COMPUTERWORLD - BezpeΦnost pro vÜechny, soukromφ pro ka₧dΘho

Specializovan² t²denφk o v²poΦetnφ technice

Serißl
o bezpeΦnosti
a informaΦnφm soukromφ

╚ßst 10 - CW 19/97

InformaΦnφ soukromφ v praxi

Vßclav MatyßÜ ml.

SoukromΘ informace jsou informace, kterΘ nechceme sdφlet s jin²mi, nebo u kter²ch chceme osobn∞ kontrolovat jejich pohyb (tzn. sdφlφme je s n∞k²m, ale ne s "ostatnφmi"). [KC Laudon, Communications of ACM 9/96].

Roger Needham, profesor University of Cambridge a sv∞tov∞ uznßvan² odbornφk v oblasti bezpeΦnosti, nedßvno formuloval myÜlenku: rozhodujφcφm ukazatelem ·rovn∞ ochrany je cena osobnφch dat "na ulici" -- na ΦernΘm Φi ÜedΘm trhu. U zdravotnφch dat je cena v Anglii 150--200 liber, v kanadskΘ provincii Quebec podle n∞kter²ch "inzerßt∙" 20--60 liber. Podle Needhama by m∞la cena b²t v²razn∞ nad 500 liber. Pokud bude cena sm∞Ün∞ nφzkß, je nev²znamnou polo₧kou nßklad∙ pojiÜ¥ovacφch firem, kterΘ tak majφ jednoduÜÜφ rozhodnutφ, jak vysokΘ splßtky pojistnΘho nasadit tomu Φi onomu jedinci.

Cenu osobnφch dat a tφm i ·rove≥ ochrany ovliv≥ujφ t°i faktory:

-- v²Üe trestu t∞m, kdo data jin²ch °ßdn∞ neohlφdali a spolupodφleli se tak na jejich ·niku;
-- v²Üe trestu t∞m, kdo s nimi neoprßvn∞n∞ manipulujφ;
-- ·rove≥ ochrann²ch mechanism∙.

Ji₧ jsme si vysv∞tlili (dφl 9 serißlu) problΘmy zßkona 256/1992 Sb. o ochran∞ osobnφch dat v IS:

-- Üirokß formulace pojmu osobnφ ·daje, kterß nep°φmo zp∙sobuje "znehodnocenφ" skuteΦn∞ d∙le₧it²ch dat;
-- Üirokß formulace pojmu informaΦnφ systΘm;
-- nejasnß sankΦnφ opat°enφ;
-- nespecifikovanΘ pojmy "osobnost", "soukromφ";
-- neexistence ·°adu pro registraci systΘm∙ s osobnφmi ·daji, pro kontrolu dodr₧ovßnφ zßkona atd., resp. pro neetickΘ snahy vlßdy o p°i°Φenφ tΘto pravomoci stßtnφmu ·°adu -- navφc ·°adu, kter² bude ve funkci °φzenφ Stßtnφho IS nejv∞tÜφm provozovatelem a u₧ivatelem systΘm∙ s osobnφmi daty v celΘ zemi.

Nakolik si jich cenφme?

╚ty°icet let komunistickΘho "po°ßdku", kter² ne°adil soukromφ obΦana k nejvφce respektovan²m hodnotßm, vykonalo svΘ -- Φasto nevφme, jakou hodnotu majφ naÜe osobnφ informace pro stßt i mnohΘ firmy a jakß Ükoda nßm m∙₧e vzniknout jejich ·nikem mimo naÜi kontrolu. Pro zajφmavost, v Anglii je ke sv²m osobnφm dat∙m a zachßzenφ s nimi necel²ch 20 % obΦan∙ totßln∞ lhostejn²ch, stejn² poΦet velmi obez°etn²ch a₧ paranoidnφch a okolo 60 % je ochotno Φßst sv²ch prßv nechat omezit za "p°im∞°enou ·hradu" -- finanΦnφ, v∞cnou Φi nejΦast∞ji v podob∞ v²raznΘho zlepÜenφ slu₧eb. Co to konkrΘtn∞ znamenß?

Ano ΦßsteΦnΘmu omezenφ prßv, kdy₧ finanΦnφ informace budou dostupnΘ komukoliv v rßmci banky -- za mo₧nost skuteΦn∞ rychlΘho a nekomplikovanΘho obslou₧enφ ve kterΘkoliv poboΦce nebo bankomatu.

Ne v²raznΘmu omezenφ prßv zavedenφm jednotnΘho obΦanskΘho zßznamu ve stßtnφm IS, kde navφc za pravdivost a ·plnost informacφ zodpovφdß obΦan(!). Vzhledem k rozsahu a p°ehmat∙m stßtnφho aparßtu snad nikdo nev∞°φ ujiÜ¥ovßnφ o zßrukßch ochrany dat. Hlavn∞ je ale zßjem na zachovßnφ prßva obΦana poskytovat aktußlnφ a ·plnΘ informace o sob∞ jen v nutn²ch p°φpadech. Pokud obΦan plnφ zßkladnφ povinnosti (neporuÜuje zßkon a platφ dan∞) a ne₧ßdß od stßtu ₧ßdnΘ p°φmΘ slu₧by, tak mß prßvo b²t stranou ("to be let alone") a kontrolovat pohyb informacφ o sob∞.

A co jß -- obΦan?

Sßm jsem cht∞l vyzkouÜet pov∞domφ ·°ad∙ i firem o zßkonu 256/1992 Sb. ZaΦal jsem -- jako jinφ -- dostßvat kvanta nevy₧ßdanΘ poÜty na adresu, kterou jsem nikdy nedal odesφlatel∙m a nezve°ejnil. Jasn∞ se jednalo o zßsilky cφlenΘ tematicky na mΘ zßjmy (snad tφm jsem se vyhnul zasφlßnφ vzork∙ vlo₧ek a prßÜk∙ na pranφ). Jak ale zjistit, odkud informace o vßs unikly, pokud vßm odesφlatelΘ nerßΦφ odpov∞d∞t? "Moji" odesφlatelΘ se po m²ch dopisech odmlΦeli, neomluvil se nikdo, o vysv∞tlenφ odkud informace majφ nemluv∞.

Nechal jsem je b²t a zkusil zjiÜ¥ovat, jak naklßdajφ s m²mi daty ti, kter²m jsem je kdy sv∞°il a obeslal jsem v rßmci v²zkumnΘ akce t°emi zßsadnφmi dotazy vÜechny, komu jsem kdy osobnφ ·daje sd∞loval -- od farnφho ·°adu a₧ po referßty policie.

╚asto jsem dßval data na formulß°i a jen ojedin∞le jsem zahlΘdl jasnΘ vyrozum∞nφ, ₧e podpisem formulß°e ap. souhlasφm se za°azenφm t∞chto informacφ do danΘho IS, co₧ je podmφnka stanovenß zßkonem. TakΘ mne zajφmalo, jak jsou data chrßn∞na a hlavn∞ mne zajφmala zprßva o informacφch o mΘ osob∞ uchovßvan²ch (º 17, odst. l), kterou mßte prßvo dostat na vy₧ßdßnφ zdarma ka₧d² rok od dr₧itel∙ kopiφ vaÜich osobnφch dat.

Poslal jsem dotazy na 44 firem a institucφ, Φasto zßm∞rn∞ jak na pra₧skou centrßlu, tak i regionßlnφ poboΦku, abych m∞l komplexnφ obraz. V²sledek? DoÜlo mi jen 26 odpov∞dφ, z nich

-- °ßdn∞ zpracovan²ch bylo 6 (viz obrßzek), zvlßÜt∞ od armßdy a zdravotnφ pojiÜ¥ovny;

-- vφcemΘn∞ uspokojiv²ch bylo 7, p°evß₧n∞ od zam∞stnavatel∙;

-- nejasn²ch Φi nekvalifikovan²ch bylo 6, z bank a stßtnφch ·°ad∙;

-- l₧iv²ch Φi zmateΦn²ch bylo 7, nap°. od stßtnφ policie.

To jsem bral v potaz jen zprßvu o osobnφch informacφch, kterß je m²m prßvem, ostatnφ dotazy nikoliv! Pod∞lφm se s vßmi o n∞kterΘ citace z odpov∞dφ:

"...informace k VaÜφ osob∞ Vßm poskytneme za podmφnek, ₧e ke svΘ ₧ßdosti p°ilo₧φte p°φsluÜn² sprßvnφ poplatek...",

"...jednß se pouze o ·daje Vßmi osobn∞ vypsanΘ ₧ßdosti o vydßnφ cestovnφho pasu, kterou jste sßm podepsal a jist∞ je Vßm znßmo, kterΘ ·daje jste do ₧ßdosti uvedl.",

"...mßte mo₧nost zjistit na kterΘkoliv p°epß₧ce St°ediska cenn²ch papφr∙... nap°. zpoplatn∞nou informaΦnφ slu₧bou...",

"Informace, je₧ jste poskytl... Jednalo se pouze o ·daje, kterΘ jsou p°edm∞tem osobnφho dotaznφku... V informaΦnφm systΘmu, jeho₧ jsme provozovatelem, nejsou informace o VaÜφ osob∞ vedeny.",

"V tΘto souvislosti sd∞luji, ₧e k °ßdnΘmu vypracovßnφ odpov∞di pova₧uji za nezbytnΘ, abyste podal zprßvu o charakteru informacφ..., kterΘ jste poskytl subjekt∙m resortu...".

PonauΦenφ? Prvn∞ -- dßvejte svΘ osobnφ informace jen pro jasn∞ stanovenΘ ·Φely a jasn∞ definovan²m subjekt∙m. Dßvejte je jen tehdy, pokud je to skuteΦn∞ nutnΘ -- nikdy nev∞°te na "to se tak d∞lß". Nev∞°te "informovanosti" stßtnφch ·°ednφk∙, zejmΘna policie. Velmi obez°etnφ bu∩te ohledn∞ rodnΘho Φφsla -- bude v budoucnu velmi kritick²m ·dajem. Ve v∞tÜin∞ p°φpad∙ by mφsto n∞j m∞lo staΦit datum narozenφ Φi jen letopoΦet. Zjist∞te si, jak s vaÜimi daty zachßzφ banka, lΘka°, pojiÜ¥ovna atd. Pamatujte si, kam jste svΘ ·daje kdy dali a vyu₧φvejte º 17, odst. l, zßk. 256/1992 Sb. Pokud mßte titul(-y), tak nevßhejte p°i sd∞lovßnφ adres kombinovat je, p°φpadn∞ i dalÜφ inicißly atd. -- jednoduÜeji pak zjistφte, kdo p°edßvß vaÜe data dßl. Pozor na formulß°e r∙zn²ch "firem", loteriφ a klub∙, na celkovou d₧ungli (v tΘto oblasti) v naÜem stßt∞...

InformaΦnφ soukromφ v praxi

| COMPUTERWORLD - serißl o bezpeΦnosti | COMPUTERWORLD | IDG CZ homepage |