Fórum Root.cz

Ostatní => Odkladiště => Téma založeno: Martin Sršeň 16. 12. 2017, 16:33:53

Název: Je hashovaný údaj osobný údaj?
Přispěvatel: Martin Sršeň 16. 12. 2017, 16:33:53
Plánujeme informačný systém pre školenie zamestnancov a prišlo k otázke ukladania osobných údajov. Chceme nejakým spôsobom jednoznačne identifikovať osoby (kvôli právnym účelom) ale nechceme ukladať ich osobné údaje.

Napadla ma teda otázka. Ak sa uložia osobné údaje (číslo občianskeho, rodné číslo...) v zahešovanej podobe (SHA256 a podobne), berie sa to stále ako osobný údaj?
Název: Re:Je hashovaný údaj osobný údaj?
Přispěvatel: Filip Jirsák 16. 12. 2017, 16:44:14
Pokud by z hashe nešlo získat původní údaj, osobním údajem by neměl být. Problém je, že rodná čísla i čísla OP jsou tak krátká, že vyzkoušením všech možností ten původní údaj z hashe snadno získáte.

Rodné číslo není dobrý identifikátor, protože existují duplicity. Číslo občanského průkazu se zase v čase mění.
Název: Re:Je hashovaný údaj osobný údaj?
Přispěvatel: Jamie 16. 12. 2017, 17:12:14
Jak píše Filip, takže raději bych použil Argon2, než planý SHA.
A ať to alespoň chroustá vteřinu (i na silným počítači). Ono by toho útočníka potom omrzelo čekat na pouhé jedno rodné číslo cca. 20 tisíc let.
Název: Re:Je hashovaný údaj osobný údaj?
Přispěvatel: . 16. 12. 2017, 19:19:33
A kam se přihlašuješ číslem občanky, že tě napadla taková otázka?
Název: Re:Je hashovaný údaj osobný údaj?
Přispěvatel: Tomas2 16. 12. 2017, 21:12:32
ano, hash čísla občanky je shodný pro zákon jako kdybyste měli uloženo samotné číslo.

Velice důležité v tomhle případě je, jestli text, který hashujete je možné získat dopředu. Mohu si nagenerovat všechna možná čísla občanek, udělat hashe a poté vlastně mám čísla vašich občanek a vy máte problém, došlo k jednoznačné identifikaci z vašich údajů a o tom to celé je.

Stejný problém nastává pokud takhle hashujete, jména, adresy, emaily atd. atd. Pokud vám jde o bezpečnost (chválím to) a nechce ukládat samotná čísla, přidejte k textů před hashováním unikátní seed pro každý takový záznam, stejně tak přidejte tajný dlouhý text, který máte někde bezpečně zašifrovaný. Pokud někdo nezvoře implementaci, je to dostatečné, abyste mohli být v klidu.

Pořád ale platí, že tím nevyhnete legislativě a bude na vás pohlíženo jako na zpracovatele osobních údajů, budete muset podstoupit všechny potřebné kroky, s GDPR těch kroků bude hodně.

Mluvím ze zkušeností z finančních a bankovního sektoru, kde podobné triky jsme se mnohokrát snažili použít, nelíbí se to soudům, úřadům, interním právníkům. Neprochází ani varianta s poměrně složitou strukturou takových údajů, kde je pro útočníka složité to dopředu složit (jméno, adresa, datum, číslo občanky atd.).

V německé pobočce jedné pojišťovny se používá zajímavé řešení. Na pobočce si skontrolují a ověří doklady (občanku, čísla atd.), podepíší smlouvu, kterou nechají podepsat před notářem (asi naše obdoba ověřeného podpisu na poště) a poté pojištěnci vydají ID kartičku s jeho unikátním číslem, zvolí si pin, sváží s telefonním číslem a to je vše. Ve svém systému nemají žádné osobní informace evidované o daném klientovi a až v případě pojistné události takové informace zjišťují a ověřují. Moc podrobnosti neznám, mám tohle jen z doslechu a berte to jako tip, kde by mohl být prostor se vyhnout ukládání údajů.
Název: Re:Je hashovaný údaj osobný údaj?
Přispěvatel: JardaK 16. 12. 2017, 22:02:48
Rodné číslo není dobrý identifikátor, protože existují duplicity.

??? A kolik takových duplicit existuje ??? Pokud se narazí na duplicitu, tak v zájmu dané osoby je ověřit si zda se jedná o duplicitu a hlavně si to velmi rychle vyřešit.

V rejstříku obyvatel (ROB) se rodné číslo používá jako jednoznačný identifikátor fyzické osoby.

PS: neříkám že k duplicitám nedošlo...
Název: Re:Je hashovaný údaj osobný údaj?
Přispěvatel: JardaP . 16. 12. 2017, 22:08:11
Rodné číslo není dobrý identifikátor, protože existují duplicity.

Ano, pry existuji. Uz jste nejakou osobne potkal? Kolik jich asi v CR bude, aby to muselo delat vrasky nekomu pro nejaka skoleni? Navic ty duplicity nejspis pochazeji z doby pred centralnim registrem, takze pokud neplanuji skoleni pro duchodce, tak to asi bude jeste mensi problem, nez by se na prvni pohled zdalo.
Název: Re:Je hashovaný údaj osobný údaj?
Přispěvatel: ? 16. 12. 2017, 22:32:08
Pokud na základě těch údajů dokážeš identifikovat konkrétní osobou, což je účelem plánovaného systému, jedná se o osobní údaje.

Je jedno, jestli porovnáváš dvě rodná čísla, nebo dva hashe rodných čísel, neboť výsledek je stejný.

Můžeš to klidně zahashovat a osolit, ale až ti někdo sebere databázi i se solí, tak bude stejně schopen dostat se k původním osobním údajům.

Ve výsledku máš bezpečnější, když si ofotíš občanku (kde jsou všechny ty údaje) a hodiš to do trezoru. Alespoň se to neválí někde v počítači. Každej rok pak záznamy starší než rok/dva skartovat. Nemusíš tak alespoň řešit to, že jsou ty údaje v X let starých zálohách nějakýho počítače, který se pochopitelně mazat nemůžou.
Název: Re:Je hashovaný údaj osobný údaj?
Přispěvatel: Filip Jirsák 16. 12. 2017, 23:11:24
raději bych použil Argon2, než planý SHA.
A ať to alespoň chroustá vteřinu (i na silným počítači). Ono by toho útočníka potom omrzelo čekat na pouhé jedno rodné číslo cca. 20 tisíc let.
Dvacet tisíc let? Rodné číslo se skládá z data narození, pohlaví, trojmístného pořadového čísla a kontrolní číslice. Za rok se tedy teoreticky může vydat maximálně necelých 730 000 rodných čísel. (Teoreticky tedy dvojnásobek, protože pokud by rodná čísla v jeden den došla, k měsíci se ještě přičte 20, aby tak vznikla nová řada, ale pokud vím, takové rodné číslo nikdy nebylo vydáno. Ale pokud chcete, výsledek si klidně přenásobte dvěma.) Když budu počítat osoby od narození do sta let, dělá to tím tempem jedno rodné číslo za vteřinu necelého dva a půl roku. Na jednom počítači. To je 8 dní na stovce počítačů, necelý den na tisícovce. Ve skutečnosti se denně narodí zhruba 300 dětí, takže místo těch 2000 rodných čísel pro každý den mi jich stačí vyzkoušet třeba 400. Za půl roku budu mít vypočítané hashe rodných čísel pro celou ČR.

Ne, prostě když je na vstupu málo entropie, žádné hashování to nezachrání.
Název: Re:Je hashovaný údaj osobný údaj?
Přispěvatel: Tomas2 17. 12. 2017, 00:33:49
k duplicitám rodných čísel, potkal jsem v databázích již několik (jednotky) duplicitních rodných čísel, vše starší ročníky ještě z dob komančů. Dokonce existují čísla, která vůbec nesplňují pravidla, prostě je někdo asi omylem zapsal a zůstalo to tak, kdo ví, těm lidem to ale nezávidím, kdekoho napadne si validovat RČ a dále ho nepouštět.

Úřady dříve k jednoznačné identifikaci vždy přidávaly místo narození, jak je to dnes, netuším. V žádné databázi, kterou jsem potkal nemá RČ constraint na unique nebo nedej bože, aby to byl primární sloupec.
Název: Re:Je hashovaný údaj osobný údaj?
Přispěvatel: Petr M 17. 12. 2017, 09:18:31
Pokud jde o interní školení a zaměstnance, tak za ty se platí zákona daň, zdravotní, sociální,... Navíc co se týká školení, tak tam je "povinnost zaměstnavatele prokazatelně seznámit zaměstnance s ...." (BOZP,...) ze zákona a to bez osobních údajů nejde. Takže zaměstnavatel MUSÍ zpracovávat osobní údaje zaměstnanců, i kdyby nechtěl. Není cesta, jak to obejít

Navíc třeba v IS má každý zaměstnanec osobní číslo, podle kterýho se dá taky dělat prezenčka. Jenom ke školení uložit čísla zaměstnanců (tabulka datum-kód školení-ID zaměstnance) a spárovat to s tabulkou zaměstnanců v IS. Tím pádem tam nedržíš přímo ve školeních osobní údaje.

Mimochodem, nejčistší řešení by asi bylo modulem z/do firemního IS...
Název: Re:Je hashovaný údaj osobný údaj?
Přispěvatel: Martin Sršeň 17. 12. 2017, 09:32:45
Citace
Rodné číslo není dobrý identifikátor, protože existují duplicity.
Pre rozsah našej aplikácie to vadiť nebude :D

Citace
A kam se přihlašuješ číslem občanky, že tě napadla taková otázka?
Bolo by to len pre úvodné potvrdenie registrácie, prípadne reset hesla.

Citace
Pokud na základě těch údajů dokážeš identifikovat konkrétní osobou, což je účelem plánovaného systému, jedná se o osobní údaje.
Citace
Navíc co se týká školení, tak tam je "povinnost zaměstnavatele prokazatelně seznámit zaměstnance s ...." (BOZP,...) ze zákona a to bez osobních údajů nejde. Takže zaměstnavatel MUSÍ zpracovávat osobní údaje zaměstnanců, i kdyby nechtěl. Není cesta, jak to obejít
Ako vidím tak asi sa tomu problému nevyhneme.

Ďakujem všetkým za odpovede a tipy. Moc ste mi pomohli ujasniť si problematiku. :)
Název: Re:Je hashovaný údaj osobný údaj?
Přispěvatel: Filip Jirsák 17. 12. 2017, 09:43:59
Pre rozsah našej aplikácie to vadiť nebude :D
Pořád mi chybí informace, zda jde o nějaká interní školení např. zaměstnanců, nebo školení pro veřejnost. V prvním případě už je stejně někde evidované máte, v druhém případě tam klidně může přijít někdo, kdo rodné číslo nemá, navíc to rodné číslo vůbec nepotřebujete – pro takovéhle případy je ideální e-mail.

Bolo by to len pre úvodné potvrdenie registrácie, prípadne reset hesla.
Rodné číslo takhle použít nejde, není to tajný údaj a teoreticky ho může znát kde kdo. Máte nějaký důvod neudělat to stejně, jako všichni ostatní – tj. použít e-mail?
Název: Re:Je hashovaný údaj osobný údaj?
Přispěvatel: Filip Jirsák 17. 12. 2017, 09:53:54
Dokonce existují čísla, která vůbec nesplňují pravidla, prostě je někdo asi omylem zapsal a zůstalo to tak, kdo ví, těm lidem to ale nezávidím, kdekoho napadne si validovat RČ a dále ho nepouštět.
Nejčastější případ je, že při výpočtu kontrolní číslice vyšlo, že by to mělo být 10 – rodné číslo se v takovém případě mělo přeskočit a použít další. Ale někdy místo toho dali jako kontrolní číslici nulu.

To, že by validace kontrolní číslice rodného čísla měla být měkkou kontrolou se aspoň trochu ví. Ale pokud by se někdy přidělila rodná čísla s přičtenou dvacítkou k měsíci, to bych teprve těm lidem nezáviděl, protože s tím nepočítá skoro nikdo.

ČSSZ vydávala cizincům bez rodného čísla nějaké svoje číslo, které vypadalo jako rodné číslo, akorát se něco přičítalo myslím ke dni narození. A někteří lidé si myslí, že tohle je jejich rodné číslo.

Zkrátka s rodnými čísly je zábava a už aby byla zrušena. Ale jako pomocný čistě orientační údaj jsou fajn…
Název: Re:Je hashovaný údaj osobný údaj?
Přispěvatel: Radovan. 17. 12. 2017, 10:33:19
(BOZP,...) ze zákona a to bez osobních údajů nejde.
Školiteli jsem rodné číslo odmítl prozradit, spokojil se s datem narození.
To pro něj spolu se jménem byla dostatečná identifikace - v rámci těch pár tisíc lidí co má na starosti.
Název: Re:Je hashovaný údaj osobný údaj?
Přispěvatel: M. 17. 12. 2017, 10:41:47
Je snad zákonem určeno, kdy a k čemu je možno rodné číslo vyžadovat. A takovéto školení to určitě nebude.
A je v RČ občas chaos, moje drahá nadpolovička má třeba mužské rodné číslo (místo 50 nebo 70 ji k měsíci narození přičetli jen "mužských" 20).
Název: Re:Je hashovaný údaj osobný údaj?
Přispěvatel: Martin Sršeň 17. 12. 2017, 12:20:55
Citace
Pořád mi chybí informace, zda jde o nějaká interní školení např. zaměstnanců, nebo školení pro veřejnost.
Budú to školenia pre interných zamestnancov.

Citace
Máte nějaký důvod neudělat to stejně, jako všichni ostatní – tj. použít e-mail?
Je potrebné človeka jednoznačne identifikovať. Email si môže vytvoriť kde kto.
Název: Re:Je hashovaný údaj osobný údaj?
Přispěvatel: Filip Jirsák 17. 12. 2017, 13:04:00
Budú to školenia pre interných zamestnancov.
To ty interní zaměstnance nemáte nijak identifikované? E-mail, login, osobní číslo? Navíc rodné číslo u nich už stejně evidujete, minimálně kvůli daném a jiným odvodům.

Je potrebné človeka jednoznačne identifikovať. Email si môže vytvoriť kde kto.
Co si představujete pod pojmem „jednoznačně identifikovat“? Já si pod tím představím to, že dva různí lidé nebudou mít stejný identifikátor. E-mail si může vytvořit kde kdo, stejně tak si kde kdo může vymyslet rodné číslo. Jednoznačné identifikaci by vadilo, pokud by jeden e-mail používali dva lidé – stejně tak se ti dva lidé mohou domluvit a mohou vám sdělit jedno rodné číslo.
Název: Re:Je hashovaný údaj osobný údaj?
Přispěvatel: JardaP . 17. 12. 2017, 13:08:28
Email si môže vytvoriť kde kto.

To sice muze, ale nemuze ziskat e-mail, ktery uz nekdo ma.
Název: Re:Je hashovaný údaj osobný údaj?
Přispěvatel: lojzik 17. 12. 2017, 17:48:13
V rejstříku obyvatel (ROB) se rodné číslo používá jako jednoznačný identifikátor fyzické osoby.
Jestli se nepletu, jednoznačným identifikátorem fyzické osoby v základních registrech je ZIFO (a s ním se ani nepracuje přímo, ale dělá se "překlad" přes agendový identifikátor AIFO) a v ROB rodné číslo vůbec neni, rodné číslo je v AISEO
Název: Re:Je hashovaný údaj osobný údaj?
Přispěvatel: Filip Jirsák 17. 12. 2017, 19:36:14
V rejstříku obyvatel (ROB) se rodné číslo používá jako jednoznačný identifikátor fyzické osoby.
Jestli se nepletu, jednoznačným identifikátorem fyzické osoby v základních registrech je ZIFO (a s ním se ani nepracuje přímo, ale dělá se "překlad" přes agendový identifikátor AIFO) a v ROB rodné číslo vůbec neni, rodné číslo je v AISEO
Přesně tak, v ROBu rodné číslu vůbec není (např. proto, že je v plánu rodná čísla zrušit a cesta k tomu jsou právě základní registry). Navíc ROB není rejstřík obyvatel, ale registr obyvatel.
Název: Re:Je hashovaný údaj osobný údaj?
Přispěvatel: V 17. 12. 2017, 20:49:08
Autor předpokládam nechce mít nějaké potíže. Doporučuji prozkoumat, co se anonymizuje ... (např. viz https://www.zacernime.cz/registr-smluv/co-anonymizovat-ve-smlouve, případně https://is.muni.cz/do/1492/el/sitmu/law/html/ch02s10.html) a následně ať se přizpůsobí ...
Název: Re:Je hashovaný údaj osobný údaj?
Přispěvatel: Ondra. 17. 12. 2017, 23:01:27
To ty interní zaměstnance nemáte nijak identifikované? E-mail, login, osobní číslo? Navíc rodné číslo u nich už stejně evidujete, minimálně kvůli daném a jiným odvodům.

Jenze to rodne cilso je tam ulozene za nejakym ucelem (dane, socialka?). Neni nahodou jeho pouziti pro jiny duvod, nez pro jake je skladovano protizakonne? Je. Pochybuju, ze "interni skoleni komunikace" je duvod, kterym si to nekdo obhaji.

Ja si pamatuju doby, kdy se za to, ze nekdo pouzil RC jako primarni klic v DB vyhazovalo uz v prvaku od zkousky. Duvody proc ne tady uz byly popsany (navic cizinci nemaji RC, nebo jedna osoba muze mit vice RC). A tady se to zase donekonecna diskutuje jako doporucovane reseni.
Název: Re:Je hashovaný údaj osobný údaj?
Přispěvatel: webkit.chromium 18. 12. 2017, 09:07:54
ze nekdo pouzil RC jako primarni klic v DB vyhazovalo uz v prvaku od zkousky.
z jaké školy a obori?
Název: Re:Je hashovaný údaj osobný údaj?
Přispěvatel: SB 19. 12. 2017, 13:27:55
...moje drahá nadpolovička má třeba mužské rodné číslo (místo 50 nebo 70 ji k měsíci narození přičetli jen "mužských" 20).

Tak pak ověřit, zda byla vždy ženou.
Název: Re:Je hashovaný údaj osobný údaj?
Přispěvatel: hawran diskuse 19. 12. 2017, 16:04:26
...
Ja si pamatuju doby, kdy se za to, ze nekdo pouzil RC jako primarni klic v DB vyhazovalo uz v prvaku od zkousky. Duvody proc ne tady uz byly popsany (navic cizinci nemaji RC, nebo jedna osoba muze mit vice RC). A tady se to zase donekonecna diskutuje jako doporucovane reseni.
+1⠀
Název: Re:Je hashovaný údaj osobný údaj?
Přispěvatel: CoffeeMan 19. 12. 2017, 16:25:47
Já jsem asi fakt někde nedával pozor a nebo je ten původní dotaz fakt nesmyslný. Ze zákona firma musí ukládat osobní údaje o svých zaměstnancích. Např. pro SSZ, že. Jde jen o to, aby se v tom nehrabala uklízečka.
Název: Re:Je hashovaný údaj osobný údaj?
Přispěvatel: Karel 19. 12. 2017, 16:31:34
ze nekdo pouzil RC jako primarni klic v DB vyhazovalo uz v prvaku od zkousky.
z jaké školy a obori?

ČVUT FEL, kolem roku 1996

Důvody:
1. Není unikátní. V té době byly známy stovky případů duplicity, ročníky 1954 - 1985
2. V čase se může změnit
3. Někteří lidé ho vůbec nemají (cizinci apod.)

Ještě se na vás velice špatně koukali, když jste se pokusil:
1. Ověřit formát - protože ten nebyl až tak pevný, délka se mohla lišit
2. Ověřit platnost podle kontrolního součtu - protože to v řadě případů nesedí
3. Určit zda nositel je žena nebo muž - protože se to v tisících případů použilo špatně

Obecně je to důsledek legislativy, kdy platné je rodné číslo zapsané v rodném listě. Pokud někdo udělal chybu, například vynechal číslici, spletl si číslice, ze seznamu volných rodných čísel vybral špatné, neoznačil správně použité rodné číslo atd., tak sice to rodné číslo bylo špatně, ale platilo. Co bylo na papíře, to bylo platné. Žádná centrální evidence neexistovala, takže nikdo nic neověřoval. Navíc i když se našla chyba, tak se to obvykle nechávalo tak.
Název: Re:Je hashovaný údaj osobný údaj?
Přispěvatel: Filip Jirsák 19. 12. 2017, 16:51:28
1. Ověřit formát - protože ten nebyl až tak pevný, délka se mohla lišit

Obecně je to důsledek legislativy, kdy platné je rodné číslo zapsané v rodném listě. Pokud někdo udělal chybu, například vynechal číslici, spletl si číslice, ze seznamu volných rodných čísel vybral špatné, neoznačil správně použité rodné číslo atd., tak sice to rodné číslo bylo špatně, ale platilo. Co bylo na papíře, to bylo platné. Žádná centrální evidence neexistovala, takže nikdo nic neověřoval. Navíc i když se našla chyba, tak se to obvykle nechávalo tak.
Zas až takový guláš v tom snad nebyl. Přehození číslic v části za lomítkem, špatná kontrolní číslice, duplicita, to všechno může být. Ale datum narození v rodném čísle a délka rodného čísla (9 číslic do roku 1953, 10 číslic od roku 1954) podle mne musí platit vždy.
Název: Re:Je hashovaný údaj osobný údaj?
Přispěvatel: DW 19. 12. 2017, 17:32:48
Budú to školenia pre interných zamestnancov.

Zamestnancov by ste uz mali mat jednoznacne identifikovanych, kazdy jeden software pre personalistiku ma pre kazdu osobu unikatne ID. Staci sa spytat na HR alebo mzdovej uctarni.
Název: Re:Je hashovaný údaj osobný údaj?
Přispěvatel: j 20. 12. 2017, 14:35:29
...berie sa to stále ako osobný údaj?
Ehm ... osobnim udajem je LIBOVOLNY udaj nebo soubor udaju, ktery muze identifikovat konkretni osobu nebo jejich skupinu.

Takze tim, ze neco zahashujes si vubec nepomuzes, pokud ten hash je ID ktery identifikuje konkretni osobu, je to ID samo o sobe osobnim udajem.

... když si ofotíš občanku...
Coz je trestne samo o sobe - ofotit OP si smeji (ze zakona a vyhradne se souhlasem, protoze realne to nanic nepotrebuji, potrebuji ty udaje z OP) jen vybrane organizace - napriklad banky.
Název: Re:Je hashovaný údaj osobný údaj?
Přispěvatel: apion 20. 12. 2017, 17:03:02
Rodné číslo není dobrý identifikátor, protože existují duplicity.

Ano, pry existuji. Uz jste nejakou osobne potkal? Kolik jich asi v CR bude, aby to muselo delat vrasky nekomu pro nejaka skoleni? Navic ty duplicity nejspis pochazeji z doby pred centralnim registrem, takze pokud neplanuji skoleni pro duchodce, tak to asi bude jeste mensi problem, nez by se na prvni pohled zdalo.

Duplicity RČ vznikly ze dvou důvodů, první důvod je chyba v porodnici a druhý důvod je úmysl z let 1968 a 1969. Některá RČ jsou použita i 3x. Celkem jich bylo na konci minulého roku necelých 400 a jejich počet stále klesá.

K hlavnímu dorazu: Jakýkoli údaj vedoucí k identifikaci dle zákládních registrů ROB, ROS, RPP a RÚIAN je považován naplnění zákona 101/2000 Sb a ustanovuje správce a zpracovatele těchto údajů odpovědným za splnění veškerých pozadavků zmíněného zákona. :-)

Název: Re:Je hashovaný údaj osobný údaj?
Přispěvatel: Martin Sršeň 20. 12. 2017, 21:16:19
Bolo mi povedané že sa čaká na podrobnejšie vyjadrenie právnika ohľadne celého systému takže právne detaily radšej nehám skúsenejším z tejto oblasti. Moja hlavná otázka už bola zodpovedaná (teda že hashovanie nepomáha) takže mňa už budú zaujímať len technické záležitosti okolo a prípadným výhradám právnika sa dúfam dokážem prispôsobiť :D .

Ešte raz ďakujem všetkým za odpovede a o podelenie sa o skúsenosti  :) .