Máte doma reproduktor Echo od Amazonu? Virtuálny asistent Alexa nemusí byť jediný, kto vás počúva. Podľa informácií Bloombergu zamestnáva Amazon tisíce zamestnancov, ktorí počúvajú nahrávky z Echa 9 hodín denne. O tomto projekte museli podpísať dohodu o mlčanlivosti, napriek tomu dvaja z nich povedali reportérom, že počuli niečo čo identifikovali ako sexuálne násilie.

Pokuty, pokuty, pokuty…

Blížime sa k výročiu účinnosti GDPR a tak namieste je aspoň stručná sumarizácia:

  1. U susedov v Českej republike je miestny úrad pomerne zdielny. Na svojich stránkach zverejňuje celý rad informácií dostupných podľa infozákona. Vďaka tomu vieme, že úrad právoplatne udelil pokuty v rozsahu od 10 do 30 tisíc českých korún a neprávoplatne (stále beží nejaká forma odvolacieho konania) ešte 2 pokuty vo výške 50 a 250 tisíc korún. Celkovo sa tak bavíme o ôsmych pokutách, pričom porušenia sa týkali článkov 5 (4 pokuty), 6 (2 pokuty) a 15 (2 pokuty) GDPR. Prevádzkovatelia tak v Čechách a na Morave majú predbežne najväčšie problémy s právnym základom a s uplatňovaním práv dotknutých osôb.
  2. Na sever od nás bola udelená takmer miliónová pokuta. Keďže však hovoríme o poľskej mene, tak ide “len” o 220 000,- eur. V tomto prípade sa jedná o spoločnosť spracúvajúcu osobné údaje z verejných zdrojov. Porušenie sa malo týkať nesplnenia informačnej povinnosti vo vzťahu k 6 miliónom dotknutých osôb. Argument “stálo by nás to 7 miliónov eur” nepomohol a tak v prípade právoplatnosti rozhodnutia bude prevádzkovateľ platiť pokutu a zároveň tie náklady vytiahne z vrecka tak či tak.
  3. Rovný 1 milión HUF (niečo málo cez 3100,- eur) sa ušiel prevádzkovateľovi v Maďarsku, ktorý obmedzil právo dotknutej osobe vo vzťahu ku kamerovému záznamu. Miestna legislatíva určovala povinnosť dotknutej osoby preukázať oprávnený záujem, no GDPR takúto požiadavku nepozná. Kolíziu noriem vyriešili v prospech GDPR.
  4. Portugalský úrad si zgustol na zdravotníckom zariadení po zistení, že k zdravotným údajom pacientov pristupujú zdravotníci pod fiktívnymi profilmi (aj ex-zamestnancov) a nebol zabezpečená minimalizácia ani proporcionalita. Pokuta 400 tisíc eur chvíľu viedla rebríček GDPR sankcií.
  5. Prekonal ju samozrejme Google s 50 miliónmi eur od francúzskeho úradu CNIL za nedostatočné splnenie informačnej povinnosti, nehovoriac o Facebooku s 500 tisícmi za Cambridge Analytica (ešte spred GDPR) s čím dodnes bojuje.
  6. Ešte pred účinnosťou GDPR neoprávnene obchodovala spoločnosť Bounty Limited (prevádzkovateľ tehotenského/rodičovskeho portálu) s údajmi svojich používateľov. Nezákonné poskytovanie sa týkalo 14 miliónov dotknutých osôb. Práve teraz sa dočkali pokuty, ktorá však napriek predGDPRovej dobe nie je vôbec nízka. Jej výška 400 tisíc libier ukazuje, že komisár v Spojenom kráľovstve ani v minulosti netrpel nedostatkom sankčných kompetencií.
  7. Taliansky úrad udelil svoju prvú pokutu podľa GDPR. Týkala sa nedostatočných bezpečnostných opatrení. Nešlo by o nič výnimočné, keby túto pokutu dostal prevádzkovateľ informačného systému (Controller). Taliansky dozorný orgán však pokutoval sprostredkovateľa (Processor). Prvýkrát sa tak stalo, že za konanie sprostredkovateľa netrpel prevádzkovateľ ako podľa starej legislatívy, ktorá s prevádzkovateľmi nemala zľutovanie a problémy sprostredkovateľa hádzala na plecia prevádzkovateľa, ktorý si ho vybral. Uvedomenie tejto skutočnosti by malo pomôcť zmeniť pohľad subdodávateľov – sprostredkovateľov na bezpečnosť osobných údajov, ako aj na riziká, ktorým sa prípadnou nedôslednosťou vystavujú. Ak ste sprostredkovateľom pre nejakého prevádzkovateľa, tak oboznámenie sa s týmto prípadom je proste nevyhnutnosť.
  8. V Nemecku udelili dozorné orgány (v jednotlivých spolkových krajinách majú samostatné) dokopy 41 pokút, pričom najvyššia z nich bola 80 000,- eur.

Čo ďalej?

Tri veci, ktoré sme sa počas prvého roka o pokutovaní podľa GDPR naučili sú: (a) pokút bude v tomto roku viac (vlaňajšok bol aj pre dozorné orgány len taký warmup a oboznámenie sa s možnosťami GDPR), (b) spolupracujte a dostanete nižší trest (nemecká prax) a na záver (c) pokuty nelietajú v oblakoch (ak si odmyslíme Google).

Od pseudonymizácie k anonymizácii a nie späť

Európski občania majú základné právo na súkromie, preto je dôležité, aby si existenciu tohto práva uvedomovali aj organizácie, ktoré spracúvajú osobné údaje. Pokiaľ sa vykonávajú efektívne, anonymizácia a pseudonymizácia môžu byť použité na ochranu práva na súkromie dotknutých osôb a zároveň umožnia organizáciám vybalansovať toto právo vo vzťahu k ich legitímnym cieľom.

Na to, aby sme mohli zmysluplne hovoriť o anonymizácii a pseudonymizácii je nevyhnutné ujasniť si základné body:

  • Nezvratne a účinne anonymizované údaje nie sú „osobnými údajmi“ a zásady ochrany údajov sa v súvislosti s týmito údajmi nemusia dodržiavať. Pseudonymizované údaje zostávajú osobnými údajmi a aplikujeme na ne požiadavky GDPR.
  • Ak sa zdrojové údaje neodstránia v tom istom čase, keď sa pripravia „anonymizované“ údaje, pričom zdrojové údaje by sa mohli použiť na identifikáciu jednotlivca z „anonymizovaných“ údajov, údaje sa môžu považovať len za „pseudonymizované“, a teda stále „osobné údaje“ podľa príslušných právnych predpisov o ochrane údajov. Zanonymizované budú až po odstránení vstupných dát.
  • Údaje sa môžu považovať za „anonymizované“ z hľadiska ochrany údajov, ak subjekty údajov nie sú identifikované alebo identifikovateľné, so zreteľom na všetky metódy, ktoré prevádzkovateľ alebo akákoľvek iná osoba primerane použije na identifikáciu dotknutej osoby, priamo alebo nepriamo.

Čo sú osobné údaje?

Osobné údaje sú akékoľvek informácie týkajúce sa identifikovaného alebo identifikovateľného jednotlivca. Táto osoba je tiež známa ako „dotknutá osoba“. Identifikovateľný jednotlivec je ten, ktorého možno priamo alebo nepriamo identifikovať, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, údaje o polohe, online identifikátor alebo jeden alebo viac faktorov špecifických pre fyzické, fyziologické, genetické mentálnej, ekonomickej, kultúrnej alebo sociálnej identity tohto jednotlivca.

Vyššie uvedená definícia odráža znenie GDPR a prakticky každého zákona o ochrane osobných údajov v členských štátov EÚ. Údaje o fyzických osobách, ktoré boli anonymizované tak, že z nich nie je možné identifikovať dotknutú osobu ani spolu s niektorými ďalšími informáciami GDPR neupravuje a nepodlieha obmedzeniam spracovania ako osobné údaje.

Čo je to anonymizácia?

„Anonymizácia“ údajov znamená ich spracovanie s cieľom nezvratne zabrániť identifikácii jednotlivca, ktorého sa týka. Údaje sa môžu považovať za efektívne a dostatočne anonymizované, ak sa nevzťahujú na identifikovanú alebo identifikovateľnú fyzickú osobu alebo ak boli anonymné takým spôsobom, že dotknutá osoba nie je identifikovateľná alebo už nie je identifikovateľná.

V súčasnosti prebieha veľa výskumov v oblasti anonymizácie a znalosti o účinnosti rôznych anonymizačných techník sa neustále menia. Preto nie je možné povedať, že konkrétna technika bude naveky 100% účinná pri ochrane identity dotknutých osôb. O čo sa snažíme je pomoc pri identifikácii a minimalizácii rizík pre dotknuté osoby pri anonymizácii ich osobných údajov. V prípade anonymizácie pod pojmom „identifikácia“ rozumieme možnosť získania napr. mena a adresy osoby, ale aj potenciálnu identifikovateľnosť vyčlenením, prepojením a odvodením.

Čo je to pseudonymizácia?

Pseudonymizácia údajov znamená nahradenie všetkých identifikačných charakteristík údajov pseudonymom, alebo hodnotou, ktorá neumožňuje priamu identifikáciu dotknutej osoby.

GDPR definuje pseudonymizáciu ako spracovanie osobných údajov takým spôsobom, aby sa osobné údaje nemohli ďalej pripisovať konkrétnej dotknutej osobe bez použitia dodatočných informácií za predpokladu, že

  • takéto doplňujúce informácie sú oddelené a
  • prostredníctvom technických a organizačných opatrení je zabezpečené, že osobné údaje nebudú priradené identifikovanému alebo identifikovateľnému jednotlivcovi.

Hoci má pseudonymizácia mnoho spôsobov použitia, poskytuje len obmedzenú ochranu identity dotknutých osôb, lebo stále umožňuje identifikáciu pomocou nepriamych prostriedkov. Tam, kde sa používa pseudonym, je často možné identifikovať dotknutú osobu analýzou podkladových alebo súvisiacich údajov.

Použitie anonymizácie a pseudonymizácie

Údaje, ktoré boli nezvratne anonymizované, prestanú byť „osobnými údajmi“ a spracovanie týchto údajov nevyžaduje dodržiavanie zákona o ochrane osobných údajov. V zásade to znamená, že prevádzkovatelia by ho mohli používať na iné účely, než na ktoré boli pôvodne získané, a že by sa mohli uchovávať na dobu neurčitú.

V niektorých prípadoch nie je možné účinne anonymizovať údaje, či už z dôvodu povahy alebo kontextu údajov, alebo z dôvodu použitia, na ktoré sa údaje zhromažďujú a uchovávajú. Aj za týchto okolností však môžu prevádzkovatelia chcieť použiť techniky anonymizácie alebo pseudononymizácie:

  • ako súčasť stratégie ochrany súkromia už v štádiu návrhu, aby sa zabezpečila lepšia ochrana dotknutých osôb;
  • ako súčasť stratégie minimalizácie rizika pri zdieľaní údajov so sprostredkovateľmi alebo inými prevádzkovateľmi;
  • aby sa zabránilo neúmyselnému porušeniu ochrany údajov, ku ktorému dochádza pri prístupe zamestnancov k osobným údajom;
  • v rámci stratégie „minimalizácie údajov“ zameranej na minimalizáciu rizika porušenia ochrany údajov pre dotknuté osoby.

Aké metódy anonymizácie by sa mali použiť?

Rozhodovanie o vhodnej metóde anonymizácie sa musí robiť od prípadu k prípadu so zreteľom na všetky relevantné rizikové faktory uvedené vyššie a na zamýšľaný účel anonymizovaných údajov. Prevádzkovatelia musia vyvážiť potrebu uchovávať všetky informácie potrebné na účel, na ktorý sa majú anonymizované údaje používať, s identifikačnými rizikami, ktoré predstavuje zahrnutie podrobnejších informácií do súboru údajov. Ak údaje nemožno účinne anonymizovať, musia sa stále považovať za osobné údaje. Legislatíva nepredpisuje žiadnu konkrétnu techniku ​​pre anonymizáciu, takže je na jednotlivých prevádzkovateľoch, aby zabezpečili, že proces anonymizácie, ktorý si zvolia, bude dostatočne silný.

Všeobecne povedané, existujú dve rôzne skupiny techník anonymizácie:

  • znáhodnenie a
  • zovšeobecnenie.

Pri znižovaní rizika identifikácie môžu hrať úlohu aj iné techniky, ako napríklad:

  • maskovanie alebo
  • pseudonymizácia,

ktoré sú zamerané výlučne na odstránenie určitých identifikátorov. V mnohých prípadoch tieto techniky fungujú najlepšie, keď sa používajú spoločne, aby sa bojovalo proti rôznym typom identifikačného rizika.

Znáhodnenie (Randomizácia)

Randomizačné techniky zahŕňajú zmenu údajov s cieľom znížiť prepojenie medzi jednotlivcom a údajmi bez straty hodnoty v údajoch. Tieto typy techník sa môžu použiť, ak pre zamýšľaný účel anonymizovaných údajov nie sú potrebné presné informácie. Randomizačné techniky môžu pomôcť znížiť riziko vyvodzovania z anonymizovaných údajov, ako aj riziko zhody údajov medzi súbormi údajov, pokiaľ iné dostupné súbory údajov nepoužijú rovnaké znáhodnené hodnoty.

Randomizácia môže zahŕňať pridanie „šumu“ alebo náhodných malých zmien do údajov, aby sa obmedzila schopnosť útočníka pripojiť údaje k jednotlivcovi. Napríklad v databáze, ktorá zaznamenáva výšku jednotlivcov, by sa mohli urobiť malé zvýšenia alebo zníženia výšky každého subjektu údajov a údaje sa môžu uvádzať ako presné iba v rozsahu dodatkov a odčítaní. Je dôležité zabezpečiť, aby škála šumu, ktorý sa má pridať, bola v súlade so škálou surových hodnôt, aby tento proces nevytváral výsledky úplne mimo skutočných výsledkov. Napríklad v databáze výšky jednotlivcov, sčítanie alebo odčítanie medzi 1 cm a 10 cm môže dosiahnuť prijateľnú úroveň anonymity, ale pridanie alebo odčítanie 1 m nemusí prinášať užitočné údaje, a mohlo by to v niektorých prípadoch dať jasne najavo, na koho údaj odkazuje.

„Permutácia“ je ďalším typom randomizačnej techniky. To zahŕňa výmenu určitých údajov medzi záznamami jednotlivcov, čo sťažuje identifikáciu jednotlivcov prepojením rôznych informácií, ktoré sa ich týkajú. Napríklad v prípade výšky jednotlivcov sa namiesto pridávania náhodného šumu do dát poprehadzujú hodnoty výšky pre rôznych jednotlivcov, takže už nie sú spojené s inými informáciami o tejto osobe. Toto je užitočné, ak potrebujete zachovať presné rozdelenie hodnôt výšky v anonymizovanej databáze, ale nemusíte si udržiavať korelácie medzi hodnotami výšky a inými informáciami o dotknutých osobách.

Zovšeobecnenie (Generalizácia)

Zovšeobecnenie zahŕňa zníženie granularity údajov, takže sú zverejnené iba menej presné údaje. To znamená zníženie pravdepodobnosti, že jednotlivci môžu byť indentifikovaní, pretože viac ľudí bude zdieľať rovnaké hodnoty. Napríklad databáza, ktorá obsahuje vek subjektov údajov, môže byť upravená tak, aby sa zaznamenalo len to, ktoré pásmo vekov jednotlivec spadá (napr. 18-25, 25-35, 35-45,…).

Táto technika však môže byť slabá, ak údaje, ktoré sú spojené so zovšeobecneným poľom, umožňujú jednotlivcovi, aby sa vybral. Napríklad v databáze môže byť 5 ľudí, ktorí žijú v Bratislave, ale ak je iba jeden z nich vyšší ako 1,9 m, budú identifikovateľní.

Maskovanie

Maskovanie je užitočné pri dopĺňaní ďalších anonymizačných techník. Zahŕňa odstránenie zrejmých alebo priamych osobných identifikátorov z údajov. Nevyhnutným predpokladom anonymizácie je, aby anonymný súbor údajov neobsahoval žiadne priame alebo zjavné identifikátory. Takéto informácie môžu obsahovať mená, adresy alebo obrázky.

Samotné maskovanie často umožňuje veľmi vysoké riziko identifikácie, a preto sa za normálnych okolností nebude považovať za anonymizáciu. Je to preto, že takáto technika by umožnila vidieť všetky pôvodné neodmaskované údaje, čím by sa ohrozilo používanie techník porovnávania údajov na odhalenie identity dotknutej osoby.

Pseudonymizácia ako anonymizačná technika

Ak sa pseudonymizácia používa samostatne, nesie podobné riziká ako maskovanie, pretože väčšina pôvodných, nezmenených údajov bude obsiahnutá v pseudonymizovaných údajoch, a preto by techniky porovnávania údajov mohli identifikovať jednotlivé dotknuté osoby. Ďalšou nevýhodou je, že ak sa pseudonym opätovne použije, umožňuje prepojenie rôznych záznamov týkajúcich sa tej istej osoby, čo by spôsobilo ďalšie identifikačné riziká.

Výhodou pseudonymizácie je však možnosť prepojenia rôznych záznamov týkajúcich sa toho istého jednotlivca bez uloženia priamych identifikátorov do údajov. To je užitočné najmä v dlhodobých štúdiách alebo na iné účely, kde je potrebné prepojiť zber údajov v rôznych časoch týkajúcich sa tej istej dotknutej osoby.

V niektorých prípadoch sa môže kombinovať s inými technikami, aby sa umožnilo prepojenie anonymizovaných údajov s tou istou osobou, avšak ak sa tak stane, musí sa pri každom novom súbore údajov zvážiť, či existuje identifikačné riziko so zreteľom na existujúce anonymizované údaje. Pseudonymizácia by sa nikdy nemala považovať za účinný prostriedok anonymizácie, ale možno ju považovať za opatrenie na zvýšenie bezpečnosti  a na zníženie „prepojiteľnosti“ súboru údajov.

 

Tento článok vychádza z rozsiahlejšieho textu dostupného na webe írskeho komisára na ochranu osobných údajov.

757 rodných čísel, 10,5 tisíc e-mailových príloh, 32,2 tisíc telefónnych čísel, 4,7 tisíc zmlúv a faktúr, 79 výplatných pások a takmer 1,4 tisíc hesiel. Taký smutný bol výsledok analýzy 15 tisíc súborov na známom úložisku Ulož.to zrealizovaný bezpečnostnou spoločnosťou SODAT. Zdá sa, že vo viacerých firmách si účinnosť GDPR nevšimli.

Podľa prieskumu globálnej právnickej firmy DLA Piper bolo od nadobudnutia účinnosti GDPR 25. mája 2018 v celom Európskom hospodárskom priestore zaznamenaných viac ako 59 000 oznámení o porušení ochrany osobných údajov. Zo zverejneného prieskumu vyplýva, že pomyselný rebríček vedú Holandsko, Nemecko a Spojené kráľovstvo. Z koláča si ukrojili po 15 400, 12 600 a 10 600 hlásených porušení.Na chvoste skončili Lichtenštajnsko, Island a Cyprus s 15, 25 a 35 prípadmi nahlásených porušení.

Stav u nás doma však z prieskumu nezistíme. Slovensko nebolo spolu s Bulharskom, Chrovátskom, Estónskom a Lotyšskom do prieskumu zaradené, keďže informácie o nahlásených porušeniach nie sú verejne dostupné. Z našich susedov vedú poliaci s 2200 hláseniami, potom Rakúsko s číslom 590, Česko s 290 a Maďarsko 270.

Pokút však podľa prieskumu bolo len 91. Prvú priečku okupuje Google, ktorý dostal vo Francúzsku pokutu 50 miliónov EUR.

 

Aplikácie pre Android posielajú dáta do Facebooku. Časopis Financial Times uverejnil štúdiu, podľa ktorej z 34 najobľúbenejších aplikácií v operačnom systéme Android minimálne 20 odosiela dáta na Facebook bez súhlasu a vedomia používateľa.

Súhlas a informovanie používateľa je pritom základnou povinnosťou prevádzkovateľa informačného systému a jej zanedbanie zakladá zodpovednosť aj na strane developera takejto aplikácie. Neoprávnené poskytovanie osobných údajov môže byť totiž ohodnotené finančnou sankciu, ktorá v režime GDPR siaha až k percentám z obratu.

V Spotify sa rozhodli, že skoncujú so zneužívaním rodinných balíkov ľuďmi, ktorí nie sú príbuznými. To sa dá pochopiť, lebo na takýchto používateľoch prichádzajú o príjmy. Rodinné balíky zvyknú zneužívať kamaráti, susedia či spolužiaci, aby za hudbu platili menej. Napriek tomu, že Spotify je európskou firmou a máme fungujúce GDPR, zvolili pomerne riskantný krok. Je ním overovanie polohy prostredníctvom GPS. Ním sa chcú v Spotify presvedčiť, že ich „rodina“ býva skutočne pod jednou strechou. V prípade debaty s dozorným úradom sa však môžu ocitnúť na tenkom ľade, lebo na jednej strane zasahujú do súkromia používateľov a na strane druhej môžu získať nie celkom presné výsledky. Susedia v rámci bytového domu sa môžu naďalej tváriť ako rodina, kým deti dochádzajúce do školy môžu rozvrátiť rodinné konto. Požadovať lokalizačné údaje, keď mi ich získanie negarantuje sledovaný účel tak už môže byť cez čiaru. Najmä, ak by nebolo jednorazové…

Facebook priznal bezpečnostný incident. Unikli mu dáta 50 miliónov používateľov. Útočníci využili hneď niekoľko zraniteľností a dostali sa aj k prístupovým tokenom, cez ktoré sú k Facebooku linkované ďalšie účty, ako napr. Instagram. Facebook prinútil používateľov postihnutých útokom nanovo sa prihlásiť, opravil zraniteľnosť a zresetoval tokeny tiež ďalším 40 miliónom používateľom ako preventívne opatrenie. Útok oznámili FBI, polícii, zákonodarcom a v neposlednom rade irskemu úradu na ochranu osobných údajov v rámci informačnej povinnosti ustanovenej v GDPR.