Vítězové Cen Velkého Bratra za rok 2019


Sošky Velkých bratrů 2019, čekají na své vítěze


Kategorie: Dlouhodobý slídil

Vítěz: Pražská energetika za nahrávání rozhovorů s klienty na přepážkách

Na praxi nahrávání hovorů s klienty upozornil již v srpnu 2017 server Aktualně.cz, kdy uvedl, že praxe nahrávání probíhá již pět let. S ohledem na to, že se nominace objevila opakovaně i v roce 2019, prověřili jsme na místě praxi a konfrontovali naše zjištění se Zásadami ochrany osobních údajů ve společnos-tech skupiny PRE.

Podle těchto Zásad je účelem nahrávání hovorů: „jednání o uzavření smlouvy či plnění smlouvy se zákazníkem“. Záznamy komunikace jsou údajně uchovávány po dobu 18 měsíců s odůvodněním, aby společnost byla schopna reagovat na případné reklamace zákazníků.

PRE také informuje o tom, že hovory na přepážkách mohou být nahrávány, informačními cedulkami, které ale lze snadno přehlédnout. Ještě v roce 2017 obsahovaly tabulky informaci, že nahrávky budou užívány ke kontrole zaměstnanců a hned po vyhodnocení budou mazány. V roce 2019 už informovaly tabulky o tom, že smyslem nahrávání je uzavírání a plnění smluv. Dává to ovšem smysl, pokud jsou smlouvy na přepážkách uzavírány písemně?

Ať už je to jakkoli, tak PRE sama sebe usvědčuje z možného porušení GDPR. Buď je nezbytné hovory nahrávat kvůli uzavírání či plnění smlouvy, ale pak nedává smysl umožnit odmítnout takové „nezbytné“ nahrávání bez dopadu na poskytované služby. Nebo to nezbytné k uzavírání a plnění smluv není a smyslem nahrávání je něco jiného, třeba opravdu kontrola zaměstnanců. Potom PRE nesprávně informuje a chybí ji souhlas klientů s tím, aby nahrávky pořizovala, protože jiný právní titul tu zjevně chybí. Jakákoli cedulka a to ani v kombinaci s možností odmítnout nahrávání totiž nemůže takový souhlas klienta nahradit.

Pokud je smyslem kontrola zaměstnanců, na což ostatně už v roce 2017 poukazoval mluvčí PRE, tak je sporné, zda takové jednání je v souladu nejen s GDPR, ale i se zákoníkem práce, který zakazuje ve svém § 316 odst. 2 podrobovat zaměstnance sledování bez závažného důvodu spočívajícího ve zvláštní povaze činnosti zaměstnavatele. Hovor se zákazníkem na přepážce nepochybně takovou zvláštní povahu nemá.

PRE jistě není jedinou společností, která nahrávání dlouhodobě na přepážkách praktikuje a zřejmě při tom porušuje zákon. Smysl udělení ceny spatřujeme i v upozornění na stále se rozšiřující trend nahrá-vání prakticky jakýchkoli jednání zaměstnanců soukromých společností se zákazníky, který ovšem v řadě případů porušuje platné právní předpisy.

Zdroj:
https://www.pre.cz/cs/zapati/ochrana-osobnich-udaju-a-internetovych-stranek/zasady-ochrany-osobnich-udaju-ve-spolecnostech-skupiny-pre/
https://zpravy.aktualne.cz/ekonomika/velky-bratr-v-pre-pozor-na-slova-pri-jednani-o-elektrine/r~4c04d9f280e711e7867b002590604f2e/

 

Kategorie: Firemní slídil

Vítěz: AVAST za prodej údajů o svých klientech

Avast údaje shromažďoval prostřednictvím svého doplňku pro webový prohlížeč. Ten sbírá informace o tom, jaké stránky klienti navštěvují či kam klikají včetně konkrétních časů. Tyto údaje o 100 milionech uživatelích se následně prostřednictvím dceřiné společnosti Jumpshot prodávaly společnostem jako Google, Coca-Cola, Microsoft a dalším, které je následně využívaly zejména k marketingovým účelům. S daty obchoduje samozřejmě celá řada společností a mnoho afér ukazuje, že jejich zdroje jsou často dosti sporné. Aféra Avastu se nicméně liší jak tím, o jaký produkt šlo, ale i tím, že klienti, o nichž se data sbírala, často využívali placené produkty.

Avast praxi prodeje přiznal, nicméně tvrdil, že data jsou anonymizovaná, neboť neobsahují identifikaci osob ani IP adresy. Díky analýze internetových magazínů Motherboard a PCMag nicméně vyšlo najevo, že lze prodávaná data propojit s jinými osobními údaji, které má k dispozici kupující společnost a takto se dostat k identitě konkrétních osob například prostřednictvím spárování údajů o konkrétním čase návštěvy konkrétní webové stránky či nákupu v internetovém obchodě, kde se už klient pohybuje se svou identitou. Jumpshot přitom data nabízel klientům tak, že si například mohli zakoupit data uživa-telů, kteří nakupovali v konkrétním internetovém obchodě.

Tím pádem není pravdivá argumentace Avastu, že prodával pouze údaje, které nelze považovat za osobní. Nic neřeší ani to, že Avast podle svého vyjádření umožňoval svým klientům, aby shromažďo-vání dat odmítli.

Avast na aféru, které měla hned několik vln s novými zjištěními, reagoval nakonec rozpuštěním dceřiné divize Jumpshot či zavedením opt-in principu při udílení souhlasu s využíváním dat. Otázkou však je, zda při souhlasu informuje uživatele opravdu o všech účelech a příjemcích, kterým data prodá. Ztracenou důvěru klientů, kteří produkty Avastu využívali často právě proto, aby se obdobnému sběru dat bránili, bude obtížné získat zpět.

Případ Avastu ukazuje na důležitý problém spojený s využíváním velmi konkrétních dat, kdy je provedena „anonymizace“ získaných údajů zpravidla velmi povrchně – například jen odstraněním propojení s identitou osoby či zařízení, ale nejsou pak už dostatečně zvážena rizika jejich zpětného propojení právě třeba s využitím údajů, které drží někdo jiný. Za obdobnou chybu obdržel jednu z anticen už Český statistický úřad, který pustil do oběhu podobně upravená data ze sčítání lidu v roce 2011. Jde i o riziko, které je třeba důkladně zvažovat v rámci tzv. otevřených dat.

Zdroj:
https://www.irozhlas.cz/veda-technologie/technologie/avast-prodej-dat-data-antivirus-akcie-stock_2001281452_ako
https://www.forbes.cz/pouzivate-avast-firma-sbira-a-prodava-data-o-vasem-pohybu-na-webu/
http://ceskapozice.lidovky.cz/tema/spolecnost-avast-ukoncila-sber-dat-a-cinnost-sve-toxicke-dcery.A200206_145022_pozice-tema_lube

 

Kategorie: Úřední slídil

Vítěz: Bezpečnostní informační služba (BIS) za návrh zákona, který otevírá zpravodajským službám cestu k nekontrolovanému využívání technologií rozpoznávání obličeje

Bezpečnostní informační služba předložila prostřednictvím vlády návrh zákona, který jako zákon č. 205/2019 Sb. novelizoval několik právních předpisů upravujících činnost zpravodajských služeb. Jeho součástí je i zřízení nové databáze, která bude po vytěžení digitálních fotografií z celé řady státních registrů využívána k identifikaci osob metodami rozpoznávání obličeje (face recognition).

Problematika využívání metod rozpoznávání obličeje je velkým tématem posledních let. Technologie, která ve spojení s rozšiřováním kamerového sledování umožní identifikovat prakticky kohokoli kdekoli přináší zásadní proměnu sledování veřejného prostoru. Je s nimi zároveň spojena i celá řada dalších negativních jevů, od vysokého počtu chyb při identifikaci přes rasovou diskriminaci, ke které využívání systémů dle zkušeností ze zahraničí vede až po využívání tohoto způsobu identifikace při persekuci ze strany totalitních režimů.

Bezpečnostní informační služba celkem nenápadnou novelou zákona o zpravodajských službách otevřela v novém § 11c zákona o zpravodajských službách cestu k vytvoření obří databáze digitálních fotografií, které budou zpravodajské služby využívat k automatizované identifikaci osob. Zdrojem těch-to fotografií bude třeba evidence občanských průkazů, cestovních pasů, registr řidičů a řada dalších státních registrů. Spolu s fotografiemi budou uchovávány i tzv. agendové identifikátory. Jde o čísla, která jednoduše umožní zpravodajské službě propojovat fotografie s dalšími osobními údaji v daných registrech.

Jak může využití takové databáze v praxi vypadat? Třeba tak, že záběry z bezpečnostních kamer, k nimž se na základě svých oprávnění mohou zpravodajské služby dostat, bude možné pomocí softwaru na rozpoznávání obličejů analyzovat a porovnávat s touto referenční databází. Jednoduše lze během pár sekund vysledovat jak pohyb konkrétního člověka veřejným prostorem, tak identifikovat kohokoli, kdo se na záznamu objeví a zároveň je jeho fotografie v databázi. Samozřejmě s určitou mírou chybovosti, která ovšem obvykle znamená vyšší míru zásahů do soukromí lidí, kteří nemají s danou věcí nic společného.

Novou databázi může BIS samozřejmě využívat více či méně invazivně. Problém je, že jí zákon, který si sama napsala, v tomto neklade prakticky žádná omezení a bezpečnostní složky mají obvykle tendenci vykládat své pravomoci co nejšířeji. Navíc novela přichází v době, kdy stále nefunguje dostatečná kontrola zpravodajských služeb.

To, že na ochranu osobních údajů nebude brán dostatečný zřetel, ostatně ukazuje i trend poslední doby, kdy do připomínkových řízení u zákonů, které rozšiřují zásahy zpravodajských služeb do soukromí – včetně tohoto zákona – není přizván Úřad pro ochranu osobních údajů, jehož agendy se problematika úzce dotýká. Spolu se zhodnocením dopadu na ochranu osobních údajů v důvodové zprávě k zákonu, v níž BIS vytvoření alternativní databáze údajů plošně stažených z mnoha státních registrů popisuje tak, že nejde o „kvalitativně nový typ zásahů do práva na ochranu soukromí, protože údaje uchovávané v souvislosti s výkonem státní správy již podle platného znění zákona zpravodajským službám předávány být mohou“ vyvolává takový přístup celou řadu obav.

Zdroj:
https://www.seznamzpravy.cz/clanek/prulom-do-soukromi-ceske-zpravodajske-sluzby-chteji-vlastni-databazi-rozpoznavani-obliceju-76242?seq-no=4&dop-ab-variant=&source=clanky-home
https://apps.odok.cz/veklep-detail?pid=KORNAX2LK8RE

Kategorie: Výrok Velkého bratra

Vítěz: poslanec Vít Kaňkovský za výrok:
„Jsem připraven v Poslanecké sněmovně předložit pozměňovací návrh, který sankce dle GDPR vyloučí“

Výrok, kterým poslanec Kaňkovský přislíbil předložit poslanecký návrh, kterým vyloučí sankce pro orgány veřejné moci za porušení povinností dle GDPR pochází už z roku 2018. Přesto se porota rozhodla ocenit ho zejména v kontextu, jaký získal v roce 2019 po schválením zákona o zpracování osobních údajů, který vyloučil sankce za porušení GDPR u všech orgánů veřejné moci, což se mezi prvními odrazilo například na znemožnění sankcionování ministerstva vnitra za únik osobních údajů občanů z jeho databází. Ocenění symbolicky směřuje i k dalším zákonodárcům, kteří se na schválení výjimky podíleli.

Cesta do pekel bývá dlážděna dobrými úmysly a máme za to, že i tak to bylo v případě snahy poslance Kaňkovského a dalších zákonodárců z Poslanecké sněmovny i Senátu, vyloučit sankce pro orgány veřejné moci. Změna, kterou navrhl poslanec Kaňkovský, a posléze byla přijata ve shodné podobě v rámci senátních úprav, měla řešit obavy zejména malých obcí z dopadu povinností, které jim ukládá obecné nařízení o ochraně osobních údajů (tzv. GDPR).

Jestliže od roku 2000, kdy byl přijat zákon o ochraně osobních údajů, mohl Úřad pro ochranu osobních údajů sankcionovat orgány veřejné moci za porušení pravidel v něm obsažených, což také dělal a tento systém nikdo nezpochybňoval, tak vyloučení finančních sankcí významně omezilo možnosti ÚOOÚ.

Na absurditu takového řešení, kdy stát na jedné straně ukládá povinnosti soukromému sektoru a hrozí vysokými sankcemi a na druhé straně s odůvodněním, že veřejný sektor není schopen tytéž povinnosti plnit, vyloučí možnost ho sankcionovat, ukazuje jeden z prvních případů, kdy ÚOOÚ musel od sankce upustit. Týkal se úniku údajů tisíců osob z databází Ministerstva vnitra díky špatně nastaveným oprávněním přístupu k údajům. Jedno z kapacitně nejsilnějších ministerstev, do jehož kompetence mimochodem spadá problematika ochrany osobních údajů, uniklo finanční sankci.

Jsme přesvědčeni, že vyloučení finančních sankcí ve veřejném sektoru významně oslabuje motivaci orgánů veřejné moci a jejich zaměstnanců dodržovat pravidla. To fakticky v mnohém eliminuje přínosy GDPR při zpracování osobních údajů ve veřejném sektoru.

Zdroj:
https://havlickobrodsky.denik.cz/zpravy_region/gdpr-nutna-ochrana-dat-nebo-likvidacni-strasak-20180225.html
https://www.psp.cz/sqw/detail.sqw?id=6207
https://www.irozhlas.cz/zpravy-domov/osobni-udaje-vnitro-kontrola-pokuta_1908290600_cib

Kategorie: Pozitivní cena Edwarda Snowdena

Vítěz: PRAŽSKÁ KOALICE za odmítnutí zavést rozpoznávání obličeje v kamerách městského kamerového systému


Cenu si převzal Ing. Petr Hlubuček, pražský radní pro bezpečnost

Cena je udělena za jednoznačné odmítnutí zavádět technologie rozpoznávání obličeje v městském kamerovém systému v Praze. Pražská radnice ústy vrcholných představitelů všech tří koaličních stran odmítla žádost policie, aby se u vybraných kamer na veřejných prostranství v Praze instalovala technologie umožňující efektivnější sledování pomocí funkce rozpoznávání obličeje.

Ačkoli policie zprvu tvrdila, že svoji iniciativou chtěla pouze otevřít diskuzi o zavádění funkcí rozpozná-vání obličejů u kamer pražského kamerového sytému, tak po sérii výmluv a zkreslujících vyjádření, do níž byl zatažen i ministr vnitra Hamáček, vyšlo najevo, že o žádnou diskuzi nešlo.

Dopis podepsaný náměstkem pražského policejního ředitele plk. Matějčkem se odvolává na Koncepci rozvoje městského kamerového systému z roku 2016 a rovnou vyzývá k instalaci daných technologií na strategických bodech ve městě. Mělo jít o kamery v metru, na nádražích, v centru města nebo na cestě k letišti Václava Havla. Požadavek byl zdůvodněn s odkazem na rizika terorismu, na nelegální migraci a využitelnost systému při šetření drogové kriminality.

Přestože zavádění rozpoznávání obličejů u kamerových systémů znamená zásadní změnu v míře zásahu do soukromí občanů města a ze zákona vyžaduje velmi pečlivé posouzení, policie nezkonzultova-la svůj záměr s Úřadem pro ochranu osobních údajů, ani nezpracovala tzv. posouzení vlivu na ochranu osobních údajů, které u takto invazivních technologií legislativa vyžaduje. To zároveň potvrzuje existující pochybnosti, zda Policie ČR využívá metody automatické detekce (nejen obličejů, ale například i SPZ u aut, za což obdržela jednu z Cen Velkého bratra již za rok 2015) v souladu s právem nebo se stále opírá o neudržitelně extenzivní výklad ustanovení zákona o policii, které jí umožňuje pouze monitorovat veřejný prostor.

Jednoznačně odmítavé reakce představitelů stran pražské koalice – primátora Zdeňka Hřiba, Jiřího Pospíšila či Jana Čižinského, jakož i náměstka primátora pro bezpečnost Petra Hlubučka, v nichž zaznívalo varování před Velkým bratrem čínského střihu či zpochybnění účelnosti takového systému, vnímáme nejen jako postoj hodný ocenění. Věříme zároveň, že jde i o politický závazek bránit soukromí Pražanů i do budoucna, což budeme bedlivě sledovat.

Inspirací zde může být americké San Francisco, kde vedení města minulý rok úplně zakázalo využívá-ní kamer s rozpoznáváním obličeje bezpečnostními složkami.

Zdroj:
https://prazsky.denik.cz/zpravy_region/kamery-rozpoznavani-obliceju-hamacek-policie-praha-zahajila-diskuzi-20191121.html
https://www.irozhlas.cz/zpravy-domov/kamery-policie-praha-bezpecnost-soukromi_1912100600_cib
https://www.irozhlas.cz/zpravy-domov/praha-kamery-na-rozpoznavani-obliceju-primator-zdenek-hrib-hamacek_1911211706_jak
https://www.irozhlas.cz/zpravy-domov/soukromi-kamery-bezpecnost-fotbal-vytrznici-gdpr-uoou_1912201143_cib

Za rok 2019 vybírala vítěze porota v tomto složení:

Jan Cibulka – datový novinář, Český rozhlas
Eduarda Hekšová – ředitelka spotřebitelské organizace dTest
Oldřich Kužílek –  poradce pro otevřenost veřejné správy a ochranu soukromí, Otevřená společnost
Ján Matejka – ředitel Ústavu státu a práva AV ČR, člen rozkladové komise ÚOOÚ
Ondrej Mikle – odborník na ICT technologie
Pavel Růžička – expert na IT bezpečnost
Kateřina Smejkalová – politoložka, vědecká pracovnice Friedrich-Ebert Stiftung
Jan Vobořil – výkonný ředitel IuRe a advokát
Václav Vlk – advokát, Moreno Vlk & Asociados