Chcete vědět, kde bydlí zákazníci Tiscali?

Začátkem března přišel do redakce Lupy.cz e-mail notně překvapeného čtenáře. Zjistil jsem, že ISP Tiscali Telekomunikace Česká republika s.r.o., jehož služby používám, zpřístupnil adresy bydlišť svých zákazníků na Internetu. Tyto adresy jsou přiřazeny ke statickým IP adresám. Předpokládám, že ostatní zákazníci, stejně jako donedávna já, o této skutečnosti nic netuší, uvedl téma stručně čtenář. Přidal i několik odkazů na službu WhoIs s konkrétními internetovými směrovými čísly v parametru, abychom si mohli jeho tvrzení snadno ověřit. Přemýšlel jsem, jak ukázku zpřístupnit i dalším čtenářům na Lupě a nezahrávat si přitom sám se zákonem na ochranu osobních údajů, nakonec jsem zvolil cestu mírně procenzurovaného screenshotu. Za logo Lupy si můžete dosadit příjmení, ulici, IP adresu a e-mail.

Pokud jste i vy zákazníkem firmy Tiscali, možná jste právě trochu poskočili na židli a řekli si v duchu, že si nepřejete, aby operátor vaše data zpřístupňoval každému zájemci. Nápravu můžete zjednat rychle a sami, a tak není důvod k poplachu. Na infolince jsem se dozvěděl, že není problém adresu odstranit, konstatuje i čtenář, který se ozval redakci našeho serveru. Číslo zákaznického servisu je 844 184 184, pokud byste chtěli do Tiscali zavolat hned a není zrovna noc. Otázkou zůstává, jestli se poskytovatel připojení nedostal svým jednáním do konfliktu se zákonem.

Co říká kompetentní úřad

Poslali jsme e-mail s dotazy na adresu Úřadu pro ochranu osobních údajů. Odpověď nepřišla hned, ale do týdne jsme se jí dočkali, což kvituji s povděkem. Oproti nejrůznějším měsíčním lhůtám solidní rychlost. Škoda, že se podobně nemůžu radovat z odpovědi od Tiscali, které jsme oslovili také. Ani z obecné kontaktní adresy, ani od tiskové mluvčí Michaely Tiché nám dodnes nic nepřišlo.

Vybírejte ve čtyřech kategoriích (software, projekt, akce a osobnost) to nejlepší z české open-source scény. Hlasujte ve velké anketě CZECH OPEN SOURCE 2006 a vyhrajte hodnotné ceny.

Nejprve jsme si ověřili, že je adresa skutečně osobním údajem. Vztahuje-li se adresa bydliště k fyzické osobě, je osobním údajem. V tom případě její zpracování upravuje zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon“), napsal Lupě Milan Ševčík. Pokračuje ale už kostrbatě úředním jazykem, kvůli kterému je právo srozumitelné pro méně lidí, než by ve skutečnosti být mohlo: Podle § 5 odst. 2 zákona může správce zpracovávat osobní údaje pouze se souhlasem subjektu údajů (jejich poskytnutí subjektem údajů je považováno za souhlas), cituje literu zákona Milan Ševčík. Laický výklad říká, že když někomu svěříte svoje osobní údaje (třeba tak, že je napíšete do smlouvy), dáváte tím zároveň souhlas k jejich zpracování.

Nyní přichází ale podstatná pasáž: Podle § 4 písm. e) zákona se pod pojmem zpracování rozumí mimo jiné i zveřejnění osobních údajů, zmiňuje Milan Ševčík, zároveň ale dodává: Podle § 11 zákona je správce při shromažďování osobních údajů povinen subjekt údajů informovat o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány, kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny. Podle § 45 zákona se právnická osoba jako správce osobních údajů dopustí správního deliktu tím, že při zpracování osobních údajů tyto zpracovává v rozsahu nebo způsobem, který neodpovídá stanovenému účelu. A pokuta? Za takový správní delikt se uloží pokuta do výše pěti milionů korun, uzavírá Milan Ševčík.

Splňuje jednání Tiscali paragrafy?

Když se vrátíme zpět ke čtenáři, který nás na problém upozornil, můžeme si zkusit za právní fráze dosadit konkrétní realitu. Čtenář používá službu Tiscali ADSL 1024/256 Plus, kterou už firma dnes nenabízí. Kromě standardní smlouvy, která se odvolává na všeobecné podmínky, jsem nepodepisoval žádná další prohlášení, žádosti atd., napsal nám a uvedl, že o pevnou IP adresu nikterak nežádal – dostal ji automaticky.

Nezbývá, než si pročíst zmíněné všeobecné podmínky společnosti Tiscali. Text je naštěstí hezky členitý, a tak v sekci „Ochrana osobních dat“ naleznou zájemci snadno bod 15, přičemž podstatný je pro náš případ odstavec 15.3. Poskytovatel je oprávněn zpřístupnit jméno, adresu a účastnické telefonní číslo zákazníka ostatním zákazníkům sítě poskytovatele. Není oprávněn tak učinit, pokud zákazník předem písemně sdělí, že si zpřístupnění takové informace nepřeje, píše se ve všeobecných podmínkách doslova, přičemž za klíčové slovo poskytovatel si dosaďte firmu Tiscali, zákazník je – doufejme – jasný.

Na první pohled se zdá, že šikovně sepsané podmínky společnosti ve zveřejnění adres fyzických osob nebrání. Naopak, Tiscali může navíc přidat i účastnické telefonní číslo, které screenshot výpisu údajů na začátku článku vůbec neobsahuje. Pak se ale pozorné oko zarazí a znovu si přečte spojení: ostatním zákazníkům sítě poskytovatele. Jsou ale všichni lidé s připojením k Internetu, kteří si mohou údaj o adrese a jménu pročíst, zákazníky firmy Tiscali? Nedostal se poskytoval náhodou na hranu § 11 zákona na ochranu osobních údajů, ve kterém vzniká povinnost sdělovat, komu mohou být osobní údaje zpřístupněny? Všeobecné podmínky nikde nezmiňují, že si adresu na Internetu může prohlédnout kdokoli, nejen další z klientů Tiscali.

Druhá strana mince: standardy Internetu

Dosud jsme v článku považovali zveřejňování adresy bydliště za nekalou záležitost. Kolega Jiří Peterka mne ale upozornil, že věc není tak jednoznačná: Chybí ještě pohled internetových standardů, konkrétně možnost, resp. povinnost zařazovat údaje o přidělení IP adres ze strany poskytovatele přístupu k Internetu. Česká republika spadá pod RIPE, podle kterého jedna až tři adresy mohou, ale nemusí být zařazeny do databáze. Ovšem jakmile jde alespoň o čtyři veřejné IP adresy, poskytovatel o nich už údaje zveřejnit musí.

Kontaktovali jsme proto ještě jednou našeho čtenáře, abychom zjistili, kolik místa na Internetu zabírá on. Překvapeně musel uznat: Také mně je přidělena čtveřice IP adres, ale vůbec nevím proč. Používám pouze jedinou – tu, kterou mi Tiscali poslalo při zřízení služby. Věc má zajímavý efekt, i jednotlivci mají ve výpisu jméno ve tvaru OSOBA-NET, a tak působí navenek jako celá menší síť. Čtenář připojil i zajímavý postřeh. Ačkoli před dvěma týdny volal do Tiscali, aby jeho údaje přestali zveřejňovat, nyní jsou opět dostupné. Na několik dní po telefonátu sice jeho domovská ulice zmizela, pak se však vrátila do výpisu zpět. Připadá mi to jako předstíraná ochota vyhovět zákazníkům, uzavírá čtenář.

Tiscali se tedy snaží vyhovět standardům Internetu relevantním pro Českou republiku, což je dobře, firmu to ale nikterak nevyvazuje z povinností vůči tuzemskému právnímu řádu. Připomeňme jen, že o internetovém zveřejňování adresy bydliště se nepíše ve všeobecných podmínkách ani slovo.

Jaké hrozí operátorovi sankce?

Josef Aujezdský z advokátní kancelář Mašek, Kočí a spol. Lupě potvrdil, že zákon na pokuty pamatuje: Pokud ze strany poskytovatele internetového připojení dochází ke zpracování osobních údajů v rozporu se zákonem o ochraně osobních údajů, je možné, aby takovému poskytovateli byla udělena Úřadem pro ochranu osobních údajů sankce podle tohoto zákona (stejně jako jiným subjektům, které zpracovávají osobní údaje v rozporu se zákonem). Připomeňme, že podle Milana Ševčíka ze zmíněného úřadu je horní sazba pět milionů korun.

Nejen úřad může ale pokutovat. Představme si například, že někdo zneužije propojení adresy internetové a té skutečné, na kterou pošle anonymní dopis. Text bude prostý a bude se vztahovat k adresátovým zájmům na Internetu. Znění může být třeba následující: Vím, že pravidelně sleduješ pornostránky. Když mi nenecháš zítra na hlavním nádraží na záchodcích v nádržce na vodu 100 tisíc korun, bude to pozítří vědět i tvoje manželka. Josef Aujezdský proto připomíná: V případě, že by na straně subjektů údajů vznikla v důsledku protiprávního zpracovávání osobních údajů určitá škoda, mohou se samozřejmě po poskytovateli domáhat náhrady této škody. V našem případě by se pravděpodobně nejednalo o vydíranou sumu, ale o psychickou újmu, kterou svým jednáním poskytovatel nepřímo způsobil. Uznávám, že příklad je přitažený za vlasy, ale sami možná přijdete na nějaký lepší.

Úřad na ochranu osobních údajů serveru Lupa.cz vzkázal: Na základě výše uvedeného vám doporučujeme využít ustanovení § 21 zákona a požádat správce osobních údajů, v tomto případě společnost Tiscali, o vysvětlení. Nebude-li vaše vůle respektována v souladu se zákonem, bude se úřad vaším novým podáním znovu zabývat. Myslíte, že se od Tiscali vysvětlení konečně dočkáme?

29. března 2006: níže následuje vyjádření společnosti Tiscali, které jsme dnes k článku obdrželi:

V první řadě bychom chtěli uvést na pravou míru velmi nepřesnou a zavádějící informaci, která z článku vyplývá – že jsou osobní data na internetu zveřejňována u každého zákazníka TISCALI. Skutečnost je poněkud odlišná. Data, která jsou v databázi RIPE udržována, se týkají výhradně tzv. profi služeb, jež svým technickým charakterem vyžadují přidělení minimálně 4 veřejných IP adres (typicky se jedná například o službu Leased Line). Běžným či domácím uživatelům ADSL služeb je přidělena vždy pouze 1 IP adresa (ať už statická či dynamická) a zařazení údajů do databáze RIPE se jich tedy vůbec netýká! Procento zákazníků, kteří by mohli nalézt své osobní údaje v databázi, je tedy velice malé.

V souladu s českým zákonem o Ochraně osobních údajů (zákon č. 101/2000 Sb.) je společnost TISCALI oprávněna sbírat a zpracovávat osobní údaje svých koncových uživatelů služeb ADSL a poskytovat je dalším zpracovatelům dat (jakým je např. RIPE NCC), neboť jí k tomu vlastník dat (zákazník) udělil souhlas, a to jak ve Všeobecných podmínkách (článek 15.1), kde je souhlas uveden a jasně stanoveno, za jakým účelem jsou tato data sbírána, tak v technické specifikaci služby ADSL, kde výslovně stojí, že zákazník stvrzuje a souhlasí, že v souladu s poskytnutím služby budou jeho osobní, provozní a místní údaje spravovány společností RIPE NCC.

V momentě, kdy zákazník uzavře Smlouvu, jejíž nedílnou součástí jsou Všeobecné podmínky a Technická specifikace služby, přistupuje zákazník na výše uvedené podmínky. TISCALI splnila svou zákonnou povinnost pro shromažďování údajů, neboť k tomu získala souhlas zákazníka, sdělila mu i subjekt, kterému budou jeho data poskytnuta, a za jakým účelem.

Podle obecně platných mezinárodních nařízení má TISCALI povinnost reportovat osobní údaje držitelů pevných IP adres registrátorovi – společnosti RIPE NCC (Réseaux IP Européens Network Cooperation Centre). RIPE NCC je evropská autorita, která sdružuje lokální poskytovatele internetu a řídí IP Network (přidělování IP adres) v rámci celé Evropy. Důvodů ke sběru dat o uživatelích přidělených IP adres má společnost RIPE NCC hned několik – zejména však možné zneužití sítě internet (spamování, neoprávněný průnik do sítě/PC, terorismus apod.).

Podle oddílu 27 odstavce 1 výše zmiňovaného zákona o Ochraně osobních údajů nemůže být omezován volný pohyb dat, pokud jsou data vyměňována v rámci EU.

TISCALI není odpovědná za publikování informací na internetu. Jak je vidět ze zobrazovaného WhoIs screenshot publikovaného v článku, zdrojem informací je společnost RIPE NCC, které má TISCALI povinnost dané údaje poskytovat. TISCALI proto nemůže být odpovědná za jakékoli zveřejnění informací, pokud tak nečiní přímo sama.

Z pohledu ostatních poskytovatelů internetu v České republice jde v rámci sdělování dat společnosti RIPE NCC o běžnou proceduru a stejnou povinnost poskytnutí dat.

Poznámka redakce: k vyjádření společnosti Tiscali bychom rádi dodali, že ve článku se nikde neuvádí, že na Internetu jsou adresy všech zákazníků s IP adresou, ale jen těch, kteří ji mají statickou. Rovněž považujeme za důležité zmínit, že citovaný čtenář uzavíral smlouvu, kde se píše o pevné IP adrese v jednotném čísle, nikoli tedy o čtyřech IP adresách, které přidělené dostal.