Náš domovský Úrad na ochranu osobných údajov SR vypracoval a zverejnil zoznam spracovateľských operácií, ktoré podliehajú požiadavke na posúdenie vplyvu na ochranu osobných údajov podľa čl. 35 ods. 4 GDPR. Stalo sa to cca pred mesiacom a v prípade, že vám táto informácia unikla, odporúčame tento zoznam do pozornosti. Jedná sa o také spracúvanie, ktoré automaticky znamená povinnosť prevádzkovateľa vykonanie posúdenia vplyvu na ochranu osobných údajov. Z celkovo 13 bodov určite neprehliadnite monitoring práce zamestnanca, profilovanie či biometriu.

Ohľadom spracúvania osobných údajov pri príležitosti volieb do Európskeho parlamentu, ale aj iných volieb sa vyjadril Európsky výbor pre ochranu údajov vo svojom Vyhlásení 2/2019 o používaní osobných údajov v priebehu politických kampaní.

„Politické strany, politické koalície a kandidáti sa čoraz viac spoliehajú na osobné údaje a sofistikované techniky profilovania s cieľom monitorovať voličov a mienkotvorcov a zamerať sa na ne. V praxi jednotlivci dostávajú vysoko personalizované správy a informácie, najmä na platformách sociálnych médií, na základe osobných záujmov, životných návykov a hodnôt.“

Hlavným odkazom EDPB je to, že:

  1. informácie o politických preferenciách sú proste citlivými údajmi a prevádzkovateľ potrebuje explicitný, špecifický, plne informovaný a slobodne udelený súhlas;
  2. všetko čo zdieľajú voliči na sociálnych sieťach je chránené podľa GDPR;
  3. dodržiavanie zásad spracúvania je nevyhnutnosť (v EDPB vypichli najmä zákonnosť, spravodlivosť a transparentnosť);
  4. automatizované rozhodovanie a profilovanie je prípustné iba s výslovným súhlasom dotknutej osoby;
  5. voliči musia vedieť prečo prijímajú konkrétnu správu, kto je za jej odoslanie zodpovedný a ako môžu vykonávať svoje práva dotknutých osôb.

Máte doma reproduktor Echo od Amazonu? Virtuálny asistent Alexa nemusí byť jediný, kto vás počúva. Podľa informácií Bloombergu zamestnáva Amazon tisíce zamestnancov, ktorí počúvajú nahrávky z Echa 9 hodín denne. O tomto projekte museli podpísať dohodu o mlčanlivosti, napriek tomu dvaja z nich povedali reportérom, že počuli niečo čo identifikovali ako sexuálne násilie.

Pokuty, pokuty, pokuty…

Blížime sa k výročiu účinnosti GDPR a tak namieste je aspoň stručná sumarizácia:

  1. U susedov v Českej republike je miestny úrad pomerne zdielny. Na svojich stránkach zverejňuje celý rad informácií dostupných podľa infozákona. Vďaka tomu vieme, že úrad právoplatne udelil pokuty v rozsahu od 10 do 30 tisíc českých korún a neprávoplatne (stále beží nejaká forma odvolacieho konania) ešte 2 pokuty vo výške 50 a 250 tisíc korún. Celkovo sa tak bavíme o ôsmych pokutách, pričom porušenia sa týkali článkov 5 (4 pokuty), 6 (2 pokuty) a 15 (2 pokuty) GDPR. Prevádzkovatelia tak v Čechách a na Morave majú predbežne najväčšie problémy s právnym základom a s uplatňovaním práv dotknutých osôb.
  2. Na sever od nás bola udelená takmer miliónová pokuta. Keďže však hovoríme o poľskej mene, tak ide “len” o 220 000,- eur. V tomto prípade sa jedná o spoločnosť spracúvajúcu osobné údaje z verejných zdrojov. Porušenie sa malo týkať nesplnenia informačnej povinnosti vo vzťahu k 6 miliónom dotknutých osôb. Argument “stálo by nás to 7 miliónov eur” nepomohol a tak v prípade právoplatnosti rozhodnutia bude prevádzkovateľ platiť pokutu a zároveň tie náklady vytiahne z vrecka tak či tak.
  3. Rovný 1 milión HUF (niečo málo cez 3100,- eur) sa ušiel prevádzkovateľovi v Maďarsku, ktorý obmedzil právo dotknutej osobe vo vzťahu ku kamerovému záznamu. Miestna legislatíva určovala povinnosť dotknutej osoby preukázať oprávnený záujem, no GDPR takúto požiadavku nepozná. Kolíziu noriem vyriešili v prospech GDPR.
  4. Portugalský úrad si zgustol na zdravotníckom zariadení po zistení, že k zdravotným údajom pacientov pristupujú zdravotníci pod fiktívnymi profilmi (aj ex-zamestnancov) a nebol zabezpečená minimalizácia ani proporcionalita. Pokuta 400 tisíc eur chvíľu viedla rebríček GDPR sankcií.
  5. Prekonal ju samozrejme Google s 50 miliónmi eur od francúzskeho úradu CNIL za nedostatočné splnenie informačnej povinnosti, nehovoriac o Facebooku s 500 tisícmi za Cambridge Analytica (ešte spred GDPR) s čím dodnes bojuje.
  6. Ešte pred účinnosťou GDPR neoprávnene obchodovala spoločnosť Bounty Limited (prevádzkovateľ tehotenského/rodičovskeho portálu) s údajmi svojich používateľov. Nezákonné poskytovanie sa týkalo 14 miliónov dotknutých osôb. Práve teraz sa dočkali pokuty, ktorá však napriek predGDPRovej dobe nie je vôbec nízka. Jej výška 400 tisíc libier ukazuje, že komisár v Spojenom kráľovstve ani v minulosti netrpel nedostatkom sankčných kompetencií.
  7. Taliansky úrad udelil svoju prvú pokutu podľa GDPR. Týkala sa nedostatočných bezpečnostných opatrení. Nešlo by o nič výnimočné, keby túto pokutu dostal prevádzkovateľ informačného systému (Controller). Taliansky dozorný orgán však pokutoval sprostredkovateľa (Processor). Prvýkrát sa tak stalo, že za konanie sprostredkovateľa netrpel prevádzkovateľ ako podľa starej legislatívy, ktorá s prevádzkovateľmi nemala zľutovanie a problémy sprostredkovateľa hádzala na plecia prevádzkovateľa, ktorý si ho vybral. Uvedomenie tejto skutočnosti by malo pomôcť zmeniť pohľad subdodávateľov – sprostredkovateľov na bezpečnosť osobných údajov, ako aj na riziká, ktorým sa prípadnou nedôslednosťou vystavujú. Ak ste sprostredkovateľom pre nejakého prevádzkovateľa, tak oboznámenie sa s týmto prípadom je proste nevyhnutnosť.
  8. V Nemecku udelili dozorné orgány (v jednotlivých spolkových krajinách majú samostatné) dokopy 41 pokút, pričom najvyššia z nich bola 80 000,- eur.

Čo ďalej?

Tri veci, ktoré sme sa počas prvého roka o pokutovaní podľa GDPR naučili sú: (a) pokút bude v tomto roku viac (vlaňajšok bol aj pre dozorné orgány len taký warmup a oboznámenie sa s možnosťami GDPR), (b) spolupracujte a dostanete nižší trest (nemecká prax) a na záver (c) pokuty nelietajú v oblakoch (ak si odmyslíme Google).

Aplikácie tretích strán zbierali na Facebooku informácie a ich databázy boli uverejnené na internete. Ide o dve firmy – Culture Colectiva z Mexika, ktorá disponuje 540 miliónmi údajov vrátane komentárov, lajkov, reakcií, mien používateľov a ďalších informácií, ktoré sa dajú zneužiť na reklamné účely.

Zdroj: Techbox, UpGuard

Od pseudonymizácie k anonymizácii a nie späť

Európski občania majú základné právo na súkromie, preto je dôležité, aby si existenciu tohto práva uvedomovali aj organizácie, ktoré spracúvajú osobné údaje. Pokiaľ sa vykonávajú efektívne, anonymizácia a pseudonymizácia môžu byť použité na ochranu práva na súkromie dotknutých osôb a zároveň umožnia organizáciám vybalansovať toto právo vo vzťahu k ich legitímnym cieľom.

Na to, aby sme mohli zmysluplne hovoriť o anonymizácii a pseudonymizácii je nevyhnutné ujasniť si základné body:

  • Nezvratne a účinne anonymizované údaje nie sú „osobnými údajmi“ a zásady ochrany údajov sa v súvislosti s týmito údajmi nemusia dodržiavať. Pseudonymizované údaje zostávajú osobnými údajmi a aplikujeme na ne požiadavky GDPR.
  • Ak sa zdrojové údaje neodstránia v tom istom čase, keď sa pripravia „anonymizované“ údaje, pričom zdrojové údaje by sa mohli použiť na identifikáciu jednotlivca z „anonymizovaných“ údajov, údaje sa môžu považovať len za „pseudonymizované“, a teda stále „osobné údaje“ podľa príslušných právnych predpisov o ochrane údajov. Zanonymizované budú až po odstránení vstupných dát.
  • Údaje sa môžu považovať za „anonymizované“ z hľadiska ochrany údajov, ak subjekty údajov nie sú identifikované alebo identifikovateľné, so zreteľom na všetky metódy, ktoré prevádzkovateľ alebo akákoľvek iná osoba primerane použije na identifikáciu dotknutej osoby, priamo alebo nepriamo.

Čo sú osobné údaje?

Osobné údaje sú akékoľvek informácie týkajúce sa identifikovaného alebo identifikovateľného jednotlivca. Táto osoba je tiež známa ako „dotknutá osoba“. Identifikovateľný jednotlivec je ten, ktorého možno priamo alebo nepriamo identifikovať, najmä odkazom na identifikátor, ako je meno, identifikačné číslo, údaje o polohe, online identifikátor alebo jeden alebo viac faktorov špecifických pre fyzické, fyziologické, genetické mentálnej, ekonomickej, kultúrnej alebo sociálnej identity tohto jednotlivca.

Vyššie uvedená definícia odráža znenie GDPR a prakticky každého zákona o ochrane osobných údajov v členských štátov EÚ. Údaje o fyzických osobách, ktoré boli anonymizované tak, že z nich nie je možné identifikovať dotknutú osobu ani spolu s niektorými ďalšími informáciami GDPR neupravuje a nepodlieha obmedzeniam spracovania ako osobné údaje.

Čo je to anonymizácia?

„Anonymizácia“ údajov znamená ich spracovanie s cieľom nezvratne zabrániť identifikácii jednotlivca, ktorého sa týka. Údaje sa môžu považovať za efektívne a dostatočne anonymizované, ak sa nevzťahujú na identifikovanú alebo identifikovateľnú fyzickú osobu alebo ak boli anonymné takým spôsobom, že dotknutá osoba nie je identifikovateľná alebo už nie je identifikovateľná.

V súčasnosti prebieha veľa výskumov v oblasti anonymizácie a znalosti o účinnosti rôznych anonymizačných techník sa neustále menia. Preto nie je možné povedať, že konkrétna technika bude naveky 100% účinná pri ochrane identity dotknutých osôb. O čo sa snažíme je pomoc pri identifikácii a minimalizácii rizík pre dotknuté osoby pri anonymizácii ich osobných údajov. V prípade anonymizácie pod pojmom „identifikácia“ rozumieme možnosť získania napr. mena a adresy osoby, ale aj potenciálnu identifikovateľnosť vyčlenením, prepojením a odvodením.

Čo je to pseudonymizácia?

Pseudonymizácia údajov znamená nahradenie všetkých identifikačných charakteristík údajov pseudonymom, alebo hodnotou, ktorá neumožňuje priamu identifikáciu dotknutej osoby.

GDPR definuje pseudonymizáciu ako spracovanie osobných údajov takým spôsobom, aby sa osobné údaje nemohli ďalej pripisovať konkrétnej dotknutej osobe bez použitia dodatočných informácií za predpokladu, že

  • takéto doplňujúce informácie sú oddelené a
  • prostredníctvom technických a organizačných opatrení je zabezpečené, že osobné údaje nebudú priradené identifikovanému alebo identifikovateľnému jednotlivcovi.

Hoci má pseudonymizácia mnoho spôsobov použitia, poskytuje len obmedzenú ochranu identity dotknutých osôb, lebo stále umožňuje identifikáciu pomocou nepriamych prostriedkov. Tam, kde sa používa pseudonym, je často možné identifikovať dotknutú osobu analýzou podkladových alebo súvisiacich údajov.

Použitie anonymizácie a pseudonymizácie

Údaje, ktoré boli nezvratne anonymizované, prestanú byť „osobnými údajmi“ a spracovanie týchto údajov nevyžaduje dodržiavanie zákona o ochrane osobných údajov. V zásade to znamená, že prevádzkovatelia by ho mohli používať na iné účely, než na ktoré boli pôvodne získané, a že by sa mohli uchovávať na dobu neurčitú.

V niektorých prípadoch nie je možné účinne anonymizovať údaje, či už z dôvodu povahy alebo kontextu údajov, alebo z dôvodu použitia, na ktoré sa údaje zhromažďujú a uchovávajú. Aj za týchto okolností však môžu prevádzkovatelia chcieť použiť techniky anonymizácie alebo pseudononymizácie:

  • ako súčasť stratégie ochrany súkromia už v štádiu návrhu, aby sa zabezpečila lepšia ochrana dotknutých osôb;
  • ako súčasť stratégie minimalizácie rizika pri zdieľaní údajov so sprostredkovateľmi alebo inými prevádzkovateľmi;
  • aby sa zabránilo neúmyselnému porušeniu ochrany údajov, ku ktorému dochádza pri prístupe zamestnancov k osobným údajom;
  • v rámci stratégie „minimalizácie údajov“ zameranej na minimalizáciu rizika porušenia ochrany údajov pre dotknuté osoby.

Aké metódy anonymizácie by sa mali použiť?

Rozhodovanie o vhodnej metóde anonymizácie sa musí robiť od prípadu k prípadu so zreteľom na všetky relevantné rizikové faktory uvedené vyššie a na zamýšľaný účel anonymizovaných údajov. Prevádzkovatelia musia vyvážiť potrebu uchovávať všetky informácie potrebné na účel, na ktorý sa majú anonymizované údaje používať, s identifikačnými rizikami, ktoré predstavuje zahrnutie podrobnejších informácií do súboru údajov. Ak údaje nemožno účinne anonymizovať, musia sa stále považovať za osobné údaje. Legislatíva nepredpisuje žiadnu konkrétnu techniku ​​pre anonymizáciu, takže je na jednotlivých prevádzkovateľoch, aby zabezpečili, že proces anonymizácie, ktorý si zvolia, bude dostatočne silný.

Všeobecne povedané, existujú dve rôzne skupiny techník anonymizácie:

  • znáhodnenie a
  • zovšeobecnenie.

Pri znižovaní rizika identifikácie môžu hrať úlohu aj iné techniky, ako napríklad:

  • maskovanie alebo
  • pseudonymizácia,

ktoré sú zamerané výlučne na odstránenie určitých identifikátorov. V mnohých prípadoch tieto techniky fungujú najlepšie, keď sa používajú spoločne, aby sa bojovalo proti rôznym typom identifikačného rizika.

Znáhodnenie (Randomizácia)

Randomizačné techniky zahŕňajú zmenu údajov s cieľom znížiť prepojenie medzi jednotlivcom a údajmi bez straty hodnoty v údajoch. Tieto typy techník sa môžu použiť, ak pre zamýšľaný účel anonymizovaných údajov nie sú potrebné presné informácie. Randomizačné techniky môžu pomôcť znížiť riziko vyvodzovania z anonymizovaných údajov, ako aj riziko zhody údajov medzi súbormi údajov, pokiaľ iné dostupné súbory údajov nepoužijú rovnaké znáhodnené hodnoty.

Randomizácia môže zahŕňať pridanie „šumu“ alebo náhodných malých zmien do údajov, aby sa obmedzila schopnosť útočníka pripojiť údaje k jednotlivcovi. Napríklad v databáze, ktorá zaznamenáva výšku jednotlivcov, by sa mohli urobiť malé zvýšenia alebo zníženia výšky každého subjektu údajov a údaje sa môžu uvádzať ako presné iba v rozsahu dodatkov a odčítaní. Je dôležité zabezpečiť, aby škála šumu, ktorý sa má pridať, bola v súlade so škálou surových hodnôt, aby tento proces nevytváral výsledky úplne mimo skutočných výsledkov. Napríklad v databáze výšky jednotlivcov, sčítanie alebo odčítanie medzi 1 cm a 10 cm môže dosiahnuť prijateľnú úroveň anonymity, ale pridanie alebo odčítanie 1 m nemusí prinášať užitočné údaje, a mohlo by to v niektorých prípadoch dať jasne najavo, na koho údaj odkazuje.

„Permutácia“ je ďalším typom randomizačnej techniky. To zahŕňa výmenu určitých údajov medzi záznamami jednotlivcov, čo sťažuje identifikáciu jednotlivcov prepojením rôznych informácií, ktoré sa ich týkajú. Napríklad v prípade výšky jednotlivcov sa namiesto pridávania náhodného šumu do dát poprehadzujú hodnoty výšky pre rôznych jednotlivcov, takže už nie sú spojené s inými informáciami o tejto osobe. Toto je užitočné, ak potrebujete zachovať presné rozdelenie hodnôt výšky v anonymizovanej databáze, ale nemusíte si udržiavať korelácie medzi hodnotami výšky a inými informáciami o dotknutých osobách.

Zovšeobecnenie (Generalizácia)

Zovšeobecnenie zahŕňa zníženie granularity údajov, takže sú zverejnené iba menej presné údaje. To znamená zníženie pravdepodobnosti, že jednotlivci môžu byť indentifikovaní, pretože viac ľudí bude zdieľať rovnaké hodnoty. Napríklad databáza, ktorá obsahuje vek subjektov údajov, môže byť upravená tak, aby sa zaznamenalo len to, ktoré pásmo vekov jednotlivec spadá (napr. 18-25, 25-35, 35-45,…).

Táto technika však môže byť slabá, ak údaje, ktoré sú spojené so zovšeobecneným poľom, umožňujú jednotlivcovi, aby sa vybral. Napríklad v databáze môže byť 5 ľudí, ktorí žijú v Bratislave, ale ak je iba jeden z nich vyšší ako 1,9 m, budú identifikovateľní.

Maskovanie

Maskovanie je užitočné pri dopĺňaní ďalších anonymizačných techník. Zahŕňa odstránenie zrejmých alebo priamych osobných identifikátorov z údajov. Nevyhnutným predpokladom anonymizácie je, aby anonymný súbor údajov neobsahoval žiadne priame alebo zjavné identifikátory. Takéto informácie môžu obsahovať mená, adresy alebo obrázky.

Samotné maskovanie často umožňuje veľmi vysoké riziko identifikácie, a preto sa za normálnych okolností nebude považovať za anonymizáciu. Je to preto, že takáto technika by umožnila vidieť všetky pôvodné neodmaskované údaje, čím by sa ohrozilo používanie techník porovnávania údajov na odhalenie identity dotknutej osoby.

Pseudonymizácia ako anonymizačná technika

Ak sa pseudonymizácia používa samostatne, nesie podobné riziká ako maskovanie, pretože väčšina pôvodných, nezmenených údajov bude obsiahnutá v pseudonymizovaných údajoch, a preto by techniky porovnávania údajov mohli identifikovať jednotlivé dotknuté osoby. Ďalšou nevýhodou je, že ak sa pseudonym opätovne použije, umožňuje prepojenie rôznych záznamov týkajúcich sa tej istej osoby, čo by spôsobilo ďalšie identifikačné riziká.

Výhodou pseudonymizácie je však možnosť prepojenia rôznych záznamov týkajúcich sa toho istého jednotlivca bez uloženia priamych identifikátorov do údajov. To je užitočné najmä v dlhodobých štúdiách alebo na iné účely, kde je potrebné prepojiť zber údajov v rôznych časoch týkajúcich sa tej istej dotknutej osoby.

V niektorých prípadoch sa môže kombinovať s inými technikami, aby sa umožnilo prepojenie anonymizovaných údajov s tou istou osobou, avšak ak sa tak stane, musí sa pri každom novom súbore údajov zvážiť, či existuje identifikačné riziko so zreteľom na existujúce anonymizované údaje. Pseudonymizácia by sa nikdy nemala považovať za účinný prostriedok anonymizácie, ale možno ju považovať za opatrenie na zvýšenie bezpečnosti  a na zníženie „prepojiteľnosti“ súboru údajov.

 

Tento článok vychádza z rozsiahlejšieho textu dostupného na webe írskeho komisára na ochranu osobných údajov.

757 rodných čísel, 10,5 tisíc e-mailových príloh, 32,2 tisíc telefónnych čísel, 4,7 tisíc zmlúv a faktúr, 79 výplatných pások a takmer 1,4 tisíc hesiel. Taký smutný bol výsledok analýzy 15 tisíc súborov na známom úložisku Ulož.to zrealizovaný bezpečnostnou spoločnosťou SODAT. Zdá sa, že vo viacerých firmách si účinnosť GDPR nevšimli.

Podľa prieskumu globálnej právnickej firmy DLA Piper bolo od nadobudnutia účinnosti GDPR 25. mája 2018 v celom Európskom hospodárskom priestore zaznamenaných viac ako 59 000 oznámení o porušení ochrany osobných údajov. Zo zverejneného prieskumu vyplýva, že pomyselný rebríček vedú Holandsko, Nemecko a Spojené kráľovstvo. Z koláča si ukrojili po 15 400, 12 600 a 10 600 hlásených porušení.Na chvoste skončili Lichtenštajnsko, Island a Cyprus s 15, 25 a 35 prípadmi nahlásených porušení.

Stav u nás doma však z prieskumu nezistíme. Slovensko nebolo spolu s Bulharskom, Chrovátskom, Estónskom a Lotyšskom do prieskumu zaradené, keďže informácie o nahlásených porušeniach nie sú verejne dostupné. Z našich susedov vedú poliaci s 2200 hláseniami, potom Rakúsko s číslom 590, Česko s 290 a Maďarsko 270.

Pokút však podľa prieskumu bolo len 91. Prvú priečku okupuje Google, ktorý dostal vo Francúzsku pokutu 50 miliónov EUR.