Iný prístup k ochrane osobných údajov

Pointa zmieneného zákona sa dá zhruba opísať ako povinnosť každej organizácie, aby v prípade objavenia skutočnosti, ktorá mohla viesť k úniku osobných údajov z jej informačného systému, informovala potenciálne postihnutých občanov Kalifornie o incidente a o tom, že v jeho dôsledku by mohlo dôjsť k zneužitiu ich osobných údajov. Je to síce len zákon štátu Kalifornia, ale kto chce svoje výrobky či služby ponúkať v tomto štáte, mal by ho rešpektovať. Hoci prvotným zámerom bola zrejme ochrana občanov Kalifornie (zaistiť, aby sa včas dozvedeli o možnom zneužití ich osobných údajov), dôsledky sa prejavujú v celých Spojených štátoch. Postupovať podľa zákona totiž znamená informovať postihnuté osoby, čo sa v podstate rovná zverejneniu a následnému “prepieraniu” príslušného incidentu v médiách … Niekoľko pokusov obmedziť informovanie postihnutých osôb len na občanov Kalifornie bolo rýchlo odhalených a previnilcov si média “vychutnali” tak, že je málo pravdepodobné, že by niekto v takej praxi pokračoval.

A tak sa Američania zrazu dozvedajú o rôznych prípadoch nedostatočného zabezpečenia spracúvaných osobných údajov, o tom, že váženým bankám sa sem-tam stratia záložné pásky s údajmi o miliónoch ich klientoch, a tak podobne. Organizácie s nedostatočne zabezpečnými systémami dostávajú príučku v podobe nie práve priaznivej publicity i značných výdavkoch – okrem výdavkov na dodatočné bezpečnostné opatrenia čosi stojí aj vytlačenie a rozoslanie listov pre niekoľko miliónov adresátov ... Novinári majú o čom písať a ľudia i politici získavajú lepší obraz o tom, aký je v skutočnosti stav v oblasti bezpečnosti IT.

Myslím, že práve posledný aspekt je asi najvýznamnejším dôsledkom zmieneného zákona. Dovtedy sa totiž úsilie zákonodarcov o zaistenie bezpečnosti informačných systémov prejavovalo v podstate len prijímaním zákonov, ktoré ukladali povinnosť zabezpečiť IS a ochranu spracúvaných údajov, alebo definovali skutkové podstaty trestných činov počítačovej kriminality. Iste, aj uložením povinnosti zabezpečiť svoj IS sa dá dosiahnuť, že organizácie čo-to v tomto smere urobia ... ale dosť ťažko sa dokazuje, že vykonané opatrenia nie sú dostatočné a teda že organizácia porušuje zákon. Naviac, ťažko odhadnúť aký je skutočný stav v oblasti bezpečnosti a ochrany IS v krajine. Na druhej strane kalifornský zákon na to ide inak – namiesto povinnosti zaistiť bezpečnosť IS, ktorej dodržiavanie sa obtiažne kontroluje, ukladá inú, ktorej dodržiavanie sa kontroluje oveľa ľahšie ... a naviac hrozbou negatívnej publicity fakticky dáva silnú motiváciu organizáciam “z vlastnej vôle” zaistiť náležitú úroveň bezpečnosti ich IS.

Je pravdou, že krajiny EÚ, a teda aj Slovensko, majú na rozdiel od USA svoje zákony o ochrane osobných údajov. Samotná existencia legislatívy však ešte nemusí zaručovať, že sa v praxi aj účinne presadzuje. Domnievam sa, že prístup, aký zvolili zákonodarcovia Kalifornie, stojí za pozorné sledovanie a zváženie jeho možného využitia aj u nás. Potom by sme sa možno aj my dozvedeli, aký je reálny stav v oblasti zaistenia bezpečnosti IS, v ktorých sa spracúvajú naše údaje…