Naroči me na upravno enoto

Okapi je 9. jan 2022 ob 17:05 izjavil:

Osebnih podatkov, za katere nimaš izrecnega dovoljenja, ne smeš hranit, tudi če so javno dostopni. Zbirko takih podatkov imaš lahko brez dovoljenja samo v (možganskem) spominu.

ok nisem vedel..a slika potem ni osebni podatek?

Samael je 9. jan 2022 ob 17:32 izjavil:

Saul Goodman je 9. jan 2022 ob 17:03 izjavil:

Samael je 9. jan 2022 ob 16:50 izjavil:

Kakšnim teorijam? A mi zaupaš kje si z moje strani videl kakšne teorije?

Povsem prepričan sem namreč, da sam o tem nisem debatiral, se tega področja nisem dotaknil in da ti zgolj ponovno izvajaš mentalno akrobacijo, ko bi si najbrž naredil uslugo, če bi bil preprosto tiho.

Seveda smo rekli marsikaj o "dejanskem problemu". Pa tudi o tvoji neumnosti. Mislim, a ni neumno izkoristiti ranljivost neke baze podatkov, dol stegniti osebne podatke uporabnikov, nato pa se o tem celo javno pohvaliti?

problem je, da si ti tista budala, ki misli, da so "moje bedarije" ilegalne in to potrjuješ v tvojih odgovorih. "Ni neumno izkoristiti ranljivosti neke baze podatkov?" Katero ranljivost sem pa izkoristil, ti sveta preproščina?

Še vedno mi nisi zaupal, kje si videl te teorije, ki mi jih očitaš. Pa ne, da si me s kom zamešal?

A potem se ti ne zdi neumno izkoristiti ranljivost (ali pa recimo nesposobnost skrbnikov, če ti je tako lažje) neke baze podatkov, dol stegniti osebne podatke uporabnikov, nato pa se o tem celo javno pohvaliti?

Ko je Matthai na to opozoril, bi šlo najbrž mimo, pa ti ego ne da in tako v svoji lastni neumnosti pomešani z izpadi osebnostne motnje samo še dlje toneš in toneš.
A vedno, ko narediš neko bedarijo, pa te ljudje na to opozorijo postaneš penast okoli ust in začneš klaftati po tipkovnici, ker jasno, ti pa že ne delaš napak, drugi, prav vsi drugi so krivi za tvoj deficit med ušesi.

Glavno, da so problem neki namišljeni drugi, ki so z nekim namenom stegnili dol bazo osebnih podatkov uporabnikov, ne pa ti, ki si z nekim namenom stegnil bazo osebnih podatkov uporabnikov, aneda! No zaenkrat si ti edini, ki si se pohvalil, da imaš te podatke iz baze, pa da je to čisto okej, ker so bili pač na netu.

sorry, tale odgovor je preneumen da bi ti namenil kakšno daljšo razlago kot da še enkrat ponovim, da absolutno je razlika med tem ali izkoristiš varnostno ranljivost sistema, kot je to storil matthai & CO (del članka o SQL injection) ALI pa crawlaš po javno objavljenih URL-jih in vsebino teh URLjev shranjuješ v fajl. Problem nastane, ko se odločiš te podatke ZLORABITI. Ti si žal prezabit, da bi ločeval razlike, na tvojo žalost pa pravna ureditev na tem področju ni tako preprost kot v tvoji glavi.

Samael je 9. jan 2022 ob 18:13 izjavil:

Pa poskusiva bolj preprosto, če ti daljši teksti predstavljajo težavo.

Še vedno mi nisi zaupal, kje si videl te teorije, ki mi jih očitaš. Čemu tako skrivnosten?

A potem se ti ne zdi neumno izkoristiti ranljivost (ali pa recimo nesposobnost skrbnikov, če ti je tako lažje) neke baze podatkov, dol stegniti in shraniti v svojo zasebno offline bazo (kot si nam razložil) osebne podatke 25k uporabnikov, nato pa se o tem celo javno pohvaliti?

Bo šlo?

mene pa ne zanima a je to neumno, mene bolj zanima a je to pravno sporno

Karamelo je 9. jan 2022 ob 18:21 izjavil:

Samael je 9. jan 2022 ob 18:13 izjavil:

Pa poskusiva bolj preprosto, če ti daljši teksti predstavljajo težavo.

Še vedno mi nisi zaupal, kje si videl te teorije, ki mi jih očitaš. Čemu tako skrivnosten?

A potem se ti ne zdi neumno izkoristiti ranljivost (ali pa recimo nesposobnost skrbnikov, če ti je tako lažje) neke baze podatkov, dol stegniti in shraniti v svojo zasebno offline bazo (kot si nam razložil) osebne podatke 25k uporabnikov, nato pa se o tem celo javno pohvaliti?

Bo šlo?

mene pa ne zanima a je to neumno, mene bolj zanima a je to pravno sporno

Oboje. In neumno in pravno sporno.

In skrajno neetično. Pa verjetno bi se še kaj našlo, pridevnikov kolikor želiš...

Ales je 9. jan 2022 ob 18:25 izjavil:

Karamelo je 9. jan 2022 ob 18:21 izjavil:

Samael je 9. jan 2022 ob 18:13 izjavil:

Pa poskusiva bolj preprosto, če ti daljši teksti predstavljajo težavo.

Še vedno mi nisi zaupal, kje si videl te teorije, ki mi jih očitaš. Čemu tako skrivnosten?

A potem se ti ne zdi neumno izkoristiti ranljivost (ali pa recimo nesposobnost skrbnikov, če ti je tako lažje) neke baze podatkov, dol stegniti in shraniti v svojo zasebno offline bazo (kot si nam razložil) osebne podatke 25k uporabnikov, nato pa se o tem celo javno pohvaliti?

Bo šlo?

mene pa ne zanima a je to neumno, mene bolj zanima a je to pravno sporno

Oboje. In neumno in pravno sporno.

In skrajno neetično. Pa verjetno bi se še kaj našlo, pridevnikov kolikor želiš...

ja a potem ti je tudi neetično slikati druge ljudi in hraniti njihove slike? kje je tu razlika?

Karamelo je 9. jan 2022 ob 18:42 izjavil:

Ales je 9. jan 2022 ob 18:25 izjavil:

Karamelo je 9. jan 2022 ob 18:21 izjavil:

Samael je 9. jan 2022 ob 18:13 izjavil:

Pa poskusiva bolj preprosto, če ti daljši teksti predstavljajo težavo.

Še vedno mi nisi zaupal, kje si videl te teorije, ki mi jih očitaš. Čemu tako skrivnosten?

A potem se ti ne zdi neumno izkoristiti ranljivost (ali pa recimo nesposobnost skrbnikov, če ti je tako lažje) neke baze podatkov, dol stegniti in shraniti v svojo zasebno offline bazo (kot si nam razložil) osebne podatke 25k uporabnikov, nato pa se o tem celo javno pohvaliti?

Bo šlo?

mene pa ne zanima a je to neumno, mene bolj zanima a je to pravno sporno

Oboje. In neumno in pravno sporno.

In skrajno neetično. Pa verjetno bi se še kaj našlo, pridevnikov kolikor želiš...

ja a potem ti je tudi neetično slikati druge ljudi in hraniti njihove slike? kje je tu razlika?

Zdelo bi se mi neetično slikati ne vem koliko tisoč ljudi, ki so se nič hudega sluteč prijavili na neko storitev JU in potem te slike nepooblaščeno, z bog ve kakim namenom, brez vednosti ali odobravanja slikanih, obdelovati ali hraniti, ja itak. Kaj je tu sploh vprašanje...

nejc_nejc je 9. jan 2022 ob 18:57 izjavil:

Jest se bom naročal po telefonu....ali pa ustno.
Mislim, da mi morajo to opcijo nuditi.

se boš ja, ampak se zna zgodit da te bo una na šalterju not vkucala po nareku. :D

Ales je 9. jan 2022 ob 19:08 izjavil:

Saul Goodman je 9. jan 2022 ob 18:56 izjavil:

glede zgodbe se strinjam, da je brezveze da sem obelodanil kako trivialno je bilo podatke pretočiti. s trivialnimi pizdarijami se ponavad ne hvalm, ker niso nč posebnga, v mislih sem imel bolj opozorilo da je te podatke treba tretirat kot "pretočene", ker sem v praksi lahko to potrdil. to sem elaborilal tud v nadaljnih odgovorih.

me je pa zmotil zapenjanje o legalnosti tega početja, poglej si svoje komentarje, ko nisi vedel kak pridevnik bi si še spomnil, da bi izpadel bolj papežki od papeža. s tvojo zgodovino. wigga please.

jst sm na fajlu naredu par querijev za familjo, dobil match in nato zbrisal, ker mi drugi podatki ne nucajo. so pa uporabni za marsikoga, zato sem mnenja da je poleg sankcij potrebno vpeljat prakso obveščanja žrtev teh leakov in nek pameten pravni okvir, da se kot posamezniki lahko začnemo tožarit s temi pofukanimi šalabajzerji.

problem je, da je takih in podobnih aplikacij v našem javnem sektorju na tone, če si fotr veš kak clusterfuck od ITja je npr slovensko šolstvo.

za vse ostale: jst bi se bolj sekiral, če bi testiral inpute za sql injection. upam da niste kakih for probaval z domačimi IPji, cuz they comin for you.

Neznosna lahkost dostopnosti teh podatkov je bila vidna iz avijona, brez da si jih dejansko pretočil dol. To, da si jih, je IMHO neetično in zelo verjetno kaznivo dejanje.

Vse ostalo, kar razlagaš - zdaj še to, da si jih aktivno obdeloval z namenom ugotoviti, ali se med njimi nahajajo določene osebe - stvar naredi samo še slabšo.

Jaz bi si na tvojem mestu prenehal kopati jamo.

Vzemi si nekaj dni premisleka, prespi vse skupaj. Razmisli malo o namenih - s kakim namenom so bili podatki zbirani, ali je bil namen, da so javno dostopni, itd., pa to in potem tvoje početje postavi v zakonski okvir, morda boš začel razmišljati malo drugače.

Morda pa tudi ne, bogsigavedi! Good luck.

ej, zelo verjetni. ne utrujaj. :)

Karamelo je 9. jan 2022 ob 18:42 izjavil:

ja a potem ti je tudi neetično slikati druge ljudi in hraniti njihove slike? kje je tu razlika?

Slika sama po sebi ni osebni podatek. Osebni podatek postane, če ob sliki zapišeš, kdo je na njej, in je slika dovolj dobra, da jo lahko uporabiš za prepoznavanje obraza.

@Saul Goodman a si vprašal source, če lahko scrape-aš podatke ? Si prebral njihov TOS ? Če nisi, je to protipravno. Simple as that.

Dej malo razišči stvari, preden govoriš neumnosti.

Okapi je 9. jan 2022 ob 19:48 izjavil:

Slika sama po sebi ni osebni podatek. Osebni podatek postane, če ob sliki zapišeš, kdo je na njej, in je slika dovolj dobra, da jo lahko uporabiš za prepoznavanje obraza.

Ne bo povsem držalo @Okapi. Osebni podatek je po 4. členu GDPR vsaka informacija v zvezi z določenim ali določljivim posameznikom. Ni torej potrebno, da je na/ob sliki že zapisano, kdo to je, pač pa to, ali je posameznik na sliki določljiv (je slika dovolj dobra).

ZVOP-1 je bil topogledno nekoliko milejši, saj je dodajal še: "... pri čemer način identifikacije ne povzroča velikih stroškov, nesorazmerno velikega napora ali ne zahteva veliko časa".

Karamelo je 9. jan 2022 ob 20:54 izjavil:

torej če je slika osebni podatek, lahko vseeno slikam kogarkoli in si shranim na domačim comp, skrat vse je ok, dokler nebi tega začel deliti z drugimi?

GDPR se (med drugim) ne uporablja za obdelave, ki jih izvajajo fizične osebe "med potekom popolnoma osebne ali domače dejavnosti". Če temu kriteriju ustrezaš, si že na dobri poti, sicer pa je potrebno iskati eno od pravnih podlag iz člena 6.

Vendar pa je potrebno upoštevati tudi območja (pričakovane) zasebnosti. Če boš nekoga fotografiral na na javni prireditvi, ne bo težava, če pa v spalnici ali kopalnici, pa je to že poseg v zasebnost.

lpG

Saul Goodman je 9. jan 2022 ob 15:20 izjavil:

problem je, da ne razumeš razlike med "nepooblaščenim vstopom v informacijski sistem" in kaj je "web scraping" oz. shranjevanje javno dostopnih informacij.

Namenoma se delas neumnega. Women up. :) To niso bile javno dostopne informacije, ceprav so bile javno dostopne. Ce do neke informacije lahko prides, se ne pomeni, da je javno dostopna in da je namenjena tebi.

Saul Goodman je 9. jan 2022 ob 15:20 izjavil:

po drugi strani, obiskovanje povezave ... ni nepooblaščen vstop v informacijski sistem, k večjemu firbecanje.

Daj, ne sprenevedaj se. Do teh informacij lahko prides ker je storitev slabo nacrtovana. Ne zato, ker so te stvari javne. To je tako, kot da bi se izgovarjal, da drzavna skrivnost ni drzavna skrivnost, ker si nek dokument videl skozi okno zgradbe ministrstva za obrambo.

Saul Goodman je 9. jan 2022 ob 15:20 izjavil:

Ko avtomatiziraš obiske povezav s skripto, tudi nisi nepooblaščeno vstopil v informacijski sistem, ampak si avtomatiziral obiske. če si vsebino obiskov shranil v fajl, si začel "scrapat web".

Ja, tko kot je cist ok, ce na parkiriscu po nesreci probas a je en avto odklenjen. Noben ti zarad tega ne bo tezil. Tud ce probas, po nesreci, jasno, vse avtomobile na parkiriscu. All good in kosher. :>

Karamelo je 9. jan 2022 ob 20:54 izjavil:

gokky je 9. jan 2022 ob 20:52 izjavil:

Okapi je 9. jan 2022 ob 19:48 izjavil:

Slika sama po sebi ni osebni podatek. Osebni podatek postane, če ob sliki zapišeš, kdo je na njej, in je slika dovolj dobra, da jo lahko uporabiš za prepoznavanje obraza.

Ne bo povsem držalo @Okapi. Osebni podatek je po 4. členu GDPR vsaka informacija v zvezi z določenim ali določljivim posameznikom. Ni torej potrebno, da je na/ob sliki že zapisano, kdo to je, pač pa to, ali je posameznik na sliki določljiv (je slika dovolj dobra).

ZVOP-1 je bil topogledno nekoliko milejši, saj je dodajal še: "... pri čemer način identifikacije ne povzroča velikih stroškov, nesorazmerno velikega napora ali ne zahteva veliko časa".

torej če je slika osebni podatek, lahko vseeno slikam kogarkoli in si shranim na domačim comp, skrat vse je ok, dokler nebi tega začel deliti z drugimi? če je tako, zakaj bi drugače potem veljalo za telefonsko številko in naslov?

Delno ti je pojasnil že gokky, GDPR ne velja za tvoje osebno življenje. Tam se pričakuje, da ti zbiraš telefonske drugih ljudi, da zbiraš fotografije pomembnih dogodkov, da pišeš dnevnik itd., ker je druženje del tvojega življenja. GDPR pa zelo velja za podjetja, ki obdelujejo osebne podatke.

V splošnem moraš razumeti, da GDPR ne ločuje po vsebini osebnega podatka (ime, priimek, telefon, mail, emšo in drugi identifikatorji, itd.), ampak po namenu zbiranja.

Čemu je ta informacijski sistem iz novice zbiral podatke? Da so lahko fizične osebe prišle do obiska upravne enote.

To bi recimo spadalo pod alinejo b) 1. točke 6. člena GDPR: v odnos s tem podjetjem vstopaš, ker od njih nekaj pričakuješ (da ti uredijo obisk UE). Do izvedbe obiska, morda še nekaj časa za tem, da lahko obračunajo storitev državi, je torej smiselna obdelava teh podatkov.

Namen zbiranja mora biti tudi znan vnaprej, preden se osebni podatki shranijo. Kar pomeni, da če podjetje že obdeluje določen nabor podatkov in želi dodati še kakšen namen obdelave, sme za nove namene uporabljati samo tiste, ki so se strinjali tudi z novim namenom. Zato npr. vsake toliko časa podjetja pošljejo mail, da so se spremenili pogoji uporabe in da lahko sprejmeš nove pogoje ali pa odstopiš od uporabe storitve.

Se pravi - ni ključna vsebina, ampak razlog zakaj zbirka obstaja. In ta razlog se ne more povsem prosto spreminjat.

Če nekdo tretji gre, poscrapa in tako poustvari zbirko osebnih podatkov, ta baza sicer tehnično obstaja, ampak nima legalne podlage za obstoj in zato ni zakonita: lastniki osebnih podatkov se niso strinjali s tem namenom uporabe.

Okapi je 10. jan 2022 ob 10:53 izjavil:

Ampak če to naredi nek zasebnik?

GDPR ne velja za tvoje osebno življenje.

Tudi zanj verjetno velja namen, ne? Telefonske številke imaš lahko v svojem imeniku, seznama ljudi, ki se naročajo za obisk upravne enote, pa ne.

torej če poscrapam stvari dol iz te baze in si jih potem uredim kot da gre za moj telefonski imenik, je vse ok? ker je potem namen te baze moj osebni telefonski imenik? ne vem če bo to pilo vodo

Zaradi varnostnih tveganj spletno naročanje na storitve upravnih enot ni več mogoče. @mju_RS je zdaj aplikacijo zaprlo tudi za interno javnost. Na UE LJ, kjer dnevno obravnavajo 1.000 strank, jutri pričakujejo kaos. Ostali so brez vseh podatkov, kdo je naročen.

https://twitter.com/SpelaBezjak/status/...

Podatki so pri hekerjih :D

Naj javno objavi dump baze in jim pošlje link, ni vrag, da ga ne čaka kakšno jabolko navdiha :-D

https://www.zurnal24.si/slovenija/bo-na...

Sem jih "prosil", da popravijo ;).

https://n1info.si/novice/slovenija/n1-s...

A že naslednji dan je portal slo-tech poročal o varnostni luknji v sistemu in tako ta zdaj že ne deluje več.

bravo, ste jih zbrihtal :)

"Podatki so bili izpostavljeni," je povedal Grum. Tega, ali so bili tudi razkriti, še ni mogel komentirati, saj varnostna preverjanja še potekajo, prav tako pa bi lahko bilo to predmet kazenskih postopkov v nadaljevanju.

hruske je 10. jan 2022 ob 10:46 izjavil:

Delno ti je pojasnil že gokky, GDPR ne velja za tvoje osebno življenje. Tam se pričakuje, da ti zbiraš telefonske drugih ljudi, da zbiraš fotografije pomembnih dogodkov, da pišeš dnevnik itd., ker je druženje del tvojega življenja. GDPR pa zelo velja za podjetja, ki obdelujejo osebne podatke.

V splošnem moraš razumeti, da GDPR ne ločuje po vsebini osebnega podatka (ime, priimek, telefon, mail, emšo in drugi identifikatorji, itd.), ampak po namenu zbiranja.

Čemu je ta informacijski sistem iz novice zbiral podatke? Da so lahko fizične osebe prišle do obiska upravne enote.

To bi recimo spadalo pod alinejo b) 1. točke 6. člena GDPR: v odnos s tem podjetjem vstopaš, ker od njih nekaj pričakuješ (da ti uredijo obisk UE). Do izvedbe obiska, morda še nekaj časa za tem, da lahko obračunajo storitev državi, je torej smiselna obdelava teh podatkov.

Manjši popravek. MJU je v tem primeru upravljavec in ti modeli, ki so naredili program, so le obdelovalci. Obdelovalec lahko dela samo tisto, kar izrecno naroči upravljavec. Torej podlago za obdelavo mora imeti MJU. MJU lahko praviloma obdeluje podatke samo, če tako določa zakon. Sem se kar namučil, da sem našel podlago, ki je najbolj verjetno v ZVOP-1, 1. odstavek 82. člena:

(1) Oseba javnega ali zasebnega sektorja lahko za namene varovanja premoženja, življenja ali telesa posameznikov ter reda v njenih prostorih od posameznika, ki namerava vstopiti ali izstopiti iz tega prostora, zahteva, da navede vse ali nekatere osebne podatke iz drugega odstavka tega člena ter razlog vstopa ali izstopa. Po potrebi lahko osebne podatke preveri tudi z vpogledom v osebni dokument posameznika.

(2) V evidenci vstopov in izstopov se lahko o posamezniku vodijo samo naslednji osebni podatki: osebno ime, številka in vrsta osebnega dokumenta, naslov stalnega ali začasnega prebivališča, zaposlitev ter datum, ura in razlog vstopa ali izstopa v ali iz prostorov.

Nerodno je, da nikjer ne piše, da lahko obdeluješ telefonsko številko in/ali e-mail. Hm...

Če bi MJU dosledno izvajal GDPR, bi moralo biti napisano v informacijah za posameznike, na kateri podlagi obdelujejo podatke, to pa bi moralo biti objavljeno na tej spletni strani (ki so jo ugasnili pa zato ne morem pogledat). In za vsebino ter objavo teh informacij je odgovoren upravljavec (torej MJU) in ne tile, ki so naredili app za naročanje. Če smo še bolj pikolovski, če je še ali pa ko bo mogoče naročanje po telefonu, bi tudi za naročanje po telefonu informacije za posameznike morale biti nekje objavljene.

Ampak v naši državi sicer še ni splošna praksa, da bi organi imeli te informacije za posameeznike dobro urejene. Čakamo ZVOP-2, da bo lahko IP-RS pritisnil, da se premakne na bolje...

Ales je 11. jan 2022 ob 16:18 izjavil:

Obstaja dvom, da je sistem "pravno pokrit". Moje mnenje bazira na tistem delu članka, ki opisuje njihova "pravna obvestila", ki so IMHO neustrezna. Kar pomeni, da je že zbiranje podatkov s strani tega podjetja, za namene njihovega poslovanja in posredno poslovanja JU, bilo pravno sporno. Kar ponovno posledično pomeni, da je uporaba tako zbranih podatkov vprašljiva.

Tehnična izvedba obdelave teh podatkov je tako ali tako trivialna. No... razen za tistega "programerja", ki je spesnil zbiranje na spletni strani... on(a) vprašanje, kako bi se lotil(a)...

Ampak z vsem tem naj se ukvarjajo pristojni.

"Skoraj dobro" pravno podlago ima (82. člen ZVOP-1, sem zapisal v drugem odgovoru). Ta firma ne zbira podatkov zase, zbira jih za MJU. MJU je upravljavec, ti modeli pa so obdelovalec... Če so informacije za posameznike slabo napisane pa je to kršitev MJU-ja in ne teh, ki izvajajo storitev. Razen, če je MJU v pogodbi o obdelavi podatkov z njimi napisal, da morajo oni sestaviti in objaviti informacije za posameznike, kar močno dvomim, ker to ni običajna praksa (praviloma to vsaj vsebinsko pripravi upravljavec).