Podmienenie statnych sluzieb akceptaciou podmienok 3. stran (napr. Google reCAPTCHA)

Samozrejme, toto je tiez jeden z problemov. Mozte sa na to kludne pozret aj opacnou optikou - hocico k offline sposobu (ktory by mal byt podporovany uz v zaklade) je uz len z principu nadpraca (samozrejme netvrdim, ze zbytocna).

Stat by mal koncipovat svoje sluzby tak, aby tych potencionalnych medziscenarov bolo co najmenej - napr. ak by Google umoznoval pouzitie, kde by vystupoval len v ulohe sprostredkovatela a nie prevadzkovatela. Vtedy by uz nebolo nutne udelovat suhlas s podmienkami Googlu (3. strana), ale jeho podmienky by museli byt zahrnute v podmienkach prevadzkovatela (ktore zase na zaklade tejto skutocnosti moze obcan odmietnut). Navyse by prevadzkovatel mal priestor si vyjednat vlastne podmienky s Googlom - ak by nieco taketo Google umoznil, co z pochopitelnych dovodov neumoznuje.

Kludne mozme prehnat do extremu aj formu kontaktneho miesta s PC a internetom (ktora by mala sluzit ako fallback k online variante). Obcan by tam musel podpisat preberaci protokol k zariadeniu, dalsi formular co moze a nemoze so zariadenim robit, musel by byt oboznameny s licencnymi podmienkami OS, browsera atd. V pripade, ak by tie udaje poskytol zamestnancovi (namiesto interakcie s PC), tak ten by ho musel o vsetkom tomto informovat a odrecitovat vsetky mozne podmienky (jednak prevadzkovatela a jednak 3. stran). A to stale by mal obcan moznost ich odmietnut. Ak by to malo byt spravene vsetko koser aj z hladiska tychto extremov, tak tu mozme zacat budovat malu Cinu.

Na druhej strane, statu nic nebrani zobrat si nejaky open source napr. AOSP + Chromium, nahrat to do nejakeho lacneho lagdroidu a ma relativne lacne zariadenie na vyuzivane statnych sluzieb bez akychkolvek licencnych podmienok 3. stran. Kludne by taketo zariadenie mohol stat poskytovat kazdemu obcanovi, ktory si o nho poziada. K tomu by mu stat este poskytol SIM kartu s datami a e-mailove konto a podla mojho nazoru, uz mame solidny zaklad pre digitalne sluzby (za predpokladu, ze sa este doriesi funkcnost eID citacky v takomto zariadeni).

Ak by sme vychadzali z predpokladu. ze ta mnozina udajov je pravdiva (netusim ako si to ja ako koncovy uzivatel mozem realne overit) a prevadzkovatel ma s tymto preukazatelne informoval (co sa mi nestalo na ziadnom statnom webe), tak by som stale stym mal problem, resp. sa vynara este viac otazok ako odpovedi.

• Co tie cookies? Kde mam ja ako koncovy uzivatel zaruku, ze Google nebude z kontextu webstranky pristupovat aj k inym cookies ako ku svojim? Z principu bude, lebo si musi tie svoje vyfiltrovat zo vsetkych - v javascripte sa k nim neda pristupovat selektivne, kedze document.cookie je jeden kilometrovy string, ktory treba rozparsovat a nasledne vyfiltrovat. Alternativne sa k nim da pristupovat aj z headrov requestu (na API Googlu), co by bola ovela bezpecnejsia varianta, ale tam by mal pristupne cookies len v ramci domeny, na ktoru request smeruje.
• Isto pocita len pocet klikov a nie klik + timestamp + x + y? Neviem si predstavit (a teda tomuto tvrdeniu ani neverim), co by mu priniesol len samotny udaj o pocet klikov. Webstranka by sa mala dat kompletne ovladat len klavesnicou alebo na druhej strane, mozem spravit klikov aj milion.
• Ked uz Google priznal, ze trackuje kliknutia, kde je zaruka ze netrackuje aj stlacenie klaves (a ze sa nechova ako keylogger)?
• Co vsetko spada pod pluginy? Su to vyslovene len pluginy (h264, flash) alebo aj extensions? A co browser, ktory nepouziva terminologiu Googlu (extensions vs. addons)?
• A co ten javascript? Ako je v ramci tejto definicie definovany javascriptovy objekt? V terminologii javascriptu je aj document.body alebo document.forms objektom. A co vsetky SPA (zatial som takyto statny web este nevidel), ktore maju vlastny state persistovny v premennej alebo local / session storage (tiez sa mimo API k tomu da pristupovat aj ako k objektu)?
• A co ak extenzivne pouzivam vlastne extensions (kde mam uvedene moje kontaktne udaje v rozsahu, ktory spada uz pod PII), ktore sa zo svojho sandboxu injectuju priamo do kontextu samotnej webstranky a kazda instancia (v terminilogii javascriptu je to znova objekt) obsahuje aj tieto PII?

Teda opat nie som ochotny taketo podmienky akceptovat (a to nespominam obcanov, ktory to nemusia akceptovat len z titulu, ze takato moznost existuje - co je tiez uplne legitimna situacia, ktoru treba akceptovat a riesit ak postavime obcana pred takuto volbu). Za mna su tieto podmienky Googlu opat velmi vagne formulovane - ale to je v tejto sfere snad uz pravidlom.

A zase mozme ist aj do extremu. Co taka IP, ktora tiez uz za istych okolnosti spada pod PII? Google disponuje prostredkami, aby si IP priradil k nejakej mnozine kont (alebo idealne len k jednemu), ktore tuto IP vyuzivaju (alebo v minulosti vyuzivali). Alebo iny extrem, co ak si do UA (alebo hocikajeho ineho headra) setnem strukturovane serializovane data s mojimi PII? Odmietne server Googlu (alebo hocijaky iny server) takyto request spracovat (ako by vobec vedel zistit formu serializacie a to, ze sa jedna o PII)? Ostanu tieto PII (v pripade UA) zalogovane dakde v access logoch alebo analytike bez mojho vedomia?

Ako vidite, cela tato technologicko-pravna rovina digitalizacie je docela slusny rabbit hole.

Ale teda skusme sa drzat pri zemi bez nejakych extremov, lebo takto to nikam nepovedie. Situacia, ktora vlastne zrodila toto vlakno bola: Ako pouzit statnu sluzbu XXX, ak nesuhlasim s podmienkami Googlu a nie je mi znama ziadna ina online alebo offline varianta tejto sluzby. S takouto formulaciou sa snad uz budete vediet stotoznit.

V takomto pripade tu mame dalsi potencionalny problem.

typeof document.body; // "object"
document.body instanceof Object; // true

typeof document.forms; // "object"
document.forms instanceof Object; // true

Dnes som sa pri inej cinnosti dostal k definicii spyware a podla mojho nazoru, prevadzkovatelia statnych sluzieb zvolenou implementaciou (bez explicitneho consentu zo strany obcana) postavili sluzbu Google reCAPTCHA do pozicie, ktora tuto definiciu naplna.

The software collects personally identifiable information about a human user or the user’s activities, but the software accesses this information using other resources besides itself, and it does not require that user’s explicit approval or direct input into the software.

Source: CWE

Spyware is a program that captures statistical information from a user’s computer and sends it over internet without user acceptance. This information is usually obtained from cookies and the web browser’s history.

Source: OWASP

Co si o tom myslite vy? Pasuje vam do tychto definicii (alebo inej, ale co stranka - to ina definicia) zvolena implementacia zo strany prevadzkovatelov statnych sluzieb?

Podstatné je priradiť opísané problémy ku relevantnému predpisu. Ide hlavne o spracovanie osobných údajov podľa zákona o ochrane osobných údajov a podľa nariadenia GDPR.

Štát (alebo iná organizácia) je v postavení prevádzkovateľa informačného systému a využíva externú IT službu (sprostredkovateľa) na základe oprávneného záujmu prevádzkovateľa. Poskytovateľ externej IT služby je sprostredkovateľom na základe sprostredkovateľského zmluvného vzťahu s prevádzkovateľom. Podľa GDPR v článku 28, bod 3a, sprostredkovateľ vykonáva spracovanie osobných údajov LEN na základe pokynov prevádzkovateľa. Podľa GDPR v článku 28, bod 10, ak sprostredkovateľ sám určí účely a prostriedky spracúvania, považuje sa za prevádzkovateľa.

Z uvedeného vyplýva, že sprostredkovateľ je oprávnený spracúvať len tie údaje, na ktoré je oprávnený prevádzkovateľ a len na daný účel spracovania (oprávnený záujem).

Príklad korektného spracovania:
Štát komunikuje s občanom papierovou poštou. Poskytovateľ poštovej služby je sprostredkovateľom a spracúva len adresu odosielateľa a adresu príjemcu, teda len údaje potrebé pre naplnenie účelu. V tomto prípade sa za zmluvný vzťah medzi prevádzkovateľom a sprostredkovateľom považuje akt zaplatenia za sprostredkovateľskú službu podľa vopred známych obchodných podmienok sprtostredkovateľa, pričom rozsah sprostredkovateľskej služby nejde nad rámec oprávneného záujmu prevádzkovateľa.

Ale IT služby veľkých poskytovateľov (Google, Microsoft a podobne) majú široké svoje obchodné záujmy a najmä pri bezplatných službách cenou za službu je zber osobných údajov používateľov. Ak štát IBA pristúpi na všeobecné obchodné podmienky danej služby Google, takmer s istotou možno tvrdiť, že tieto podmienky nespĺňajú charakteristiku sprostredkovateľskej zmluvy podľa GDPR - napr. rozsah vyššie vymenovaných typov údajov spracúvaných služnou reCAPTCHA, ktoré nesúvisia s účelom štátnej webovej služby, kde je reCAPTCHA použitá. Google je potom samostatným prevádzkovateľom a keďže nemá voči používateľovi (občanovi) žiadny vzťah, nemôže sa oprieť o oprávnený záujem a zo zákonných dôvodov na spracovanie osobných údajov ostáva iba explicitný a dobrovoľný súhlas dotknutej osoby (občana).

GDPR zároveň požaduje od prevádzkovateľa, aby informoval dotknutú osobu o úplnom rozsahu, účele, dobe, zákonnom dôvode spracovania osobných údajov, o identite prevádzkovateľa a ďalších podmienkach. A aj o identite sprostredkovateľa, ak sprostredkovateľ komunikuje s dotknutou osobou priamo - teda aj o všetkých externých kódoch na webovej stránke.

Použitie cookie spadá pod smernicu o elektronických komunikáciách, ale zároveň aj pod nariadenie GDPR, pretože cookie plní úlohu identifikátora používateľa, čo je osobný údaj.

Kde nájsť záväzné právne stanoviská k podobným situáciám? Kto vie urobiť kvalifikovaný výklad predpisu pre danú situáciu? Ktorý príslušný úrad je schopný a ochotný kontrolovať a vynucovať dodržanie predpisov v situáciách tohto typu?

Úrad na ochranu osobných údajov SR
Úrad pre reguláciu elektronických komunikácií a poštových služieb
Najvyšší kontrolný úrad SR
Národný bezpečnostný úrad
Generálna prokuratúra SR

@martin.sechny:

Velmi pekne napisane a vysvetlene. Dakujem za podnetny prispevok.

Pri citani som chcel hned na zaciatku oponovat v zmysle, ze v tomto pripade ale Google nevystupuje ako sprostredkovatel prevadzkovatela, ale ako samostatny prevadzkovatel, co ale dalej v prispevku sam vysvetlujete. Toto si vacsina ludi neuvedomuje, ze tu vznika viacero vztahov:

• koncovy uzivatel a statna sluzba,
• koncovy uzivatel a Google,
• statna sluzba a Google.

Ja by som k tomuto este podotkol, ze toto je z mojho pohladu az druhotny dovod. Prvotny vidim v tom, ze tato 3. strana ma moznost podmienovat svoje sluzby vlastnymi podmienkami voci samotnym koncovym uzivatelom (co sa v pripade Googlu aj deje). Uz len z tohto titulu to koncovy uzivatel moze odmietnut (napr. nechce nic riesit s danou 3. stranou a nejake podmienky ho ani zaujimat nemusia - z principu to moze odmietnut, lebo takato moznost existuje, resp. v podani nasho statu neexistuje, ale po spravnosti by existovat mala). Osobne udaje, resp. GDPR pride az nasledne, ak sa tento koncovy uzivatel zacne zaujimat preco je nutne akceptovat tieto podmienky a co sa v nich nachadza.

Tato smernica hovori okrem ineho aj to, ze koncovy uzivatel moze svoj nesuhlas s pouzitim cookies vyjadrit ich zakazanim vo webovom prehliadaci. Co ale realne moze vyustit nefunkcnym webovym sidlom statu, co tiez nie je zelany stav. Preto ja sa skorej priklanam k rieseniu, pri ktorom cielene blokujem cele domeny tychto 3. stran a nie cookies na samotnych webovych sidlach statu, ktore este mozu byt ciastocne funkcne aj bez tychto cookies 3. stran. Uz len cakam, kedy sa zacne aj v statnych sluzbach objavovat CNAME cloaking.

Navyse, uz som par krat videl Google reCAPTCHA implementovanu aj kompletne bez cookies, cize aj takato varianta existuje.

Niekedy davnejsie som narazil na clanok, v ktorom bol popisany pripad ohladne Google reCAPTCHA, ktory sa dostal az pred sud. Ale ani tam zastupujuca strana Googlu neprezradila, ake udaje zbiera. Stale len dookola omielali tu ich vagnu definiciu z podmienok. Cize vo vysledku, nic voci Googlu dokazane nebolo (tusim v niektorych krajinach je to aj zakotvene v zakone/ustave, ze nemusi vypovedat, ak by tym ublizil sam sebe). Zial, uz neviem clanok dohladat, tak prosim brat tuto info s rezervou.

Toto je mozne brat v 2 roznych rovinach:

• zdielanie udajov s 3. stranou bez suhlasu koncoveho uzivatela - predpokladam UOOU,
• nekorektna implementacia danej sluzby 3. strany (chyba suhlas koncoveho uzivatela) - predpokladam CSIRT + dalej pokracovat v zmysle predchadzajucho bodu.

Svojho casu som kontaktoval obe institucie, ale obe davaju od toho ruky prec.

Použitie cookies je vo veľkej väčšine webových stránok nesprávne, je k tomu viacero článkov napr. na arxiv.org. Väčšina stránok aj ignoruje súhlas/nesúhlas a používa cookies hneď pri prvom zobrazení stránky bez ohľadu na aktivitu používateľa.

V prvom rade sa na použitie cookies vzťahuje zákon o elektronických komunikáciách, ktorý implementuje smernicu EK (ePrivacy directive, známu ako smernicu o cookies). V druhom rade je zákon o ochrane osobných údajov, ktorý implementuje nariadenie GDRP. Pri weboch verejnej správy treba brať do úvahy aj zákon o kybernetickej bezpečnosti.

Cookie v zmysle elektronickej komunikácie treba chápať ako jedno špecifické technické riešenie v širokej kategórii podobných riešení (HTML 5 úložisko, história webového prehliadača, história vypĺňania HTML formulára, uložené heslá, JavaScript API). To aj vyplýva zo zákona o elektronických komunikáciách (§ 55), kde sa píše tiež, že “za súhlas na tento účel sa považuje aj použitie príslušného nastavenia webového prehliadača alebo iného počítačového programu”.

Často sa na rôznych webových stránkach vyskytuje skrátená formulácia “používaním stránky súhlasíte s použitím cookies”, čo nemá oporu v predpisoch.

Pravidlá pre použitie cookies:

1. Nevyžaduje sa explicitný súhlas s použitím nevyhnutných cookies (alebo obdobnej technológie), napr. pre prihlásenia sa používateľa menom a heslom na webovej stránke.

2. Ak sa súhlas s použitím cookie vyžaduje, súhlas musí byť udelený pred použitím - explicitne na stránke alebo nastavením prehliadača u používateľa. Súhlas nemôže byť udelený používaním stránky, lebo to nie je pred jej použitím. Ak používateľ súhlas nedá, nesmie to byť dôvod na nezobrazenie stránky (okrem nevyhnutných z bodu 1).

3. Prevádzkovateľ musí informovať používateľa o účele použitia cookie, ale aj o ukladaných/získavaných dátach, lebo cookie plní funkciu identifikátora osoby v zmysle ochrany osobných údajov (GDPR). Preto v informácii musí byť, že prevádzkovateľ spracúva napr. IP adresu používateľa, identifikáciu operačného systému a identifikáciu webového prehliadača používateľa. Použitie sledovacích marketingových cookies je možné prevažne len na základe explicitného dobrovoľného súhlasu daného pred použitím a používateľ má byť vopred informovaný, že sa zaznamenáva správanie používateľa pre účely profilovania použitého v cielenom marketingu (vek, pohlavie, vzdelanie, lokalita, profesia, záujmy atď.). Informácia, že použitím cookies bude stránka lepšie fungovať a lepšie vyzerať je bezpredmetná a v zásade klamlivá.

4. Súhlas používateľa musí byť informovaný, slobodný a možnosti musia byť vyvážené (súhlas/nesúhlas). Ak baner požadujúci súhlas prekrýva podstatnú časť obrazovky, ide o nátlak a v zmysle GDPR taký súhlas nie je platný. Ak je ponúknutá len možnosť súhlasu, nejde o vyjadrenie slobodnej vôle používateľa, ale súhlas je vynútený. Ak je ponúknutá možnosť súhlasu a k nemu ďalšie možnosti, kde vyjadrenie nesúhlasu si vyžiada podstatne väčšiu aktivitu používateľa, znova ide o nátlak.

5. Použitie sledovacích marketingových cookies vo webovom formulári, kde sa zadávajú citlivé osobné údaje, je neprípustné. (to je aj porušenie kybernetickej bezpečnosti)

Z technického pohľadu je zlé najmä použitie cookies tretích strán (z cudzích domén). Nepoznám rozumný dôvod, prečo by mal používateľ tieto povoliť. Ale veľkí IT poskytovatelia to vyžadujú kvôli single-sign-on a podobne, takže bezpečnosť ide do hája (napr. Microsoft, Google, Cisco).

Nase urady nam v tomto asi tazko pomozu. Najma ak si sami vykladaju bezpecnost sposobom ze Capcha na vsetko.

Mozno by sa mohlo do veci zainteresovat zastupenie Europskej Komisie na slovensku a vyvinut iniciatuvu napriec krajinami EU aby sa tento nechutny nesvar konecne podarilo zregulovat na unosnu mieru.

@martin.sechny:

Problematika cookies (resp. uloziska v zariadeni koncoveho uzivatela) je vyzivna tema sama o sebe. Uz davnejsie som rozmyslal nad zalozenim vlakna aj s touto tematikou, ale sam k tomu nemam moc co povedat/napisat. Viem ako by mali byt po spravnosti vyuzivane cookies, ale sam uz netusim ako to funguje v kombinacii s opravnenym zaujmom a sluzbami 3. stran. Niekde vidim ako opravneny zaujem Google reCAPTCHA, niekde Google Analytics, niekde HotJar a niekde zase nieco ine. Jediny pozitivny trend sucasnosti vidim v TCF od IAB, ale to sa tyka prevazne len reklamy na webe.

@miromr:

Aby som bol korektny, captcha, resp. Google reCAPTCHA sama o sebe nie je az takym problemom, ako sa z tohto vlakna moze javit. Google ma korektne nastavene podmienky tejto sluzby. Co sa captche ako takej tyka, jediny problem tam vidim v netransparentnosti zbieranych dat, ktory sa da ale celkom trivialne vyriesit napr. jej umiestnenim do samostatneho kroku formulara bez citlivych dat alebo do samostatneho iframu na samostatnej (sub)domene, pricom prevadzkovatel si moze info o jej pouziti uz sam preniest z iframu do svojej webstranky. Samozrejme, dokazem pochopit aj tu netransparentnost, kedze ak by to bolo transparentne, bolo by jednoduche takuto captchu prelomit.

Problemom su ale zakaznici (v terminilogii podmienok Googlu, v nasej terminologii - statne sluzby). Oni systematicky tieto podmienky ignoruju a to je nas primarny problem. Ak by to implementovali v suhlade s danymi podmienkami, urcite by narazili aj na problem s udelenim suhlasu, resp. aj s jeho neudelenim. V idealnom pripade by sa takato implementacia mala dat nahlasit priamo Googlu a oni by im revokovali API kluc k tejto sluzbe. Zial, ziaden takyko kontakt sa mi dohladat nepodarilo. Nase kontrolne organy uz radsej ani spominat nejdem.

dobrá advokátska kancelária

Ked sa zidu dvaja pravnici, tak vzniknu tri pravne vyklady.

Ja si nemyslim, ze advokatska kancelaria moze urobit kvalifikovany vyklad predpisu. Od toho su prislusne organy verejnem moci. Otazka vsak je co robit, ak prislusny urad nekona.

zavazne je samozrejme az to co povie sud. Ale oni ti s tym vedia pomoct. Treba najst takych co sa specializuju na právo v oblasti IT. A ked nic nepomoze daju podanie na sud.

@robert.kuchar:

To je ale pri roztriestenosti sluzieb statu nerealne. Skuste si prejst statne weby, na polovicke z nich najdete nejaku tu captchu. Vo vysledku to budu 10-tky pripadov.

Rovnako nevidim schodnu ani cestu s cierny petrom - riesit to len pre jednu sluzbu statu s tym, ze vznikne precedens, ktorym sa budu riesit dalsie. Obavam sa, ze by ostatne sluzby statu velmi rychlo dostali echo, vsetko si rychlo opravili a tvarili sa, ze ich sa to netyka a len by problem bagatelizovali a zahmlievali.

V istej veci som namietal postup súkromnej spoločnosti vo vzťahu k ochrane osobných údajov dotknutej osoby (klienta) - podobne, ako v tomto vlákne. Odpovedal mi právnik spoločnosti, zodpovedný za dohľad nad ochranou osobných údajov. Niektoré body stanoviska spoločnosti podporujú môj vyššie opísaný názor, konkrétne:

Pri webovej elektronickej komunikácii (webovom formulári), ktorou sa spracúvajú osobné údaje používateľa, sa využíva softvérový kód z domén hotjar.com, google.com, gstatic.com, googletagmanager.com (tiež Google reCAPTCHA). Namietal som, že používateľ nie je o tom informovaný pred spracovaním údajov, považujem to za potenciálne bezpečnostné riziko pre používateľa webového formulára. Spoločnosť v odpovedi tvrdí, že tieto nástroje používa na zisťovanie analytických a štatistických dát o používaní webovej stránky, ale bez osobných údajov, takže nejde o spracovanie osobných údajov spoločnosťou. Spoločnosť dodáva, že nemá možnosť ovplyvniť spracovanie osobných údajov poskytovateľmi vymenovaných nástrojov - títo sú v postavení samostatných prevádzkovateľov, ktorí sú povinní plniť povinnosti voči dotknutým osobám podľa GDPR samostatne a nie sú v postavení sprostredkovateľa pre spoločnosť.

Pozitívne v tejto veci je ďalšie konanie spoločnosti pre zaistenie právnej istoty - spoločnosť preventívne nahlásila namietaný postup (používanie nástrojov tretích strán) Úradu na ochranu osobných údajov SR ako možné porušenie ochrany osobných údajov. Neskôr budem informovaný o stanovisku úradu.

Dá sa súhlasiť s tým, že spoločnosť nemôže prevziať plnú zodpovednosť za konanie tretej strany (samostatného prevádzkovateľa). Ale zároveň si myslím, že spoločnosť má niesť zodpovednosť za svoje webové sídlo (ako celok) a keď spoločnosť na svojom webovom sídle používa nástroj tretej strany, tak spoločnosť zodpovedá za dáta, ktoré poskytuje tomutu nástroju. Ak nástroj má možnosť získať/spracovať širší rozsah osobných údajov, ako je adekvátne, tak je to porušenie zo strany spoločnosti. Napr. ak CAPTCHA môže čítať DOM objekty webového formulára, kde sa vkladajú osobné údaje.

Ak sa potvrdí, že tretia strana je samostatným prevádzkovateľom pre nástroj (napr. Google a reCAPTCHA), ktorý je použitý wo webovom formulári, kto je potom zodpovedný za získanie súhlasu používateľa? Prevádzkovateľ webového formulára alebo prevádzkovateľ nástroja? Podmienky používania Google reCAPTCHA (citované vyššie) podľa mňa naznačujú, že v tomto prípade ide o obrátený spostredkovateľský vzťah podľa GDPR - Google je prevádzkovateľom nástroja reCAPTCHA, ktorý spracúva osobné údaje dotknutej osoby získaných pomocou webového formulára. To znamená, že prevádzkovateľ webového formulára je možno sprostredkovateľom pre Google. Zrejme by tu mal byť udelený slobodný dobrovoľný súhlas dotknutej osoby s použitím reCAPTCHA a so spracovaním osobných údajov týmto nástrojom.

Na základe tejto úvahy sa stále viac prikláňam k názoru, že iba akceptácia podmienok tretej strany štátom pri využití nástroja zo strany štátu je pre používateľa elektronickej služby štátu irelevantná, lebo tretia strana nie sprostredkovateľom podľa GDPR, ale samostatným prevádzkovateľom a možno je štát sprostredkovateľom pre tretiu stranu - štát porušuje ochranu osobných údajov občanov.

Úrad na ochranu osobných údajov (alebo vyšší orgán na úrovni EÚ) by mal dať jasný výklad.

@martin.sechny:

Opat velmi podnetny prispevok, dakujem.

Priklad z minulosti (9 rokov stary).

@martin.sechny:

Uz su to cca. 2 mesiace, dostali ste nejake dalsie info k tejto Vasej zalezitosti?

Moj update:

V auguste som posielal podnet do CSIRT-u ohladne implementacie Google reCAPTCHA Enterprise na portali bytzdravyjevyhra.sk s tym, ze tam nie su dodrzane podmienky implementacie tejto sluzby a v takomto stave tato implementacia javi znamky spyware-u. Do dnesneho dna (okrem automatickej spravy o prijati podnetu) som bez odpovede. A predpokladam, ze sa jej uz ani nedockam, kedze uz realne nie je co riesit…

Obdobna situacia je aj pri mojich podnetoch pre UOOU, kde su stale viacere moje podnety bez odpovede (september, april a tusim este aj februar). Tak si kladiem otazku, ma vobec zmysel nieco riesit ked nase organy tieto podnety ignoruju? Mam sa doprosovat o odpoved? A potom sa mozu cudovat kolko chcu, ze s takymto pristupom im ludia nic nereportuju.

Navyse dnes som sa v ramci konferencie ITAPA dozvedel, ze Slovensko ma 2 rozne CSIRT-y (csirt.gov.sk a sk-cert.sk). Takze skusim tuto problematiku este preposlat aj SK-CERT-u, s ktorym som zatial nekomunikoval, ale nadeje si uz veru nerobim.

Nič nové doteraz.

Jednotlivé organizácie majú odlišné poslanie v informačnej a kybernetickej bezpečnosti:
Národný bezpečnostný úrad (NBÚ)
Národné centrum kybernetickej bezpečnosti (SK-CERT)
Jednotka pre riešenie počítačových incidentov (CSIRT.SK)
Lokálne jednotky CSIRT
Úrad na ochranu osobných údajov SR
Úrad pre reguláciu elektronických komunikácií a poštových služieb

trochu odbocim: Ja sa ohladom obdobneho natahujem s dennikmi a aj tam to vyzera byt tristne, vid napr.:

https://twitter.com/PHanecak/status/1458563738865385479

Tam je to samozrejme iny level, lebo kym tam mam moznost predstat byt predplatitelom, v state moznost prestat byt obcanom nemam.

t.j. ostavaju tam nepokryte biele miesta, za ktore sa neciti nik z uvedenych byt zodpovedny a teda problem spomenuty v tejto diskusiii nema pana a teda ani riesenie?

@hanecak:

Ja som toto vlakno umyselne smeroval len k statnym sluzbam, ktore obcan SR vyuzivat musi. Inak by som tiez mohol kludne pisat skusenosti napr. s jednym poprednym slovenskym webhostingom, ktory si zo dna na den implementoval do prihlasenia Google reCAPTCHA a tym mi znemoznil sa dostat k mnou zaplatenym sluzbam alebo obdobny pripad s jednou poprednou slovenskou bankou, kde do prihlasenia do IB tiez integrovali Google reCAPTCHA… Ale toto vsetko vyuzivam dobrovolne a nikto ma to vyuzivat nenuti. V zmysle hesla “Vote with your wallets.”, ked sa mi nieco nepaci, prestanem to pouzivat a/alebo za to platit.

Moznost prestat byt obcanom SR existuje, ale musite sa stat obcanom ineho statu a popravde ani neviem, kde by to bolo z tohto pohladu lepsie. Vsade budu nejake problemy… Dokonca Palo Luptak si na tomto zalozil biznis a vyvaza slovakov (resp. nie len slovakov) do Paraguaja, aby ziskali obcianstvo tam. Viac info napr. tu.

@martin.sechny:

Toto som cital uz vcera. Tu je original clanok.

Skoda len, ze Francuzsko riesi len velke zahranicne spolocnosti (teraz nemyslim len toto ohladne cookies) ale nic o tom, ze by riesili aj nieco statne som este necital - ale je kludne mozne, ze to ku mne len neprebublalo.

Pardon za odbocene. Veci sa hybu nie len u nas, t.j. mam s cim sa vratit k povodnej teme:

Odtial zacitujem najma:

Novela zákona o elektronických komunikacích od letošního roku zavedla právo takové sledování odmítnout. Provozovatel stránky pak nesmí návštěvníka zablokovat, a pokud dotyčný svůj názor nevyjádří, bere se to rovněž jako nesouhlas.

Je to z CR, ale je to v zasade na velmi podobnom zaklade, “kedze GDPR”.

Dalej, posun, aj ked teda v kontexte nasej debaty “milovy a vzad” nastal na slovensko.sk, vid:

Dalej za ostatne dni pribudlo aj toto:

A prave GA (resp. nieco podobne) je zrejme vyraznym faktorom za tym, co pribudlo na slovensko.sk . Uvidime, ako sa s tym popasuje na UOOU, podnet som podal.