Ochrana osobných údajov - len zákon nestačí

Domnievam sa, že jedným z dôvodov je nedostatok predstavivosti – ľudia ako keby mali problém predstaviť si kto by mohol mať záujem o (ich) osobné údaje a čo sa vlastne môže stať, aké môžu byť dôsledky úniku osobných údajov (a to už ani nehovorím o tom, že často majú veľmi pokrivené predstavy o tom, ktoré údaje patria medzi osobné). K tomu možno podľa môjho názoru pripojiť aj chyby, ktorých sa ľudia dopúšťajú pri hodnotení rizík súvisiacich s osobnými údajmi. Napríklad, uvažujú sa len jednorazové útoky (zanedbáva sa možnosť systematického, dlhodobého cieleného útoku), ktoré sú navyše priamočiare, až „polopatistické“ (nepriamy útok je pritom nenápadnejší a často ľahší práve preto, že túto možnosť ľudia prehliadajú). To sa často prejavuje zľahčovaním možných hrozieb v prípade osobných údajov, ktoré o súkromí dotknutej osobe navonok nevypovedajú nič dôležité – napríklad prehlásenia typu „čo dôležité je na tom, že som navštevoval základnú školu A, strednú školu B, vysokú školu C, chodil na čundre, venoval sa rádioamatérstvu, skúšal lukostreľbu, bol som v nemocnici D so zlomenou nohou po páde z bicykla, ...“

Kto si nevie predstaviť, ako by sa dali také banálne osobné údaje zneužiť, nech pouvažuje nad nasledovným (vymysleným) scénárom, ktorý ilustruje práve spomenuté zanedbávané možnosti – ide v ňom o systematický, dlhodobo realizovaný nepriamy útok, na ktorý postačí znalosť osobných údajoch, podobných tým, ktoré sú spomenuté v závere predchádzajúceho odstavca. X si o Y zistí dostatok informácií, ktoré rozhodne nie sú utajované či citlivé (napríklad minulé a súčasné záľuby) čo mu umožní pred osobami, ktoré Y poznajú vytvoriť dojem, že je jeho starý kamarát. A potom stačí občas len tak medzi rečou utrúsiť – „spomenúť si“ na údajný zážitok, v ktorom vystupuje Y ... hoci aj nasledovnú historku (ktorá pochopiteľne nemusí byť porozprávaná spisovne, ako tu) „... to by ste neverili, ako ma raz Y dostal ... je to už pár rokov, boli sme na čundri, mali sme fajn náladu a ani neviem ako, reč došla na sex muža s kravou ... ja som tvrdil, že sa to nedá, Y že áno ... stavili sme sa a Y vyhral – predstavte si, on mi názorne predviedol, že sa to dá ... až neskôr, keď som si uvedomil, ako rýchlo sa mu to podarilo, ma napadlo, že to nemohla byť jeho prvá skúsenosť takého druhu, no veď hovorím, je to riadny beťár...“

Skrátka, nedá sa jednoducho určiť,ktoré osobné údaje sú zneužiteľné a ktoré nie - záleží to od kontextu, od fantázie útočníka ... vo všeobecnosti však možno povedať, že čím viac toho o mne niekto vie, tým môže lepšie manipulovať, má nado mnou výhodu, pozná moje slabiny (môže ich využiť) i silné miesta (vie, čomu sa vyhnúť). Naviac, svoje aktivity môže zamerať namiesto na mňa na ľudí, ktorí ma poznajú (prípadne majú v budúcnosti poznať). Že prečo by to niekto robil? Stačí nejakú dobu pozorne sledovať ľudí a čoskoro sa ukáže, čo sa v nich skrýva... Poznám napríklad človeka, ktorého ambície vysoko prevyšujú jeho odborné schopnosti, čo kompenzuje tým, že ak sa mu znepáčite (napr. vidí vo vás konkurenciu či neskrývate svoj názor na jeho odborné kvality), tak vás a vaše schopnosti bude v okruhu svojej pôsobnosti systematicky, dlhodobo a veľmi efektívne „zhadzovať“ . Neviem, či to robí vedome a plánovito, ale pôsobí to ako prirodzená súčasť jeho života, jeho komunikácie s okolím ... A je v tom naozaj dobrý – rôzne informácie, aj pochybného pôvodu, domnienky a podobne vie podať veľmi presvedčivo (sprisahaneckým tónom, ako keby podával nejakú dôvernú informáciu, zo zákulisia), zhadzovačné poznámky neúnavne trúsi pri každej možnej príležitosti a v podstate pred každým, koho stretne. A nespoliehajte sa na to, že ho nepoznáte – keď som sa ho raz priamo opýtal, či sa vôbec niekedy stretol s osobou, proti ktorej takto dlhodobo „pôsobil“, priznal, že nie ... úplne mu stačilo že vedel, že dotyčný existuje a to, čo o ňom počul, .

Uvedenými úvahami (inšpirovanými skúsenosťami zo života) nechcem podporovať paranoické ukrývanie akýchkoľvek osobných údajov. Koniec koncov, nie je ťažké overiť si, že čo sa týka mojich osobných údajov, netrpím nejakou prehnanou zdržanlivosťou. Na druhej strane, ak mám možnosť voľby, zvažujem čo o sebe sprístupním - skrátka, snažím sa o prijateľný kompromis. Veď s osobnými údajmi je často naozaj nevyhnutné pracovať, niekedy dokonca zverejnenie vhodne vybraných údajov môže pomôcť – napríklad manželke skomplikovať manželovi mimorodinné „úlety“. Aspoň tak to vyplýva z ďalšieho príkladu zo života – šlo o manažéra, ktorý sa vehementne usiloval zblížiť sa s mladou obchodnou partnerkou ... síce nenosil prsteň, ale chvíľa pátrania na internete ukázala používateľku Facebooku s manažérovým priezviskom a s fotografiou, na ktorej bola i s malým dieťatkom v objatí spomínaného manažéra (plus verejný album fotografií manželky odhalil existenciu ďalšieho dieťaťa i mená obidvoch potomkov). Predpokladám, že v tomto prípade šlo skôr o náhodu ako o cieľavedomé konanie manželky, v každom prípade si to manažér pri ďalšom pokuse o zblíženie „odskákal“, teda zverejnenie v tomto prípade pomohlo (aj keď nie manažérovi).

Ochrana osobných údajov nie je o tom, že sa s osobnými údajmi nesmie pracovať – to je extrém, resp. lenivosť ľudí, ktorí by sa najradšej vyhli možným komplikáciám aj za cenu toho, že zas skomplikujú život niekomu inému. Rovnako je extrémom názor, že ochrana osobných údajov je zbytočnosť. Myslím, že namiesto extrémnych názorov je vhodnejšie akceptovať skutočnosť, že riziká spojené s osobnými údajmi tu jednoducho sú a budú, podobne ako iné riziká, ktoré náš život sprevádzajú (napríklad riziko účasti na dopravnej nehode). Nikdy ich úplne neodstránime, môžeme sa však usilovať rozumným prístupom zmenšiť pravdepodobnosť ich výskytu či rozsah možných škôd. Pravdepodobnosť rozumného pristupovania k takýmto rizikám možno zvýšiť primeraným informovaním (zorientovaním) ľudí v tejto oblasti.

Ochrana osobných údajov je (zjednodušene povedané) o tom, aby človek mohol do značnej miery ovplyvňovať, aké jeho údaje a na aké účely môžu „druhí“ získať. Európske direktívy, resp. Zákon o ochrane osobných údajov mu v tomto smere dávajú isté možnosti - druhá vec však je, či ľudia vedia tieto možnosti náležite využívať. Praxi ochrany osobných údajov by len prospelo, keby sa viac ľudí vedelo s väčšou istotou orientovať v tejto oblasti a nemuseli sa uchyľovať k extrémom vyplývajúcim z neznalosti či nepochopenia. Cieľom zákona o ochrane osobných údajov je chrániť práva občanov, resp. dať občanom možnosť domáhať sa naplnenia jedného z ľudských práv ... uspokojiť sa so známou formulkou „neznalosť zákona neospravedlňuje“ by znamenalo, že sa síce deklarujú nejaké práva pre občanov ale chýba záujem o to, aby sa tieto práva v praxi naozaj uplatňovali.

V takomto kontexte by mohlo byť zaujímavé vedieť, ako si ľudia, ktorí pripravovali zákon o ochrane osobných údajov i jeho následné novely, predstavovali ich uplatnenie v praxi ... žeby tak, že stačí dať zákonom ľudom nejaké možnosti, páky na presadzovanie ich práv a ľudia už sami nejakým zázrakom dozrejú do stavu, kedy sa budú vedieť v tejto oblasti orientovať? Alebo šlo len o to, prijať zákon a nikoho už nezaujímalo, ako sa bude v praxi využívať? Ja viem, vždy sa dá povedať že úlohou bolo pripraviť zákon (novelu zákona) a taká odpoveď bude aj formálne správna ... ale potom tiež možno položiť otázku, koho v tejto krajine by malo zaujímať, či občania majú k dispozícií dostatok zrozumiteľných informácií na to, aby sa zákon, prijatý na ochranu ich práv, mohol náležite uplatňovať. Osobne si myslím, že okrem štátu (Ministerstvo školstva?) je v tomto smere priestor aj pre 3. sektor ...