» »

Pošta Slovenije na spletu objavila seznam "varnih poštnih predalov"

1
2
»

BigWhale ::

fiction,

Samo ime in priimek se nista osebni podatek. Na podlagi imena in priimka te ne more nihce identificirat. Vsaj z zagotovostjo ne. Ce je zraven se tvoj postni naslov in kraj bivanja, pa smo ze blizje. Ce je pa zraven se tvoj EMSO ali pa davcna stevilka, je pa to ze cista zmaga. Samo ime in priimek pa se ne steje kot osebni podatek in ne rabis kaksnega posebnega dovoljenja za objavo.

E-postni naslov je nekje v sivih vodah, po zakonu to se ni osebni podatek, ker si lahko vsak ustvari tak naslov, kot si ga zeli. Ce sta zraven se ime in priimek je to ze blizje.

Vsaj tako so nas ucili.

aljazh ::

Argument, da so naslovi objavljeni zato, da te lahko najde nekdo, ki ti želi poslati pošto in analogija z nabiralniki v bloku, enostavno ne zdržita.

Če se že hoče zagotoviti možnost, da potencialni pošiljatelj najde uporabnikov naslov, bi to lahko implementirali v smislu iskalnika, v katerem bi potencialni pošiljatelj vnesel ime in priimek potencialnega prejemnika, iskalnik pa bi mu vrnil elektronski naslov.

Glede na to, da za isti cilj obstajajo rešitve, ki so z vidika varovanja osebnih podatkov sprejemljivejše, je tako objava podatkov o 1000+ uporabnikih povsem nepotrebna.

Primerjava z nabiralniki v blokih ni smiselna. Teoretično bi sicer lahko nekdo obhodil vse bloke v Sloveniji in naredil seznam naslovov, a je to povezano z veliko izgubo časa in velikimi stroški. Zato je zelo malo verjetno, da se bo tega kdo lotil. Poleg tega so na nabiralnikih v večini napisani le priimki.

Ravno zaradi enostavnosti zbiranja, obdelave in dostopa do elektronskih zbirk osebnih podatkov, se tukaj zahteva drugačen nivo varovanja. Pri nabiralnikih že "implementacija" sama zelo otežuje dostop in zbiranje podatkov. Pri elektronski zbirki pa je vse skupaj vprašanje števila klikov.

Četudi so osebe na seznamu slučajno dale soglasje za objavo naslova, je izvedba tega naravnost diletantska.

aljazh ::

BW, narobe so vas učili.

Pooblaščenka pravi, da je tudi elektronski naslov osebni podatek (je zapisano tudi nekje na strani IP-RS, če se ti da iskat).

O imenu in priimku pa sploh ni nobenega dvoma, da gre za osebni podatek. Najbolj banalen primer je odločba pooblaščenke, da fakultete ne smejo objavljati ocen na oglasnih deskah pod imeni in priimki študentov.

poweroff ::

Par pojasnil iz moje strani.

1. Dopuščam možnost, da je Pošta ta seznam objavila s soglasjem oseb. Zato je v novici tudi poudarjeno "soglasje". Čeprav glede na odzive na novico sklepam, da temu ni čisto tako. Prizadeti se seveda lahko obrnejo na Pooblaščenko...

2. Objava e-naslovov se mi definitivno ne zdi smiselna. Kakšne koristi od tega seznama ne vidim (tudi za Pošto ne), kvečjemu potencialno škodo - razkritje, da nekdo uporablja to storitev iz česar so potem možne kakšne zlorabe (recimo kakšen zvit phishing).

3. Pred objavo sem razmišljal, da bi Pošto obvestil o problemu, vendar se je izkazalo, da so seznam objavili zavestno. Očitno torej ne gre za to, da bi nekje na webu pozabili PDF.

4. Glede TIS - na Teledat oz. Telekom pač pošlješ dopis, da želiš, da te odstranijo iz imenika. In v kakšnem tednu tvoja številka izgine iz baze. Seveda pa ostane na CDju in v tiskanem imeniku, kar pomeni, da bo iz "javne uporabe" prišla čez nekaj let. Enako lahko zahtevaš, da ti vklopijo skrivanje IDja ob klicu, ali pa pred vsakim klicem vtipkaš #31# (mislim,d a velja tudi za PSTN, ne samo za mobilno telefonijo).

5.
Malce karikirano, ampak po tej preprosti logiki so osebni podatki tudi imena in priimki, ki so napisani na poštnih nabiralnikih recimo v bloku? Saj tam tudi izveš imena in priimke, pa morda še celo številko stanovanja.

Ne, ker ne gre za (avtomatizirano) bazo podatkov.

6.
Bistvo varnega poštnega predala pa verjetno ni v tem, da nihče ne ve za tvoj elektronski naslov.:))

Ja in ne. Načeloma ima moj e-mail samo tisti, za katerega jaz hočem, da ga ima. Enako velja za mojo številko. Pač nočem, da me kontaktira ravno vsakdo.

P. S. Je pa sicer Google hacking - iskanje občutljivih podatkov s pomočjo Googla - precej zanimiva zadeva. Praviloma gre za podatke, ki jih nekdo objavi na spletni strani in potem kolegu ali dvema pošlje link do datoteke. Google potem zadevo poindeksira, podatki pa se pozabijo gor (včasih se celo odstrani link na datoteko, datoteka pa ostane pozabljena na serverju).

Pred časom sem na slovenski spletni strani našel hudo občutljive podatke. Zadevo so delno že počistili, počakal bom še, da izgine iz Google cacheja, potem bo pa novica z zabrisanimi screenschooti. Se boste hudo zabavali. :D
sudo poweroff

FastWIND ::

A ni svoj čas imel najdi.si svoj 'imenik' elektronskih naslovov ?

techfreak :) ::

A ni svoj čas imel najdi.si svoj 'imenik' elektronskih naslovov ?

Ne, to je bil prikriti imenik za spamerje. Saj drugega razloga za shranjevanje vseh možnih emailov tako ni.

Slipi ::

Odličen seznam za spemarje. Kaj bolj preprostega ne morejo najti nikjer v spletu, kot takole lepo v vrsti nanizani mail naslovi. Briga koga za ime in priimek.

misek ::

A lahko nekdo, ki je na tem seznamu, potrdi, da se da poslati mail na ta naslov brez kvalificiranega digitalnega potrdila? Kolikor jaz razumem ne. Torej se da spamarja kar hitro ugotoviti. Razen, če nima ukradenega potrdila.

dronyx ::

@BigWhale, ti se hecaš? Ime in priimek povsem zadošča za identifikacijo, če je ta unique na nivoju države. In verjemi, da obstaja veliko ljudi, ki imajo to kombinacijo unikatno, tako da ne potrebuješ nobenega EMŠOja da te osebe najdeš (nedvoumno identificiraš) v bazah osebnih podatkov.

Sicer pa strogo gledano pomeni vsak poštni predal že vzpostavljeno malo bazo osebnih podatkov, za katero pa nihče nima soglasja vseh, ki se v njej pojavljajo, saj eno poštno sporočilo lahko vsebuje več 100 elektronskih naslovov, kjer se vidi običajno ime in priimek ter ponudnika poštnega predala ali firmo, kjer oseba dela (daljše mnenje sem sicer napisal o tem na mojem blogu).

dronyx ::


Malce karikirano, ampak po tej preprosti logiki so osebni podatki tudi imena in priimki, ki so napisani na poštnih nabiralnikih recimo v bloku? Saj tam tudi izveš imena in priimke, pa morda še celo številko stanovanja.

Ne, ker ne gre za (avtomatizirano) bazo podatkov.

Kar se tiče analogije z navadnimi poštnimi nabiralniki je po moje zadeva takšna:

Če imena in priimke nalepi na nabiralnik vsak sam, se to šteje kot privolitev posameznika, če pa bi jih nalepil za vse upravnik zgradbe (hišnik), je pa to sigurno hud prekršek, ker gre za nedopustno zlorabo osebnih podatkov, brez privolitve posameznika.:))

Po moje zakon ne loči med avtomatizirano in kakšno drugo zbirko podatkov. Če imaš na kupu zložene neke obrazce z osebnimi podatki, si ti že vzpostavil zbirko, je pač na papirju, tako kot so bile včasih na karticah.

Zgodovina sprememb…

  • spremenil: dronyx ()

FrizzleFry ::

Če sem prav razumel poanto teh varnih naslovov je ta poštni naslov enakoveden kot pravi naslov osebe (naslov, poštna številka in kraj). Torej se lahko na njega pošiljajo uradni dokumenti, kar ima vrednost tudi na sodišču. Ker so "stacionarni" naslovi javni, ne vidim razloga, da ti elektronski ne bi bili.


Poenostavljeno, vendar drži. Matthai je ponovno odkril - žal tokrat legalno početje Pošte Slovenije - vsekakor pa nesorazmernost gleda varstva osebnih podatkov. Da gre v konretnem primeru za zbirko osebnih podatkov sploh ni potrebno debatirati.
Žal pa ima Pošta pravno podlago in sicer v 12. členu ZUP-E:

"(4) Ponudniki varnih elektronskih predalov objavijo seznam odprtih varnih elektronskih predalov in njihovih imetnikov na svojem spletnem mestu in jih pošljejo v objavo na enotni državni portal e-uprava. Šteje se, da je s tem zanesljivo ugotovljen naslov varnega elektronskega predala.".;((

PO tej logiki bi namreč morali objaviti tudi centralni register prebivalstva>:D

Bomo pač treba spremeniti take nebuluze v zakonih.

poweroff ::


Malce karikirano, ampak po tej preprosti logiki so osebni podatki tudi imena in priimki, ki so napisani na poštnih nabiralnikih recimo v bloku? Saj tam tudi izveš imena in priimke, pa morda še celo številko stanovanja.

Ne, ker ne gre za (avtomatizirano) bazo podatkov.

Kar se tiče analogije z navadnimi poštnimi nabiralniki je po moje zadeva takšna:

Če imena in priimke nalepi na nabiralnik vsak sam, se to šteje kot privolitev posameznika, če pa bi jih nalepil za vse upravnik zgradbe (hišnik), je pa to sigurno hud prekršek, ker gre za nedopustno zlorabo osebnih podatkov, brez privolitve posameznika.

Ja, se moram popravit.
Tudi seznami stanovalcev so zbirke osebnih podatkov.
Je pa tako, da če imam jaz v mojem inboxu sezname mojih kontaktov to ni zbirka, ki bi jo moral prijaviti, poleg tega se lahko šteje, da so mi ti posamezniki dali privolitev, da njihove e-maile hranim.

Glede 12. členu ZUP-E pa - uff, tole je pa totalno neumna določba.
sudo poweroff

Ziga Dolhar ::

Glede 12. členu ZUP-E pa - uff, tole je pa totalno neumna določba.


Pa precej neprijetna v luči tvoje novice :).
https://dolhar.si/

dronyx ::


Je pa tako, da če imam jaz v mojem inboxu sezname mojih kontaktov to ni zbirka, ki bi jo moral prijaviti, poleg tega se lahko šteje, da so mi ti posamezniki dali privolitev, da njihove e-maile hranim.


Ti imaš v inboxu za vsako pošto navedenega pošiljatelja, za katerega jasno upravičeno domnevaš, da se strinja s hrambo e-mail naslova, saj ti ga je on poslal.

Veliko elektronske pošte pa je poslane kot "posreduj dalje", kjer s sporočilom roma naokrog še cela vrsta naslovov ljudi, ki jih ne poznaš in nimajo pojma, da si ti dobil pošto, v katerih so oni navedeni. Preprečiti tega pa ne moreš.

Če grem jaz analizirati moj službeni poštni predal in arhiv, lahko takoj naredim seznam nekaj 1000 ljudi, skupaj z podatkom, kje delajo. Večina ni poslala pošte direktno meni, ampak je nekdo forwardiral sporočilo z vsemi ostalimi prejemniki.

Zgodovina sprememb…

  • spremenil: dronyx ()

Tr0n ::

Paranoia - Matthai has itz.

blackbfm ::

@onyx samo vseeno pa ne morjo kar javno objavit elektronske naslove kar tako v pdf oz. še huje kar v xls.

dronyx ::

@blackclw morajo, če jih k temu zavezuje zakon o upravnem postopku, oziroma ZUP v reviziji E (83. členu se doda četrti odstavek), kot je ugotovil FrizzleFry.

Je pa za diskusijo, ali je to smiselna določba. Po moje bi bil iskalnik povsem dovolj. Očitno je pa res, da spamerji od teh naslovov nimajo kaj veliko, ker elektronsko nepodpisana pošta verjetno ne pride do predala. Predal je pa še vedno varen, kljub objavi naslovov, saj varnost temelji na certifikatih, ne na tem, da nihče ne pozna tvojega naslova.

Zgodovina sprememb…

  • spremenil: dronyx ()

BigWhale ::

@BigWhale, ti se hecaš? Ime in priimek povsem zadošča za identifikacijo, če je ta unique na nivoju države. In verjemi, da obstaja veliko ljudi, ki imajo to kombinacijo unikatno, tako da ne potrebuješ nobenega EMŠOja da te osebe najdeš (nedvoumno identificiraš) v bazah osebnih podatkov.


Ne, ime in priimek je samo pogojno lahko uporabljen za identifikacijo. Nanj se ne mores zanesti. Ce je danes na celem svetu samo ena Mifalda Fikfak, ti nihce ne zagotavlja, da ne bo jutri se kaksna. Ce pa vzames kaksnega Janeza Novaka, ti pa precejkrat se naslov ni hisna stevilka ne pomagata pri identifikaciji.


Sicer pa strogo gledano pomeni vsak poštni predal že vzpostavljeno malo bazo osebnih podatkov, za katero pa nihče nima soglasja vseh, ki se v njej pojavljajo, saj eno poštno sporočilo lahko vsebuje več 100 elektronskih naslovov, kjer se vidi običajno ime in priimek ter ponudnika poštnega predala ali firmo, kjer oseba dela (daljše mnenje sem sicer napisal o tem na mojem blogu).


Ze sam address book je (lahko) sporna zadeva. Notri imas lahko vec sto kontaktov, za njih ti ni nihce dal privoljenja, da jih lahko hranis. Potem zraven napises se naslove in rojstne datume svojih prijateljev. Telefonske stevilke. Doma, v sluzbi, mobilne stevilke...

fiction ::

O imenu in priimku pa sploh ni nobenega dvoma, da gre za osebni podatek. Najbolj banalen primer je odločba pooblaščenke, da fakultete ne smejo objavljati ocen na oglasnih deskah pod imeni in priimki študentov.
Kar se mi zdi cisto prav. Zakaj bi moral cel svet zvedeti, da sem padel pri dolocenem izpitu? Javno ocenjevanje je IMHO to, da se ve kaksne ocene so padle, ne pa da se da (za zunanje ljudi) izvedeti kdo konkretno je dobil kaksno oceno.

Je pa za diskusijo, ali je to smiselna določba. Po moje bi bil iskalnik povsem dovolj. Očitno je pa res, da spamerji od teh naslovov nimajo kaj veliko, ker elektronsko nepodpisana pošta verjetno ne pride do predala. Predal je pa še vedno varen, kljub objavi naslovov, saj varnost temelji na certifikatih, ne na tem, da nihče ne pozna tvojega naslova.
Ok, ideja je ocitno v tem, da rabijo tisti, ki ti hocejo vrociti podatke nek mapping oseba -> njegov naslov. Ampak ravno zato ker ime in priimek nista nujno unique je to cisto brezveze. Jasno, ponudnik varnih elektronski predalov bi moral izrociti nek seznam (ki bi po moznosti vseboval tudi EMSO) drzavnemu portalu e-uprava, ne bi pa smel biti ta seznam javno dostopen. E-uprava bi potem imela na strani nek iskalnik, kjer bi vpisal ime in priimek ter EMSO in bi dobil njegov oz. njegove "elektronske naslove za vrocevanje". Teoreticno bi lahko bil dostopen tudi nek web service za iskanje po tem.

Ze sam address book je (lahko) sporna zadeva. Notri imas lahko vec sto kontaktov, za njih ti ni nihce dal privoljenja, da jih lahko hranis. Potem zraven napises se naslove in rojstne datume svojih prijateljev. Telefonske stevilke. Doma, v sluzbi, mobilne stevilke...
Ce ti nekdo pove svojo telefonsko, ti s tem implicitno da dovoljenje, da si tisto zapomnis, shranis v adresar ali pa kamorkoli hoces. Enako je, ko ti nekdo poslje email. Seveda pa je to misljeno za tvoje potrebe, ne smes teh podatkov prodati naprej ali kaj podobnega. Kar se tice tistega forwardanja mailov. V tem primeru je v bistvu tisti, ki ti je poslal mail kriv. Ne samo zaradi spama, ampak tudi zaradi izdajanja osebnih podatkov drugih oseb. Razlika je le takrat, ce oseba rece "poslji to cim vec prijateljem". Takrat je mozno, da oseba soglasa s tem, da se izdajo tudi podatki o njem (originalnem posiljatelju).

Zgodovina sprememb…

  • spremenil: fiction ()

WarpedGone ::

Opozoril bi na en detajl: obstaja razlika med osebnim podatkom in seznamom teh osebnih podatkov.

Email naslov je ekvivalent domačemu naslovu. Skoraj na vseh stanovanjih na vratih visi ime in priimek ampak to mi ne daje pravice, da grem od vrat do vrat in sestavim seznam za cel kraj kje točno kdo živi in nato ta seznam objavim v časopisu. Za kaj takega nucam izrecno privoljenje vsake dotične osebe. Problem je že navaden seznam stanovalcev, ki visi na oglasni deski ob vhodu v blok.

Tale poštni seznam je košer edinole, če ma pošta izrecno privolitev vseh objavljenih posameznikov, da lahko objavi njihove naslove na seznamu.
Zbogom in hvala za vse ribe

Ziga Dolhar ::

Tale poštni seznam je košer edinole, če ma pošta izrecno privolitev vseh objavljenih posameznikov, da lahko objavi njihove naslove na seznamu.


Kaj pa zakonsko pooblastilo, oz. celo pozitivno navodilo?
https://dolhar.si/

FrizzleFry ::

Dragi moji, tole part-time poznavanje varstva osebnih podatkov je nekaj s čimer se ni za hvaliti.:| Prvič, osebni podatki se lahko obdelujejo, če imaš pravno podlago za takšno početje. Pravna podlaga pa je bodisi privolitev posameznika bodisi podlaga v zakonu. V primeru varnih elektronskih predalov je pač to zakonska podlaga. Slaba sicer, ampak je. Pošta Slovenije zato nič ne krši, je pa zakon definitivno potrebno popraviti. Gre namreč za staro zgodbo, ko se stvari uredijo po najlažji poti (npr. z javno objavo), za varovanje zasebnosti pa je običajno potrebno vsaj malce truda.
Poleg pravne podlage je potrebno upoštevati tudi izjeme - tako recimo zakon o varstvu osebnih podatkov ne pride v poštev, če obdelujemo osebne podatke izključno za zasebno rabo, družinsko življenje ipd. Če si hočeš namestiti kamere doma, ali pa biometrijsko ključavnico na vhodnih vratih hiše, lahko to mirno storiš. Poleg tega pa se moramo zavedati, da niso vsi osebni podatki varovani - npr. javno objavljeni podatki v telefonskem imeniku in ostalih javnih knjigah.
Kar se pa tiče določljivosti posameznika (kriterij, da lahko govorimo o osebnih podatkih) - gleda se široko in sicer: ali je možno posameznika določiti brez nesorazmerno veliko napora, sredstev ali časa in ali je realno pričakovati, da bo podatek možno povezati s posameznikom. Ravno zaradi tega je potrebno tudi IP številke šteti za osebne podatke (razen v tistih primerih, ko smo 100% gotovi, da določljivost posamznika ni možna).
Sicer pa je zelo pohvalno, da Matthai opozori na takšne reči, da se ob tem razvije tudi zdrava debata in da se tudi kakšno na hitro sprejeto zakonsko spremembo odpravi ali popravi.;)

CaqKa ::

mathaii predlagaj informacijskemu pooblaščencu da pregleda, ali je sploh ta člen v soglasju z ostalimi...

Ziga Dolhar ::

mathaii predlagaj informacijskemu pooblaščencu da pregleda, ali je sploh ta člen v soglasju z ostalimi...


Zakon je zelo težko nezakonit :).
https://dolhar.si/

poweroff ::

Lahko je pa "neusklajen". :D
sudo poweroff

gzibret ::

Ali pa neustaven.
Vse je za neki dobr!

Ziga Dolhar ::

Če zakon ni "usklajen" oz. notranje koherenten, se, upoštevaje ideologijo o popolnosti zakona, najprej uporabijo metode za razlago zakona (npr. argumentum a cohaerentia, saj gre tu lahko za lex specialis).

Glede neustavnosti - je seveda mogoče. Je pa primerno konkretno pokazati, v čem je ta protiustavnost.
https://dolhar.si/

poweroff ::

Jaz bi rekel, da je zakon čisto OK s stališča ustave, pa tudi naprav ZVOP-1 verjetno deluje kot lex specialis.

Vseeno to ne pomeni, da je v skladu z nekimi splošnimi družbenimi načeli in da ga ni potrebno spremeniti.
sudo poweroff

Modri dirkač ::

This is an automatically generated Delivery Status Notification

THIS IS A WARNING MESSAGE ONLY.

YOU DO NOT NEED TO RESEND YOUR MESSAGE.

Delivery to the following recipient has been delayed:

xxx@moja.posta.si

Message will be retried for 2 more day(s)

Technical details of temporary failure:
The recipient server did not accept our requests to connect. Learn more at http://mail.google.com/support/bin/answ...
[moja.posta.si (1): Connection timed out]

----- Message header follows -----

MIME-Version: 1.0
Received: by 10.210.105.2 with SMTP id d2mr398486ebc.155.1233224422315; Thu,
29 Jan 2009 02:20:22 -0800 (PST)
Date: Thu, 29 Jan 2009 11:20:22 +0100
Message-ID: xxx@mail.gmail.com>
Subject: test
From: =
To: xxx@moja.posta.si
Content-Type: multipart/alternative; boundary=0015174bdc989ed64804619c6f43

----- Message body suppressed -----



No, za hec sem si poslal en mail na moj varni poštni naslov.
Tole mi javi gmail po enem dnevu.

Da bojo spam-paranoiki pomirjeni ...
Everybody lies!

blackbfm ::

Sigurno je tok spama da ga server ne more shendlat:)

cryptozaver ::

Še kar na voljo... spamerji v akcijo!!!

Utk ::

cryptozaver, katere besede v stavku "na ta naslov ne dobiš nedpodpisane pošte" ne razumeš?

RdecTelefon ::

Pod nastavitvami v varnem poštnem predalu imaš možnost, da obkljukaš "Dovolim objavo svojih podatkov v imeniku."

Zgodovina sprememb…

Azrael ::

Če to drži, potemtakem:

Tresla se je gora, rodila se je miš.
Nekoč je bil Slo-tech.
1
2
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Sprememba zakona o elektronskem poslovanju na trgu

Oddelek: Omrežja in internet
102740 (2273) stb
»

upor slovenskim spamerjem

Oddelek: Omrežja in internet
336213 (4941) BlueRunner
»

Nov članek: Mnenje: Konec interneta kot ga poznamo (strani: 1 2 3 )

Oddelek: Novice / Nova vsebina
10015202 (10921) PaX_MaN
»

Pošta Slovenije na spletu objavila seznam "varnih poštnih predalov" (strani: 1 2 )

Oddelek: Novice / Zasebnost
8317686 (13413) Azrael

Več podobnih tem