Nezvykneme linkovať bulvár, ale v tomto prípade poukazuje na najklasickejšie zlyhanie oprávnenej osoby. Zamestnanci, ktorí pri svojej práci prichádzajú do styku s osobnými údajmi spravidla vedia, že majú povinnosť mlčanlivosti. Nie všetci si však uvedomujú, že táto mlčanlivosť sa vzťahuje aj na používanie osobných údajov, ktoré je pre súkromné účely mimo práce úplné vylúčené.

UBER má problém s bezpečnostným incidentom z konca minulého roka. CEO tejto spoločnosti oznámil, že im unikli mená a čísla vodičákov asi 600 000 vodičov v USA a mená, emaily a telefóny 57 miliónov zákazníkov po celom svete. Úradníci dozorných orgánov z Holandska, Talianska, Španielska, Francúzska, Nemecka, Británie a Belgicka spustili koordinované vyšetrovanie.

Skontrolujte si nastavenia súkromia vo Windows 10

To, že výrobcovia softvéru to občas riadne preženú sa môžeme presvedčiť aj na smutnom príklade jedného zo softvérových gigantov. Hriešnikom je práve Microsoft, ktorý si svojich fanúšikov pohneval funkcionalitami novej verzie operačného systému Windows 10. Okrem toho, že si bez informovaného a aktívneho súhlasu používateľa chcel posielať celý rad privátnych dát, inštaloval aj zbytočné služby, ktoré mnohí používatelia nepotrebovali. Niektorých to viedlo až k vytvoreniu skriptu, ktorý tieto funkcie zakázal a nepotrebné súčasti odinštaloval.

Svojim prístupom si na seba Microsoft privolal zaslúženú pozornosť holandskej alternatívy nášho Úradu na ochranu osobných údajov. Dozorný orgán preveril ignorovanie požiadavky na informovaný a aktívny súhlas používateľa pre zber dát, ktorý mal Windows 10 v rozpore s požiadavkami miestneho zákona o ochrane osobných údajov automaticky zapnutý. Ak ho používateľ ručne nedeaktivoval, tak na serveri Microsoftu odchádzali z jeho zariadenia informácie o jeho polohe, reklamných preferenciách, vyhľadávaných slovách či otázkach položených virtuálnej asistentke Cortane alebo telemetrické dáta, ktoré nebolo vôbec možné úplne vypnúť. Korunu tomu všetkému Micorosoft nasadil aktualizáiou Creators Update, ktorou opätovne pozapínal všetky tieto funkcionality, aj keď ich používateľ pri prvej inštalácii cielene vypol.

Všetky najdôležitejšie informácie o tejto kauze nájdete v sumárnej správe z vyšetrovania holandského úradu a na ich internetovej stránke.

Ak si chcete preveriť, ktoré zo spomínaných nastavení máte vo svojom počítači zapnuté, tak choďte do Windows 10 menu Nastavenia (Settings) a kliknite na sekciu Súkromie (Privacy). Nájdete v nej položky ako Poloha, Kamera, Mikrofón, Notifikácie a iné. Jednoducho môžete povypínať všetko, čo nechcete do Microsoftu posielať, ale aj určiť aplikácie, ktorým povolíte prístup ku kamere, mikrofónu, kontaktom či kalendáru.

Pokročilejší používatelia môžu siahnuť po vyššie uvedenom skripte alebo iných ľahko dostupných nástrojoch.

Na Facebook sa to sype. Len včera sme písali o tom, ako voči najväčšej sociálnej sieti zakročil miestny úrad na ochranu osobných údajov v Holandsku a dnes tu máme podobné správy z Francúzska. Dôvody nevôle dozorného orgánu sú prakticky totožné s tými holandskými, a to zhromažďovanie údajov o politických alebo náboženských názoroch, sexuálnej orientácii a iných osobných črtách používateľov sociálnej siete bez toho, aby ich o tom informoval. Francúzsky CNIL požaduje zaplatenie 150 tisíc eur a samozrejme nápravu.

 

 

Facebook porušuje holandský zákon o ochrane údajov. Skonštatoval to holandský úrad na pre ochranu údajov po vyšetrovaní spracovania osobných údajov o domácich používateľov Facebookom v Holandsku. Porušenie spočíva aj v tom, že používateľom poskytuje nedostatočné informácie o používaní ich osobných údajov. Holandský úrad tiež zistil, že Facebook používa citlivé osobné údaje od používateľov bez ich výslovného súhlasu. Napríklad údaje týkajúce sa sexuálnych preferencií, ktoré boli použité na zobrazenie cielených reklám.

Záznamy z kamerových systémov parlamentu na webe

Kde sa vzal tu sa vzal, v médiách sa objavil videozáznam zobrazujúci poslanca nášho národného parlamentu ako prostredným prstom salutuje inému poslancovi. Záznam bol zverejnený na SME.sk pod názvom Hlina zverejnil záznam, ako mu Bugár ukázal prostredník (VIDEO). Bez ohľadu na politickú orientáciu, ako aj prípadnú dilemu, či si to ten druhý pán poslanec zaslúžil je takéto konanie prinajmenšom nevhodné.

Nesporným však zostáva fakt, že záznam z kamerového systému sa ocitol niekde, kde to legislatíva bez splnenia určitých náležitostí nepredpokladala. Podľa zákona o ochrane osobných údajov je záznam z kamerového systému osobným údajov, ktorý môže niesť dokonca aj znaky osobných údajov osobitnej kategórie. V prípade monitorovania platia prísne pravidlá už aj pre priestory prístupné verejnosti, nie to ešte pre priestory, kam má verejnosť prístup značne sťažený či dokonca úplne znemožnený.

Už pri monitorovaní priestorov prístupných verejností platí jednoznačné obmedzenie použitia záznamu pre priestupkové konanie či trestné konanie. Záznamy z kamier nie je možné poskytovať ani sprístupňovať iným subjektom ako sú orgány činné v trestnom konaní či orgány prejednávajúce priestupky. Pre monitorovanie priestorov parlamentu či iných neverejných miest by mali platiť ešte prísnejšie pravidlá vyplývajúce z popisu informačného systému, účelu monitorovania či dokonca právneho dôvodu jeho samotnej existencie.

Bez poznania právneho titulu a tiež bez určenia prevádzkovateľa kamier je viacero vecí stále otvorených a sporných. Je však veľmi málo pravdepodobné, že prevádzkovateľ kamerového systému bol oprávnený záznam z neho poskytovať tretím osobám. Aj keď táto situácia veľmi smrdí porušením povinností prevádzkovateľa informačného systému upravených zákonom o ochrane osobných údajov, bez prešetrenia a poznania všetkých detailov prípadu ide len o domnienku (aj keď veľmi reálnu). Jediný orgán oprávnený takéto prípady prešetriť je Úradu na ochranu osobných údajov SR, ktorý už v minulosti proti zverejňovaniu kamerových záznamov viackrát aj podľa SME.sk zakročil a o jeho negatívnom postoji k nezodpovednému správaniu prevádzkovateľov kamerových systémov jasne hovorí aj rozhovor poskytnutý hovorkyňou úradu pre portál NAJPRAVO.sk.

Takže otázkou dňa stále zostáva: Bol v Národnej rade Slovenskej republiky porušený zákon o ochrane osobných údajov?

Slabá ochrana údajov môže odrovnať biznis

Bez ohľadu na to, aká veľká je obchodná spoločnosť či aký podiel na trhu tvorí práve jej kus koláča na grafoch, ochrana osobných údajov je prioritnou podmienkou, najmä keď súčasťou podnikania je aj spracúvanie osobných údajov. O to viac, keď ide o citlivé údaje desiatok tisíc klientov, nehovoriac o prípade, keď klienti sú pacienti a citlivé údaje sú informácie o ich zdravotnom stave. Presvedčila sa o tom aj verejnoprávna korporácia pôsobiaca v zdravotníctve Spojeného kráľovstva NHS trust, ktorá sa po fatálnom zlyhaní v oblasti informačnej bezpečnosti ocitla zoči-voči astronomickej finančnej sankcii nebývalých rozmerov.

Úrad anglického Komisára pre informácie ohodnotil predaj starých pevných diskov s informáciami o zdravotnom stave desiatok tisíc pacientov pokutou vo výške 325 000 LIBIER, čo je takmer 404 000 EUR. Pokuta uložená inštitúciou, ktorá ešte niekoľko rokov dozadu nemala dokonca ani právo finančné sankcie ukladať, presahuje aj možnosti nášho Úradu na ochranu osobných údajov SR , ktorého strop je niekde okolo 332 000 EUR.

Pevné disky mal zničiť dodávateľ IT služieb, ale namiesto zničenia boli predané na eBay. Hoci NHS trust uisťoval komisára, že išlo len o 4 kusy diskov, pol roka po prevalení incidentu sa objavil ďalší disk, ktorý si spolu s dátami trustu zakúpil istý študent.

Tento prípad nie je iba mementom dôležitosti dodržiavania princípov ochrany osobných údajov a dôsledného uplatňovania pravidiel informačnej bezpečnosti, ale aj praktickou ukážkou zodpovednosti prevádzkovateľa informačného systému za konanie či nekonanie sprostredkovateľa, u ktorého outsourcuje určité úkony či služby. Aj v zmysle našej legislatívy zodpovedá v konečnom dôsledku prevádzkovateľ, a preto by mal byť pri výbere sprostredkovateľa obozretný a prihliadať najmä na jeho záruky, pokiaľ ide o opatrenia v oblasti technickej, organizačnej a personálnej bezpečnosti. Je potrebné pamätať aj na to, že prevádzkovateľ nesmie zveriť spracúvanie osobných údajov sprostredkovateľovi, ak by tým mohli byť ohrozené práva a právom chránené záujmy dotknutých osôb.

Toto však nie je koniec prípadu bezpečnostného incidentu v NHS trust a podanie odvolania na seba nenechalo dlho čakať. Nemožno totiž ani len predpokladať, že 404 000 EUR by pokutovaný prevádzkovateľ dobrovoľne zaplatil bez využitia všetkých riadnych či mimoriadnych opravných prostriedkov.

Zdroj: http://www.dailymail.co.uk/health/article-2153285/NHS-trust-fined-record-325-000-auctioning-hard-drives-filled-HIV-patients-details-online.html

Faxovať zdravotné údaje na nesprávne číslo sa nevypláca

Central London Community Healthcare Trust to schytal natvrdo od ICO (UK obdoba nášho Úradu na ochranu osobných údajov), ktorý ocenil ich vážne porušenie zákona o ochrane osobných údajov pokutou 90 000 libier. Počas troch mesiacov totiž zamestnanci Trustu odoslali 45 faxov obsahujúcich citlivé zdravotné údaje až 59 pacientov na nesprávne faxové číslo. Zlyhanie prevádzkovateľa teda spočívalo v nezaručení bezpečnosti osobných údajov spracúvaných v informačnom systéme.

Na Slovensku by takýto nezodpovedný prevádzkovateľ mohol byť sankcionovaný ešte vyššou pokutou, keďže za neprijatie primeraných personálnych, technických a organizačných opatrení môže Úrad na ochranu osobných údajov SR pokutovať v rozmedzí cca 1 666 – 332 000 EUR.

INFO: http://www.guardian.co.uk/government-computing-network/2012/may/21/central-london-community-trust-data-breach-fine-ico