Podmienenie statnych sluzieb akceptaciou podmienok 3. stran (napr. Google reCAPTCHA)

dam sem svoj oblubeny slajd zo skolenia, ktore robim.

pozor, nebavime sa len o cookies, ale aj localstorage, potencialnom vynutenom cachingu zo strany webu/aplikacie atd.

PS: zakon plati od 1.2.2022

2 Likes

No pozor, naozaj sa nebavime len o cookies/localstorage. Podla toho co citam to vyzera, ze na US-based servery/sluzby nemozes pustit ziadne osobne udaje. Ci uz so suhlasom alebo bez neho!

Zda sa ze nas urad je ticho, tichucko - klidek. Porusovanie ochrany osobnych udajov je na dennom poradku najma v tlaci. Vyplaty idu naco sa zatazovat problememami obycajnych obcanov. Co tam po tom ze niekoho obtazuje takyto natlak statu.

Zdanie klame, prave naopak, urad je nesmierne aktivny v tom hadzat polena pod nohy aj tam kde by nemusel.

2 Likes

[quote=“jsuchal, post:44, topic:7725”]
rad je nesmierne aktivny v tom hadzat polena pod nohy aj tam kde by nemusel.
[/quote] :grinning:
aspon niekde ho je citit. Mozno sa raz dockame ze zacne konat v mene tych koho udaje ma svojou cinnostou chranit.

@hanecak:

Co sa tyka CR, tak oni iba harmonizuju legislativu s legislativou EU, nakolko ako jedina krajina si ju v minulosti implementovali nespravne (zjednodusene: opt-out namiesto opt-in). De-facto sa dostanu do rovnakeho stavu, ako panuje u nas. Otazne je, ako sa tam k tomu postavia.

Tato kauza s GA je uz rok a pol stara. Ono je to cele velmi problematicke z hladiska preukazania nejakeho skutku, kedze sa mozme hadat, ci mnozina udajov, ktore zbiera GA spada pod PII a ak ano, ake mam ja ako dotknuta osoba moznosti vobec nieco preukazat (napr. ze data naozaj koncia v US)? Obdobne, ak sa cez GA leakne IP adresa (ktora je povazovana za PII), UA a ine udaje a GA ma napr. v pripade IP adresy opt-in moznost ju anonymizovat ale opat, ake mam ja ako dotknuta osoba moznosti si toto overit? Co ak to prevadzkovatel ani nema aktivovane?

A ako sa spomina aj v tom clanku CZ rozhlasu, statne institucie maju vynimku z GDPR, resp. nemozu byt sankcionovane, cize… Otazne je, ci sa tato vynimka stahuje aj na sluzby 3. stran, ktore si zvolil stat - napr. to GA (podla mojho nazoru nie).


@dusoft:

O tejto zmene viem, ale podla mojho osobneho nazoru to nic-moc nemeni.

  • stale je tam vynimka pre organy statu,
  • netusim ako prevadzkovatel webu dokaze preukazat udeleny suhlas (ktory bude ulozeny v zariadeni dotknutej osoby alebo v jej konte - ak to sluzba umoznuje/vyzaduje) - predpokladam, ze toto ostane len na papieri.

@jsuchal:

Dalsi pripad z nedavnej minulosti: Bavarian DPA (BayLDA) calls for German company to cease the use of 'Mailchimp' tool | European Data Protection Board


@miromr:

K UOOU sa ja uz vyjadrovat nejdem. Je to institucia, ktora by mala chranit zaujmy dotknutych osob, zial realita je taka aka je…

Práve dnes som sa nad tým zamýšľal, keď som bojoval s reCaptchou na katastri (https://zbgis.skgeodesy.sk/), kde ma dnes, z nejakého záhadného dôvodu, cez ňu nejde pustiť v žiadnom prehliadači.

Možno by štátne inštitúcie mohli využívať nejaké GDPR compliant reCaptche ako napríklad toto https://friendlycaptcha.com/

1 Like

Ja som nereagoval na tvoj link.

@majso:

Nie som si isty, ci je mozne toto povazovat za porovnatelnu variantu, kedze sluzba od Googlu je zdarma. Navyse stale to neriesi zakladny problem a to, ze sa jedna o sluzbu 3. strany, resp. ze 3. strana bude spravovat nejake udaje o dotknutej osobe. Predpokladam, ze tato sluzba by vystupovala voci dotknutej osobe v pozicii sprostredkovatela prevadzkovatela (toto mi vychadza z bodu 5.2, resp. 5.3 podmienok danej sluzby). Dalej predpokladam, ze opat bude nutne udelit nejaky ten suhlas so spracovanim udajov 3. stranou a toto je kamen urazu. V takomto pripade, by tieto podmienky 3. strany museli byt obsiahnute v podmienkach prevadzkovatela webu (popr. osobitne), ktore moze dotknuta osoba opat z tohto titulu odmietnut, nakolko budu v rozpore s tym (resp. nie v rozpore, ale nad ramec toho), co kaze zakon a tym padom nebude mozne prejst danym procesom tak, ako je definovany v zakone (obdobny problem som mal pri online samo-scitani, kde zakon presne definoval dany postup a v praxi tam nad jeho ramec bola pritomna este Google reCAPTCHA Enterprise, ktora bola este aj implementovana v rozpore s jej podmienkami implementacie).


Dnes som este narazil na toto: Vyjádření Úřadu k rezervačnímu systému očkování proti COVID-19: Úřad pro ochranu osobních údajů

Nemate niekto blizsie info, akym sposobom sa tam tie rodne cisla dostali do GA?

1 Like


Pisu to tam, v URL bolo rodne cislo, URL je automaticky zaznamenana a prenesena do GA. Ergo, rodne cisla su v GA (co je mimochodom aj porusenie podmienok GA, ktore ukladanie osobnych udajov zakazuju a zakazovali davno predtym, ako sme mali GDPR).

1 Like

@dusoft:

To napadlo aj mna, ale v tom priklade maju pre GET parameter “cpoj” (cislo poistenca) len 9 znakov, pricom rodne cislo ma znakov 10. Navyse cislo poistenca nemusi nutne znamenat rodne cislo. Ale tiez je mozne, ze autor toho clanku nevie napocitat do 10… Ak realne mali v URL aj RC, tak je to celkom slusny fail.

Niektore starsie RC maju 9 cifier. Aspon na Slovensku. A nebude ich uplne malo.

Všetky rodné čísla vydané pred rokom 1954 sú 9-miestne. A keďže sme boli s cechmi v spoločnom štáte, tak to Čechách platí rovnako.

Toto je spôsob ako rýchlo určiť či RC začínajúce 21 znamená 1921 alebo 2021.

Takže rok 2054 je vlastne deadline pre zmenu spôsobu prideľovanie jednoznačného identifikátora občana. Ono by stačilo od tohto dátumu začať prideľovať novorodencom čísla novým spôsobom a pre ostatných občanov nič nemeniť, ušetrili by sme si všetci celkom veľa komplikácií.

Už je iba otázka či to politici / úradníci za zostávajúcich 32 rokov stihnú alebo to ako vždy budú riešiť na poslednú chvíľu …

Akurat, ze tie rodne cisla niektore zmodifikovali, pridali 0 a poznam pripad aj dopredu aj dozadu … okrem toho boli duplicity v rodnych cislach (neviem tom, ze by to bolo kompletne do dnesnej doby odstranene), pretoza davali intervaly matrikam a ked to minuli a nemali dalsie, tak pokracovali … (takze to podla mna dnes ani nie je jednoznacny identifikator)

Modifikovali iba tie keď bola duplicita a zároveň o to občan žiadal.

To s tým pridávaním 0 dopredu/dozadu možno súvisí s jednom veľmi starou migráciou dat vo VsZP. Vtedy šetrili na každom byte a nejakému architektovi napadlo uložiť RC ako int + smallint ( t.j 4+2=6 bajtov ), po migrácii a spustení do prevádzky zistili, že nevedia odlíšiť či 697 znamená 3-miestny suffix alebo 4-miestny s vodiacou nulou (0697). Kvôli odlíšeniu začali vtedy pridávať na koniec 0, takže v systéme boli všetky RC 10-miestne vrátane tých pred rokom 1954 (pred rokom 2000 to nevadilo) Pri vykazovani zdravotníckych dat sa preto dodnes používa heuristika s pokusnym pridaním nuly.

Viem, že to na centrálnom registri čistili, ale či už vyčistili všetko, to neviem. Ono je to celkom draha záležitosť zmenit doklady a evidencie vo všetkých systémoch ( ktoré sa aj tak museli už nejako s tými duplicitami vysporiadať ). Jednoduchšie je nechať ten problém “vyhniť”

Nie je, ale nič lepšie nemáme.

Vykazovanie zdravotníckych dat to rieši tak, že ku vykazanemu rodnému číslu pridávajú aj meno/priezvisko. Čo je vlastne ďalší kontrolný mechanizmus.

Tak a keby si tam to IDcko napr. tymto stylom vytvorili ako hash (RC + meno + priezvisko), tak nemaju v URL problem s osobnym udajom :wink:

Hovoril som o vykazovani / fakturacii poskytnutej zdravotnej starostlivosti, ktorá je už so svojej podstaty osobným údajom (zdravotný stav + identifikátor ).

Navyše by to nefungovalo dobre. Pretože preklepy, diakritika, poradie meno/priezvisko, zdrobneniny …

BTW. Ku tým zdrobneninam. Videl som problémy jednej pani, ktorej cestovka zabookovala letenky na meno “Anka” hoci v páse mala uvedené “Anna”. Tri medzinárodné lety si to nikto nevšimol. Pri štvrtom ju odmietli vpustiť do lietadla. Musela si zabezpečiť na vlastné náklady novú letenku.

Ano viem, ale reagoval som na podobne riesenie pre URL.

Vieme ako: security theater. V Schengene mozes absolvovat plno letov bez akejkolvek kontroly ID/mena, su nahodne.

Viedeň → Dubaj (prestup)-> Kapske Mesto

Kapske Mesto → Johannesburg (vnútroštátny)

Johannesburg → Victoria Falls

Aha… Popravde som netusil, ze sa este stale pouzivaju aj 9-miestne RC. Predpokladal som, ze sa v ramci normalizacie len doplnilo to stvorcislie za datumom narodenia o vodiacu nulu. Beriem teda nazad svoju namietku.

Skusme sa ale drzat povodnej temy, popr. admini mozu tuto diskusiu o RC rozdelit do noveho vlakna.