Podáváme stížnost ÚOOÚ ve věci nedostatečného zabezpečení Univerzální Karty Pražana

14. 6. 2007 | 17:14

I.Podáváme tímto podle § 29 odst. 1 písm. c) zákona č. 101/2000 Sb., o ochraně osobních údajů stížnost pro důvodné podezření, že způsob zabezpečení osobních údajů na kartě Opencard Mgr. Marka Tichého, stěžovatele, nesplňuje požadavek § 13 odst. 1 písm. zákona č. 101/2000, o ochraně osobních údajů (dále jen ZOOÚ).

Z níže uvedeného máme za to, že daných skutků se dopustil zpracovatel osobních údajů ve smyslu ZOOÚ společnost Haguess, a.s, případně vydavatel karty a správce Magistrát hlavního města Prahy, registrovaný jako správce osobních údajů u ÚOOU pod číslem 00001029/37. II.

II. Skutkový stav: Postiženému byla v rámci pilotního projektu Magistrátu hl.m. Prahy vydána na vlastní žádost dne 3.6 2007 čipová Univerzální Karta Pražana (Opencard). Při vydání karty byl písemně poučen mimo jiné o tom, že jeho osobní údaje nebudou zpřístupněny třetím osobám a o právu obrátit se na ÚOOU v případě, že správce údajů poruší své povinnosti. Poučení stvrdil na místě podpisem. Dle dokumentu „Podmínky pro vydávání a užívání karty Opencard“ přiloženému k žádosti o vydání karty obsahuje karta kontaktní a bezkontaktní čip (odst 9). Na bezkontaktní čip jsou nahrány následující informace o držiteli: jméno, příjmení, žena/muž a datum narození držitele. Tyto údaje jsou dle našeho mínění osobním údajem ve smyslu ZOOÚ. Téhož dne expert na krypografii pan Tomáš Rosa pomocí snadno dostupného zařízení ACR120, běžného laptopu a vlastního software napsaného dle veřejně přístupné specifikace komunikačního protokolu karet typu MIFARE ověřil, že výše uvedené osobní údaje lze bez vědomí vlastníka karty číst na vzdálenost až 10cm a to i přes oděv, peněženku či desku stolu. Jako hlavní problém označil expert nedostatečné zabezpečení karty proti neoprávněnému přístupu třetí osoby, konkrétně pak ponechání takzvaných přístupových klíčů v základním továrním nastavení. Tato skutečnost byla též demonstrována veřejně na tiskové konferenci občanského sdružení Iuridicum Remedium dne 12.6 2007 v Komunikačním prostoru Školská. Vydavatel karty Magistrát hl. m. Prahy ve své reakci v tiskové zprávě ze dne 12.6 2007 na oznámení této skutečnost reagoval tím, že jde o „...značné zjednodušení velmi teoretické možnosti přečtení informací uložených na kartě, které je v praxi naprosto nepravděpodobné.“. To je v rozporu s názorem experta, který se naopak domnívá, že možnosti praktického zneužití jsou široké a snadno dostupné třetím osobám se standardním vybavením a za zanedbatelných nákladů . Dále nás toto vyjádření utvrzuje v přesvědčení, že vydavatel si této skutečnosti byl a je vědom a za porušení ZOOÚ to nepovažuje. Z tohoto důvodu se obracíme na ÚOOÚ se žádostí o přezkoumání věci.

III. Právní kvalifikace: Dle „Podmínek pro vydávání a užívání karty Opencard“ přiložených ke smlouvě o vydání karty Opencard je Hlavní město Praha správcem osobních údajů a společnost Hagues a.s. zpracovatelem osobních údajů ve smyslu zákona č. 101/2000 Sb. o ochraně osobních údajů, a vztahuje se tedy na ně ustanovení tohoto zákona, zejména: §13(1) ZOOÚ, který stanovuje správci a zpracovateli údajů povinnost přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů. Domníváme se, že v daném případě byla tato ustanovení porušena:

1. Implementace bezkontaktního čipu v kartě Opencard a způsob jeho zabezpečení umožňuje neoprávněný přístup k osobním údajům bez vědomí držitele karty

2. Vydavatel karty tak vystavuje postiženého možnosti zneužití jeho osobních údajů. IV. S ohledem na shora uvedené tímto dáváme podnět k zahájení dozoru podle § 29 odst. 1 písm.a) ZOOÚ a v případě potvrzení shora uvedených porušení zákona k zahájení řízení o správním deliktu/správních deliktech podle § 29 odst. 1 písm. f) ZOOÚ.

Postižený Marek Tichý s tímto podnětem souhlasí a je připraven k potřebné součinnosti při dozoru. V. Prosíme, abychom byli o výsledcích provedeného šetření informováni.

Děkuje předem a zůstáváme s pozdravem

Za Iuridicum Remedium

JUDr. Ing. Helena Svatošová

Kdo jsme

  • Tento web provozuje iure, neziskovka zabývající se ochranou občanských svobod.
     

Logo IuRe


 

Naše další weby

bba web

IuRe je členem

Internet Defense League