Ak je služba zadarmo, tovarom sú obyčajne naše dáta, hovorí expert na ochranu osobných údajov

Tomáš Mičo rozhovor

Začiatkom roka prišila populárna četovacia služba WhatsApp s novými pravidlami používania, ktoré vzbudili vlnu nevôle používateľov na celom svete. WhatsApp, a jeho vlastník spoločnosť Facebook, tak nechcene otvorili debatu o ochrane osobných údajov zo strany poskytovateľov online služieb ako sú sociálne siete či četovacie aplikácie. S Tomášom Mičom, expertom spoločnosti ESET na ochranu osobných údajov, sme sa okrem tohto prípadu rozprávali aj o tom, na čo by si mali ľudia dávať pozor pri ochrane svojich osobných údajov.

V rozhovore sa dočítate:

  • Prečo začali ľudia hromadne opúšťať aplikáciu WhatsApp?
  • Ako pristupujú k ochrane osobných údajov iné aplikácie?
  • Čo je to GDPR a akým spôsobom nás chráni?
  • Čo sú to osobné údaje?
  • Aké máme práva na ochranu osobných údajov?

Posledné týždne sa veľa diskutuje o nových pravidlách používania najpopulárnejšej četovacej aplikácie na svete, WhatsApp. Prečo je okolo toho taký rozruch? Ide naozaj o veľký zásah do súkromia?

Aj áno, aj nie. Nemám pocit, že by táto zmena nejakým spôsobom ovplyvnila stav, ktorý na tejto platforme dlhodobo panuje. Posledné zmeny obchodných podmienok boli najmä dosť nešťastne komunikované. Spôsob ich formulácie bol pre mnohých nejasný a keď si k tomu pripočítame dlhú históriu problémov v oblasti súkromia majiteľa WhatsAppu, spoločnosti Facebook, tak tam jednoznačne badať dôvody paniky používateľov. Pridali sa k tomu aj odporúčania verejne známych osôb, napríklad Elona Muska, ktorý na Twittri odporúčal prechod na alternatívnu aplikáciu Signal, alebo Edwarda Snowdena, ktorý je po celom svete známy ako advokát ochrany súkromia.

Na internete sa objavujú tvrdenia, že bude WhatsApp používateľom čítať správy. Naozaj sa to bude diať?

Používateľov pravdepodobne vyrušila skôr výmena dát medzi Facebookom a WhatsAppom. Predstava, že sa WhatsApp zrazu začína zaujímať o správy, ktoré si vymieňajú používatelia, sa podľa mňa nezakladá na realite. WhatsApp prezentuje, že využíva šifrovanie, tzv. end-to-end encryption, teda na koncových zariadeniach. Na rozdiel od alternatívnych poskytovateľov služieb, ktorí viac dbajú na súkromie používateľov, však WhatsApp uchováva šifrovacie kľúče.

V nevyhnutnom prípade ich vedia použiť, alebo poskytnúť orgánom činným v trestnom konaní. Takže obsah správ by som považoval viac menej za súkromný. Ak niekto požaduje level súkromia na najvyššej úrovni, ten samozrejme nepoužíva WhatsApp. Neočakával by som však automaticky, že budú scanovať obsah správ a využívať ich na svoje alebo cudzie účely.

Aké dáta si budú medzi sebou vymieňať WhatsApp a Facebook?

To, čo si medzi sebou vymieňajú, vedia primárne len tieto dve firmy. Ako používateľ by som očakával, že sa vymieňajú metadáta. Metadáta sú veľmi podceňovaný súbor údajov, ktorý môže často odhaliť toľko, čo samotné správy medzi používateľmi. Ide o údaje o aktivite na danej platforme.

Typickým príkladom sú volania alebo dopisovanie na telefónne čísla, ktoré majú nejaké pozadie. Ak by som napríklad komunikoval s nejakým špecializovaným doktorom, môže to naznačovať zdravotné problémy a aj ich konkrétny charakter.

ESET Internet Security banner

Zjednodušene povedané, v metadátach je vidieť, na aké čísla som volal v ktorom čase a z toho sa dajú urobiť nejaké závery.

Presne tak. Rovnako aj z pravidelnosti či iných atribútov takejto komunikácie. Aj z medializovaných informácií o súdnych procesoch na Slovensku, ako napríklad aj neslávne známy prípad vraždy mladého novinára a jeho snúbenice, je zrejmé, že metadáta veľmi pomohli zmapovať konanie páchateľov.

A čo služby ako Gmail, alebo Facebook – aj oni zbierajú dáta o používateľoch. Ako sú na tom v porovnaní s WhatsAppom?

Obávam sa, že to výrazne lepšie nebude. Napríklad spomínaný Gmail ešte donedávna reálne scanoval obsah emailových správ a využíval ich na marketingové účely. Spomínam si na jeden súdny spor, ktorý sa ukončil myslím v roku 2017, po ktorom Google oznámil, že prestáva v Gmaile scanovať správy používateľov na účely marketingu. To, že pritom nevylúčil zo scanovania správ tretie strany, bola len čerešnička na torte. Takáto praktika viedla aj ku kauze Cambridge Analytica spojenej s Facebookom, kedy rovnako tretia strana získavala dáta používateľov na Facebooku a využívala ich na svoje účely. Ako to dopadlo vidieť vo Veľkej Británii a USA (Brexit a víťazstvo Trumpa vo voľbách, pozn. red.). Nedá sa teda povedať, že by poskytovatelia takýchto služieb mali špeciálne na zreteli súkromie používateľov.

Vo všeobecnosti platí, že pokiaľ služba nie je platená, zarába si tým, že ako tovar používa dáta svojich používateľov. Alebo inak, ak neplatíme za tovar či v tomto prípade služby, tak sme tovarom obyčajne my.

Znamená to, že ostatné služby na tom nie sú lepšie. Ak sa teda niekto obáva zmien na WhatsAppe, asi by sa mal obávať aj súkromia v ďalších službách. Možno s výnimkou tých, ktoré sú špeciálne vytvorené na ochranu súkromia.

Vo všeobecnosti by sa to dalo takto skonštatovať. Navyše platformy, ktoré by sme vedeli charakterizovať ako sociálne siete, sú z tohto hľadiska ešte nebezpečnejšie. Okrem generovania metadát pohybovaním sa na týchto platformách zároveň používatelia vedome tieto platformy kŕmia ďalšími svojimi dátami. Aj keď to tak nevnímajú, rozširujú možnosti poskytovateľov pri práci s dátami. Ak dodám vlastný obsah a zároveň ešte aj svojim správaním generujem ďalší, vytváram väčší objem a rozmanitosť dát, ktoré je možné využiť širším spôsobom. A samozrejme sa ich dá aj lepšie speňažiť.

V súvislosti s aktuálnymi zmenami v aplikácii WhatsApp boli medializované informácie, že kvôli GDPR nebude môcť Facebook použiť všetky plánované zmeny v tejto aplikácií v rámci EÚ. Prečo?

Nedočítal som sa, čo konkrétne bude v EÚ fungovať inak. Viem však povedať, prečo GDPR obmedzuje poskytovateľov týchto služieb. V prípade WhatsAppu a Facebooku by som zašiel do väčšej minulosti. Keď Facebook kupoval WhatsApp, komunikoval s EÚ regulátormi pre ochranu súkromia a došlo k dohode, že dáta medzi týmito službami sa nebudú zlievať do jednej databázy a nebudú sa takýmto spôsobom využívať. Myslím si, že jedným z dôvodov, prečo sa niektoré zmeny nebudú aplikovať je práve táto dohoda.

Navyše, GDPR obsahuje viacero ustanovení ktoré už v princípe bránia takémuto využívaniu dát. Stačí, keď sa pozrieme na základné zásady spracovania osobných údajov, ktoré sú v úvode GDPR. Nájdeme tam minimálne zásadu obmedzenia účelu a tá hovorí, že osobné údaje, ktoré boli získane na nejaký konkrétny presne vymedzený účel nemôžu byť len tak jednoducho využívané na účel iný. Nieto ešte iným subjektom. Na toto môže vyžiadať prevádzkovateľ služby súhlas od používateľa, ale GDPR bráni tomu, aby to bolo jednoduchým spôsobom vložené do podmienok používania a takýmto spôsobom vnútené používateľovi.

Získajte aktuálne informácie o bezpečnosti na internete. Prihláste sa na odber nášho newslettra.

Čím sa GDPR presne zaoberá a ako chráni používateľov v EÚ? Väčšina ľudí to pravdepodobne nevie.

Základnému pochopeniu možno bráni aj samotná anglická skratka. Nie každému je automaticky jasné, že GDPR znamená General Data Protection Regulation, čo v preklade znamená všeobecné nariadenia o ochrane osobných údajov. Fakt, že ide o „nariadenie“ a nie o iný typ právneho aktu Európskej únie, znamená, že na jeho uplatňovanie v ktoromkoľvek členskom štáte vrátane Slovenska nie je potrebný žiadny lokálny zákon. GDPR u nás platí rovnako, ako u nás predtým platil zákon o ochrane osobných údajov. Takýto zákon by sme na ustanovenie práva na ochranu osobných údajov vlastne ani nemuseli mať. Upravuje však iné veci, napríklad kreuje Úrad na ochranu osobných údajov alebo určuje procesy pri udeľovaní pokút.

Ako sú vlastne zadefinované osobné údaje, čo považujeme za osobný údaj?

Definícia je priamo v GDPR a zjednodušene hovorí, že ide o akékoľvek informácie, ktoré sa týkajú fyzickej osoby identifikovanej alebo identifikovateľnej. Je to pomerne zložitá, technologicky neutrálna formulka a neobsahuje ani žiadny zoznam údajov, ktoré považujeme za osobné. Ide skôr o popisné vymedzenie čo najširšej množiny dát, ktorými teraz, no aj v prípadnej budúcnosti bude možné identifikovať konkrétneho človeka. Prakticky je to akýkoľvek údaj, ktorý sa týka mňa ako fyzickej osoby a na základe ktorého ma možno identifikovať v rámci nejakej skupiny ľudí. Ak by sme mali len skupinu nás dvoch, tak stačí povedať „ten, ktorý nosí bradu“ a je jasné, že to budem ja. Samozrejme, keby sme mali skupinu o veľkosti Slovenska, tak nám takáto informácia stačiť nebude a potrebujeme k tomu priradiť ďalšie dáta.

Dôležitá teda nie je len samotná informácia, ale aj kontext, prípadne kombinácia informácií?

Veľmi správne. V niektorom kontexte môže na identifikovanie konkrétneho človeka stačiť aj meno a priezvisko, v oveľa širšom kontexte môže byť potrebné pridať aj adresu. Môže sa tiež stať, že na jednej adrese býva viac ľudí s rovnakým menom a priezviskom (napríklad otec a syn, pozn. red.) a vtedy je potrebné pridať napríklad rok narodenia.

Jeden údaj teda môže byť v jednom kontexte považovaný za osobný a v druhom nie. Sú však nejaké údaje, ktoré sa univerzálne považujú za osobné údaje?

Platí všeobecný úzus, že kontaktné identifikačné údaje sú považované za osobné údaje. Určite sa za osobný údaj považuje meno, priezvisko či adresa a aj telefónne číslo či e-mailová adresa, ak ich k nim priradíme. Máme dokonca staršie ale stále aktuálne rozhodnutie Európskeho súdneho dvora, že informácia o mene, priezvisku a zamestnávateľovi dokopy dáva súbor údajov, ktoré majú byť chránené ako osobné údaje. Takže napríklad pracovná e-mailová adresa zložená z mena, priezviska a mena zamestnávateľa predstavuje v určitých situáciách súbor dát, ktorý môžeme považovať za osobné údaje. Typický pohľad na osobné údaje je taký, že sa za ne považuje aj dátum narodenia, vek a samozrejme najcitlivejšie sú spravidla považované údaje o zdraví. Mnohí považujú za veľmi citlivé aj údaje týkajúce sa ich ekonomickej situácie , hoci GDPR ich medzi osobitné kategórie, ako nazýva citlivé osobné údaje, neradí.

Dá sa medzi osobné údaje zaradiť aj rodné číslo, číslo občianskeho preukazu alebo bankový účet?

V spojení s konkrétnou osobou určite áno. Ak by som šiel do banky, stačí im povedať číslo účtu a oni si vo svojom systéme dohľadajú ďalšie dáta. Ak by som však našiel číslo účtu napísane na nejakom papieriku pohodené na ulici, neviem povedať, komu patrí a majiteľa z neho neurčím. Tu je teda opäť dôležitý kontext. Teda či mám aj ďalšie dáta alebo v koho databázach sa na danú informáciu pozeráme. Napríklad IP adresa je dobrý hraničný údaj o ktorom sa roky viedli spory. Pokiaľ nie sme telekomunikačný operátor a nevieme ani nazrieť do ich databáz, nie je z nej samotnej možné vyčítať prakticky nič. Prevádzkovatelia online služieb však s jej pomocou pri spojení s ďalšími metadátami dokážu vytvárať profily svojich používateľov.

A čo to rodné číslo či číslo občianskeho?

Platí v princípe to isté. Pokiaľ sa neviem dostať do štátnych databáz, veľmi mi tieto údaje nepomôžu. Vytrhnuté z kontextu tieto čísla bez priradenia ku konkrétnej osobe nebudú považované za osobné údaje. Kontext je jednoducho dôležitý. Ak napríklad niekto objaví tabuľku s tisíckou rodných čísel, nijako mu nepomôže, iba bude mať hlavolam. Zákon o ochrane osobných údajov jasne hovorí, že je zákaz uverejňovať rodné číslo, takže ak si ho niekto napíše do Googlu, nemalo by mu nič relevantné vyhľadať.

A čo fotografia? Je fotografia mojej tváre osobný údaj?

V prípade sociálnych sietí by som o tomto vôbec nepochyboval. Sociálne siete často aplikujú rôzne mechanizmy strojového učenia na identifikáciu osôb a aj keby som sa k fotografii hneď nepriznal, alebo by som na nej nebol označený, sociálna sieť vie, ku komu ju priradiť. Ak je fotografia sprevádzaná aj informáciou, kto sa na nej nachádza, ide jednoznačne o osobný údaj a to aj mimo sociálnych sietí.

Je legislatívou upravené aj to, aký typ osobných údajov si môžu poskytovatelia služieb pýtať od svojich zákazníkov?

Takáto legislatíva samozrejme existuje a je to práve spomínané GDPR. Hlavný rozlišovací znak je v účele, na ktorý majú byť osobné údaje používané. Opäť si môžeme pomôcť zásadami spracovania osobných údajov a to obmedzením účelu a minimalizáciou spracúvaných dát. Prevádzkovatelia majú pre svoje účely využívať len taký rozsah dát, ako je na dosiahnutie účelu spracúvania reálne nevyhnuté. Navyše, len po dobu nevyhnutnú na dodávanie služby či zákonom určených archivačných lehôt. Ak napríklad prevádzkujem e-shop, tak by mi aj zdravý sedliacky rozum mal napovedať, že by som si pri registrácií zákazníka nemal pýtať napríklad údaje o tom, koľko zarába, alebo údaje o jeho zdravotnom stave. Toto ani omylom nie je potrebné na fakturáciu, doručenie tovaru či reklamačné procedúry a tým pádom presahuje rozsah dát, ktoré mu povoľuje základná logika a najmä GDPR.

Čo v prípade, ak to používateľom dajú ako možnosť, s ktorou môžu súhlasiť? Napríklad, ak zákazník vyplní viac informácií, môžu mu sprístupniť nejakú dodatočnú funkcionalitu.

Podmieňovanie dodania tovaru a služby poskytnutím dodatočných údajov je praktika, ktorá bola zakázaná v zákone o ochrane osobných údajov ešte pred účinnosťou GDPR, v ktorom sa už takto explicitne nenachádza. Dá sa však odvodiť z jeho princípov. Prevádzkovateľ služby má získavať iba také údaje, ktoré sú nevyhnutné na to, aby službu vedel poskytnúť. Ak však chce dáta, ktoré sú nad rámec tohto, môže to spraviť za predpokladu, že si vypýta súhlas zákazníkov. Pokiaľ mu ho dajú, tak tieto dáta môže používať na účel, ktorý im bol v rámci tohto súhlasu komunikovaný. Je teda na používateľovi, či s tým súhlasí.

Spomínal si, že by prevádzkovatelia mali dáta uchovávať iba po nevyhnutnú dobu, firmy chcú však na svojich zákazníkov cieliť reklamu neustále. Ako sa k tomu pristupuje?

Cielenie reklamy môže trvať iba po dobu, kým som používateľom danej služby. Akonáhle ju prestanem používať, nemajú mi čo cieliť. Treba s tým samozrejme spojiť aj zrušenie účtu. Spolu s ním ide ruka v ruke aj likvidácia údajov. Prevádzkovatelia môžu mať samozrejme nastavené retenčné periódy. Odôvodňujú to tým, že dávajú zákazníkovi možnosť vrátiť sa k danej službe a účet si obnoviť. Zrušenie účtu je teda najdôležitejší signál pre prevádzkovateľa, že je potrebné s dátami niečo spraviť. Či už ich zlikvidovať, čo je najlepšie a najjednoduchšie riešenie, alebo pokiaľ má nastavené retenčné periódy, tak dohliadnuť na to, aby po ich skončení boli dáta zlikvidované. Stačí teda ukončiť používanie služby a spravidla na to majú prevádzkovatelia zavedené procesy, ktoré majú automaticky znamenať likvidáciu dát.

Dajú sa pomenovať najčastejšie porušovania ochrany osobných údajov?

Najlepšie štatistiky má určite Úrad na ochranu osobných úradov. Môj osobný odhad je, že najčastejším problémom je nemožnosť uplatnenia si práv dotknutej osoby. Ako dotknutá osoba mám právo na viacero vecí od informácie o spracúvaní, cez prístup k údajom, tiež mám právo na opravu, právo na vymazanie alebo zabudnutie, na prenosnosť údajov a podobne. Toto sú veci, ktorých odopretie zo strany prevádzkovateľa si dotknutá osoba najviac všimne a obráti sa na dozorný orgán so svojou sťažnosťou.

Ktoré práva sú z tvojho pohľadu najdôležitejšie pre samotného používateľa?

Medzi najdôležitejšie práva by som určite zaradil právo na informácie, ktorého naplnenie je dôležitou povinnosťou prevádzkovateľa. Podstatou je informovať ma ako dotknutú osobu o tom, čo sa s mojimi údajmi, ktoré mu odovzdávam na spracúvanie, vlastne bude diať. V rámci tejto povinnosti prevádzkovateľa je zadefinovaný minimálny súbor informácií, ktoré musím od prevádzkovateľa služby dostať. Každá dotknutá osoba sa tak môže rozumne rozhodnúť, či svoje osobné údaje na spracúvanie vôbec poskytne. Ďalším dôležitým právom je právo na prístup k údajom. Viem si vyžiadať svoje údaje v rozsahu, ktorý mi umožňuje GDPR. Od prevádzkovateľa viem požadovať opravu či doplnenie svojich osobných údajov pokiaľ zistím, že niektoré z údajov, ktorými disponuje, sú nesprávne alebo neaktuálne. V prípade, že skončí spracúvanie a moje údaje sú stále u prevádzkovateľa, tak môžem požiadať o ich vymazanie a tým si uplatním moje právo na zabudnutie. Rovnako platí aj právo na prenosnosť údajov, čiže si viem vyžiadať od prevádzkovateľa svoje údaje v takej podobe a forme, aby som ich vedel importovať u iného poskytovateľa obdobných služieb. 

Existuje nejaké pravidlo, ktoré pomôže rozpoznať pochybného poskytovateľa služieb už z pohľadu na jeho prístup k spracovaniu osobných údajov?

Pred tým, ako niekde poskytneme svoje osobné údaje, mali by sme sa na chvíľku zastaviť a zamyslieť sa nad tým, či rozsah údajov, ktorý od nás nejaký poskytovateľ pýta, skutočne zodpovedá tomu, čo nám ide dodať. Pri výbere internetového poskytovateľa služieb či tovarov, by som mal zvážiť ako nakladá s mojim súkromím. Poskytovateľov, ktorí si vážia súkromie svojich používateľ a zákazníkov je možné nájsť prakticky v každom segmente počnúc vývojármi bezpečnostného softvéru, cez emailové alebo četovacie platformy a paradoxne až po sociálne siete. Ja osobne si napríklad veľmi dobre rozmyslím či za bezplatnú službu chcem zaplatiť vlastným súkromím.


Tomáš Mičo vyštudoval právo na Univerzite Komenského v Bratislave. Profesionálnu kariéru začal na Úrade na ochranu osobných údajov Slovenskej republiky, kde zotrval takmer 6 rokov. Polovicu tohto času viedol odbor legislatívno právny a registra informačných systémov. V spoločnosti ESET pracuje už 10 rokov a ako Data Protection Officer dohliada na ochranu osobných údajov.

produktový banner ESET Family Security Pack