Přehlížené aspekty ochrany osobních dat Jaroslav Král, Michal Žemlička Univerzita Karlova v Praze, Matematicko-fyzikální fakulta Malostranské náměstí 25, 118 00 Praha 1
[email protected],
[email protected] Abstrakt: Ochraně citlivých, především osobních dat, se často považuje za úkol, se kterým nejsou spojena žádná podstatná rizika a nečekané výdaje. Ukazujeme, že toto přesvědčení není správné a vede k závažným rizikům a škodám. Tento problém analyzujeme na problému optimalizace a zkvalitňování vzdělanosti. Ukazujeme, že současné problémy ve školství mohou být řešeny za podmínky, že se změní současná pravidla ochrany osobních dat a přístupu k informacím.Bez toho je totiž obtížné vytvořit účinný systém měření kvality vzdělání.Ukazujeme, že tento problém je součástí širšího problému, kdy se při různých omezeních na využití dat nepostupuje metodou analýzy rizik. Ukazujeme navíc, že pro skutečné řešení je nutné změnit legislativu a především postoje veřejnosti k ochraně dat. Abstract: Data security rules and procedures concerning sensitive and personal data are considered to be a task without significant risk and costs. We show that it is not the true and that it leads to substantial risks and losses. It is illustrated on the case of the education quality evaluation. We show that no proper evaluation is possible as long as current data security rules are applied. The needed changes require the changes of public attitudes and modification of data security rules required by legislative. We further show that the discussed measures can be almost without changes applied in several other domains (health-care system, e-government, etc). Klíčová slova: Ochrana citlivých dat, dostupnost otevřených informací, měření kvality vzdělání a vzdělávacích institucí, neţádoucí důsledky ochrany dat. Keywords: Sensitive data protection, open information availability, evaluation of education and education institution quality, undesirable consequences of data protection.
1. Úvod Začněme obecně známými skutečnostmi. IT proniká stále více do společenských procesů, mění sociální vztahy a dokonce silně ovlivňuje masová sociální aţ revoluční hnutí. Na druhé straně mnohá pozitivní očekávání IT a především informační systémy nenaplňují. IT nezlepšily predikci makroekonomických problémů a vývojových trendů. Existují oprávněné pocity, ţe nepřispěly ke zlepšení klíčových parametrů vývoje společnosti, jako je kvalita vzdělání a nebo kvalita e-governmentu. Jsou indikace, ţe dokonce se, především ve vzdělání, situace zhoršuje. Příčiny jsou odborné veřejnosti dobře známy. Zdá se ale, ţe se závaţnost důsledků nedoceňuje. Za této situace nemusí být tak překvapivé, ţe úplná negramotnost přestává být výjimkou, o funkční negramotnosti ani nemluvě. Soudy jsou stále pomalejší. O nových absolventech škol se začíná hovořit jako o ztracené generaci. Je pravda, ţe zatím spíše v Německu. Nezdá se ale, ţe bychom na tom u nás byli lépe. Státní správa není efektivnější, atd.
234
SYSTÉMOVÁ INTEGRACE 2 - PŘÍLOHA/2011
Přehlížené aspekty ochrany osobních dat
IT má jistě potenciál věci změnit k lepšímu, pokud by k tomu byla vůle. Při nevůli nebo chybně nastavených pravidlech, můţe IT přispět k vývoji, který má leccos společného s průběhem pádu starých civilizací [Tai90, Dia05]. Zatím totiţ pouţívání IT ve vyšších patrech společnosti (mimo technologie) připomíná pouţívání ostrého noţe v kuchyni, přičemţ se poţaduje, ţe nůţ musí být pouţíván v ochranném obalu, abychom se náhodou neporanili. Nůţ je současné IT a obalem jsou pravidla pouţívání citlivých osobních dat. Ukáţeme, ţe současná pravidla vyuţívání osobních dat se pouţívají jako ten nůţ v obalu. Namísto deklarované ochrany občanských práv to vede k jejich závaţnému ohroţení. Současná pravidla mají závaţné důsledky v mnoha oblastech [Krá10, KŢ09a, KŢ09b]. My se v dalším zaměříme na problém vzdělanosti a přípravy odborníků, poněvadţ problém vzdělanosti je problémem celé společnosti a ICT zvlášť. Je tedy pravděpodobně Goldrattovým úzkým místem [Gol99]. V tomto článku shrneme problémy našeho současného systému vzdělávání. Pokusíme se detekovat základní příčiny daného stavu a moţné cesty nápravy. Ukáţeme, ţe základní problém je v nedostatečném chápání souvislosti a důsledku exitující legislativy. Ukáţeme, ţe situaci by mohlo zlepšit pouţití prvků analýzy rizik. Navrhneme principy moţných úprav legislativy a ukáţeme, ţe změny legislativy musí vycházet z moţností ICT a měly by být podpořeny komunitou ICT odborníků.
2. Kam směřuje naše vzdělanost? Kvalita vzdělání je prakticky pro všechny obory lidské činnosti klíčová. Přitom však postupně přibývá negativních zpráv: Relativní neúspěch maturit nanečisto. Postupný propad úrovně českých studentů v mezinárodních srovnáních [McK10]. Ministr Dobeš si za této situace klade za “ambiciózní cíl”, aby se v mezinárodních soutěţích naši studenti dostali alespoň na úroveň z roku 1995. Postupný pokles prestiţe učitelů a růst počtu případů jejich šikany. Učitelé se dostávají do zcela nerovnoprávného postavení. Hlavní příčinou je to, ţe pokud někoho vyhodí, je krácena dotace škole. Toto ţáci a studenti dobře vědí a také toho náleţitě zneuţívají. Citelný pokles kvality studentů přicházejících na vysoké školy. Existují důvody k tvrzení, ţe současné školství necvičí dostatečně dovednosti a disciplínu nutné pro prakticky kaţdou práci. Problémy se zvláště koncentrují do technických oborů (STEM – science, technology, engineering, mathematics). Je obecně známo, ţe dobrá úroveň ve STEM je zásadní pro prosperitu a dlouhodobé perspektivy kaţdé země. Zájem o STEM vzdělání, kam patří i + vzdělání informatiků, klesá. V tom, bohuţel, naše země není výjimkou [ABD 11]. Důvody pro to jsou následující: 1. Názor, ţe věda a technika nejsou “in”, poněvadţ nabízí spíše pracovní perspektivu zaměstnance neţ lukrativní perspektivu manaţera či podnikatele. 2. STEM vyţaduje vzdělání silně zaměřené na dovednosti (tedy dril) a je dosti nákladné, coţ není lukrativní pro nová soukromá školní zařízení. 3. Nevíme, kolik STEM (a nakonec i jiných) odborníků je potřeba a jaké jsou jejich kariérní vyhlídky, tj. jak jsou úspěšní a kolik si vydělají. SYSTÉMOVÁ INTEGRACE 2 - PŘÍLOHA/2011
235
Jaroslav Král, Michal Žemlička
Současné pedagogické představy některých pedagogických odborníků vedly k tomu, ţe pravidla pro školy jsou nastavena tak, ţe školy, které chtějí učit STEM, jsou de facto trestány. Nejenom, ţe mají vyšší náklady, ale musí leckdy učit klasicky. Příkladem je memorování norem a předpisů a také schopnost postupovat přesně jak ţádá technologie. To do aktuálních představ o výuce jaksi nepasuje. Proto se podporují spíše ty školy, které podporují „rozvoj osobnosti“. Klíčový je bod týkající se výuky STEM. Podmínkou nutnou (a zčásti i postačující) je moţnost měřit kvalitu vzdělání podle profesního úspěchu. Uvidíme, ţe pro hodnocení úspěšnosti absolventů by postačovala jiţ existující data shromáţděná státními, veřejnoprávními, či soukromými organizacemi. Ukáţeme si, ţe vyuţití těchto dat není jednoduchý problém, ale ţe bez toho nebudou informace o kvalitě vzdělání nutné pro rozhodování lidí i pro řízení kvality škol vţdy nedostatečné. 4.
3. Proč je nutné měřit kvalitu vzdělání? Současný stav školství je důsledkem psaných i nepsaných zásad uplatňovaných při řízení školství: 1. Neexistují účinné nástroje kontroly kvality výuky a není ani dostatečná snaha tuto situaci změnit. Případ státních maturit nanečisto naznačuje, ţe nebyly stanoveny a především nebyly vymáhány ani minimální poţadavky na rozsah znalostí. Školní inspekce nekontroluje znalosti a ani nemůţe, poněvadţ kaţdá škola si stanovuje svoje osnovy, takţe do značné míry “učí podle svého”. Inspekce tak kontroluje především formální aspekty chodu školy. 2. Škola dostává dotaci na “hlavu” studenta. Pokud škola studenta vyloučí, je de facto potrestána sníţením dotace. Pokud se vyloučí více ţáků, musí škola propustit učitele. Mnozí ţáci jsou si toho vědomi a nepracuji (neučí se). Učitelé jsou v nerovnoprávném postavení a při šikaně ze strany ţáků se nemohou (mnohdy nesmějí) účinně bránit. 3. Na školách se pouţívají nejrůznější nové pedagogické postupy, aniţ se prověřují jejich skutečné efekty. De facto se bojuje proti výcviku dovedností pod záminkou, ţe se jedná o dril. Je zajímavé, zda by věrozvěsti těchto nových postupů sedli do letadla, které by řídil pilot, který by neprošel výcvikem na trenaţeru a cvičném letadle. Připomeňme, ţe nás jako IT odborníků se týká problém nechtěných efektů elektronických forem výuky. Ve školství lze tedy podnikat a dokonce ţádat školné a nenést odpovědnost za kvalitu produktů, protoţe, jak ukáţeme níţe, není dovoleno kvalitu produktu skutečně měřit. No neberte to. Připomeňme, ţe to je typický případ strategie vítěz-poraţený. Těţko lze pochybovat o tom, ţe dojde k tomu, co říkají základní učebnice, totiţ, ţe dojde k situaci “prohráli všichni”. Jediné řešení je zavést do zatím fakticky neřízeného systému zpětnou vazbu. Jinými slovy: je třeba zavést efektivní procesy měření kvality škol přístupné všem odběratelům daného “zboţí” (tj. vzdělání). V současném rychle se měnícím světě si lze jen obtíţně představit, ţe by takové procesy byly moţné bez pouţití prostředků moderních informačních technologií. Hlavním cílem vzdělání je, aby lidé nabyli potřebných znalostí a dovedností nezbytných pro jejich pracovní nasazení, tj. pro to, aby se uţivili. Zjištění toho, jak si v tomto ohledu vedou, však vyţaduje integraci dat z různých systémů, především ale změnu postoje 236
SYSTÉMOVÁ INTEGRACE 2 - PŘÍLOHA/2011
Přehlížené aspekty ochrany osobních dat
veřejnosti a bohuţel i systémové změny v legislativě. Nejdříve se zaměříme na technické aspekty moţného řešení.
4. Čím měřit kvalitu vzdělání? Kvalita je z technického hlediska koncept, závisejících na kritériích hodnotitele a jeho cílech [ISO 8406, ISO 9126, ISO 27000]. Jiná kritéria hodnocení určitého vzdělání a tedy i kritéria výběru z daného hlediska nejlepší školy má rodič umělecky nadaného dítěte a jiná má rodič, který chce dát dítě do učení a jiná má ministerstvo (pokrytí potřeb určitého regionu či segmentu). Systém měření kvality škol by proto měl být on-line informační systém přístupný v principu všem občanům a organizacím a vyuţívající moderních databázových systémů. To umoţňuje i vytváření různých tabulek a analýz určených pro vytváření dlouhodobých koncepcí a standardů. Poţadavky na systém měření kvality vzdělávání musí proto vycházet z primárního důvodu existence škol – zajištění uplatnitelnosti na trhu práce a prosperita společnosti. To jsou samozřejmé zásady. Výše uvedené skutečnosti svědčí o tom, ţe pro společnost to není samozřejmé. Důsledkem je, ţe ve věci řízení školství není obecná shoda a vítězí různá ad-hoc řešení. Z těchto důvodů se zaměříme na hodnocení zaloţené na kariérní úspěšnosti absolventů. Všimněme si, ţe informace potřebné pro takový úkol mohou být prakticky vţdy otevřené, protoţe to mohou být průměry, procenta, apod. Takovéto informace by podle obecné deklarace lidských práv by měly být dostupné. Pro tento úkol lze pouţít databázi s nepříliš rozsáhlými daty o tom, kdo kdy kde jak absolvoval, kdy jaký plat měl a u koho byl zaměstnán, případně v jaké pozici, kdy byl nezaměstnaný, atd. Tato data jiţ dnes existují (snad aţ na malé výjimky). Problém je, ţe jsou citlivá a vyţadují ochranu. Jiţ dnes lze po technické stránce vytvořit databázový systém, který by umoţňoval generovat výše uvedené informace, které by měly být dostupné ze zákona, poněvadţ jejich dostupnost patří k základním lidským právům. Lze ukázat, ţe lze vytvořit technické podmínky pro to, aby se nebezpečí vyzrazení citlivých dat ve srovnání s aktuálním stavem významně nezvýšilo. Dostupnost informací je dnes neoprávněně omezována současnou legislativou. To vede k tomu, ţe se nevyuţívá potenciál IT, coţ je dlouhodobě neţádoucí pro všechny, zvláště pro IT.
5. Legislativní bariéry a jejich příčiny Základním problémem naší legislativy ve vztahu k osobním datům a lidským právům, ţe některá práva de facto nadřazuje jiným lidským právům. Navíc takto preferovaná data nejsou ve skutečnosti významně lépe chráněna a neexistují dostatečné moţnosti obrany. Základním hříchem je to, ţe není stanovena povinnost poskytovat informace, na které má občan právo podle deklarace lidských práv. Jsme si vědomi toho, ţe musíme počítat s jistými omezeními plynoucími z jistých problémů. To však není taková překáţka, aby se uplatňovala taková brutální opatření, jako je likvidace dat, či zákaz vyuţívání dat ke generování zveřejnitelných informací. Tyto poţadavky jsou samozřejmé, znamenají však změnu role a povinností Ústavu pro ochranu osobních údajů (ÚOOÚ). Nyní ÚOOÚ můţe zablokovat vyuţívání a dokonce i skladování dat kdykoliv, kdy je důvodné podezření, ţe by jinak došlo ke zvýšení SYSTÉMOVÁ INTEGRACE 2 - PŘÍLOHA/2011
237
Jaroslav Král, Michal Žemlička
pravděpodobnosti úniku citlivých dat. Nezkoumá se, zda se tím skutečně významně změní riziko vyzrazení dat (zda tedy daná situace je jediným triggerem daného rizika). Navíc se nezkoumá, jaká je cena takového opatření a jaké dané opatření má nechtěná rizika. Příkladem je opatření blokující vyuţívání dat o vydaných lécích pro prevenci výroby pervitinu. Nechtěné (doufáme) efekty byly, ţe zákaz práce s citlivými daty usnadnil produkci pervitinu a dlouhodobě zablokoval moţnosti optimalizace spotřeby léčiv a některé cesty zdravotnického výzkumu. Domníváme se, ţe by ÚOOÚ a jiné organizace ovlivňující ochranu dat měly provádět klasickou analýzu rizik, tedy vyhodnocovat všechna moţná rizika, všechny moţné důsledky a ceny jednotlivých opatření. Tento postup by měl být zveřejnitelný a měl by být předmětem moţných ţalob. Jinými slovy: ve sporných případech by měly být dotčené subjekty ÚOOÚ a podobné ústavy i ţalovat. Současně s tím bychom měli jako IT odborníci působit na veřejnost i státní orgány. Veřejnost je třeba přesvědčit o tom, ţe některé způsoby ochrany osobních dat jim mohou způsobit mnohem větší škodu neţ případné vyzrazení jejich osobních dat. Můţe být samozřejmě nepříjemné, ţe se někdo dozví, jaký mám plat, ale ještě horší můţe být to, ţe ţádný plat nemám, protoţe jsem nezaměstnaný. Můţeme ukázat, ţe takovýto scénář můţe být v budoucnu docela častý. Daleko obtíţnější problém jsou změny legislativy, kde existuje mnoho předsudků a zároveň existuje nebezpečí, ţe moţné zpřístupnění informací můţe ohrozit klíčové zájmy některých lobbistických skupin.
6. Jiné případy nevhodné ochrany dat Výše uvedené principy optimalizace procesů ochrany dat lze prakticky beze změny nebo s malými úpravami přenést i do jiných oblastí. Snad nejvíce je to patrné v oblasti zdravotnictví. V tomto roce skončil protest lékařů proti nízkým platům a nehospodárnostem v resortu zdravotnictví. Jeden z důvodů různých nehospodárností ve zdravotnictví je nedostatečná průhlednost a nedostatečná kontrolovatelnost datových toků. V této oblasti existují rezervy především v nákupu léčiv a zdravotnických potřeb a špičkových technologií, ale také v běţném hospodaření nemocnic v rozsahu miliard korun. Je dokonce moţné, ţe rozsah moţných úspor je v řádech desítek miliard. Tyto rezervy je těţké zjistit a uvolnit bez efektivního pouţití údajů o léčbě. Výše uvedený příklad kontroly výdeje léčiv naznačuje, ţe vytvoření vhodného informačního systému by nemuselo být příliš nákladné.Systém kontroly výdeje léčiv byl spuštěn a dobře fungoval (neţ byl zakázán) za cenu 3-4x niţší neţ byl projekt OpenCard a pravděpodobně se dalo ještě ušetřit. Dokonce existují obrovské moţnosti zpětné analýzy průběhu léčby a při opatrném pouţití i kontroly práce zdravotnických zařízení. Léta nevyuţita leţí data sebraná zdravotnickými pojišťovnami. Tato data by se dala pouţít jak pro ekonomickou optimalizaci, tak pro zdravotnický výzkum – a moc by to nestálo. Zdravotnictví není jediný obor, kde by se dala vyuţít existující data nebo kde by se dala s malými úpravami data získat. Systém datových schránek nabízí moţnosti sledování dynamiky ekonomických procesů. Podobné moţnosti nabízí data polostátními podniky nebo finančními úřady. Tento problém ale vyţaduje hlubší analýzu moţností a moţných výstupů. 238
SYSTÉMOVÁ INTEGRACE 2 - PŘÍLOHA/2011
Přehlížené aspekty ochrany osobních dat
7. Závěr Je zřejmé, ţe existují velké moţnosti lepšího vyuţití existujících dat aniţ by to nějak podstatně ohrozilo soukromí občanů. Přinejmenším těch, kteří mají čisté svědomí. Nemuselo by to ani vyţadovat velké investice a nakonec ani velké změny legislativy. Problém je, ţe stále ţijeme v přesvědčení, ţe kdyţ to šlo aţ dosud, můţeme dál pokračovat stejně. Bohuţel to nemusí trvat věčně. Přitom cesta ke změně není technicky náročná. To však bohuţel neplatí pro prosazení změny, jelikoţ běţí o politické a podnikatelské zájmy. Slabé místo toho, co jsme prezentovali výše, je v tom, ţe nevíme, zda je dostatečná vůle k tomu, aby se síly IT vyuţilo tak, aby to společnosti přineslo zásadní pozitivní změny – a to nejen v oblasti vzdělanosti.
Poděkování Tato práce byla podporováne grantem Grantové agentury České republiky číslo 201/09/0983.
8. Literatura +
[ABD 11] ANDERSON W. A., BANERJEE U., DRENNAN C. L., ELGIN S. C. R., EPSTEIN I. R., HANDELSMAN J., HATFULL G. F., LOSICK R., O'DOWD D. K., OLIVERA B. M., STROBEL S. A., WALKER G. C., and WARNER I. M.: Changing the Culture of Science Education at Research Universities. Science 14 January 2011: Vol. 331 no. 6014 pp. 152-153 [Dia05] DIAMOND, J.M.: Collapse: How Societies Chooses to Fail or Succeed. Viking, New York, 2005. [Gol99] GOLDRATT, E.M.: Kritický řetěz. InterQuality, Praha, 1999, ISBN 80-902770-0-4. [McK10] McKINSEY: Klesající výsledky českého základního a středního školství: fakta a řešení, 2010 [Online] http://www.mckinsey.com/locations/prague/work/probono /2010_09_02_McKinsey&Company_Klesajici_vysledky_ceskych_zakladnich_a_stred nich_skol_fakta_a_reseni.pdf [Krá10] KRÁL, J.: Výzvy, hrozby a úzká místa informatiky. In: Klímová, H., Kuţelová, D., Šíma, J., Wiedermann, J., Ţák, S (Eds.): Hovory s informatiky 2010, Ústav informatiky AV ČR, Praha, 2010, pp. 71-85. ISBN 978-80-87136-09-6. [KŢ09a] KRÁL, J., ŢEMLIČKA, M.: Neznalostní společnost: Druhá tvář současné praxe ochrany dat. In: Voříšek, J. Systems Integration 2009, Vysoká škola ekonomická v Praze, Nakladatelství Oeconomica, Praha, 2009, ISBN 978-80-245-1534-2, pp. 248-254. [KŢ09b] KRÁL, J., ŢEMLIČKA, M.: e-Government: Challenges and Lost Opportunities. In: Visioning and Engineering the Knowledge Society. A Web Science Perspective, Second World Summit on the Knowledge Society, WSKS 2009, Chania, Crete, Greece, September 16-18, 2009 LNCS 5736, Springer, 2009. ISBN 978-3-64204753-4. pp. 483-490. [Tai90] TAINTER, J.: The Collapse of Complex Societies (New Studies in Archaeology). Cambridge University Press, GB, 1990. ISBN 0-521-38673-X. SYSTÉMOVÁ INTEGRACE 2 - PŘÍLOHA/2011
239
