GDPR A TECHNICKÁ DATA. Jan Kolouch CESNET. t: 21. května CESNET, Praha

GDPR A TECHNICKÁ DATA Jan Kolouch CESNET t: 21. května 2018 + 352 CESNET, Praha

DIGITÁLNÍ STOPA

Čl. 4 odst. 1 GDPR OSOBNÍ ÚDAJ veškeré informace o identifikované nebo identifikovatelné fyzické osobě zejména odkaz na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

O CO PŮJDE? Fyzickým osobám mohou být přiřazeny síťové identifikátory, které využívají jejich zařízení, aplikace, nástroje a protokoly, jako například: či identifikátory cookies, nebo (radio frequency identification tags) Tímto způsobem mohou být zanechány stopy, které mohou být zejména v kombinaci s jedinečnými identifikátory a dalšími informacemi, které servery získávají, použity k R30

Je IP adresa osobním údajem?

Uživatel? IP adresa veřejná/public CESNET: 147.32.32.6 IP adresa veřejná/public ČVUT: 147.32.0.0 147.32.255.255 ISP Poskytující služby IP: 77.75.76.3 IP adresa privátní/private 192.168.1.10 Vnitřní síť IP adresa privátní/private 192.168.0.17 0 ISP Poskytující připojení

Patrick Breyer proti Bundesrepublik Deutschland http://curia.europa.eu/juris/document/document.jsf?text=&d ocid=184668&pageindex=0&doclang=cs&mode=lst&dir=&o cc=first&part=1&cid=1403270 dynamická IP adresa je dle rozsudku soudního dvora EU z 19.10.2016 za určitých okolností osobním údajem

PATRICK BREYER se u německých soudů domáhal, aby Německo přestalo uchovávat jeho IP adresy, které získalo při jeho návštěvách několika internetových stránek německých spolkových orgánů, které byly veřejně přístupné. Jednalo se o klasické logování ze strany ISP služeb. Německé soudy přerušily řízení a položily předběžnou otázku soudnímu dvoru EU, protože v dané věci neexistuje jednotný výklad práva EU. Jde zejména o to, jestli k tomu, aby nějaký údaj byl osobním údajem, a tedy identifikoval konkrétní osobu, je třeba vycházet z objektivního či relativního kritéria.

OBJEKTIVNÍ A RELATIVNÍ KRITÉRIUM údaje, jako jsou IP adresy, by mohly být považovány za osobní údaje zpracovávané ISP jiných služeb než připojení (např. provozovatelem internetové stránky), a to i tehdy, pokud by byla schopna identifikovat konkrétního uživatele JEN TŘETÍ OSOBA (typicky ISP připojení). IP adresy by mohly být považovány za osobní údaj u ISP připojení, neboť mu umožňují přesně určit totožnost uživatele, ale už ne u ISP služeb, který disponuje skutečně pouze údajem o IP adrese a nezná jméno návštěvníka.

ROZSUDEK CHYTRÉ HORÁKYNĚ Adresa přímo neodhaluje totožnost fyzické osoby, která je majitelem počítače, ze kterého byla navštívena internetová stránka, totožnost jiné osoby, která mohla tento počítač používat.

ALE Z těchto důvodů Soudní dvůr (druhý senát) rozhodl takto: 1) Článek 2 písm. a) směrnice Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů musí být vykládán v tom smyslu, že dynamická adresa internetového protokolu, kterou poskytovatel on-line mediálních služeb uchovává v souvislosti s přístupem osoby na internetovou stránku, kterou tento poskytovatel zpřístupnil veřejnosti, pro uvedeného poskytovatele pokud má k dispozici právní prostředky, které mu umožňují NECHAT IDENTIFIKOVAT subjekt údajů díky dalším informacím,

Realita konektivity

MAC

IP připojovacího prvku (např. AP aj.) MAC adresa PC uživatele IP přidělené PC Jméno PC uživatele nastavené v OS Sep 4 15:40:09 dhcp dhcpd: DHCPDISCOVER from d0: : : : : d4 (corwin) via 195.113..131 Sep 4 15:40:10 dhcp dhcpd: DHCPOFFER on 195.113.2.206 to d0: : : : : d4 (corwin) via 195.113..131 Sep 4 15:40:10 dhcp dhcpd: DHCPREQUEST for 195.113..206 (78.128..148 ) from d0: : : : : d4(corwin) via 195.113..131 Sep 4 15:40:10 dhcp dhcpd: DHCPACK on 195.113..206 to d0: : : : : d4 via 195.113..131 IP DHCP

IP PC uživatele Ověření uživatele Jedinečný identifikátor email uživatele Sep 7 10:48:03 office2 postfix/smtps/smtpd[22748]: connect from unknown[2001:718:2:2226:d27e: : : d4 ] Sep 7 10:48:03 office2 postfix/smtps/smtpd[22748]: Anonymous TLS connection established from unknown[2001:718:2:2226:d27e: : : d4]: TLSv1.2 with cipher ECDHE-RSA-AES128- GCM-SHA256 (128/128 bits) Sep 7 10:48:03 office2 postfix/smtps/smtpd[22748]: : client=unknown[2001:718:2:2226:d27 : : d4], sasl_method=plain, sasl_username=andrea Sep 7 10:48:03 office2 postfix/cleanup[21618]: : messageid=<alpine.lfd.2.20.1709071044480.3384@corwin.cesnet.cz > Sep 7 10:48:03 office2 postfix/qmgr[1919]: : from=<andrea@cesnet.cz >, size=1591, nrcpt=1 (queue active) (zpracování zprávy) Sep 7 10:48:03 office2 postfix/smtps/smtpd[22748]: disconnect from unknown[2001:718:2:2226:d27e: : : d4 ] ehlo=1 auth=1 mail=1 rcpt=1 data=1 quit=1 commands=6 Sep 7 10:48:03 office2 postfix/smtp[22213]: : to=<masters@cesnet.cz>, relay=postino.cesnet.cz[ ]:25, delay=0.07, delays=0.06/0/0.01/0, dsn=2.0.0, status=sent (250 2.0.0 Ok: queued as E4DFD58007F) Sep 7 10:48:03 office2 postfix/qmgr[1919]: : removed Identifikátor emailu IP Serveru

Použijte

Benedik proti Slovinsku TCP/IP V P2P Rozsudek ze dne 24. dubna 2018 ve věci č. 62357/14 https://hudoc.echr.coe.int/eng#{%22appno%22:[%2262357/14%22],%22itemid%22:[%22001-182455%22]} https://hudoc.echr.coe.int/eng#{%22languageisocode%22:[%22cze%22],%22appno%22:[%2262357/14%22],%22docu mentcollectionid2%22:[%22chamber%22],%22itemid%22:[%22001-189103%22]} Sdílení (šíření) dětské pornografie Využití peer-to-peer sítě (emule) Žádost policie vůči poskytovateli o identifikaci IP adresy ISP ustanovil přípojný bod

TCP/IP V P2P V průběhu trestního řízení stěžovatel mj. namítal, že jeho identita jako uživatele specifické dynamické IP adresy byla policií získána v rozporu s právními předpisy, jelikož k tomuto úkonu nedal souhlas soud, a navrhoval, aby byl předmětný důkazní materiál vyřazen ze spisu. Soudy nicméně dospěly k závěru, že jelikož se k dané peerto-peer síti mohl připojit kdokoli a IP adresa uživatelů, včetně té stěžovatelovy, nebyla nijak skrývána, stěžovatel se vědomě vystavil veřejnosti, a proto pro zjištění daných dat nebylo nutné získat povolení soudu. Stěžovatel byl následně odsouzen k trestu šesti měsíců odnětí svobody.

PORUŠENÍ ČL. 8 ÚMLUVY Sběr a nakládání údaji o internetovém provozu musí být doprovázeny zárukami, mezi něž musí náležet soudní či jiný nezávislý přezkum. Soudkyně Yudkivska a soudce Bošnjak v souhlasném stanovisku uvedli, že Soud měl více zdůraznit význam a důležitost ochrany informací o online aktivitách jednotlivců, jelikož v nové digitální éře lze mnohdy z těchto údajů zjistit stejné množství informací, včetně těch nejcitlivějších, jako sledováním vlastního obsahu komunikace.

PORUŠENÍ ČL. 8 ÚMLUVY ELPS: nelze odmítnout nutnou ochranu informacím, které mohou odhalit nemálo i online aktivitách jednotlivce, včetně detailů o jeho zájmech, názorech a intimním životě Stěžovatelovy aktivity spadají pod pojem soukromý život jenž má být ve smyslu čl. 8 Úmluvy o ochraně lidských práv a základních svobod respektován

Aplikace

SOUNDHOUND

https://amiunique.org/ http://browserspy.dk/ http://panopticlick.eff.org http://samy.pl/evercookie

https://www.propublica.org/article/meet-the-online-tracking-device-that-isvirtually-impossible-to-block

BANKA

https://www.youtube.com/watch?v=s0g6muyigyg GOOGLE

https://www.wired.co.uk/article/strangest-internet-of-things-devices https://www.cbronline.com/list/pointless-iot-devices-2017 IOT

CESNET solution

CESNET READY?...STEADY... n Identifikace n Jednání bohužel s právníky n Kontrola n Jednání s n Kontrola n Implementace n Kontrola n Jednání s n

https://www.cesnet.cz/sdruzeni/dokumenty/zpracovani-osobnich-udaju/ https://www.cesnet.cz/sdruzeni/dokumenty/oou/ https://www.cesnet.cz/sdruzeni/dokumenty/jak-chranime-vase-osobni-udaje/

CESNET READY?...STEADY... n 2017-2018 v1 n 2018-2019 v2 n 2019 - pre v3

CESNET A? ISMS, eprivacy aj.

Řešení?

Cyberspace fundaments

Děkuji za pozornost