Pohľad na ochranu súkromia na Slovensku – II

Zaradenie rodného čísla do “osobitnej kategórie osobných údajov”. Podľa mojich skúseností naprostá väčšina ľudí nechápe, čo je na rodnom čísle také dôležité, že bolo zaradené do tejto kategórie. Stretol som sa však s prípadmi, keď po zistení, že prítomnosť rodného čísla v spracúvaných údajoch zvyšuje nároky na ochranu, začali organizácie zvažovať, či tento údaj naozaj potrebujú – a zistili, že nie vždy je to naozaj potrebné. Príslušné ustanovenie zákona v tomto zmysle prinajmenšom v niektorých prípadoch napomohlo k prehodnoteniu a zníženiu rozsahu spracúvaných osobných údajov, čo osobne hodnotím ako celkom pozitívny dôsledok. Škoda len, že absentuje osveta – vysvetlenie, prečo je vlastne rodné číslo také dôležité (nie, nie je to kvôli tomu, že je v ňom zakódovaný dátum narodenia a pohlavie jeho nositeľa).

Povinnosť vypracovania bezpečnostného projektu. Asi najviac diskutované a kritizované ustanovenie zákona, a to aj keď neberieme do úvahy nie dosť jasné formulácie v zákone o tom, v ktorých prípadoch táto povinnosť platí. Relatívne bezproblémovo akceptovateľné hádam iba veľkými organizáciami, ktoré aj bez zákona pociťovali potrebu systematického riešenia ochrany svojich IS. Stredné a predovšetkým menšie a malé organizácie, ktoré doteraz pokojne žili aj bez toho, aby bezpečnosti IS venovali nejakú zvlášť pozornosť, vypracovanie bezpečnostného projektu často berú ako nutné zlo, z ich pohľadu zbytočné vynakladanie úsilia či finančných prostriedkov. Stretol som sa aj s prípadom, keď ma predstaviteľ nie bezvýznamnej slovenskej IT firmy priamo požiadal, aby som im predal niektorý z mojich už vypracovaných projektov a zmenil v ňom len názov firmy … ani neskrýval, že takto vypracovaný “bezpečnostný projekt” mieni po jeho obdržaní len uložiť do zásuvky pre prípad kontroly (mimochodom, v onej organizácii som celkom rýchlo objavil viacero do očí bijúcich bezpečnostných nedostatkov).

Na povinnosť vypracovania bezpečnostného projektu môžme nahliadať z viacerých uhlov. Faktom však je, že toto ustanovenie zákona paušálne postihuje prakticky každú organizáciu na Slovensku … a zvlášť tie menšie sú oveľa citlivejšie na finančné náklady, ktoré sú s vypracovaním bezpečnostného projektu spojené. Domnievam sa, že k negatívnemu pohľadu na toto ustanovenie zákona do istej miery prispeli aj firmy ponúkajúce vypracovanie bezpečnostných projektov, predovšetkým tie, ktoré nedokázali svoju cenovú politiku prispôsobiť úplne novej kategórii potenciálnych klientov …

Osobne priznávam istú pozitívnu úlohu tomu, že zákon ustanovuje povinnosť vypracovať bezpečnostný projekt, aj keď pochopiteľne samotný projekt nestačí, ak ostane založený niekde v zásuvke. Vedú ma k tomu moje poznatky o vcelku slabej úrovni bezpečnosti IS na Slovensku, teda ak na tento problém nazeráme komplexne a neuspokojíme sa len s existenciu firewallov, antivírov a prístupových hesiel. Ilustračný príklad – záložné média s osobnými údajmi do cca 100 000 osôb som objavil uložené v trezore, ktorý mal vo dvierkach trvale zastrčený kľúč --- a samotný trezor bol umiestnený v sklade, do ktorého mal bezproblémový prístup značný počet zamestnancov organizácie… Tých, ktorí preferujú postoj, že v takom prípade si správca systému “zaslúži” aby mal problémy upozorňujem, že tu nejde o hľadanie “vinníka”, ale o zabezpečenie primeranej ochrany osobných údajov veľkého počtu ľudí, ktorí sami osebe uvedený stav nemôžu ovplyvniť.

Na druhej strane uznávam, že je prinajmenšom diskutabilné nútiť k vypracovaniu formálneho bezpečnostného projektu organizáciu, ktorá používa len zopár počítačov, a nemá ani vlastného informatika … a to všetko v podstate len preto, že v bežnej personálnej a mzdovej agende sa vyskytujú rodné čísla. Situáciu ešte zhoršuje skutočnosť, že existujúce metodiky, štandardy a odporúčané postupy riešenia bezpečnosti IS, ktoré pravdepodobne ovplyvnili autorov zákona, sú stavané na prostredie veľkých organizácii a pokusy o ich mechanické prenesenie do prostredia malých organizácii celkom pochopiteľne vedú k neporozumeniu a odporu. Niet sa potom čo čudovať, keď značná časť postihnutých organizácii sa usiluje hlavne o formálne naplnenie ustanovení zákona – vypracovanie bezpečnostného projektu – bez toho, aby sa ho usilovali naplniť aj v praxi.

V nasledujúcom (a poslednom) dieli sa pokúsim o širší pohľad – zhodnotenie nielen zákona o ochrane osobných údajov, ale ochrany súkromia na Slovensku vôbec.