Archiwa: prywatność - Strona 9 z 11

7 września, 201117 kwietnia, 2018

Zamknięcie konta Allegro a dane osobowe

Niedawno, po węźle gordyjskim z odzyskiwaniem hasła do konta Allegro, zamknąłem konto w tym serwisie. Chwilę później dostałem maila o treści:

Informujemy, że w dniu 2011-08-14 08:35:07 konto o nazwie [cenzura] zostało zamknięte, a dane osobowe przypisane do tego konta nie są dostępne innym użytkownikom. Dane użytkowników będą w dalszym ciągu przetwarzane i archiwizowane w zbiorze danych osobowych administrowanych przez Grupa Allegro Sp. z o.o. mimo rozwiązania w/w umowy, w trybie i zakresie przewidzianym przepisami ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz.U. z 2002 r., Nr 101, poz. 926 z późn.zm.)

W sumie standard i miło, że informują. Ale skoro są, a przynajmniej starają się być tak przepisową i trzymającą się procedur firmą, postanowiłem skorzystać z prawa do wglądu w moje dane, tym bardziej, że ciekawi mnie, co tak naprawdę mają o mnie, że nie było możliwości w oparciu o to zweryfikowania tożsamości. Oczywiście na podstawie art. 24 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych, czyli:

Art. 24. 1. W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:
3) prawie wglądu do swoich danych oraz ich poprawiania,

Najpierw dostałem standardową, szablonową odpowiedź, w której zawarta była jedynie podstawa przechowywania. Dowiedziałem się też, że przechowywanie będzie trwało 5 lat. Po zwróceniu uwagi, że nie taka jest treść mojej prośby/pytania, otrzymałem odpowiedź, że nie ma możliwości dokonania edycji danych na zamkniętym koncie. OK, rozumiem, ale nie chodzi mi o edycję, a o wymieniony w ustawie wgląd.

I tu Allegro ewidentnie się z jednej strony podkłada, z drugiej IMO szokująco narusza prawo, odmawiając mi prawa do wglądu w dane, bowiem odpowiedź, którą uzyskałem to:

Tak jak pisałam wcześniej, nie ma takiej możliwości. Złożył Pan wniosek o zamknięcie konta i usunięcie danych. Decyzji tej nie można cofnąć, co oznacza, ze nie ma Pan już dostępu ani do konta, ani do danych.

Zupełnie jakby posiadanie aktywnego konta było warunkiem prawa do wglądu. Cóż, ja, biedny żuczek z koniem kopać się osobiście nie zamierzam. Złożenie skargi do GIODO kosztuje raptem 10 zł, napisanie i wysyłka pisma kolejne tyle. A urzędowej interpretacji jestem niesłychanie ciekawy…

C.D.N.

UPDATE Ostatecznie przeprosiłem się z Allegro i znowu mam tam konto. Więcej o motywach powrotu w tym wpisie.

2 września, 201117 kwietnia, 2018

Testując smartfona, pamiętaj o bezpieczeństwie.

Nie tak dawno operator Play rozpoczął kampanię Testuj smarfona. W skrócie jest to tak, że sprzedajemy swoje dane, wyrażamy zgodę na otrzymywanie reklam na podany email i przez podany numer telefonu, a w zamian dostajemy na 14 dni smartfona Huawei od zabawy i kartę SIM od Play (na zawsze). Teoretycznie sprawa idealna dla mnie (podać spamowy numer telefonu i email, za free pobawić się dłuższy czas Androidem, do którego od dawna się przymierzam, ale nie mogę przekonać), ale w praktyce jak pomyślę, że dostałbym wychuchany i wymacany przez większą liczbę obcych ludzi telefon, to jakoś mnie chęć na testowanie odchodzi. Tym bardziej, że stracę czas na ustawienie wszystkiego pod siebie tylko po to, by zaraz zaorać, żeby mniej lub bardziej prywatne dane nie wyciekły.

No właśnie, tu sedno. Telefon przychodzi (i odchodzi) z kartą pamięci. AFAIK Android sam z siebie zapisuje tam dane z prywatnymi informacjami. A dodatkowo pewnie trafią tam choćby mniej lub bardziej prywatne zdjęcia. Zastanawiam się, ilu użytkowników w ogóle wyczyści ustawienia. Optymistycznie: 30%. Pomijam fakt, że zwykłe usunięcie plików czy sformatowanie karty niewiele pomoże – dowolny program do odzyskiwania plików (będąc linuksiarzem czytaj: photorec) pozwoli odzyskać większość z nich. Nie wiem, co robi Android przy formatowaniu karty/przywracaniu do ustawień domyślnych, ale nie sądzę, by robił pełne zerowanie.

A może ktoś, kto uczestniczy w programie i dostał po kimś telefon bawił się już pod tym kątem?

W każdym razie warto pomyśleć trochę o bezpieczeństwie i swojej prywatności i zaorać kartę przed oddaniem telefonu. Pod Linuksem najprościej skorzystać ze shred, albo zwykłe dd if=/dev/zero of=/dev/sdX (gdzie sdX to oczywiście urządzenie pod jakim system widzi czytnik z kartą).

Z mniej inwazyjnych, prostszych i działających na wszystkich systemach metod: telefon można podłączyć do komputera w takim trybie, że karta jest widziana jako urządzenie pamięci masowej. Wtedy wystarczy skasować dane i nagrać jakieś śmieci do pełnej pojemności (np. jakieś mp3). Następnie wystarczy bezpiecznie odłączyć urządzenie i ew. jeszcze raz skasować mp3 (tylko je będzie w stanie odzyskać potencjalny ciekawski).

Ciekawe, czy w wewnętrznej pamięci też coś zostaje po przywróceniu telefonu do ustawień fabrycznych (dane z karty nie są przy tym usuwane!) i na ile skomplikowane jest dobranie się do tych danych…

Gdyby kogoś bardziej interesowała recenzja samego telefonu, to swoje wrażenia z Testuj smartfona opisał tutaj Jakub Rusinek (niestety po angielsku; dead link).

UPDATE: Zaktualizowane o parę informacji od osoby, która ma smarfona na testach.

29 czerwca, 20112 czerwca, 2023

Obowiązki przedsiębiorcy telekomunikacyjnego, czyli kolejne genialne pomysły rządzących.

Po projekcie rozporządzenia w sprawie retencji danych, wejściu tego rozporządzenia w życie oraz pomyśle na minimalną prędkość Internetu, przyszła kolej na kolejny genialny pomysł pomysł rządzących. Chodzi o projekt rozporządzenia dotyczącego wymagań i sposobu zapewnienia przez przedsiębiorcę telekomunikacyjnego warunków dostępu i utrwalania. Znaczy – normalnie mówiąc – podsłuchu i rejestracji rozmów telefonicznych i transmisji internetowych.

Czemu projekt jest fatalny? Po pierwsze, czasy reakcji. W wariancie najbardziej ręcznym są 2h w dzień od 6 do 22 i 4h od 22 do 6. W wariancie najbardziej automatycznym (odpowiednio 15 i 30 minut w wariancie najbardziej automatycznym). Od czasu zgłoszenia zapotrzebowania do umożliwienia podsłuchu/nagrywania. W piątek, świątek, niedzielę. Proponowałbym, żeby miłościwie nam panujący autorzy projektu zapoznali się z czasami reakcji obowiązującymi w branży. I może z prawem pracy jeszcze. I policzyli, ile potrzeba osób, by obsadzić w ten sposób 24/7 jeden „slot”.

Po drugie, ilości ludzi. W najgorszym, czyli najmniej zautomatyzowanym wariancie jest to 1 pracownik na 1500 numerów telefonicznych oraz adresów IP. Przydzielonych ISP. Czyli taki dostawca sieci, który ma nieszczęście mieć IPv6 (minimalnie /48, mniej się nie przydziela) ma – mówiąc kolokwialnie, ale inaczej się nie da – przejebane. Bo klasa /48 to 2 do potęgi 80, czyli 1208925819614629174706176 (1,209 razy 10 do potęgi 24, będzie czytelniej). Nawet ten z pełną automatyką i tylko jednym pracownikiem na 45000 adresów IP będzie musiał mieć 2,68 razy 10^19 pracowników.

Nie wiem, czy wymagana na maturze powinna być bardziej matematyka, czy geografia, bo nie wiem czy rządzący nie orientują się, ilu jest ludzi na świecie, czy po prostu nie policzyli tego. W każdym razie ten wariant likwiduje bezrobocie na Ziemi na parę wieków. Obawiam się jednak, że mają świadomość, co czynią, bo w uzasadnieniu (wpływ regulacji na rynek pracy) piszą o korzystnym wpływie na rynek pracy…

Nawet, jeśli zmienią powyższe z przydzielonych ISP na przydzielone klientom końcowym – niewiele to wnosi. Przy IPv6 klient końcowy dostaje /64 czyli 1,8 razy 10^19 adresów IP… Zresztą, nie potrzeba IPv6. Nawet nędzne 1,6 do 2,5 mln klientów Neostrady w TPSA (znalezione przy okazji tego wpisu, pewnie się zmieniło) to – najbardziej optymistycznie – minimalnie 35 do 55 osób. W samej tylko TPSA, do samej tylko Neostrady. Licząc po klientach, nie IP przydzielonych ISP, czyli bardzo, ale to bardzo skromnie (na to w projekcie nie wpadli jeszcze)…

Najbardziej martwi mnie to, że prawo jest z założenia martwe, niespecjalnie potrzebne (chyba, że u nietypowych ISP pracowałem – pytanie do adminów sieci – jak często u was robią zrzuty/zapisy transmisji, licząc na 1k abonentorok?), daje spore pole do nadużyć (konkurs bez nagród: kto może zlecić w Polsce założenie podsłuchu tego typu?) i będzie służyło zapewne głównie ochronie rządzących, czego przykład mieliśmy podczas użycia ABW do interwencji w sprawie z strony ośmieszającej(?) prezydenta. Aha, gdyby ktoś miał wątpliwości, to Kowalski za góra 5 euro miesięcznie obejdzie to wszystko przy pomocy VPN i silnej kryptografii, podobnie jak przy pomocy ustawy antyhazardowej.

Inne ciekawostki z dokumentu: przedmiot projektowanego aktu prawnego nie jest objęty prawem Unii Europejskiej. Faktycznie, bardziej pachnie Białorusią.

PS Czuję, że na pl.internet.polip znów będzie wrzało…

Źródło, czyli projekt dokumentu.