root's blog

1. Rok sa nám začal síce klasicky januárom, ale o to „magickejšie“ počas Dňa ochrany osobných údajov, keď kúzla s dátumami predviedol Úrad na ochranu osobných údajov SR. Bloger Vyskoč zdokumentoval záhadné obsahové zmeny stránky http://www.uoou.sk, s odkazom na minimalistický a zároveň lokálny dopad aktivít na propagáciu problematiku ochrany osobných údajov. Držíme palce, aby sa tohtoročný reparát dozornému orgánu podaril. Deň ochrany osobných údajov (28.1.2012) treba totiž v rámci (aj finančných) možností náležite osláviť a spropagovať .

Info:
http://vyskoc.blog.sme.sk/c/254737/Magia-dna-ochrany-osobnych-udajov.html
http://www.oou.sk/den-ochrany-osobnych-udajov-2011

2. V marci nám zahviezdila rovno Národná rada Slovenskej republiky, keď zo zverejňovaných materiálov, medzi ktorými bol aj životopis predsedu Úradu na ochranu osobných údajov SR, pozabudla vymazať rodné číslo. Tento krok si zaslúži pomyselnú „zlatú malinu“ za extra FAIL a dôkaz o tom, že život (najmä ten politický) je najväčší recesista a osobné údaje toho kto dozerá na ich ochranu sa vedia túlať internetom rovnako jednoducho ako každého z nás. Nemáme vedomosť o tom či mal tento prípad dohru v podobe finančnej sankcie.

Info:
http://www.oou.sk/NRSR-FAIL-RC-predseda
http://www.oou.sk/NRSR-vs-Zakon

3. Koniec marca priniesol spoza rieky Moravy skutočne rázny závan čerstvého vzduchu. Ústavný súd ČR sa totiž stotožnil s názorom, že právna úprava o uchovávaní údajov v telekomunikačnej prevádzke porušuje ústavnoprávne limity, keďže nespĺňa požiadavky vyplývajúce z princípu právneho štátu a je v rozpore s požiadavkami pre obmedzenie základného práva na súkromie v podobe práva na informačné sebaurčenie v zmysle článku 10 odsek 3 a článku 13 Listiny základných práv a slobôd, ktoré vyplývajú z princípu proporcionality. Ako FAIL na Slovensku to uvádzame preto, lebo u nás si táto úprava cestu na Ústavný súd SR nenašla. Uvidíme či sa jej to podarí v roku 2012.

Info:
http://www.eisionline.org/sk/menu-nasa-cinnost/data-retention/47-navrh-g...

4. Priam prvoaprílovo znie jarná trenica medzi premiérkou a Úradom na ochranu osobných údajov SR o konaní/nekonaní v 4 roky starej veci zverejnenia údajov poslankyňou NR SR Janou Valovou o neúčasti opozičných poslancov NR SR v druhom pilieri dôchodkového systému. Pani premiérka bola vtedy poslankyňou NR SR a v tomto prípade vystupovala ako oznamovateľka a dotknutá osoba. Obrana dozorného orgánu viedla až k odváženiu a vyfotografovaniu 11 kilového spisového materiálu:

Takéto komédie (týka sa oboch strán) ochrane osobných údajov na Slovensku prospievajú skutočne najmenej.

Info:
http://www.dataprotection.gov.sk/buxus/generate_page.php?page_id=793

5. V apríli skončil ešte pred dverami Vlády SR návrh novely zákona o ochrane osobných údajov pripravovaný 3 roky. Čiastočne pre nedostatok politickej vôle, ale aj pre niektoré kontroverzné inštitúty. Treba však povedať, že skončil v Legislatívnej rade, ktorá prerokovala návrh zákona a neodporučila vláde návrh v predloženom znení schváliť s tým, že odporúča predkladateľovi vypracovať nový zákon o ochrane osobných údajov, resp. ešte predtým vypracovať vecný zámer, v ktorom by sa vecne vyriešila otázka postavenia a nezávislosti Úradu na ochranu osobných údajov. Odvtedy sa na túto tému v legislatívnych kruhoch mlčí.

Info:
http://www.oou.sk/asi-koniec-novely

6. V máji nás prekvapilo Sčítanie 2011. Možno ani nie tak nás, ako skôr Štatistický úrad, ktorý si napriek identifikácii všetkých čo vyplnili sčítacie formuláre neprestajne opakoval mantru – „nemáme osobné údaje, sčítanie je anonymné a my sme nič neporušili“. Úrad na ochranu osobných údajov SR proti tomu zakročil, ale nešťastným spôsobom, ktorý mal za následok zapojenie Generálnej prokuratúry – bohužiaľ však žalostne neznalej vecnej stránky problematiky ochrany osobných údajov.

Info:
http://www.oou.sk/scitanie-po-slovensky-aneb-KurvahosiOhMyGod
http://www.uoou.sk/

7. Sčítanie doznievalo aj v júli, keď sa Úrad na ochranu osobných údajov prezentoval vyhlásením o tom, že svoje tvrdenie o neanonymite sčítania nezmenil ani po vydaní „Rozhodnutia o proteste prokurátora“, ktorým svoje stanovisko zrušil z dôvodu istých procesných, nie vecných pochybení. Procesné pochybenie spočíva v tom, že úrad nedoručil stanovisko z 20. mája 2011 Štatistickému úradu v zmysle správneho poriadku, čo mu vytýkala Generálna prokuratúra úradu v proteste. Svojim rozhodnutím teda vyhovel protestu Generálnej prokuratúry SR. Vecnou stránkou je však tvrdenie úradu, že považuje sčítanie v etape získavania údajov za neanonymné. Výsledok zatiaľ nebol nemedializovaný, ale možno predpokladať, že ochrancovia údajov to nenechali len tak. Dúfajme, že niečo z ich vyšetrovania presiakne aj na verejnosť, lebo momentálne pri slove „sčítanie“ horkne slina, každému koho zaujíma ochrana jeho súkromia a osobných údajov.

Info:
http://www.dataprotection.gov.sk/buxus/generate_page.php?page_id=840

8. November spustil vlnu prepisov odposluchov z rôznych zdrojov. Od Kaliňáka inštruujúceho novinárku Pravdy, až po Pentu riadiacu celú republiku. Pekné spracovanie Wanda-Kaliňák spravilo SME a Gorilu (Penta vs. SR) si trochu nešťastne aj s rodnými číslami zavesilo na svoj server napríklad aj TA3.

Info:
http://tv.sme.sk/v/22740/dnes-hrame-ako-kalinak-telefonoval-novinarke.html

http://static.ta3.com/public/data/Article/6172/file/gorila.txt

9. November ani december nás nenechali na pochybách o tom, že nielen samospráva, ale aj naše televízie stále nechápu, čo znamená absolútny zákaz zverejňovania rodných čísel. A tak radnica v Stropkove, rovnako ako aj tá v Ružomberku sa pridali spoločne s televíziami Markíza a TA3 (ešte teraz sú rodné čísla online) do klubu nepoučiteľných.

Info:
http://www.espektrum.sk/index.php?text=4106-mesto-nerespektuje-ochranu-o...
http://www.stropkov.sk/resources/File/spektrum_2011_45.pdf
http://www.ta3.com/clanok/6531/ruzomberok-zverejnil-osobne-udaje-obyvate...
http://www.oou.sk/televizie-stale-zverejnuju-rodne-cisla
http://static.ta3.com/public/data/Article/6172/file/gorila.txt

Aj taký bol rok 2011...o rozpočtovej kríze radšej ani nehovorme. Spoločne preto poprajme ochrane osobných údajov, ale aj nám všetkým, aby bol rok 2012 po všetkých stránkach lepším! :-)

Končiaci sa rok 2011 bol bohatý na prúsery v oblasti ochrany osobných údajov súkromia, a to tak doma ako i vo svete. Portál https://www.privacyrights.org zhrnul poltucet tých najvýznamnejších vo svojom malom rebríčku:

1. Ako prvý uviedli FAIL z dielne SONY, kde sa vraj v apríli zastavil istý hacker, ktorý sa zásobil menami, adresami, emailovými adresami, dátumami narodenia, heslami do sietí Playstation a Qriocity, prihlasovacími menami a ID viacerých užívateľov. Predpokladá sa, že útočník mohol získať aj históriu nákupov užívateľov, fakturačné adresy a tiež informácie o password security question. O niekoľko mesiacov neskôr bolo zistené, že hacker získal prístup k 101,6 miliónom záznamov, vrátane 12 mil. nezašifrovaných čísel kreditných kariet.
INFO:
http://www.huntonprivacyblog.com/2011/04/articles/gaming-security-breach...
http://attrition.org/security/rant/sony_aka_sownage.html

2. Ďalšou hviezdou v poradí bol americký poskytovateľ služieb elektronickej pošty, ktorý rovnako v apríli ohlásil bezpečnostný incident s dopadom na 75 klientských firiem. Konzervatívne odhady vravia o úniku 50-60 mil. emailových adries a až 250 miliónov emailov sa tak ocitlo v nebezpečenstve. Hoci meno a email, možno neznejú príliš tragicky, podvodníkom využívajúcim phishing to však v mnohých prípadoch stačí na ich nekalé ciele.
INFO:
http://www.databreaches.net/?p=17374

3. Sutter Physicians Services a Sutter Medical Foundation si celkom užili len pred pár mesiacmi, keď po krádeži nešifrovaného počítača z kancelárskych priestorov zmenili držiteľa zdravotné záznamy 4,2 milióna pacientov. Medzi údajmi v počítači boli mená, adresy, diagnózy, emaily, telefóny dátumy narodenia. Hoci medzi uniknutými údajmi neboli čísla sociálneho zabezpečenia a ani žiadne finančné informácie, Sutter Health sa nevyhol žalobe pre nedbanlivosť ohľadom bezpečnosti spracúvaných údajov.

4. Kontrolný úrad v Texase sa problémom nevyhol po tom, čo údaje o z viacerých dôchodkových inštitúcií bolo možné prečítať z verejného serveru. Údaje (mená, čísla sociálneho zabezpečenia, čísla vodičákov, adresy a dátumy narodenia) sa mohli týkať 2-3,5 milióna texasanov, v ktorých mene bola samozrejme podaná spoločná žaloba.

5. Health Net zase prišlo o 9 serverov s osobnými údajmi 1,9 milióna dotknutých osôb, pričom sa bavíme o menách, adresách zdravotných dátach, číslach sociálneho zabezpečenia, ale aj finančných informáciách. Rozsah tohto bezpečnostného incidentu zväčšuje aj skutočnosť, že prevádzkovateľ si nesplnil povinnosť informovať dotknuté osoby o úniku ich údajov, aby mohli prijať aspoň minimálne opatrenia na odvrátenie škôd.

6. Posledným v rebríčku PrivacyRights.org je TRICARE, o ktorom sme písali aj u nás. Približne 5 miliónov dotknutých osôb a celá plejáda zdravotných a finančných údajov. Novinkou je snáď informácia o žalobe podanej štyrmi dotknutými osobami. Požadovaná náhrada škody sa šplhá k piatim miliardám dolárov, čo by znamenalo tisícku pre každého, čo z pohľadu firmy môže byť veľa ale s ohľadom na jednotlivca to nie je žiadne terno.
INFO:
http://www.oou.sk/usa-reportuju-ohrozenie-milionov-zdravotnych-udajov

Aj takýto bol teda rok 2011 čo sa týka ochrany osobných údajov a súkromia vo svete či skôr prevažne v USA. Zaujímavo by však mohli vyzerať aj podobné rebríčky na Slovensku. U nás neplatí povinnosť oznamovať bezpečnostné incidenty, takže je nemožné získať podobné štatistiky. Bruselskí legislatívci nám však chystajú revíziu smernice pre ochranu údajov, ktorá by s Data Breach Notification mala počítať.

ZDROJ:
https://www.privacyrights.org/top-data-breach-list-2011

Pokojné prežitie Vianoc želá OOU.sk

To, že sa Google poučil z fiaska s nasadením sociálnej siete BUZZ je snáď už každému jasné. Avšak to, že by ho niekto mohol dávať za príklad Facebooku, čakal asi málokto. Nehovoriac o tom, že ten niekto bude Hamburgský úrad pre slobodu informácií a ochranu osobných údajov, hlavne keď nemecké úrady vôbec nemajú sociálne siete v obľube. Nikomu snáď netreba pripomínať, že napríklad také tlačidlo LIKE od Facebooku, ktoré zaplavilo internetové stránky, sa vďaka zásahu nemeckých ochrancov údajov dostalo do ilegality (http://huff.to/qLkt5q).

V čom je teda Google lepší od Facebooku? Podľa posledných správ z Nemecka je to najmä v spôsobe spustenia služby rozoznávania tváre (Face Recognition). Kým Facebook sa nikoho nepýtal či sa chce zapojiť do tejto služby a rovno ju nasadil s možnosťou odhlásenia cez nastavenia súkromia, Google zvolil presne opačný postup. Vybral sa cestou OPT-IN namiesto Facebookom preferovanej OPT-OUT, ktorá mu už dlhší čas spôsobuje nevôľu u všetkých čo si vážia svoje súkromie. PLUSka od Google sa teda užívateľa opýta, či má záujem využiť službu rozpoznania jeho tváre alebo nie. Facebook zasa bez akýchkoľvek otázok vytvorí biometrický profil užívateľa a nechá ho tápať v nastaveniach, pokiaľ chce službu Tag Suggestions zrušiť.

Takže zostáva len dúfať, že Google sa bude držať štandardov ochrany súkromia a osobných údajov aj naďalej, a že ostatní hráči na trhu budú jeho príklad nasledovať.

ZDROJ: http://blogs.investors.com/click/index.php/home/60-tech/4045-germany-pri...

Akoby nebolo problémov s neoprávneným nakladaním s osobnými údajmi dosť. Spoza každého stromu pomaly vyskočí odposluch, prepis či voľne pohodený balík osobných údajov. Bez informovania médií by sme samozrejme o nich vedeli len veľmi málo, ak vôbec niečo. Prinajmenšom záhadným však zostáva fakt, že naše televízie sa stále nenaučili ako o týchto skutočnostiach informovať bez porušenia zákona či ďalšieho zásahu do práva dotknutých osôb.

Iba nedávno na našu FB stránku pridal jeden z fanúšikov odkaz na blog Petra Šlosara (http://bit.ly/rMrpfN), kde bloger poukazoval na zverejnenie rodných čísel v reportáži hlavného spravodajstva TV Markíza o Nespokojných štátnych úradníkoch. Išlo o rodné čísla nezamestnaných osôb, ľahko čitateľné z obrazovky počítača. Bloger správne poukázal na to, že zverejňovanie rodných čísel je vec zakázaná. Generálny zákaz, z ktorého neexistuje výnimka (ak nerátame dotknutú osobu, ktorá si sama zverejní svoje rodné číslo - nemožno jej to zakázať) upravuje zákon o ochrane osobných údajov. V takýchto prípadoch musí jednoznačne prísť k slovu dozorný orgán, ktorým je Úrad na ochranu osobných údajov SR. Či sú rodné čísla stále v archíve neporiadnej televízie si môže ľahko zistiť každý sám.

Aby toho nebolo málo, vyskočila spoza stromu, či práve z pralesa našich spravodajských služieb GORILA (domnelý záznam spravodajskej služby). Taká naša, slovenská, konšpiračnospravodajská zver. V závere svojho textu však priniesla celý rad rodných čísel priradených k jednotlivým aktérom spravodajskej hry. To, že bola GORILA nahulváta zavesená na rôznych blogoch nie je v žiadnom prípade v poriadku. Korunu tomu však nasadila naša spravodajská televízia TA3, ktorá nezostala pri odkaze na súbor zavesený na DROPBOXe (https://dl.dropbox.com/u/51238188/gorila.txt) mimo dosah právomocí Úradu na ochranu osobných údajov SR. GORILA tak skončila priamo na serveroch TA3 (http://static.ta3.com/public/data/Article/6172/file/gorila.txt), ktorá je teraz rovnako ako prednedávnom Markíza, zodpovedná za neoprávnené zverejňovanie rodných čísel, ktoré je v prísnom rozpore s ustanoveniami zákona o ochrane osobných údajov.

Za podobné konanie môže byť prevádzkovateľ informačného systému odmenený mastnou pokutou okolo 330 tisíc EUR, aj keď v danom prípade by sa malo jemne prihliadnuť na fakt, že tieto dáta kolovali po webe aj pred nezodpovedným krokom televízie. Napriek tomu platí, že rodné čísla nepatria na web. Výhovorka, že ich už skôr niekto zverejnil veru nepomôže.

http://www.ta3.com/clanok/6172/na-verejnost-prenikol-dokument-s-krycim-n...

Viac k zákazu zverejňovať rodné číslo najdete tu: http://www.oou.sk/rodne-cislo-na-webe-hrozia-problemy

Ako je už pomaly tradíciou, aj koncom roka 2011 zverejňuje IBM svoje predpovede technologického pokroku na nasledujúcich 5 rokov. Za posledných pár rokov vízií možno badať, že sa triafajú tak 50 na 50, čo nám však nebráni zastaviť sa pri jednej z nich. Je ňou pokrok v oblasti biometrických technológií a ich nasadenie do reálneho života. Pri ochrane osobných údajov nám z tohtoročných TOP5 zasvietilo „nahradenie klasických hesiel skenovaním tváre, šošoviek či rozpoznávaním hlasu“. Predpovede idú dokonca tak ďaleko, že hlásajú vytvorenie unikátneho bio-hesla pre online svet založeného na skenovaní viacerých prvkov biologickej identity jednotlivca. Hoci to znie jemne futuristicky, rozpoznávanie tváre, hlasu či šošoviek je technológia súčasnosti, ktorá si nachádza miesto v stále väčšom množstve zariadení. Nikoho už neprekvapia laptopy, netbooky, externé disky s čítačkou odtlačku prsta na zjednodušenie prihlásenia. Možno očakávať, že niečo podobné aj pri mobilných telefónoch či iných zariadeniach.

Používanie biometrie je na Slovensku, podobne ako v ostatných krajinách EÚ pomerne prísne regulované. Zákon o ochrane osobných údajov určuje pravidlá pre prevádzkovateľov informačných systémov s biometrickými údajmi výrazne prísnejšie, a to najmä z dôvodu vyššej citlivosti týchto údajov, ktoré označuje ako osobitnú kategóriu osobných údajov. Zákon definuje biometrický údaj ako osobný údaj fyzickej osoby, na základe ktorého je jednoznačne a nezameniteľne určiteľná. Ako neuzavretú množinu príkladov uvádza odtlačok prsta, odtlačok dlane, analýza deoxyribonukleovej kyseliny, profil deoxyribonukleovej kyseliny. Dúfajme, že pri najbližších legislatívnych zmenách nahradí analýzu DNA, niektorý zo šťastnejších príkladov, keďže ide o proces analýzy vzorky metódami molekulárnej biológie a genetiky vykonávaný z nekódujúcich úsekov molekuly deoxyribonukleovej kyseliny neobsahujúcich informácie o špecifických dedičných vlastnostiach, teda metóda skúmania DNA ako takej. Výsledkom analýzy je profil DNA vo forme alfanumerického kódu.

V prípade nefiremnej klientely, keď koncový užívateľ zariadenia je zároveň aj osobou, ktorej biometrický údaj sa využíva v zásade problém nie je. Nikoho nemožno obmedzovať v nakladaní so svojimi údajmi, nie to ešte hroziť mu za takéto konanie sankciou zo strany štátu. To však neplatí pre firemný segment, pracujúci s biometriou svojich zamestnancov, spolupracovníkov, klientov či zákazníkov. Takýto subjekt je považovaný za prevádzkovateľa biometrického informačného systému a ešte pred jeho zavedením ho spravidla čaká konanie o povolení osobitnej registrácie na Úrade na ochranu osobných údajov Slovenskej republiky, ktoré sa však úspešne skončí iba pre minimálne množstvo prevádzkovateľov. Treba preto zvážiť, kedy a či je prevádzkovateľ povinný požiadať o osobitnú registráciu.

Naša legislatíva totiž na takýto nástup biometrie nie je pripravená a v kontexte noriem EÚ odsúva firemnú klientelu do ilegality. Pokiaľ sa ľady pohnú na európskej úrovni, u nás to bude potom hračka.

Úrad komisára pre slobodu informácií a ochranu súkromia z kanadskej provincie Alberta sa pokúsil prispieť k redukcii predvianočného stresu špeciálnou verziou tradične piesne a zároveň aj pripomenúť všetkým hekticky nakupujúcim ľuďom, že si aj v čase vianočného zhonu majú dávať pozor na svoje osobné údaje a súkromie.

Na melódiu vianočnej piesne „Santa Claus is Coming to Town“ prinášame jej text, spoločne s voľným prekladom do slovenčiny...

Telemarketingová spoločnosť AMERICALL z Illinois zaplatí 500 000 USD za porušenie pravidiel telemarketingového predaja z dielne Federal Trade Commission (FTC). Týmito pravidlami boli povinnosť zaradiť žiadateľa do zoznamu nevolaných (OPT-OUT – spotrebitelia, ktorých na základe ich vlastnej žiadosti marketingové spoločnosti neoslovujú), aby neboli neskôr opätovne obťažovaní marketingovými telefonátmi a tiež zákaz kontaktovať spotrebiteľov pod falošným menom. FTC je federálna inštitúcia na ochranu práv spotrebiteľov, ktorá dozerá na obchodné vzťahy so spotrebiteľmi nielen z obchodného pohľadu, ale aj z pohľadu ochrany osobných údajov či pravidiel telekomunikačnej prevádzky. Počas vyšetrovania FTC vyšlo najavo, že manuál pre pracovníkov AMERICALL obsahoval inštrukciu nezaradiť spotrebiteľa do zoznamu nevolaných, napriek jeho výslovnej požiadavke. Zistené bolo aj podvodné konanie pri zobrazovaní CallerID, ktoré podľa telemarketingových pravidiel FTC prikazuje zobraziť ako meno telemarketingovej spoločnosti alebo jej klienta, v mene ktorého v telefonáte vystupuje.

Takýto postup zabezpečil, že účty za telefonovanie sa AMERICALL vďaka polmiliónovej pokute výrazne predražia. Ako sa zdá, vysoké pokuty môžu byť cestou aj pre slovenských regulátorov, aby zabezpečili obdobne efektívny výkon práva spotrebiteľov a dotknutých osôb v prípade ich porušenia.

V Maďarsku sa dejú veľké zmeny. Rošáda nielen medzi inštitúciami ochrany osobných údajov, ale aj ich hlavnými predstaviteľmi. Po vytvorení novej inštitúcie na ochranu osobných údajov, ktorá vznikne od nového roka a prevezme kompetencie ombudsmana, sa na jej čelo dostal bývalý ombudsman Attila Peterfalvi. Attila bol ombudsmanom pre ochranu osobných údajov v rokoch 2001 až 2007 a na čelo National Data Protection and Freedom of Information Authority bol menovaný prezidentom na 9 rokov.

Attila priviedol Maďarov z pohľadu kritérií na ochranu osobných údajov do Schengenu a zrejme aj to bolo dôvodom (okrem zákulisnej politiky :-D), že mu pred blížiacim sa opätovným hodnotením Schengenskej hodnotiacej misie zveril prezident na základe návrhu premiéra tento nový úrad.

Schengenské hodnotenie čaká začiatkom februára 2012 aj Slovenskú republiku.

Momentálna situácia v zdravotníctve neprospieva nikomu a ničomu (snáď okrem sledovanosti médií). Obe strany sa snažia viac či menej konštruktívne rokovať, ale používajú aj ťažšie kalibre, ako napr. slovné ostreľovanie prostredníctvom novinárov, internetu či rôznych otvorených listov a vyjadrení. Hoci takmer zúfalá pozícia oboch strán dáva vláde i lekárom pocit, že sledovaný účel im posvätí akékoľvek prostriedky. V skutočnosti to však pravdou nie je.

Práve otvorené listy bývajú dobrým spôsobom ako osloviť adresáta a zároveň získať pozornosť verejnosti, ktorú zaujíma daná problematika. Na toto myslel zrejme aj autor písomnosti OTVORENÝ LIST PREMIÉRKE SLOVENSKEJ REPUBLIKY PANI IVETE RADIČOVEJ, kde veľmi emotívne apeloval na predsedníčku vlády s odkazom na jej zdravotný stav. Na podobných postupoch v zásade nie je nič zlé, treba však dbať aj na vážnosť svojho stavu (lekárskeho) a povinnosti, ktoré lekárovi vyplývajú z existujúcej legislatívy.

Čo môže byť problémom otvoreného listu, ktorý sa zmieňuje o zdravotných údajoch pacienta? Príslušné orgány môžu skonštatovať viacnásobné porušenie právnych predpisov upravujúcich poskytovanie zdravotnej starostlivosti, a to nasledovným spôsobom...