757 rodných čísel, 10,5 tisíc e-mailových príloh, 32,2 tisíc telefónnych čísel, 4,7 tisíc zmlúv a faktúr, 79 výplatných pások a takmer 1,4 tisíc hesiel. Taký smutný bol výsledok analýzy 15 tisíc súborov na známom úložisku Ulož.to zrealizovaný bezpečnostnou spoločnosťou SODAT. Zdá sa, že vo viacerých firmách si účinnosť GDPR nevšimli.

Ešte len v novembri 2018 priznal Starwood, majiteľ siete hotelov Marriot, útok hackerov a únik dát pol miliardy svojich hostí. Hoci neskôr toto číslo kleslo „len“ na 383 milióna, na krku majú niekoľko federálnych skupinových žalôb.

Ukradnuté údaje zahŕňajú mená, adresy, dátumy narodenia, pohlavie, kreditky, pasy ako aj informácie o ubytovaní hostí hotelovej siete, kam patrí napríklad aj bratislavský Sheraton.

Starwood má v tomto prípade šťastie, že sa incident odohral pred účinnosťou GDPR.

Aplikácie pre Android posielajú dáta do Facebooku. Časopis Financial Times uverejnil štúdiu, podľa ktorej z 34 najobľúbenejších aplikácií v operačnom systéme Android minimálne 20 odosiela dáta na Facebook bez súhlasu a vedomia používateľa.

Súhlas a informovanie používateľa je pritom základnou povinnosťou prevádzkovateľa informačného systému a jej zanedbanie zakladá zodpovednosť aj na strane developera takejto aplikácie. Neoprávnené poskytovanie osobných údajov môže byť totiž ohodnotené finančnou sankciu, ktorá v režime GDPR siaha až k percentám z obratu.

Finančná správa SR predložila do NRSR novelu zákona, ktorý by mal meniť fungovanie a používanie systému eKasa. Podľa návrhu ma byť s bločkom identifikovaný aj zákazník a jeho nákup. Štát si od toho sľubuje zefektívnenie výberu daní v kontexte predchádzaniu daňových podvodov. Podľa právnej analýzy EISi, predkladaná Novela nie je v súlade so o všeobecným nariadením o ochrane osobných údajov (GDPR).

Zaujímavý post sa objavil na sociálnej sieti Linkedin. Pochádza od Sarah Day, ktorá komunikovala s úradom Komisára pre informácie v UK. Ide o dozorný orgán pre ochranu osobných údajov v UK, niečo ako slovenský Úrad na ochranu osobných údajov SR. Položila otázku ohľadom marketingovej komunikácie na biznisové emailové adresy a právneho základu pre komunikáciu správ priameho marketingu. Odpoveď zo strany úradov na seba nechala čakať, ale nakoniec prišla….

NBUSR123 a primerané opatrenia

Otázka primeranosti opatrení, ktoré má prijať prevádzkovateľ informačného systému s osobnými údajmi ma napadla práve pri čítaní o posledných detailoch Kauzy NBUSR123. Prečo práve pri tejto kauze? Lebo práve tento prípad odzrkadľuje rôznorodosť predstáv prevádzkovateľov o tom, čo je primerané, a teda podľa nich dostatočné, zabezpečenie ochrany osobných údajov (hoci o osobné údaje v kauze NBUSR123 primárne nešlo).

Primeranosť technických, organizačných a personálnych opatrení ustanovuje paragraf 15 odsek 1 zákona o ochrane osobných údajov. Pochybnosť vo vzťahu k nej vyvoláva už samotné heslo, ktoré sa stalo pre svoju spevnosť synonymom detinského prístupu k bezpečnosti a predmetom posmeškov. Prečo sú dôležité silné heslá, snáď nie je potrebné vysvetľovať. Vo vzťahu k primeranosti prijatých bezpečnostných opatrení však treba pripomenúť, v prípade bezpečnostného incidentu, ktorý už nastal a mal za následok únik osobných údajov, môže byť práve silné heslo aspoň poľahčujúcou okolnosťou (možno i záchranou pred pokutou ak inde nepochybil). Pokiaľ by bolo prevádzkovateľovi preukázané, že dôvodom, pre ktorý sa incidentu nezabránilo bolo práve ľahko uhádnuteľné heslo, tak mu v žiadnom prípade neprejde tvrdenie, že jeho bezpečnostné opatrenia boli primerané a napriek tomu nebolo možné incidentu zabrániť. Označiť náhodné uhádnutie hesla za zvyškové riziko by bolo prinajmenšom komické.

Použitie skutočne silného hesla nie je teda len najlacnejším spôsobom ako predchádzať náhodným incidentom a urobiť cielené útoky na informačný systém ťažšími, ale aj opatrením, ktoré môže spolu s ďalšími úkonmi potrebnými za zabezpečenie integrity, dostupnosti a dôvernosti spracúvaných dát minimalizovať určitú skupinu hrozieb (uhádnutie hesla a získanie prístupu).

FOAF.sk bacha na ochrancov údajov

Nie je tomu tak dávno, čo som mailom dostal link na novučičký web chalanov FIIT STU, ktorého podtitul ma okamžite zaujal – sociálna sieť obchodného registra SR. Odhliadnuc od toho, že moja prvotná reakcia bol „WTF?“ som si to hneď vyskúšal. Vyzeralo to na prvý a aj druhý pohľad veľmi funkčne.

Následne som sa však ako „data protection“ pozitívny človek zamyslel nad tým odkiaľ vlastne údaje o osobách a firmách pochádzajú a čo sa s nimi deje.Nakoľko moje IT znalosti nie sú ani zďaleka bezbrehé, hľadal som dodatočné info o tomto webe. Tu mi bol nápomocný známy IT bezpečnostný búrlivák „oooo“, ktorý vyspovedal jedného z autorov FOAFu pre svoj blog.synopsi.com. Vďaka tomu vieme, že: „Databázu zaobstaráva MySQL a fulltextové vyhľadávanie je riešené cez rozšírenie jazyka Ruby. Databáza dnes obsahuje približne 170 tisíc unikátnych záznamov spoločností, približne 350 tisíc unikátnych záznamov osôb a pol milióna prepojení.“Je len logické, že dáta pochádzajú z informačného systému Ministerstva spravodlivosti SR, ktoré prevádzkuje Obchodný register SR. V tom, že tieto údaje chalani získali pre svoj projekt zo stránky registra by som problém nevidel. Ide totiž o tzv. zverejnené údaje a ako také ich možno spracúvať bez súhlasu dotknutej osoby. Je však potrebné ich ako zverejnené označiť a v prípade žiadosti ÚOOÚ SR je prevádzkovateľ informačného systému povinný preukázať, že ide skutočne o zverejnené údaje.

K tomu by bolo vhodné doplniť ešte fakt, že disponovať takouto databázou nie je možné len tak. Dalo by sa povedať, že informačný systém podlieha napríklad povinnosti registrácie informačných systémov a prevádzkovateľ je povinný dodržiavať základné zásady ochrany osobných údajov vyplývajúce zo zákona o ochrane osobných údajov ako je napríklad presné vymedzeniu účelu a prostriedkov spracúvania. Takže chalani „bacha“ na takéto drobnosti. Plus by to chcelo nejakú Privacy Policy alebo Statement, aby bolo jasné o čo presne ide pri FOAF.sk.

IP adresa – je to teda osobný údaj?

Spoza „veľkej mláky“ sa k nám pravidelne dostavajú názory odborníkov, ale aj laikov hovoriace, že IP adresa za žiadnych okolností nemôže byť považovaná za osobný údaj. Európa v tom však má už pomerne dlhú dobu jasno. Čierne na bielom to prišlo z Bruselu od Pracovnej skupiny podľa článku 29 (dvorného vykladača Smernice Európskeho parlamentu a Rady 95/46/EC z 24. októbra 1995 o ochrane jednotlivcov pri spracúvaní osobných údajov a voľnom pohybe týchto údajov) a vo svojich stanoviskách to preberajú aj úrady na ochranu osobných údajov členských štátov (keďže ich predsedovia to čierne na bielom v pracovnej skupine schválili).

Ale k veci. Prečo vlastne niekto 4 čísla oddelené bodkami považuje za osobný údaj? Pracovná skupina uviedla, že „poskytovatelia prístupu na internet a správcovia miestnych sietí môžu pomocou primeraných prostriedkov identifikovať užívateľov internetu, ktorým pridelili IP adresy pretože zvyčajne systematicky „zaznamenávajú“ do súboru dátum, čas, trvanie a dynamickú IP adresu pridelenú užívateľovi internetu. To isté možno povedať o poskytovateľoch internetových služieb, ktorí vedú prevádzkový denník na serveri HTTP. V týchto prípadoch možno nepochybne hovoriť o osobných údajoch…“ – viď jej stanovisko z minulého roku.
V stanovisku sa ďalej píše, že „najmä v prípadoch, keď sa IP adresy spracúvajú na účely identifikácie užívateľov počítača (napríklad vlastníkmi autorských práv, ktorí chcú stíhať užívateľov počítača za porušenie práv duševného vlastníctva) kontrolór – tu ide o pojem, ktorý by mal byť u nás skôr prekladaný ako prevádzkovateľ aby korešpondoval s terminológiou nášho zákona o ochrane osobných údajov – očakáva, že budú k dispozícii „prostriedky, u ktorých je primeraná pravdepodobnosť, že sa využijú“ na identifikáciu osôb, napríklad prostredníctvom súdov, na ktoré sa obrátia (inak nemá zhromažďovanie informácií žiadny význam), a preto by sa informácie mali považovať za osobné údaje.

Osobitným prípadom by boli určité druhy IP adries, ktoré za určitých okolností skutočne neumožňujú identifikáciu užívateľa z rôznych technických a organizačných dôvodov. Jedným z príkladov by mohli byť IP adresy pridelené počítaču v internetovej kaviarni, kde sa nevyžaduje žiadna identifikácia zákazníkov. Mohlo by sa namietať, že údaje zhromaždené o využívaní počítača X počas určitého časového rámca neumožňujú identifikáciu užívateľa primeranými prostriedkami, a preto nie sú osobnými údajmi. Je však nutné uviesť, že poskytovatelia internetových služieb pravdepodobne nebudú vedieť, či príslušná IP adresa je alebo nie je adresou, ktorá umožňuje identifikáciu, a že spracujú údaje spojené s touto IP adresou rovnakým spôsobom, ako spracúvajú informácie spojené s IP adresami užívateľov, ktorí sú riadne zaregistrovaní a identifikovateľní. Takže pokiaľ poskytovateľ internetových služieb nemôže s absolútnou istotou rozlíšiť, či údaje zodpovedajú užívateľom, ktorí sa nedajú identifikovať, bude musieť pre istotu spracovať všetky informácie IP ako osobné údaje“.

Napísať to nejako inak by znamenalo vymýšľať teplú vodu – preto som to proste pastol. Táto línia sa vďaka stanovisku pracovnej skupiny tiahne celou EÚ a výklad orientovaný týmto smerom by si mali osvojiť všetky dozorné orgány na ochranu osobných údajov v členských štátoch EÚ. Takže dynamická či pevná, v mnohých prípadoch môže IP-čka viesť k tomu, komu bola pridelená.