Ob nedavnih polemikah z objavo osebnih podatkov lastnikov nepremičnin na portalu GURS-a se je odprlo veliko vprašanj o ustrezni obravnavi osebnih podatkov. V članku za Nedeljski Dnevnik (“Vsak lahko pokuka v našo zasebnost“, 11. 1. 2012) smo tudi sami imeli priložnost pojasniti nekaj svojih pogledov na to temo.
Vprašanja Mete Černoga, novinarke Nedeljskega Dnevnika, odgovarja Gorazd Božič, vodja SI-CERT
Javni dostop do podatkov imen, priimkov, naslovov, letnic rojstva na internetnem portalu GURS-a je razburil dobršen del javnosti, med drugim tudi informacijsko pooblaščenko, ki je že naložila GURS-u naj te podatke umakne. Vendar: podatki so bili objavljeni, kljub temu, da državljane o dovoljenju za objavo ni nihče posebej spraševal. Ob tem se (poleg vprašanja varstva osebnih podatkov) zastavlja tudi vprašanje varnosti. Na eni strani nas strokovnjaki neprestano svarijo pred tem, naj svojo identiteto na internetu čim bolje zakrijemo, po drugi strani pa nam država sama (brez naše privolitve) objavi vse naše podatke: ime, priimek, letnico rojstva, naslov, podatek o tem kaj imamo in koliko je to vredno, pa na primer tudi s katero državno institucijo smo (če imamo podjetje) poslovali in koliko smo pri tem zaslužili (portal protikorupcijske komisije ‘supervizor’)… Pravzaprav sploh ne vemo več, koliko naših podatkov ‘kroži’ na medmrežju, saj se zdi, da na to nimamo več nobenega vpliva. Bi ga po vaši oceni morali imeti? Bi državljane morale državne institucije obvestiti o tem (oz. vprašati za soglasje), da bodo njihovi podatki postali javno dostopni na internetu?
Državne institucije morajo za objavo naših osebnih podatkov imeti podlago v nekem zakonu in ne morejo kar same odločati, kdaj bodo naši osebni podatki javni ali ne. Menim, da je zelo prav, da se informacijska pooblaščenka odločno postavlja v bran našim pravicam v primerih, kot je nedavni z GURS-om. Argument: »kdor je pošten, nima kaj skrivati,« je neresen in kaže le na pomanjkljivo poznavanje tematike. Če bi bilo to res, si nikoli ne bi želeli zasebnosti niti na lastnem domu.
V zvezi z objavo podatkov in internetu velikokrat uporabimo prispodobo zobne paste: ko jo iztisnemo iz tube, jo zelo težko spravimo nazaj. Enako je, ko se naši podatki znajdejo na spletu. Bolj ko so zanimivi, večja je verjetnost, da jih bo kdo skopiral in objavil še kje drugje. Pred umikom podatkov s strežnikov GURS-a so dan prej beležili veliko obremenjenost na njih. Povsem možno je, da so šli nekateri sistematično kopirati objavljeno bazo, ker so vedeli, da bodo osebne podatke naslednji dan morali umakniti. Kdo zdaj te podatke ima in v kakšne namene jih bo uporabljal, pa ne vemo. Bomo spet rekli, da pošteni nimamo kaj skrivati?
Premalo se še zavedamo, da moramo tudi sami poskrbeti za varovanje svojih lastnih podatkov. Krogi »prijateljev« na družabnih omrežjih so veliko širši, kot smo to navajeni iz fizičnega sveta, zato se včasih tudi ne zavedamo, kam vse naše slike po objavi odpotujejo.
Eno večjih groženj povprečnemu uporabniku interneta predstavlja kraja identitete. Si lahko s takšnimi podatki tisti, ki imajo namen ukrasti našo identiteto, pomagajo? Kateri so tisti podatki, ki jih pri tovrstni kraji sploh potrebujejo?
Zlorabe na spletu so danes večinoma oportunistične: ko bo goljuf naše podatke našel, bo glede na njihovo vsebino in obseg razmislil o tem, kaj lahko z njimi stori. Začne se z elektronskim naslovom in imenikom naših prijateljev in znancev. To lahko uporabi za to, da v našem imenu obvesti prijatelje, da smo na poti v tujini, kjer so nas okradli. Zato potrebujemo nekaj denarja, ki naj ga nakažejo v pisarno Western Union sistema. Če je sporočilo pazljivo sestavljeno, bodo naši prijatelji hitro skušali pomagati in tako goljufu izročili par sto evrov.
Tisti, ki pa pridobijo tudi naše rojstne podatke, EMŠO in naslov stalnega bivališča pa si lahko že izdelajo lažni dokument v našem imenu. In za kaj ga bodo uporabili, se vprašate? Odprejo lahko bančni račun nekje v tujini s ponarejemim potnim listom in ga uporabijo za pobiranje nelegalnih zaslužkov.
Med tema dvema skrajnostima pa je še veliko polje, ki je prepuščeno domišliji spletnih goljufov in kriminalcev.
Posamezniki na internetnih straneh puščajo precej ‘sledi’ preko katerih različni spletni goljufi lahko zlahka odkrijejo možnosti za takšno ali drugačno zlorabo. Precej priročna zadeva je v zadnjem času tudi Facebook in druga socialna omrežja na katerih mladi (pa tudi starejši niso izjeme) brez zadržkov razkrijejo svoj naslov, telefon, povedo ‘prijateljem’, da imajo žur, ker staršev ni doma itd.. Kakšne nevarnosti lahko predstavlja takšno, na videz varno, virtualno okolje?
Ko uporabljamo internet, sedimo v nekem domačem in varnem okolju in zato nimamo občutka, da smo na javnem prostoru, kot bi bili na ulici. V tujini so znani primeri, ko so vlomilci brskali po spletu in iskali objave o tem, kdo bo šel na počitnice, ter tako našli primerne lokacije za krajo. Pojem Facebook prijatelja je zelo širok, zato informacije tam hitro lahko uidejo v javnost. Primer: v ZDA so poskusili naslednje: naredili so izmišljeni profil mlade, privlačne pravnice. Poiskali so zaposlene na njihovem ministrstvu za pravosodje in poslali zahtevo za Facebook prijateljevanje v stilu: »Živjo! Sem novo zaposlena na ministrstvu in se veselim našega bodočega sodelovanja.« V parih dneh je ta izmišljena pravnica dobila nekaj sto Facebook prijateljev iz državne uprave ZDA. Preko tega lažnega profila so imeli dostop do različnih objav, ki so se nanašale na delo in zasebno življenje vseh teh uslužbencev.
Lahko morda navedete kakšne konkretne primere negativnih posledic takšnega nekritičnega razkazovanja osebnih podatkov na internetu? Kakšne zlorabe se (če se) že dogajajo pri nas in kakšne po svetu?
Voditelj oddaje Top Gear na BBC Jeremy Clarkson je po škandalu, ko so bili razkriti bančni podatki 25 milijonov Britancev, javno izjavil, kako je to čista bedarija, saj da mu lahko nekdo le nakaže denar na račun, ne more pa ga z njega pobrati. Da bi to jasno prikazal, je sam objavil podatke svojega bančnega računa v časniku The Sun. Nekaj dni kasneje je opazil, da je neznanec uspel z njegovega računa nakazal 500 GBP britanski organizaciji za boj proti diabetesu. Tega neznanca nikoli niso našli, Clarkson pa je nato v komentar temu dejanju javno objavil: »Motil sem se in za svojo napako sem bil kaznovan.«
Se še spomnite tistega argumenta iz začetka, kako naj ne bi bilo nobenega razloga za skrivanje podatkov, če si le pošten? No, tale Clarksonova prigoda kaže na kratkovidnost takšnega razmišljanja.
Kakšne posledice ima lahko po vaši oceni avtomatizirano obdelovanje podatkov (tudi s strani državnih institucij)?
Ves koncept zakonske zaščite osebnih podatkov je nastal zaradi zaščite predvsem pred državnim aparatom, ki naj ne bi smel združevati vseh zbirk, ki jih upravljajo različne institucije. Danes pa se kaže, da smo vse bolj žrtve obdelav podatkov s strani velikih internetnih podjetij. Google recimo nam nudi brezplačne storitve, potem pa bere našo pošto in dokumente, ki jih imamo shranjene tam. No, gre za strojno obdelavo, da nam potem servira ustrezne novice in reklame, a vseeno. Facebook preko svojih »Like« gumbov, ko so takorekoč že povsod, aktivno spremlja naše vsakodnevno brskanje. Ve za vsako spletno stran, ki jo obiščemo. Če bi to hotela početi država, bi protestirali, češ saj nismo Kitajska ali Iran! Ko pa to počne ameriško podjetje, pa zadevo mirno požremo. Pri tem pa pozabljamo, da imamo državljani na svojo državo vsaj nek posreden vpliv, na neko bogato ameriško podjetje pa prav nikakršnega.
Smo državljani lahko upravičeno paranoični, ko vidimo, kakšne zlorabe lahko omogoča sodobna tehnologija?
Da, a tukaj me kot rečeno ne skrbi toliko, da ne bi znali urediti domačega dvorišča. Prav je, da se upiramo nepremišljenemu zbiranju in obdelavi podatkov s strani države. Sami moramo tudi biti vsekakor pazljivi pri lastnih objavah, želim pa si, da bi se več naredilo pri tem, koliko imamo kot uporabniki nekega Googla, Appla ali Facebooka dejansko vpliva nad tem, kaj se zbira in obdeluje pri njih.