Ešte len v novembri 2018 priznal Starwood, majiteľ siete hotelov Marriot, útok hackerov a únik dát pol miliardy svojich hostí. Hoci neskôr toto číslo kleslo „len“ na 383 milióna, na krku majú niekoľko federálnych skupinových žalôb.

Ukradnuté údaje zahŕňajú mená, adresy, dátumy narodenia, pohlavie, kreditky, pasy ako aj informácie o ubytovaní hostí hotelovej siete, kam patrí napríklad aj bratislavský Sheraton.

Starwood má v tomto prípade šťastie, že sa incident odohral pred účinnosťou GDPR.

Aplikácie pre Android posielajú dáta do Facebooku. Časopis Financial Times uverejnil štúdiu, podľa ktorej z 34 najobľúbenejších aplikácií v operačnom systéme Android minimálne 20 odosiela dáta na Facebook bez súhlasu a vedomia používateľa.

Súhlas a informovanie používateľa je pritom základnou povinnosťou prevádzkovateľa informačného systému a jej zanedbanie zakladá zodpovednosť aj na strane developera takejto aplikácie. Neoprávnené poskytovanie osobných údajov môže byť totiž ohodnotené finančnou sankciu, ktorá v režime GDPR siaha až k percentám z obratu.

Finančná správa SR predložila do NRSR novelu zákona, ktorý by mal meniť fungovanie a používanie systému eKasa. Podľa návrhu ma byť s bločkom identifikovaný aj zákazník a jeho nákup. Štát si od toho sľubuje zefektívnenie výberu daní v kontexte predchádzaniu daňových podvodov. Podľa právnej analýzy EISi, predkladaná Novela nie je v súlade so o všeobecným nariadením o ochrane osobných údajov (GDPR).

Zaujímavý post sa objavil na sociálnej sieti Linkedin. Pochádza od Sarah Day, ktorá komunikovala s úradom Komisára pre informácie v UK. Ide o dozorný orgán pre ochranu osobných údajov v UK, niečo ako slovenský Úrad na ochranu osobných údajov SR. Položila otázku ohľadom marketingovej komunikácie na biznisové emailové adresy a právneho základu pre komunikáciu správ priameho marketingu. Odpoveď zo strany úradov na seba nechala čakať, ale nakoniec prišla….

NBUSR123 a primerané opatrenia

Otázka primeranosti opatrení, ktoré má prijať prevádzkovateľ informačného systému s osobnými údajmi ma napadla práve pri čítaní o posledných detailoch Kauzy NBUSR123. Prečo práve pri tejto kauze? Lebo práve tento prípad odzrkadľuje rôznorodosť predstáv prevádzkovateľov o tom, čo je primerané, a teda podľa nich dostatočné, zabezpečenie ochrany osobných údajov (hoci o osobné údaje v kauze NBUSR123 primárne nešlo).

Primeranosť technických, organizačných a personálnych opatrení ustanovuje paragraf 15 odsek 1 zákona o ochrane osobných údajov. Pochybnosť vo vzťahu k nej vyvoláva už samotné heslo, ktoré sa stalo pre svoju spevnosť synonymom detinského prístupu k bezpečnosti a predmetom posmeškov. Prečo sú dôležité silné heslá, snáď nie je potrebné vysvetľovať. Vo vzťahu k primeranosti prijatých bezpečnostných opatrení však treba pripomenúť, v prípade bezpečnostného incidentu, ktorý už nastal a mal za následok únik osobných údajov, môže byť práve silné heslo aspoň poľahčujúcou okolnosťou (možno i záchranou pred pokutou ak inde nepochybil). Pokiaľ by bolo prevádzkovateľovi preukázané, že dôvodom, pre ktorý sa incidentu nezabránilo bolo práve ľahko uhádnuteľné heslo, tak mu v žiadnom prípade neprejde tvrdenie, že jeho bezpečnostné opatrenia boli primerané a napriek tomu nebolo možné incidentu zabrániť. Označiť náhodné uhádnutie hesla za zvyškové riziko by bolo prinajmenšom komické.

Použitie skutočne silného hesla nie je teda len najlacnejším spôsobom ako predchádzať náhodným incidentom a urobiť cielené útoky na informačný systém ťažšími, ale aj opatrením, ktoré môže spolu s ďalšími úkonmi potrebnými za zabezpečenie integrity, dostupnosti a dôvernosti spracúvaných dát minimalizovať určitú skupinu hrozieb (uhádnutie hesla a získanie prístupu).

FOAF.sk bacha na ochrancov údajov

Nie je tomu tak dávno, čo som mailom dostal link na novučičký web chalanov FIIT STU, ktorého podtitul ma okamžite zaujal – sociálna sieť obchodného registra SR. Odhliadnuc od toho, že moja prvotná reakcia bol „WTF?“ som si to hneď vyskúšal. Vyzeralo to na prvý a aj druhý pohľad veľmi funkčne.

Následne som sa však ako „data protection“ pozitívny človek zamyslel nad tým odkiaľ vlastne údaje o osobách a firmách pochádzajú a čo sa s nimi deje.Nakoľko moje IT znalosti nie sú ani zďaleka bezbrehé, hľadal som dodatočné info o tomto webe. Tu mi bol nápomocný známy IT bezpečnostný búrlivák „oooo“, ktorý vyspovedal jedného z autorov FOAFu pre svoj blog.synopsi.com. Vďaka tomu vieme, že: „Databázu zaobstaráva MySQL a fulltextové vyhľadávanie je riešené cez rozšírenie jazyka Ruby. Databáza dnes obsahuje približne 170 tisíc unikátnych záznamov spoločností, približne 350 tisíc unikátnych záznamov osôb a pol milióna prepojení.“Je len logické, že dáta pochádzajú z informačného systému Ministerstva spravodlivosti SR, ktoré prevádzkuje Obchodný register SR. V tom, že tieto údaje chalani získali pre svoj projekt zo stránky registra by som problém nevidel. Ide totiž o tzv. zverejnené údaje a ako také ich možno spracúvať bez súhlasu dotknutej osoby. Je však potrebné ich ako zverejnené označiť a v prípade žiadosti ÚOOÚ SR je prevádzkovateľ informačného systému povinný preukázať, že ide skutočne o zverejnené údaje.

K tomu by bolo vhodné doplniť ešte fakt, že disponovať takouto databázou nie je možné len tak. Dalo by sa povedať, že informačný systém podlieha napríklad povinnosti registrácie informačných systémov a prevádzkovateľ je povinný dodržiavať základné zásady ochrany osobných údajov vyplývajúce zo zákona o ochrane osobných údajov ako je napríklad presné vymedzeniu účelu a prostriedkov spracúvania. Takže chalani „bacha“ na takéto drobnosti. Plus by to chcelo nejakú Privacy Policy alebo Statement, aby bolo jasné o čo presne ide pri FOAF.sk.

IP adresa – je to teda osobný údaj?

Spoza „veľkej mláky“ sa k nám pravidelne dostavajú názory odborníkov, ale aj laikov hovoriace, že IP adresa za žiadnych okolností nemôže byť považovaná za osobný údaj. Európa v tom však má už pomerne dlhú dobu jasno. Čierne na bielom to prišlo z Bruselu od Pracovnej skupiny podľa článku 29 (dvorného vykladača Smernice Európskeho parlamentu a Rady 95/46/EC z 24. októbra 1995 o ochrane jednotlivcov pri spracúvaní osobných údajov a voľnom pohybe týchto údajov) a vo svojich stanoviskách to preberajú aj úrady na ochranu osobných údajov členských štátov (keďže ich predsedovia to čierne na bielom v pracovnej skupine schválili).

Ale k veci. Prečo vlastne niekto 4 čísla oddelené bodkami považuje za osobný údaj? Pracovná skupina uviedla, že „poskytovatelia prístupu na internet a správcovia miestnych sietí môžu pomocou primeraných prostriedkov identifikovať užívateľov internetu, ktorým pridelili IP adresy pretože zvyčajne systematicky „zaznamenávajú“ do súboru dátum, čas, trvanie a dynamickú IP adresu pridelenú užívateľovi internetu. To isté možno povedať o poskytovateľoch internetových služieb, ktorí vedú prevádzkový denník na serveri HTTP. V týchto prípadoch možno nepochybne hovoriť o osobných údajoch…“ – viď jej stanovisko z minulého roku.
V stanovisku sa ďalej píše, že „najmä v prípadoch, keď sa IP adresy spracúvajú na účely identifikácie užívateľov počítača (napríklad vlastníkmi autorských práv, ktorí chcú stíhať užívateľov počítača za porušenie práv duševného vlastníctva) kontrolór – tu ide o pojem, ktorý by mal byť u nás skôr prekladaný ako prevádzkovateľ aby korešpondoval s terminológiou nášho zákona o ochrane osobných údajov – očakáva, že budú k dispozícii „prostriedky, u ktorých je primeraná pravdepodobnosť, že sa využijú“ na identifikáciu osôb, napríklad prostredníctvom súdov, na ktoré sa obrátia (inak nemá zhromažďovanie informácií žiadny význam), a preto by sa informácie mali považovať za osobné údaje.

Osobitným prípadom by boli určité druhy IP adries, ktoré za určitých okolností skutočne neumožňujú identifikáciu užívateľa z rôznych technických a organizačných dôvodov. Jedným z príkladov by mohli byť IP adresy pridelené počítaču v internetovej kaviarni, kde sa nevyžaduje žiadna identifikácia zákazníkov. Mohlo by sa namietať, že údaje zhromaždené o využívaní počítača X počas určitého časového rámca neumožňujú identifikáciu užívateľa primeranými prostriedkami, a preto nie sú osobnými údajmi. Je však nutné uviesť, že poskytovatelia internetových služieb pravdepodobne nebudú vedieť, či príslušná IP adresa je alebo nie je adresou, ktorá umožňuje identifikáciu, a že spracujú údaje spojené s touto IP adresou rovnakým spôsobom, ako spracúvajú informácie spojené s IP adresami užívateľov, ktorí sú riadne zaregistrovaní a identifikovateľní. Takže pokiaľ poskytovateľ internetových služieb nemôže s absolútnou istotou rozlíšiť, či údaje zodpovedajú užívateľom, ktorí sa nedajú identifikovať, bude musieť pre istotu spracovať všetky informácie IP ako osobné údaje“.

Napísať to nejako inak by znamenalo vymýšľať teplú vodu – preto som to proste pastol. Táto línia sa vďaka stanovisku pracovnej skupiny tiahne celou EÚ a výklad orientovaný týmto smerom by si mali osvojiť všetky dozorné orgány na ochranu osobných údajov v členských štátoch EÚ. Takže dynamická či pevná, v mnohých prípadoch môže IP-čka viesť k tomu, komu bola pridelená.

Vyhľadávače v zornom poli ochrancov osobných údajov

Po webe možno nájsť hromadu diskusií o tom čo sú osobné údaje a čo nie, rovnako ako aj diskusie o tom aké informácie o svojich používateľoch vyhľadávače zbierajú. No a občas sa nájde aj nejaký odvážlivec, ktorý tieto dve témy spojí dokopy a zamyslí sa nad tým či informácie o požívateľoch, ktoré „buldozérom“ vyhľadávače zhŕňajú do svojich skladov, kde ich do úmoru podrobujú analýzam, možno považovať za osobné údaje alebo skutočne nie. Je však evidentné, že to vôbec nie je jednoduché skonštatovať. Názory sa totiž líšia nielen v závislosti od toho z akého tábora pochádza odvážlivec (vyhľadávače alebo ochrancovia dát), ale aj od toho či je ochranca dát z USA alebo z EÚ. Pohľady na ochranu osobných údajov v týchto dvoch regiónoch vykazujú výrazné rozdiely a vďaka tomu si tieto dva „data protection gangy“ občas nevedia prísť na meno. Jedna strana nepovažuje úroveň ochrany osobných údajov druhej za dostatočnú a tá druhá si „pre zmenu“ to isté myslí o tej prvej.

My sme však v EÚ a v tomto priestore platí „naše“ právo. Po rozum v tejto veci nemusíme cestovať do D.C., ale stačí nám zabehnúť, hoc i virtuálne, do Bruselu. Prevádzkovatelia internetových vyhľadávačov a ochrancovia osobných údajov po sebe poškuľujú nejaký ten čas. Svedčí o tom viacero dokumentov, ktoré vyprodukovali obe strany. Primárne by som však chcel predstaviť práve ten posledný z tábora ochrancov dát. Pracovná skupina článku 29 (WP29) vytvorená Smernicou 95/46/EC o ochrane jednotlivcov pri spracovaní osobných údajov a voľnom pohybe týchto údajov (Smernica 95/46/EC) má vo vzťahu ku Komisii poradný status. O tejto skupine sa príliš nehovorí napriek tomu, že je v Európskej únii „dvorným vykladačom“ smernice a problematiky ochrany osobných údajov.

Vo svojom stanovisku k vyhľadávačom uviedli predstavitelia WP29 zaujímavé pohľady na vec. Nejde síce o nijak záväzný dokument, ale fakt, že členovia WP29 sú predsedovia úradov na ochranu osobných údajov členských štátov EÚ mu výrazne dodáva na vážnosti. Predznamenáva totiž, že v prípade prešetrovania zásahov do ochrany osobných údajov týmito dozornými orgánmi, nebudú ich rozhodnutia nejako výrazne odbáčať od filozofického smeru, ktorý si tu vytýčili. V čom je teda posledné stanovisko k vyhľadávačom prelomové? Asi tým, že bez okolkov prisudzuje pre vyhľadávače povinnosť dodržiavať Smernicu 95/46/EC (často aj keď nemajú HQ – sídlo v EÚ priestore).

Podľa toho čo sa dá zo stanoviska vyčítať sa prevádzkovatelia vyhľadávačov musia správať k informáciám, ktoré majú o používateľoch ako k osobným údajom. Nejde iba o IP adresy a koláčiky (web cookies či flash cookies), ale za zaujímavé sa považujú aj tzv. logy.

U nás (v EÚ) sa teda na vyhľadávače plne vzťahuje legislatíva ochrany osobných údajov a každý vyhľadávač ju má dodržiavať. Na okrídlenú otázku „a co z toho jako vyplývá?“ teda ešte zhrnieme pár zásad, ktoré pre každý vyhľadávač platia:
• spracúvanie osobných údajov len a len na legitímne účely
• vymazanie alebo nezvratná anonymizácia po dosiahnutí účelu
• odôvodnená dĺžka doby uchovávania údajov ako aj expirácia cookies
• rozširovanie užívateľských profilov o údaje, ktoré neposkytli samotní užívatelia len s ich súhlasom
• súhlas treba mať aj na uchovávanie individuálnej histórie vyhľadávania.

A čo používatelia? Používatelia služieb vyhľadávačov majú právo na prístup ku všetkým svojim osobným údajom, vrátane svojich profilov a histórie vyhľadávania, na ich kontrolu a v prípade potreby na ich opravu. Krížová korelácia údajov pochádzajúcich z rôznych služieb patriacich poskytovateľovi vyhľadávača sa môže uskutočniť iba vtedy, ak užívateľ dal súhlas na túto osobitnú službu.