Médiá a téma ochrany súkromia

prípad straty 2 CD s osobnými údajmi 25 miliónov občanov Veľkej Británie. Krátka správička u nás, mimoriadne horúca téma, ktorá doteraz neprehrmela, v postihnutej krajine. Malo by nás to zaujímať? Nuž, britskí žurnalisti sa neuspokojili s obyčajným reportovaním faktu, že na ceste ku kontrolnému úradu (National Audit Office) „sa stratili“ 2 cédéčka obsahujúce kópiu kompletnej databázy príjemcov detských prídavkov (osobné údaje rodičov, opatrovníkov i samotných detí, vrátane čísiel bankových účtov). Neuspokojili ich ani informácie o tom, že všetko zavinil nižšie postavený úradník, ktorý porušil bezpečnostné procedúry a médiá neposlal doporučene, ani to, že v dôsledku toho rezignoval šéf príslušného úradu (Her Majesty's Revenue and Customs).

Pátrali ďalej a zistili, že nešlo o náhodné pochybenie jednotlivca, ale o vážnejšie „systémové“ nedostatky. Predovšetkým, kontrolný úrad si ani nežiadal kópiu celej databázy – na svoje účely potreboval (a žiadal) len anonymizovanú časť. Úrad, spravujúci databázu, si však zjednodušil prácu a namiesto upravenej poslal kópiu celej databázy – a ako sa po zverejnení príslušných mailov ukázalo, vedenie zúčastnených úradov bolo informované o tom, že osobné údaje 40% populácie nešifrované putujú krajinou obyčajným spôsobom. Ďalej, podľa interných bezpečnostných predpisov by nižší úradník na svojom počítači ani nesmel mať napaľovačku CD, čiže zrejme jednal na pokyn svojho nadriadeného. Ako pikoška potom bolo zistenie, že bezpečnostná smernica popisujúca postupy bezpečného zdieľania údajov nebola „nižším úradníkom“ vôbec sprístupnená, nakoľko jej obsah bol považovaný za príliš citlivý...

Aké poučenia z toho plynú? Pre účely tohto príspevku vyberieme len tie všeobecnejšie. Uvedený prípad jasne a názorne ukazuje, že zabezpečenie údajov spracúvaných vo veľkých informačných systémoch, nie je len otázkou nasadenia takej či onakej techniky. Že centralizácia údajov celej populácie, či jej nemalej časti, v jednej veľkej databáze môže síce mať isté praktické a ekonomické výhody, škody spôsobené bezpečnostným incidentom však v takom prípade rozhodne nebudú malé (dá sa vôbec „zreparovať“ porušenie informačného súkromia veľkej časti populácie?). Že zdieľanie osobných údajov medzi rôznymi organizáciami okrem praktických výhod prináša aj značné bezpečnostné riziká a riziká pre súkromie občanov, ktorých dostatočne spoľahlivé zvládnutie nie je jednoduchá záležitosť. Atď.

A ako sa nás to týka? Aj u nás sa štátna správa usiluje o vybudovanie centralizovaných systémov obsahujúcich osobné údaje celej, či značnej časti populácie krajiny. V rámci informatizácie verejnej správy sa ráta so zdieľaním údajov (aj osobných údajov občanov) medzi rôznymi organizáciami. V záujme poskytovania lepších služieb občanom, pochopiteľne, proti čomu sa dá len ťažko namietať. Tu však ide o niečo iné – prečo by sme mali veriť, že u nás sa nevyskytnú podobné, alebo aj „originál slovenské“ nedostatky v zabezpečení ochrany súkromia? Zvlášť keď štátna správa nevysiela príliš presvedčivé signály o tom, že by oblasť ochrany súkromia bola v jej podaní dostatočne pochopená či rešpektovaná. Keď napríklad viaceré nedávno predkladané návrhy zákonov, ktoré celkom zreteľne predstavovali hrozbu pre súkromie občanov, ich predkladatelia zhodnotili ako „bez negatívnych dopadov“ na občanov. Keď autori návrhu stratégie informatizácie verejnej správy sa téme ochrany súkromia úplne vyhli, hoci napríklad už z obrázku nazvaného „Pohľad na verejné služby ako "životné udalosti občana"“ pekne vidieť, ako údaje súvisiace s poskytovaním služieb verejnej správy zachytávajú značnú časť informačného súkromia občanov tejto krajiny. Prečo by sme teda mali veriť trebárs tomu, že štátneho úradníka u nás ani len nenapadne pri zdieľaní údajov namiesto anonymizácie pokojne poskytnúť kópiu celej databázy v štýle „veď si vyberte, čo potrebujete“?

Inak povedané, serióznejšie zamyslenie sa nad takýmto a podobnými prípadmi by malo prirodzene viesť k otázkam na našu štátnu správu typu „ukážte, že ste mysleli aj na to, ako zmenšiť riziká (aj pre súkromie občanov) ktoré pri takej koncentrácii údajov a pri takom rozsahu ich používania nutne hrozia“. A nie, nestačí odvolať sa na to, že predsa máme zákon na ochranu osobných údajov (veď „nezabiješ“ obsahovalo už biblické Desatoro, jeho modernejšiu verziu aj Trestný zákon, ale v takom prípade sa zrejme štátna správa nespolieha iba na existencia zákona - inak by nám predsa pri návšteve parlamentu neprikazovali odložiť všetko, čo by mohlo zvádzať k porušeniu tohto prikázania...). Takéto, podľa mňa logické, otázky v médiách márne hľadám. Výstižne to charakterizoval kolega bloger - médiám na Slovensku „chýba systematizovanie informácií, pridávanie kontextu a nejaké to samostatné pátranie po skrytých súvislostiach“. Nie je záujem, alebo absentujú schopnosti? Ak platí druhá možnosť, vidím budúcnosť ešte černejšie - už teraz u mojich študentov badám stále častejšiu absenciu schopnosti analyzovať poskytnuté informácie, správnej dávky podozrievavosti voči tomu, čo sa im predkladá, i schopnosti postrehnúť v tom logické nezrovnalosti. Skrátka, dokonalí konzumenti, „zhltnú“ všetko čo sa im dostatočne autoritatívne predloží (a to ani nemám na mysli u nás už všadeprítomné politizovanie). Keď nie sú vzory, resp. sú vzory len v povrchnosti, niet sa čo diviť. Na druhej strane, „copy and paste“ študenti ovládajú dokonale a aj to vidieť, tam „vzory“ nechýbajú....