![]() Specializovaný týdeník o výpočetní technice |
|
![]() |
Seriál o bezpečnosti a informačním soukromí |
Část 8 - CW 17/97
Politické a legislativní návaznosti ve světěVladimír Šmíd
Jakkoliv je z nejrůznějších hardwarových, softwarových, organizačních i jiných pohledů pro informatika zajímavý problém ochrany dat, celá věc má (nebo -- přesněji řečeno -- měla by mít) z důvodu průhlednosti jasný právní rámec. Z něj by mělo být co možná nejlépe patrné, jaké informace lze sbírat, kdo to může dělat a jak lze celý tento proces kontrolovat. Informace o občanech jsou více či méně a lépe či hůře sbírány tak dlouho, kam snad lidská paměť sahá. Přesto se však úvahy o tom, že tuto sféru zájmů člověka je třeba chránit, skutečně datují až od doby, kdy se reálně objevují počítače. Logicky se to váže na skutečnost, že není třeba příliš se bránit existenci obrovských "smetišť", obsahujících "hromady" údajů, kde najít požadovanou informaci v požadovaném čase se rovná malému zázraku, ale k následkům oné možnosti, totiž k možnosti tyto informace rychle třídit, vybírat a analyzovat. Extrémní přístupy k řešení těchto otázek jsou v zásadě dva: 1. Umožnit shromažďování veškerých informací o jedinci na jednom místě; jakákoliv stránka osobnosti jedince musí přitom být informačně podchycena tak, aby držitel oněch informací mohl mít přehled o tom, co ho zajímá. Držitel informací pak může jednak působit ve prospěch daného člověka (např. zdravotnické informace), nebo se bránit se před jeho negativní činností (např. informace o trestné činnosti) 2. Neshromažďovat vůbec žádné informace, protože všechno, co se týká jedince, je jeho výlučnou záležitostí a nikdo nemá právo jakkoliv do jeho soukromí zasahovat. Podotýkám, že snad ani není třeba za těmito tendencemi hledat konkrétní zemi či politické zřízení, protože historicky se projevovaly snad všude. V každém případě je jasné, že volba jednoho či druhého extrému není udržitelná a že hlavní problém spočívá v nalezení vhodného a přijatelného kompromisu mezi nimi. Vzhledem k tomu, že uvedené legislativní kroky se děly v období dosti vyhraněné pozornosti věnované lidským právům, ve většině případů se ono pomyslné "kyvadlo" (dříve z praktických důvodů vychýlené směrem k prvnímu extrému) vychýlilo spíše směrem k extrému druhému. Pokud bychom měli jasno v otázce, jaké informace co do struktury dovolíme sbírat, nastává problém druhý, a to je pravdivost evidovaných informací. S tím pak souvisí celý dost složitý právní aparát, který má za cíl umožnit kontrolu evidovaných informací, a to jak ze strany držitele informace, tak i ze strany občana, jehož se týkají. Na první pohled to na žádný vážný problém nevypadá, ale pokud si uvědomíme martyrium, které u nás provázelo zveřejňování informací ze svazků bývalé StB, už to asi tak překvapivé nebude. Další dimenze tohoto problému spočívá i v tom, že pokud dříve měl finanční a technické možnosti nakládat s takovými údaji zpravidla pouze stát, s rozvojem počítačové techniky tyto se možnosti stávají dostupné v podstatě komukoliv, kdo vlastní běžné PC vybavené běžným softwarem. Z toho pak vychází nutnost právně omezovat okruh subjektů, oprávněných informace daného typu shromažďovat. Ale aby ani toto nebylo tak jednoduché, musíme si hned uvědomit, že právo na získávání informací patří k základním lidským právům a jakkoliv je omezit lze zpravidla pouze zákonem v případech hodných zvláštního zřetele. A to už raději vůbec pomíjím otázku praktické možnosti kontroly nad dodržováním takových pravidel.
Rada Evropy Prvním orgánem, který se snad vůbec kdy touto problematikou z hlediska práva zabýval, byla Rada Evropy. Ta již v roce 1950 vydává Konvenci o ochraně lidských práv a základních svobod, která obsahuje dokonce dva články (8 a 10), zabývající se nakládáním s informacemi. Mezi první vnitrostátní právní normy, stanovující základní pravidla ochrany soukromí občanů, pak patří "informační zákony" ve Švédsku (1973), Spolkové republice Německo (1977) a Rakousku (1978). Rada Evropy svou činnost v této oblasti rozvíjela i nadále, a tak v roce 1981 vydala Úmluvu na ochranu osob se zřetelem na automatizované zpracování osobních údajů č. 108. Ta již tehdy definovala závaznost takových pravidel pro veřejný i soukromý sektor, určila nutnost vzniku státního orgánu majícího dozor nad jejich dodržováním, stanovila podmínky pro získávání, aktualizaci a likvidaci informací, vyhradila zvláštní podmínky pro práci s tzv. "citlivými" informacemi (tedy jednoduše řešeno informacemi ryze soukromého a intimního typu) a stanovila záruky pro občana k tomu, aby věděl, co a kde se o něm shromažďuje. Úmluva v současné době prochází výraznou novelizací, která má snahu reagovat na změněné podmínky s ohledem na rozsah sbíraných údajů, možnosti komunikace mezi subjekty sbírajícími data atd. Rozebírat dále jednotlivá ustanovení těchto dokumentů by řádově přesáhlo vymezený rozsah tohoto textu. Závaznost uvedených dokumentů pro jednotlivé členské státy Rady Evropy je sice dá a pouze tím, že se k jejich dodržování (lépe řečeno aplikaci do vlastního vnitrostátního práva) explicitně zaváží. V každém případě se však jedná o velmi kvalitní právní text, který vzešel z dílny předních evropských právníků z této oblasti a který (zjednodušeně řečeno) stojí za to dodržovat. Proto se také stal vzorem pro další informační zákony konkrétních států, včetně našeho.
OECD Do poněkud jiné sféry náleží dokumenty OECD z této oblasti. Tato organizace, jíž se stala ČR členem teprve historicky nedávno, rovněž již řešila problémy vztahující se nejen k bezpečnosti informačních systémů, ale také ke kryptografii nebo třeba k toku personálních dat přes hranice. K tomu je však dobré poznamenat, že vnitrostátní právní vazby na tyto dokumenty jsou poněkud obtížnější, protože nezanedbatelná část států OECD patří do oblasti tzv. angloamerického práva, které se značně liší od práva našeho typu (tzv. kontinentálního), především pokud jde o mechanismus vzniku právních norem. Z tohoto důvodu se styčné plochy hledají pochopitelně mnohem obtížněji.
| COMPUTERWORLD - seriál o bezpečnosti | COMPUTERWORLD | IDG CZ homepage | |