Dňa 17.4.2018 sa v Bratislave konali biznis raňajky týždenníka TREND s názvom "Open Data a GDPR" a podtitulom "Ako ovplyvní GDPR používanie otvorených dát?". Akcia mala dve časti: prezentácie a diskusný panel.

Prezentácie

Filip Glasa (zakladateľ FinStat, s. r. o.) na úvod predstavil, čo je GDPR a ako súvisí s témou otvorených údajov a projektom FinStat.sk: Štát zverejňuje mnoho informácií v podobe otvorených údajov. Jednotlivci, firmy či iné organizácie potom tieto údaje využívajú. Nuž a niektoré otvorené údaje obsahujú aj osobné údaje a teda ich spracovaniu treba venovať zvýšenú opatrnosť, či už "po novom" kvôli GDPR alebo "po starom", na základe aktuálne platne legislatívy. Ako zástupca FinStat.sk sa Filip zameral najmä na scenáre, keď údaje využívajú firmy a vymenoval niektoré typické účely spracovania osobných údajov z verejných štátnych registrov:

• ošetrenie finančných a právnych rizík v obchodnom styku
• finančné podvody a finančná kriminalita
• procesné účely: automatické dopĺňanie informácií do faktúr, objednávok, zmlúv
• zákonné účely: overenie DPH, "anti money laundering", audit
• konkurzy, reštrukturalizácie a oddlženia zo strany veriteľov

Ľubor Illek (odborník na informačnú bezpečnosť, Slovensko.digital) ozrejmil, ako vyzerajú otvorené údaje v bežnom živote a poukázal aj na to, aké osobné údaje sú už dnes bežne dostupné na Internete a čo sa s nimi deje: Mnohé osobné údaje sú legitímne bežne verejne dostupné a algoritmy s nimi bežne pracujú, viď napr. automaticky vytvorený profil bývalého ministra Tomáša Druckera na Googli:

On April 17th, 2018 TREND newspaper organized business breakfast on the topic "Open Data and GDPR", with subtitle "How will GDPR affect re-use of Open Data?" in Bratislava. The event had two parts: a presentation and a discussion panel.

Presentation

Filip Glasa (founder of FinStat, Ltd.) introduced the GDPR and how it relates to Open Data and FinStat.sk: The government publishes a lot of information in the form of Open Data. Individuals, businesses, or other organizations then use this data. Some of this data also contains personal information, therefore their processing needs to be taken with caution, whether "under new rules" due to GDPR or "as is" based on current valid legislation. As a representative of FinStat.sk, Filip focused mainly on scenarios where data is used by companies and named some of the typical purposes of processing of personal data from public registers:

• Treatment of financial and legal risks in the course of trade
• Financial frauds and financial crime
• Process purposes: automatic filling of information in invoices, orders, contracts
• Legitimate purposes: anti-money laundering, audit
• Bankruptcy, restructuring and de-crediting by creditors

Ľubor Illek (Information Security Specialist, Slovakia.digital) has demonstrated how does Open Data look like today in common life and also pointed out what personal information is currently available on the Internet and what is happening to this information: Many personal data are legitimate publicly available, and algorithms commonly work with them, see e.g. automatically created profile of former Minister Tomáš Drucker on Google:

Niečo také je z pohľadu IT prirodzená vlastnosť údajov a preto je potrebná verejná diskusia o tom, kde sú hranice prijateľného využitia takýchto informácií. GDPR tieto hranice nedefinuje presne, čo je dobre, lebo vďaka tomu máme priestor hľadať a definovať široký konsenzus v celej spoločnosti. Príklady:

• Zrejme je prijateľné aby sa informácia o tom, že pán Drucker bol v čase od 22.3.2018 do 17.4.2018 ministrom vnútra SR, bola známa a nestratila sa ani po rokoch.
• Zrejme nie je prijateľné, aby bol Ľubor Illek prezentovaný až do smrti ako "dlžník na poistnom" len preto, že raz zaplatil dva mesiace po termíne.

Priestor na konsenzus ponechávajú aj aktuálne IT a Open Data stratégie SR: počíta sa s ochranou osobných údajov, sú však zároveň definované výnimky pre otvorené údaje.

Ľubor zároveň ocenil, že GDPR kladie väčšie nároky na spracovateľov osobných údajov, keďže tak v kontexte otvorených údajov vlastne odľahčuje verejné inštitúcie pri publikovaní údajov.

Za jeden z výrazných problémov s osobnými údajmi označil aj chýbajúci oficiálny bezvýznamový identifikátor fyzických osôb: Na tento účel sa dnes (žiaľ ešte stále) používa typicky rodné číslo, ktoré je ale problematické, keďže sa z neho dá odvodiť dátum narodenia a pár ďalších informácií. A keďže dokonca ani rodné čísla nie sú úplne unikátne, tak sú prevádzkovatelia rôznych systémov kvôli jednoznačnej identifikácii nútený zbierať ešte aj ďalšie osobné údaje navyše (adresu, číslo OP, a pod.). Zavedenie bezvýznamového identifikátora by teda z pohľadu GDPR mnohým výrazne uľahčilo evidenciu osôb a tým aj dosiahnutie súladu s GDPR.

Pre lepšiu orientáciu tiež Ľubor použil Ekosystem.Slovensko.Digital ako konkrétnu ukážku použitia informácií napr. z RPO pre tzv. "autoform", t.j. automatické dopĺňanie kontaktných informácií do formulárov pre alebo o firmách (procesné využitie, o ktorom predtým hovoril Filip Glasa), viď https://ekosystem.slovensko.digital/sluzby/autoform .

Na záver ešte potom skonštatoval, že kým občanov a ich osobné údaje chráni ÚOOÚ, tak používateľov otvorených údajov zatiaľ nezastupuje nik.

Juraj Bárdy (vedúci skupiny Lepšie dáta, externý spolupracovník ÚPPVII) tému trochu obrátil a upozornil na riziko príliš veľkej ochrany osobných údajov: sťažená inovácia. Ak by totiž GDPR zamedzila širokému zberu údajov napr. v autodoprave či zdravotníctve, môže byť výsledkom nižšia bezpečnosť na cestách alebo vyššia úmrtnosť obyvateľov. Poukázal však aj na riziká spojené s príliš veľkým zberom údajov: napríklad manipulácia volieb cez sociálne siete alebo podrobné profilovanie obyvateľov čínskou vládou. Ako riešenie vidí kombináciu legislatívy a technológie, konkrétne v SR napr. pripravovaný nový zákon o údajoch a verejnú údajovú platformu ktorá o.i. poskytne občanom prehľad o tom, aké informácie o nich verejná správa má (tzv. "My Data").

Matej Šimalčík (právnik, Transparency International Slovensko) nadviazal na Filipa Glasu a Ľubora Illeka a vysvetlil, ako a prečo používajú verejné osobné údaje neziskové organizácie a že efektívna verejná kontrola bez osobných údajov nie je možná. Ako názorné ukážky použil výstupy analýz o súdnictve či polícii:

• mnoho ľudí v súdnictve má medzi sebou rodinné väzby
• stíhanie korupcie dotiahnuté pred súd: z politikov boli v sledovanom období usvedčení len tí nižšie postavení a vyviazli len s podmienkou

Seens from IT perspective, things like that are a natural feature of data and therefore a public debate is needed about where the acceptable use of such information is. GDPR does not define these borders precisely, which is good, because we have room to look for and define broad consensus throughout society. Examples:

• Apparently, it is acceptable that the information that Mr Drucker was in from March 22, 2018 to April 17, 2018, the Minister of the Interior of the Slovak Republic, will be known and will not disappear even after several years.
• Apparently, it is not acceptable for Ľubor Illek to be presented until death as "the insurance debtor" only because he once paid two months after the deadline.

Also current IT and Open Data strategies of the SR leave space for consensus: the protection of personal data is upheld, but exceptions for Open Data are also defined.

Ľubor also appreciated that GDPR puts greater demands on personal data processors, since in the context of Open Data, it actually makes public institutions less affected when publishing data.

He also labeled the missing official non-significant identifier of natural persons as one of the significant personal data problems: As of today, birth number is typically used for the purpose of identifying a person. But it is problematic solution, as date of birth and some other information can be deduced from it. And since even the birth numbers are not entirely unique, the operators of different systems are forced to collect even more personal data (address, PO number, etc.) for the sake of unambiguous identification. The introduction of an insignificant identifier would make it to implement registries of persons which comply with the GDPR.

For a better orientation, Ľubor also used Ekosystem.Slovensko.Digital as a concrete example of usage of information from (for example) RPO for so-called "autoform", i. automatic filling of contact information onto forms for or about companies (the process purposes previously mentioned by Filip Glasa), see https://ekosystem.slovensko.digital/sluzby/autoform.

His final remark was about representation: While citizens and their personal information is being protected by Office for Personal Data Protection, nobody stands for re-users of Open Data.

Juraj Bárdy (Leader of the Better Data Group, external collaborator of ÚPPVII) has turned the topic a bit and highlighted the risk of over-protection of personal data: difficulties in innovation. If GDPR prevents large data collection, for example, in road transport or health, it may result in lower road safety or higher mortality. However, he also pointed to the risks associated with too much data collection: for example manipulation of elections via social networks or detailed government profiling as performed the Chinese government. He sees the combination of legislation and technology as solution. Namely in Slovakia, the new Data Act and the Public Data Platform, which among other things will provide citizens with an overview of what public information government has about them (so-called "My Data").

Matej Šimalčík (lawyer, Transparency International Slovakia) followed up on topics started by Filip Glasa and Ľubor Illek and explained how and why non-profit organizations are using the public personal data and that effective public control without personal data is not possible. As illustrative examples, he used the outputs of the analysis of the judiciary or police:

• Many people in the judiciary have family ties between them
• Prosecution of corruption cases brought to court: in the period under review, prosecuted politicians have only been in a lower positions and have not been sent to jail

Z pohľadu neziskoviek sú otvorené údaje proaktívnym naplnením povinností štátu v oblasti transparentnosti a boja proti korupcii.

Pavel Nechala (advokát, Nechala & Co) na začiatku upozornil, že ohľadom problematiky Open Data a GDPR zastupujú FinStat a teda aj prezentovaný pohľad tomu bude zodpovedať. V spolupráci s FinStat.sk sa snažia zodpovedať otázku, či bráni GDPR spracovaniu osobných informácií ktoré pochádzajú z otvorených údajov. Odpoveď je v kontexte GDPR v oprávnenom záujme a teste proporcionality. Pri teste proporcionality sa môžeme oprieť o usmernenia od európskej WP29 či britského ICO, vždy však treba vyhodnocovať konkrétny projekt/systém. Konkrétne pre FinStat.sk sa adaptácia na GDPR zrejme zaobíde bez veľkých dopadov na funkcionalitu portálu, budú však musieť lepšie zdokumentovať, ktoré konkrétne údaje, odkiaľ konkrétne a ako konkrétne spracúvajú.

Diskusný panel

Diskusie sa zúčastnili Milan Andrejkovič (Úrad splnomocnenca vlády SR pre rozvoj občianskej spoločnosti), Pavel Nechala (advokát, Nechala & Co), Matej Šimalčík (právnik, Transparency International) a Adam Valček (vedúci investigatívnych projektov, SME). Diskusia sa väčšinou týkala už len samotnej GDPR a odpovedal zvyčajne len pán Nechala. Mimo toho vybočili len dve témy:

Osveta

GDPR so sebou v súčasnosti nesie akési vyvolávanie strachu a paniky, o.i. pod hrozbou likvidačných pokút a mnohých veľkých nových povinností.

V ČR vedie MV ČR v spolupráci s českým ÚOOÚ kampaň v ktorej vysvetľuje okrem iného to, že:

• kto dodržiava už existujúcu legislatívu (o ochrane osobných údajov, kybernetickej bezpečnosti a pod.), je už z pohľadu GDPR na "zhruba na 95% za vodou"
• žiadna legislatíva neumožňuje likvidačné pokuty a teda že napr. obec s rozpočtom v desaťtisícoch určite nemôže dostať pokutu 10 miliónov

V SR zatiaľ takúto kampaň nevedie nik. Slovenský ÚOOÚ zrejme na osvetu či metodickú podporu ani nemá veľké kapacity. Určite by však bolo prínosom, ak by sa nesústredil iba na kontroly a pokutovanie.

Kataster

Niekoľko otázok z publika smerovalo aj na otvorené údaje z Katastra. Ani po niekoľkoročnej snahe zatiaľ ÚGKK otvorené údaje neposkytuje, aj keď má verejnosť k dispozícii dokonca niekoľko portálov, ktoré umožňujú do údajov z Katastra nahliadnuť. Ľubor Illek napr. pripomenul eTrend Open Data Forum (3.12.2013), kde vtedy ešte digitálny leader SR p. Pellegrini vyzdvihoval význam otvorených údajov a prisľúbil Open Data aj z Katastra.

Zástupcovi ÚGKK v hľadisku patrí pochvala za to, že sa postavil a zapojil do debaty. Žiaľ, z pohľadu našej komunity, pretrváva dlhodobo zlá komunikácia a to čo povedal boli skôr len "staré, už mnoho krát vypočuté výhovorky":

• že ÚGKK prevádzkuje hneď niekoľko portálov kde možno na údaje nahliadať
  • to ale nie sú Open Data a teda od týchto portálov nemožno očakávať prínosy o ktorých hovoril napr. p. Pellegrini v roku 2013
  • zároveň sú tie portály z pohľadu použiteľnosti akosi "rozbité": každý je veľmi dobrý v niečom menšom, ucelene však nie je dobrý ani jeden
• že Open Data netreba, veď kto chce, môže s ÚGKK podpísať zmluvu a získať strojový prístup
  • nuž, napríklad novinári prítomní v sále skúšali, skúšajú a zatiaľ neuspeli
• že treba chrániť osobné údaje občanov, lebo sa sťažujú "že sú na internete"
  • aj keď teda ako komunita na začiatok žiadame len podľa nás "nekonfliktné" údaje bez tých osobných, t.j. typicky polohy, tvary a ID parciel
• že v okolitých štátoch je to s otvorenosťou katastrov ešte výrazne horšie
  • pričom komunita by zase privítala pozitívnejšie ladené porovnanie napr. s českým Katastrom, ktorý ukazuje ako sa to dá: 300 tisíc datasetov, strojovo spracovateľné, hromadne prístupné na stiahnutie, s licenciou podobnou CC-BY

(Pozor: Pán z ÚGKK nebol oficiálnym zástupcom ÚGKK a teda jeho vyjadrenia nemožno brať ako oficiálne. Plus aj ja som mohol zle počuť či pochopiť. Ak niekto máte upresnenia, prosím dajte mi vedieť.)

Pozitívne môžeme vnímať informáciu, že z titulu zmluvy uzatvorenej medzi ÚGKK a NASES aktuálne prebiehajú debaty o tom, ktoré časti Katastra budú niekedy zverejnené v podobe otvorených údajov.

From the perspective of NGOs, Open Data represents a proactive fulfillment of the government's obligations in the fields of transparency and the fight against corruption.

Pavel Nechala (attorney, Nechala & Co) pointed out at the beginning that they are FinStat's representatives on Open Data and GDPR, so the view they will present will correspond to that fact. In collaboration with FinStat.sk, they are trying to answer the question whether GDPR prevents the processing of personal information that comes from Open Data. In the context of GDPR, the answer lies in legitimate interests and the proportionality test. While performing the proportionality test, we can rely on guidance from the European WP29 or the UK ICO, but it is always necessary to evaluate the particular project / system. Specifically for FinStat.sk, the adaptation to GDPR seems to be without great impact on the functionality of the portal, but they will have to better document specifics of which data from where and how they process.

Discussion panel

The discussion panel was attended by Milan Andrejkovič (Office of the plenipotentiary for the Development of the Civil Society), Pavel Nechala (Advocate, Nechala & Co), Matej Šimalčík (lawyer, Transparency International) and Adam Valček (Head of Investigative Projects, SME). The discussion mostly concerned only the GDPR itself, with only Mr Nechal responding. Apart from that, only two themes diverged:

Education

The GDPR now carries with it a kind of fear and panic, threat of liquidation fines and many major new obligations being major topics.

In the Czech Republic, the Ministry of the Interior, in co-operation with the Czech Office for Personal Data Protection, are leading a campaign explaining, among other things, that:

• those who comply with existing legislation (on personal data protection, cyber security, etc.), are already from the point of view of GDPR approximately "95% compliant"
• no legislation allows liquidation fines and therefore, for example, a municipality with a budget of ten thousand certainly can not get a fine of 10 million

There is no such campaign in the the Slovak Republic yet. Slovak Office for Personal Data Protection does not seem to have the capacities to promote or provide methodological support. However, it would certainly be beneficial if they avoid focusing just on controls and fines.

Cadastre

Several questions from the audience were also directed towards Open Data from the Cadastre. Even after many years of effort, the ÚGKK does not provide Open Data, even though there are several portals available to the general public that allow to look into the Cadastre data. Ľubor Illek reminded of the eTrend Open Data Forum (3.12.2013), during which then the digital leader of Slovakia Mr. Pellegrini highlighted the importance of Open Data and promised Open Data also from the Cadastre.

The ÚGKK's representative have to be given praise for standing up and taking part in the debate. Unfortunately, from the point of view of our community, long-standing bad communication persists, and what was said was rather "same old excuses already heard many times":

• That ÚGKK is running several portals where it is possible to look at the data
  • But those do not provide Open Data, so we can not expect from these portals the gains mentioned for example by Mr. Pellegrini in 2013
  • At the same time, those portals are "broken" from a usability point of view: each one of them is very good at something particular, but not good overall
• That Open Data is not needed, since anyone who wants to can sign a contract with the ÚGKK and get access to a machine-readable data
  • For example, journalists present in the hall told us, that they have tried, are still trying but for now failed to get access
• That it is necessary to protect the personal data of citizens because they complain that "they are on the Internet"
  • Even though we, as a community, are asking (at the beginning) only for "nonconflicting" data without personal information, typically positions, shapes, and IDs of parcels
• That in the other states it is even worse with the openness of the cadastres
  • While we as community would welcome a more positively tuned comparison, for example with the Czech Cadastre which is showing that it can be done: 300,000 datasets, machine-readable, bulk-accessible, with license similar to CC-BY

(Caution: The member of the audience from UGKK was not the official representative of the UGKK and hence his statements can not be taken as official. Plus I could hear him or understand him badly. If anyone has any corrections, please let me know.)

We take it as a positive sign that based on a contract signed between the ÚGKK and NASES a discussion is currently in progress, determining which parts of the Cadastre will sometimes be published in the form of Open Data.