GoldenLine
Zaloguj się
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Informacje o sieci bezprzewodowej i jej lokalizacji /...

O sieci WiFi (mam na myśli Access Point, czyli router bezprzewodowy) w powietrzu można się dowiedzieć:
- jej nazwy (SSID)
- jej "sprzętowego adresu" (BSSID)
Korzystając z pewnych programów (np. netstumbler) i "kręcąc się po okolicy" można określić lokalizację tej sieci (np. w budynku takim a takim, w konkretnym lokalu).

Załóżmy, że mamy takie dane:
94:0c:fe:ad:ad:d3, Neostrada_98a1, ul. Domowa 7 m. 20, Warszawa

Czy takie dane można uznać za dane osobowe? W jakich okolicznościach?Leszek K. edytował(a) ten post dnia 30.06.11 o godzinie 23:26
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Informacje o sieci bezprzewodowej i jej lokalizacji /...

A kto tu jest zidentyfikowany?
Link do wypowiedziLink
Rafał D.

Rafał D. historyk

Temat: Informacje o sieci bezprzewodowej i jej lokalizacji /...

Dokładnie, nie ma tu danych osoby tylko pomieszczenia.
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Informacje o sieci bezprzewodowej i jej lokalizacji /...

To nawet nie są dane pomieszczenia lecz urządzenia.

By nie było wątpliwości nie komputera. Choć dodam że z technicznego punktu widzenia router jest komputerem a sama funkcjonalność routera WiFi może być uruchomiona na komputerze który jest używany przez urzytkownika.

Cyzli jeżeli Pan doda do podanych przez Pana danych nazwisko i imię właściciela takiego lokalu to podane przez Pana dane bedą już danymi osobowymi.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Informacje o sieci bezprzewodowej i jej lokalizacji /...

Roman Janas:
>
Cyzli jeżeli Pan doda do podanych przez Pana danych nazwisko i imię właściciela takiego lokalu to podane przez Pana dane bedą już danymi osobowymi.

A jak właścicielem będzie podmiot gospodarczy (jednoosobowa), świadczący usługę wynajmu? ;-)

Wiem, czepiam się, ale chodzi o to, że UODO to przepis, który do oceny konkretnego przypadku wymaga naprawdę wielu informacji. Czego niestety, wiele osób nie rozumie i czasem bywają ciekawe przypadki, jak ktoś próbuje kwadraturę koła wykreślić i zabawna jest radość na zasadzie "mam cię" ;-))) Po czym... nie mam cię. ;-)))
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Informacje o sieci bezprzewodowej i jej lokalizacji /...

Panie Grzegorzu,

Brzmi to paradoksalnie ale będą lub nie będą.

Jeżeli wspmniany przez Pana jednoosobowy podmiot gospodarczy będzie zarejestrowany w tym lokalu to nie będą to dane osobowe.

Jeżeli tenże podmiot będzie zarejestrowany w innym lokalu a dany lokal będzie mu udostępniony na podstawie umowy (pisemnej lub ustnej) to to już będą dane osobowe.

Wbrew pozorom wcale się Pan nie czepia a przypadek rzeczywiście jest interesujący.

Zawsze podkreślam,że to czy konkretne dane są danymi osobowymi czy nie zależy od kontekstu w jakim występują i trzeba o tym pamiętać. W przypadku danych osobowych poza nielicznymi wbrew pozorom wyjątkami wszystko jest szare a nie czarne i białe.
Link do wypowiedziLink
Wojciech Rafał Wiewiórowski

Wojciech Rafał Wiewiórowski Zastępca
Europejskiego
Inspektora Ochrony
Danych i Adiunk...

Temat: Informacje o sieci bezprzewodowej i jej lokalizacji /...

Witam

Problem jest dyskutowany od dawna i jest jednym z tematów opinii GR art 29 w sprawie usług geolokalizacyjnych w inteligentnych urządzeniach przenośnych. Oczywiście nie jest ona wiążąca, ale daje sporo wskazówek. Zachęcam do jej przeczytania (http://www.giodo.gov.pl/1520110/id_art/4150/j/pl/).

Upraszczając - przyjmuje się, że dane o sieci WiFi mogą być danymi osobowymi i jeśli są zbierane należy je traktować tak jakby były danymi osobowymi aż do momentu jednoznacznego ustalenia, że dla danego administratora danych nie mogą one stać się danymi osobowymi i nie będą transfereowane do podmiotów, które w dane osobowe mogą je przekształcić.

Wojciech Wiewiórowski
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Informacje o sieci bezprzewodowej i jej lokalizacji /...

Witam.

Przepraszam, że wtrące swoje trzy grosze. Wi-Fi to nie jest dostęp do Internetu lecz zestaw standardów stworzonych do budowy bezprzewodowych sieci komputerowych jak to zostało napisane na stronach GIODO. Internet to jest tylko jedna z sieci do których można mieć dostęp za pośrednictwem urządzeń z zaimplementowanymi standardami Wi-Fi.

Co do opini to jest ona bardzo interesująca. Przedewszystkim dlatego, że chyba po raz pierwszy zamiast mówić o adresie IP pisze się od adresie MAC. O ile IP nie jest unikalne i traktowanie tego adresu jako danej osobowej jest dyskusyjne i zależne od kilku niuansów, to MAC adres jest rzeczywiście unikalnym parametrem i jak najbarziej powinien być, w przypadku sprzętu osób fizycznych traktowany jako dana osobowa.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Informacje o sieci bezprzewodowej i jej lokalizacji /...

Hmmm...

Rozumiem, że dane osobowe będą w rozumieniu danych znajdujących się w posiadaniu producenta oprogramowania, pod warunkiem, że dotyczyć będą danych zidentyfikowanej osoby.

Wydaje mi się, że w przeciwnym razie możemy mówić o nadmiernych kosztach. Skąd usługodawca usług geolokalizacyjnych będzie wiedział, że urządzenie o danym mac adresie jest moje?

Nadal mi się wydaje, że w tym przypadku będzie w posiadaniu informacji (nie tylko danych) które urządzenie, w którym miejscu i w którym czasie się znajdowało.

Jeśli się mylę - proszę mnie wyprowadzić z błędu, wskazując który z elementów definicji danych osobowych będzie wyczerpywać taki zestaw informacji.

Przypominam, że ADO abonentów (np operatorzy) odpowiadają za przetwarzanie danych osobowych gromadzonych np w związku ze świadczeniem usług telekomunikacyjnych, a informacje o tym, komu będą je powierzać, czy przekazywać - powinny się znaleźć we wniosku rejestracyjnym. Jakoś trudno mi znaleźć cel w którym mogą sobie tak przekazywać to info - może ktoś ma pomysł?

Druga kwestia - IP i MAC.

Pozwolę sobie wyrazić pewną wątpliwość.

W przypadku stałego IP, czy MAC, o które opierają się dostepy do sieci, mam wrażenie, że dotyczą osoby będącej stroną umowy. Co wcale nie oznacza, że są to dane osoby korzystającej z netu. A w przypadku, gdy to ja wynajmuję mieszkanie, pozyskanie danych osobowych wymaga chyba uzyskania ich ode mnie... A ja ich nie dam, chyba że prokurator mi nakaże. W związku z tym, znowu chyba nadmierna trudność lub ewentualnie w drodze przestepstwa...

Tak sobie dywaguję.
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Informacje o sieci bezprzewodowej i jej lokalizacji /...

Usługi geolokalizacyjne usługi pozwalajace na identyfikację położenia geograficznego urządenia korzystającego z sieci bezporzewodowej. Nie muszą to być urządzenia stacjonarne (jak routery WiFi czy Access Point-y) lecz np. telefony komórkowe, laptopy, itp.

Pośrednio operatorami tego tyu usług są operatorzy telefoni komurkowej i operatorzy bezprzewodowego dostęp do sieci (nie tylko Internetu).

W przypadku operatorów telefoni kmórkowej sami podpisując umowę z operatorem podajemy mu swoje dane osobowe. Do podanych danych operator, aby móc świadczyć usługę dokłada numer telefonu (unikalny na terenie kraju) i numer IAMA (mogłem pomylić nazwę, coś w rodzaju MAC adresu) aparatu. W konsekwekcji ma informacje pozwalające zlokalizować gdzie przebywa osoba fizyczna (oczywiście nie sama osoba lecz jej telefon i jeżeli aparat jest włączony). Podobnie jest w przypadku laptopa podłączającego się do sieci bezprzewodowej. Tutaj również jest umowa od dostęp do sieci.

Z rachunku prawdopodobieństwa wynika, że zarówno przypadku telefonu jak w przyapdku laptoa na "końcu" będzie osoba która podpisała umowę.

Oczywiście nie dotyczy to sprzętu firmowego choć nie zawsze.Roman Janas edytował(a) ten post dnia 14.09.11 o godzinie 19:55
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Informacje o sieci bezprzewodowej i jej lokalizacji /...

IMEI.;-))

Tylko skąd założenie, że na końcówce jest dana osoba? Kto mi broni posiadać 5 nr-ów telefonów (mam 6 i nikt nie wyrwie ode mnie, kto posiada który, bez nakazu proroka)? Jeden dam babci, drugi tacie, trzeci córce, a dwa moje...

Co do IP, korzystam z neo, vectry, czy netii - mam dynamiczne IP. Zmienia się raz na 24 h. Dostęp do informacji, który abonent używał którego IP w określonym czasie jest ograniczony do jeszcze bardziej ograniczonego kręgu pracowników operatora.

MAC adres - podobnie.

Dostęp do informacji IDENTYFIKUJĄCYCH abonenta - to dostęp dla pracowników operatora. Oznacza to moim zdaniem, że danymi osobowymi będzie to tylko dla operatora (ADO), który ma przecież swoje obowiązki.

Podobnie z danymi dotyczącymi ZIDENTYFIKOWANEJ osoby - tez tylko operator i jego pracownicy.

Ale tak jest praktycznie ze wszystkimi danymi osobowymi.

Idąc dalej w gąszcz (mój profesor prawa), PESEL, CEPIK. Miałem do nich dostęp w administracji publicznej. Czyli danymi osobowymi były informacje o osobach umieszczonych w tych bazach (praktycznie każdy, kto ma obywatlestow) ale mówienie, ze ogólnie PESEL jest daną osobową uważam za nadużycie.

Bo ja wprowadzę do PESLA dane i za chwilę wiem, kto to jest. Ale normalny człowiek, obywatel wolnego państwa? A jak? Kto mu da wstęp w strefę, kto mu da id, login, hasło???

Znowu podywagowałem... Ale kłócę się od połowy pierwszej kadencji pani Kuleszy ,więc już sobie pozwalam ;-)))
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Informacje o sieci bezprzewodowej i jej lokalizacji /...

A. i zapomniałem. Stanowisko moje opieram o zapis o nadmiernych kosztach. W większości przypadków które opisałem, dostęp zwykłego obywatela oznaczałby popełnienie przestępstwa. Albo ze strony "właściciela" informacji, albo tego, który uzyskał dostep.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Informacje o sieci bezprzewodowej i jej lokalizacji /...

Jeszcze jedna rzecz panie Romanie.

Jak pan wyłączy aparat, wcale nie przestaje być pan "widoczny". A czasem nawet "słyszalny". Proszę wyjąc podtrzymanie zasilania. Bo z czegoś przecież system startuje, z określonymi ustawieniami.

Prawda? ;-)))

Dlatego jak zabezpieczam ważne konferencje jest depozyt. I jak to mówia indianie - sorry winetou...
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Informacje o sieci bezprzewodowej i jej lokalizacji /...

Uff. To dopiero włożyłem kij w mrowisko.

Postaram się po kolei.
Grzegorz K.:
IMEI.;-))

Tylko skąd założenie, że na końcówce jest dana osoba? Kto mi broni posiadać 5 nr-ów telefonów (mam 6 i nikt nie wyrwie ode mnie, kto posiada który, bez nakazu proroka)? Jeden dam babci, drugi tacie, trzeci córce, a dwa moje...

Na rodzinę nic nie poradzę, przykład włoskiej mafii będzie tu odpowiedni bo to przecież też rodzina. Ale jeżeli chodzi o zwykłego obywatela i umowę nie firmową to dwa i to u różnych operatorów to już chyba nadmiar szczęścia. Stąd z rachunku prawdopodobieństwa (w przypadku bezpieczeństwa abstrakcję też się go stosuje) wynika, że mamy 50% szans (przy jednym aparacie nawet 100% oczwiście jeżeli nie zafundowaliśmy aparatu narzczonej lub nie żonie) że na końcu jest dana osoba. Patrząc na mołodzierz powiedziałbym nawet że 100%.
Co do IP, korzystam z neo, vectry, czy netii - mam dynamiczne IP. Zmienia się raz na 24 h. Dostęp do informacji, który abonent używał którego IP w określonym czasie jest ograniczony do jeszcze bardziej ograniczonego kręgu pracowników operatora.

MAC adres - podobnie.

Co do IP to jstem gotów się zgodzić choć wcale nie jestem w 100% pewien. Ale to "rozmowa" na inny wątek. Natomias w przypadku MAC, i tu już poważnie, niestety nie. Adres MAC i inne adresy tego typu nie zmieniają się. To są adresy statyczne "przywiązane" na stałe dokładnie do karty sieciowej, niezależnie od rodzaju wykorzystywanej sieci i protokołu. Oczywiście można taki adres zmienić ale to trzeba zrobić ręcznie i świadomie przez urzytkownika. Operacja taka może zakończyć się zablokowaniem urządzenia.
Dostęp do informacji IDENTYFIKUJĄCYCH abonenta - to dostęp dla pracowników operatora.
Podobnie z danymi dotyczącymi ZIDENTYFIKOWANEJ osoby - tez tylko operator i jego pracownicy.

Tu bym się nie zgodził. Podobnie z nadmiarem kosztów. Wbrew pozorom dane takie dość łatwo uzyskać bezpośrednio lub pośrednio. Ponieważ rozmawiamy publicznie nie będę się wgłębiał w temat. Co prawda zwykły obywatel będzie miał problemy z dostępem do danych ale młodzierz chyba już nie do końca. To są naprawdę zdolni i inteligentni ludzie. Ponadto sam bywałem ofiarą zabezpieczenia danych przez operatora.

Co do wyłączenia to ma Pan jak nabardziej rację. Użyłem pewnego rodzaju skrótu. I w pełni się zgadzam, że w przypadku ważnych spotkań należy pozbawić uczestników telefonów komórkowych. Poszedłm bym jednak dalej, pozbawiłbym ich wszelkich przenośnych urządzeń elektronicznych (telefony, smartfony, terminale blackberry, laptopy, tbalety itp., itd.). Dodatkowo włączyłbym zagłuszarkę w pomieszczeniu w którym odbywa się spotkanie. I piszę to naprawdę zupełnie serio.

Określenie "telefon" jako "jedyne" urządzenie do prowadzenie rozmów (jakkolwiek rozumiemy to słowo) telefonicznych dawno już się zdewaluowało. Podobnie jak to, że do połączeń telefonicznych używamy kabla.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Informacje o sieci bezprzewodowej i jej lokalizacji /...

Panie Romanie, w skrócie, bo malutko czasu. Mam za pleckami taki jeden sukcesik i jakoś odpocząc trzeba.

Młodzież, nawet ja, czy ktokolwiek inny może poznać parę IP - nazwisko, czy nr telefon - abonent. Ale mam wrażenie, że zrobi to wypełniając znamiona jednego z czynów okreslonych w rozdziale XXXIII KK.

A to chyba nie jest istotą danych- dane zebrane z naruszeniem prawa...

W tym przypadku nadal pozostanę na stanowisku, że będą to dane osobowe dla operatorów, którzy z tego numeru indywidualnego korzystają do świadczenia usług.

Co do MAC adresu... Panie Romanie, ja mam router ze sklonowanym MAC jednej ze stacji roboczych ;-)))
Link do wypowiedziLink
Roman Janas

Roman Janas Tech. Sup. & Opr.
Supervisor, Amway
Polska Sp. z o.o.

Temat: Informacje o sieci bezprzewodowej i jej lokalizacji /...

Panie Grzegorzu,

Co do KK to się jak najbardziej zgadzam. Jeżeli chodzi o dane to stwierdzam tylko, że to są dane osobowe bez wnikania dla kogo i kto administruje.

Co do patentu z MAC adresem to gratuluję pomysłu. Ale to do końca nie rozwiązuje problemu a może (nie musi i najczęściej tego nie robi) generować jednak pewne problemy. Ale to juz "inna bajka" i trzeba by było długiego wykładu ze szczegułami technicznymi.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Informacje o sieci bezprzewodowej i jej lokalizacji /...

Pozyskanie danych na drodze przestępstwa moim zdaniem wyklucza z automatu "podległość" pod ustawę o ochronie danych osobowych.

A co do mac - ja nic nie kombinowałem. ;-)))

Standardowa opcja obecnie sprzedawanych routerów. Właśnie dlatego, że wiele usług już nie tylko na IP, ale właśnie na MAC są oparte. I elastyczność wymusiła zastosowanie rozwiązania programowego umożliwiającego zmianę teoretycznie "stałego" adresu sprzętowego.
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Informacje o sieci bezprzewodowej i jej lokalizacji /...

A propos MAC'ów - np. VirtualBox pozwala na ustawienie dowolnego MAC na interfejsie karty sieciowe. MAC to nie VIN ani numer dowodu osobistego - można go zmienić ;)
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Informacje o sieci bezprzewodowej i jej lokalizacji /...

A jak maszyna gościa jest widziana? Jako samodzielna? To jakiś dodatek, z pakietów oracla, czy open?
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Informacje o sieci bezprzewodowej i jej lokalizacji /...

Może podam link - http://www.virtualbox.org/. To darmowe rozwiązanie Oracle'a, można potestować :) Polecam!
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj