Soukromí a bezpečnost v IT, ochrana dat na internetu Katedra softwarového inženýrství Fakulta informačních technologií ČVUT Alžběta Krausová, 2011 Právo a Informatika, BI-PAI, 09/2011, Přednáška 9 https://edux.fit.cvut.cz/courses/bi-pai Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Alžběta Krausová Právo a Informatika PAI, 2011/2012, Přednáška 9 1/11 1/53 1/31
Cíl přednášky Podat odpovědi na následující otázky: Co jsou to koncepty soukromí a bezpečnosti a proč jsou důležité? Jak zařídím, aby moje aplikace vždy běžely v souladu s právem? Jak se ochráním před zneužíváním svých osobních údajů? Alžběta Krausová Právo a Informatika PAI, 2011/2012, Přednáška 9 2/11 2/53 2/31
Struktura přednášky Koncept soukromí a bezpečnosti Seznam relevantních právních předpisů Důležitost souladu s právem Definice Právní požadavky na zpracování osobních dat Soulad s právem Technická implementace právních pravidel Právní řešení Alžběta Krausová Právo a Informatika PAI, 2011/2012, Přednáška 9 3/11 3/53 3/31
Soukromí právo být ponechán o samotě omezení přístupu k vlastní osobě Právo jednotlivce skrýt o sobě údaje, které by jej mohly zkompromitovat Důležitost konceptu: schopnost a možnost regulovat úroveň vlastní zranitelnosti Alžběta Krausová Právo a Informatika PAI, 2011/2012, Přednáška 9 4/11 4/53 4/31
Bezpečnost Utajení + integrita + dostupnost Opatření proti neautorizovanému přístupu Opatření proti neautorizované změně Dostupnost služby (Avižienis, A., Laprie, J. C., Randell, B. & Landwehr, C. 2004, Basic Concepts and Taxonomy of Dependable and Secure Computing ) V právu definována pomocí specifikace povinností Alžběta Krausová Právo a Informatika PAI, 2011/2012, Přednáška 9 5/11 5/53 5/31
Evropská legislativa Směrnice 95/46/ES Směrnice 2002/58/ES Rámcové rozhodnutí Rady2005/222/JHA o útocích na informační systémy Směrnice 2006/24/ES Návrh směrnice o útocích na informační systémy a zrušení rámcového rozhodnutí Rady2005/222/JHA Alžběta Krausová Právo a Informatika PAI, 2011/2012, Přednáška 9 6/11 6/53 6/31
České zákony Listina základních práv a svobod Zákon o ochraně osobních údajů Zákon o elektronických komunikacích Alžběta Krausová Právo a Informatika PAI, 2011/2012, Přednáška 9 7/11 7/53 7/31
Soulad s právem Získání důvěry Erkki Liikanen: No trust, no transaction. PREVENCE žalob a soudních sporů Ochrana vlastní pověsti Rámec pro vytváření architektury aplikace Alžběta Krausová Právo a Informatika PAI, 2011/2012, Přednáška 9 8/11 8/53 8/31
Fáze designu Nutnost definovat funkce a procesy potřebné pro chod navrhované aplikace Analýza konkrétních právních požadavků (pochopení právních definic) Specifikace akcí, které musí provést uživatel (např. udělení souhlasu) Překlad do technického řešení (pop-up window) Alžběta Krausová Právo a Informatika PAI, 2011/2012, Přednáška 9 9/11 9/53 9/31
Osobní údaje Veškeré informace o identifikované nebo identifikovatelné osobě Identifikovatelnou osobou se rozumí osoba, kterou lze přímo či nepřímo identifikovat, zejména s odkazem na identifikační číslo nebo na jeden či více zvláštních prvků její fyzické, fyziologické, psychické, ekonomické, kulturní nebo sociální identity. Alžběta Krausová Právo a Informatika PAI, 2011/2012, Přednáška 9 10/11 10/53 10/31
Speciální kategorie osobních údajů Osobní data jako informace vztahující se k identifikované/identifikovatelné osobě Citlivé osobní údaje Lokalizační údaje Provozní údaje Alžběta Krausová Právo a Informatika PAI, 2011/2012, Přednáška 9 11/11 11/53 11/31
Citlivé osobní údaje Osobních údaje, které odhalují rasový či etnický původ, politické názory, náboženské nebo filozofické přesvědčení, odborovou příslušnost, jakož i zpracování údajů týkajících se zdraví a sexuálního života. Alžběta Krausová Právo a Informatika PAI, 2011/2012, Přednáška 9 12/11 12/53 12/31
Lokalizační údaje Lokalizační údaje se mohou týkat zeměpisné šířky, délky a nadmořské výšky koncového zařízení účastníka, směru pohybu, úrovně přesnosti lokalizačních informací, identifikace síťové buňky, ve které je koncové zařízení umístěno v určitém časovém bodu, a časového úseku, ve kterém byla lokalizační informace zaznamenána Alžběta Krausová Právo a Informatika PAI, 2011/2012, Přednáška 9 13/11 13/53 13/31
Provozní údaje Jakékoli údaje zpracovávané pro účely přenosu sdělení sítí elektronických komunikací nebo pro jeho účtování. Provozní údaje se mohou mimo jiné skládat z údajů vztahujících se ke směrování, délce trvání, času nebo objemu sdělení, použitému protokolu, umístění koncového zařízení odesílatele či příjemce, síti, ze které sdělení pochází či na které končí, a počátku, konci či délce trvání spojení. Mohou se také skládat z formátu, ve kterém je sdělení sítí přenášeno. Alžběta Krausová Právo a Informatika PAI, 2011/2012, Přednáška 9 14/11 14/53 14/31
Zpracování osobních údajů Jakýkoli úkon nebo soubor úkonů s osobními údaji, které jsou prováděny pomocí či bez pomoci automatizovaných postupů, jako je shromažďování, zaznamenávání, uspořádávání, uchovávání, přizpůsobování nebo pozměňování, vyhledávání, konzultace, použití, sdělení prostřednictvím přenosu, šíření nebo jakékoli jiné zpřístupnění, srovnání či kombinování, jakož i blokování, výmaz nebo likvidace Alžběta Krausová Právo a Informatika PAI, 2011/2012, Přednáška 9 15/11 15/53 15/31
Subjekty Subjekt údajů Správce Zpracovatel Příjemce Třetí osoba Alžběta Krausová Právo a Informatika PAI, 2011/2012, Přednáška 9 16/11 16/53 16/31
Povinnosti správce 1. Legální získání údajů & legální zpracování 2. Specifikace účelu 3. Nezveřejnění 4. Bezpečnost a zajištění dat 5. Přesnost, aktualizace 6. Přiměřenost 7. Doba uchování 8. Zajištění práva přístupu Alžběta Krausová Právo a Informatika PAI, 2011/2012, Přednáška 9 17/11 17/53 17/31
Legální získání údajů Souhlas Plnění smlouvy Plnění právní povinnosti Ochrana životního zájmu Vykonání úkolu ve veřejném zájmu Uskutečnění oprávněných zájmů správce Alžběta Krausová Právo a Informatika PAI, 2011/2012, Přednáška 9 18/11 18/53 18/31
Práva subjektu údajů Právo na informace Právo přístupu Právo namítat Právo odvolat souhlas Právo nestát se subjektem automatického rozhodnutí Právo hájit se u soudu Alžběta Krausová Právo a Informatika PAI, 2011/2012, Přednáška 9 19/11 19/53 19/31
Řešení pro dosažení souladu s právem Technické řešení souladu Překlad právních požadavků do konkrétních technických řešení Právní zajištění souladu Možnost kdykoli prokázat, že všechny požadavky byly splněny již ve fázi designu aplikace Možnost kdykoli prokázat, že všechny údaje byly získány legálně Alžběta Krausová Právo a Informatika PAI, 2011/2012, Přednáška 9 20/11 20/53 20/31
Právní řešení Softwarová dokumentace Databáze právních instrumentů Licence (EULA) Obecné podmínky využívání služby Privacy policy Souhlas Alžběta Krausová Právo a Informatika PAI, 2011/2012, Přednáška 9 21/11 21/53 21/31
Privacy Policy Dokument regulující právní vztahy vznikající při používání služeb aplikace, která shromažďuje a dále zpracovává osobní údaje Struktura: Strany Definice služeb Udělení souhlasu Účel zpracování údajů Informace subjektům údajů o jejich právech Informace o třetích stranách Alžběta Krausová Právo a Informatika PAI, 2011/2012, Přednáška 9 22/11 22/53 22/31
Privacy Policy Dokument regulující právní vztahy vznikající při používání služeb aplikace, která shromažďuje a dále zpracovává osobní údaje Struktura: Strany Definice služeb Udělení souhlasu Účel zpracování údajů Informace subjektům údajů o jejich právech Informace o třetích stranách Alžběta Krausová Právo a Informatika PAI, 2011/2012, Přednáška 9 23/11 23/53 23/31
Ochrana vlastního soukromí Prevence: Informaci, která byla jednou zveřejněna, je často téměř nemožné odstranit. Nezveřejňování informací Nadefinování parametrů zveřejňování Slušné chování Kontrola nad informacemi (anonymizace, prevence identifikovatelnosti) Alžběta Krausová Právo a Informatika PAI, 2011/2012, Přednáška 9 24/11 24/53 24/31
Právní nástroje ochrany Žaloba na ochranu osobnosti podle 11 16 občanského zákoníku Přestupkové řízení Trestní oznámení Alžběta Krausová Právo a Informatika PAI, 2011/2012, Přednáška 9 25/11 25/53 25/31
Ochrana osobnosti Svolení se záznamem (výjimkou úřední účely, vědecké, umělecké, tiskové, rozhlasové, filmové účely) Respektování oprávněných zájmů fyzických osob Právo žádat: Upuštění od zásahu, odstranění následků, přiměřené zadostiučinění (i v penězích) Právo na náhradu škody Alžběta Krausová Právo a Informatika PAI, 2011/2012, Přednáška 9 26/11 26/53 26/31
Správní delikty Zákon 101/2000 Sb., o ochraně osobních údajů Správní delikty definovány v 44 46 Obecně jde o tato porušení A) porušení povinnosti mlčenlivosti B) nerespektování zásad zpracování osobních údajů Postih závisí na: 1) statutu osoby (zaměstnanec, podnikatel/nepodnikatel) 2) vážnosti porušení (ohrožení většího počtu osob, citlivé údaje) 3) forma porušení (tisk, rozhlas, televize, internet) Alžběta Krausová Právo a Informatika PAI, 2011/2012, Přednáška 9 27/11 27/53 27/31
Trestní oznámení 178 Neoprávněné nakládání s osobními údaji: (1)Kdo, byť i z nedbalosti, neoprávněně sdělí, zpřístupní, jinak zpracovává nebo si přisvojí osobní údaje o jiném shromážděné v průběhu trestního řízení nebo v souvislosti s výkonem veřejné správy a způsobí tím vážnou újmu na právech nebo oprávněných zájmech osoby, jíž se osobní údaje týkají, bude potrestán odnětím svobody až na tři léta nebo zákazem činnosti nebo peněžitým trestem. (2) Stejně bude potrestán, kdo, byť i z nedbalosti, poruší právním předpisem stanovenou povinnost mlčenlivosti tím, že sdělí nebo zpřístupní osobní údaje o jiném získané v souvislosti s výkonem svého povolání, zaměstnání nebo funkce a způsobí tím vážnou újmu na právech nebo oprávněných zájmech osoby, jíž se osobní údaje týkají. Alžběta Krausová Právo a Informatika PAI, 2011/2012, Přednáška 9 28/11 28/53 28/31
Trestní oznámení (3) Odnětím svobody na jeden rok až pět let nebo zákazem činnosti nebo peněžitým trestem bude pachatel potrestán, a) spáchá-li čin uvedený v odstavci 1 nebo 2 tiskem, filmem, rozhlasem, televizí, veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem, nebo b) spáchá-li čin uvedený v odstavci 1 nebo 2 porušením povinností vyplývajících z jeho povolání, zaměstnání nebo funkce. Alžběta Krausová Právo a Informatika PAI, 2011/2012, Přednáška 9 29/11 29/53 29/31
Otázky & náměty? Betty.Krausova@ict-lawyer.eu Alžběta Krausová Právo a Informatika PAI, 2011/2012, Přednáška 9 30/11 30/53 30/31
Soukromí a bezpečnost v IT, ochrana dat na internetu Katedra softwarového inženýrství Fakulta informačních technologií ČVUT Alžběta Krausová, 2011 Právo a Informatika, BI-PAI, 09/2011, Přednáška 9 https://edux.fit.cvut.cz/courses/bi-pai Alžběta Krausová Právo a Informatika PAI, 2011/2012, Přednáška 9 31/31