![]() Specializovaný týdeník o výpočetní technice |
|
![]() |
Seriál o bezpečnosti a informačním soukromí |
Část 10 - CW 19/97
Informační soukromí v praxiVáclav Matyáš ml.
Soukromé informace jsou informace, které nechceme sdílet s jinými, nebo u kterých chceme osobně kontrolovat jejich pohyb (tzn. sdílíme je s někým, ale ne s "ostatními"). [KC Laudon, Communications of ACM 9/96]. Roger Needham, profesor University of Cambridge a světově uznávaný odborník v oblasti bezpečnosti, nedávno formuloval myšlenku: rozhodujícím ukazatelem úrovně ochrany je cena osobních dat "na ulici" -- na černém či šedém trhu. U zdravotních dat je cena v Anglii 150--200 liber, v kanadské provincii Quebec podle některých "inzerátů" 20--60 liber. Podle Needhama by měla cena být výrazně nad 500 liber. Pokud bude cena směšně nízká, je nevýznamnou položkou nákladů pojišťovacích firem, které tak mají jednodušší rozhodnutí, jak vysoké splátky pojistného nasadit tomu či onomu jedinci. Cenu osobních dat a tím i úroveň ochrany ovlivňují tři faktory:
-- výše trestu těm, kdo data jiných řádně neohlídali a spolupodíleli se tak na jejich úniku; Již jsme si vysvětlili (díl 9 seriálu) problémy zákona 256/1992 Sb. o ochraně osobních dat v IS:
-- široká formulace pojmu osobní údaje, která nepřímo způsobuje "znehodnocení" skutečně důležitých dat;
Nakolik si jich ceníme? Čtyřicet let komunistického "pořádku", který neřadil soukromí občana k nejvíce respektovaným hodnotám, vykonalo své -- často nevíme, jakou hodnotu mají naše osobní informace pro stát i mnohé firmy a jaká škoda nám může vzniknout jejich únikem mimo naši kontrolu. Pro zajímavost, v Anglii je ke svým osobním datům a zacházení s nimi necelých 20 % občanů totálně lhostejných, stejný počet velmi obezřetných až paranoidních a okolo 60 % je ochotno část svých práv nechat omezit za "přiměřenou úhradu" -- finanční, věcnou či nejčastěji v podobě výrazného zlepšení služeb. Co to konkrétně znamená? Ano částečnému omezení práv, když finanční informace budou dostupné komukoliv v rámci banky -- za možnost skutečně rychlého a nekomplikovaného obsloužení ve kterékoliv pobočce nebo bankomatu. Ne výraznému omezení práv zavedením jednotného občanského záznamu ve státním IS, kde navíc za pravdivost a úplnost informací zodpovídá občan(!). Vzhledem k rozsahu a přehmatům státního aparátu snad nikdo nevěří ujišťování o zárukách ochrany dat. Hlavně je ale zájem na zachování práva občana poskytovat aktuální a úplné informace o sobě jen v nutných případech. Pokud občan plní základní povinnosti (neporušuje zákon a platí daně) a nežádá od státu žádné přímé služby, tak má právo být stranou ("to be let alone") a kontrolovat pohyb informací o sobě.
A co já -- občan? Sám jsem chtěl vyzkoušet povědomí úřadů i firem o zákonu 256/1992 Sb. Začal jsem -- jako jiní -- dostávat kvanta nevyžádané pošty na adresu, kterou jsem nikdy nedal odesílatelům a nezveřejnil. Jasně se jednalo o zásilky cílené tematicky na mé zájmy (snad tím jsem se vyhnul zasílání vzorků vložek a prášků na praní). Jak ale zjistit, odkud informace o vás unikly, pokud vám odesílatelé neráčí odpovědět? "Moji" odesílatelé se po mých dopisech odmlčeli, neomluvil se nikdo, o vysvětlení odkud informace mají nemluvě. Nechal jsem je být a zkusil zjišťovat, jak nakládají s mými daty ti, kterým jsem je kdy svěřil a obeslal jsem v rámci výzkumné akce třemi zásadními dotazy všechny, komu jsem kdy osobní údaje sděloval -- od farního úřadu až po referáty policie. Často jsem dával data na formuláři a jen ojediněle jsem zahlédl jasné vyrozumění, že podpisem formuláře ap. souhlasím se zařazením těchto informací do daného IS, což je podmínka stanovená zákonem. Také mne zajímalo, jak jsou data chráněna a hlavně mne zajímala zpráva o informacích o mé osobě uchovávaných (§ 17, odst. l), kterou máte právo dostat na vyžádání zdarma každý rok od držitelů kopií vašich osobních dat. Poslal jsem dotazy na 44 firem a institucí, často záměrně jak na pražskou centrálu, tak i regionální pobočku, abych měl komplexní obraz. Výsledek? Došlo mi jen 26 odpovědí, z nich -- řádně zpracovaných bylo 6 (viz obrázek), zvláště od armády a zdravotní pojišťovny; -- víceméně uspokojivých bylo 7, převážně od zaměstnavatelů; -- nejasných či nekvalifikovaných bylo 6, z bank a státních úřadů; -- lživých či zmatečných bylo 7, např. od státní policie. To jsem bral v potaz jen zprávu o osobních informacích, která je mým právem, ostatní dotazy nikoliv! Podělím se s vámi o některé citace z odpovědí: "...informace k Vaší osobě Vám poskytneme za podmínek, že ke své žádosti přiložíte příslušný správní poplatek...", "...jedná se pouze o údaje Vámi osobně vypsané žádosti o vydání cestovního pasu, kterou jste sám podepsal a jistě je Vám známo, které údaje jste do žádosti uvedl.", "...máte možnost zjistit na kterékoliv přepážce Střediska cenných papírů... např. zpoplatněnou informační službou...", "Informace, jež jste poskytl... Jednalo se pouze o údaje, které jsou předmětem osobního dotazníku... V informačním systému, jehož jsme provozovatelem, nejsou informace o Vaší osobě vedeny.", "V této souvislosti sděluji, že k řádnému vypracování odpovědi považuji za nezbytné, abyste podal zprávu o charakteru informací..., které jste poskytl subjektům resortu...". Ponaučení? Prvně -- dávejte své osobní informace jen pro jasně stanovené účely a jasně definovaným subjektům. Dávejte je jen tehdy, pokud je to skutečně nutné -- nikdy nevěřte na "to se tak dělá". Nevěřte "informovanosti" státních úředníků, zejména policie. Velmi obezřetní buďte ohledně rodného čísla -- bude v budoucnu velmi kritickým údajem. Ve většině případů by místo něj mělo stačit datum narození či jen letopočet. Zjistěte si, jak s vašimi daty zachází banka, lékař, pojišťovna atd. Pamatujte si, kam jste své údaje kdy dali a využívejte § 17, odst. l, zák. 256/1992 Sb. Pokud máte titul(-y), tak neváhejte při sdělování adres kombinovat je, případně i další iniciály atd. -- jednodušeji pak zjistíte, kdo předává vaše data dál. Pozor na formuláře různých "firem", loterií a klubů, na celkovou džungli (v této oblasti) v našem státě... | COMPUTERWORLD - seriál o bezpečnosti | COMPUTERWORLD | IDG CZ homepage | |