Hlavní navigace

Data retention v Česku prakticky III. - Předávání dat a ochrana osobních údajů

5. 5. 2010
Doba čtení: 8 minut

Sdílet

Autor: 29
V prvním díle našeho miniseriálu o data retention jsme se se ptali na to, jaká komunikace a potažmo jací poskytovatelé internetových komunikačních služeb jsou monitorováni v rámci data retention. Ve druhém díle jsme hledali odpovědi na otázky týkající se bezpečnosti a transparentnosti. V závěrečném díle se podíváme, jaká množství dat poskytovatelé předávají bezpečnostním orgánům státu, a zeptáme se, jak data retention souvisí s ochranou osobních údajů.

Předchozí díly tohoto seriálu najdete zde na Lupě:
Data retention v Česku prakticky I. – co a jak se uchovává
Data retention v Česku prakticky II. – Bezpečnost a transparentnost

V článku vycházíme ze závěrů studie Praxe poskytovatelů veřejných internetových služeb při správě osobních údajů, která byla vypracována občanským sdružením Iuridicum Remedium v rámci projektu „Reclaim Your Rights in the Digital Age“, který je realizován díky finanční podpoře nadace Trust for Civil Society in Central and Eastern Europe.

Kolik dat se vlastně předává?

Jak už jsme psali v první části našeho miniseriálu, jsou to především velcí poskytovatelé služeb připojení k Internetu, z nich zejména mobilní operátoři, kteří předávají státním orgánům v rámci povinnosti data retention rutinním způsobem velké množství dat o svých zákaznících. Je proto důležité ptát se, zdali tímto způsobem nedochází k nadužívání údajů z data retention. Podívejme se na srovnání s jinými státy EU. Následující obrázek ukazuje, jak časté jsou požadavky o vydání údajů za jeden rok, zohledněn je počet obyvatel státu.

počet žádostí DR

Obrázek 1: Počet žádostí o údaje z data retention ve vybraných evropských státech – za rok, na 1 milion obyvatel
Zdroj dat: Připomínky k hodnocení směrnice EU ze strany jednotlivých zemíI. (Ke stažení)

Česká republika a některé další země využívají data retention velmi intenzivně. Avšak jiné země zaznamenaly mnohem méně požadavků na vydání dat, rozdíly mezi státy jsou až stonásobné. Je zřejmé, že příčinou tak velkých rozdílu nebude rozdíl v míře zločinnosti v jednotlivých státech. Mnohem pravděpodobnějším vysvětlením budou odlišné postupy při praktickém využívání údajů při vyšetřování trestných činů. To je velmi závažný moment. Vidíme, že pokud nejsou ze strany EU stanoveny jasné limity pro užití data retention, je direktiva EU interpretována v jednotlivých státech velmi odlišně. Tento moment je i jedním z důvodů, proč německý ústavní soud pozastavil platnost německého zákona o data retention: Není jasné, k jakým přesně účelům uchovávaná data budou využitaII.

Navíc jednotlivé požadavky na vydání dat nemusí být zdaleka srovnatelné. Žádost může být například zaměřena na komunikaci uskutečněnou z jednotlivé SIM karty, ale stejně tak i na komunikaci uskutečněnou v rámci jedné GSM buňky (což je dle vyjádření Policie ČR nejčastějším případemIII). Zatímco v prvním případě se v záznamech objeví všichni uživatelé, se kterými osoba používající sledovanou SIM kartu komunikovala, ve druhém případě se záznam bude týkat všech uživatelů mobilního telefonu, kteří se ve sledovaném období jen vyskytli na území v dosahu sledované GSM buňky. Každý jednotlivý požadavek o vydání dat se tedy vlastně dotýká desítek, stovek i tisíců osob.IV

Informace o možném nadužívání data retention mohou být důležité při rozhodování českého ústavního soudu o ústavní stížnosti proti data retentionV.

Ochrana osobních údajů

Když rumunský ústavní soud v říjnu 2009 rozhodl o neústavnosti data retention v Rumunsku, jedním z argumentů soudu bylo, že povinnost data retention… jde ve své podstatě proti ochraně osobních údajůVI. Abychom postihli tento rozpor v nakládání s osobními údaji, které jsou na jedné straně chráněny, na straně druhé povinně uchovávány, a tedy vystavovány riziku zneužití, podívali jsme se v naší studii také na praxi ochrany osobních údajů ze strany jednotlivých firem.

Pro zpracování osobních údajů existuje v Česku zákonná povinnost registrovat se u Úřadu pro ochranu osobních údajů (ÚOOÚ)VII. Součástí registrace je i vymezení účelu zpracovávání údajů. Nicméně firmy často uvádějí velmi obecné důvody pro zpracování osobních údajů, a tak z výpisu z databáze registrací není vždy možné určit, k jakým přesně účelům jsou data sbírána a využívánaVIII.

V rámci naší studie jsme zjistili, že podobně jako v případě povinnosti data retention, i v oblasti ochrany osobních údajů existuje výrazný předěl mezi poskytovateli služeb připojení k Internetu a poskytovateli webových služeb. Respondenti z první skupiny poskytovatelů v našem výzkumu jsou takřka vždy registrováni u ÚOOÚ. V případě poskytovatelů webových služeb tomu tak v některých případech není, zejména nejsou registrováni zahraniční poskytovatelé webových služeb. Takže možná správce vašeho webmailového účtu si nemyslí, že spravuje vaše osobní údaje, ačkoli spravuje velmi mnoho podrobných údajů o vaší osobě. Jak je to možné?

Registrace dotazovaných firem u ÚOOÚ
Název firmy Registrace u ÚOOÚ
GTS Novera ano
UPC Česká republika, a.s. ano
VOLNÝ, a.s. ano
Telefónica O2 Czech Republic, a.s. ano
České Radiokomunikace a.s. ano
Vodafone Czech Republic a.s. ano
T-Mobile Czech Republic a.s. ano
MobilKom, a.s. ano
ETARGET CZ, s.r.o. ne
TANGER, spol. s r.o. ano
Libimseti.cz a.s. ano
Facebook, Inc. ne
Aukro s.r.o. ano
Seznam.cz, a.s. ano
Google Czech Republic, s.r.o. ne
Centrum Holdings s.r.o. ano
Jyxo, s.r.o. ne
Nyx.cz (název služby, není firmou) ne
Malý poskytovatel internetu č. 1 ne
Malý poskytovatel internetu č. 2 ne

Pozn. 1: Vzhledem k často obecným specifikacím účelu zpracování osobních údajů, postačovala pro pozitivní výsledek jakákoli registrace pro zpracování osobních údajů klientů. Pozn. 2: Vzhledem k tomu, že malé poskytovatele připojení k internetu jsme neoslovovali systematicky a jejich odpovědi nám sloužili spíše jako referenční vzorek, rozhodli jsme se uchovat jejich identitu v anonymitě. Stav: leden 2010

Důvodem může být zpožďování zákonných norem za technologickou realitou. To si dovolíme ilustrovat malou odbočkou. Na příkladu problému Je e-mailová adresa osobním údajem? si ukážeme, jak náročné je najít správnou odpověď. ÚOOÚ se ve svých Často kladených otázkáchIX vyjadřuje takto:

Je e-mailová adresa např. jan_novak@seznam.cz osobním údajem? A co např. jan_novak@sie­mens.cz?

(…) Při posuzování, je-li určitá informace osobním údajem, záleží na tom, jestli na jejím základě je možnost identifikovat konkrétní fyzickou osobu. V uváděném případě tedy e-mailová adresa ve tvaru jan_novak@seznam.cz osobním údajem nebude, protože takovouto e-mailovou adresu si může založit kdokoliv a nevypovídá nic o svém majiteli. Naproti tomu e-mailová adresa přidělená zaměstnavatelem, která obsahuje jméno a příjmení zaměstnance a název zaměstnavatele, osobním údajem bude, protože minimálně ostatní zaměstnanci na jejím základě mohou danou osobu jednoznačně identifikovat.

V uvedeném příkladě se podle mého názoru ÚOOÚ dopouští velkého zjednodušení. Jakákoli e-mailová adresa konkrétní osoby může být jedním z dobrých identifikátorů, na základě kterého lze vyhledávat v různých veřejných databázích a shromažďovat tak části informací o příslušné osobě. Z takto shromážděných informací je možné poskládat osobní profil, se kterým pak často lze identifikovat konkrétní fyzickou osobu. Z tohoto úhlu je zvláštní, že někteří poskytovatelé webových služeb v praxi nejsou registrovaní u ÚOOÚ, ač spravují často velmi osobní data – např. historii e-mailové komunikace, historii navštívených webových stránek apod.

Jeden z oslovených poskytovatelů webových služeb se vyjádřil, že nijak neověřuje, zdali zákazníci uvádějí skutečné údaje o své osobě, tudíž nesbírá osobní údaje. Je sice pravda, že v případě bezplatně poskytovaných webových služeb odpadá nutnost ověřování identity zákazníků pro účely fakturace a vymáhání případných pohledávek. Ale opravňuje takový rozdíl nižší míru ochrany dat?

Například do formuláře pro založení webového e-mailu můžete vyplnit libovolné smyšlené údaje a službu pak začít bez problémů používat. Většina uživatelů však vyplní pravděpodobně své skutečné osobní údaje. Na možnost používání pseudonymu většina z oslovených poskytovatelů webových služeb uživatele při registraci do služby neupozorňuje, ačkoli by to z pohledu ochrany identity bylo účelné. I když však zadáte do formuláře pro registraci do webové služby smyšlené údaje, je po delší době používání pravděpodobné, že se vaše e-mailová adresa, třeba i přes třetí osobu, propojí s dalšími údaji o vaší identitě. Stane se pak e-mailová adresa osobním údajem?

Zdají se vám předchozí úvahy komplikované? Máte pocit, že vám něco nesedí? Důvod k neklidu tu je. Docházíme k poněkud paradoxnímu vyústění: Ty firmy, které jsou povinny uchovávat provozní a lokalizační údaje, a tím vystavovat své zákazníky riziku, spadají pod regulační dosah ÚOOÚ. Údajům zákazníka tak v tomto případě náleží ochrana, jaká přísluší dle zákona osobním údajům. Naopak firmy, které nejsou povinny provozní a lokalizační údaje uchovávat, se mnohdy neregistrují ani pro správu osobních údajů. Zdá se, že zvláštní režim ochrany dat příslušící osobním údajům platí v praxi jen pro firmy, které zároveň vydávají všanc data svých zákazníků prostřednictvím data retention. Přitom míra důvěrnosti dat, které oba typy firem zpracovávají, bude nejspíše srovnatelná.

V našem miniseriálu jsme se dotkli mnoha závažných momentů, které jsou spojeny s praxí data retention v ČeskuX. Ukázali jsme si, že zákonná opatření nejsou vždy jednoznačná, jejich interpretace se v oblasti data retention a ochrany osobních údajů může lišit. Často je ochrana uchovávaných dat nedostatečná, zásahy do soukromí občanů je nepřiměřené. Navíc se celá problematika stále více posouvá na globální úroveň s tím, jak se globalizuje používání některých webových služeb. Z těchto i dalších důvodů je třeba situaci nadále sledovat, zvláště v souvislosti s blížícím se rozhodnutím ústavního soudu o ústavnosti příslušných zákonů o data retention.


I Počty jsou uvedeny za státy, které uvedly údaj počtu žádostí v letech 2007 nebo 2008. Z toho odhadujeme počet žádostí za rok.

II Podrobněji viz zpráva.

III Jak je zřejmé z následující odpovědi Policie ČR na náš dotaz:
OTÁZKA: V případě, že soud vydá povolení podle § 88a TŘ, směřuje toto povolení k určitému komunikačnímu zařízení osoby (např. konkrétní telefonní číslo, e-mailová adresa apod.)? Nebo je povolení formulováno obecně a opravňuje policii ke zjišťování provozních a lokalizačních údajů (o konkrétní osobě za dané období) od všech poskytovatelů služeb elektronických komunikací bez omezení na konkrétní komunikační kanál?
ODPOVĚĎ: Příkaz soudu podle § 88a trestního řádu je vždy vztažen k přesně specifikovanému zařízení, jako je např. SIM karta, e-mailová schránka nebo – a to nejčastěji – konkrétní buňka sítě GSM, resp. BTS.

IV Více o SIM kartě a GSM buňce na Wikipedii.

O podání ústavní stížnosti viz slidilove.cz.

VI Rozhodnutí rumunského ústavního soudu viz rumunské stránky zde.

VII Povinnost je stanovena v zákoně o ochraně osobních údajů 101/2000 Sb. Pro doplnění: Provozní a lokalizační údaje jsou osobními údaji, nicméně podobně jako pro jiné osobní údaje sbírané povinně ze zákona neplatí pro jejich sběr povinnost registrovat se u ÚOOÚ.

VIII Databáze registrovaných subjektů pro zpracování osobních údajů je k nahlédnutí na webových stránkách ÚOOÚ – (nutno proklikat se, přímý link není trvalý)

MMF24

IX Stav ke 29. 4. 2010. Často kladené otázky naleznete na stránkách ÚOOÚ – (nutno proklikat se, přímý link není trvalý)

X Celá studie je ke stažení na Internetu.

Obáváte se odhalení některé ze svých identit na Internetu?

Byl pro vás článek přínosný?

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).