Realita bezpečnosti dat při sčítání lidu 2011 v CZ

Český statistický úřad poskytuje zavádějící informace o bezpečnosti sčítání lidu 2011. Ukážeme si několik příkladů.

Anonymizace dat při sčítání lidu 2011 v CZ

Na webu ČSÚ se dočteme:

Jakmile budou papírové formuláře naskenovány, dojde před samotným zpracováním k jejich anonymizaci. To v praxi znamená, že budou z databází odstraněna všechna jména a rodná čísla. Z výsledků sčítání tak pouze zjistíte, že např. v Bruntále v Jiráskově ulici žije žena, které je 35 let, má dvě děti, každý den dojíždí do práce vlakem do Opavy, vystudovala vysokou školu a narodila se v Ostravě, ale nikdo už nikdy nezjistí, jak se jmenuje, ani jaké má rodné číslo.

Bylo by to pěkné, že? Ale realita je jiná. ČSÚ provádí při sčítání lidu jakousi anonymizaci pouze „na oko“. Odstraňuje jméno, příjmení, rodné číslo, den a měsíc narození (resp. z data narození ponechá věk). Po té „anonymizaci“ tedy zbude údaj o čísle domu, bytu, pohlaví, věku apod. Začátek odstavce by tedy měl znít:

Z výsledků sčítání tak pouze zjistíte, že např. v Bruntále v Jiráskově ulici, číslo popisné 17, v přízemí v 1. bytě, žije ve vlastním domě žena, které je 35 let, má dvě děti (z toho jedno z posledního manželství), je rozvedená, každý den dojíždí 60 až 90 minut do práce vlakem do Opavy, kde pracuje na adrese Oprava, Lipová 15 jako technolog výroby v potravinářstvé výrobě, vystudovala VŠE, a narodila se v Ostravě. A spoustu dalších informací včetně informací o bytě, domě (tyto informace lze podle čísla bytu a domu velmi snadno propojit).

To už nezní tak dobře, že?

Dále se tvrdí, že nikdo už nikdy nezjistí, jak se jmenuje. Ale je to pravda? Nemám k dispozici přesné údaje, ale mnoho lidí žije ve vlastním domě nebo bytě. A nezanedbatelná část lidí žije sama nebo jde o rodinu, kde lze členy jasně rozlišit podle pohlaví a věku. U takových lidí stačí nahlédnout např. do katastru nemovitostí a hned zjistíte jméno oné osoby (pravda, může se stát, že třeba dům pronajímá, ale takových případů není mnoho). Pokud jde např. o podnikatele, tak zjistíte i rodné číslo z živnostenského rejstříku. Způsobů, jak doplnit podle přesné adresy, věku, pohlaví a dalších údaje z formuláře jméno, je spousta. Závěr odstavce je tedy zcela nepravdivý - i po anonymizaci není problém u většiny osob přiřadit údaje ke konkrétnímu jménu.

Přístup k datům a statistické účely

Je zřejmé, že výsledkem sčítání nebudou anonymní data, tedy data, která by nešla ve většině případů s velkou pravděpodobností spojit s konkrétními osobami, byty a domy. Ale pojďme se podívat, kdo může data využívat a k čemu.

Na každém formuláři se píše, že „Údaje budou využity výhradně ke statistickým účelům.“ Já jsem si pod tím představoval jen nějaké souhrnné informace – např. kolik lidí daného věku žije v dané obci apod. Ale ČSÚ má zjevně zcela jinou představu o statistických účelech.

Koukněme se na článek přímo z webu ČSÚ, který hovoří o využití dat ze sčítání lidu.

Když vyráží jednotka k požáru, musí si velmi rychle zjistit informace o objektu, ke kterému jede. Velitel si proto vyžádá základní informace a dozví se například, že se jedná o dům, který má šest nadzemních poschodí. Podle toho se musí zařídit a připravit plán zásahu. Jiný postup je třeba zvolit u dřevěného objektu, jiný u objektu z cihel. Všechny tyto informace musí mít jednotka co nejrychleji k dispozici, nemohou zjistit teprve po příjezdu, co je to za objekt, a shánět nějaké informace.

Pod statistickými účely tedy podle ČSÚ patří získávání konkrétních informací z jednoho konkrétního dotazníku sčítání lidu. Tedy vyhledání a využití vyplněných dat na formuláři konkrétního domu podle adresy. Nehleďme teď na užitečnost tohoto konkrétního využití, ale na princip. Obecně prostě budou využívána konkrétní data z dotazníků a nikoli jen data souhrnná (agregovaná). Přístup k těmto údajům nebudou mít samozřejmě pouze hasiči, ale např. ministerstva apod. Vytvořené statistiky, které jsou veřejně dostupné na webu ČSÚ jsou jen nepatrná část nasbíraných dat, které bude stát využívat. Buduje se tak velká databáze domů, bytů a osob. V dřívějších dobách to takový problém nebyl, protože bez počítačů šly takové informace těžko používat a zneužívat. Dnes je to snadné. Databáze bude existovat v mnoha kopiích (v dřívějších dobách nebylo reálné okopírovat miliony papírů, dnes to bude třeba na jednom DVD). Ta nasbíraná data už pravděpodobně nikdy ze světa nezmizí. Zda v takových datech chcete být nebo ne, to je pouze na vás.

Navádění k nevyplnění nebo nepravdivému vyplnění dotazníků je přestupek. Informování o skutečnostech nikoli. Pokud chcete, aby se o problematice špatné bezpečnosti dozvědělo více lidí, odkazujte na tuto stránku nebo šiřte informace jinak (přebírání textů dovoleno).

Sčítání a paragrafy

Tato část je určena pouze náročnějším čtenářům, kteří si chtějí udělat vlastní názor na to, jak ČSÚ dodržuje zákony. Veškeré argumenty jsou podložené konkrétními a snadno ověřitelnými odkazy na právní předpisy s maximální snahou o objektivitu.

Anonymizace nařízená zákonem a ČSÚ

1) Anonymizaci dat předepisuje zákon o sčítání lidu 2011 (296/2009 Sb. v § 22, odst. 4).

2) Anonymizace jako pojem není nikde definovaný a jeho gramatickým výkladem dojdeme k tomu, že se jedná o proces, který ze souborů údajů udělá soubor anonymních údajů.

3) Anonymní údaj je již pojem definovaný v § 2 zákona č. 89/1995 Sb. (o státní statistické službě) a obdobně i podle zákona na ochranu osobních údajů (v § 4 zákona 101/2000 Sb.):

Citace § 2 zákona č. 89/1995 Sb.:
a) individuálním údajem údaj týkající se jednotlivé právnické nebo fyzické osoby, získaný pro statistické účely podle tohoto zákona,
c) anonymním údajem takový individuální údaj, který buď v původním tvaru nebo ani po provedeném zpracování neumožňuje přímou, popřípadě nepřímou identifikaci jednotlivé právnické nebo fyzické osoby,
d) přímou identifikací identifikace jednotlivé právnické nebo fyzické osoby na základě jakéhokoliv identifikátoru, který lze použít bez nutnosti vynaložit ke zjištění identity dané osoby nepřiměřeného času a úsilí,
e) nepřímou identifikací možnost odvodit totožnost jednotlivé právnické nebo fyzické osoby jiným způsobem než způsobem uvedeným v písmenu d),

Citace § 4 zákona 101/2000 Sb.:
a) osobním údajem jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu,
c) anonymním údajem takový údaj, který buď v původním tvaru nebo po provedeném zpracování nelze vztáhnout k určenému nebo určitelnému subjektu údajů,
d) subjektem údajů fyzická osoba, k níž se osobní údaje vztahují,

Obě definice, ač jsou formulovány odlišně, se shodují na tom, že podstatnou vlastností anonymních údajů je, že nesmí být možno žádným způsobem identifikovat osobu, které se údaj týká (zjednodušeně a mírně nepřesně řečeno). Nakonec toto tvrdí i web sčítání (cituji "...ale nikdo už nikdy nezjistí, jak se jmenuje, ani jaké má rodné číslo").

4) Podle adresy (dokonce až na úroveň bytu), věku v celých letech a pohlaví není problém v mnoha případech identifikovat přímo konkrétní osobu. V jednom bytě se málo kdy nachází více osob se stejným věkem v celých letech a pohlavím. Informace o bydlišti (ať trvalém nebo faktickém - stejně se ve většině případů shodují) jsou u celé řady osob veřejně dostupné. Připouštím, že v některých případech identifikovat osobu nelze. Anonymizovat je ale třeba každý údaj, takže je celkem jedno, u kolika dotazníků lze identifikovat osobu a u kolika nikoli. Po anonymizaci nesmí existovat ani jeden jediný dotazník, u kterého by bylo možné osobu identifikovat. To zjevně splněno není.

5) Z uvedených informací vyplývá, že uvedený postup odstraněních některých údajů nesplňuje podmínky anonymizace, i když je anonymizace zákonem vyžadována.

Slibované využití údajů a ČSÚ

1) Na všech dotaznících je uvedeno, že "Údaje budou využity výhradně ke statistickým účelům.".

2) Podle článku "Podle dat ze sčítání zachraňují hasiči životy" zveřejněného přímo ČSÚ na svých webových stránkách hasiči využívají data ze sčítání lidu i takovým způsobem, že z dat získávají informace o konkrétních objektech (např. počet podlaží, materiál apod.). Tato informace byla prezentována i v jiných médiích včetně televize a to zástupci ČSÚ.

3) Podle § 2, písm g) zákona č. 89/1995 Sb. (o státní statistické službě) statistickým účelem je užití pro číselný, slovní nebo grafický popis hromadných jevů a procesů ve společnosti, národním hospodářství a životním prostředí pomocí statistických informací.

4) Podle § 2, písm f) zákona č. 89/1995 Sb. je statistickou informací informace sociálního, ekonomického, demografického nebo ekologického charakteru, která vznikla agregací individuálních údajů.

5) Z definice statistického účelu stojí za pozornost mimo jiné, že jde o užití pro popis hromadných jevů a procesů a to pomocí informace, která vznikla agregací individuálních údajů. Získání informace (např. o počtu podlaží) o konkrétním objektu pro hasičský zásah zjevně není ani užití pro popis hromadného jevu či procesu, ani nevznikla agregací individuálních údajů (tato informace se nachází přímo v jednom dotazníku). Nesplňuje tedy nutné podmínky pro statistického účelu.

6) Rozpor je tedy v tom, že údaje mají být využívány pouze statistické účely (podotýkám, že se zde nehovoří jen o některých údajích - např. osobních, ale obecně o všech údajích). Zároveň ČSÚ tvrdí, že data jsou využívána i pro jiné účely (nestatistické).

Květnové došetřování

1) ČSÚ tvrdí (pod nadpisem č. 8), že v květnu bude probíhat tzv. "Došetřování nezjištěných údajů".

V období od 19. do 30. května 2011 bude probíhat došetřování údajů v domácnostech, které neodevzdaly žádný vyplněný sčítací formulář, přestože tyto od komisařů převzaly. Došetřování provedou při opakované návštěvě domácností vybraní sčítací komisaři České pošty a ČSÚ. Úlohou obcí je aktualizovat údaje ve vývěsních skříňkách stručným oznámením o došetřování a jmény komisařů a kontaktními údaji.

2) Jak víte, v našem právním státě zatím úřady nesmí dělat nic, co jim právní předpisy nepřikazují (naopak občané pak mohou dělat vše, co jim právní předpisy nezakazují).

3) Zkuste si přečíst zákon o sčítání lidu 2011 a najít tam alespoň jednu zmínku o tomto došetřování. Můžete zkusit pohledat i jinde.

4) Těžko se hledá něco, co tam prostě není.

Závěr

ČSÚ není schopný ani jednu z těchto zmíněných rozporů vysvětlit - zkuste se poptat třeba na infolince. Pokud ČSÚ něco z toho hodnověrně vysvětlí, článek aktualizuji (článek aktualizován - viz dále). Závěr nechť si udělá každý sám.

Odpověď od ČSÚ

Vážený pane XXX,

pokud jde o proces anonymizace dat, obecně platí:

Základem ochrany zájmů osob, které poskytují státní statistické službě své individuální údaje, je zákonem stanovené omezení využití těchto údajů jen pro statistické účely v agregované podobě. S tím souvisí zákonem stanovený přísný postih zaměstnanců státní statistické správy, pokud poruší ochranu individuálních údajů.

Zákon č. 296/2009 Sb., o sčítání lidu, domů a bytů 2011 v § 22, odst. (4) ukládá úkol, v jakém časovém termínu provést likvidaci sčítacích formulářů zařazením do skartačního řízení a následně ukládá elektronické formuláře a záznamy anonymizovat v souladu se zákonem č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů.

ČSÚ z vlastní iniciativy usiluje o to, aby ochrana individuálních údajů byla co nejlepší, a proto vnitřní metodikou rozhodl o tom, že po převedení všech dotazníků do elektronické podoby provede co nejdříve takovou anonymizaci, která sníží nebezpečí zneužití osobních individuálních údajů ještě před splněním úkolů stanovených příslušnými zákony.

Vyjádření některých uživatelů výstupních informací ze SLDB 2011 (např. hasiči) nemusí být zcela přesná, pokud se týká zajištění ochrany osobních údajů. Samozřejmě, že - stejně jako jiní uživatelé - nemohou dostat informace o jednotlivé osobě nebo domácnosti. Mohou dostat jen takové agregované údaje, které na jedné straně a především zajišťují ochranu individuálních údajů a na druhé straně (poté) umožňují agregovanými daty charakterizovat co nejmenší oblast osídlení z hlediska například podílu osob ve věku nad 65 let, počtu (vyššího než 2) jednočlenných domácností osob vyššího věku.

Trochu jinak je to ale s údaji za domy - některá data ze sčítání 2001 bylo možné ze zákona použít i k jiným účelům, skončila v Registru sčítacích obvodů a jako taková mohou být využívána například integrovaným záchranným systémem.

Pokud jde o anonymizované údaje o jednotlivých osobách a jejich vazbu na adresu, tady byste mohl mít částečně pravdu, z těchto dat by se mohla dát v určitých případech (rodinné domy) identifikovat osoba. Tyto údaje však jednak nejsou nikomu poskytovány (to je i odpověď na jednu z Vašich otázek, přístup k neagregovaným údajům mají jen pracovníci našeho úřadu) a jednak v databázích jsou tyto adresy uloženy odděleně od vlastních dat za osoby.

A ještě odpověď na Vaši další otázku – z jakého právního podkladu vyplývají povinnosti při došetřování. Došetřování je součástí sčítání. Povinností sčítané osoby je odevzdat vyplněné formuláře v určitém termínu. A pokud tak neučiní, my to zjistíme a v rámci došetřování požádáme povinnou osobu, která převzala formuláře, aby nám je vyplněné vrátila, protože to v zákonném termínu neučinila. Tzn., že místo toho, abychom ji pokutovali, jí dáváme další šanci ke splnění povinnosti a ještě ji ulehčujeme práci, neboť ji znovu navštívíme.

Josef Škrabal
Ředitel odboru statistiky obyvatelstva

Ohlášení přípravy trestného činu

Podle § 367 trestního zákoníku:

(1) Kdo se hodnověrným způsobem dozví, že jiný připravuje nebo páchá trestný čin ... neoprávněného nakládání s osobními údaji podle § 180 odst. 4 ... , a spáchání nebo dokončení takového trestného činu nepřekazí, bude potrestán odnětím svobody až na tři léta; stanoví-li tento zákon na některý z těchto trestných činů trest mírnější, bude potrestán oním trestem mírnějším.

(3) Překazit trestný čin lze i jeho včasným oznámením státnímu zástupci ...

Pokud se také domníváte, že by jednání popisované ČSÚ mohlo naplňovat znaky skutkové podstaty přípravy tresného činu, pak můžete např. odeslat ohlášení na státní zastupitelství.