ZAKLJUČNO POROČILO O REZULTATIH OPRAVLJENEGA RAZISKOVALNEGA DELA NA PROJEKTU V OKVIRU CILJNEGA RAZISKOVALNEGA PROGRAMA (CRP) »KONKURENČNOST SLOVENIJE 2006 - 2013« I. Predstavitev osnovnih podatkov raziskovalnega projekta 1. Naziv težišča v okviru CRP: ^ 1. Konkurenčno gospodarstvo in hitrejša rast IM republika SLOVENIJA nosilec javnega pooblastila JAVNA AGENCIJA ZA RAZISKOVALNO DEJAVNQST 2. Šifra projekta: V2-0220 3. Naslov proj ekta: Prejeto: -6 -11- 2008 Sh 7 ■ oiic p-i-,- Šifra zadev» Empirična analiza stanja varovanja in uporabe osebnih podatkov s pravnega in informacijsko-komunikacijskega vidika 3. Naslov projekta 3.1. Naslov projekta v slovenskem jeziku: Empirična analiza stanja varovanja in uporabe osebnih podatkov s pravnega in informacijsko-komunikacijskega vidika 3.2. Naslov projekta v angleškem jeziku: Empirical analysis of state of protection and use of personal data from legal and information-communication viewpoint 4. Ključne besede projekta 4.1. Ključne besede projekta v slovenskem jeziku: varovanje osebnih podatkov, svetovni splet, empirična analiza stanja 4.2. Ključne besede projekta v angleškem jeziku: personal data protection, world wide web, empirical state analysis Obrazec ARRS-RI-CRP-ZP/2008 Stran 587 od 10 5. ^aziv nosilne raziskovalne organizacije: Univerza v Mariboru, Fakulteta za elektrotehniko, računalništvo in informatiko 5.1. Seznam sodelujočih raziskovalnih organizacij (R0): Univerza v Mariboru, Pravna Fakulteta, ACROS računalniški inženiring d.o.o. 6. Sofinancer/sofmanceiji: Ministrstvo za visoko šolstvo, znanost in tehnologijo 7. Šifra ter ime in priimek vodje projekta: 18433 Mitja Lenič Datum: 30.10.2008 Podpis^dje projekta: fs^a Lenič Podpis in žig izvajalca: ^ TaC^. Ivan Rozman VN' «ss,. jI Äf i - H, ai Obrazec ARRS-RI-CRP-ZP/2008 Stran 588 od 10 II. Vsebinska struktura zaključnega poročila o rezultatih raziskovalnega projekta v okviru CRP 1. Cilji projekta: 1.1. Ali so bili cilji projekta doseženi? K a) v celoti b) delno c) ne Če b) in c) Je potrebna utemeljitev. 1.2. Ali so se cilji projekta med raziskavo spremenili? ^ a) da El b) ne Če so se, je potrebna utemeljitev: Obrazec ARRS-RI-CRP-ZP/2008 Stran 589 od 10 2. Vsebinsko poročilo o realizaciji predloženega programa dela 1. V projektu so bili doseženi vsi pričakovani rezultati. Izvedena je bila analiza možnosti avtomatske zlorabe uporabe in zbiranja osebnih, podatkov na svetovnem spletu, s posebnim poudarkom na informacijah javnega značaja in javno dostopnih zbirk podatkov. Z avtomatskimi orodji je z določeno mero truda možno zgraditi celotno bazo podatkov lastnikov zemljišč in indirektno tudi prebivalcev republike Slovenije z njihovimi osebnimi podatki o stalnem bivališču, lastniških deležih in solastnikih nepremičnin, kar omogoča nadaljnje povezovanje in odkrivanje (tudi sorodstvenih) povezav. Dodatno povezovanje storitve z ostalimi samo javno razpoložljivimi spletnimi viri, ki jih nudi država na svojem portalu, predstavlja neprecenljiv vir osebnih podatkov in posledično velik potencial za njihovo zlorabo. Zaradi kočljivosti orodja in možnosti zlorabe razvitega orodja smo vzpostavili navidezno storitev, ki demonstrira možnosti potencialnega avtomatskega zbiranja in povezovanja (osebnih) podatkov, kar postaj predvsem pereč zaradi vse večjih razpoložljivih virov posameznikov, kakor tudi neusklajenega in nesistematičnega delovanja slcrbnikov zbirk osebnih podatkov. Demonstracijska storitev je dostopna na naslovu http://varnost.uni-mb.si/vohljac/ inje bila predstavljena širši strokovni javnosti s področja prava in informatike. Na osnovi prototipa je bila razvita razširitev, ki omogoča avtomatsko zbiranje informacij in povezovanje storitev iz portala http;//prostor.gov.si in http://www.e-geocenter.com. Kot študijski primer je na strani https://vamost.uni-mb.si/varnost/search.php prikazano delovanje storitve za iskanje po zbranih podatkih, ki omogoča enostavno iskanje po javno dostopnih informacijah iz svetovnega spleta. Pri skrbnikih zbirk podatkov je bila izvedena anketa, kjer smo se oprli na identifikacijo ključnih elementov zlorabe osebnih podatkov skozi življenjski cikel zbhanja, hranjenja in upravljanja le-teh z izrazitim poudarkom na njihovo dostopnost preko javnih baz ter z upoštevanjem možnosti tehničnega povezovanja med njimi. Pri procesu smo veliko pozornost posvetili identifikaciji stanja varnosti informacijskih sistemov v javnem sektorju, predvsem v tistih okoljih, kjer shranjujejo ter upravljajo z osebnimi podatki. Pomena so bila tudi okolja, v katerih načrtujejo, gradijo ter preverjajo informacijske sisteme, namenjene hranjenju in upravljanju z osebnimi podatki ter varnostne metodologije, nivoji varovanja in vgrajeni varnostni mehanizmi. Iz rezultatov ankete in splošne dobre prakse so bila izdelana priporočila, katerih namen je izboljšanje postopkov pri upravljanju in varovanju zbirk in s tem zvišanje stopnje varovanja osebnih podatkov. Ankete in rezultati ankete so objavljeni na spletni strani varnost.uni-mb.si. Nad rezultati je bila izvedeno tudi avtomatsko simbolično nenadzorovano učenje, s katerimi smo si pomagali pri izdelavi priporočil. Prav tako opažamo, da se je dvignila stopnja zavedanja upravljavcev določenih javnih baz oz. upravljavcev storitev, ki nudijo informacije javnega značaja, saj so le-ti pričeli uporabljati preproste tehnike za preprečevanje avtomatskih - strojnih zbiranje podatkov iz ^ Potrebno je napisati vsebinsko raziskovalno poročilo, kjer mora biti na kratko predstavljen program dela z raziskovalno hipotezo in metodološko-teoretičen opis raziskovanja pri njenem preverjanju ali zavračanju vključno s pridobljenimi rezultati projekta. Obrazec ARRS-RI-CRP-ZP/2008 Stran 590 od 10 njihovih baz. Učinkovitost teh tehnik je sicer omejena, in povečuje kompleksnost uporabe storitve s strani končnih uporabnikov, je pa prvi korak k boljšemu varovanju podatkov javnega značaja, objavljenih na svetovnem spletu. Obrazec ARRS-RI-CRP-ZP/2008 Stran 591 od 10 3. Izkoriščanje dobljenih rezultatov: 3.1... 3.2. Kalden je potenciaM pomen^ rezultatov vašega razis^^ a) odkritje novih znanstvenih spoznanj; b) izpopolnitev oziroma razširitev metodološkega instrumentarija; c) razvoj svojega temeljnega raziskovanja; d) razvoj drugih temeljnih znanosti; ^ e) razvoj novih tehnologij in drugih razvojnih raziskav. Označite s katerimi družbeno-ekonomskimi cilji (po metodologiji OECD-ja) sovpadajo rezultati vašega raziskovalnega projekta: a) razvoj kmetijstva, gozdarstva m ribolova - Vključuje RR, ki je v osnovi namenjen razvoju in podpori teh dejavnosti; b) pospeševanje industrijskega razvoja - vključuje RR, ki v osnovi podpira razvoj industrije, vključno s proizvodnjo, gradbeništvom, prodajo na debelo in drobno, restavracijami in hoteli, bančništvom, zavarovalnicami in drugimi gospodarskimi dejavnostmi; c) proizvodnja in racionalna izraba energije - vključuje RR-dejavnosti, ki so v funkciji dobave, proizvodnje, hranjenja in distribucije vseh oblik energije. V to skupino je treba vključiti tudi RR vodnih virov in nuklearne energije; ^ d) razvoj infrastrukture - Ta skupina vključuje dve podskupini: • transport in telekomunikacije - Vključen je RR, ki je usmerjen v izboljšavo in povečanje varnosti prometnih sistemov, vključno z varnostjo v prometu; • prostorsko planiranje mest in podeželja - Vključen je RR, ki se nanaša na skupno načrtovanje mest in podeželja, boljše pogoje bivanja in izboljšave v okolju; e) nadzor in skrb za okolje - Vključuje RR, kije usmerjen v ohranjevanje fizičnega okolj a. Zaj ema onesnaževanj e zraka, voda, zemlj e in spodnj ih sloj ev, onesnaženje zaradi hrupa, odlaganja trdnih odpadkov in sevanja. Razdeljen je v dve skupini: f) zdravstveno varstvo (z izjemo onesnaževanja) - Vključuje RR - programe, ki so usmerjeni v varstvo in izboljšanje človekovega zdravja; 3 g) družbeni razvoj in storitve - Vključuje RR, ki se nanaša na družbene in kulturne probleme; h) splošni napredek znanja - Ta skupina zajema RR, ki prispeva k splošnemu napredku znanja in ga ne moremo pripisati določenim ciljem; i) obramba - Vključuje RR, ki se v osnovi izvaja v vojaške namene, ne glede na njegovo vsebino, ali na možnost posredne civilne uporabe. Vključuje tudi varstvo (obrambo) pred naravnimi nesrečami. Označite lahko več odgovorov. Obrazec ARRS-RI-CRP-ZP/2008 Stran 592 od 10 3.3. Kateri so neposredni rezultati vašega raziskovalnega projekta glede na zgoraj označen potencialni pomen in razvojne cilje?_ predlaganje ukrepov za izboljšanje tehničnega in pravnega varovanja osebnih podatkov na podlagi ugotovitve trenutnega stanja stopnje zavedanja varovanja osebnih podatkov, tehnične stopnje varovanjia in demonstracija zmožnosti zlorabe tehniičnih sredstev za nepooblaščeno pridobivanje osebnih podatkov. 3.4. Kakšni so lahko dolgoročni rezultati vašega raziskovalnega projekta glede na zgoraj označen potencialni pomen in razvojne cilje? _ v primeru upoštevanja priporočil se lahko bistveno izboljša (tehnična) stopnja varovanja osebnih podatkov in posledično poveča zaupanje prebivalstva v institucionalno varovanje osebnih podatkov. 3.5. Kje obstaja veijetnost, da bodo vaša znanstvena spoznanja deležna zaznavnega odziva? 3 a) v domačih znanstvenih krogih; b) v mednarodnih znanstvenih krogih; 3 c) pri domačih uporabnikih; d) pri mednarodnih uporabnikih. 3.6. Kdo (poleg sofinanceijev) že izraža interes po vaših spoznanjih oziroma rezultatih? 3.7. Število diplomantov, magistrov in doktorjev, ki so zaključih študij z vključenostjo v raziskovalni projekt? _ 4. Sodelovanje z tujimi partnerji: 4.1. Navedite število in obliko formalnega raziskovalnega sodelovanja s tujimi raziskovalnimi institucijami. Obrazec ARRS-RI-CRP-ZP/2008 Stran 593 od 10 4.2. Kakšni so rezultati tovrstnega sodelovanja? 5. Bibliografski rezultati^; Za vodjo projekta in ostale raziskovalce v projektni skupini priložite bibliografske izpise za obdobje zadnjih treh let iz COBISS-a) oz. za medicinske vede iz Inštituta za biomedicinsko informatiko. Na bibliografskih izpisih označite tista dela, ki so nastala v okviru pričujočega projekta. 6. Druge reference'* vodje projekta in ostalih raziskovalcev, ki izhajajo iz raziskovalnega nroiekta: ^ Bibliografijo raziskovalcev si lahko natisnete sami iz spletne strani:http:/www.izum.si/ ^ Navedite tudi druge raziskovalne rezultate iz obdobja financiranja vašega projekta, ki niso zajeti v bibliografske izpise, zlasti pa tiste, ki se nanašajo na prenos znanja in tehnologije. Navedite tudi podatke o vseh javnih in drugih predstavitvah projekta in njegovih rezultatov vključno s predstavitvami, ki so bile organizirane izključno za naročnika/naročnike projekta. Obrazec ARRS-RI-CRP-ZP/2008 Stran 594 od 10