Fórum Root.cz
Ostatní => Odkladiště => Téma založeno: Martin Sršeň 16. 12. 2017, 16:33:53
-
Plánujeme informačný systém pre školenie zamestnancov a prišlo k otázke ukladania osobných údajov. Chceme nejakým spôsobom jednoznačne identifikovať osoby (kvôli právnym účelom) ale nechceme ukladať ich osobné údaje.
Napadla ma teda otázka. Ak sa uložia osobné údaje (číslo občianskeho, rodné číslo...) v zahešovanej podobe (SHA256 a podobne), berie sa to stále ako osobný údaj?
-
Pokud by z hashe nešlo získat původní údaj, osobním údajem by neměl být. Problém je, že rodná čísla i čísla OP jsou tak krátká, že vyzkoušením všech možností ten původní údaj z hashe snadno získáte.
Rodné číslo není dobrý identifikátor, protože existují duplicity. Číslo občanského průkazu se zase v čase mění.
-
Jak píše Filip, takže raději bych použil Argon2, než planý SHA.
A ať to alespoň chroustá vteřinu (i na silným počítači). Ono by toho útočníka potom omrzelo čekat na pouhé jedno rodné číslo cca. 20 tisíc let.
-
A kam se přihlašuješ číslem občanky, že tě napadla taková otázka?
-
ano, hash čísla občanky je shodný pro zákon jako kdybyste měli uloženo samotné číslo.
Velice důležité v tomhle případě je, jestli text, který hashujete je možné získat dopředu. Mohu si nagenerovat všechna možná čísla občanek, udělat hashe a poté vlastně mám čísla vašich občanek a vy máte problém, došlo k jednoznačné identifikaci z vašich údajů a o tom to celé je.
Stejný problém nastává pokud takhle hashujete, jména, adresy, emaily atd. atd. Pokud vám jde o bezpečnost (chválím to) a nechce ukládat samotná čísla, přidejte k textů před hashováním unikátní seed pro každý takový záznam, stejně tak přidejte tajný dlouhý text, který máte někde bezpečně zašifrovaný. Pokud někdo nezvoře implementaci, je to dostatečné, abyste mohli být v klidu.
Pořád ale platí, že tím nevyhnete legislativě a bude na vás pohlíženo jako na zpracovatele osobních údajů, budete muset podstoupit všechny potřebné kroky, s GDPR těch kroků bude hodně.
Mluvím ze zkušeností z finančních a bankovního sektoru, kde podobné triky jsme se mnohokrát snažili použít, nelíbí se to soudům, úřadům, interním právníkům. Neprochází ani varianta s poměrně složitou strukturou takových údajů, kde je pro útočníka složité to dopředu složit (jméno, adresa, datum, číslo občanky atd.).
V německé pobočce jedné pojišťovny se používá zajímavé řešení. Na pobočce si skontrolují a ověří doklady (občanku, čísla atd.), podepíší smlouvu, kterou nechají podepsat před notářem (asi naše obdoba ověřeného podpisu na poště) a poté pojištěnci vydají ID kartičku s jeho unikátním číslem, zvolí si pin, sváží s telefonním číslem a to je vše. Ve svém systému nemají žádné osobní informace evidované o daném klientovi a až v případě pojistné události takové informace zjišťují a ověřují. Moc podrobnosti neznám, mám tohle jen z doslechu a berte to jako tip, kde by mohl být prostor se vyhnout ukládání údajů.
-
Rodné číslo není dobrý identifikátor, protože existují duplicity.
??? A kolik takových duplicit existuje ??? Pokud se narazí na duplicitu, tak v zájmu dané osoby je ověřit si zda se jedná o duplicitu a hlavně si to velmi rychle vyřešit.
V rejstříku obyvatel (ROB) se rodné číslo používá jako jednoznačný identifikátor fyzické osoby.
PS: neříkám že k duplicitám nedošlo...
-
Rodné číslo není dobrý identifikátor, protože existují duplicity.
Ano, pry existuji. Uz jste nejakou osobne potkal? Kolik jich asi v CR bude, aby to muselo delat vrasky nekomu pro nejaka skoleni? Navic ty duplicity nejspis pochazeji z doby pred centralnim registrem, takze pokud neplanuji skoleni pro duchodce, tak to asi bude jeste mensi problem, nez by se na prvni pohled zdalo.
-
Pokud na základě těch údajů dokážeš identifikovat konkrétní osobou, což je účelem plánovaného systému, jedná se o osobní údaje.
Je jedno, jestli porovnáváš dvě rodná čísla, nebo dva hashe rodných čísel, neboť výsledek je stejný.
Můžeš to klidně zahashovat a osolit, ale až ti někdo sebere databázi i se solí, tak bude stejně schopen dostat se k původním osobním údajům.
Ve výsledku máš bezpečnější, když si ofotíš občanku (kde jsou všechny ty údaje) a hodiš to do trezoru. Alespoň se to neválí někde v počítači. Každej rok pak záznamy starší než rok/dva skartovat. Nemusíš tak alespoň řešit to, že jsou ty údaje v X let starých zálohách nějakýho počítače, který se pochopitelně mazat nemůžou.
-
raději bych použil Argon2, než planý SHA.
A ať to alespoň chroustá vteřinu (i na silným počítači). Ono by toho útočníka potom omrzelo čekat na pouhé jedno rodné číslo cca. 20 tisíc let.
Dvacet tisíc let? Rodné číslo se skládá z data narození, pohlaví, trojmístného pořadového čísla a kontrolní číslice. Za rok se tedy teoreticky může vydat maximálně necelých 730 000 rodných čísel. (Teoreticky tedy dvojnásobek, protože pokud by rodná čísla v jeden den došla, k měsíci se ještě přičte 20, aby tak vznikla nová řada, ale pokud vím, takové rodné číslo nikdy nebylo vydáno. Ale pokud chcete, výsledek si klidně přenásobte dvěma.) Když budu počítat osoby od narození do sta let, dělá to tím tempem jedno rodné číslo za vteřinu necelého dva a půl roku. Na jednom počítači. To je 8 dní na stovce počítačů, necelý den na tisícovce. Ve skutečnosti se denně narodí zhruba 300 dětí, takže místo těch 2000 rodných čísel pro každý den mi jich stačí vyzkoušet třeba 400. Za půl roku budu mít vypočítané hashe rodných čísel pro celou ČR.
Ne, prostě když je na vstupu málo entropie, žádné hashování to nezachrání.
-
k duplicitám rodných čísel, potkal jsem v databázích již několik (jednotky) duplicitních rodných čísel, vše starší ročníky ještě z dob komančů. Dokonce existují čísla, která vůbec nesplňují pravidla, prostě je někdo asi omylem zapsal a zůstalo to tak, kdo ví, těm lidem to ale nezávidím, kdekoho napadne si validovat RČ a dále ho nepouštět.
Úřady dříve k jednoznačné identifikaci vždy přidávaly místo narození, jak je to dnes, netuším. V žádné databázi, kterou jsem potkal nemá RČ constraint na unique nebo nedej bože, aby to byl primární sloupec.
-
Pokud jde o interní školení a zaměstnance, tak za ty se platí zákona daň, zdravotní, sociální,... Navíc co se týká školení, tak tam je "povinnost zaměstnavatele prokazatelně seznámit zaměstnance s ...." (BOZP,...) ze zákona a to bez osobních údajů nejde. Takže zaměstnavatel MUSÍ zpracovávat osobní údaje zaměstnanců, i kdyby nechtěl. Není cesta, jak to obejít
Navíc třeba v IS má každý zaměstnanec osobní číslo, podle kterýho se dá taky dělat prezenčka. Jenom ke školení uložit čísla zaměstnanců (tabulka datum-kód školení-ID zaměstnance) a spárovat to s tabulkou zaměstnanců v IS. Tím pádem tam nedržíš přímo ve školeních osobní údaje.
Mimochodem, nejčistší řešení by asi bylo modulem z/do firemního IS...
-
Rodné číslo není dobrý identifikátor, protože existují duplicity.
Pre rozsah našej aplikácie to vadiť nebude :D
A kam se přihlašuješ číslem občanky, že tě napadla taková otázka?
Bolo by to len pre úvodné potvrdenie registrácie, prípadne reset hesla.
Pokud na základě těch údajů dokážeš identifikovat konkrétní osobou, což je účelem plánovaného systému, jedná se o osobní údaje.
Navíc co se týká školení, tak tam je "povinnost zaměstnavatele prokazatelně seznámit zaměstnance s ...." (BOZP,...) ze zákona a to bez osobních údajů nejde. Takže zaměstnavatel MUSÍ zpracovávat osobní údaje zaměstnanců, i kdyby nechtěl. Není cesta, jak to obejít
Ako vidím tak asi sa tomu problému nevyhneme.
Ďakujem všetkým za odpovede a tipy. Moc ste mi pomohli ujasniť si problematiku. :)
-
Pre rozsah našej aplikácie to vadiť nebude :D
Pořád mi chybí informace, zda jde o nějaká interní školení např. zaměstnanců, nebo školení pro veřejnost. V prvním případě už je stejně někde evidované máte, v druhém případě tam klidně může přijít někdo, kdo rodné číslo nemá, navíc to rodné číslo vůbec nepotřebujete – pro takovéhle případy je ideální e-mail.
Bolo by to len pre úvodné potvrdenie registrácie, prípadne reset hesla.
Rodné číslo takhle použít nejde, není to tajný údaj a teoreticky ho může znát kde kdo. Máte nějaký důvod neudělat to stejně, jako všichni ostatní – tj. použít e-mail?
-
Dokonce existují čísla, která vůbec nesplňují pravidla, prostě je někdo asi omylem zapsal a zůstalo to tak, kdo ví, těm lidem to ale nezávidím, kdekoho napadne si validovat RČ a dále ho nepouštět.
Nejčastější případ je, že při výpočtu kontrolní číslice vyšlo, že by to mělo být 10 – rodné číslo se v takovém případě mělo přeskočit a použít další. Ale někdy místo toho dali jako kontrolní číslici nulu.
To, že by validace kontrolní číslice rodného čísla měla být měkkou kontrolou se aspoň trochu ví. Ale pokud by se někdy přidělila rodná čísla s přičtenou dvacítkou k měsíci, to bych teprve těm lidem nezáviděl, protože s tím nepočítá skoro nikdo.
ČSSZ vydávala cizincům bez rodného čísla nějaké svoje číslo, které vypadalo jako rodné číslo, akorát se něco přičítalo myslím ke dni narození. A někteří lidé si myslí, že tohle je jejich rodné číslo.
Zkrátka s rodnými čísly je zábava a už aby byla zrušena. Ale jako pomocný čistě orientační údaj jsou fajn…
-
(BOZP,...) ze zákona a to bez osobních údajů nejde.
Školiteli jsem rodné číslo odmítl prozradit, spokojil se s datem narození.
To pro něj spolu se jménem byla dostatečná identifikace - v rámci těch pár tisíc lidí co má na starosti.
-
Je snad zákonem určeno, kdy a k čemu je možno rodné číslo vyžadovat. A takovéto školení to určitě nebude.
A je v RČ občas chaos, moje drahá nadpolovička má třeba mužské rodné číslo (místo 50 nebo 70 ji k měsíci narození přičetli jen "mužských" 20).
-
Pořád mi chybí informace, zda jde o nějaká interní školení např. zaměstnanců, nebo školení pro veřejnost.
Budú to školenia pre interných zamestnancov.
Máte nějaký důvod neudělat to stejně, jako všichni ostatní – tj. použít e-mail?
Je potrebné človeka jednoznačne identifikovať. Email si môže vytvoriť kde kto.
-
Budú to školenia pre interných zamestnancov.
To ty interní zaměstnance nemáte nijak identifikované? E-mail, login, osobní číslo? Navíc rodné číslo u nich už stejně evidujete, minimálně kvůli daném a jiným odvodům.
Je potrebné človeka jednoznačne identifikovať. Email si môže vytvoriť kde kto.
Co si představujete pod pojmem „jednoznačně identifikovat“? Já si pod tím představím to, že dva různí lidé nebudou mít stejný identifikátor. E-mail si může vytvořit kde kdo, stejně tak si kde kdo může vymyslet rodné číslo. Jednoznačné identifikaci by vadilo, pokud by jeden e-mail používali dva lidé – stejně tak se ti dva lidé mohou domluvit a mohou vám sdělit jedno rodné číslo.
-
Email si môže vytvoriť kde kto.
To sice muze, ale nemuze ziskat e-mail, ktery uz nekdo ma.
-
V rejstříku obyvatel (ROB) se rodné číslo používá jako jednoznačný identifikátor fyzické osoby.
Jestli se nepletu, jednoznačným identifikátorem fyzické osoby v základních registrech je ZIFO (a s ním se ani nepracuje přímo, ale dělá se "překlad" přes agendový identifikátor AIFO) a v ROB rodné číslo vůbec neni, rodné číslo je v AISEO
-
V rejstříku obyvatel (ROB) se rodné číslo používá jako jednoznačný identifikátor fyzické osoby.
Jestli se nepletu, jednoznačným identifikátorem fyzické osoby v základních registrech je ZIFO (a s ním se ani nepracuje přímo, ale dělá se "překlad" přes agendový identifikátor AIFO) a v ROB rodné číslo vůbec neni, rodné číslo je v AISEO
Přesně tak, v ROBu rodné číslu vůbec není (např. proto, že je v plánu rodná čísla zrušit a cesta k tomu jsou právě základní registry). Navíc ROB není rejstřík obyvatel, ale registr obyvatel.
-
Autor předpokládam nechce mít nějaké potíže. Doporučuji prozkoumat, co se anonymizuje ... (např. viz https://www.zacernime.cz/registr-smluv/co-anonymizovat-ve-smlouve, případně https://is.muni.cz/do/1492/el/sitmu/law/html/ch02s10.html) a následně ať se přizpůsobí ...
-
To ty interní zaměstnance nemáte nijak identifikované? E-mail, login, osobní číslo? Navíc rodné číslo u nich už stejně evidujete, minimálně kvůli daném a jiným odvodům.
Jenze to rodne cilso je tam ulozene za nejakym ucelem (dane, socialka?). Neni nahodou jeho pouziti pro jiny duvod, nez pro jake je skladovano protizakonne? Je. Pochybuju, ze "interni skoleni komunikace" je duvod, kterym si to nekdo obhaji.
Ja si pamatuju doby, kdy se za to, ze nekdo pouzil RC jako primarni klic v DB vyhazovalo uz v prvaku od zkousky. Duvody proc ne tady uz byly popsany (navic cizinci nemaji RC, nebo jedna osoba muze mit vice RC). A tady se to zase donekonecna diskutuje jako doporucovane reseni.
-
ze nekdo pouzil RC jako primarni klic v DB vyhazovalo uz v prvaku od zkousky.
z jaké školy a obori?
-
...moje drahá nadpolovička má třeba mužské rodné číslo (místo 50 nebo 70 ji k měsíci narození přičetli jen "mužských" 20).
Tak pak ověřit, zda byla vždy ženou.
-
...
Ja si pamatuju doby, kdy se za to, ze nekdo pouzil RC jako primarni klic v DB vyhazovalo uz v prvaku od zkousky. Duvody proc ne tady uz byly popsany (navic cizinci nemaji RC, nebo jedna osoba muze mit vice RC). A tady se to zase donekonecna diskutuje jako doporucovane reseni.
+1⠀
-
Já jsem asi fakt někde nedával pozor a nebo je ten původní dotaz fakt nesmyslný. Ze zákona firma musí ukládat osobní údaje o svých zaměstnancích. Např. pro SSZ, že. Jde jen o to, aby se v tom nehrabala uklízečka.
-
ze nekdo pouzil RC jako primarni klic v DB vyhazovalo uz v prvaku od zkousky.
z jaké školy a obori?
ČVUT FEL, kolem roku 1996
Důvody:
1. Není unikátní. V té době byly známy stovky případů duplicity, ročníky 1954 - 1985
2. V čase se může změnit
3. Někteří lidé ho vůbec nemají (cizinci apod.)
Ještě se na vás velice špatně koukali, když jste se pokusil:
1. Ověřit formát - protože ten nebyl až tak pevný, délka se mohla lišit
2. Ověřit platnost podle kontrolního součtu - protože to v řadě případů nesedí
3. Určit zda nositel je žena nebo muž - protože se to v tisících případů použilo špatně
Obecně je to důsledek legislativy, kdy platné je rodné číslo zapsané v rodném listě. Pokud někdo udělal chybu, například vynechal číslici, spletl si číslice, ze seznamu volných rodných čísel vybral špatné, neoznačil správně použité rodné číslo atd., tak sice to rodné číslo bylo špatně, ale platilo. Co bylo na papíře, to bylo platné. Žádná centrální evidence neexistovala, takže nikdo nic neověřoval. Navíc i když se našla chyba, tak se to obvykle nechávalo tak.
-
1. Ověřit formát - protože ten nebyl až tak pevný, délka se mohla lišit
Obecně je to důsledek legislativy, kdy platné je rodné číslo zapsané v rodném listě. Pokud někdo udělal chybu, například vynechal číslici, spletl si číslice, ze seznamu volných rodných čísel vybral špatné, neoznačil správně použité rodné číslo atd., tak sice to rodné číslo bylo špatně, ale platilo. Co bylo na papíře, to bylo platné. Žádná centrální evidence neexistovala, takže nikdo nic neověřoval. Navíc i když se našla chyba, tak se to obvykle nechávalo tak.
Zas až takový guláš v tom snad nebyl. Přehození číslic v části za lomítkem, špatná kontrolní číslice, duplicita, to všechno může být. Ale datum narození v rodném čísle a délka rodného čísla (9 číslic do roku 1953, 10 číslic od roku 1954) podle mne musí platit vždy.
-
Budú to školenia pre interných zamestnancov.
Zamestnancov by ste uz mali mat jednoznacne identifikovanych, kazdy jeden software pre personalistiku ma pre kazdu osobu unikatne ID. Staci sa spytat na HR alebo mzdovej uctarni.
-
...berie sa to stále ako osobný údaj?
Ehm ... osobnim udajem je LIBOVOLNY udaj nebo soubor udaju, ktery muze identifikovat konkretni osobu nebo jejich skupinu.
Takze tim, ze neco zahashujes si vubec nepomuzes, pokud ten hash je ID ktery identifikuje konkretni osobu, je to ID samo o sobe osobnim udajem.
... když si ofotíš občanku...
Coz je trestne samo o sobe - ofotit OP si smeji (ze zakona a vyhradne se souhlasem, protoze realne to nanic nepotrebuji, potrebuji ty udaje z OP) jen vybrane organizace - napriklad banky.
-
Rodné číslo není dobrý identifikátor, protože existují duplicity.
Ano, pry existuji. Uz jste nejakou osobne potkal? Kolik jich asi v CR bude, aby to muselo delat vrasky nekomu pro nejaka skoleni? Navic ty duplicity nejspis pochazeji z doby pred centralnim registrem, takze pokud neplanuji skoleni pro duchodce, tak to asi bude jeste mensi problem, nez by se na prvni pohled zdalo.
Duplicity RČ vznikly ze dvou důvodů, první důvod je chyba v porodnici a druhý důvod je úmysl z let 1968 a 1969. Některá RČ jsou použita i 3x. Celkem jich bylo na konci minulého roku necelých 400 a jejich počet stále klesá.
K hlavnímu dorazu: Jakýkoli údaj vedoucí k identifikaci dle zákládních registrů ROB, ROS, RPP a RÚIAN je považován naplnění zákona 101/2000 Sb a ustanovuje správce a zpracovatele těchto údajů odpovědným za splnění veškerých pozadavků zmíněného zákona. :-)
-
Bolo mi povedané že sa čaká na podrobnejšie vyjadrenie právnika ohľadne celého systému takže právne detaily radšej nehám skúsenejším z tejto oblasti. Moja hlavná otázka už bola zodpovedaná (teda že hashovanie nepomáha) takže mňa už budú zaujímať len technické záležitosti okolo a prípadným výhradám právnika sa dúfam dokážem prispôsobiť :D .
Ešte raz ďakujem všetkým za odpovede a o podelenie sa o skúsenosti :) .