Informacijski pooblaščenec Republika Slovenija
    SLO | ENG

Mnenja - VOP

+ -
Datum: 11.05.2011
Naslov: Mnenje o uporabi tehnologij za preprečevanje izgube podatkov
Številka: 0712-96/2011
Vsebina: Moderne tehnologije
Pravni akt: Mnenje

Informacijski pooblaščenec (v nadaljevanju Pooblaščenec) je prejel vaše elektronsko sporočilo, v katerem nas prosite za mnenje glede varstva osebnih podatkov v povezavi z uporabo tehnologij za preprečevanje pobega podatkov (angl. Data Loss Prevention; DLP ).

Avtentično razlago posameznih določb zakona daje le Državni zbor, neobvezno pa predlagatelj zakona, zato vam na podlagi informacij, ki ste nam jih posredovali, v nadaljevanju na podlagi 7. tč. 1. odst. 49. čl. Zakona o varstvu osebnih podatkov (Uradni list RS, št. 94/07, uradno prečiščeno besedilo, v nadaljevanju ZVOP-1) ter 2. čl. Zakona o informacijskem pooblaščencu (Uradni list RS, št. 113/05 in 51/07 – ZUstS-A, v nadaljevanju ZInfP), posredujemo naše neobvezno mnenje v zvezi z vašim vprašanjem.

Zakaj DLP?

Upravljavci zbirk osebnih podatkov se s širjenjem uporabe in zmožnosti informacijsko-komunikacijskih tehnologij (IKT) čedalje bolj pogosto srečujejo z naraščajočim tveganjem za izgubo podatkov zaupne narave, med katere sodijo osebni podatki, tajni podatki, poslovne skrivnosti, intelektualna lastnina in drugi podatki, ki zahtevajo varovanje zaupnosti, celovitosti in razpoložljivosti. Sodobna tehnologija omogoča, da se podatki zaupne narave lahko zelo enostavno kopirajo, hranijo na nedovoljenih mestih in po različnih kanalih in medijih (e-pošta, USB ključi in drugi prenosni nosilci podatkov, papirni izvodi itd.) posredujejo nepooblaščenim uporabnikom, kot so konkurenčna podjetja, mediji in ostale tretje osebe. Za upravljavca so posledice lahko zelo hude: razkritje poslovnih skrivnosti, izguba ugleda in zaupanja, možnost tožb in odškodninskih zahtevkov itd. Po drugi strani se upravljavci soočajo z zahtevami regulative, ki narekuje spoštovanje standardov varovanja informacij, zato se povečuje povpraševanje po rešitvah, ki lahko pravočasno identificirajo in preprečijo kršitve varnostnih politik.

Dodatni zagon uporabi DLP rešitvam so dale izgube precejšnjega števila osebnih podatkov, ki so se v preteklih letih zgodile predvsem v ZDA in v Veliki Britaniji, ko so bili zaradi izgube prenosnih medijev (CD, USB, prenosni računalniki) ogroženi osebni podatki več milijonov posameznikov. Obvezno poročanje o tovrstnih varnostnih incidentih (angl. mandatory breach notification) nadzornim organom ter obveščanje oseb, katerih podatki so bili ogroženi, posledično pomeni hujše sankcije za kršitelje, zato je povečanje zanimanja po DLP rešitvah razumljivo.


Kako deluje DLP?

DLP deluje na podlagi:
•    vsebinske analize (ključne besede, slovarji, standardni izrazi),
•    s pomočjo t.i. prstnih odtisov podatkov (angl. fingerprinting),
•    na osnovi podatkovnih vzorcev.

DLP rešitve praviloma sestavljajo trije sklopi rešitev:
•    mrežna komponenta za preverjanje izhodnih povezav iz omrežja – podatki v gibanju;
•    komponenta za preverjanja končnih točk – podatki v uporabi;
•    t.i. eDiscovery komponenta za iskanje nedovoljenih vsebin znotraj omrežja – podatki v hrambi.

Komponente za preverjanje končnih točk delujejo na delovnih postajah ali strežnikih in lahko nadzirajo njihovo komunikacijo ter vsebino shranjenih podatkov. Nadzirajo lahko različne naprave in (z omejitvami) preverjajo vsebino pred šifriranjem, blokirajo uporabo določenih aplikacij in storitev ter vsebujejo možnost alarmiranja odgovornih oseb.

Pomemben faktor pri DLP je zmogljivost analitičnega dela, ki se lahko odraža v deležu napačnih pozitivnih in napačnih negativnih ujemanj, na to pa ima pomemben vpliv tudi ustrezno testiranje delovanja.

Sodobne DLP rešitve vključujejo centralizirano upravljanje, alarmiranje in nadzorovanje, sposobne so zaznati podatke zaupne narave ter reagirati glede na vnaprej nastavljene varnostne politike. Z DLP rešitvami lahko tako iz podatkov razberemo npr. ali nekdo pošilja po e-pošti zunanjim prejemnikom EMŠO, številke bančnih računov, uporabniška imena/gesla in druge vrste zaupnih podatkov. Glede na varnostne politike lahko mrežna komponenta blokira podatke (npr. prepreči tiskanje ali kopiranje na USB ključ), vklopi sledenje, podatke kriptira, podatke prenese v karanteno in/ali obvesti odgovorne osebe. Prav tako lahko obvesti tudi uporabnika, da je s svojim dejanjem prekršil varnostne politike podjetja. Mrežne komponente so sposobne nadzorovati vse izhodne porte iz omrežja upravljavca in lahko izvajajo omenjena odzivna dejanja npr. ob pošiljanju zaupnih podatkov po e-pošti in ostalih storitvah interneta (http, ftp…), programih za neposredno sporočanje in drugih. Omogočena je tudi podpora različnim jezikom, če bi npr. zlonamerni uporabnik želel prikriti zaupne podatke s prevajanjem v tuji jezik. DLP prav tako podpirajo redakcijo alarmov z zakritjem dela podatkov (npr. prvih nekaj številk bančnega računa), da se pri obravnavi alarma odgovorno osebje ne bi seznanilo s podatki, do katerih tudi samo nima dostopa. Funkcionalnosti poročanja so prav tako zelo zmogljive in omogočajo preglede po portih, uporabljenih storitvah, pogostosti in vrsti zaznanih kršitev ter tudi po uporabnikih in prejemnikih podatkov (npr. e-naslov, IP naslov ipd.).

Bistven  dpogoj za učinkovito delovanje DLP rešitev je seveda ustrezna identifikacija podatkov in postavitev varnostnih pravil (katere podatke imamo, kje se nahajajo, kdo lahko in kaj lahko z njimi počne) ter postopkov obravnave zaznanih kršitev pravil.

Kateri so pravni vidiki varstva osebnih podatkov pri uporabi DLP?

Nedvomno prihaja pri uporabi DLP rešitev do obdelave osebnih podatkov, zato mora biti uporaba teh rešitev skladna z določbami zakonodaje. Bistveni vidiki varstva osebnih podatkov, ki jih je treba upoštevati pri uporabi DLP rešitev, so naslednji:

a) vprašanje nadzora nad komunikacijo in hrambo podatkov zaposlenih,
b) vprašanje vsebine opozoril o kršitvah in dostopa do teh opozoril,
c) vprašanje nadzora podatkov pri centraliziranem modulu za upravljanje.

V prvi vrsti gre pri uporabi DLP rešitev za vprašanja zasebnosti na delovnem mestu in tehtanja med pravicami delodajalca in zaposlenih. Gre za obširno temo, ki jo je nemogoče obdelati v kratkem mnenju, poleg tega pa je Pooblaščenec o tem že pisal v več svojih mnenjih. Gotovo pa velja poudariti, da je treba biti zelo previden pri uporabi informacijskih rešitev, ki so bile zasnovane v okoljih, kjer je odnos do zasebnosti na delovnem mestu precej drugačen kot v evropskem prostoru. V grobem namreč lahko povzamemo, da je v ZDA informacijska zasebnost na delovnem mestu slabo varovana, saj tako zakonodajni okvir kot sodna praksa sodišč daje večjo težo pravici delodajalca do nadzora nad svojo lastnino (s tem pa tudi nadzora nad njeno uporabo vključno s podatki), kot pa pravici zaposlenih do neke razumne mere zasebnosti na delovnem mestu. Nasprotno lahko za evropski prostor zapišemo, da iz sodne prakse Evropskega sodišča za človekove pravice (ESČP) izhaja, da zaposleni utemeljeno pričakuje razumno mero zasebnosti na delovnem mestu. Minimum, ki ga je vzpostavila sodna praksa, zahteva predhodno transparentno obveščenost zaposlenih glede nadzora na delovnem mestu. Do uveljavitve posebne zakonodaje, ki bo uravnotežila pravico delodajalca do nadzora nad uporabo delovnih sredstev in pravico zaposlenih do pričakovane zasebnosti na delovnem mestu, je priporočljivo, da upravljavci v svojih internih aktih natančno predpišejo okoliščine nadzora (kaj, kdaj in kako se nadzira), da pri tem upoštevajo zakonsko in ustavno dopustnost  in da z določbami internih pravil jasno in vnaprej seznanijo zaposlene. Prikriti ali naknadni nadzor s strani delodajalca brez vednosti oziroma soglasja zaposlenega je bil praviloma spoznan kot kršitev temeljne človekove pravice do zasebnosti. Navedeno je treba upoštevati tudi pri uporabi DLP rešitev.

Pooblaščenec je mnenja, da bi morali z načinom delovanja DLP rešitve transparentno seznaniti zaposlene preko jasnih določb v internih aktih, ki morajo biti v vsakem trenutku dostopni zaposlenim. Priporočljiv je tudi podpis izjav o seznanjenosti z internimi akti, saj obličnost seznanitvi daje večji pomen in pripomore k dvigu ravni zavedanja o pomembnosti razmejitve med zasebnostjo delavca na delovnem mestu in pristojnostmi delodajalca.

Problematičen je lahko tudi nadzor medijev za hrambo podatkov (trdi diski delovnih postaj zaposlenih, prenosni nosilci podatkov, mrežni diski ipd.), torej podatkov v fazi hrambe. Zaposleni bi morali biti jasno seznanjeni s pravili dopustne rabe službenih sredstev, vključno z uporabo medijev za shranjevanje podatkov. DLP rešitve namreč lahko najdejo tudi podatke, ki ne kršijo nujno varnostnih politik podjetja (npr. dokument zaposlenega, ki vsebuje njegove osebne podatke in si ga je zaposleni začasno shranil na trdi disk službenega računalnika). V takšnih situacijah je priporočljivo ravnati na način, kot ga opisujemo v nadaljevanju.

Ne glede na seznanjenost zaposlenih pa je treba pri uporabi DLP rešitev poskrbeti tudi za druge ukrepe, s katerimi se zagotavlja spoštovanje temeljnih načel varstva osebnih podatkov. Bistveno je natančno urediti dostopne pravice do DLP rešitve, ki morajo biti skladne z nalogami, ki jih posamezni zaposleni opravlja in temu ustrezno hierarhično urejene (npr. kdo lahko vidi vsebino opozoril, kdo in pod kakšnimi pogoji pa vsebino elektronske komunikacije, ki je sprožila opozorilo itd.). Z vidika načela sorazmernosti in minimizacije obdelave osebnih podatkov je treba natančno preveriti vsebino opozoril, ki jih prejmejo osebe, ki obravnavajo varnostne incidente ob zaznani kršitvi varnostnih politik s strani DLP rešitve. Uporaba redakcijskih in maskirnih funkcionalnosti (npr. brisanje delov identifikacijskih številk, kot so bančni računi ipd.)
lahko namreč zmanjša tveganja, da bi se osebe, ki obravnavajo varnostne incidente, seznanile z osebnimi podatki, do katerih tudi same niso pooblaščene dostopati.

Še strožje varovalke bi morale veljati za dostop do same sporne vsebine, kot je elektronsko sporočilo, ki domnevno vsebuje podatke, ki ne smejo zapustiti varnega okolja, saj gre pri tem za ustavno varovano pravico do komunikacijske zasebnosti. To je zlasti pomembno pri napačnih pozitivnih in napačnih negativnih ujemanjih, npr. ko sistem napačno prepozna posredovanje določenega podatka kot kršitev, posledično pa se osebe, ki obravnavajo varnostni incident, seznanijo z vsebino elektronske korespondence, ki je lahko zelo občutljive narave za zaposlenega. Kot primer si lahko predstavljamo zaposlenega, ki po e-pošti komunicira npr. s svojim zdravnikom, iz vsebine komunikacije pa bi lahko razbrali njegovo zdravstveno stanje ali druge podatke, ki sodijo med občutljive osebne podatke in uživajo še posebno varstvo (13. čl. ZVOP-1). Zaradi navedenega menimo, da bi moral biti dostop do same vsebine zelo omejen - mogoč samo v resnično nujnih primerih ali na podlagi osebne privolitve posameznika, v obeh primerih pa strogo dokumentiran. Nedopustna bi bila privzeta možnost seznanitve z vsebino elektronske komunikacije s strani vsake osebe, ki obravnava varnostni incident (čeprav dejansko marsikatera DLP rešitev to zelo enostavno omogoča), temveč bi moral biti dostop do vsebine elektronske komunikacije podvržen posebnim varovalkam.

Podobno velja za centralizirano upravljanje DLP rešitve, kjer je zlasti problematično pregledovanje oziroma obdelava podatkov po posameznih uporabnikih (tako pošiljateljih kot prejemnikih komunikacije). Čeprav morda DLP rešitev omogoča takšne funkcionalnosti , se je treba zavedati, da predstavljajo podatki o tem, kdo je komu pošiljal elektronsko pošto, kdaj in katere spletne naslove je obiskoval in podobno – pri čemer je posameznik določen ali določljiv - zbirko osebnih podatkov, za katero mora upravljavec razpolagati s pravno podlago – določenostjo v zakonu ali osebno privolitvijo posameznika. Če je v določenih konkretnih primerih resnično utemeljeno in nujno iz varnostnih razlogov obdelati te podatke, je priporočljivo pridobiti osebno privolitev posameznika, v kolikor pa je ta ne želi podati, pa komisijsko in dokumentirano ter ob upoštevanju načela sorazmernosti pridobiti le tiste podatke, ki so nujno potrebni za obravnavno varnostnega incidenta. Kakršnikoli pregledi, seznami ali poročila o uporabi interneta, elektronske pošte ali drugih IKT s podatki, ki omogočajo določenost ali določljivost posameznika, pa brez pravne podlage niso dopustni. Če takšne funkcionalnosti ni mogoče izključiti, je treba uporabnike DLP rešitev jasno opozoriti na zakonsko dopustna in nedopustna ravnanja.

Če povzamemo: uporaba DLP rešitev se dotika področja zasebnosti na delovnem mestu in varovanja zasebnosti komunikacij, zato je treba pri uporabi tovrstnih rešitev do konkretizacije dopustnosti uporabe v posebni zakonodaji:

•    zagotoviti transparentnost delovanja z vnaprejšnjim obveščanjem zaposlenih (natančni in jasni interni akti, izjave o seznanjenosti),
•    ustrezno urediti dostopne pravice uporabnikov DLP rešitev (minimalni obseg, zaupanja vredne osebe),
•    zagotoviti anonimizacijo ali minimizacijo osebnih podatkov v opozorilih,
•    funkcionalnosti DLP rešitev, ki ustvarjajo zbirke osebnih podatkov s pregledi po uporabnikih, uporabljati le na podlagi pravne podlage ,
•    upoštevati stroge ustavne in zakonske pogoje za dostop do same vsebine komunikacije.


Prijazen pozdrav,

Informacijski pooblaščenec:
Nataša Pirc Musar, univ.dipl.prav.,
      pooblaščenka