MU FI, Brno 18.10.2005 1 Ochrana osobních údajů - aktuální problémy v EU a v ČR Karel Neuwirt MU FI, Brno 18. 10. 2005 MU FI, Brno 18.10.2005 2 Ochrana soukromí a ochrana dat jsou ústavními právy Ústava pro Evropu: Každý má právo na svobodu a osobní bezpečnost (čl.II-66) Každý má právo na respektování svého soukromého a rodinného života, obydlí a komunikace (čl. II-67) Každý má právo na ochranu osobních údajů, které se jej týkají (čl. II-68 odst.1) Charta základních práv Evropské unie: Každý má právo na respektování jeho soukromého a rodinného života, obydlí a korespondence (čl. 7) Úmluva o ochraně lidských práv a základních svobod: KaKažždý mdý máá prpráávo na respektovvo na respektováánníí svsvéého soukromho soukroméého a rodinnho a rodinnééhoho žživota, obydlivota, obydlíí aa korespondencekorespondence ((ččll. 8). 8) Ústavy členských států EU a všech demokratických států MU FI, Brno 18.10.2005 3 Legislativa - Evropa ˇ Úmluva o ochraně lidských práv a základních svobod (Řím, 1950) ˇ Úmluva o ochraně jednotlivců s ohledem na automatizované zpracování osobních dat (Rada Evropy, ETS 108, 1981) ˇ Směrnice o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Evropský parlament a Rada, 95/46/EC, 1995) MU FI, Brno 18.10.2005 4 Evropské orgány ˇ Rada Evropy ­ Consultative Committee (T-PD) Project Group on Data Protection (CJ-PD) ˇ Evropská komise ­ Article 29 Working Party, Commission 31 ˇ Dozorové úřady členských států EU (DP Commissioners) MU FI, Brno 18.10.2005 5 11. září 2001 ˇ Milník v historii ochrany soukromí ˇ Bezpečnostní opatření proti terorismu vers. Ochrana soukromí ­ jak hledat rovnováhu? ˇ 2002 ­ 2004 Apokalypsa soukromí? ˇ Boj s terorismem nesmí být bojem proti lidským právům, soukromí a lidské důstojnosti ˇ Od "reaktivních" po "pro-aktivní" opatření MU FI, Brno 18.10.2005 6 Důsledky 11. září ˇ Rostoucí zájem o bezpečnostní technologie ˇ Rostoucí zájem o monitorování občanů ˇ Nové kompetence pro zpravodajské služby ˇ Prostředky pro bezpečné cestování ˇ Nové identifikační doklady ˇ ..... ˇ Integrovaná řešení pro bezpečnější svět MU FI, Brno 18.10.2005 7 Identita vers. anonymita Ochrana soukromí Právní ochrana soukromí ­ ochrana lidské důstojnosti MU FI, Brno 18.10.2005 8 Ochrana soukromí -ochrana osobních informací -ochrana proti krádeži / zneužití identity, -informační bezpečnost je integrální součástí ochrany soukromí MU FI, Brno 18.10.2005 9 Moderní technologie ˇ Zvyšují ochranu soukromí (Privacy Enhancing) ˇ Zasahují do soukromí (Privacy Intrusive) ˇ Nová rizika pro soukromí: Internet, video-surveillance telekomunikace, mobilní telefony čipové karty, RFID DNA, biometrika, E-cestovní doklady MU FI, Brno 18.10.2005 10 Identifikační systémy -které jsou založeny na PIN, čipové kartě apod., pouze identifikují tyto PINy a karty, nikoliv vlastní osoby - které identifikují jednotlivce bez jeho přímého vlivu MU FI, Brno 18.10.2005 11 Digitální ­ e-Identity ˇ e-identity v digitální společnosti ˇ Zásadní problém v rozlišení mezi identifikací a verifikací musí být řešen ˇ Identifikace ­ pohled ochrany dat - pohled bezpečnosti MU FI, Brno 18.10.2005 12 Identifikační technologie ˇ Čipové karty ˇ RFID ˇ Biometrics ˇ Monitorovací (sledovací) technologie -pro identifikaci a verifikaci -pro anonymní schéma -pro multi-aplikace MU FI, Brno 18.10.2005 13 ˇ Bezpečná autorizace ­ pouze oprávněný uživatel má přístup k datům nebo s nimi provádět vymezené úkony ˇ Důvěrnost - data jsou chráněna vůči neoprávněnému uživateli ˇ Integrita dat ­ data jsou chráněna proti neoprávněné změně ˇ Dostupnost dat ­ data jsou přístupná autorizované osobě MU FI, Brno 18.10.2005 14 Biometrická authentizace ... automatizovaná identifikace nebo verifikace identity jednotlivce, založená na fyziologických charakteristikách nebo na chování jednotlivců. Takové authentizace je dosaženo používáním počítačových technologií při neinvazivních způsobech porovnání obrazů ­ z reálného života jednotlivce a obrazu již dříve získaného a zaznamenaného ... MU FI, Brno 18.10.2005 15 Dokumenty o biometrice ˇ Working document on biometrics, WP80, 2003 (WP 29) ˇ Opinion No 7/2004 on the inclusion of biometric elements .... on visas (VIS), WP96, 2004 (WP29) ˇ Progress Report on the application of the principles of Convention 108 to the collection and processing of biometric data, Rada Evropy, 2005 ˇ Council Regulation (EC) No 2252/2004 on standards for security features and biometrics in passports and travel documents MU FI, Brno 18.10.2005 16 Biometrická data a ochrana dat: - Aplikace všech standardních principů stanovených Úmluvou č.108 a Směrnicí 95/46/EC - Účely (statistika, věda, výzkum, ...) - Definice (co jsou opravdu biometrická data ­ původní obraz, digitální vzor ?) - Verifikace vers. Identifikace - Právo subjektu údajů na informace MU FI, Brno 18.10.2005 17 Biometrické otisky prstů - v cestovních dokladech - ve vízech (VIS EU) - v Schengenském systému SIS II (má dvě části: centrální databázi Schengenského IS, 1-2 přístupové body v každém státě EU) ??? MU FI, Brno 18.10.2005 18 ICAO dokumenty International Civil Aviation Organisation (ICAO) ˇ Biometrics deployment of machine readable travel documents, ICAO, 2004 ˇ Standards 9303 for MRTD, ICAO MU FI, Brno 18.10.2005 19 ePassport ˇ An MRTD (Machine Readable Travel Document) cestovní doklad (pas) se vsazeným bezkontaktním čipem, podle návrhu standardu ICAO ˇ Bezkontaktní čip podle normy ISO/IEC 14443 (proximity 0-10 cm) MU FI, Brno 18.10.2005 20 RFID passportsRFID passports Mohou býtMohou být ččteny na vzdteny na vzdáálenost, nepotlenost, nepotřřebujebujíí fyzickýfyzický kontakt prokontakt pro ččtenteníí úúdajdajůů v nich zapsanýchv nich zapsaných ExpertExperti varuji varujíí: RFID: RFID ččipip mmůžůže býte být ččten jakoukolivten jakoukoliv ččteteččkou, nejen tou, kterkou, nejen tou, kteráá je instalovje instalováána u pasovna u pasovéé kontroly. To znamenkontroly. To znamenáá,, žže dre držžitel pasu pritel pasu průůbběžěžnněě vysvysíílláá svsvéé jmjmééno, nno, náárodnost, vrodnost, věěk, adresu, a vk, adresu, a všše co jee co je v RFIDv RFID ččipu zapsipu zapsááno. Kano. Kažždý, kdo mdý, kdo máá ččteteččku mku můžůžee ččííst tyto informace, anist tyto informace, anižž by o tom drby o tom držžitel pasu vitel pasu věědděěll ččii k tomu dal svk tomu dal svůůj souhlas.j souhlas. (Bruce(Bruce SchneierSchneier, Int. Herald Tribune, Oct. 04,, Int. Herald Tribune, Oct. 04, 2004)2004) MU FI, Brno 18.10.2005 21 Cestovní dokumenty Jsou oficiální dokumenty vydané státem nebo kompetentními institucemi, které jsou držitelem používány pro mezinárodní cestování a které obsahují povinné viditelné (pro čtení zrakem) údaje a fotografii držitele ˇ Cestovní pas ˇ Víza ˇ Jiné cestovní dokumenty (např. identifikační identifikační průkaz) (viz Draft Recommendation on Identity and Travel Documents and Terrorism, TER-S-IT, 2005) MU FI, Brno 18.10.2005 22 Uchovávání dat ˇ ,,Data retention" telekomunikačních dat ­ aktuální problém EU ˇ Iniciativa Francie, U.K., Irska, Švédska ­ uchovávání telekomunikačních dat pro účely prevence, vyšetřování, odhalování a trestání kriminality vč. Terorismu ­ odmítnuta Evropským parlamentem. ˇ 85% telekomunikačních dat pro potřeby policie se týká dat ne starších 6 měsíců ˇ Návrh na změnu směrnice 2002/58/ES MU FI, Brno 18.10.2005 23 MU FI, Brno 18.10.2005 24 MU FI, Brno 18.10.2005 25 karel.neuwirt@centrum.cz MU FI, Brno 18.10.2005 26 Závěry Zprávy on aplikaci zásad Úmluvy 108 na shromažďování a zpracování biometrických dat Rada Evropy, 2005 MU FI, Brno 18.10.2005 27 1 Biometrical data are to be regarded as a specific category of data as they are taken from the human body, remain the same in different systems and are in principle inalterable throughout life. They might be altered, however, for instance through aging, illnesses or surgical interventions MU FI, Brno 18.10.2005 28 2 Before having recourse to biometrics, the controller should balance the possible advantages and disadvantages for the data subject's private life on the one hand and the envisaged purposes on the other hand, and consider possible alternatives that are less intrusive for private life MU FI, Brno 18.10.2005 29 3 Biometrics should not be chosen for the sole sake of convenience. Human dignity might be affected by the use of biometrics. Socio- cultural aspects and possible reluctance towards the instrumental use of the human body, should be taken into account. MU FI, Brno 18.10.2005 30 4 The biometric data and any associated data generated by the system must be processed for specific, explicit and legitimate purposes and should not be processed further for purposes that are incompatible with these. MU FI, Brno 18.10.2005 31 5 The data should be adequate, relevant and not excessive in relation to these purposes. A technical system using biometric data should be configured to exclude the possibility to collect more biometric or associated data than is necessary for the purposes of the processing. Where templates are sufficient, the collection or the storage of the picture should be avoided MU FI, Brno 18.10.2005 32 6 In choosing the system architecture, the controller should balance the advantages and disadvantages for the data subject's private life on the one hand and the envisaged purposes on the other hand. A reasoned choice should be made between storage solely on an individual storage medium, a decentralised database or a central database, bearing in mind the aspects relating to data security. MU FI, Brno 18.10.2005 33 7 The architecture of a biometric system should not be disproportionate in relation to the purpose of the processing. Therefore, if verification suffices, the controller should not develop an identification solution. Biometric data that are solely used for verification purposes preferably should be stored only on a secured individual storage medium, e.g. a smart card, held by the data subject only MU FI, Brno 18.10.2005 34 8 The data subject should be informed about the purposes of the system and the identity of the controller unless he or she already knows, and about the personal data that are processed and the persons or the categories of persons to whom they will be disclosed as far as the information is necessary to guarantee the fairness of processing MU FI, Brno 18.10.2005 35 9 The data subject has a right of access, rectification, blocking and erasure of the data relating to him or her. These rights extend to the biometric data undergoing automatic processing attached to his identity, possibly associated data (such as date and place of use of the system) and to whom they have been communicated MU FI, Brno 18.10.2005 36 10 The controller should foresee adequate technical and organisational measures that aim to protect biometric and associated data against accidental or deliberate deletion or loss, as well as against illegal access, alteration or communication to unauthorised persons or any other form of illegal processing MU FI, Brno 18.10.2005 37 11 A procedure of certification and monitoring and control, if appropriate by an independent body, should be promoted, particularly in the case of mass applications, with regard to the quality standards for the software, the hardware and the training of the staff in charge of enrolment and matching. A periodic audit of the system's performance is recommendable MU FI, Brno 18.10.2005 38 12 If, as a result of a biometric system, a data subject is rejected, the controller should, on his or her request, re-examine the case and should, where necessary, offer appropriate alternative solutions. Procedures should be in place and made known to the data subject in the case of an allegedly false result of the system