Ochrana osobních údajů na internetu

Mendelova univerzita v Brně Provozně ekonomická fakulta

Ochrana osobních údajů na internetu Bakalářská práce

Vedoucí práce: JUDr. Hana Kelblová, Ph.D.

Lucie Soldánová

Brno 2012

Ráda bych na tomto místě poděkovala své vedoucí JUDr. Haně Kelblové, Ph.D. za odborné vedení při zpracování této bakalářské práce.

Prohlašuji, že jsem bakalářskou práci na téma „Ochrana osobních údajů na internetu“ vypracovala samostatně s použitím zdrojů uvedených v seznamu literatury. V Brně dne 23. května 2012

__________________

Abstract Soldánová, L. Protection of personal data on the Internet. Bachelor thesis. Brno: Mendel University in Brno, 2012. The thesis deals with protecting of personal data on the Internet. In theoretical part are explained terms, which is apply to theme, such as personal data, its processing, further problems of spam, telemarketing, phishing and pharming. In practical part is stated summary of selected phishing, pharming and spamming from practise. Further is in this part processed sum of recommendation for business company during sending commercial communications. Keywords Personal data, spam, telemarketing, phishing, pharming

Abstrakt Soldánová, L. Ochrana osobních údajů na internetu. Bakalářská práce. Brno: Mendelova univerzita v Brně, 2012. Bakalářská práce se zabývá ochranou osobních údajů na internetu. V teoretické části jsou přiblíženy pojmy týkající se tématu jako osobní údaj, jeho zpracování, dále problematika spamu, telemarketingu, phishingu a pharmingu. V praktické části je vypracován přehled vybraných příkladů phishingu, pharmingu a spamování z praxe. Dále je v této části zpracován souhrn doporučení pro podnikatelský subjekt při rozesílání obchodních sdělení. Klíčová slova Osobní údaj, spam, telemarketing, phishing, pharming

Obsah

9

Obsah 1

Úvod

13

2

Cíl a metodika práce

14

3

2.1

Cíl práce ................................................................................................... 14

2.2

Metodika práce ........................................................................................ 14

Literární přehled

15

3.1

Právní úprava ochrany osobních údajů ................................................... 15

3.2

Osobní údaj a jeho definice ..................................................................... 16

3.3

Členění osobních údajů ........................................................................... 16

3.3.1

Identifikační údaje ........................................................................... 17

3.3.2

Adresní údaje ...................................................................................18

3.3.3

Popisné (charakterizační) údaje ......................................................18

3.3.4

Citlivé údaje .....................................................................................18

3.4

Formy záznamu osobních údajů.............................................................. 19

3.5

Zpracování osobních údajů ..................................................................... 19

3.6

Subjekty zpracovávající osobní údaje ...................................................... 21

3.7

Povinnosti při zpracování osobních údajů .............................................. 21

3.7.1

Povinnosti správce před zahájením zpracování .............................. 21

3.7.2

Povinnosti správce při zpracování .................................................. 22

3.7.3

Povinnosti správce při ukončení zpracování .................................. 24

3.7.4

Povinnosti zpracovatele .................................................................. 25

3.7.5

Povinnosti dalších osob zpracovávající osobní údaje..................... 25

3.8

Osobní údaje a elektronické komunikační prostředky .......................... 25

3.8.1

Phishing .......................................................................................... 25

3.8.2

Pharming ......................................................................................... 26

3.8.3

Spam................................................................................................ 27

3.8.4

Telemarketing ................................................................................. 29

10

4

Obsah

Vlastní práce 4.1

30

Porušování práva na ochranu osobních údajů ....................................... 30

4.1.1

Phishingové zprávy ......................................................................... 30

4.1.2

Phishingové webové stránky ........................................................... 35

4.1.3

Pharming ......................................................................................... 37

4.1.4

Spaming .......................................................................................... 38

4.1.5

Jak se bránit proti spamu ................................................................42

4.2

Přehled doporučení při rozesílání obchodních sdělení ..........................43

5

Závěr

46

6

Literatura

47

A

6.1

Knižní zdroje ............................................................................................ 47

6.2

Internetové zdroje ...................................................................................47

6.3

Právní předpisy ....................................................................................... 48

Přehled právní úpravy

50

Seznam obrázků

11

Seznam obrázků Obr. 1

Princip pharmingu

27

Obr. 2 Phishingový e-mail rozesílaný klientům České spořitelny

31

Obr. 3 Phishingový e-mail rozesílaný klientům České spořitelny

32

Obr. 4

Phishingový e-mail rozesílaný klientům ING banky

33

Obr. 5

Phishing – ING banka

34

Obr. 6

Phishing – PayPal

34

Obr. 7

Phishing – ING banka

34

Obr. 8

Podvodné stránky ING banky

35

Obr. 9

Skutečné stránky ING banky

35

Obr. 10

Phishingové stránky Google AdWords

36

Obr. 11

Skutečné stránky Google AdWords

36

Obr. 12

Phishingová stránka České spořitelny

37

Obr. 13

Příklad pharmingu

38

Obr. 14

E-mail od společnosti DEALLX s.r.o.

39

Obr. 15

Text z e-mailu od společnosti DEALLX s.r.o.

40

Obr. 16

E-mail od Wellness centra u Andersena

40

Obr. 17

Spam od neznámého odesílatele

41

Obr. 18

E-mail rozesílaný hromadně do poštovních schránek

43

12

Seznam obrázků

Úvod

13

1 Úvod Osobní údaje jsou součástí našeho soukromí a provází nás od narození až do smrti. Proto je nutné je chránit. Zvlášť v posledních letech, kdy dochází k rozvoji informačních a komunikačních technologií, jejich potřeba ochrany stoupá. Pomocí těchto technologií se mohou osobní údaje šířit mnohem rychleji než bez jejich využití. S osobními údaji se setkáváme denně, mnohdy si to ani neuvědomujeme. Nejčastěji jsou údaje uživateli sdělovány právě prostřednictvím internetu. Hlavním právním předpisem, který se v současné době zabývá problémem ochrany osobních údajů je zákon č. 101/2000 Sb., o ochraně osobních údajů. Otázkou však zůstává, zda je při dnešním rozvoji technologií tento zákon dostačující. Téma „Ochrana osobních údajů na internetu“ jsem si vybrala na základě negativních zkušeností se stále se zvyšujícím počtem příchozích nevyžádaných obchodních sdělení, jak na můj, tak i na e-mailové účty v mém okolí. Hlavní náplní práce je vytvoření přehledu situací, ve kterých se uživatel internetu setkává s porušováním práva na ochranu osobních údajů, zejména se jedná o problematiku rozesílání nevyžádaných obchodních sdělení, tzv. spamů. Na základě tohoto přehledu je dále vytvořen seznam doporučení pro podnikatelský subjekt při jejich rozesílání.

14

Cíl a metodika práce

2 Cíl a metodika práce 2.1 Cíl práce Cílem práce je sestavit přehled situací, kdy se běžný uživatel internetu setkává s porušováním svého práva na ochranu osobních údajů a dále vytvoření návrhu metodiky rozesílání obchodních sdělení pro podnikatelský subjekt. Dílčím cílem je vytvořit přehled právních předpisů, které se týkají osobních údajů, jejich ochranou a použitím na internetu a popřípadě dalšími termíny souvisejícími s tématem práce.

2.2 Metodika práce Předkládaná bakalářská práce se skládá ze dvou částí, a to z Literárního přehledu a Vlastní práce. Před samotným zpracováním práce bylo nutné nashromáždit podklady a řádně nastudovat problematiku týkající se tématu práce. V první části jsou objasněny pojmy nezbytné pro další zpracování práce. K tomuto účelu jsou použity zdroje uvedené v seznamu literatury. Jedná se o knižní publikace, internetové zdroje a také o zákony v platném znění. Přímé citace z těchto zdrojů jsou vymezeny uvozovkami a v textu je uveden odkaz na ně. Ve Vlastní práci je vypracován přehled situací z praxe, které porušují právo na ochranu osobních údajů, zejména se jedná o phishing a rozesílání nevyžádaných obchodních e-mailů. Použité příklady jsou čerpány z internetu a ze soukromého e-mailu autorky. Na základě příkladů nevyžádaných obchodních sdělení, je zpracován přehled doporučení pro podnikatelské subjekty při rozesílání obchodních sdělení tak, aby je uživatel nepovažoval za spam.

Literární přehled

15

3 Literární přehled 3.1 Právní úprava ochrany osobních údajů Právo na ochranu osobních údajů jako takové se oddělilo od práva na soukromí. Od 60. let 20. století, kdy se začalo využívat techniky a mikroelektroniky ke zpracování dat, a tyto technologie se stále zdokonalovaly a rozšiřovaly, vstoupila do popředí potřeba ochrany osobních údajů. Díky tomu od začátku 70. let přijímaly západní demokratické státy zvláštní zákony na jejich ochranu. Prvním mezinárodním právním předpisem v této oblasti byla Úmluva č. 108, přijatá 28. ledna 1981. Kromě toho, že vymezila základní pojmy ochrany osobních údajů, také určila zásady pro nakládání s nimi. Na ni později navázala další doporučení pro nakládání s osobními údaji v různých oblastech života. Další listinou ze dne 24. října 1995 upravující ochranu osobních údajů se stala Směrnice Evropského parlamentu a rady č. 95/46/ES, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a s volným pohybem těchto údajů. Protože jde o směrnici, musí se jí přizpůsobit právní úprava členských států i země, které se o členství v unii ucházejí. V souvislosti s vývojem internetu bylo v roce 1999 přijato Doporučení Výboru ministrů č. 99/5 o ochraně soukromí na internetu. (Mates, 2002) V České republice byla otázka ochrany osobních údajů řešena až v roce 1991, kdy bylo do článku 10 Listiny základních práv a svobod doplněno právo na soukromí a právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o svojí osobě. Před tímto doplněním žádná ochrana soukromí a osobních údajů nebyla připouštěna. Poměrně za krátkou dobu byl přijat zákon č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech, který vycházel z Úmluvy č. 108 a upravoval zejména povinnosti provozovatelů informačních systémů. Tento zákon v České republice, po rozpadu federace, nehrál velkou roli, protože nebyl vybaven správněprávními sankcemi, které byly potřeba pro domáhání se ochrany. Velký obrat nastal v momentě, kdy začala Česká republika usilovat o vstup do Evropské unie. Protože nesplňovala směrnici č. 95/46/ES, musela přijmout odpovídající právní úpravu. Na základě toho vypracovala vláda návrh zákona, který Parlament schválil jako zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů. (Mates, 2002) Předmětem úpravy zákona o ochraně osobních údajů je ochrana osobních údajů fyzických osob, práva a povinnosti při jejich zpracování. Dále tento zákon

16

Literární přehled

stanovuje podmínky, za kterých je možné předávat osobní údaje do jiných států. Na dodržování tohoto zákona byl zřízen Úřad pro ochranu osobních údajů se sídlem v Praze.

3.2 Osobní údaj a jeho definice Dle § 4 písmene a) zákona o ochraně osobních údajů je osobní údaj definován jako „jakýkoliv údaj týkající se určeného nebo určitelného subjektu údajů. Za osobní údaje se nepovažují údaje, pokud je k zjištění identity třeba nepřiměřené množství času, úsilí či materiálních prostředků“. Subjektem údajů je fyzická osoba, ke které se osobní údaje vztahují. Podle Kučerové a Nonnemanna (2010) se o určitelnost jedná vždy, pokud na základě údaje lze subjekt přímo i nepřímo identifikovat, je tedy jednoznačně odlišitelný od všech ostatních. O určenost jde, je-li na základě známých údajů a s přihlédnutím k okolnostem, subjekt určen. (Mates, 2002) Při aplikaci tohoto zákona v praxi vyjadřuje osobní údaj vztah mezi reálnou fyzickou osobou a hodnotou údaje. Zákon se však vůbec nezabývá pojmem údaj. Jak v českých právních normách, tak i v právních normách zahraničních je pojem údaj přiřazován k termínu informace. Za informaci lze, podle Matese a Matoušové (1997, 27), považovat „jakýkoliv energetický či hmotný projev, který může mít smysl, buď pro toho kdo sděluje, nebo toho, kdo sdělované přijímá“. Jedním z právních předpisů, který pojmy údaj a informace pokládá za synonyma, je Směrnice č. 95/46/ES. Ta osobní údaje definuje jako jakékoliv informace vztahující se k identifikované nebo identifikovatelné (určitelné) fyzické osobě. (Matoušková, Hejlík, 2003) V podstatě je tedy osobní údaj každý údaj, který je přiřazen do vztahu k nějaké osobě. Pokud osobní údaj není určitelný, jedná se o údaj anonymní. Zákon o ochraně osobních údajů v § 4 písm. c) definuje anonymní údaj jako „údaj, který buď v původním tvaru nebo po provedeném zpracování nelze vztáhnout k určenému nebo určitelnému subjektu údajů“. (Matoušová, Hejlík, 2003)

3.3 Členění osobních údajů Matoušová a Hejlík (2003) osobní údaje dělí do čtyř kategorií, kterými jsou údaje identifikační, adresní, popisné (charakterizační) a údaje citlivé. Následující část práce se bude tímto dělením zabývat podrobněji.

Literární přehled

3.3.1

17

Identifikační údaje

Za identifikační údaj lze považovat takový osobní údaj, který je možné použít k určení totožnosti subjektu. Údaj, který můžeme použít pouze v jedné souvislosti, není osobním údajem. (Matoušová, Hejlík, 2003) Identifikační údaje jsou využívány univerzálně. Hlavními identifikačními údaji osoby žijící v České republice jsou bezpochyby jméno a příjmení. Tyto údaje jsou jako osobní údaje vytvářeny. Jméno a příjmení upravuje zvláště § 61 až 79 zákona č. 301/2000 Sb., o matrikách, jménu a příjmení a o změně některých souvisejících zákonů. Tento zákon udává povinnost používat jméno a příjmení při úředním styku, tak jak jsou uvedena v rodném listě vydaném matričním úřadem. Zároveň je používání jména a příjmení právem každého občana. (Matoušová, Hejlík, 2003) Dle zmíněného zákona o matrikách, jménu a příjmení nelze do matriční knihy zapsat zkomolená, zdrobnělá či domácká jména. Dále zákon neumožňuje zapsat jméno mužské osobě ženského pohlaví a naopak. Matriční úřad nezapíše stejná jména žijícím sourozencům, mají-li stejné rodiče. Možné je však používání dvou jmen najednou a za daných podmínek i užívání více příjmení. Takový občan může používat jen jedno z nich, pokud tak prohlásí před matričním úřadem. Požádá-li občan o změnu svého jména či příjmení, úřad tuto změnu ve většině případů provede. Zejména pak v případech, kdy se jedná o příjmení hanlivé, směšné či je-li pro změnu vážný důvod. Dalším identifikačním údajem je datum a místo narození, které jsou jedinci přiřazovány jako transakční údaje. Žádný z nich se nemůže změnit. Stejně jako jméno a příjmení je upraveno v zákoně o matrikách, jménu a příjmení. Společně s dalšími údaji se zapisuje do knihy narození na matričním úřadě a také do rodného listu. (Matoušová, Hejlík, 2003) Vedle jména a příjmení, data a místa narození patří mezi identifikační osobní údaje také identifikační čísla. Jako identifikační číslo se v České republice používá rodné číslo obyvatele, které bylo původně zavedeno pro účely sociálního zabezpečení a účely statistické. Rodné číslo upravuje zejména zákon č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů (zákon o evidenci obyvatel). Mezi identifikační čísla patří v České republice i daňové identifikační číslo (u podnikající fyzické osoby), číslo účtu u finanční instituce, evidenční čísla průkazů označených zákonem jako veřejné listiny a čísla jiných personalizovaných průkazů či dokladů. (Matoušová, Hejlík, 2003)

18

Literární přehled

Rodné číslo je v § 13 odst. 1 zákona o evidenci obyvatel definováno jako „desetimístné číslo, které je dělitelné jedenácti beze zbytku“. Výjimkou jsou rodná číslo přidělená osobám narozeným před 1. lednem 1954, která jsou devítimístná s třímístnou koncovkou. Každý občan České republiky musí mít jedinečné rodné číslo. Jedinečnost u osob narozených ve stejný den zajišťuje čtyřmístná koncovka. Zákon umožňuje i změnu rodného čísla a to z taxativně vymezených důvodů v něm uvedených. 3.3.2

Adresní údaje

Na rozdíl od předchozích osobních údajů, mají adresní údaje svůj význam, aniž by byly spojovány s jinými údaji. Mezi adresní údaje jsou zařazeny jak adresy pro fyzické doručování, tak i adresy, kde je pro doručování použit některý z komunikačních prostředků, například telefonní číslo, faxové číslo, adresa emailové pošty. (Matoušová, Hejlík, 2003) 3.3.3

Popisné (charakterizační) údaje

Mezi popisné údaje je možné zařadit veškeré údaje, které společně vytváří obraz fyzické osoby. Jedná se například o údaje o původu, chování, zvycích, názorech, vzdělání apod. V praxi je obvyklé, že jsou tyto osobní údaje zjišťovány, ale ve skutečnosti je ten, kdo je zjišťuje, vůbec nepoužije. K tomu dochází především u převzatých formulářů. Popisné údaje lze dále dělit na ty, které se běžné užívají k identifikaci, hlavně akademické tituly, a ty, které se užívají k hodnocení subjektu údajů. Jako takové může být použito kupříkladu označení povolání. Problémem u popisných údajů je určení toho, zda se o osobní údaj jedná či nikoli. Dle zákona o ochraně osobních údajů se o osobní údaj jedná, pokud existuje záměr příště takový údaj zjišťovat a jako vypovídající o subjektu údajů ho používat, a to k předem stanovenému účelu. (Matoušová, Hejlík, 2003) 3.3.4

Citlivé údaje

Dle § 4 písm. b) zákona o ochraně osobních údajů je „citlivým údajem osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, trestné činnosti, zdravotním stavu a sexuálním životě subjektu údajů“. Ustanovení v zákoně o ochraně osobních údajů vychází z Evropské směrnice 95/46/ES, která definuje citlivé údaje v článku 8 jako zvláštní kategorii osobních údajů. (Bartík, 2010)

Literární přehled

19

Za citlivý je označen každý údaj, který může být použit k diskriminaci, a jeho zneužití může mít pro subjekt údajů závažné důsledky. Z toho důvodu je citlivým údajům v právních předpisech poskytována zvýšená ochrana. Jak říká zákon, je zpracování těchto údajů možné jen s výslovným písemným souhlasem subjektu údajů. (Matoušová, Hejlík, 2003)

3.4 Formy záznamu osobních údajů Nejčastější formou záznamu osobních údajů jsou osobní doklady. Některé z nich jsou používány často, například průkazy, a některé méně často, téměř vůbec. Mezi tyto osobní doklady patří rodný list, občanský průkaz, cestovní doklad, řidičský průkaz, průkaz zdravotní pojišťovny, doklady o studiu a další. Druhou skupinou, kde jsou osobní údaje zaznamenávány, jsou identifikační karty a předměty. Do této skupiny patří zejména zákaznické karty, průkazy do knihoven, předplatní jízdenky a nepřenosné platební karty vydávané jako platební prostředek bankou. Třetí skupinou jsou listiny jako smlouvy, živnostenský list, životopis, ale také osobní záznamy a poznámky. Dále jsou osobní údaje uvedené ve zdravotnické dokumentaci, osobních spisech, úředních spisech, na vizitkách a v korespondenci. Formou záznamu osobních údajů mohou být i obrazové, zvukové a audiovizuální dokumenty. Aby mohl být obrazový dokument, tedy fotografie, považována za zdroj osobních údajů, musí splňovat určité podmínky. Jednou z nich je, že osoba zachycená na fotografii, musí být určitelná na základě podoby na snímku. U videozáznamu platí, jsou-li záznamy dále vyhodnocovány a zaznamenávány, naplňují znaky zpracování osobních údajů. Poslední, neméně důležitou, skupinou jsou údaje zaznamenány v počítačích a na internetu. Do této kategorie spadá elektronický podpis, který zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů definuje jako „údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené, a které umožňují ověření totožnosti podepsané osoby ve vztahu k datové zprávě“. S používáním počítačů je spojen internet. V dnešní době, kdy přístup k internetu má téměř každý, není těžké si vyhledat jakákoli data, informace či údaje, včetně těch osobních. (Matoušová, Hejlík, 2003)

3.5 Zpracování osobních údajů Zpracování je činnost prováděná s osobními údaji správci a zpracovateli. Zpracování definuje § 4 zákona o ochraně osobních údajů jako „jakoukoliv operaci

20

Literární přehled

nebo soustavu operací, kterou správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky“. Dále uvádí „zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace“. Ustanovení § 3 téhož zákona uvádí, že zákon se vztahuje jak na zpracování automatizované, tak i neautomatizované, případně manuální. Ne jinak je tomu u směrnice 95/46/ES, která se taktéž vztahuje na obě možnosti zpracování. Druhý z mezinárodních předpisů, Úmluva č. 108, vymezuje pouze automatizované zpracování. (Matoušová, Hejlík, 2003) Zpracováním osobních údajů může být například i zálohování a archivování osobních údajů z informačního systémy, ale zpravidla jím není. A to proto, že zpracování osobních údajů je vymezováno ne jako jakýkoli myslitelný nebo libovolně zvolený soubor operací prováděných s osobními údaji, ale jako soubor operací prováděných s osobními údaji za určitým, předem stanoveným účelem. (Matoušová, Hejlík, 2003) Se zpracováním souvisí i následující pojmy, které zákon definuje taktéž v § 4. Pod písm. f) je uvedeno shromažďování, kterým se rozumí „systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování“. Dalším pojmem, který je definován pod písm. g), je uchovávání. Uchováváním se dle zákona rozumí „udržování údajů v takové podobě, která je umožňuje dále zpracovávat“. Uchování začíná uložením shromážděných údajů do určité struktury (např. databáze, kartotéka aj.), která umožňuje jejich zpřístupňování a následné udržování v takovéto podobě. Blokování a likvidace jsou operacemi, které je správce nebo zpracovatel povinen realizovat jako opatření uložené dozorovým orgánem po zjištěném porušení zákona o ochraně osobních údajů. Blokování je vymezeno pod písm. h) jako „vytvoření takového stavu, při kterém je osobní údaj určitou dobu nepřístupný a nelze jej jinak zpracovávat“. Po uplynutí této doby může být osobní údaj vrácen do procesu zpracování, nebo může být zlikvidován. Likvidace je určena pod písm. i) jako „fyzické zničení jejich nosiče, jejich fyzické vymazání nebo jejich trvalé vyloučení z dalších zpracování“. Za likvidaci je možné považovat i provedení anonymizace, kdy jsou od osobního údaje nenávratně odděleny všechny údaje, které subjekt jednoznačně určují. (Maštalka, 2010)

Literární přehled

21

3.6 Subjekty zpracovávající osobní údaje Na zpracování osobních údajů se mohou podílet dva subjekty, a to správce či zpracovatel. Postavení těchto subjektů při plnění povinností je odlišné. Rozhodující podíl vždy připadá správci. Správce definuje § 4 písm. j) zákona o ochraně osobních údajů jako „každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj“. Správcem může být fyzická i právnická osoba, státní či jiný orgán nebo jakýkoliv soukromý subjekt. Správcem podle téhož zákona není fyzická osoba, která osobní údaje zpracovává výhradě pro vlastní potřebu. Subjekt se může stát správcem buď ze zákona, nebo z vlastního rozhodnutí. Pokud se subjekt stává správcem ze zákona, tak účel a do určité míry i prostředky a způsob zpracování osobních údajů stanovuje zákon. V druhém případě, kdy se subjekt správcem stává na základě vlastního rozhodnutí, určuje účel, prostředky a způsob zpracování, sám správce. (Matoušová, Hejlík, 2003) Pokud zvláštní zákon nestanoví jinak, může správce zpracováním osobních údajů pověřit jinou osobu, zpracovatele. Pokud takto správce učiní, nezbavuje se tím odpovědnosti za zpracování. Zpracovatelem je podle § 4 písm. k) zákona o ochraně osobních údajů „každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje“. Zpracovatel může být správcem pověřený celým zpracováním nebo kteroukoli jeho částí. Platí, že ten, kdo je správcem, nemůže být současně i jeho zpracovatelem. To znamená, že jestliže je správcem osobních údajů určitý subjekt, například podnikatelský, nemůže žádná organizační složka tohoto podniku být zároveň zpracovatelem. (Bartík, 2010)

3.7 Povinnosti při zpracování osobních údajů Povinnosti při zpracování osobních údajů má jak správce, tak i zpracovatel. Zákon o ochraně osobních údajů tyto povinnosti upravuje v části Práva a povinnosti při zpracování osobních údajů, tedy od § 5. Matoušová a Hejlík (2003) dělí povinnosti na před zpracováním, při zpracování a po zpracování. 3.7.1

Povinnosti správce před zahájením zpracování

První povinností správce před samotným zpracováním je stanovení účelu, k němuž mají být osobní údaje zpracovávány. Tato povinnost je uvedena v § 5 odstavce 1 písm. a) zákona o ochraně osobních údajů. Pro každé zpracování, za které správce odpovídá, musí stanovit účel samostatně. Stanovení účelu je třeba

22

Literární přehled

věnovat pozornost, protože není snadné už jednou stanovený účel změnit. (Matoušová, Hejlík, 2003) Druhou povinností v pořadí je povinnost stanovit prostředky a způsob zpracování osobních údajů. Tyto prostředky se mohou v průběhu zpracování danému zpracování přizpůsobovat nebo zcela změnit. Způsob i prostředky by měly být odpovídající stanovenému účelu zpracování. (Bartík, 2010) Než začne správce osobní údaje zpracovávat, je nezbytné, aby zjistil, jestli ke zpracování musí získat souhlas subjektu údajů. Právě získání souhlasu je jedním ze zásadních principů ochrany osobních údajů. Souhlas subjektů upravuje zákon o ochraně osobních údajů v § 5 odst. 2, 4 a 5 a v § 9 písm. a). Výjimkou, kdy souhlas není nutný, je například zpracování pro statistické nebo vědecké účely. Je však nutné pro tyto účely zpracování osobní údaje anonymizovat, jakmile je to možné. Ze souhlasu musí být zřejmé, v jakém rozsahu, komu a k jakému účelu je poskytován, dále na jaké období a kdo daný souhlas poskytuje. Souhlas musí správce prokázat po dobu zpracování, ke kterému byl dán. Odlišné požadavky jsou kladeny na získání souhlasu se zpracováním citlivých údajů. Citlivé údaje je možné zpracovávat, pouze v případě, kdy ke zpracování dá subjekt údajů výslovný souhlas. Toto je upraveno v § 9 písm. a), který říká „souhlas musí být dán písemně, podepsán subjektem údajů a musí z něho být zřejmé, k jakému účelu, na jaké období a kdo jej poskytuje“. Souhlas může být kdykoli odvolán. (Matoušová, Hejlík, 2003) Další povinností, kterou musí správce před zahájením zpracování osobních údajů provést, je oznámit zpracování Úřadu. Toto je uvedeno v § 16 zákona o ochraně osobních údajů. Smyslem oznámení je kontrola zpracování ze strany Úřadu. Oznamovací povinnost se podle § 18 téhož zákona nevztahuje na zpracování, které je součástí evidencí veřejně přístupných a na zpracování, které bylo správci uloženo zákonem. (Bartík, 2010) 3.7.2

Povinnosti správce při zpracování

Všechny povinnosti při zpracování musí správce plnit zároveň. Za začátek zpracování se považuje okamžik, kdy správce od subjektu údajů získá osobní údaje v rozsahu odpovídajícímu stanovenému účelu a předpokládá, že získá další. (Matoušová, Hejlík, 2003) První povinností, která je v zákoně o ochraně osobních údajů uvedena v § 5 odst. 1 písm. c), je povinnost zpracovávat pouze pravdivé a přesné osobní údaje. Správce je povinen osobní údaje ověřovat již při jejich pořízení. Dále zákon říká

Literární přehled

23

„zjistí-li správce, že jím zpracovávané údaje nejsou s ohledem na stanovený účel pravdivé a přesné, zejména k námitce subjektu údajů, je povinen je blokovat a bez zbytečného odkladu opravit nebo doplnit“. Pokud tyto údaje nelze opravit nebo doplnit, musí je co nejdříve zlikvidovat. Existují výjimky, kdy správce takové údaje zpracovávat může, a to na základě zvláštních zákonů. Údaje musí být patřičně označeny a vedeny odděleně od ostatních. (Matoušová, Hejlík, 2003) Druhou povinností správce je shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro naplnění tohoto účelu. Tato povinnost je definována v § 5 odst. 1 písm. d) zákona o ochraně osobních údajů. Jako třetí je v § 5 odst. 1 písm. e) zákona o ochraně osobních údajů uvedena povinnost uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování. Po uplynutí této doby mohou být osobní údaje uchovávány pouze pro statistické, vědecké účely a pro archivnictví. Není však nikde uvedeno jak dlouhá je tato nezbytná doba. Dodržení této povinností pro správce znamená předem vymezit lhůtu, po kterou bude osobní údaje k určitému účelu zpracovávat. (Matoušová, Hejlík, 2003) Čtvrtá v pořadí je povinnost zpracovávat osobní údaje pouze v souladu s účelem, k němuž byly shromážděny, uvedená v § 5 odst. 1 písm. f) zákona o ochraně osobních údajů. Zákon dodává, že „zpracovávat k jinému účelu lze osobní údaj, jen pokud k tomu dal subjekt údajů souhlas“. Pátou je povinnost shromažďovat osobní údaje pouze otevřeně. Zákon v § 5 odst. 1 písm. g) dále dodává, že „je vyloučeno shromažďovat údaje pod záminkou jiného účelu nebo jiné činnosti, pokud zvláštní zákon nestanoví jinak“. Shromažďování osobních údajů pod záminkou jiného účelu či jiné činnosti se označuje jako maskování skutečného účelu. Základní požadavek, který je na otevřené shromažďování kladen, je, že subjekt údajů o shromažďování musí vědět. (Matoušová, Hejlík, 2003) Šestou je povinnost uvedená v § 5 odst. 1 písm. h), a to nesdružovat osobní údaje, které byly získány k rozdílným účelům. Zákon dodává „pokud zvláštní zákon nestanoví jinak“. Dle Matoušové a Hejlíka (2003) je tato povinnost někdy nadbytečná. V současné právní úpravě zůstala tato povinnost z předchozího právního předpisu. V dnešní době je porušení této povinnosti u většiny zpracování vyloučeno, pokud správce dodrží povinnost zpracovávat osobní údaje pouze v souladu s účelem, k němuž byly shromážděny.

24

Literární přehled

Sedmou a poslední povinností, která je uvedena v § 13 zákona o ochraně osobních údajů, je povinnost přijmout bezpečnostní opatření. Zákon říká „správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů“. Tuto povinnost musí správce i zpracovatel dodržet i po ukončení zpracování osobních údajů. Matoušová (2003) uvádí, že k řádnému plnění povinnosti při přípravě i při zpracování správce musí: 1.

určit odpovědnost za zpracování osobních údajů,

2.

vymáhat odpovědnost stanovenou jak jím samotným, tak zákonem o ochraně osobních údajů a případně dalšími právními předpisy,

3.

přijmout další organizační opatření odpovídající používaným prostředkům a způsobům zpracování,

4.

přijmout technická i technologická opatření, která jsou uznávána jako bezpečnostní opatření.

3.7.3

Povinnosti správce při ukončení zpracování

Stejně jako má správce povinnosti před zahájením a při zpracování osobních údajů, tak i při ukončení zpracování musí dodržet určité povinnosti. Některé povinnosti přetrvávají dokonce i po skončení zpracování osobních údajů. (Matoušová, Hejlík, 2003) První z těchto povinností upravuje § 19 zákona o ochraně osobních údajů, který uvádí, že pokud hodlá správce ukončit svoji činnost, je povinen Úřadu neprodleně oznámit, jak naložil s osobními údaji. Tuto povinnost má jen v případě, kdy se na zpracování vtahuje oznamovací povinnost. Druhou a zároveň poslední povinností při ukončení zpracování, kterou ve své knize Matoušová a Hejlík (2003) uvádí, je povinnost provést likvidaci osobních údajů, jakmile pomine účel, pro který byly osobní údaje zpracovány. Povinnost je upravena v zákoně o ochraně osobních údajů v ustanovení § 20. Tuto povinnost má nejen správce, ale i zpracovatel na základě správcova pokynu. Dále zákon uvádí, že povinnost zlikvidovat osobní údaje musí správce či zpracovatel i „na základě žádosti subjektu údajů podle § 21“. Rozhodující pro správce je, že zpracování osobních údajů končí právě jejich likvidací.

Literární přehled

3.7.4

25

Povinnosti zpracovatele

Povinnosti zpracovatele jsou upraveny především v § 7 a 8 zákona o ochraně osobních údajů. Ustanovení v § 7 říká, že „povinnosti stanovené v § 5 platí obdobně také pro zpracovatele“. To znamená, že zpracovatel má stejné povinnosti jako správce. K tomu má jednu povinnost oproti správci navíc. Ta je uvedena v § 8, který zní „jestliže zpracovatel zjistí, že správce porušuje povinnosti stanovené tímto zákonem, je povinen jej na to neprodleně upozornit a ukončit zpracování osobních údajů“. Pokud zpracovatel správce neupozorní, odpovídá za škodu, která vznikla subjektu údajů, společně a nerozdílně se správcem údajů. (Matoušová, Hejlík, 2003) 3.7.5

Povinnosti dalších osob zpracovávající osobní údaje

Aby nebyl porušován zákon o ochraně osobních údajů, musí určité povinnosti splňovat i ostatní fyzické osoby, které se s osobními údaji u správce či zpracovatele dostanou do styku. Takovými osobami mohou být například jejich zaměstnanci. Zákon těmto osobám ukládá dvě povinnosti. První z nich je uvedena v § 14, který říká „zaměstnanci správce nebo zpracovatele a jiné osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, mohou zpracovávat osobní údaje pouze za podmínek a v rozsahu správcem nebo zpracovatelem stanoveném“. Druhou je povinnost zachovávat mlčenlivost, která je vymezena v § 15 odst. 1 zákona o ochraně osobních údajů. Ukládá zaměstnancům správce či zpracovatele a všem ostatním osobám, které přijdou do styku s osobními údaji u správce nebo zpracovatele, zachovávat mlčenlivost o osobních údajích a také o bezpečnostních opatřeních. Tato povinnost mlčenlivost trvá i po skončení zaměstnání nebo daných prací. (Matoušová, Hejlík, 2003)

3.8 Osobní údaje a elektronické komunikační prostředky Elektronickými komunikačními kanály jsou myšleny zejména internetové a telefonní služby. 3.8.1

Phishing

Phishing je obecný termín pro tvorbu a použití emailů a webových stránek hackery. Stránky a emaily jsou navrhovány tak, aby je uživatel považoval za pravé a důvěryhodné. Za pomoci těchto nástrojů se hackeři snaží shromažďovat od

26

Literární přehled

uživatelů internetu osobní, finanční a citlivé údaje. Uživatelé poté nevědomky poskytují svá uživatelská jména, hesla a jiná osobní data. Phishing je jedna z mnoha metod, která je k nelegálnímu získání údajů používána. (The United States Department of Justice, 2006) Nejčastěji jsou pomocí phishingu získávány údaje k platebním kartám včetně PINu či další přihlašovací údaje. Příkladem jsou PayPal, Google, Skype. (Hoax.cz) Podle českého právního řádu se osoba vytvářející phishingové stránky a emaily dopouští podvodu podle § 209 trestního zákoníku. 3.8.2

Pharming

Další metodou, která je používána k nelegálnímu získávání údajů od uživatelů, je pharming. Nevyužívá podvodných zpráv, jak je tomu u phishingu, ale uživatele na podvodnou webovou stránku odkazuje již při zadávání webové adresy do vyhledávače. Je proto velmi špatně poznatelný. (Pharming - Online Fraud, c1995-2012) Jak pharming funguje: (Chaudhari,2006) 1.

Útočník (Attacker) zaměří DNS (systém doménových jmen) spojení, které používá uživatel (User). Poté změní IP adresu www.nicebank.com na IP adresu falešné stránky www.n1cebank.com.

2.

Uživatel chce navštívit webové stránky www.nicebank.com a zadá adresu do prohlížeče.

3.

Počítač uživatele podá www.nicebank.com.

4.

Pokud je DNS server již napadený, na počítač uživatele vrátí IP adresu falešné stránky, tedy www.n1cebank.com.

5.

Uživatel je odkázán na falešné webové stránky s domněním, že se jedná o webové stránky pravé.

žádost

na

DNS

server

pro

IP

adresu

Literární přehled

27

Obr. 1 Princip pharmingu Zdroj: Chaudhari, 2006

3.8.3

Spam

V evropském (Směrnice Evropského parlamentu a Rady č. 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací) i českém právním řádu je spam nazýván jako nevyžádané obchodní sdělení. Pod pojmem obchodní sdělení se rozumí podle § 2 písm. f) zákona č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů „všechny formy sdělení určeného k přímé či nepřímé podpoře zboží či služeb nebo image podniku fyzické či právnické osoby, která vykonává regulovanou činnost nebo je podnikatelem vykonávajícím činnost, která není regulovanou činností“. Dále zákon uvádí, že podle zvláštního právního předpisu je obchodním sdělením i reklama. Z definice je patrné, že za spam je možné považovat pouze sdělení rozesílané podnikatelskými subjekty, nikoli osobami soukromými. Tentýž zákon v ustanovení § 7 odst. 1 uvádí, že fyzická či právnická osoba, která získá od zákazníka adresu elektronické pošty, může na tuto adresu rozesílat sdělení pouze v případě, kdy zákazník dá k takovému rozesílání souhlas. V opačném případě se jedná o nevyžádané sdělení, tedy o spam. Spam má obvykle podobu inzerce nebo obchodního sdělení reklamního charakteru, která

28

Literární přehled

jsou rozesílána hromadně na velké množství elektronických adres. Takováto sdělení jsou stále častěji šiřiteli počítačových virů a škodících softwarů. Často také spamy odkazují na podvodné internetové stránky (phishing). (ÚOOÚ, c2010-2012) Jak již bylo řečeno spamy mohou být šiřiteli počítačových virů a škodících softwarů, například trojských koní. Tyto trojské koně mohou mít mnoho funkcí. Jednou z nich je odposlouchávání přístupových jmen a hesel, které potom odesílá zpět určenému cíli, nejčastěji na útočníkův e-mail. Takové jednání je podle trestního zákoníku označeno jako „neoprávněný přístup k počítačovému systému a nosiči informací“ a je upraveno v ustanovení § 230. Trestného činu se podle § 231 trestního zákoníku dopouští i ten, kdo takovéto informace přechovává. (Bitto, 2005) Za spamming je podle Polčáka (2007) možné považovat takové jednání, které je minimálně • elektronické, • zasílané hromadně, • zasílané bez vyžádání. Podle Adámka (2009) jsou e-mailové adresy, na které obchodníci spamy rozesílají, získávány: • registrací uživatele na různých internetových serverech s nedůvěryhodným obsahem, • sdělením marketingové společnosti při různých akcích, které jsou pro tento sběr pořádány, • zveřejněním e-mailové adresy na webových stránkách, ty jsou pak zjišťovány roboty, kteří stránky procházejí, • používáním, • existencí – některé freemailové servery zasílají spamy do schránek svých uživatelů, za účelem zvýšení příjmů, • tipováním – rozesílatelé spamů často e-mailové adresy tipují. Rozesílání spamu láká obchodníky především tím, že kombinuje nenákladné využití volných služeb informační společnosti s marketingovým efektem. V současné době jsou pro spamming využívány e-maily, diskuzní skupiny, blogy, instant messengery (nejznámější ICQ, Skype nebo Facebook) a telekomunikační služby. (Polčák, 2007)

Literární přehled

3.8.4

29

Telemarketing

Telemarketing je formou přímého marketingu, který je založen na telefonickém kontaktu klienta. Existují dvě základní formy, a to telemarketing aktivní a pasivní. Při aktivním telemarketingu se operátoři zabývají oslovováním zákazníků s nabídkou informací o službách či produktech firmy. Při pasivním telemarketingu operátoři odpovídají na telefonáty zákazníků, například zákaznický servis. Pasivní telemarketing je stále častěji nazýván telemarketingem reaktivním (operátor reaguje na podmět či dotaz od zákazníka). (Santlerová, 2011) Dle české právní normy se telemarketing řadí taktéž mezi obchodní sdělení, které upravuje zákon o některých službách informační společnosti. Podle tohoto zákona je povolen pouze na základě předchozího souhlasu adresáta služby.

30

Vlastní práce

4 Vlastní práce V této části bakalářské práce jsou uvedeny případy z praxe, které se týkají phishingu, pharmingu a spamování. Na nich jsou názorně ukázány jejich hlavní znaky. Použité příklady jsou čerpány hlavně z webových stránek Hoax.cz a ze soukromého e-mailu. Na konci práce je vypracován přehled doporučení pro obchodníky při rozesílání obchodních sdělení. Všechny vlastní doporučení a poznatky jsou v souladu se zákonem na ochranu osobních údajů a se zákonem o některých službách informační společnosti.

4.1 Porušování práva na ochranu osobních údajů 4.1.1

Phishingové zprávy

Bezpochyby jedny z nejnebezpečnějších forem phishingu jsou ty, které se týkají finančních záležitostí. To neznamená, že pokusy o získání jiných přístupových údajů nejsou nebezpečné. I pomocí těchto údajů, pokud se dostanou do nesprávných rukou, je možné napáchat mnoho škod a nepříjemností jejich skutečnému majiteli. Phishingové zprávy většinou po svých adresátech chtějí, aby vyplnili své osobní údaje a opět je zaslali zpět odesílateli. Podle toho lze na první pohled poznat phishingový e-mail. Finanční instituce ani jiné společnosti nikdy od svých klientů a uživatelů nepožadují vyplňování osobních údajů prostřednictvím emailu. Toto je porušeno u případu, který postihl klienty České spořitelny poprvé v březnu letošního roku. Na jejich adresy byl rozesílán e-mail s upozorněním o podezřelých transakcích na účtu, který u dané banky vedou. V důsledku toho bylo od klientů požadováno vyplnění několika osobních údajů týkajících se jejich kreditní karty. I když zpráva působí velmi věrohodně, dokonce obsahuje i fotografii jedné ze zaměstnankyň, jedná se nepochybně o phishing. Náhled jednoho z rozesílaných e-mailů pod hlavičkou České spořitelny, je zobrazen na následujícím obrázku 2.

Vlastní práce

31

Obr. 2 Phishingový e-mail rozesílaný klientům České spořitelny Zdroj: Hoax.cz

Podvodný e-mail lze rovněž na první pohled poznat, podle formy, kterou je psaný. Českým uživatelům musí být ihned podezřelé, když na jejich e-mailovou adresu přijde zpráva od české společnosti, kde se téměř v každém slově objevuje několik pravopisných chyb a celý text nedává smysl. Na obrázku 3 je náhled takovéto zprávy. Zpráva byla taktéž rozesílána klientům České spořitelny o pár let dříve. První výskyt byl zpozorován v lednu roku 2008. Tento phishingový e-mail vypadá oproti předchozímu příkladu velmi nevěrohodně.

32

Vlastní práce

Obr. 3 Phishingový e-mail rozesílaný klientům České spořitelny Zdroj: Hoax.cz

Phishingové e-maily často obsahují hypertextový odkaz, který posílá uživatele na podvodnou stránku. Pokud na odkaz uživatel ukáže kurzorem myši, zobrazí se mu skutečná webová adresa, na kterou bude odkázán. Nezkušený uživatel internetu si však takového detailu vůbec nemusí všimnout a e-mail tak považuje za pravý. Pro ukázku jsem vybrala zprávu, která postihla klienty ING banky v listopadu 2011. Přesto, že text hypertextového odkazu zní „ING internetové bankovnictví“, ve skutečnosti odkazuje na úplně jinou webovou stránku. Místo správné adresy ING banky „http://www.ingbank.cz“ odkazuje na adresu „http://smaa-smo.org/www.ingkonto.cz/ib4/welcome.do“. Vše je zobrazeno na obrázku 4.

Vlastní práce

33

Obr. 4 Phishingový e-mail rozesílaný klientům ING banky Zdroj: Hoax.cz

Pokud si stále uživatel není jistý, zda e-mail, který obdržel, je pravý či podvodný, měl by věnovat pozornost e-mailové adrese odesílatele. Tady mohou nastat 3 možnosti. Nejsnáze poznatelné jsou adresy zcela odlišné než adresy poškozeného subjektu. Například zpráva z ING banky s odesílatelem „[email protected]“ působí velice nevěrohodně. Navíc, jak je vidět na obrázku 5, zpráva je psaná špatnou češtinou a hypertextový odkaz posílá uživatele na stránku „http://www.paypalclienthost.com“, která s ING bankou nemá nic společného. Hůře poznatelná, ale stále poznatelná je situace, kdy adresa odesílatele je sice správná, ale pokud by uživatel chtěl na e-mail odpovědět, bude zpráva poslána na jinou adresu. Například je tomu tak u phishingové zprávy z internetového platebního systému PayPal, obrázek 6. Jako odesílatel je uveden PayPal „[email protected]“, ale v kolonce odpověď je adresa „[email protected]“. Podobně je tomu tak u již zmíněného phishingového e-mailu posílaného klientům ING. V kolonce „od“ je opět uvedena správná e-mailová adresa ING banky „[email protected]“, kterou je možné si ověřit na oficiálních stránkách, ale pro odpověď je uvedena zcela jiná adresa, viz obrázek 7. Poslední a zároveň nejhorší možností je, jestliže je adresa odesilatele shodná s adresou skutečnou a zároveň není uvedeno, kam se zasílají odpovědi.

34

Obr. 5 Phishing – ING banka Zdroj: Hoax.cz

Obr. 6 Phishing – PayPal Zdroj: Hoax.cz

Obr. 7 Phishing – ING banka Zdroj: Hoax.cz

Vlastní práce

Vlastní práce

4.1.2

35

Phishingové webové stránky

Kromě phishingových zpráv se na internetu objevují i podvodné stránky, na které je odkazováno právě z těchto e-mailů. Podvodnou webovou stránku lze poznat zejména podle URL (Uniform Resource Locator) adresy. V prvním a nejlépe poznatelném případě, je adresa URL naprosto odlišná od skutečné adresy. Tento znak je demonstrován na následujícím případě, který postihl ING banku a souvisí i s phishingovým e-mailem, o kterém jsem se již zmiňovala v předchozí části. Jak je vidět na obrázku 8, URL adresa se liší od skutečné, obrázek 9. Dále je možné si všimnout, že skutečná stránka má zabezpečené spojení mezi webovým prohlížečem a webovým serverem. To je poznatelné podle síťového protokolu, který je použit. Zatímco u phishingové stránky je použit pouze http protokol (Hypertext Transfer Protocol), skutečná stránka používá zabezpečený protokol https (Hypertext Transfer Protocol Secure).

Obr. 8 Podvodné stránky ING banky Zdroj: Hoax.cz

Obr. 9 Skutečné stránky ING banky Zdroj: Hoax.cz

Někdy může URL phishingové stránky obsahovat IP adresu. URL může tedy například znít „http://202.68.229.186/“. Pokud uživatel narazí na takovéto ad-

36

Vlastní práce

resy, měl by dávat pozor. Bohužel ne vždy lze phishingové stránky tak lehce poznat. Mnohdy URL adresy phishingové stránky vypadá velmi podobně jako URL stránky skutečné. Příkladem můžou být podvodné stránky, které se snažily napadnout jednu ze služeb Google, AdWords. URL adresa phishingové stránky zněla „http://www.adwords.google.com.adgrl.cn“. Začátek je téměř zaměnitelný se skutečnou adresou, přídavku „adgrl.cn“ si uživatel již nemusí všimnout. Podle domény cn je poznat, že stránka pochází z Číny. Když ale porovnám skutečnou stránku Google AdWords s phishingovou, určitých odlišností si lze všimnout. V první řadě, skutečná URL adresa zní „https://accounts.google.com“, funguje ovšem i URL adresa „https://adwords.google.com“. Důležitější je ale to, že Google AdWords používá zabezpečený protokol https.

Obr. 10 Phishingové stránky Google AdWords Zdroj: Hoax.cz

Obr. 11 Skutečné stránky Google AdWords Zdroj: adwords.google.com

Stejně jako podvodné e-maily lze některé phishingové stránky poznat také podle špatné češtiny. Jako příklad jsem opět použila phishing, který napadl stránky České spořitelny, obrázek 12. Tento phishing je dle mého názoru naprosto nepo-

Vlastní práce

37

vedený a ani ten nejméně zkušený uživatel nemohl tuto stránku považovat za skutečnou.

Obr. 12 Phishingová stránka České spořitelny Zdroj: Hoax.cz

V případě, že uživatel phishingovou zprávu obdrží, neměl by na ni v žádném případě nijak reagovat. Toto doporučení se týká i phishingových stránek. V případě, že uživatel prostřednictvím phishingu své údaje sdělil, je nutné, aby co nejdříve kontaktoval společnost, která byla tímto podvodem napadena. 4.1.3

Pharming

Pharming, jak již bylo zmíněno v Literárním přehledu, se velmi podobá phishingu. Příklad pharmingu, který v práci uvádím, postihl Občanskou banku v Edmondu v Americe (Citizens Bank of Edmond). Jak je vidět na následujícím obrázku 13, URL adresa banky „www.citizensedmond.com“ je správná, ale obsahuje vyskakovací okno, které vyžaduje vyplnění osobních údajů. Textem v dolní části vyskakovacího okna, ve kterém útočník uvádí, že informace jsou chráněny protokolem SSL (Secure Sockets Layer), se pokouší uživatele zmást. Protokol SSL je používán hlavně se zabezpečeným protokolem https, ale URL adresa tohoto vyskakovacího okna používá pouze nezabezpečený protokol http.

38

Vlastní práce

Obr. 13 Příklad pharmingu Zdroj: CTrustNetwork.com

4.1.4

Spaming

Téměř každý, kdo má zřízen e-mailový účet, se setkal se spamovou zprávou. I na můj soukromý e-mailový účet chodí měsíčně několik obtěžujících zpráv. Pro následující část jsem vybrala několik spamů ze své soukromé e-mailové schránky. První příklad spamu, který v práci uvedu, mi zasílala společnost DEALLX s.r.o. Tato společnost nabízí na svých webových stránkách různé cenově výhodné nabídky, v podstatě se jedná o slevový portál. Na následujícím obrázku je zobrazen jeden z jejich e-mailů.

Vlastní práce

39

Obr. 14 E-mail od společnosti DEALLX s.r.o. Zdroj: Soukromý e-mailový účet autorky

Nejvíce mě však zarazil text, který byl vložen na konci zprávy, obrázek 15. V tomto textu mi oznamují, že nabídky posílají na základě mého přihlášení k odběru jejich newsletteru. Nikdy jsem se k takovému odběru nepřihlásila, je tudíž jasné, že moje údaje získali z jiného zdroje. A to i přesto, že na webových stránkách uvádí, že zpracovávají údaje získané především skrze webové stránky nebo přímo od uživatele. Tímto společnost porušila zákon o ochraně osobních údajů podle § 5 odst. 2. Jediné pozitivum, které jsem jako nedobrovolný uživatel těchto stránek našla je, že od doby, kdy jsem se od odběru newsletterů odhlásila, mi dosud žádný nový nepřišel.

40

Vlastní práce

Obr. 15 Text z e-mailu od společnosti DEALLX s.r.o. Zdroj: Soukromý e-mailový účet autorky

Dalším příkladem spamu je obchodní sdělení zasílané Wellness centrem u Andersena. Toto centrum se zabývá poskytováním wellness služeb jako kosmetika, masáže, sauna i solárium.

Obr. 16 E-mail od Wellness centra u Andersena Zdroj: Soukromý e-mailový účet autorky

V tomto případě ve zprávě není uvedeno, jak získali moje kontaktní údaje. Stejně jako u předchozího příkladu, jsem odesilateli předem neposkytla souhlas se zasíláním obchodního sdělení. Tudíž můžu toto sdělení označit jako nevyžádané. Na základě toho porušuje odesílající subjekt § 7 odst. 1 a 2 zákona o některých službách informační společnosti. Na druhou stranu, stejně jako u předchozího případu, odesílatel umožňuje odhlášení se od zasílání obchodního sdělení. Předchozí dva příklady sdělení, i když byly nevyžádané, alespoň umožňovaly odhlášení se od jejich zasílání. Následující příklad neumožňuje ani to. Tento

Vlastní práce

41

e-mail mi během měsíce února přišel hned několikrát. Jako odesilatel je uvedena adresa „[email protected]“ a e-mail mi sděluje informace o možné výhře. Bohužel není možné zjistit, kde získali moji e-mailovou adresu. Zároveň jsem odesilateli neposkytla souhlas k zasílání obchodních sdělení, proto toto obchodní sdělení opět porušuje § 7 odst. 1 a 2 zákona o některých službách informační společnosti. Zjistitelné o tomto odesílateli je akorát to, že by se mělo jednat o online kasino. Webové stránky „www.superpenize.com“ taktéž nejsou dostupné. S největší pravděpodobností se tedy jedná o podvod.

Obr. 17 Spam od neznámého odesílatele Zdroj: Soukromý e-mailový účet autorky

Poslední případ, o kterém bych se ráda zmínila, se netýká jednoho konkrétního e-mailu. V poslední době mi na e-mailový účet začaly chodit zprávy, které si byly navzájem velmi podobné. Odesilatel byl však často jiný. Všechny zprávy měly jeden společný znak – text na konci každé zprávy, který zněl: „Toto obchodní sdělení Vám bylo zasláno na základě vyplněného formuláře. Pokud si nepřejete získávat naše informační zprávy, prosím, klikněte ZDE.“ Tento odkaz mě vždy poslal na stejnou webovou stránku „www.supermailing.cz/unsubscribe“. Když jsem tedy odkaz otevřela s domněním, že mi zprávy již nebudou zasílány, byla jsem překvapena. Za několik dní mi přišly nové zprávy s velmi podobným textem na konci. Odkaz mě však posílal na adresu „www.hebmedia.cz/unsubscribe“. Tím, že jsem odkaz otevřela, jsem jenom potvrdila, že daná e-mailová

42

Vlastní práce

adresa je aktivní. Tyto zprávy tedy opět porušovaly § 7 odst. 1 a 2 zákona o některých službách informační společnosti. 4.1.5

Jak se bránit proti spamu

Proti spamu se může uživatel internetu bránit několika způsoby. První možností jak čelit spamům, je nastavení ochrany proti spamu na svém e-mailovém účtu. Tuto službu poskytují nejen provozovatelé freemailových účtů jako centrum.cz, seznam.cz a podobné, ale i poštovní klienti jako například Microsoft Office Outlook a Windows Live Mail. Pokud uživatel vlastní e-mailový účet u freemailového poskytovatele, je dobré, aby spamové zprávy, které nebyly automaticky označeny za spam, smazal pomocí funkce „Smaž jako spam“. Pokud příště obdrží e-mail od stejného odesilatele, bude zpráva automaticky přesunuta do složky „Spam a viry“. Stejně tak lze v poštovních klientech vytvořit seznam blokovaných odesilatelů. Zprávy od těchto odesilatelů budou taktéž automaticky označovány jako nevyžádaná pošta. Podezřelé e-maily od odesilatelů, které uživatel nezná, by neměl v žádném případě otevírat, ale rovnou mazat. Vhodné je mít v počítači nainstalovaný antivirový program, který případné viry zaslané v těchto zprávách nalezne a patřičně zničí. Pokud se uživatel registruje na různých webových stránkách, doporučila bych, aby si pro tyto účely vytvořil speciální e-mailový účet. Nevyžádané obchodní sdělení budou poté zasílány na tento e-mail a nebudou zatěžovat hlavní e-mailový účet. Dalším způsobem, jak se proti nevyžádané poště bránit, je podání stížnosti na Úřad pro ochranu osobních údajů. Na webových stránkách www.uoou.cz je dostupný formulář pro podání této stížnosti. Uživatel musí ve formuláři vyplnit několik údajů: • formu, ve které obdržel obchodní sdělení, • hlavičku e-mailu, • obsah sdělení e-mailu, • kontakt na svou osobu. Na konci stížnosti je nutné opsat kontrolní kód. Poté stačí formulář odeslat a počkat na odpověď úřadu. Doporučováno je také ponechat si v e-mailové schránce onen e-mail jako důkazní materiál. Po odeslání stížnosti, obdrží uživatel, který stížnost podal, potvrzující e-mail o přijetí stížnosti. V tomto e-mailu je

Vlastní práce

43

sdělené číslo stížnosti, pod kterým je evidována. Vyřízení takové stížnosti může trvat i několik měsíců. Někteří rozesílatelé spamů se snaží všemožným způsobem zákony obejít. V případě, že podnikatelský subjekt rozesílá do schránek uživatelů pouze e-mail s odkazem na své webové stránky, případně s krátkým textem, není možné ho podle zákona o některých službách informační společnosti považovat za obchodní sdělení. Proti takovému e-mailu se uživatel nemůže domáhat ochrany na Úřadě pro ochranu osobních údajů. Na e-mailový účet jsem obdržela i zprávu, obrázek 18, ve které je jako odesilatel uvedena e-mailová adresa soukromé osoby. S největší pravděpodobností byl tento e-mail rozeslán na několik náhodných e-mailových adres. Zpráva na první pohled vypadá jako by byla zaslána od osoby, kterou dobře znám. Bohužel na tento druh zpráv se také nevztahuje zákon o některých službách informační společnosti. Jedinou možností jak se proti těmto spamům chránit je nastavit si v e-mailovém účtu spamový filtr a odesilatele zařadit mezi blokované.

Obr. 18 E-mail rozesílaný hromadně do poštovních schránek Zdroj: Soukromý e-mailový účet autorky

4.2 Přehled doporučení při rozesílání obchodních sdělení Aby obchodní sdělení nepůsobilo jako spam, měl by podnikatelský subjekt při jeho rozesílání dodržovat několik zásad. Pro názornost jsem pro tuto část práce vytvořila fiktivní podnikatelský subjekt s názvem Vera Sport s.r.o. (dále jen Vera Sport) pocházející z České republiky, který se zabývá prodejem sportovního vybavení. 1.

E-mailová adresa by měla odpovídat názvu podnikatelského subjektu. Podnikatelský subjekt by měl používat takovou e-mailovou adresu, pomocí které bude zákazníkem lehce identifikovatelný a dohledatelný. Pro firmu

44

Vlastní práce

Vera Sport bych zvolila e-mailovou adresu pro rozesílání obchodních sdělení jako „[email protected]“ popřípadě „[email protected]“. Kdyby podnik používal adresu jednoho z poskytovatelů freemailových účtů, nepůsobil by příliš důvěryhodně. 2.

Podnikatelský subjekt by měl zvolit i vhodné jméno odesilatele. Pokud odesilatel nemá vytvořené i jméno, zobrazuje se příjemci v seznamu zpráv pouze odesilatelova e-mailová adresa. V případě, že si odesilatel vytvoří i jméno, seznam zpráv bude mnohem přehlednější. V tomto případě bude kompletní adresa odesilatele u příjemce vypadat jako „Vera Sport s.r.o. [[email protected]]“.

3.

Předmět zprávy. Aby podnikatelský subjekt neporušoval zákon o některých službách informační společnosti, musí svá obchodní sdělení jako obchodní sdělení označit. Proto bych subjektu Vera Sport doporučila uvést toto do předmětu zprávy. Dále by v předmětu měl být uveden stručný a jasný popis, čeho se obchodní sdělení týká. Předmět by měl být také napsán správnou češtinou. V případě, že subjekt chce svým zákazníkům sdělit informace o novinkách, které Vera Sport nabízí pro sezonu jaro a léto 2012, měl by předmět znít „Obchodní sdělení: Novinky Vera sport pro sezonu jaro/léto 2012“.

4.

Obsah obchodního sdělení. Jestliže chce společnost vypadat před zákazníky důvěryhodně, měl by tak působit i text obchodního sdělení. V první řadě by měl být psán česky bez pravopisných chyb, měl by být stručný a graficky přehledný. Do textu bych zahrnula i úplný kontakt na společnost včetně webové stránky a e-mailové adresy, pokud se liší od adresy, ze které je e-mail zasílán.

5.

Možnost odhlášení se od obchodního sdělení. Má-li být obchodní sdělení v souladu se zákonem o některých službách informační společnosti, musí společnost Vera Sport v každém případě do zprávy zahrnout i možnost kdykoli se odhlásit od zasílání obchodního sdělení.

V případě, že by společnost Vera Sport s.r.o. chtěla rozesílat obchodní sdělení i osobám, které k tomu doposud neposkytly souhlas, doporučila bych jí, držet se

Vlastní práce

45

následujících zásad. Z předchozího seznamu doporučení zůstává neměnná první i druhá zásada. 1.

Předmět zprávy Oproti předchozímu sdělení bych do předmětu zprávy uvedla, že se jedná o nabídku od nové společnosti. Předmět zprávy by mohl vypadat následovně: „Obchodní sdělení společnosti Vera Sport s.r.o.“

2.

Obsah obchodního sdělení Novým zákazníkům by měly být především sděleny základní informace o společnosti, která obchodní sdělení zasílá. Do zprávy bych připojila odkaz na oficiální webové stránky společnosti.

3.

Souhlas se zasíláním obchodních sdělení Aby společnost mohla nadále obchodní sdělení zasílat, musí od adresáta získat souhlas. Připojila bych proto k textu možnost vyjádřit se k dalšímu zasílání zpráv. V případě, že adresát na zprávu nebude reagovat nebo nebude s dalším zasíláním souhlasit, v žádném případě mu společnost nesmí další zprávy posílat.

46

Závěr

5 Závěr Cílem předkládané bakalářské práce bylo vytvořit přehled situací, kdy se uživatel internetu setkává s porušováním svého práva na ochranu osobních údajů. K naplnění cíle byla nejdříve nastudována vhodná literatura. V kapitole Literární přehled byly pomocí této literatury a na základě právních předpisů upravující oblast tématu vymezeny základní pojmy týkající se ochrany osobních údajů, telemarketingu, spamu, podvodných e-mailů a stránek (phishing). Přehledný seznam právních předpisů byl přiložen do přílohy A. V kapitole Vlastní práce byl nejprve vypracován přehled případů z praxe, ve kterých se uživatel mohl setkat s porušováním práva na ochranu osobních údajů. Zejména se jednalo o podvodné e-maily a stránky, pharming a také rozesílání nevyžádaných obchodních sdělení prostřednictvím elektronických prostředků, které byly čerpány z internetových stránek Hoax.cz a ze soukromého emailového účtu. Na případech byly prezentovány jejich hlavní znaky. Zároveň bylo v této části uvedeno několik rad pro uživatele, jak se proti spamům bránit. V poslední části Vlastní práce byl vytvořen přehled doporučení pro podnikatelské subjekty při rozesílání obchodních sdělení. Pro názornost doporučení byl použit fiktivní podnikatelský subjekt Vera Sport s.r.o. zabývající se prodejem sportovního vybavení. Tato doporučení byla rozdělena do dvou částí, a to na doporučení při rozesílání obchodních sdělení stálým zákazníkům a na doporučení při rozesílání obchodních sdělení zákazníkům novým.

Literatura

47

6 Literatura 6.1 Knižní zdroje MATES, Pavel. Ochrana osobních údajů. Vyd. 1. Praha: Karolinum, 2002, 73 s. ISBN 80-246-0469-8. KUČEROVÁ, Alena a NONNEMANN, František. Ochrana osobních údajů v otázkách a odpovědích. 1. vyd. Praha: BOVA Polygon, 2010, 150 s. ISBN 978-807-2731-633. MATES, Pavel a MATOUŠOVÁ, Miroslava. Evidence, informace, systémy: právní úprava. 1. vyd. Praha: Codex Bohemia, 1997, 263 s. ISBN 80-8596327-2. MATOUŠOVÁ, Miroslava a HEJLÍK, Ladislav. Osobní údaje a jejich ochrana: Knížka pro praxi. 1.vyd. Praha: ASPI, 2003, 415 s. ISBN 80-863-9550-2. BARTÍK, Václav. Zákon o ochraně osobních údajů s komentářem. 1. vyd. Olomouc: Anag, 2010, 383 s. Právo (Anag). ISBN 978-807-2636-136. MAŠTALKA, Jiří. Osobní údaje, právo a my. Vyd. 1. Praha: C.H. Beck, 2008, 212 s. Beckova edice ABC. ISBN 978-807-4000-331. POLČÁK, Radim. Právo na internetu: Spam a odpovědnost ISP. Vyd. 1. Brno: Computer Press, 2007, 150 s. ISBN 978-80-251-1777-4. ADÁMEK, Martin. Spam: jak nepřivolávat, nepřijímat a nerozesílat nevyžádanou poštu. 1. vyd. Praha: Grada, 2009, 166 s. ISBN 978-80-247-2638-0. SANTLEROVÁ, Květoslava. Telemarketing v praxi: jak profesionálně telefonovat se zákazníky. 2., aktualiz. a rozš. vyd. Praha: Grada, 2011, 222 s. ISBN 978-80-247-3928-1.

6.2 Internetové zdroje Report on Phishing. In: The United States Department of Justice [online]. 2006 [cit. 2012-04-16]. Dostupné z: http://www.justice.gov/opa/report_on_phishing.pdf Co je to phishing. Hoax.cz [online]. c2000-2012 [cit. 2012-04-16]. Dostupné z: http://www.hoax.cz/phishing/co-je-to-phishing Pharming - Online Fraud. Norton: Antivirus Software [online]. c1995-2012 [cit. 2012-05-21]. Dostupné z: http://us.norton.com/cybercrime/pharming.jsp

48

Literatura

CHAUDHARI, Nilesh. Pharming on the Net. In: Palizine Magazine: Application Security Intelligence [online]. 2006 [cit. 2012-05-21]. Dostupné z: http://palizine.plynt.com/issues/2006Mar/pharming/ Jak se bránit proti nevyžádaným e-mailům. ÚOOÚ [online]. c2000-2012 [cit. 2012-04-16]. Dostupné z: http://www.uoou.cz/uoou.aspx?menu=23&submenu=24 BITTO, Ondřej. Trojské koně: co jsou zač a jak se bránit. In: Živě.cz: O počítačích, IT a internetu [online]. 2005 [cit. 2012-05-22]. Dostupné z: http://www.zive.cz/Clanky/Trojske-kone-co-jsou-zac-a-jak-se-branit/sc-3a-123708/default.aspx

6.3 Právní předpisy Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů. Dostupné z: http://aplikace.mvcr.cz/archiv2008/sbirka/2000/sb03200.pdf Zákon č. 301/2000 Sb., o matrikách, jménu a příjmení a o změně některých souvisejících zákonů. Dostupné z: http://aplikace.mvcr.cz/archiv2008/sbirka/2000/sb085-00.pdf Zákon č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů. Dostupné z: http://aplikace.mvcr.cz/archiv2008/sbirka/2000/sb039-00.pdf Zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů. Dostupné z: http://aplikace.mvcr.cz/archiv2008/sbirka/2000/sb068-00.pdf Zákon č. 40/2009 Sb., trestní zákoník. Dostupné z: http://www.mvcr.cz/soubor/sb011-09-pdf.aspx Zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů. Dostupné z: http://aplikace.mvcr.cz/archiv2008/sbirka/2004/sb166-04.pdf

Přílohy

49

Přílohy

50

Přehled právní úpravy

A Přehled právní úpravy Úmluva č. 108 o ochraně osob se zřetelem na automatizované zpracování osobních dat Směrnice 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a s volným pohybem těchto údajů Doporučení Výboru ministrů č. 99/5 o ochraně soukromí na internetu Zákon č. 256/1992 Sb., o ochraně osobních údajů v informačních systémech Zákon č. 101/2000 Sb. o ochraně osobních údajů a o změně některých zákonů Zákon č. 301/2000 Sb., o matrikách, jménu a příjmení a o změně některých souvisejících zákonů Zákon č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů Zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů Zákon č. 40/2009 Sb., trestní zákoník Směrnice 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací Zákon č. 480/2004 Sb., o některých službách informační společnosti a o změně některých zákonů