Hlavní navigace

Data retention v Česku prakticky II. - Bezpečnost a transparentnost

 Autor: 29
Petr Kučera 22. 4. 2010

V minulém díle našeho miniseriálu jsme se věnovali způsobům uchování údajů o komunikaci zákazníků v rámci povinnosti data retention, jak jsou uplatňovány ze strany poskytovatelů různých služeb pro komunikaci po Internetu. Pokud jste začali číst zde, doporučujeme si pro uvedení do problematiky přečíst předchozí článek. V tomto díle se dále budeme zajímat o zabezpečení uchovávaných dat a o to, jak provozovatelé o celé problematice informují zákazníky.

V článku vycházíme ze závěrů studie Praxe poskytovatelů veřejných internetových služeb při správě osobních údajů, která byla vypracována občanským sdružením Iuridicum Remedium v rámci projektu „Reclaim Your Rights in the Digital Age“, který je realizován díky finanční podpoře nadace Trust for Civil Society in Central and Eastern Europe. První část seriálu o data retention: Data retention v Česku prakticky I. – co a jak se uchovává1

Zákon o elektronických komunikacích stanoví, že provozní a lokalizační údaje musí být uchovávány odděleně od dat s obsahem komunikace. Avšak zákon nestanovuje, že by provozní a lokalizační údaje měly být skladovány úplně odděleně od všech ostatních uchovávaných údajů.2 Vzhledem k nejasnostem v míře oddělování databází s různými druhy dat jsme se ptali poskytovatelů na praxi uchovávání všech dat o zákaznících.

Zákon dále vymezuje data retention jako sběr údajů, které mají k dispozici poskytovatelé služeb elektronických komunikací již při běžném provozu svých služeb3. Nestanoví navíc sběr dat, které by provozovatel služeb jinak nesbíral. To je potřeba zdůraznit, protože z 4prováděcí vyhlášky k zákonu toto již zřejmé není.

Příkladem mohou být předplacené anonymní SIM karty. Zákon ani vyhláška neukládá poskytovatelům pátrat po identitě uživatele anonymní SIM karty, ale ukládá uchovávání jiných identifikátorů, které mohou i identitě uživatele leccos napovědět 5. Data uchovávaná v rámci data retention jsou vlastně podmnožinou z celkového objemu uchovávaných dat, což je dalším důvodem, proč se zajímat o bezpečnostní standardy všech uložených dat o uživatelích.

Oslovení poskytovatelů služeb

Již možné způsoby oslovení provozovatelů a snadnost či náročnost získání jejich odpovědi, jsou samy o sobě zajímavými ukazateli, které vypovídají o otevřenosti firmy. Na poskytovatele jsme se obraceli prostřednictvím jejich komunikačních kanálů pro styk s médii, pokud byl tento veřejně uveden. Jinak jsme oslovovali jiné dostupné osoby uvedené v kontaktech. Pro srovnání uvádíme tabulku, ze které je vidět, jak jsme uspěli ve snaze získat od dotyčné firmy odpověď.

Nézev firmy Firma má na webu kontakt pro styk s médii Podařilo se získat vyjádření k účasti ve studii Spolupráce v první fázi výzkumu* Spolupráce ve druhé fázi výzkumu*
GTS Novera ano ano ne ne
UPC Česká republika, a.s. ano ano ne ne
VOLNý, a.s. ano ano ano ano
Telefónica O2 Czech Republic, a.s. ano ano ano ne
České Radiokomunikace a.s. ano ano ne ne
Vodafone Czech Republic a.s. ano ano ano ne
T-Mobile Czech Republic a.s. ano ano ano ano
MobilKom, a.s. ano ano ano ano
ETARGET CZ, s.r.o. ano ano ano ne
TANGER, spol. s r.o. ne ne ne ne
Libimseti.cz a.s. ne ne ne ne
Facebook, Inc. ano ne ne ne
Aukro s.r.o. ano ano ne ne
Seznam.cz, a.s. ano ano ne ne
Google Czech Republic, s.r.o. ano ne ne ne
Centrum Holdings s.r.o. ano ano ano ne
Jyxo, s.r.o. ne ano ne ne
Nyx.cz (název služby, není firmou) ne ano ano ano
Malý poskytovatel internetu č. 1** ne ano ano ano
Malý poskytovatel internetu č. 2** ne ne ne ne

* První fáze výzkumu – dotazník k uchovávání a zabezpečení údajů o zákaznících, transparentnosti; druhá fáze výzkumu – otázky k předávání provozních a lokalizačních údajů bezpečnostním orgánům státu. ** Vzhledem k tomu, že malé poskytovatele připojení k Internetu jsme neoslovovali systematicky a jejich odpovědi nám sloužily spíše jako referenční vzorek, rozhodli jsme se uchovat jejich identitu v anonymitě.

Již na začátku studie nás zajímalo, zda poskytovatelé dostali od státních orgánů metodické pokyny k provádění data retention. Pouze jediná firma, Telefónica O2, se v dotazníku vyjádřila k této otázce kladně. Domníváme se proto, že praktické technické provedení data retention se u jednotlivých poskytovatelů služeb bude lišit a mělo by být námětem pro další výzkumy.

Rozsah a doba uchovávání dat

Dále jsme se zajímali o informace o rozsahu sbíraných dat a o době jejich uchovávání. Z výsledků vyplývá, že většina provozovatelů sbírá velké množství dat a uchovává je velmi dlouho.

graf- private-policy

Graf 1: V jakém rozsahu poskytovatelé uchovávají data o uživatelích svých služeb

graf-doba-uchovavani

Graf 2: Jak dlouho poskytovatelé uchovávají data o uživatelích svých služeb

Transparentnost

Bezpečnost a transparentnost spolu velmi úzce souvisí. Pokud chcete mít svá data zabezpečena, bude vás nejspíše zajímat, jak je jejich bezpečnost garantována. Nebo by vám bude stačit obecné prohlášení typu „bezpečnost vašich dat je pro nás velmi důležitá“? Zdá se, že většině českých uživatelů stačí jen ničím nepodložené ubezpečení, jak ukazuje graf 3.

graf-rozsah-uchovavani

Graf 3: Mají firmy politiku správy soukromí (Privacy Policy)?

Jasná deklarace zásad zabezpečení dat zákazníků je jen polovinou řešení problému, pokud není doplněna mechanismy kontroly dodržování těchto zásad. Pravidelná nezávislá kontrola dodržování stanovených pravidel pro bezpečnou správu vašich dat by měla být pro vaši důvěru v poskytovatele služeb zásadní. Zárukou pak je kredit nezávislé kontrolní organizace. V českém prostředí však nezávislá kontrola zabezpečení stále není samozřejmá: 4 firmy z 9 uvedly, že nechávají zabezpečení dat kontrolovat pravidelným nezávislým auditem. Transparentnost by měla být základním požadavkem každého zákazníka, který není zvyklý slepě důvěřovat každé instituci či firmě. Nevíte, jak s údaji o vás nakládá váš poskytovatel? Ptejte se ho.

Uchovávat co nejméně

Nevím, kdo je autorem výroku, který zde parafrázuji, že nejbezpečněji uchovávaná informace je ta, která nebyla nikdy zaznamenána. Každá uchovávaná osobní informace bezpečnostním rizikem, ať je zabezpečena sebelépe. Poskytovatelé komunikačních služeb by proto měli zvažovat, zda je pro ně opravdu důležité uchovávat údaje v tak velké míře, jako je tomu dnes. Domníváme se, že do budoucna s rostoucím významem témat ochrany soukromí v digitálním věku porostou i nároky na bezpečnost uchovávaných údajů. To může být spojeno s nemalými náklady a je možné, že tyto náklady už neponese daňový poplatník, jak je tomu v případě data retention nyní6. Nabídka anonymních a anonymizačních služeb se může v budoucnu ukázat být dobrým obchodním modelem.

Domníváme se, že hlavní motivací pro dlouhodobé uchovávání osobních údajů je pojištění se firem pro případné vymáhání pohledávek vzniklých na základě uzavřených smluv. Dokumentaci pohledávek ke konkrétní osobě není možné zajistit na základě anonymizovaných dat. Pohledávky však nevznikají, pokud je služba předplacená.

Ve třetí, závěrečné, části miniseriálu o data retention v Česku se podíváme na komunikaci poskytovatelů s bezpečnostními orgány státu a dále na související problém ochrany osobních údajů při komunikaci po Internetu.


1. Zde používaný pojem data retention se v zákoně o elektronických komunikacích nazývá uchováváním provozních a lokalizačních údajů.

2. „Současně je tato osoba povinna zajistit, aby s údaji podle věty první a druhé nebyl uchováván obsah zpráv.“ – 127/2005 Sb. § 97, odst.

3. – odkaz

4. Vyhláška č. 485/2005 Sb.

5.Mimo jiné IMEI (mezinárodní identifikátor mobilního telefonního přístroje), datum a čas dobíjení kreditu, čísla dobíjecích kupónů k určitému telefonnímu číslu účastníka – viz vyhláška č. 485/2005 Sb.

6.Podrobněji viz vyhláška č. 486/2005 Sb., která stanoví výši a způsob úhrady efektivně vynaložených nákladů na zřízení a zabezpečení rozhraní pro připojení koncového telekomunikačního zařízení pro odposlech a záznam zpráv, na uchovávání a poskytování provozních a lokalizačních údajů a na poskytování informací z databáze účastníků veřejně dostupné telefonní služby.

Našli jste v článku chybu?
Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Analýza letáků: Na co lákají do prodejen?

Analýza letáků: Na co lákají do prodejen?

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Podnikatel.cz: Změny v daních z příjmů u zaměstnávání

Změny v daních z příjmů u zaměstnávání

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO