Podmienenie statnych sluzieb akceptaciou podmienok 3. stran (napr. Google reCAPTCHA)

@martin.sechny:

Uz su to cca. 2 mesiace, dostali ste nejake dalsie info k tejto Vasej zalezitosti?


Moj update:

V auguste som posielal podnet do CSIRT-u ohladne implementacie Google reCAPTCHA Enterprise na portali bytzdravyjevyhra.sk s tym, ze tam nie su dodrzane podmienky implementacie tejto sluzby a v takomto stave tato implementacia javi znamky spyware-u. Do dnesneho dna (okrem automatickej spravy o prijati podnetu) som bez odpovede. A predpokladam, ze sa jej uz ani nedockam, kedze uz realne nie je co riesit…

Obdobna situacia je aj pri mojich podnetoch pre UOOU, kde su stale viacere moje podnety bez odpovede (september, april a tusim este aj februar). Tak si kladiem otazku, ma vobec zmysel nieco riesit ked nase organy tieto podnety ignoruju? Mam sa doprosovat o odpoved? A potom sa mozu cudovat kolko chcu, ze s takymto pristupom im ludia nic nereportuju.

Navyse dnes som sa v ramci konferencie ITAPA dozvedel, ze Slovensko ma 2 rozne CSIRT-y (csirt.gov.sk a sk-cert.sk). Takze skusim tuto problematiku este preposlat aj SK-CERT-u, s ktorym som zatial nekomunikoval, ale nadeje si uz veru nerobim.

2 Likes

Nič nové doteraz.

Jednotlivé organizácie majú odlišné poslanie v informačnej a kybernetickej bezpečnosti:
Národný bezpečnostný úrad (NBÚ)
Národné centrum kybernetickej bezpečnosti (SK-CERT)
Jednotka pre riešenie počítačových incidentov (CSIRT.SK)
Lokálne jednotky CSIRT
Úrad na ochranu osobných údajov SR
Úrad pre reguláciu elektronických komunikácií a poštových služieb

trochu odbocim: Ja sa ohladom obdobneho natahujem s dennikmi a aj tam to vyzera byt tristne, vid napr.:

Tam je to samozrejme iny level, lebo kym tam mam moznost predstat byt predplatitelom, v state moznost prestat byt obcanom nemam.

t.j. ostavaju tam nepokryte biele miesta, za ktore sa neciti nik z uvedenych byt zodpovedny a teda problem spomenuty v tejto diskusiii nema pana a teda ani riesenie?

1 Like

@hanecak:

Ja som toto vlakno umyselne smeroval len k statnym sluzbam, ktore obcan SR vyuzivat musi. Inak by som tiez mohol kludne pisat skusenosti napr. s jednym poprednym slovenskym webhostingom, ktory si zo dna na den implementoval do prihlasenia Google reCAPTCHA a tym mi znemoznil sa dostat k mnou zaplatenym sluzbam alebo obdobny pripad s jednou poprednou slovenskou bankou, kde do prihlasenia do IB tiez integrovali Google reCAPTCHA… Ale toto vsetko vyuzivam dobrovolne a nikto ma to vyuzivat nenuti. V zmysle hesla “Vote with your wallets.”, ked sa mi nieco nepaci, prestanem to pouzivat a/alebo za to platit.

Moznost prestat byt obcanom SR existuje, ale musite sa stat obcanom ineho statu a popravde ani neviem, kde by to bolo z tohto pohladu lepsie. Vsade budu nejake problemy… Dokonca Palo Luptak si na tomto zalozil biznis a vyvaza slovakov (resp. nie len slovakov) do Paraguaja, aby ziskali obcianstvo tam. Viac info napr. tu.


@martin.sechny:

Toto som cital uz vcera. Tu je original clanok.

Skoda len, ze Francuzsko riesi len velke zahranicne spolocnosti (teraz nemyslim len toto ohladne cookies) ale nic o tom, ze by riesili aj nieco statne som este necital - ale je kludne mozne, ze to ku mne len neprebublalo.

Pardon za odbocene. Veci sa hybu nie len u nas, t.j. mam s cim sa vratit k povodnej teme:

Odtial zacitujem najma:

Novela zákona o elektronických komunikacích od letošního roku zavedla právo takové sledování odmítnout. Provozovatel stránky pak nesmí návštěvníka zablokovat, a pokud dotyčný svůj názor nevyjádří, bere se to rovněž jako nesouhlas.

Je to z CR, ale je to v zasade na velmi podobnom zaklade, “kedze GDPR”.

Dalej, posun, aj ked teda v kontexte nasej debaty “milovy a vzad” nastal na slovensko.sk, vid:

Dalej za ostatne dni pribudlo aj toto:

A prave GA (resp. nieco podobne) je zrejme vyraznym faktorom za tym, co pribudlo na slovensko.sk . Uvidime, ako sa s tym popasuje na UOOU, podnet som podal.

dam sem svoj oblubeny slajd zo skolenia, ktore robim.

pozor, nebavime sa len o cookies, ale aj localstorage, potencialnom vynutenom cachingu zo strany webu/aplikacie atd.

PS: zakon plati od 1.2.2022

2 Likes

No pozor, naozaj sa nebavime len o cookies/localstorage. Podla toho co citam to vyzera, ze na US-based servery/sluzby nemozes pustit ziadne osobne udaje. Ci uz so suhlasom alebo bez neho!

Zda sa ze nas urad je ticho, tichucko - klidek. Porusovanie ochrany osobnych udajov je na dennom poradku najma v tlaci. Vyplaty idu naco sa zatazovat problememami obycajnych obcanov. Co tam po tom ze niekoho obtazuje takyto natlak statu.

Zdanie klame, prave naopak, urad je nesmierne aktivny v tom hadzat polena pod nohy aj tam kde by nemusel.

2 Likes

[quote=“jsuchal, post:44, topic:7725”]
rad je nesmierne aktivny v tom hadzat polena pod nohy aj tam kde by nemusel.
[/quote] :grinning:
aspon niekde ho je citit. Mozno sa raz dockame ze zacne konat v mene tych koho udaje ma svojou cinnostou chranit.

@hanecak:

Co sa tyka CR, tak oni iba harmonizuju legislativu s legislativou EU, nakolko ako jedina krajina si ju v minulosti implementovali nespravne (zjednodusene: opt-out namiesto opt-in). De-facto sa dostanu do rovnakeho stavu, ako panuje u nas. Otazne je, ako sa tam k tomu postavia.

Tato kauza s GA je uz rok a pol stara. Ono je to cele velmi problematicke z hladiska preukazania nejakeho skutku, kedze sa mozme hadat, ci mnozina udajov, ktore zbiera GA spada pod PII a ak ano, ake mam ja ako dotknuta osoba moznosti vobec nieco preukazat (napr. ze data naozaj koncia v US)? Obdobne, ak sa cez GA leakne IP adresa (ktora je povazovana za PII), UA a ine udaje a GA ma napr. v pripade IP adresy opt-in moznost ju anonymizovat ale opat, ake mam ja ako dotknuta osoba moznosti si toto overit? Co ak to prevadzkovatel ani nema aktivovane?

A ako sa spomina aj v tom clanku CZ rozhlasu, statne institucie maju vynimku z GDPR, resp. nemozu byt sankcionovane, cize… Otazne je, ci sa tato vynimka stahuje aj na sluzby 3. stran, ktore si zvolil stat - napr. to GA (podla mojho nazoru nie).


@dusoft:

O tejto zmene viem, ale podla mojho osobneho nazoru to nic-moc nemeni.

  • stale je tam vynimka pre organy statu,
  • netusim ako prevadzkovatel webu dokaze preukazat udeleny suhlas (ktory bude ulozeny v zariadeni dotknutej osoby alebo v jej konte - ak to sluzba umoznuje/vyzaduje) - predpokladam, ze toto ostane len na papieri.

@jsuchal:

Dalsi pripad z nedavnej minulosti: Bavarian DPA (BayLDA) calls for German company to cease the use of 'Mailchimp' tool | European Data Protection Board


@miromr:

K UOOU sa ja uz vyjadrovat nejdem. Je to institucia, ktora by mala chranit zaujmy dotknutych osob, zial realita je taka aka je…

Práve dnes som sa nad tým zamýšľal, keď som bojoval s reCaptchou na katastri (https://zbgis.skgeodesy.sk/), kde ma dnes, z nejakého záhadného dôvodu, cez ňu nejde pustiť v žiadnom prehliadači.

Možno by štátne inštitúcie mohli využívať nejaké GDPR compliant reCaptche ako napríklad toto https://friendlycaptcha.com/

1 Like

Ja som nereagoval na tvoj link.

@majso:

Nie som si isty, ci je mozne toto povazovat za porovnatelnu variantu, kedze sluzba od Googlu je zdarma. Navyse stale to neriesi zakladny problem a to, ze sa jedna o sluzbu 3. strany, resp. ze 3. strana bude spravovat nejake udaje o dotknutej osobe. Predpokladam, ze tato sluzba by vystupovala voci dotknutej osobe v pozicii sprostredkovatela prevadzkovatela (toto mi vychadza z bodu 5.2, resp. 5.3 podmienok danej sluzby). Dalej predpokladam, ze opat bude nutne udelit nejaky ten suhlas so spracovanim udajov 3. stranou a toto je kamen urazu. V takomto pripade, by tieto podmienky 3. strany museli byt obsiahnute v podmienkach prevadzkovatela webu (popr. osobitne), ktore moze dotknuta osoba opat z tohto titulu odmietnut, nakolko budu v rozpore s tym (resp. nie v rozpore, ale nad ramec toho), co kaze zakon a tym padom nebude mozne prejst danym procesom tak, ako je definovany v zakone (obdobny problem som mal pri online samo-scitani, kde zakon presne definoval dany postup a v praxi tam nad jeho ramec bola pritomna este Google reCAPTCHA Enterprise, ktora bola este aj implementovana v rozpore s jej podmienkami implementacie).


Dnes som este narazil na toto: Vyjádření Úřadu k rezervačnímu systému očkování proti COVID-19: Úřad pro ochranu osobních údajů

Nemate niekto blizsie info, akym sposobom sa tam tie rodne cisla dostali do GA?

1 Like


Pisu to tam, v URL bolo rodne cislo, URL je automaticky zaznamenana a prenesena do GA. Ergo, rodne cisla su v GA (co je mimochodom aj porusenie podmienok GA, ktore ukladanie osobnych udajov zakazuju a zakazovali davno predtym, ako sme mali GDPR).

1 Like

@dusoft:

To napadlo aj mna, ale v tom priklade maju pre GET parameter “cpoj” (cislo poistenca) len 9 znakov, pricom rodne cislo ma znakov 10. Navyse cislo poistenca nemusi nutne znamenat rodne cislo. Ale tiez je mozne, ze autor toho clanku nevie napocitat do 10… Ak realne mali v URL aj RC, tak je to celkom slusny fail.

Niektore starsie RC maju 9 cifier. Aspon na Slovensku. A nebude ich uplne malo.

Všetky rodné čísla vydané pred rokom 1954 sú 9-miestne. A keďže sme boli s cechmi v spoločnom štáte, tak to Čechách platí rovnako.

Toto je spôsob ako rýchlo určiť či RC začínajúce 21 znamená 1921 alebo 2021.

Takže rok 2054 je vlastne deadline pre zmenu spôsobu prideľovanie jednoznačného identifikátora občana. Ono by stačilo od tohto dátumu začať prideľovať novorodencom čísla novým spôsobom a pre ostatných občanov nič nemeniť, ušetrili by sme si všetci celkom veľa komplikácií.

Už je iba otázka či to politici / úradníci za zostávajúcich 32 rokov stihnú alebo to ako vždy budú riešiť na poslednú chvíľu …

Akurat, ze tie rodne cisla niektore zmodifikovali, pridali 0 a poznam pripad aj dopredu aj dozadu … okrem toho boli duplicity v rodnych cislach (neviem tom, ze by to bolo kompletne do dnesnej doby odstranene), pretoza davali intervaly matrikam a ked to minuli a nemali dalsie, tak pokracovali … (takze to podla mna dnes ani nie je jednoznacny identifikator)