Varni poštni predali na spletu

V zadnjih dneh sem zasledil na internetu vsaj dva “alarmantna” zapisa, da tudi pri nas izgubljamo osebne podatke, tako kot Britanci, ki mimogrede kje na vlaku pozabijo CD z občutljivimi osebnimi podatki.

Nekdo je namreč očitno povsem slučajno odkril, da ima Pošta Slovenije, oziroma njena storitev moja.posta.si, na spletu objavljen v PDF obliki celoten seznam imetnikov tako imenovanih varnih elektronskih poštnih predalov. Zadeva pa baje niti ni od včeraj, oziroma je ta seznam javno objavljen že dlje časa, le da se je šele zdaj nekdo obregnil ob to.

Če jaz prav razumem, varni poštni predal ne pomeni, da gre za nek strogo tajni poštni predal, podobno kot bančni računi v nekaterih državah, ki zagotavljajo absolutno anonimnost imetnika računa in do katerih ne pride niti policija s sodnim nalogom.

Varen v tem primeru pomeni, da je prek njega omogočeno elektronsko poslovanje, torej je dostop ustrezno urejen s spletnim certifikatom, verjetno pa se uporabljajo tudi ostali mehanizmi, kot je recimo časovni žig, da se da prek tega opravljati tudi elektronsko vročanje in druge, trenutno še precej eksotične storitve, ki nekako kar nočejo in nočejo zaživeti v praksi.

Ko sem se nekaj prispevkov nazaj pritoževal nad email.si, sem tudi predlagal, da bi država zagotovila vsakemu zainteresiranemu državljanu takšen poštni predal, ki bi omogočal tudi elektronsko poslovanje in očitno Pošta Slovenije nekaj takega že ponuja, ni pa to čisto brezplačno (plačaš letno naročnino na certifikat).

Na seznamu, ki je objavljen na spletu, so v bistvu samo imena in priimki imetnikov poštnega predala oziroma nazivi pravnih oseb (notarji, upravne enote, sodišča…) ter njihovi elektronski naslovi.

Jaz domnevam, da ko odpreš tak varen poštni predal, dobiš v podpis tudi kakšno pristopno pogodbo ali izjavo, kjer piše, da se strinjaš z javno objavo poštnega predala? Upam pa, da imajo kje v nastavitvah tudi omogočeno, da izbereš opcijo NE, če si tega res nikakor ne želiš in potem te javno pač ne objavijo.

Sam način objave elektronskih naslovov pa se meni zdi v tem primeru res vsaj neposrečen oziroma nedomišljen, kot da bi neka referentka samo stisnila gumb tiskaj v PDF.

Namreč spamerji so navdušeni zbiratelji elektronskih naslovov in ni ga lepšega, če ti nekdo objavi že kar v strukturirani obliki na spletu nekaj tisoč naslovov, kjer zadošča skoraj samo copy paste in imaš nove stranke, ki jim pošiljaš dnevno ugodne ponudbe za viagro in penis enlargment. Če gre za varen elektronski poštni predal pa toliko bolje, ker to da sporočilu samo še ustrezno težo.

Po moje bi bilo bolj smiselno, da ti podatki ne bi bili objavljeni neposredno in v celoti (razen če ne gre tu za reklamni psihološki vpliv v smislu, skoraj vsi že imajo odprt pri nas varen poštni predal, kaj še čakate?), temveč bi bili dostopni samo prek iskalnika. V vsakem primeru verjetno iščeš posamezni elektronski naslov in te ne zanimajo čisto vsi, ki imajo tam naslov odprt. Na ta način je raznim skriptam za iskanje naslovov po internetu delo že precej otežkočeno, naslednji korak pa bi bil, da se podatki ne prikažejo v navadni tekstualni obliki, ampak se prikažejo kot popačena slika, ki jo je sposoben dešifrirati samo človek ali zelo napredna skripta, ki uporablja inverzne grafične filtre in zmogljiv OCR.

Kar se tiče pa varstva osebnih podatkov v primeru imen in priimkov, imam pa svoje mnenje.

Namreč imena so že dolgo časa osnova za sporazumevanje med ljudmi in ne predstavljam si trenutka, ko se bomo pogovarjali takole:

“Živijo, jaz sem Tone, kako je pa tebi ime?”
“Ejga, stari, pa kaj si ti nor? Jasno da ti ne bom povedal imena, saj je to osebni podatek, za katerega te nič ne briga. Pizda, kakšen debil no.”

ali pa

“Joj gospa, kako luštkano punčko imate. Kako ti je pa ime, deklica?”
“Gospa, kar je preveč, je pa preveč. Vi si upate spraševati v pričo starša mladoletno osebo po osebnem podatku? Bi radi, da takoj pri priči pokličem Pirc Musarjevo in vas bodo strpali v arest, kamor tudi sodite?”

V stanovanjskih blokih imajo ponavadi spodaj na hodniku zložene še vedno “analogne” poštne predale, na katerih so največkrat napisana tudi imena in priimki lastnikov, kajti v nasprotnem primeru poštar ne more vedeti, kam naj pošto in reklame vtakne. Ampak strogo po črki zakona verjetno ni sporno, če imena in priimke nalepi vsak sam, ker se to šteje kot privolitev posameznika, če pa bi jih nalepil za vse upravnik zgradbe (hišnik), je pa to sigurno hud prekršek, ker gre za nedopustno zlorabo osebnih podatkov, brez privolitve posameznika.

Meni je to pa smešno.

Če pogledam moj poštni predal in arhiv elektronske pošte za zadnjih 10 let, je v njem ogromno, ampak res ogromno osebnih podatkov (imena, priimki, elektronski naslovi), za katere obdelavo nimam prav nobene pisne privolitve posameznika. Pač, sem dobil pošto in kaj naj?

Večina elektronskih naslovov je sestavljenih iz imena in priimka osebe, iz domene pa se vidi vsaj ponudnika storitve poštnega predala, ali pa celo, kje je nekdo zaposlen. To ugotoviti iz domene ni ravno neka znanost.

Veliko teh “osebnih podatkov” nisem dobil na moj naslov neposredno, ampak kot “posreduj naprej” in če grem podrobneje analizirati vsako prejeto pošto, lahko samo iz enega sporočila razberem tudi več sto elektronskih naslovov ljudi, ki jih sploh ne poznam in nimajo blage veze, da sem jaz dobil njihovo pošto.

Ampak tako pač deluje opcija “mail fast forward”, kjer se ohrani cela zgodovina pošiljanja sporočila, vključno z vsemi prejemniki takšnega verižnega pisma.

In sem prepričan, da tisti, ki so malo bolj družabni in radi vse forwardirajo ter dobivajo običajno tudi čuda nekih sporočil (večinoma šale), lahko res za šalo sestavijo takoj svoj mali imenik nekaj 10.000 elektronskih naslovov.

Škandal?

Po moje ne. Tako pač tehnologija deluje in naša imena in priimke, pa tudi elektronske naslove, ponavadi niti ne skrivamo. Moja pošta pika si se v tem kaj dosti ne razlikuje od drugih poštnih sistemov.

Opomba:
Zaradi objektivnosti naj dodam, da je nekdo na spletnem forumu pravilno ugotovil, da je Pošta Slovenije celo zavezana k objavi takega seznama in sicer ji to nalaga  ZUP-E (Zakona o upravnem postopku, revizija E), ki 83. členu dodaja še četrti odstavek:

“(4) Ponudniki varnih elektronskih predalov objavijo seznam odprtih varnih elektronskih predalov in njihovih imetnikov na svojem spletnem mestu in jih pošljejo v objavo na enotni državni portal e-uprava. Šteje se, da je s tem zanesljivo ugotovljen naslov varnega elektronskega predala.”.

17 Responses to “Varni poštni predali na spletu”

  1. enxen Says:

    no sweat – Slovenija itak je dežela curečih osebnih podatkov.

    dokaz? pred dnevi smo neposredno na ime, priimek in naslov naše desetmesečne gospodične Z. od Cicikluba, ki je del moronskega Sveta knjige, prejeli povabilo k njeni čimprejšnji včlanitvi v njihovo knjižno sekto … WTF!?
    ker se mamica ne spomni, da bi kje in kdaj podpisala kakšno soglasje, da se osebni podatki otroka lahko posredujejo naprej tretjim osebam, otrok sam pa tega še ni zmožen, niti ni opravilno sposoben, je očitno moralo procuriti nekje v Ljubljanski porodnišnici ali pa na CRP-ju. pisofkejk …

  2. Swizec Says:

    Nihce ne pravi, da je imenski par osebni podatek. Tvoj emso pa ze steje med osebne podatke, tako kot davcna in podatek ali imas aids ali ne.

    Ce se na netu zgubi spisek mailov z imeni in priimki to ni krsenje varovanja osebnih podatkov. Britanska vlada (ameriska tudi) in drugi pa zgubljajo spiske davcnih stevilk, zavarovalnih polic, medicinskih podatkov itd. TO je pa ze kar hudo, ker lahko nekdo s temi podatki komot odpre, recimo, kreditno kartico na tvoje ime in veselo nabije stroskov ti pa potem cez en mesec dobis domov racun za 50k eurov, za katerega moras pac nekako dokazat da ni tvoj ceprav je bil narejen s tvojo kartico, za katero ne ves pa je vseeno tvoja.

  3. PiPi Says:

    cetudi spisek ni zavestno gor, dvomim, da bi recimo lahko iz michael.novak@email.si poslal mail, brez da bi ga ustrezno podpisal in da bi bil potem dostavljen nekomu s spiska … verjetno ne gre za klasicni mailbox … zgolj za izmenjavo podpisanih dokumentov ( obojestransko )…. tako, da spamerji lahko pozabijo na tole 🙂

    .::PiPi::.

  4. had Says:

    o.. celo jaz sem v spisku 🙂
    vsecno 🙂

  5. dronyx Says:

    @enxen, to, da osebni podatki curljajo, ni dvoma, saj nenazadnje ni druge razlage, kako je sicer možno, da dobiš naslednji dan po avtomobilski nesreči že ponudbo odvetniške pisarne za odškodninski primer.

    Pri raznih reklamnih sporočilih babycentra, cicikluba in podobno pa je ponavadi razlaga v zelo drobnem tisku, kjer s pristopno izjavo v klub ugodnosti soglašaš še s tem, da dobivaš reklamna sporočila. Kako so pa firme povezane in do kje sega soglasje, je pa spet znanost zase in boš skoraj oslepel, če boš šel to brati.

    @swizec: ime in priimek sta enako osebna podatka, kot EMŠO. Računalniška lepota EMŠO-ja je samo v tem, da gre za “unique key”, kar programiranje aplikacij močno olajša. Veliko ljudi ima enaka imena in priimke, pa lahko celo tudi letnice rojstva, nenazadnje pa ti lahko osebno ime in priimek za malo denarja na upravni enoti spremeniš v karkoli in če v zbirki podatkov nimaš EMŠO-ja ali pa direktne povezave na Centralni register prebivalstva (kar ponavadi nimaš), te lahko nekdo vrže na finto, da ni več ista oseba in izgubiš sled.

    Ampak če je kombinacija tvojega imena in priimka unique na nivoju države, potem je to povsem dovolj tudi brez EMŠOja, da te nedvoumno najdejo v vseh zbirkah podatkov, kjer nastopaš. Janezi Novaki imajo tu nedvomno veliko prednost.

    Eden od ključnih poudarkov varstva osebnih podatkov je pa ravno v tem, da v dobi informatizacije, kjer se vse zbira v nekih bazah, omejiš povezljivost raznih baz na minimum, ker sicer bi nekateri o posamezniku vedeli enostavno preveč, ter bi lahko prihajalo do velikih zlorab.

    Je pa poštni predal meni zanimiva zadeva. Namreč s tem, ko imaš odprt predal in dobivaš sporočila, si ti hote ali nehote praktično vzpostavil svojo malo zbirko osebnih podatkov (elektronski naslovi) iz katere se da trivialno dobiti ven tudi imena in priimke. Kaj na to reče informacijska pooblaščenka ne vem, vem pa, da meni ni v bistvu nihče dal soglasja, da zbiram te osebne podatke. Ponavadi tudi ne moreš zablokirati, da nekdo tvoje sporočilo prepošlje naprej, čeprav se to v nekaterih zaprtih sistemih da in lahko prejemnik sporočilo samo odpre.

    @Pipi, iz razlage, kako zadeva deluje, nisem čisto prepričan, da je res tako, je pa čisto možno. Sam osebno bi pričakoval, da mi država za minimalen strošek omogoči tak predal, ki ima “varen” in “nevaren” (običajni) del, tako da lahko iz tega poštnega predala tako komuniciram, kot prejemam vanj odločbe, sklepe, ali račune. Mi je pa pomembno, da mi to omogoči država, ker sicer se ti lahko zgodi sindrom email.si, ko nekdo enostavno vse skupaj zapre in se obrišeš pod nosom za “varne elektronske dokument”.

    Kakor vem, ima Pošta Slovenije tole zastavljeno zelo resno in mislim da se vsi podatki hranijo “sinhrono” v dveh različnih podatkovnih centrih, tako da tudi kakšna naravna nesreča ne bi smela biti usodna za podatke.

  6. Swizec Says:

    Mam to sreco, da je moj imenski par unique na ravni drzave 😛

    Pri varstvu osebnih se mi zdi veliko pomembnejsa zascita proti kraji identitete kot povezovanje baz med seboj, ker baze se konec koncev cist ajnfoh povezejo tudi preko data mininga, ne rabis nobenih konkretnih podatkov.

    In ce zato ker sem podatkovno zrudarjen do amena dobim takoj po nesreci ponudbo odvetnika, avtokleparja, avtoprodajalca itd. cist fajn, velik bols kakor da moram karnaprej brat reklame, ki me ne zanimajo, ko pa kaj rabim pa nikjer nobenga k bi mi ponudil tocno tisto kar rabim.

    Bi pa bilo precej kruto, ce bi, kot je podal primer Aleks Jakulin, ko bi mi dohtar rekel, da mi je zaradi prej neodkritega tumorja samo se dva tedna zivljenja, moja zena zacela prejemati veliko kolicino reklam za pogrebniske storitve in krste, se preden bi ji jaz uspel povedat kaj sem zvedel od dohtarja.

  7. dronyx Says:

    @Swizec, ti nimaš kaj rudariti po podatkih, če do njih nimaš dostopa. Saj to je bistvo. Če to ni zaščiteno, lahko danes praktično že na vsakem navadnem osebnem računalniku združiš skupaj baze iz bank, bolnic, zdravstvenih domov, telekom operaterjev, državne uprave, trgovin, pogrebnih zavodov in še vsega ostalega. Iz tega se da dobiti vse, od finančnega in zdravstvenega stanja, socialnih povezav (komunikacije kdo z kom), kriminalne preteklosti, do tega, kje se gibljem čez dan (kar se dokaj natančno vidi iz baze mobilnega operaterja). To si pa pač ljudje ne želimo in informacijska pooblaščenka mora poskrbeti, da se to ne zgodi.

  8. Swizec Says:

    Kot sem ze prej rekel, podatki bolnic, policije ipd. so osebni podatki in pasejo pod varovanje osebnih podatkov. Tvoj email naslov pa NI nek varovanja vreden podatek, ker lahko vec o tebi pogooglam kot bi zvedel z uporabo tvojega maila.

    In verjemi, da ima google o tebi veliko vec uporabnih podatkov kot vsaka bolnica ali drzavna ustanova. S tem, da ko google uporabljas se avtomaticno strinjas s prodajo teh podatkov (anonimiziranih-ish) najvisjemu ponudniku.

  9. dronyx Says:

    @Had: Na (ronald.kordis@moja.posta.si) sem ti poslal ponudbo za viagro da preverimo, ali spam deluje. Ups, se opravičujem, ker sem izdal ime in priimek (po občutku bi dejal, da je tvoja kombinacija imena in priimka tudi unikatna). 🙂

    @swizec, verjetno ima Google največ prihodkov ravno od tega, da jim ljudje ali firme plačajo za to, da jih umaknejo iz zadetkov iskalnika. Po moje. 😉

  10. kekez Says:

    Jaz sem do zdaj znorel dvakrat:

    1.
    Nekoč je en v križišču s svojim avtom oplazil mojega. Nisem uspel iti za njim, sem si pa zapomnil reg.št. Ptem sem šel na policijo, zadevo prijavil in vprašal, kdo je storilec. Zaradi zaščite osebnih podatkov mi tega niso hoteli razkriti, ampak, da bodo že oni poskrbeli za zadevo. Drugi dan pozvoni telefon. Oseba na drugi strani me vpraša, ali sem ta in ta in se mi potem opraviči, ker me je prejšnji dan oplazil in da bo pač poravnal vse stroške. Porka motorka, policaji meni niso želeli razkriti povzročitelja, a njemu so pa lahko nič krivega oškodovanca!?!?!?

    2.
    Pred leti sem pripeljal svoj avtomobil k pooblaščenemu serviserju (še nikoli prej nisem bil pri tem!!!). On pogleda registrsko in me ogovori: “Dober dan g. X Y.” Jaz ga gledam, “Od kod se pa midva poznava?” Pa pravi, da se ne, ampak po registrski je iz računalnika prišel do mojih podatkov. Me je kar vrglo in sem zahteval, da mi pokaže, kaj vse imajo o meni. Celo št. mojega mobilnega telefona, ki je tajna, pri klicanju skrita in neobjavljena v imenikih so imeli!?!?!?

  11. enxen Says:

    kekez:
    @1 – morda si se zaletel pa v nabrglanega policaja 😆
    @2 – to s številko gsm, ta je pa huda!

  12. dronyx Says:

    @kekez, jaz sem včasih delal na zavarovalnici in po spominu so prihajali tja tudi avtomagično vsi policijski zapisniki avtomobilskih nesreč. Tako da je za prvi primer tudi ta možnost, da je dobil podatke o tebi na zavarovalnici. Drugi primer je pa za Musarjevo.

  13. Swizec Says:

    Pred kratkim mi je fedex hotel vrocit posiljko. Po dolgem casu nenajdenja drug drugega so me poklicali na mobitel.

    Carji, ce me ne bi poklical da bi se zmenil, bi verjetno nekaj evrov splavalo po vodi, ker sem nekaj kupil in tega nikoli ne bi dobil.

    🙂

    PS: mozno da so telefon meli, ker sem enkrat prej jaz njih poklical, lahko pa tudi da ne, nikoli ne ves.

  14. Swizec Says:

    Aja tisto s tablicami pa ne eno ne drugo ni nic posebnega.

    1. Oni tebi ne morejo dati podatkov, ker lahko da bi obtozeval kogarkoli, ki ni nujno kriv, in bi preko njih prisel do njegovih podatkov. Oni njemu lahko tvoje podatke dajo, ker si jih ti dal njim z implicirano zeljo, da se problem razresi in se zate 100% ve da si vpleten.

    2. Ni nujno, da si bil na tem servisu, lahko pa da si bil na kakem servisu, ki spada pod isto okrilje. Sploh ce govorimo o uradnih servisih ni nic takega, da ze ob nakupu avta vsi pooblasceni servisi, ki si imho delijo ena in taisto bazo strank (ker so kao en servis z vec poslovalnicami).

    Ni primer za Musarjevo, ker si 95% verjetno enkrat krovni firmi, ki bdi nad poslovalnico v katero si se pripeljal, dal dovoljenje za uporabo svojih podatkov.

  15. kekez Says:

    To s policaji se itak ve, kako gre. Če poznaš tam tudi samo telefonista (oni vehementno trdijo, da ni tako, ampak…) in mu poveš reg.št. Ne le da ti lahko izbrska ime in priimek lastnika, celo zgodovino avtomobila in prometno prekrškovni dosje lastnika lahko dobiš. Seveda po uradni poti nič.

    Ali pa: v službi moje žene so prej zvedeli za njeno diagnozo, ko je bila v bolnišnici, kot pa ona sama. Kje je povezava? Isto čistilko imajo.

    Administratorji raznih računalniških sistemov tudi preveč vedo. Od raznih na pol tajnih prejemkov direktorjev, do ljubezenskih razmerij zaposlenih in morda celo bančno stanje na računih vseh sosedov, če je ravno administrator v banki. Npr. če gre kaj narobe pri dostavi e-pošte, ta dostikrat prileti k postmasterju. 🙂

    Cel svet uporablja gmail e-naslove pod predpostavko, Google je resna firma (za razliko od email.si). Ampak v čem je gugl najboljši? V analizi in indeksiranju elektronskih dokumentov. Potem pa še protiteroristični zakoni in vsak mimogrede dobi še ene tri (velike) tajne brate.

    Nekoč je bil v časopisu en članek, da je namen mehanizma spovedi pri RKC izključno obveščevalna dejavnost. 🙂

  16. Andraž Says:

    Ehjoj. EMŠO ni osebni podatek. Tudi davčna številka ni več osebni podatek. Kombinacija obeh je.

    Glede varnega poštnega predala je pa vse skupaj natolcevanje, ker to NI predal za navadne emajle ampak za elektronsko podpisane dokumente.

  17. dronyx Says:

    @Andraž: ZVOP-1, 6. člen, definicija izrazov:

    1. Osebni podatek – je katerikoli podatek, ki se nanaša na posameznika, ne glede na obliko, v kateri je izražen.

    Tako da EMŠO in davčna številka sta osebna podatka.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

Komentirate prijavljeni s svojim WordPress.com računom. Log Out / Spremeni )

Twitter picture

Komentirate prijavljeni s svojim Twitter računom. Log Out / Spremeni )

Facebook photo

Komentirate prijavljeni s svojim Facebook računom. Log Out / Spremeni )

Google+ photo

Komentirate prijavljeni s svojim Google+ računom. Log Out / Spremeni )

Connecting to %s


%d bloggers like this: