IP adresa – je to teda osobný údaj?

Spoza „veľkej mláky“ sa k nám pravidelne dostavajú názory odborníkov, ale aj laikov hovoriace, že IP adresa za žiadnych okolností nemôže byť považovaná za osobný údaj. Európa v tom však má už pomerne dlhú dobu jasno. Čierne na bielom to prišlo z Bruselu od Pracovnej skupiny podľa článku 29 (dvorného vykladača Smernice Európskeho parlamentu a Rady 95/46/EC z 24. októbra 1995 o ochrane jednotlivcov pri spracúvaní osobných údajov a voľnom pohybe týchto údajov) a vo svojich stanoviskách to preberajú aj úrady na ochranu osobných údajov členských štátov (keďže ich predsedovia to čierne na bielom v pracovnej skupine schválili).

Ale k veci. Prečo vlastne niekto 4 čísla oddelené bodkami považuje za osobný údaj? Pracovná skupina uviedla, že „poskytovatelia prístupu na internet a správcovia miestnych sietí môžu pomocou primeraných prostriedkov identifikovať užívateľov internetu, ktorým pridelili IP adresy pretože zvyčajne systematicky „zaznamenávajú“ do súboru dátum, čas, trvanie a dynamickú IP adresu pridelenú užívateľovi internetu. To isté možno povedať o poskytovateľoch internetových služieb, ktorí vedú prevádzkový denník na serveri HTTP. V týchto prípadoch možno nepochybne hovoriť o osobných údajoch…“ – viď jej stanovisko z minulého roku.
V stanovisku sa ďalej píše, že „najmä v prípadoch, keď sa IP adresy spracúvajú na účely identifikácie užívateľov počítača (napríklad vlastníkmi autorských práv, ktorí chcú stíhať užívateľov počítača za porušenie práv duševného vlastníctva) kontrolór – tu ide o pojem, ktorý by mal byť u nás skôr prekladaný ako prevádzkovateľ aby korešpondoval s terminológiou nášho zákona o ochrane osobných údajov – očakáva, že budú k dispozícii „prostriedky, u ktorých je primeraná pravdepodobnosť, že sa využijú“ na identifikáciu osôb, napríklad prostredníctvom súdov, na ktoré sa obrátia (inak nemá zhromažďovanie informácií žiadny význam), a preto by sa informácie mali považovať za osobné údaje.

Osobitným prípadom by boli určité druhy IP adries, ktoré za určitých okolností skutočne neumožňujú identifikáciu užívateľa z rôznych technických a organizačných dôvodov. Jedným z príkladov by mohli byť IP adresy pridelené počítaču v internetovej kaviarni, kde sa nevyžaduje žiadna identifikácia zákazníkov. Mohlo by sa namietať, že údaje zhromaždené o využívaní počítača X počas určitého časového rámca neumožňujú identifikáciu užívateľa primeranými prostriedkami, a preto nie sú osobnými údajmi. Je však nutné uviesť, že poskytovatelia internetových služieb pravdepodobne nebudú vedieť, či príslušná IP adresa je alebo nie je adresou, ktorá umožňuje identifikáciu, a že spracujú údaje spojené s touto IP adresou rovnakým spôsobom, ako spracúvajú informácie spojené s IP adresami užívateľov, ktorí sú riadne zaregistrovaní a identifikovateľní. Takže pokiaľ poskytovateľ internetových služieb nemôže s absolútnou istotou rozlíšiť, či údaje zodpovedajú užívateľom, ktorí sa nedajú identifikovať, bude musieť pre istotu spracovať všetky informácie IP ako osobné údaje“.

Napísať to nejako inak by znamenalo vymýšľať teplú vodu – preto som to proste pastol. Táto línia sa vďaka stanovisku pracovnej skupiny tiahne celou EÚ a výklad orientovaný týmto smerom by si mali osvojiť všetky dozorné orgány na ochranu osobných údajov v členských štátoch EÚ. Takže dynamická či pevná, v mnohých prípadoch môže IP-čka viesť k tomu, komu bola pridelená.

Nórsky poprask s rodnými číslami

Nórska administratíva si zamiesila na problém. Daňováci podľa iDNES.sk poskytli omylom rodné čísla 3.9 milióna Nórov médiám.

U nás by to šlo ohodnotiť ako neoprávnené poskytnutie alebo neoprávnené sprístupnenie osobných údajov pričom ide o tzv. citlivé údaje. A problém by bol u nás väčší lebo nórske médiá majú teraz k dispozícii aj daňové priznania, ktoré na Slovensku nie sú prístupné verejnosti.

Ako si uplatním svoje práva?

Dotknutá osoba – človek, ktorého osobné údaje niekto spracúva, máva často pocit, že sa to nedeje celkom s “kostolným poriadkom“ a teda v súlade so zákonom o ochrane osobných údajov. Tiež sa môže stať, že má podozrenie či niekto náhodou nespracúva jeho osobné údaje bez právneho základu (tým môže byť napríklad súhlas alebo zákon) alebo pochybnosť o tom, z akého zdroja údaje pochádzajú. Mnohí už dnes vedia, že pri dovolávaní sa svojich práv môžu využiť pomoc Úradu na ochranu osobných údajov SR  cez oznámenie o porušení zákona (ľudovo povedané „sťažnosť“). Nie je to však až také jednoduché a oznámeniu na úrade by malo predchádzať tzv. uplatnenie práva dotknutej osoby.

Legislatíva ochrany osobných údajov u nás (ale aj inde v EÚ) počíta s aktívnou spoluprácou dotknutej osoby. Naše veci alebo čokoľvek na čom nám záleží si chránime pred zlodejmi alebo tými, ktorí nám chcú nejako uškodiť. Podobný prístup sa očakáva aj pri nakladaní s osobnými údajmi. Aktívna ochrana nespočíva iba v tom, že nedávame svoje každému len tak pre nič za nič, a že nevypĺňame každý formulár na webe či inde. Potrebná je aj v momente, keď máme pocit, že niekto nám do nášho práv na ochranu osobných údajov (zapísaného aj v Ústave SR) zasahuje.Keď sa teda chcem sťažovať na úrade na niektorého prevádzkovateľa (spracúvajúceho moje údaje), potrebujem ho predtým osloviť so svojimi požiadavkami.

  • Ak mám teda pocit, že niekto má moje údaje a pritom by ich nemal mať – opýtam sa ho na to.
  • Ak mi je jasné, že ich má, ale neviem odkiaľ – opýtam sa ho na tiež.
  • Ak chcem vedieť aké údaje o mne prevádzkovateľ má – rovnako sa opýtam.
  • Ak má o mne údaje, ktoré sú nesprávne, neúplné alebo neaktuálne – požiadam ho o opravu.
  • Ak podľa mňa došlo k splneniu účelu spracúvania alebo si myslím, že je porušený zákon o ochrane osobných údajov – požiadam o likvidáciu mojich údajov.
  • Ak si myslím, že moje údaje budú spracúvané na účely priameho marketingu (cielená reklama) – zašlem mu svoje námietky.
  • Ak nechcem, aby sa moje údaje (titul, meno, priezvisko, adresa) boli využívané alebo poskytované na priamy marketing – rovnako môžem namietať.

Aby boli naše snahy účinné, musia spĺňať požiadavky zákona. V tomto prípade je to hlavne písomný charakter. Na prvý pohľad pôsobí táto požiadavka obmedzujúco a prísne byrokraticky. Treba si však uvedomiť, že túto moju písomnú žiadosť budem potrebovať v prípade, že mi prevádzkovateľ nevyhovie a ja ho budem chcieť oznámiť úradu. Preto je najlepšie, ak svoju písomnú žiadosť pošlem doporučene a odložím si jej kópiu aj s podacím lístkom. Môžu v ďalšom konaní poslúžiť ako dôkaz, že prevádzkovateľ porušil zákon. Nehovoriac o tom, že ich treba priložiť k oznámeniu o porušení zákona (sťažnosť na úrade). Dotknutá osoba totiž síce pri podozrení, že jej osobné údaje sa neoprávnene spracúvajú, môže podať o tom oznámenie úradu, ale súčasťou oznámenia sú dôkazy na podporu tvrdení uvedených v oznámení a tiež kópia listiny preukazujúcej uplatnenie práva dotknutej osoby ako sme si povedali vyššie (ak sa takéto právo mohlo uplatniť alebo uvedenie dôvodov hodných osobitného zreteľa).

Pokiaľ si teda uplatňujem svoje práva ako dotknutá osoba spôsobom, ktorý mi predpisuje zákon (teda písomne), prevádzkovateľ je povinný mi odpovedať do 30 dní a to rovnako písomným spôsobom. Spravidla to musí urobiť bezplatne. Iba v prípade informácií o zdroji, z ktorého má údaje a pri odpise údajov (keď sa pýtam – aké údaje o mne spracúva).

Nie všetko patrí na web…

O WEB 2.0 sa už popísalo mnoho. Koncoví užívatelia – jednotlivci, ktorí boli pomerne dlho iba konzumentmi obsahu sa skokom dostali do úplne novej pozície. Začali generovať svoj vlastný obsah a publikovať ho.

Túto možnosť dostali náhle a bez akéhokoľvek návodu, bez poznania všetkých dôsledkov, ktoré im môže priniesť. Prišla k nim spolu s nástupom aplikácií vytvorených práve na tento účel – dať bežnému človeku s prístupom na internet šancu a priestor na to, aby sa podelil so svojimi odbornými skúsenosťami, ale (bez ohľadu na to aký je) aj so svojim súkromným životom.

Typickým príkladom je BLOG, ktorý registrovaným užívateľom umožňuje vytvárať si internetové stránky a kŕmiť ich obsahom podľa vlastného uváženia. Takýto užívateľ spravidla podlieha povinnosti dodržiavať všeobecné podmienky portálov a odkliknutím súhlasu vezme na vedomie aj zoznam vecí, ktoré na jeho webstránku nepatria. Nikto mu však nepovie, že na web proste nemá nerozvážne uploadovať osobné údaje. Z pravidiel portálov zväčša vyplýva, že blogger nemá zverejňovať osobné údaje iných osôb bez ich súhlasu. Bloggeri si však často neuvedomujú, že opatrní by mali byť aj vo vzťahu k osobným údajom, ktoré sa týkajú ich vlastnej osoby.

Zverejňovanie osobných údajov má pomerne rozsiahle dôsledky aj do budúcna. Prakticky je to licencia na spracúvanie osobných údajov pre kohokoľvek, kto sa k nim dostane. Bez súhlasu dotknutej osoby možno osobné údaje spracúvať vtedy (okrem iného), ak sa spracúvajú už zverejnené osobné údaje. V týchto prípadoch treba osobné údaje náležite označiť a byť pripravený, že ak to bude potrebné (napr. návšteva inšpektora z UOOU SR) treba preukázať, že spracúvané osobné údaje boli už zverejnené. Domáhať sa ochrany proti spracúvaniu zverejnených údajov podľa zákona o ochrane osobných údajov je potom prinajmenšom problematické.

Táto otázka je dôležitá aj z pohľadu detských bloggerov či microbloggerov. Deti sa ešte stále zžívajú s internetom ľahšie ako ich rodičia. Otvorene pritom píšu o všetkom čo zažívajú, alebo čo ich trápi. Vytvárajú fotogalérie, uploadujú videá zo svojich mobilov, popisujú seba a svojich rodičov. Nerozlišujú medzi bežnými neškodnými informáciami a osobnými údajmi či dokonca citlivými osobnými údajmi. O tom, že takýmto správaním priťahujú pozornosť rôznych typov surferov asi netreba písať. Je samozrejme na rodičoch ako sa k tomu postavia.

Na pomoc novodobým redaktorom (bloggerom a ostatným čo publikujú online) rovnako ako aj ich (občas aj prekvapeným) rodičom prichádza viacero webov zameraných na problematiku súkromia:

a určite sa nájde aj viacero iných stránok, ktoré pomôžu všetkým čo majú záujem dozvedieť sa z tejto oblasti čo najviac. V prípadoch keď práve blogger je tá osoba, ktorá píše a zverejňuje obsah, totiž nebude mať možnosť hnevať sa na niekoho iného za zverejnenie dát nepatriacich na svetlo internetu.