Legislatívna rada Vlády SR si dnes sadne aj nad zákon o ochrane osobných údajov

Na program dnešného rokovania Legislatívnej rady Vlády SR sa dostane novela zákona č. 428/2002 Z. z. o ochrane osobných údajov v znení neskorších predpisov. O tomto návrhu sa v poslednej dobe búrlivo diskutovalo nielen na rozporových konaniach, ktoré vzhľadom na vyhlásenie o bezrozporovosti skončili úspešne, ale aj na politickej scéne – viď nedávna tlačovka SAS.

Pre tých čo majú chuť sa začítať máme link na zazipovaný kompletný materiál.

Ako dopadne materiál na rokovaní LEGIS-RADY je dopredu veľmi ťažké odhadnúť. Keď však prejde, čaká ho pred vstupom do Parlamentu ešte rokovanie samotnej Vlády SR, ktoré sa javí byť podľa vyjadrení jednej z koaličných strán, pomerne ťažkým orieškom aj s ohľadom na včerajšiu tlačovku po rokovaní koaličnej rady (15. min. a 13. sec.). Ved uvidíme…

Poplach okolo Schengenu

Britský Guardian a s ním zatiaľ len Zive.sk, ale možno predpokladať, že sa pridá aj ďalší bulvár, informoval o gigantickej európskej databáze plnej osobných údajov, ktorá je svojim obsahom veľmi zaujímavá pre zločinecké skupiny. Až 30 miliónov alertov (jednotlivých záznamy), ktoré sa nachádzajú v Schengenskom informačnom systéme využívajú väčšinou pracovníci polície zo schengenských štátov (vrátane Slovenska) pomocou až 500 tisíc terminálov.

Samozrejme, že s názorom: „čím viac prístupov, tým väčšia šanca na zneužitie“ nemožno nesúhlasiť, záujem zločineckých skupín o tieto údaje, ktorý prezentuje Guardian a médiá ním inšpirované, je prinajmenšom pochybný. Veď sa stačí pozrieť na obsah Schengenského informačného systému.

Obsahuje údaje o:

  • osobách, ktoré sa majú zadržať za účelom vydania,
  • cudzincoch z tretích štátov, ktorí nie sú oprávnení vstúpiť na územie zmluvných štátov Schengenskej dohody,
  • závislých a nezvestných osobách,
  • osobách, ktorých miesto pobytu sa zisťuje pre orgány justície (obvinení, svedkovia, prípadne z iných dôvodov),
  • osobách, voči ktorým je povolené alebo nariadené skryté sledovanie alebo cielená kontrola,
  • odcudzené alebo predmety, dôkazné prostriedky určené pre súdne trestné konanie,
  • vozidlá a prívesy,
  • strelné zbrane,
  • blankety dokladov totožnosti (cestovný pas, vodičský preukaz, občiansky preukaz),
  • bankovky.

Tieto údaje nemožno považovať zo strany podvodníkov a skupín zameraných páchanie trestnej činnosti za obzvlášť lukratívne. Pokiaľ by chceli zneužiť niekoho údaje, napríklad na za účelom zmeny identity pri žiadosti o víza do schengenského priestoru, určite by si nevybrali identitu osoby, ktorá má v Schengenskom informačnom systéme záznam. Bolo by to ako požiadať o výpis z registra trestov pod menom odsúdeného šéfa nebankovky HORIZONT. Na všetky skutočnosti zapísané v Schengenskom informačnom systéme si policajti a iné relevantné inštitúcie dávajú prioritne pozor pri kontrolách a použitie týchto údajov pri páchaní trestných činov by bolo len zbytočným pútaním pozornosti.

Okrem toho, že za Schengenský informačný systém (jeho národnú časť) priamo zodpovedá Ministerstvo vnútra SR ako prevádzkovateľ a na spracúvanie osobných údajov v ňom dozerá Úrad na ochranu osobných údajov SR ako národný dozorný orgán (požiadavka Schengenského dohovoru), každá osoba, ktorá údaje z neho používa prešla poučením (resp. školením) a prevádzkovateľ povinne prijal primerané bezpečnostné opatrenia podľa zákon o ochrane osobných údajov (zabezpečené prístupy, log-záznamy všetkého a celý rad ďalších bezpečnostných štandardov).

Určite sa nedá povedať, že je to nezneužiteľný systém a pre zločincov úplne bezcenný, ale prezentovať túto vec ako „vážne obavy o súkromie obyvateľov Európskej únie“ (pozri slová aktivistov podľa Zive.sk) vychádzajúc zo šoku britských aktivistov z toho, že „obrovské množstvo utajovaných osobných informácii o Britoch koluje po EÚ“ (pozri Guardian) je prinajmenšom prehnané, lebo Spojené kráľovstvo nie je schengenským štátom, takže britov v ňom može byť viac.

Vyhľadávače v zornom poli ochrancov osobných údajov

Po webe možno nájsť hromadu diskusií o tom čo sú osobné údaje a čo nie, rovnako ako aj diskusie o tom aké informácie o svojich používateľoch vyhľadávače zbierajú. No a občas sa nájde aj nejaký odvážlivec, ktorý tieto dve témy spojí dokopy a zamyslí sa nad tým či informácie o požívateľoch, ktoré „buldozérom“ vyhľadávače zhŕňajú do svojich skladov, kde ich do úmoru podrobujú analýzam, možno považovať za osobné údaje alebo skutočne nie. Je však evidentné, že to vôbec nie je jednoduché skonštatovať. Názory sa totiž líšia nielen v závislosti od toho z akého tábora pochádza odvážlivec (vyhľadávače alebo ochrancovia dát), ale aj od toho či je ochranca dát z USA alebo z EÚ. Pohľady na ochranu osobných údajov v týchto dvoch regiónoch vykazujú výrazné rozdiely a vďaka tomu si tieto dva „data protection gangy“ občas nevedia prísť na meno. Jedna strana nepovažuje úroveň ochrany osobných údajov druhej za dostatočnú a tá druhá si „pre zmenu“ to isté myslí o tej prvej.

My sme však v EÚ a v tomto priestore platí „naše“ právo. Po rozum v tejto veci nemusíme cestovať do D.C., ale stačí nám zabehnúť, hoc i virtuálne, do Bruselu. Prevádzkovatelia internetových vyhľadávačov a ochrancovia osobných údajov po sebe poškuľujú nejaký ten čas. Svedčí o tom viacero dokumentov, ktoré vyprodukovali obe strany. Primárne by som však chcel predstaviť práve ten posledný z tábora ochrancov dát. Pracovná skupina článku 29 (WP29) vytvorená Smernicou 95/46/EC o ochrane jednotlivcov pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Smernica 95/46/EC) má vo vzťahu ku Komisii poradný status. O tejto skupine sa príliš nehovorí napriek tomu, že je v Európskej únii „dvorným vykladačom“ smernice a problematiky ochrany osobných údajov.

Vo svojom stanovisku k vyhľadávačom uviedli predstavitelia WP29 zaujímavé pohľady na vec. Nejde síce o nijak záväzný dokument, ale fakt, že členovia WP29 sú predsedovia úradov na ochranu osobných údajov členských štátov EÚ mu výrazne dodáva na vážnosti. Predznamenáva totiž, že v prípade prešetrovania zásahov do ochrany osobných údajov týmito dozornými orgánmi, nebudú ich rozhodnutia nejako výrazne odbáčať od filozofického smeru, ktorý si tu vytýčili. V čom je teda posledné stanovisko k vyhľadávačom prelomové? Asi tým, že bez okolkov prisudzuje pre vyhľadávače povinnosť dodržiavať Smernicu 95/46/EC (často aj keď nemajú HQ – sídlo v EÚ priestore).

Podľa toho čo sa dá zo stanoviska vyčítať sa prevádzkovatelia vyhľadávačov musia správať k informáciám, ktoré majú o používateľoch ako k osobným údajom. Nejde iba o IP adresy a koláčiky (web cookies či flash cookies), ale za zaujímavé sa považujú aj tzv. logy.

U nás (v EÚ) sa teda na vyhľadávače plne vzťahuje legislatíva ochrany osobných údajov a každý vyhľadávač ju má dodržiavať. Na okrídlenú otázku „a co z toho jako vyplývá?“ teda ešte zhrnieme pár zásad, ktoré pre každý vyhľadávač platia:
• spracúvanie osobných údajov len a len na legitímne účely
• vymazanie alebo nezvratná anonymizácia po dosiahnutí účelu
• odôvodnená dĺžka doby uchovávania údajov ako aj expirácia cookies
• rozširovanie užívateľských profilov o údaje, ktoré neposkytli samotní užívatelia len s ich súhlasom
• súhlas treba mať aj na uchovávanie individuálnej histórie vyhľadávania.

A čo používatelia? Používatelia služieb vyhľadávačov majú právo na prístup ku všetkým svojim osobným údajom, vrátane svojich profilov a histórie vyhľadávania, na ich kontrolu a v prípade potreby na ich opravu. Krížová korelácia údajov pochádzajúcich z rôznych služieb patriacich poskytovateľovi vyhľadávača sa môže uskutočniť iba vtedy, ak užívateľ dal súhlas na túto osobitnú službu.

Dáta pripraviť! A odovzdať!

Z kuchyne Ministerstva vnútra sa nedávno pred zraky verejnosti dostal návrh novely policajného zákona. Zaujímavosťou, okrem pomerne komplexnej úpravy poskytovania informácií a osobných údajov v rámci EÚ, je hlavne novinka – nový § 33 (bod 19): „Oprávnenie na údaje vytvorené prevádzkou internetu“. Pokiaľ tento materiál prejde celú strastiplnú cestu procesu normotvorby bez zásadných zmien bude si môcť policajt pri plnení všetkých svojich úloh určených policajným zákonom pýtať od prevádzkovateľa web servera a poskytovateľa pripojenia do internetu tzv. logovacie súbory.

Okrem logov si však policajt bude môcť k plneniu vybraných úloh vypýtať aj informácie (=čokoľvek) a osobné údaje ich klientov. Rozsah osobných údajov, ktoré bude môcť policajt takto požadovať je obmedzený na meno, priezvisko, rodné číslo, dátum a miesto narodenia a adresa pobytu.

Pri kých vybraných úlohách by mal mať policajt takéto oprávnenia?

  • ochrana života, zdravia, osobnej slobody a bezpečnosti osôb a ochrana majetku,
  • odhaľovanie trestných činov a zisťovanie ich páchateľov,
  • odhaľovanie daňových únikov, nezákonných finančných operácií a legalizácie príjmov z trestnej činnosti,
  • vyšetrovanie o trestných činoch
  • boj proti terorizmu a organizovanému zločinu,
  • zaistenie osobnej bezpečnosti prezidenta, premiéra a iných vybraných osôb,
  • ochrana vybraných objektov,
  • odhaľovanie priestupkov a zisťovanie ich páchateľov,
  • pátranie po osobách a pátranie po veciach,
  • poskytovanie ochrany a pomoci ohrozenému svedkovi a chránenému svedkovi,
  • kriminalisticko-expertízna a znalecká činnosť.

Navrhovaná úprava by podľa dôvodovej správy mala policajtom pomôcť v boji proti detskej pornografii, softvérovému pirátstvu, útokom hackerov, poplašným správam či ohováraniu. Aj za súčasného stavu je však možné dostať sa k týmto údajom a donútiť prevádzkovateľa web servera a poskytovateľa internetového pripojenia dáta vydať. Proces je však zložitejší lebo je naviazaný na súhlas predsedu senátu súdu alebo prokurátora. Takýto postup sa policajtom zrejme javí ako pomalý a neefektívny.

Nie je to prvýkrát čo sa Ministerstvo vnútra pokúša o čosi podobné. Pokus zbaviť sa súhlasu súdu či prokurátora tu bol aj minulý rok. Schovaný bol za harmonizačnú novelu zákona o elektronických komunikáciách. Vtedy sa voči týmto snahám postavilo Ministerstvo spravodlivosti, generálny prokurátor, ale aj Úrad na ochranu osobných údajov. Skončilo to ústupom, na ktorý „vnútráci“ zavelili, hoci v médiách sa nechali počuť, že to skúsia inou cestou.

Zdá sa teda, že „cesta“ je na svete. Uvidíme či bude zarúbaná ochrancami základných ľudských práv a slobôd alebo sa to ministerstvu na druhýkrát podarí.