Podmienenie statnych sluzieb akceptaciou podmienok 3. stran (napr. Google reCAPTCHA)

@miromr:

Co sa tyka zmluvnych podmienok medzi Googlom a statom, tak nic take zial neexistuje. Kazdy prevadzkovatel si to riesi samostatne. V ramci mojej komunikacie so Statistickym Uradom SR (scitanie.sk) mam potvrdene, ze ten mal s Googlom (resp. jeho Irskou pobockou) uzavretu zmluvu len formou potvrdenia jej Vseobecnych obchodnych podmienok (Terms and conditions) v ich GCP ucte. Cize realne ono vlastne ani ziadna zmluva neexistuje.

Podmienky implementacie sluzby Google reCAPTCHA Enterprise su dostupne tu: Service Specific Terms  |  Google Cloud, konkretne k dnesnemu datumu bod 25 v sekcii Service Terms.

a. Information. reCAPTCHA Enterprise works by collecting hardware and software information, such as device and application data, and sending this data to Google for analysis. The information collected in connection with Customer’s use of the reCAPTCHA Enterprise Service will be used for providing, maintaining, and improving reCAPTCHA Enterprise and for general security purposes. It will not be used for personalized advertising by Google.

Nikde nie je definove, co presne znamena tato vagna definicia z 1. vety tohto bodu - “hardware and software information, such as device and application data”. Z povahy zvolenej implementacie mozno len konstatovat, ze prevadzkovatel umiestnil skript danej sluzby (ktory je hostovany na serveroch 3. strany a prevadzkovatel nad jeho obsahom nema kontrolu) priamo do webstranky, kde sa mozu nachadzat aj udaje obcana. Tym prevadzkovatel poskytol tejto 3. strane pristup k celemu obsahu webstranky a teda aj ku vsetkym udajom, ktore su tam pritomne a tym padom aj k mnozine udajov vyplnenych vo formulari, ktore spadaju pod PII. Tu je otazne, co v praxi tato skutocnost znamena v kombinacii s touto vagnou definiciou zo strany Googlu.

b. Privacy Policy. Customer will provide and adhere to a privacy policy for its API client that clearly and accurately describes to applicable Customer End Users what user information Customer collects and how Customer uses and shares such information (including for advertising) with Google and third parties. Customer will be responsible for providing any necessary notices or consents for the collection and sharing of this data with Google. Customer and its API client(s) will comply with the EU User Consent Policy.

Tu v zmysle 1. vety tohto bodu, prevadzkovatel mal informovat obcanov, ake udaje zdiela s Googlom, minimalne v rozsahu/textacii z 1. bodu tychto podmienok - “hardware and software information, such as device and application data”, kde sa opat dostavame k problematike, co tato vagna definicia vlastne znamena.

c. Terms. Customer agrees to explicitly inform applicable Customers End Users that Customer has implemented reCAPTCHA Enterprise on its properties and that Customer End Users’ use of reCAPTCHA Enterprise is subject to the Privacy Policy and Terms of Use. reCAPTCHA Enterprise may only be used to fight spam and abuse on Customer’s properties, and not for any other purposes, such as determining credit worthiness, employment eligibility, financial status, or insurability of a user.

A v tomto bode 1. veta hovori to, ze prevadzkovatel mal obcanov informovat o implementacii danej sluzby na svojej webstranke a co tato skutocnost znamena pre samotnych obcanov - ze pouzitim tejto sluzby obcan vlastne akceptuje zmluvne podmienky a ochranu sukromia Googlu. A nie, nejaky stvorcek dolu vpravo na obrazovke, v ktorom su umiestnene 2 odkazy bez kontextu tento bod nenaplna. Vlastne z toho stvorceka ani nie je zrejme, ci sa jedna o Enterprise verziu alebo nie. A to som videl aj variantu, kde bol tento stvorcek takmer kompletne prekryty floating action buttonom (tusim e-hranica to takto svojho casu mala).

Takze asi tolko k danym podmienkam z mojej strany. Co sa tyka planu B, tam je otazne co prevadzkovatelovi poskytne porovnatelnu ochranu (v ramci opravneneho zaujmu prevadzkovatela chranit si svoje webove sidlo) ako tato sluzba a navyse nebude obcana viazat ziadnymi dalsimi podmienkami. Napr. eID by slo na tento ucel pekne vyuzit, ale to tiez nie je povinne, cize by musel byt aj plan C. A takto mozme pokracovat dalej az nakoniec dojdeme k variante, ze by obcan musel postou posielat prevadzkovatelovi nejaky list/prehlasenie (a este by zalezalo od povahy sluzby, ci by musel obsahovat overeny podpis od notara/matriky).

A co sa tyka kompetentneho uradu, o tom som sa uz rozpisal vyssie. Sam som s touto zalezitostou kontaktoval viacero uradov/institucii, ale vsetci davaju od toho ruky prec. Nahlasovat nekorektne pouzitie priamo Googlu (ak je to vobec mozne), tiez nebude riesenim, kedze v praxi by to bolo mozno 1 nahlasenie na 1 000 000 pouziti, co by sa javilo len ako statisticka chyba a nikto by to dalej neriesil. Podvolit sa tiez nie je riesenie - dnes statu dovolime pouzit sluzby Googlu o rok to bude zase nieco ine a mozno este horsie. Lepsie je to podchytit hned na zaciatku. Preto som dufal, ze by toto vlakno mohlo nastartovat aj nejake aktivity zo strany SD, ku ktoremu by nase institucie s najvacsou pravdepodobnostou pristupovali inak ako k jednemu otravnemu obcanovi.

1 Like

tak, tak tu ta trochu prisrobuju, potom tuto a zase po case hentam a naraz zistis ze si zamotany ako v pavucine. Nie je to prva takato stranka a stat by mal pouzivat vlastny system s podobnym stupnom ochrany ale hlavne taky ktory ma vo svojej moci. Bol by problem napriklad zadat pre ITSlovensko ulohu nieco take vytvorit? Vratane statistickeho systemu aby sa na statistiky neposielali slutzbe googlu udaje o tom ktora ip chodi kedy do ktorej schranky a zlozky v schranke upvs. Toto by mal mat stat vlastne a pod svojou kontrolou.

vytvorit dobru captchu zjavne nie je uplne trivialne, nie je problem to zadat, len je neiste ci to bude take dobre ako google.
A stale nevidim to velke riziko, ktore to ma riesit. Asi som malo paranoidny. Ale to ake data su posielane je v dokumentacii, da sa to overit ze to plati.

@miromr:

Podla mojho osobneho nazoru, by jednak nas stat nedokazal vytvorit porovnatelne kvalitne sluzby ako su sluzby Googlu (teda primarne recaptchu, analytika by problem nebola) a jednak si myslim, ze by ich nezvladal dlhodobo prevadzkovat a udrziavat v pozadovanej kvalite. Nehovoriac o tom, ze s najvacsou pravdepodobnostou sluzby Googlu aktualne stat vyuziva zadarmo.

@vliv2:

Tu nejde primarne o nejake riziko. V predchadzajucom prispevku som to uviedol len na margo tych podmienok, pricom riesene by mohlo byt uplne trivialne - umiestnit recaptchu na dalsiu podstranku (t.j. na dalsi krok daneho procesu), kde uz nebudu pritomne ziadne udaje obcana. Tym padom by sa Google mohol dostat len k mnozine udajov ako IP alebo UA, ale uz nie k udajom z formularu (ak nezostanu este v local / session storage). Nikde som ani nepisal, ze k nim Google aktivne pristupuje, len som upozornil na fakt, ze prevadzkovatel mu to zvolenou implementaciou umoznil. Ja osobne som zastanca nazoru “Better safe than sorry.” a preto som aj na tuto moznost upozornil.

Primarny problem je ale uplne ineho charakteru. Ak ma stat stavia do pozicie, ze mam prijat podmienky 3. strany s ktorymi nesuhlasim, tak ich jednoducho neprijmem a skoncil som - a to je kamen urazu, ze neexistuje alternativny sposob bez prijatia tychto podmienok. V skutocnosti pri tomto pripade s recaptchou ani ziadne explicitne prijatie podmienok neprebehne, kedze stat ani Google mi nedali na vyber medzi prijatim a neprijatim - to je len moje ohradenie voci tym podmienkam, kde stat ich kvazi uz pred-prijal za mna pricom ma ani o tomto fakte neinformoval (co v zmysle podmienok implementacie danej sluzby mal spravit). Stat nie je sukromny sektor ako napr. e-shop, ze ak nesuhlasim, tak jednoducho idem ku konkurencii a nakupim tam.

Ak tvrdite, ze je k tomu dostupna dokumentacia, mozte sem kludne poslat link, kde sa ja ako koncovy pouzivatel budem vediet k nej bez problemov dostat (t.j. bez Google konta) a na jej zaklade si vase tvrdenie o overitelnosti sam overit. Ja osobne takouto informaciou nedisponujem a pochybujem, ze by Google niekde explicitne zverejnil aku konkretnu mnozinu udajov spracovava a odosiela k sebe na server. Ak by toto bolo zname, bolo by velmi jednoduche obist celu recaptchu.

A toto nie je problem len recaptchy, Androidu s GMS, resp. sluzieb Googlu ako takych. Do obdobnej situacie sa dostanete napr. aj so SW pre eID citacku (pre Linux), kde stat po obcanoch pozaduje prijatie licencnych podmienok Oracle Javy. Tiez ich mozte odmietnut a ste skoncili (aspom podla oficialnej dokumentacie).

ok, skusim reformulovat problem.
na jednej strane je snaha urobit sluzby statu s co najvyssou pridanou hodnotou a to vyzaduje napriklad vediet email, telefon, suhlas s roznymi licencnymi poziadavkami atd. Ale zaroven by stat mal poskytovat aj sluzby na najnizsom spolocnom menovateli, teda osobne a len s vyuzitim toho zakon prikazuje ( v zasade obciansky ).

Je toto ten problem ?

@vliv2:

Myslim, ze sa vam zlievaju 2 vlakna do jedneho. E-mail a telefon sa riesi v tomto vlakne.

Vo vztahu obcan-stat su casto pritomne aj osobne/citlive udaje a do tohto vztahu by nemali byt zbytocne zatahovane dalsie 3. strany (minimalne nie bez explicitneho consentu obcana), ktore s danou sluzbou vobec nesuvisia.

To, ze recaptcha zjednodusi zivot programatorom, mna ako koncoveho uzivatela nemusi vobec zaujimat. Nevidim dovod preco by som musel napr. pre ucel scitania sa akceptovat nejake podmienky Googlu. Ako Google suvisi s mojim scitanim sa (resp. registraciou na vakcinaciu alebo do e-hranice)?

Vo vseobecnosti, ak postavime obcana do pozicie, ze moze nejake podmienky (3. strany) odmietnut (alebo sa voci nim ohradit), tak treba ratat aj s takymto scenarom.

Ak by sa recaptcha zamenila napr. za eID, tak by som v tomto pripade namietky nemal. Ale to by eID muselo byt povinne a kazdy obcan by musel disponovat pristupom k internetu a zariadenim kompatibilnym s citackou (ci uz doma alebo na kontaktnych miestach zriadenych statom).

1 Like

@vliv2:

Este raz si citam vasu spravu a myslim si, ze ano, z casti to co ste napisali mozno oznacit za tento problem.

Sam spominate, ze by stat mal sluzby poskytovat aj kvazi offline sposobom - osobne s OP, resp. by som prekusol aj online variantu s mnozinou udajov rovnou alebo mensou mnozine udajov na OP. A toto je jeden z problemov, ze tuto variantu nie vzdy stat poskytuje:

  • colne vyhlasenie - netusim (este som nezistoval) ako ide vybavit offline,
  • GreenPass, resp. jeho PDF/papierova varianta - tiez netusim ako sa da ziskat offline,
  • registracia na vakcinaciu - len nedavno sa otvorila aj pre neregistrovanych (teda cca. rok bola len online) a tu doslova ide o zdravie,
  • e-hranica - nie je ziadne oficialne info o tom ako postupovat offline (ci na hraniciach niekto bude s papierom, ktory vyplnim a co robit ak na hraniciach nikto nebude / nikto ma nezastavi),
  • scitanie - tu dokonca zakon explicitne urcoval, ze sa malo dat autentifikovat len pomocou mnoziny udajov z OP a realne to mozne nebolo, kedze tam bol zase nutny suhlas s podmienkami 3. strany, ktore so scitanim nesuviseli (a nech som teda korektny, existoval aj regulerny offline variant).

Ale to uz sme off-topic, tak prosim, skusme sa drzat povodnej temy. Dakujem.

No a tie dalsie casti problemu (resp. samostatne problemy) su spomenute v mojom predchadzajucom prispevku.

ja netvrdim ze to dnes stat robi, len sa snazim pochopit vase vychodiska a co je vasa poziadavka.
Ak to smeruje k tomu ze by mali byt podporovane aj vsetky medziscenare, tak to naraza na efektivitu. Uz len pouzivanie kazdeho internet browsera znamena akceptovat nejake licencne podmienky, ak to dovediem do extremu tak by pre par uzivatelov mal existovat statny operacny system so statnym browserom, statnym programovacim jazykom atd.

Ciste technicky google recaptcha zbiera a zasiela nasledovne data:
All cookies placed by Google over the last 6 months,
How many mouse clicks you’ve made on that screen (or touches if on a touch device),
The CSS information for that page,
The date,
The language your browser is set to,
Any plug-ins you have installed on the browser, and
All Javascript objects

VsZP to umožňuje vo svojich pobočkách. Ostatné ZP neviem. Možno to je iba iniciatíva VsZP. Ak si dobre pamätám, tak zákon prikazuje ZP iba elektronický prístup ku DGC pre svojich poistencov.

To znamená všetky údaje uvedené na stránke ?

neviem, myslim si ze ide o o nazvy ako vstup do AI. Ale davam to ako som to dostal.

Ak by stránka robila nejakú client-side validáciu formulára alebo iné fancy veci s poliami formulára (highlighty, show/hide atď) tak by som sa nedivil keby sa to dostalo do takej širokej množiny ako all Javascript objects.

Samozrejme, toto je tiez jeden z problemov. Mozte sa na to kludne pozret aj opacnou optikou - hocico k offline sposobu (ktory by mal byt podporovany uz v zaklade) je uz len z principu nadpraca (samozrejme netvrdim, ze zbytocna).

Stat by mal koncipovat svoje sluzby tak, aby tych potencionalnych medziscenarov bolo co najmenej - napr. ak by Google umoznoval pouzitie, kde by vystupoval len v ulohe sprostredkovatela a nie prevadzkovatela. Vtedy by uz nebolo nutne udelovat suhlas s podmienkami Googlu (3. strana), ale jeho podmienky by museli byt zahrnute v podmienkach prevadzkovatela (ktore zase na zaklade tejto skutocnosti moze obcan odmietnut). Navyse by prevadzkovatel mal priestor si vyjednat vlastne podmienky s Googlom - ak by nieco taketo Google umoznil, co z pochopitelnych dovodov neumoznuje.


Kludne mozme prehnat do extremu aj formu kontaktneho miesta s PC a internetom (ktora by mala sluzit ako fallback k online variante). Obcan by tam musel podpisat preberaci protokol k zariadeniu, dalsi formular co moze a nemoze so zariadenim robit, musel by byt oboznameny s licencnymi podmienkami OS, browsera atd. V pripade, ak by tie udaje poskytol zamestnancovi (namiesto interakcie s PC), tak ten by ho musel o vsetkom tomto informovat a odrecitovat vsetky mozne podmienky (jednak prevadzkovatela a jednak 3. stran). A to stale by mal obcan moznost ich odmietnut. Ak by to malo byt spravene vsetko koser aj z hladiska tychto extremov, tak tu mozme zacat budovat malu Cinu.

Na druhej strane, statu nic nebrani zobrat si nejaky open source napr. AOSP + Chromium, nahrat to do nejakeho lacneho lagdroidu a ma relativne lacne zariadenie na vyuzivane statnych sluzieb bez akychkolvek licencnych podmienok 3. stran. Kludne by taketo zariadenie mohol stat poskytovat kazdemu obcanovi, ktory si o nho poziada. K tomu by mu stat este poskytol SIM kartu s datami a e-mailove konto a podla mojho nazoru, uz mame solidny zaklad pre digitalne sluzby (za predpokladu, ze sa este doriesi funkcnost eID citacky v takomto zariadeni).


Ak by sme vychadzali z predpokladu. ze ta mnozina udajov je pravdiva (netusim ako si to ja ako koncovy uzivatel mozem realne overit) a prevadzkovatel ma s tymto preukazatelne informoval (co sa mi nestalo na ziadnom statnom webe), tak by som stale stym mal problem, resp. sa vynara este viac otazok ako odpovedi.

  • Co tie cookies? Kde mam ja ako koncovy uzivatel zaruku, ze Google nebude z kontextu webstranky pristupovat aj k inym cookies ako ku svojim? Z principu bude, lebo si musi tie svoje vyfiltrovat zo vsetkych - v javascripte sa k nim neda pristupovat selektivne, kedze document.cookie je jeden kilometrovy string, ktory treba rozparsovat a nasledne vyfiltrovat. Alternativne sa k nim da pristupovat aj z headrov requestu (na API Googlu), co by bola ovela bezpecnejsia varianta, ale tam by mal pristupne cookies len v ramci domeny, na ktoru request smeruje.
  • Isto pocita len pocet klikov a nie klik + timestamp + x + y? Neviem si predstavit (a teda tomuto tvrdeniu ani neverim), co by mu priniesol len samotny udaj o pocet klikov. Webstranka by sa mala dat kompletne ovladat len klavesnicou alebo na druhej strane, mozem spravit klikov aj milion.
  • Ked uz Google priznal, ze trackuje kliknutia, kde je zaruka ze netrackuje aj stlacenie klaves (a ze sa nechova ako keylogger)?
  • Co vsetko spada pod pluginy? Su to vyslovene len pluginy (h264, flash) alebo aj extensions? A co browser, ktory nepouziva terminologiu Googlu (extensions vs. addons)?
  • A co ten javascript? Ako je v ramci tejto definicie definovany javascriptovy objekt? V terminologii javascriptu je aj document.body alebo document.forms objektom. A co vsetky SPA (zatial som takyto statny web este nevidel), ktore maju vlastny state persistovny v premennej alebo local / session storage (tiez sa mimo API k tomu da pristupovat aj ako k objektu)?
  • A co ak extenzivne pouzivam vlastne extensions (kde mam uvedene moje kontaktne udaje v rozsahu, ktory spada uz pod PII), ktore sa zo svojho sandboxu injectuju priamo do kontextu samotnej webstranky a kazda instancia (v terminilogii javascriptu je to znova objekt) obsahuje aj tieto PII?

Teda opat nie som ochotny taketo podmienky akceptovat (a to nespominam obcanov, ktory to nemusia akceptovat len z titulu, ze takato moznost existuje - co je tiez uplne legitimna situacia, ktoru treba akceptovat a riesit ak postavime obcana pred takuto volbu). Za mna su tieto podmienky Googlu opat velmi vagne formulovane - ale to je v tejto sfere snad uz pravidlom.

A zase mozme ist aj do extremu. Co taka IP, ktora tiez uz za istych okolnosti spada pod PII? Google disponuje prostredkami, aby si IP priradil k nejakej mnozine kont (alebo idealne len k jednemu), ktore tuto IP vyuzivaju (alebo v minulosti vyuzivali). Alebo iny extrem, co ak si do UA (alebo hocikajeho ineho headra) setnem strukturovane serializovane data s mojimi PII? Odmietne server Googlu (alebo hocijaky iny server) takyto request spracovat (ako by vobec vedel zistit formu serializacie a to, ze sa jedna o PII)? Ostanu tieto PII (v pripade UA) zalogovane dakde v access logoch alebo analytike bez mojho vedomia?

Ako vidite, cela tato technologicko-pravna rovina digitalizacie je docela slusny rabbit hole.

Ale teda skusme sa drzat pri zemi bez nejakych extremov, lebo takto to nikam nepovedie. Situacia, ktora vlastne zrodila toto vlakno bola: Ako pouzit statnu sluzbu XXX, ak nesuhlasim s podmienkami Googlu a nie je mi znama ziadna ina online alebo offline varianta tejto sluzby. S takouto formulaciou sa snad uz budete vediet stotoznit.


V takomto pripade tu mame dalsi potencionalny problem.


typeof document.body; // "object"
document.body instanceof Object; // true
typeof document.forms; // "object"
document.forms instanceof Object; // true

Dnes som sa pri inej cinnosti dostal k definicii spyware a podla mojho nazoru, prevadzkovatelia statnych sluzieb zvolenou implementaciou (bez explicitneho consentu zo strany obcana) postavili sluzbu Google reCAPTCHA do pozicie, ktora tuto definiciu naplna.

The software collects personally identifiable information about a human user or the user’s activities, but the software accesses this information using other resources besides itself, and it does not require that user’s explicit approval or direct input into the software.

Source: CWE

Spyware is a program that captures statistical information from a user’s computer and sends it over internet without user acceptance. This information is usually obtained from cookies and the web browser’s history.

Source: OWASP

Co si o tom myslite vy? Pasuje vam do tychto definicii (alebo inej, ale co stranka - to ina definicia) zvolena implementacia zo strany prevadzkovatelov statnych sluzieb?

Podstatné je priradiť opísané problémy ku relevantnému predpisu. Ide hlavne o spracovanie osobných údajov podľa zákona o ochrane osobných údajov a podľa nariadenia GDPR.

Štát (alebo iná organizácia) je v postavení prevádzkovateľa informačného systému a využíva externú IT službu (sprostredkovateľa) na základe oprávneného záujmu prevádzkovateľa. Poskytovateľ externej IT služby je sprostredkovateľom na základe sprostredkovateľského zmluvného vzťahu s prevádzkovateľom. Podľa GDPR v článku 28, bod 3a, sprostredkovateľ vykonáva spracovanie osobných údajov LEN na základe pokynov prevádzkovateľa. Podľa GDPR v článku 28, bod 10, ak sprostredkovateľ sám určí účely a prostriedky spracúvania, považuje sa za prevádzkovateľa.

Z uvedeného vyplýva, že sprostredkovateľ je oprávnený spracúvať len tie údaje, na ktoré je oprávnený prevádzkovateľ a len na daný účel spracovania (oprávnený záujem).

Príklad korektného spracovania:
Štát komunikuje s občanom papierovou poštou. Poskytovateľ poštovej služby je sprostredkovateľom a spracúva len adresu odosielateľa a adresu príjemcu, teda len údaje potrebé pre naplnenie účelu. V tomto prípade sa za zmluvný vzťah medzi prevádzkovateľom a sprostredkovateľom považuje akt zaplatenia za sprostredkovateľskú službu podľa vopred známych obchodných podmienok sprtostredkovateľa, pričom rozsah sprostredkovateľskej služby nejde nad rámec oprávneného záujmu prevádzkovateľa.

Ale IT služby veľkých poskytovateľov (Google, Microsoft a podobne) majú široké svoje obchodné záujmy a najmä pri bezplatných službách cenou za službu je zber osobných údajov používateľov. Ak štát IBA pristúpi na všeobecné obchodné podmienky danej služby Google, takmer s istotou možno tvrdiť, že tieto podmienky nespĺňajú charakteristiku sprostredkovateľskej zmluvy podľa GDPR - napr. rozsah vyššie vymenovaných typov údajov spracúvaných služnou reCAPTCHA, ktoré nesúvisia s účelom štátnej webovej služby, kde je reCAPTCHA použitá. Google je potom samostatným prevádzkovateľom a keďže nemá voči používateľovi (občanovi) žiadny vzťah, nemôže sa oprieť o oprávnený záujem a zo zákonných dôvodov na spracovanie osobných údajov ostáva iba explicitný a dobrovoľný súhlas dotknutej osoby (občana).

GDPR zároveň požaduje od prevádzkovateľa, aby informoval dotknutú osobu o úplnom rozsahu, účele, dobe, zákonnom dôvode spracovania osobných údajov, o identite prevádzkovateľa a ďalších podmienkach. A aj o identite sprostredkovateľa, ak sprostredkovateľ komunikuje s dotknutou osobou priamo - teda aj o všetkých externých kódoch na webovej stránke.

Použitie cookie spadá pod smernicu o elektronických komunikáciách, ale zároveň aj pod nariadenie GDPR, pretože cookie plní úlohu identifikátora používateľa, čo je osobný údaj.

3 Likes

Kde nájsť záväzné právne stanoviská k podobným situáciám? Kto vie urobiť kvalifikovaný výklad predpisu pre danú situáciu? Ktorý príslušný úrad je schopný a ochotný kontrolovať a vynucovať dodržanie predpisov v situáciách tohto typu?

Úrad na ochranu osobných údajov SR
Úrad pre reguláciu elektronických komunikácií a poštových služieb
Najvyšší kontrolný úrad SR
Národný bezpečnostný úrad
Generálna prokuratúra SR

1 Like

@martin.sechny:

Velmi pekne napisane a vysvetlene. Dakujem za podnetny prispevok.

Pri citani som chcel hned na zaciatku oponovat v zmysle, ze v tomto pripade ale Google nevystupuje ako sprostredkovatel prevadzkovatela, ale ako samostatny prevadzkovatel, co ale dalej v prispevku sam vysvetlujete. Toto si vacsina ludi neuvedomuje, ze tu vznika viacero vztahov:

  • koncovy uzivatel a statna sluzba,
  • koncovy uzivatel a Google,
  • statna sluzba a Google.

Ja by som k tomuto este podotkol, ze toto je z mojho pohladu az druhotny dovod. Prvotny vidim v tom, ze tato 3. strana ma moznost podmienovat svoje sluzby vlastnymi podmienkami voci samotnym koncovym uzivatelom (co sa v pripade Googlu aj deje). Uz len z tohto titulu to koncovy uzivatel moze odmietnut (napr. nechce nic riesit s danou 3. stranou a nejake podmienky ho ani zaujimat nemusia - z principu to moze odmietnut, lebo takato moznost existuje, resp. v podani nasho statu neexistuje, ale po spravnosti by existovat mala). Osobne udaje, resp. GDPR pride az nasledne, ak sa tento koncovy uzivatel zacne zaujimat preco je nutne akceptovat tieto podmienky a co sa v nich nachadza.


Tato smernica hovori okrem ineho aj to, ze koncovy uzivatel moze svoj nesuhlas s pouzitim cookies vyjadrit ich zakazanim vo webovom prehliadaci. Co ale realne moze vyustit nefunkcnym webovym sidlom statu, co tiez nie je zelany stav. Preto ja sa skorej priklanam k rieseniu, pri ktorom cielene blokujem cele domeny tychto 3. stran a nie cookies na samotnych webovych sidlach statu, ktore este mozu byt ciastocne funkcne aj bez tychto cookies 3. stran. Uz len cakam, kedy sa zacne aj v statnych sluzbach objavovat CNAME cloaking.

Navyse, uz som par krat videl Google reCAPTCHA implementovanu aj kompletne bez cookies, cize aj takato varianta existuje.


Niekedy davnejsie som narazil na clanok, v ktorom bol popisany pripad ohladne Google reCAPTCHA, ktory sa dostal az pred sud. Ale ani tam zastupujuca strana Googlu neprezradila, ake udaje zbiera. Stale len dookola omielali tu ich vagnu definiciu z podmienok. Cize vo vysledku, nic voci Googlu dokazane nebolo (tusim v niektorych krajinach je to aj zakotvene v zakone/ustave, ze nemusi vypovedat, ak by tym ublizil sam sebe). Zial, uz neviem clanok dohladat, tak prosim brat tuto info s rezervou.


Toto je mozne brat v 2 roznych rovinach:

  • zdielanie udajov s 3. stranou bez suhlasu koncoveho uzivatela - predpokladam UOOU,
  • nekorektna implementacia danej sluzby 3. strany (chyba suhlas koncoveho uzivatela) - predpokladam CSIRT + dalej pokracovat v zmysle predchadzajucho bodu.

Svojho casu som kontaktoval obe institucie, ale obe davaju od toho ruky prec.

Použitie cookies je vo veľkej väčšine webových stránok nesprávne, je k tomu viacero článkov napr. na arxiv.org. Väčšina stránok aj ignoruje súhlas/nesúhlas a používa cookies hneď pri prvom zobrazení stránky bez ohľadu na aktivitu používateľa.

V prvom rade sa na použitie cookies vzťahuje zákon o elektronických komunikáciách, ktorý implementuje smernicu EK (ePrivacy directive, známu ako smernicu o cookies). V druhom rade je zákon o ochrane osobných údajov, ktorý implementuje nariadenie GDRP. Pri weboch verejnej správy treba brať do úvahy aj zákon o kybernetickej bezpečnosti.

Cookie v zmysle elektronickej komunikácie treba chápať ako jedno špecifické technické riešenie v širokej kategórii podobných riešení (HTML 5 úložisko, história webového prehliadača, história vypĺňania HTML formulára, uložené heslá, JavaScript API). To aj vyplýva zo zákona o elektronických komunikáciách (§ 55), kde sa píše tiež, že “za súhlas na tento účel sa považuje aj použitie príslušného nastavenia webového prehliadača alebo iného počítačového programu”.

Často sa na rôznych webových stránkach vyskytuje skrátená formulácia “používaním stránky súhlasíte s použitím cookies”, čo nemá oporu v predpisoch.

Pravidlá pre použitie cookies:

  1. Nevyžaduje sa explicitný súhlas s použitím nevyhnutných cookies (alebo obdobnej technológie), napr. pre prihlásenia sa používateľa menom a heslom na webovej stránke.

  2. Ak sa súhlas s použitím cookie vyžaduje, súhlas musí byť udelený pred použitím - explicitne na stránke alebo nastavením prehliadača u používateľa. Súhlas nemôže byť udelený používaním stránky, lebo to nie je pred jej použitím. Ak používateľ súhlas nedá, nesmie to byť dôvod na nezobrazenie stránky (okrem nevyhnutných z bodu 1).

  3. Prevádzkovateľ musí informovať používateľa o účele použitia cookie, ale aj o ukladaných/získavaných dátach, lebo cookie plní funkciu identifikátora osoby v zmysle ochrany osobných údajov (GDPR). Preto v informácii musí byť, že prevádzkovateľ spracúva napr. IP adresu používateľa, identifikáciu operačného systému a identifikáciu webového prehliadača používateľa. Použitie sledovacích marketingových cookies je možné prevažne len na základe explicitného dobrovoľného súhlasu daného pred použitím a používateľ má byť vopred informovaný, že sa zaznamenáva správanie používateľa pre účely profilovania použitého v cielenom marketingu (vek, pohlavie, vzdelanie, lokalita, profesia, záujmy atď.). Informácia, že použitím cookies bude stránka lepšie fungovať a lepšie vyzerať je bezpredmetná a v zásade klamlivá.

  4. Súhlas používateľa musí byť informovaný, slobodný a možnosti musia byť vyvážené (súhlas/nesúhlas). Ak baner požadujúci súhlas prekrýva podstatnú časť obrazovky, ide o nátlak a v zmysle GDPR taký súhlas nie je platný. Ak je ponúknutá len možnosť súhlasu, nejde o vyjadrenie slobodnej vôle používateľa, ale súhlas je vynútený. Ak je ponúknutá možnosť súhlasu a k nemu ďalšie možnosti, kde vyjadrenie nesúhlasu si vyžiada podstatne väčšiu aktivitu používateľa, znova ide o nátlak.

  5. Použitie sledovacích marketingových cookies vo webovom formulári, kde sa zadávajú citlivé osobné údaje, je neprípustné. (to je aj porušenie kybernetickej bezpečnosti)

Z technického pohľadu je zlé najmä použitie cookies tretích strán (z cudzích domén). Nepoznám rozumný dôvod, prečo by mal používateľ tieto povoliť. Ale veľkí IT poskytovatelia to vyžadujú kvôli single-sign-on a podobne, takže bezpečnosť ide do hája (napr. Microsoft, Google, Cisco).

1 Like

Nase urady nam v tomto asi tazko pomozu. Najma ak si sami vykladaju bezpecnost sposobom ze Capcha na vsetko.

Mozno by sa mohlo do veci zainteresovat zastupenie Europskej Komisie na slovensku a vyvinut iniciatuvu napriec krajinami EU aby sa tento nechutny nesvar konecne podarilo zregulovat na unosnu mieru.

2 Likes

@martin.sechny:

Problematika cookies (resp. uloziska v zariadeni koncoveho uzivatela) je vyzivna tema sama o sebe. Uz davnejsie som rozmyslal nad zalozenim vlakna aj s touto tematikou, ale sam k tomu nemam moc co povedat/napisat. Viem ako by mali byt po spravnosti vyuzivane cookies, ale sam uz netusim ako to funguje v kombinacii s opravnenym zaujmom a sluzbami 3. stran. Niekde vidim ako opravneny zaujem Google reCAPTCHA, niekde Google Analytics, niekde HotJar a niekde zase nieco ine. Jediny pozitivny trend sucasnosti vidim v TCF od IAB, ale to sa tyka prevazne len reklamy na webe.


@miromr:

Aby som bol korektny, captcha, resp. Google reCAPTCHA sama o sebe nie je az takym problemom, ako sa z tohto vlakna moze javit. Google ma korektne nastavene podmienky tejto sluzby. Co sa captche ako takej tyka, jediny problem tam vidim v netransparentnosti zbieranych dat, ktory sa da ale celkom trivialne vyriesit napr. jej umiestnenim do samostatneho kroku formulara bez citlivych dat alebo do samostatneho iframu na samostatnej (sub)domene, pricom prevadzkovatel si moze info o jej pouziti uz sam preniest z iframu do svojej webstranky. Samozrejme, dokazem pochopit aj tu netransparentnost, kedze ak by to bolo transparentne, bolo by jednoduche takuto captchu prelomit.

Problemom su ale zakaznici (v terminilogii podmienok Googlu, v nasej terminologii - statne sluzby). Oni systematicky tieto podmienky ignoruju a to je nas primarny problem. Ak by to implementovali v suhlade s danymi podmienkami, urcite by narazili aj na problem s udelenim suhlasu, resp. aj s jeho neudelenim. V idealnom pripade by sa takato implementacia mala dat nahlasit priamo Googlu a oni by im revokovali API kluc k tejto sluzbe. Zial, ziaden takyko kontakt sa mi dohladat nepodarilo. Nase kontrolne organy uz radsej ani spominat nejdem.

dobrá advokátska kancelária