abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 15:44 | Nová verze

Byla vydána verze 2.4 svobodného nelineárního video editoru Flowblade (GitHub, Wikipedie). Přehled novinek v poznámkách k vydání. Zdůraznit lze přechod na Python 3.

Ladislav Hagara | Komentářů: 0
včera 07:00 | Nová verze

Vyšel toolkit Qt verze 5.14. Změny se týkají především Qt Quick, jeho odstínění od konkrétních nízkoúrovňových grafických API a zlepšení výkonu zvláště ve 3D. Začíná tím proces postupných příprav na Qt 6. Příští vydání (5.15) bude s dlouhodobou podporou. Aktuálně také vyšlo vývojové prostředí Qt Creator 4.11 – vedle oprav chyb a řady zjednodušení konfigurace přidává mj. experimentální podporu WebAssembly.

Fluttershy, yay! | Komentářů: 4
včera 06:00 | Nová verze

Byla vydána nová verze 1.41 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a animovanými gify v poznámkách k vydání. Ve verzi 1.41 bylo vydáno také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

Ladislav Hagara | Komentářů: 0
12.12. 23:55 | IT novinky

J2EE, nověji Java EE a nejnověji Jakarta EE, tj. Java pro vývoj a provoz podnikových aplikací a informačních systémů (Java Platform, Enterprise Edition), slaví 20 let. První verze J2EE 1.2 byla vydána 12. prosince 1999.

Ladislav Hagara | Komentářů: 0
12.12. 22:00 | Nová verze

V kancelářích společnosti NGINX, tj. společnosti stojící za stejnojmenným webovým serverem a reverzní proxy, v Moskvě proběhla policejní razie. Na NGINX si nárokuje práva společnost Rambler. Igor Sysoev, zakladatel společnosti NGINX, ve společnosti Rambler pracoval v letech 2000 až 2011. V březnu letošního roku byla společnost NGINX prodána společnosti F5 Networks za 670 milionů dolarů.

Ladislav Hagara | Komentářů: 13
12.12. 18:44 | Nová verze

Vyšel Vim 8.2. Jedná se převážně o opravnou verzi tohoto textového editoru, ale mezi několika novými funkcemi je také možnost používat vyskakovací okna v uživatelském rozhraní, což využijí zvláště vývojáři doplňků pro dialogová okna či okna s nápovědou, napovídáním atp. Ukázkou je hra killersheep.

Fluttershy, yay! | Komentářů: 1
12.12. 17:44 | Nová verze

Byla vydána nová verze 19.12.0 KDE Aplikací (KDE Applications). Přehled novinek i s náhledy v oficiálním oznámení, kompletním seznamu změn a na stránce s dalšími informacemi.

Ladislav Hagara | Komentářů: 1
12.12. 15:55 | Zajímavý článek

Nezisková organizace Electronic Frontier Foundation vydala obsáhlý článek vysvětlující plošné techniky online sledování používané k hromadění dat korporacemi, shrnuje další využití těchto dat a naznačuje, jak se tomu bránit: technicky a legislativně.

Fluttershy, yay! | Komentářů: 4
12.12. 14:32 | Pozvánky

Ve středu, 18. prosince od 17:00 do 20:00, se uskuteční šestý Avast C++ Meetup. Přednášet bude Timur Doumler (člen ISO C++ komise) na téma „Type punning in modern C++“ a Chandler Carruth (Google, LLVM, člen ISO C++ komise) na téma „Programming Language Design for Performance Critical Software“. Registrace zdarma na meetup.com. Video stream bude dostupný v YouTube playlistu meetupu.

David Watzke | Komentářů: 2
12.12. 00:11 | Zajímavý článek

Daniel Vetter se v příspěvku Upstream Graphics: Too Little, Too Late (Grafika v upstreamu: příliš málo, příliš pozdě) na svém blogu věnuje podpoře a problémům grafiky v upstream Linuxu. Jedná se o souhrn jeho stejnojmenné přednášky na Linux Plumbers Conference (videozáznam, pdf).

Ladislav Hagara | Komentářů: 0
Kolik jste vystřídali distribucí Linuxu? (uvažujte distribuce, které jste používali aspoň měsíc)
 (3%)
 (74%)
 (18%)
 (3%)
 (3%)
Celkem 68 hlasů
 Komentářů: 8, poslední dnes 13:16
Rozcestník

GDPR podle České Spořitelny

14.5. 12:34 | Přečteno: 2797× | poslední úprava: 14.5. 12:38

Rád bych se s vámi podělil o jednom information security fuckupu, který provedla (provádí?) Česká Spořitelna v souvislosti s GDPR, konkrétně získání informací, které jsou o vás zpracovávány.
Předpokládám, že většině tady nemusím GDPR nijak představovat, je dost pravděpodobný, že o tom máte větší znalosti než já. Přejdu tedy rovnou k věci.

 

Zajímalo mě, jaké informace o mě zpracovávají různé entity, včetně těch se kterými již nějakou dobu žádným způsobem nespolupracuji. Nejen pro oddělení své aktuální e-mailové adresy a agregaci odpovědí v jednu e-mailovou schránku jsem si založil nový e-mail, zhruba s následující strukturou:
<jmeno>.<prijmeni>.<datum narozeni>@seznam.cz

Tento e-mail jsem v žádné z daných institucí neregistroval, neoznamoval ani nic podobného a e-mail username si každý může zvolit libovolně (za předpokladu, že je volný).

Poté jsem začal obepisovat všechny možné instituce, které mě napadly u kterým mám nebo jsem měl nějaký účet, nějakou spolupráci atd. Nalezení e-mailové adresy nebo formuláře nezabralo moc času, vypadá to, že si instituce dávají pozor, aby dané informace byly rozumně dohledatelné. Z těch, které jsem našel a měly e-mail byl nejčastější usernamy následující: poverenec@, dpo@, gdpr@.

Pro žádost jsem použil zhruba následující formulaci, kterou jsem kdysi někde našel:

Vážená paní, vážený pane,

V souladu s čl. 15 Obecného nařízení o ochraně osobních údajů (GDPR) Vás žádám o následující informace o zpracování osobních údajů, které o mně jako zpracovatel osobních údajů sbíráte a/nebo ukládáte.

Pokud osobní údaje skutečně zpracováváte a/nebo ukládáte, zašlete mi prosím následující informace:

- Účel jejich zpracování a archivace.
- Kategorie osobních dat, kterých se zpracovávání a archivace týká.
- Třetí strany, kterým budou nebo mohou být osobní údaje poskytnuty.
- Je-li to možné, pak předpokládanou dobu, po kterou bude informace archivovány.
- Odkud jsou má data získávána a informace o těchto zdrojích.

Zároveň žádám o kopii veškerých o mně zpracovávaných osobních údajů.

Vyžadujete-li ode mě další informace, dejte mi prosím vědět co nejdříve. Právo na obdržení výše vypsaných informací ve standardizované podobě mám do 30 dnů od obdržení žádosti.

Nezpracováváte-li tyto informace Vy nebo Vaše oddělení, zašlete prosím tento text pracovníkovi zodpovědnému za ochranu osobních údajů ve firmě.

S pozdravem,

Jméno Příjmení
Datum narození
Adresa bydliště

 

Nevím nakolik je legitimní nebo právně závazná / neprůstřelná atd., ale ani jednou s ní nebyl problém a všechny společnosti reagovaly. Povšimněte si, že použité identifikační údaje (celé jméno, datum narození a adresa bydliště jsou veřejné informace, které můžete pro většinu lidí dohledat, u podnikatelů jsou dokonce servírovány pod nos na webu).

V čem ale u pár institucí problém byl, bylo ověření žadatele a otázka "jak požadovaná data dopravit žadateli". Někteří už asi tuší kde je problém a nebudu vás napínat, ano, opravdu některé intituce poslaly požadovaná data obratem na tento e-mail, který nebyl u ní nikde registrován a to na základě pouze veřejných informací.

Teď se tedy dostáváme k České Spořitelně, a jejímu přístupu. Na dotaz odpověděli bez jakéhokoliv ověřování identity a na daný fake e-mail, bez šifrování, poslali soubor s následujícím obsahem. Povšimněte si například čísla občanky, rodného čísla, kontaktních údajů a dalších údajů, které určitě nemají být rozesílány náhodným e-mailům, které si o ně zažádají.

 

Samozřejmě, že jsem to nenechal jenom tak a snažil jsem se z nich dostat vyjádření co to má znamenat. Bohužel ani kontaktní osoba ani ombudsman neměli nejmenší ponětí co je za problém, ačkoliv si myslím, že jsem to napsal celkem jasně:
Jasne, ale uvedomujete si, ze jste prave poslali moje osobni udaje nahodnemu e-mailu? To je dost velky problem. Zajima me vase vyjadreni jaktoze jste vubec schopni udelat neco takovyho? Nemate zadnou jistotu a zadny duvod domnivat se, ze jsem "jmeno prijmeni". Na zaklade VEREJNYCH INFORMACI jako je jmeno, bydliste a datum narozeni to urcite nesmi byt. Muzete mi napsat na zaklade ceho jste dospeli k zaveru, ze muj dotaz je legitimni a poslali na nahodny e-mail, ktery nemate ani uvedeny v zaznamech, citlive informace jako cislo obcanky a rodne cislo?

Z odpovědi jejich ombudsmana mi přijde, že nemá tušení o co jde. Nebo je vážně to, že "neměli důvodně pochybnosti o totožnosti fyzické osoby" dostatečný důvod posílat citlivá osobní data na náhodné e-mailové adresy? Neměl by už samotnej fakt, že něco přišlo e-mailem, který ani nemají nikde u mě uvedený, být dostatečný k tomu, aby měli "důvodně pochybnosti o totožnosti fyzické osoby"?

 

 

Má někdo podobnou zkušenost? Myslíte si, že je to na žalobu nebo aspoň rozmazání do médií? Zajímaly by někoho podrobnosti?

       

Hodnocení: 94 %

        špatnédobré        

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

14.5. 13:00 drnest | skóre: 9
Rozbalit Rozbalit vše Re: GDPR podle České Spořitelny
Hehe jaká fyzická osoba :-) ? Ty jsi byl čistě virtuální :-)
14.5. 13:13 Marek
Rozbalit Rozbalit vše Re: GDPR podle České Spořitelny
Tak to je přesně ta situace, kdy se má velice upřímně komunikující osoba omluvit, slíbit nápravu a zajistit, aby se to neopakovalo. A doufat, že se tím vyhne zveřejnění.

Ale to těžko v korporátu zafunguje. Protože tam každá změna trvá hromadu času, nikdo z principu nepřizná zcela chybu a naopak se snaží obhajovat neobhajitelné.

Archivní banka, no. Máte chodit na pobočku a ne používat ty novinky ))).

P.S. Re-captcha je fakt debilní. Klikat asi 15x na asi 5ti obrázcích, to je šílený.
14.5. 13:47 Sten
Rozbalit Rozbalit vše Re: GDPR podle České Spořitelny
To u Spořitelny nemůžeš čekat. Měl jsem problém, že při žádosti o půjčku mi jejich kalkulačka na začátku žádosti ukázala úrok 5 %, což je super nízké, tak jsem zažádal a po pár krocích (jméno, příjmy ap.) mi žádost schválili s výší půjčky a splátkou, jaké byly v kalkulačce. Jen mi přišlo divné, že místo 23 měsíců podle kalkulačky mám splácet 25. Po rozkliknutí jsem zjistil, že úrok je najednou 15 %. Tak jsem to nahlásil, že mi to přijde jako klamavá obchodní praktika, když bez upozornění změní výši úroku, a ještě způsobem, aby to bylo co nejméně nápadné, a jejich jediná reakce byla, že mi schválenou nabídku půjčky zrušili.
xkucf03 avatar 14.5. 14:30 xkucf03 | skóre: 48 | blog: xkucf03
Rozbalit Rozbalit vše Re: GDPR podle České Spořitelny
Měl jsem problém, že při žádosti o půjčku mi jejich kalkulačka na začátku žádosti ukázala úrok 5 %

Zadání u takových kalkulaček bývá, že to má počítat rychle – nikoli správně. Je to pouze orientační (ale souhlasím s tím, že to klienta může mást a je to v zásadě špatně).

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
14.5. 22:14 Sten
Rozbalit Rozbalit vše Re: GDPR podle České Spořitelny
Příloha:
Nikde tam není napsáno, že by to bylo orientační, naopak se to snaží vyvolat dojem, že to je to, co dostanu (pod tím už je jenom tlačítko Pokračovat a nic víc). Je to první krok žádosti, nikoliv kalkulačka před podáním žádosti. Nikde během té žádosti tam není, že se úroková sazba změnila, naopak výši úrokové sazby se snaží skrýt a bez otevření detailu uvádí jen výši půjčky, výši splátky a dobu splácení. A mají to udělané tak, že výše půjčky ani výše splátky se nemění.
14.5. 23:31 becherekmg | skóre: 11 | blog: bech_blog | Praha
Rozbalit Rozbalit vše Re: GDPR podle České Spořitelny
Úplně stejně jsem nedávno naletěl u Monety. Po celou dobu úrok 3.9%. Až teprve, když jsem jim vyplnil všechny osobní údaje, náhle úrok skočil někam k 7 nebo 8%. Během celé procedůry ani náznak toho, že by mohlo dojít k jeho změně. A následné výmluvy? Ještě by člověk možná pochopil, že potřebují nějaké mé údaje, aby si někde v registrech dlužníků ověřili, jak jsem solidní, ale když z nich pak vypadla i informace, že se výše úroku odvíjí i od půjčené částky, tak člověku nezbude než se jen hystericky smát... Prostě podvodníci, to se jinak nedá říci.
"Všechny velké idee se nakonec utopí v krveprolití, které se rozpoutá jejich jménem." J. Fouche v seriálu Muž v pozadí
xkucf03 avatar 14.5. 13:23 xkucf03 | skóre: 48 | blog: xkucf03
Rozbalit Rozbalit vše Re: GDPR podle České Spořitelny

Podle mého už dobře vědí, že udělali chybu, jen se to snaží nějak diplomaticky zamést pod koberec, abys jim dal pokoj a moc to nerozmazával.

Ad listovní/telekomunikační tajemství: tohle je od nich trochu alibistický přístup, ale dejme tomu. Ovšem problém je v tom, že i kdyby se na důvěrnost obsahu té zprávy dalo spoléhat, problém je v první řadě v tom, že nemají žádnou jistotu, že ji poslali správnému adresátovi :-) což je detail, který jaksi opomněli.

A celkově narážíš na problém s GDPR, který je víceméně neřešitelný. Buď totiž dojde k potenciálnímu úniku osobních údajů, protože je pošlou někomu, jehož identitu pořádně neověřili, nebo se ty musíš nějak spolehlivě identifikovat – což ale není v tvém zájmu. Např. když máš jen podezření, že o tobě někdo shromažďuje údaje, tak by ses mu musel nejdřív spolehlivě identifikovat, čímž bys mu svoje osobní údaje naservíroval (i když on je před tím třeba neměl – jen jsi ho z toho podezříval). A ani když ti odpoví, tak nemáš jak ověřit, zda ti nelže – třeba na tebe nějaké záznamy vede, ale tobě napíše, že nevede, nebo ti pošle nekompletní seznam, nebo napíše, že je právě na tvoji žádost vymazal, ale přitom je nevymaže. Ve skutečnosti tak svoji situaci můžeš naopak zhoršit, protože místo aby došlo ke smazání údajů, tak mu poskytneš ještě nějaké další…

Situaci je potřeba řešit primárně tak, že se odstraní příčina – jde o to, aby takové databáze pokud možno vůbec nevznikaly, abys poskytoval co nejméně svých osobních údajů, aby co nejvíc vztahů bylo anonymních od samého začátku. Zpětně promazávat data je problém a nikdy nemáš jistotu, že se promazalo všechno. Začít může každý sám u sebe – platit co nejméně kartou, nepoužívat tzv. věrnostní kartičky v obchodech, nezanechávat za sebou digitální stopu, kde a kdy se pohyboval, co si tam kupoval… na internetu pak používat jednorázové e-maily/aliasy, pokud možno se nikde neregistrovat nebo používat virtuální identity, které nejsou propojené s tvojí fyzickou identitou, blokovat šmírovací prvky na webu, používat Tor, P2P sítě atd. A hlavně preferovat obchody a poskytovatele podle toho, jak respektují tvoje soukromí a kolik údajů od tebe požadují, aby ti poskytli danou službu.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
14.5. 18:48 _
Rozbalit Rozbalit vše Re: GDPR podle České Spořitelny
Klasický entrapment, patentoví trollové vyšli z módy, tak máme GDPR trolly.
vencour avatar 14.5. 20:40 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: GDPR podle České Spořitelny
Buď je zákon dobrý nebo špatný. Dobrý dodržovat, špatný zrušit. Nebo co jste tím chtěl říci?
Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
15.5. 10:28 sad
Rozbalit Rozbalit vše Re: GDPR podle České Spořitelny
Bud je svet cerny nebo bily.
WTF
vencour avatar 14.5. 20:39 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: GDPR podle České Spořitelny
Sám už jsem na téma GDPR taky něco zveřejnil, byl tam odkaz na Desatero zpracování pro správce a konkrétně se tam tvrdilo ...
6. Správce i zpracovatel osobních údajů musí osobní údaje patřičně zabezpečit a chránit organizačními a technickými opatřeními – v míře odpovídající rizikovosti zpracování.
Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.
15.5. 13:42 PetebLazar
Rozbalit Rozbalit vše Re: GDPR podle České Spořitelny
Po skončení pracovní doby jsou u východu zaměstnanci namátkově kontrolováni, zda si nepamatují osobní údaje klienta, jehož požadavek během dne řešili. V duchu Járy Cimrmana, který během svého pedagogického působení rozděloval učební látku na tu určenou k zapamatování a tu k zapomenutí (u té druhé bylo rafinovaně ověřováno, zda si jí žáci náhodou nepamatuji).

Založit nové vláknoNahoru

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.