Soukromí a bezpečnost v IT, ochrana dat na internetu

Soukromí a bezpečnost v IT, ochrana dat na internetu Katedra softwarového inženýrství Fakulta informačních technologií ČVUT © Alžběta Krausová, 2011

Právo a Informatika, BI-PAI, 09/2011, Přednáška 9 https://edux.fit.cvut.cz/courses/BI-PAI

Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Alžběta Krausová

Právo a Informatika

PAI, 2011/2012, Přednáška 9

1/11 1/31 1/53

Cíl přednášky • Podat odpovědi na následující otázky: – Co jsou to koncepty soukromí a bezpečnosti a proč jsou důležité? – Jak zařídím, aby moje aplikace vždy běžely v souladu s právem? – Jak se ochráním před zneužíváním svých osobních údajů?

Alžběta Krausová



2/11 2/31 2/53

Struktura přednášky • • • • • •

Koncept soukromí a bezpečnosti Seznam relevantních právních předpisů Důležitost souladu s právem Definice Právní požadavky na zpracování osobních dat Soulad s právem – Technická implementace právních pravidel – Právní řešení

Alžběta Krausová



3/11 3/31 3/53

Soukromí • „právo být ponechán o samotě“ • „omezení přístupu k vlastní osobě“ • Právo jednotlivce „skrýt o sobě údaje, které by jej mohly zkompromitovat“ • … • Důležitost konceptu: schopnost a možnost regulovat úroveň vlastní zranitelnosti

Alžběta Krausová



4/11 4/31 4/53

Bezpečnost • Utajení + integrita + dostupnost – Opatření proti neautorizovanému přístupu – Opatření proti neautorizované změně – Dostupnost služby (Avižienis, A., Laprie, J. C., Randell, B. & Landwehr, C. 2004, ‘Basic Concepts and Taxonomy of Dependable and Secure Computing’)

• V právu definována pomocí specifikace povinností Alžběta Krausová



5/11 5/31 5/53

Evropská legislativa • Směrnice 95/46/ES • Směrnice 2002/58/ES • Rámcové rozhodnutí Rady2005/222/JHA o útocích na informační systémy • Směrnice 2006/24/ES • Návrh směrnice o útocích na informační systémy a zrušení rámcového rozhodnutí Rady2005/222/JHA

Alžběta Krausová



6/11 6/31 6/53

České zákony • • • •

Listina základních práv a svobod Zákon o ochraně osobních údajů Zákon o elektronických komunikacích …

Alžběta Krausová



7/11 7/31 7/53

Soulad s právem • Získání důvěry Erkki Liikanen: “No trust, no transaction.“ • PREVENCE žalob a soudních sporů → Ochrana vlastní pověsti • Rámec pro vytváření architektury aplikace

Alžběta Krausová



8/11 8/31 8/53

Fáze designu • Nutnost definovat funkce a procesy potřebné pro chod navrhované aplikace • Analýza konkrétních právních požadavků (pochopení právních definic) • Specifikace akcí, které musí provést uživatel (např. udělení souhlasu) • Překlad do technického řešení (pop-up window) Alžběta Krausová



9/11 9/31 9/53

Osobní údaje • Veškeré informace o identifikované nebo identifikovatelné osobě • Identifikovatelnou osobou se rozumí osoba, kterou lze přímo či nepřímo identifikovat, zejména s odkazem na identifikační číslo nebo na jeden či více zvláštních prvků její fyzické, fyziologické, psychické, ekonomické, kulturní nebo sociální identity. Alžběta Krausová



10/11 10/31 10/53

Speciální kategorie osobních údajů • Osobní data jako informace vztahující se k identifikované/identifikovatelné osobě • Citlivé osobní údaje • Lokalizační údaje • Provozní údaje

Alžběta Krausová



11/11 11/31 11/53

Citlivé osobní údaje • Osobních údaje, které odhalují rasový či etnický původ, politické názory, náboženské nebo filozofické přesvědčení, odborovou příslušnost, jakož i zpracování údajů týkajících se zdraví a sexuálního života.

Alžběta Krausová



12/11 12/31 12/53

Lokalizační údaje • Lokalizační údaje se mohou týkat zeměpisné šířky, délky a nadmořské výšky koncového zařízení účastníka, směru pohybu, úrovně přesnosti lokalizačních informací, identifikace síťové buňky, ve které je koncové zařízení umístěno v určitém časovém bodu, a časového úseku, ve kterém byla lokalizační informace zaznamenána Alžběta Krausová



13/11 13/31 13/53

Provozní údaje • Jakékoli údaje zpracovávané pro účely přenosu sdělení sítí elektronických komunikací nebo pro jeho účtování. • Provozní údaje se mohou mimo jiné skládat z údajů vztahujících se ke směrování, délce trvání, času nebo objemu sdělení, použitému protokolu, umístění koncového zařízení odesílatele či příjemce, síti, ze které sdělení pochází či na které končí, a počátku, konci či délce trvání spojení. Mohou se také skládat z formátu, ve kterém je sdělení sítí přenášeno. Alžběta Krausová



14/11 14/31 14/53

Zpracování osobních údajů • Jakýkoli úkon nebo soubor úkonů s osobními údaji, které jsou prováděny pomocí či bez pomoci automatizovaných postupů, jako je shromažďování, zaznamenávání, uspořádávání, uchovávání, přizpůsobování nebo pozměňování, vyhledávání, konzultace, použití, sdělení prostřednictvím přenosu, šíření nebo jakékoli jiné zpřístupnění, srovnání či kombinování, jakož i blokování, výmaz nebo likvidace

Alžběta Krausová



15/11 15/31 15/53

Subjekty • • • • •

Subjekt údajů Správce Zpracovatel Příjemce Třetí osoba

Alžběta Krausová



16/11 16/31 16/53

Povinnosti správce 1. 2. 3. 4. 5. 6. 7. 8.

Legální získání údajů & legální zpracování Specifikace účelu Nezveřejnění Bezpečnost a zajištění dat Přesnost, aktualizace Přiměřenost Doba uchování Zajištění práva přístupu

Alžběta Krausová



17/11 17/31 17/53

Legální získání údajů • • • • • •

Souhlas Plnění smlouvy Plnění právní povinnosti Ochrana životního zájmu Vykonání úkolu ve veřejném zájmu Uskutečnění oprávněných zájmů správce

Alžběta Krausová



18/11 18/31 18/53

Práva subjektu údajů • • • • •

Právo na informace Právo přístupu Právo namítat Právo odvolat souhlas Právo nestát se subjektem automatického rozhodnutí • Právo hájit se u soudu

Alžběta Krausová



19/11 19/31 19/53

Řešení pro dosažení souladu s právem • Technické řešení souladu – Překlad právních požadavků do konkrétních technických řešení

• Právní zajištění souladu – Možnost kdykoli prokázat, že všechny požadavky byly splněny již ve fázi designu aplikace – Možnost kdykoli prokázat, že všechny údaje byly získány legálně Alžběta Krausová



20/11 20/31 20/53

Právní řešení • Softwarová dokumentace • Databáze právních instrumentů – – – –

Licence (EULA) Obecné podmínky využívání služby Privacy policy Souhlas

Alžběta Krausová



21/11 21/31 21/53

Privacy Policy • Dokument regulující právní vztahy vznikající při používání služeb aplikace, která shromažďuje a dále zpracovává osobní údaje • Struktura: – – – – – –

Strany Definice služeb Udělení souhlasu Účel zpracování údajů Informace subjektům údajů o jejich právech Informace o třetích stranách

Alžběta Krausová



22/11 22/31 22/53

Privacy Policy • Dokument regulující právní vztahy vznikající při používání služeb aplikace, která shromažďuje a dále zpracovává osobní údaje • Struktura: – – – – – –

Strany Definice služeb Udělení souhlasu Účel zpracování údajů Informace subjektům údajů o jejich právech Informace o třetích stranách

Alžběta Krausová



23/11 23/31 23/53

Ochrana vlastního soukromí • Prevence: Informaci, která byla jednou zveřejněna, je často téměř nemožné odstranit. • Nezveřejňování informací • Nadefinování parametrů zveřejňování • Slušné chování ☺ • Kontrola nad informacemi (anonymizace, prevence identifikovatelnosti)

Alžběta Krausová



24/11 24/31 24/53

Právní nástroje ochrany • Žaloba na ochranu osobnosti podle § 11 – 16 občanského zákoníku • Přestupkové řízení • Trestní oznámení

Alžběta Krausová



25/11 25/31 25/53

Ochrana osobnosti • Svolení se záznamem (výjimkou úřední účely, vědecké, umělecké, tiskové, rozhlasové, filmové účely) • Respektování oprávněných zájmů fyzických osob • Právo žádat: – Upuštění od zásahu, odstranění následků, přiměřené zadostiučinění (i v penězích)

• Právo na náhradu škody

Alžběta Krausová



26/11 26/31 26/53

Správní delikty • Zákon 101/2000 Sb., o ochraně osobních údajů • Správní delikty definovány v §§44 – 46 • Obecně jde o tato porušení A) porušení povinnosti mlčenlivosti B) nerespektování zásad zpracování osobních údajů • Postih závisí na: 1) statutu osoby (zaměstnanec, podnikatel/nepodnikatel) 2) vážnosti porušení (ohrožení většího počtu osob, citlivé údaje) 3) forma porušení (tisk, rozhlas, televize, internet)

Alžběta Krausová



27/11 27/31 27/53

Trestní oznámení • § 178 Neoprávněné nakládání s osobními údaji: (1)Kdo, byť i z nedbalosti, neoprávněně sdělí, zpřístupní, jinak zpracovává nebo si přisvojí osobní údaje o jiném shromážděné v průběhu trestního řízení nebo v souvislosti s výkonem veřejné správy a způsobí tím vážnou újmu na právech nebo oprávněných zájmech osoby, jíž se osobní údaje týkají, bude potrestán odnětím svobody až na tři léta nebo zákazem činnosti nebo peněžitým trestem. (2) Stejně bude potrestán, kdo, byť i z nedbalosti, poruší právním předpisem stanovenou povinnost mlčenlivosti tím, že sdělí nebo zpřístupní osobní údaje o jiném získané v souvislosti s výkonem svého povolání, zaměstnání nebo funkce a způsobí tím vážnou újmu na právech nebo oprávněných zájmech osoby, jíž se osobní údaje týkají. Alžběta Krausová



28/11 28/31 28/53

Trestní oznámení (3) Odnětím svobody na jeden rok až pět let nebo zákazem činnosti nebo peněžitým trestem bude pachatel potrestán, a) spáchá-li čin uvedený v odstavci 1 nebo 2 tiskem, filmem, rozhlasem, televizí, veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem, nebo b) spáchá-li čin uvedený v odstavci 1 nebo 2 porušením povinností vyplývajících z jeho povolání, zaměstnání nebo funkce.

Alžběta Krausová



29/11 29/31 29/53

Otázky & náměty?

[email protected]

Alžběta Krausová



30/11 30/31 30/53

Soukromí a bezpečnost v IT, ochrana dat na internetu Katedra softwarového inženýrství Fakulta informačních technologií ČVUT © Alžběta Krausová, 2011

Právo a Informatika, BI-PAI, 09/2011, Přednáška 9 https://edux.fit.cvut.cz/courses/BI-PAI

Alžběta Krausová



31/31

Soukromí a bezpečnost v IT, ochrana dat na internetu

Recommend Documents