony môžu byť na rozdiel od mlčania či nečinnosti považované za platný súhlas“. Hoci do konca roka 2011 zostáva len niekoľko mesiacov, zo stanoviska WP29 vyplýva, že odporúčanie k online reklame a jej zosúladeniu s princípmi ochrany osobných údajov neplánuje odkladať až na ďalší rok.

Súkromie spotrebiteľov ohrozené na oboch brehoch Atlantiku

Trans Atlantic Consumer Dialogue – fórum amerických a európskych organizácií na ochranu spotrebiteľa, ktorého predstavitelia a členovia spracovali v minulosti spoločnú politiku odporúčaní pre Vládu USA a EÚ s cieľom napomôcť ochrane záujmov spotrebiteľov – sa listom obrátilo na Davida Vladecka (Federálna obchodná komisia, USA) a Jacoba Kohnstamma (Pracovná skupina podľa čl. 29, EÚ), aby poukázalo na obavy z nedostatočnej účinnosti samoregulačných systémov implementovaných v EÚ a USA na oblasť online behaviorálneho marketingu.

Tento list oznamuje konanie Interactive Advertising Bureau, obchodnej skupiny, ktorej najvýznamnejší členovia sú najväčší zberatelia údajov Google, Microsoft a Facebook. Táto skupina prijala nový kódex a rozšírila ho medzi svojich 500 členov. Znamená okrem iného aj piktogramové označovanie zbierania dát na reklamné marketingov účely a neprehľadné postupy ako zbieraniu dát o svojej osobe zabrániť.

TACD odporúča americkej a európskej strane:

• prešetriť a vykonať regulačné kroky vo vzťahu k novým hrozbám atakujúcim súkromie spotrebiteľov, ktoré prináša nárast získavania informácií o online správaní jednotlivcov a následného obchodovania s nimi,
• zamerať sa na vytvorenie globálnych všeobecných štandardov pre ochranu súkromia a spotrebiteľov pri elektronickom nakupovaní, ktoré by v najvyššej možnej miere korešpondovali s ochranou ľudských práv,
• zabezpečiť ucelenú implementáciu a vynútenie uplatňovania existujúcich pravidiel ochrany osobných údajov a súkromia vrátane princípov minimalizácie rozsahu spracúvaných údajov, obmedzenia účelu ich použitia, doby uchovávania a informačnej bezpečnosti,
• venovať sa neustále sa vyvíjajúcim technikám používaným na profilovanie internetových používateľov a prijať opatrenia, ktoré pôjdu až za bežné cookies tretích strán, na ktoré sa doteraz regulátory zameriavali.

Záverom svojho listu nabáda hlavný sekretár TACD Julian Knott k odmietnutiu súčasného samoregulačného režimu fungujúceho v oblasti online behaviorálneho marketingu pre jeho neprimeranosť. Odporúča spoluprácu skupín z oblasti priemyslu, ochrany spotrebiteľa a súkromia a vykonanie revízie existujúcej ochrany súkromia spotrebiteľov.

Úplné znenie listu TACD: http://www.tacd.org/

RFID už dávno nie je len budúcnosť

RFID je zvláštny fenomén modernej doby. Radio Frequency Identification – rádio frekvenčná identifikácia je technológia, ktorá si razí cestu do každodenného života nás všetkých veľmi rýchlo a bez akýchkoľvek okolkov sa hlási o slovo. Niet pochýb o tom, že môže uľahčiť život mnohých vo viacerých oblastiach ekonomického, spoločenského, kultúrneho či hocijakého iného aspektu života. Náhrada čiarových kódov, rôznych ceduliek označujúcich veci, identifikácia zvierat – toto všetko je fajn a praktické, ale…

Čo však v prípade, keď označený RFID čipom bude človek – ľudská bytosť – jednotlivec? V tomto prípade to už prestáva byť také zábavné. Využitie však má stále siahodlhý zoznam benefitov. Pacientov v nemocnici si personál už nikdy nepomýli čím odpadnú fatálne následky z náhodnej zámeny liekov (pokiaľ sú aj tieto označené), „očipované“ dieťa sa nezatúla a iné. Čo však obavy zo straty súkromia či obavy zo zásahu do práva na ochranu osobných údajov. O nositeľovi čipu je možné zaznamenávať celý rad dát, pričom báť sa nebudeme iba o dáta zaznamenané na čipe, ale aj o dáta, ktoré nositeľ vygeneruje svojim správaním.

Pokiaľ je čip v tovare a nie na samotnom človeku (v jeho tele) môže sa to javiť ako bezpečné. Najmä čo sa týka tovarov v obchodoch ide o pomerne zaujímavú pomôcku pri narábaní so skladovými zásobami či evidenciou tovaru prechádzajúceho cez pokladne. Hrozbou, ktorá však vie skrížiť krok súkromiu nakupujúceho môže byť napríklad spojenie tovaru s platobnou kartou kupujúceho a (v tom lepšom prípade) vytváranie nákupného profilu (čo pri niektorých citlivých druhoch tovaru môže byť zároveň aj ten horší prípad). Nepravdepodobné, že by mohlo isť o zásah do súkromia? Stačí si k tomu pridať vernostnú kartu s identifikačnými údajmi a profil je dokonalý. Už aj teraz je takéto profilovanie zákazníkov v zásade možné, pri vydávaní vernostných kariet si predajcovia nechávajú podpísať súhlas so spracúvaním osobných údajov na najrôznejšie účely. Výmenou za pár bodov a či halierové (čoskoro „milicentové“) zľavy takto majú k dispozícii unikátnu vzorku živých ľudí na marketingové či iné účely. Riziká zásahu do súkromia spočívajú aj v tom, že vzory správanie jednotlivca môžu byť zaznamenané často aj bez jeho vedomia.

Obavy z RFID vyjadrili na pôde EÚ aj šéfovia úradov na ochranu osobných údajov, ktorí ich zhrnuli do viacerých bodov – rizikovými sú pri použitím RFID:

  • získavanie informácií priamo alebo nepriamo spojených s osobnými údajmi (napr. spájanie zakúpených tovarov s kupujúcimi)
  • ukladanie údajov (napr. rôzne vstupné karty obsahujúce aj kontaktné – identifikačné údaje dotknutej osoby)
  • odhaľovanie údajov o jednotlivcoch bez použitia tradičných identifikátorov (podľa nakupovaných tovarov možno napríklad odhaliť stravovacie návyky, zdravotný stav a pod.).

Vzhľadom na pomerne širokú definíciu pojmu osobný údaj bude v každom prípade potrebné posudzovať individuálne pre jednotlivé situácie či sa na použitie technológie RFID uplatní legislatíva ochrany osobných údajov alebo nie.