Wi-Fi – provoz, odpovědnost a GDPR

Provoz Wi-Fi je regulován mnoha zákonnými normami. O většině z nich nemá laická veřejnost vůbec ponětí. Majitelé hotelů a restaurací ohrožují při provozu Wi-Fi sami sebe – naprosto zbytečně. Málokde existuje tak velký rozdíl ve vnímání práva a povinností jako u poskytování Wi-Fi. Tyto rozdíly vnímaní však často způsobují i správci IT či poskytovatelé internetu, kteří často říkají: „To nemusíte řešit.“ Přitom pro správný výklad stačí zdravý selský rozum.

Jako příklad uveďme povinnosti z provozu motorového vozidla. Jestliže váš automobil způsobí dopravní nehodu nebo přestupek je jeho vlastník auta první podezřelý. Pokud auto neřídil musí toto jednoduše prokázat – smlouvou, svědeckou výpovědí nebo přiznáním pachatele. Pokud neexistuje jiný člověk, který auto řídil, za škodu odpovídá (a hradí) vlastník auta.

U Wi-Fi tomu tak není? Je, zcela jistě. Poskytovatel Wi-Fi musí prokázat komu Wi-Fi „půjčil“, tedy komu ji umožnil používat (stejně jako řídit auto). Domnívat se, že stačí Policii říct: „Já mám veřejnou Wi-Fi bez hesla nebo s heslem v napsaným v nápojovém lístku a nic tedy dělat nemusím.“ je zcela tragický omyl. Je to jako byste policii řekli: „Já moje auto neřídil, veřejně ho půjčuji a komu jsem ho půjčil nevím.“ Oba případy budou mít stejný výsledek: vlastník auta i Wi-Fi to odskáče. Ať již v hmotné nebo trestní rovině.

Pokud někdo sdílí nelegální obsah, nahlásí bombu, vykrade data jinému uživateli a je prokázáno, že takto bylo činěno z konkrétní IP adresy, pak padá odpovědnost na provozovatele (majitele) místa, kde tato IP adresa je. Tedy, je-li to hotel s Wi-Fi, pak na tohoto provozovatele. Tento provozovatel Wi-Fi se však se má možnost účinně bránit – zná-li identitu uživatele (pachatele), přenese odpovědnost na něj. Pokud ne, je odpovědnost jeho.

Dle zákonů ČR a EU, mimo jiné:

  • Zákon č. 181/2014 Sb. o kybernetické bezpečnosti,
  • Zákon č. 127/2005 Sb. o elektronických komunikacích
  • a nařízení Evropského parlamentu a rady (EU) 2016/679 ze dne 27. 4.2016,

je každý provozovatel Wi-Fi (tzn. provozovna, která umožňuje připojení k Wi-Fi – hotel, restaurace, firma, obchod, banka) povinen znát identitu toho, komu přístup k Wi-Fi umožnil. Jak toho dosáhnout, zákony neřeší – možností jsou tisíce – od skenu občanky, pasu, přes přidělení originálního hesla každému uživateli, placený přístup apod.

V západní Evropě, Asií a USA běžná praxe. V ČR bohužel nikoliv. Zde také dochází k nejčastějším omylům:

  1. Logování za mě řeší můj poskytovatel internetu“ – NE! Poskytovatel internetu nemá povinnost logovat váš provoz. Loguje svůj provoz. Poskytovatel internetu zná svého uživatele – tedy vás! A vás také označí pro potřeby Policie nebo pro potřeby žaloby. Proč? Protože zná Vaši IP adresu. Tedy poskytovatel internetu svoji povinnost splnil – zná identitu svého uživatele – vás. A proto tuto povinnost máte nyní i Vy, pokud provozujete a poskytujete Wi-Fi
  2. Já přeci nenesu odpovědnost za to, co dělají mí uživatelé“ – Ne, nenesete, pokud je znáte. Ale pokud je neznáte, pak je odpovědnost vaše. Analogie s autem – pokud víte, kdo auto řídil, pak neodpovídáte za škodu vy, ale řidič auta. Pokud Vaše auto něco poškodí, škodu zaplatíte, pokud neoznačíte toho, kdo automobil řídil. Pokud znáte svého uživatele internetu, nenesete odpovědnost za něj – je to odpovědnost uživatele. Pokud však nedokážete logicky vysvětlit, kdo škodu způsobil je odpovědnost vaše. Proč? Protože máte znát identitu svých uživatelů. Analogie je popsána výše u poskytovatele internetu. Váš poskytovatel internetu ví, že internet poskytl vám, tedy za vás nenese odpovědnost. Odpovědnost je vaše. A pokud i vy víte, komu jste internet zpřístupnili, je odpovědnost zase dalšího člověka.

GDPR a Wi-Fi

Od 28. května 2018 vstupuje v platnost GDPR – Nařízení Evropského parlamentu a Rady (viz http://eur-lex.europa.eu/legal-content/CS/LSU/?uri=CELEX:32016R0679).

O co jde?

Podnikatel nabízející občanům EU služby musí provést sadu opatření proti odcizení osobních údajů. Uvnitř podniku musí provést analýzu rizik všech procesů ve svém podnikání (rezervační systém, výplaty mezd, e-mailů, poskytování Wi-Fi), kde by mohlo dojít k odcizení nebo vyzrazení těchto osobních údajů. Podnikatel musí provést opatření k eliminaci rizik a pokud jsou někde zpracovávané osobní údaje občanů EU, musí zabezpečit jejich tzv. pseudonymizaci.

Pseudonymizace znamená, že nelze mít přímo uloženo a dostupné v systému komukoliv jméno, číslo OP, IP nebo MAC adresu člověka – toto musí být uložené v zašifrované podobě. Tedy z člověka se stane „číslo-šifra“.

Pro případ dotazy Policie, soudů, dotaz občana EU apod. musí být podnikatel schopen tyto informace najít a dešifrovat. Únik nezašifrovaných dat z firmy je pak jasným porušením GDPR, ačkoliv stejně musíte sami sebe nahlásit ÚOOÚ při jakémukoliv úniku dat.

GDPR je velmi široké téma, které se řeší aktuálně na tisících seminářích, probíhají obšírné analýzy a příprava implementace ve všech odvětvích.

V našem oboru to znamená jediné: Kdokoliv poskytuje službu Wi-Fi musí všechny získané osobní údaje (IP adesa, MAC adresa, přihlašovací údaje, telefonní čísla apod.) peudonymizovat. Což není pro laika vůbec jednoduchý proces. Jak to řešit?

V praxi pak má podnikatel ve vztahu k Wi-Fi tyto možnosti:

  1. Neposkytovat Wi-Fi
  2. Nic neřešit a vystavit se tak riziku pokut 20.000.000 € nebo 4% z ročního obratu korporace (podle toho, co je větší). Stačí jedno hlášení od uživatele vaši Wi-Fi na Úřad ochrany osobních údajů, že má podezření, že na vaši Wi-Fi mu byly zneužity jeho osobní údaje (např. doručením e-mail newsletteru, který jednoznačně nepotvrdil, že chce) a Úřad má povinnost toto prošetřit. Toto podání bude moci na provozovatele Wi-Fi podat Němec u sebe v Německu, Slovák v Česku, Rumun ve Francii. Jelikož v západní Evropě jsou lidé na svá osobní údaje daleko citlivější – je toto riziko značné. Stejně tak se předpokládá boj konkurentů mezi sebou navzájem
  3. Poskytovat Wi-Fi tak jak je třeba – tzn. zabezpečená Wi-Fi, evidence uživatelů, vše splňující kritéria GDPR a ochrany osobních údajů. Tedy využít specializovanou službu, která toto řeší za vás.
  4. Zaplatit za implementaci a údržbu vlastního SW systému, který bude problematiku řešit. Zaplatit správce GDPR, který se bude o tuto oblast starat (takto to budou řešit banky a velké korporace – implementace bude stát desítky milionů korun). Pro běžné podnikatele zcela nepraktické.

 Co je Miia ve vztahu k GDPR?

Miia vám nabízí službu, která bude za vás vést evidenci o přístupu k vaší Wi-Fi, tzn. poskytne orgánům veřejné moci data, abyste v případě žalob, vyšetřování či hlášení o zneužití měli zákonem požadovanou evidenci o provozu klientů na vaši Wi-Fi. Současně tuto evidenci a osobní údaje máte zpracované v souladu s GDPR!

Miia tak nabízí klientům službu, která otevírá nové možnosti komunikace s klienty a je v souladu s GDPR – tedy včetně reklamních sdělení, newslettery a dalšími sděleními, která potřebujete svým zákazníkům sdělit.

Další výhoda je pak aktuální cena řešení Miia: Nebudete muset platit za implementaci, zavedení a údržbu legislativních úprav do poskytování Wi-Fi dle GDPR. Minimalizujete tím tedy chybu jednotlivce, pokuty, které mohou být likvidační a náklady na implementaci, které se vyšplhají podle velikosti podniku  od desítek tissíc korun po mil. Kč.

Odkazy: