Ena tema za Matthai...

Evo tole sem našel na enem drugem forumu ( www.alter.si ) in me zanima mnenje...

http://www.alter.si/tabla/showflat.php/...



citiram uporabnika lost1 :

No da malec na kratko objasnim kaj in kako je bilo.

Epilog je bil tak, da je Bolha posredovala oglas na Tržni inšpektorat ( čeprav je bil samo en oglas !! ) , nato je tudi bolha posredovala IP moj inšpektorju, ta pa je poslal dopis na T2 in T2 je inšpektorju posredoval moje podatke, na ta način je prišel inšpektor do mene, na bolhi namreč niso imeli mojih pravih podatkov profilu,temveč izmišljene.

Zdej z inšpektorjem smo se dogovoril da gre tukaj za nesporazum in da niti pod razno se ne preživljam s temi stvarmi, ker iskreno povedano tudi časa nimam, tako da je potem to tudi sam videl in mi je izdal je opozorilo ( brezplačno) , medtem ko prve pol ure obiska,je vztrajal na kazni cca 200€ oziroma 100€ polovicka ( opomin ) .

Sedaj pa mene zanima, ali ima inšpektor pravno podlago, da zahteva od T2 podatke o uporabniku IPja v določenem času ali ne? Ker sumim da je se T2 samo po domače "usral" inspektorja in jim posredoval podatke ( z dopisom, ne samo ustno ) .
Ker če je res tako kot pišete, potem je tukaj T2 izdal podatke ki bi jih moral varovati z zakonom oziroma jih ne sme posredovati tretji osebi brez odredbe sodisca. Inspektorja sem tudi povprašal o tem če sem v predkazenskem postopku in pa če ima nalog za pridobitev podatkov, pa je bila njegova izjava da on ker je inšpektor tega ne potrebuje, temveč mu morajo povedati.

Zdej pa strokovnjaki z besedo na dan, jaz sem uspešno rešil, je pa imel tam še kar lep kup primerov in glej ga hudiča, vsi z bolha.com .

Od zdej naprej, na bolhi definitivno ne prodam več nobene stvari, upam da propadejo cimprej oziroma da jih konkurenca izrine.

Torej lahko T2 in Bolha tala ip-je in osebne podatke kar tako naokoli ?

Matthai ni pravnik, je pa stručko na področju. Dokler se ne oglasi, vskočim sam. Delam diplomsko, kjer pač rabim raziskovat tudi v tej smeri.

Ekola glej okrog 104. člena.

19. člen v primeru dinamičnega IP naslova ne zadošča. Če je imel OP statično dodeljen naslov, potem je inšpektor dobil podatke po pravilnem postopku. Če je bil IP naslov dinamičen, jih je T-2 morda izdal, ko jih ne bi smel.

Mnenje IP-RS je, da inšpektor ali policija ne more pridobiti podatkov o prometu iz posebne zbirke brez ustrezne odredbe sodišča. Če so bili podatki o dinamičnem IP naslovu posredovani iz logov (ti še niso posebna zbirka), potem so bili posredovani ustrezno. Če pa so bili posredovani iz posebne zbirke, ki jo zahteva ZEKom, potem so bili najverjetneje posredovani v nasprotju z zakonom.

Za zaščito svojih pravic imaš možnost od T-2 zahtevati seznam oseb, ki so jim bili posredovani tvoji osebni podatki, kar mora seveda vključevati tudi TIRS. Pri IP-RS pa lahko vložiš prošnjo za mnenje ali pregled, če je morda prišlo do kršitev tvojih pravic po ZVOP. Bi pa moral razmisliti kakšna škoda ti je bila dejansko povzročena, če sploh. Da ne boš rinil v (u)pravne postopke, ne da bi za to imel kakšen poseben razlog.

Inšpektorji so (preverjeno) tolk nori, da to na podlagi 19. čl. ZIN zahtevajo. Če nimaš hudičevo dobrega pravnika z dovolj figurativnih cohones na svoji plačilni listi, se inšpektorjem in drugim uradnim organom niti ne upaš preveč upirati. Za vsak ugovor, ki ga imaš takoj zahtevajo odgovorno osebo, da lahko napišejo kazen... potem pa marš na sodišče, da se zavaruješ pred inšpektorjem, ki ni pravnik, ima pa nad seboj šefa in normo.

Podatke o IP naslovu da lahko operater samo na podlagi sodne odločbe. Zahteva morapa priti s trani policije, ne pa nekega inšpektorja.

Seveda se vse spremeni, če ima inšpektor za to sodno podlago.

Jaz bi zahteval sled potrebne dokumentacije. In če sodna zahteva za lastnika IP naslova manjka, potem inšpektor nima kaj več srati. Lahko ga prijaviš na urad informacijske pooblaščenke, ker je zlorabil svoja pooblastila.

LP I.

@Invictus: Okvirno imaš sicer prav, hudič pa je, kot vedno, v malenkostih, ki splošno načelo bistveno spremenijo. Bom po vrsti poskusil dopolniti tvoje izjave.

Podatke o IP naslovu da lahko operater samo na podlagi sodne odločbe.

Ti ni striktno res. Če je IP naslov v zbirki naročniških podatkov ali njenem ekvivalentu (to so lahko recimo podjetja s svojimi omrežji in povezovalnimi segmenti ter SOHO s statičnimi IP naslovi), potem po ZKP zadošča že zaprosilo policije. Tako, kot to velja npr. za zaprosilo na podlagi telefonske številke.

Zahteva morapa priti s trani policije, ne pa nekega inšpektorja.

Prinašatelj sodne odredbe za ugotovitev uporabnika IP naslova, ki ga je možno ugotoviti samo iz podatkov o prometu (tisto, kar se zbira po 107.a - 107.e ZEKom) je lahko kdorkoli, ki mu sodišče to nalogo naloži. Policist, tožilec, inšpektor, sodni izvedenec, kurir, ... Pomembno je, da se operaterju izroči prepis odredbe, ki je edina možna podlaga za obdelavo podatkov v tej posebni zbirki.

Če so podatki na razpolago drugje, jih ZEKom ne ščiti posebej pred razkritjem na podlagi kakšnih ZIN-ov ali ZPP-jev.

Jaz bi zahteval sled potrebne dokumentacije. In če sodna zahteva za lastnika IP naslova manjka, potem inšpektor nima kaj več srati.

Ni rečeno, zaradi zgoraj omenjenih izjem. Zato pa počasi in po vrsti. Najprej je potrebno zbrati podatke, potem se šele lahko potegne sklep.

Lahko ga prijaviš na urad informacijske pooblaščenke, ker je zlorabil svoja pooblastila.

Bolj kot na inšpektorja, to leti na operaterja, ki je morda obdeloval podatke brez ustrezne zakonske podlage.

Bolha ne, Telekom in SiOL pa MORATA beležiti te podatke na podlagi ZEKOM (oz. bi jih morala, pa jih še ne).

Za Bolho imaš prav, ker ni operater. ZEKom se v teh členih nanaša samo na operaterje.

Telekom Slovenije in SiOL nista dva pravna subjekta, ampak je Telekom Slovenije podjetje, SiOL pa njegova blagovna znamka. Tako kot je npr. Magna blagovna znamka Petrola.

ZEKom ne zahteva izrecno, da se morajo takšni podatki pri operaterju hraniti, ampak, da se jih mora hraniti, če se jih ustvarja. Če ima operater npr. DHCP server na katerem je logiranje izključeno, potem teh podatkov ne generira in jih posledično tudi ne rabi hraniti.

Vsi omembe vredni operaterji v Sloveniji po mojem vedenju te podatke že hranijo in to že nekaj časa. Če jih ne bi, bi Policija že zahtevala globe, ki se za tak prekršek pišejo v N x 100.000EUR. O takšnem spodrsljaju, če se bi komu pripetil, bi zagotovo lahko brali v medijih.

Poleg tega prihaja v rabo zakon, kjer bo potrebno beležiti vse dostope do osebnih podatkov.

Zakon o varstvu osebnih podatkov (ZVOP) to predpisuje že od leta 2004. Konkretno mnenje IP-RS, ki razlaga kako je to predpisano, pa je št. 0712-562/2009/2. Sicer za primer CPR, ampak mnenje je dovolj splošno, da so iz njega razvidne osnovne zahteve, ki izhajajo iz ZVOP. Čisto konkretno (komur se ne da brati celotnega mnenja) pa je v njemu zapisano:

Na temo zunanje sledljivosti: "Po določbah 3. odstavka 22. člena ZVOP-1 mora upravljavec osebnih podatkov za vsako posredovanje osebnih podatkov zagotoviti, da je mogoče pozneje ugotoviti, kateri osebni podatki so bili posredovani, komu, kdaj in na kakšni podlagi, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja osebnih podatkov. Na takšen način se zagotavlja t.i. zunanja sledljivost obdelave osebnih podatkov, to je evidentiranje posredovanja ali razkrivanja osebnih podatkov drugim pravnim ali fizičnim osebam."

Na temo notranje sledljivosti: "Poleg zunanje sledljivosti je potrebno zagotoviti tudi t.i. notranjo sledljivost obdelave osebnih podatkov, to je evidentiranje obdelave osebnih podatkov znotraj upravljavca osebnih podatkov in znotraj uporabnika osebnih podatkov. Takšno sledljivost upravljavcem in uporabnikom osebnih podatkov nalaga 5. točka 1. odstavka 24. člena ZVOP-1, kjer je določeno, da je potrebno s postopki in ukrepi za zavarovanje osebnih podatkov omogočati poznejše ugotavljanje, kdaj so bili posamezni osebni podatki vneseni v zbirko osebnih podatkov, uporabljeni ali drugače obdelani in kdo je to storil, in sicer za obdobje, ko je mogoče zakonsko varstvo pravice posameznika zaradi nedopustnega posredovanja ali obdelave osebnih podatkov. Da bi zadostili tej določbi, ni dovolj, da se evidentirajo zgolj vnosi in spremembe osebnih podatkov v posamezni zbirki, pač pa je potrebno zagotoviti tudi možnost naknadnega ugotavljanja, katere pooblaščene osebe (zaposleni pri upravljavcu ali uporabniku osebnih podatkov) so v določenem času zgolj vpogledovale oz. pridobivale osebne podatke določenega posameznika."

Je pa to samo nekaj regulativ EU, ki so čisti overhead in nepotrebne stvari s strani podjetij.

To je tipično ozko tehnološko gledanje na problematiko ali pa gledanje upravljalcev podjetij (managerjev), ki varnostne problematike ne razumejo, ker se jo na MBA tečajih ne pokriva. Že iz poslovnega vidika je v količkaj večjem in urejenem podjetju upravljalcem razumljivo, da so podatki - poslovne skrivnosti - dejanska kri podjetja, saj lahko njihovo razkritje privede do negativnih gospodarskih posledic. Od posrednih zaradi izgube ugleda, pa do neposrednih zaradi izgube poslov. Ravno tako se upravitelji zavedajo, da so praktično vse največje zlorabe in največja škoda povzročena s strani t.i. notranjih napadalcev. To so zaposleni, ki zaradi takšnega ali drugačnega razloga dosegljive notranje podatke zlorabijo v škodo podjetja.

Zaradi tega vedenja in zaradi tega, ker se v odjetjih ne nadzoruje oseb ampak delo le teh, so se v naprednih in urejenih podjetjih že v preteklih letih uvedli sistemi nadzora, ki spremljajo dostope do vseh poslovnih podatkov ne glede na njihovo obliko (papirna, digitalna). Podatke o teh dostopih pa se medsebojno korelira in ugotavlja morebitna odstopanja od običajnih vzrocev dela, ki bi lahko nakazovala na obstoj zlorabe ali celo kraje teh podatkov.

V tem pogledu osebni podatki niso nič posebnega, ampak so samo še ena poslovna skrivnost katere izguba ali razkritje bi tudi brez obstoja ZVOP-a, ki predpisuje neposredne globe za malomarno ravnanje, privedlo do neposredne ali posredne gospodarske škode. Torej njihovo ustrezno varovanje samo neodgovorni jemljejo kot "balast", odgovorni pa so že davno tega ugotovili, da je takšno varovanje samoumevno in v izključni službi zagotavljanja višjih dobičkov in občasno celo preživetja podjetja.

Tale določba je precej splošna in kar kliče po zlorabah. V stilu: policija rabi odredbo sodišča, inšpektor pa ne.

TIRS pa se na to določbo vztrajno (vedno več tovrstnih odločb), arogantno (razlage v zavrnitvah sploh ne preberejo) in agresivno (takoj mahajo z globami zaradi neizpolnjevanja odločb) zanaša in z njo ropota.

Mimogrede: naložene globe se morajo plačati, čeprav se sproži postopek pred upravnim sodiščem. Potem pa čakaj leta in leta, da pride skozi in, da ti potem država te stroške povrne. Me zanima kdo z veseljem državi plačuje po nekaj 1000EUR mesečno zaradi takšnih inšpektorjev. Včasih je enostavno lažje, da se podatke da in se računa na to, da se na strani oškodovanca zaradi nevednosti ne bo nihče pritožil na postopek ali pa v pisarno IP-RS.

IP-RS pa vsaj do sedaj ni preverjal tovrstnih rabot posameznih inšpektorjev ali inšpketoratov, saj je brez pritožb oškodovacncev težko (če je sploh možno) ugotoviti kateri to počno in kateri operaterji so jim pri temu ustregli.