sztucznie dodawane konta sql

pytanie zadane 29 maja 2024 w Nasze projekty przez niezalogowany

powiedzmy ze chce zrobic pewien anonimowy serwis w którym bedzie administracja ale chce dodawac konta administratorów do sql dodawac sztucznie czy wtedy dane bedą przetwarzane i gromadzione czy nie ? chodzi o to ze sam dodam do sql takie konto i bedzie opcja logowania dla administracji ale nie bedzie opcji rejestracji

komentarz 29 maja 2024 przez adrian17 Mentor (354,120 p.)

Tu raczej nikt Ci kompetentnie prawnie nie odpowie, musiałbyś zapytać specjalistę.

Natomiast gdybym ja był w takiej sytuacji, to moje rozumowanie by było:

Czy w bazie adminów jest samo login+hasło? Jak tak to z natury tutaj żadnych wrażliwych danych osobowych nie ma (chyba że osoba nieuprawniona z dostępem do konta admina może go jakoś użyć by dalej naruszyć czyjąś prywatność).

Jeśli jest tam np email, to z natury przechowujesz dane osobowe (tylko nie userów). Możesz zadać sobie pytanie: "czy gdyby ktoś się włamał i zrobił wyciek zawartości bazy danych, to czy to byłby problem dla prywatności osób w tej bazie?".

1	komentarz 29 maja 2024 przez niezalogowany no ok

1	komentarz 29 maja 2024 przez niezalogowany mysle ze albo nick+hasło+ranga albo nick+hasło+ranga+email cos takiego

1	komentarz 29 maja 2024 przez niezalogowany @adrian17, co do wycieku nick no jest i tak publiczny hasło jest zahasowane ranga to tez publiczna a email to za bardzo nie wiem czy to by naruszyło ale moze

1	komentarz 29 maja 2024 przez niezalogowany ale rodo to na to tak nie patrzy niestety

3 odpowiedzi

odpowiedź 1 czerwca 2024 przez Wiciorny Ekspert (281,390 p.)

W kwesti rodo :
mogą się znaleźć takie imiona i nazwiska, trzeba umiejętnie czytać to co w kodeksie jest napisane

Przepis art. 4 ust. 1 rozporządzenia wskazuje jedynie, że dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

Po imieniu i nazwisku nie jesteś wstanie jednoznacznie zidentyfikować osobę, gdyż imiona i nazwiska się powielają. wiele osób ma to samo Imie i nazwisko nawet.

Dlatego w świetle tworzenia "danych fejkowych" można korzystać z Imion i nazwisk wymyślonych, lub generowanych.

PESEL jest już np. daną wrażliwą.

Dodatkowo sama informacja jest

W związku z tym w zdecydowanej większości przypadków takie informacje jak samo imię, nazwisko, pełnione stanowisko w pracy, stopień naukowy czy numer konta bankowego nie będą traktowane jako dane osobowe, gdyż pozostają bez związku z konkretną osobą fizyczną.

źrdóło GOV: RODO_GOV

komentarz 1 czerwca 2024 przez adrian17 Mentor (354,120 p.)

Po imieniu i nazwisku nie jesteś wstanie jednoznacznie zidentyfikować osobę, gdyż imiona i nazwiska się powielają. wiele osób ma to samo Imie i nazwisko nawet.

Co, nie.

Szybka kontra: https://commission.europa.eu/law/law-topic/data-protection/reform/what-personal-data_en

Examples of personal data:

- a name and surname

- an email address such as name.surname@company.com;

Twój argument że "wiele osób ma to samo Imie i nazwisko, więc to nie identyfikuje jednoznacznie", równie dobrze można by użyć by argumentować że mój adres nie jest danymi osobowymi, bo mieszka pod nim wiele osób ;) W praktyce AFAIK wystarczy by dane choćby częściowo pomagały w zidentyfikowaniu osoby, by się liczyły jako osobowe.

Natomiast autor pytania nie pytał bezpośrednio o imiona i nazwiska, tylko po prostu o bazę kont adminów. Jeśli nie ma w niej imion, maili etc, albo są maile ale w jakiś sposób zagwarantowałeś że wszystkie są "anonimowe", to faktycznie RODO się taką bazą nie interesuje.

komentarz 2 czerwca 2024 przez Wiciorny Ekspert (281,390 p.)

no i dokładnie nie, przykład danych osobowych jest uwzględniony jako cały zestaw wspomniany przez Unię, nie jesteś wstanie zidentyfikować osoby po Imieniu i nazwisku, niby jak, to sie tyczy przetwarzania danych - co podkreśliłem, a nie np. instytucji i urzędów, gdzie osoba rejestruje się pełnym zestawem danych Imię, nazwisko dodatkowo adres zamieszkania i pesel.
|
Według ustawy RODO na dzień dzisiejszy w Polsce z dyrektywy unijnej
Co to zasady imię i nazwisko nie powiązane z innymi informacjami nie będzie danymi osobowymi. Dlaczego?

W przeważającej ilości przypadków nie będzie możliwe wskazanie konkretnej osoby, ponieważ takie samo imię i nazwisko może nosić kilkadziesiąt, bądź kilkaset osób.

Na bazie samego imienia i nazwiska trudno mówić o możliwej do zidentyfikowania osobie fizycznej.Przykładem będzie często spotykane i bardzo popularne imiona i nazwiska jak np. Jan Kowalski, Adam Nowak itp. Zidentyfikowanie osoby o takim imieniu i nazwisku byłoby trudne i czasochłonne.

I to wiem z autospji, bo już powiedzmy, miałem sprawę prawną o to. (przegrałem i też to Ci powie każda kancelaria prawna)

To co jest napisane na w/.w stronie również to potwierdza gdyż unia, mówiąc "dane osobowe" traktuje to co wylistowane jako pełen zestaw danych osobowych, które całościowo stanowią możliwość identyfikacji.
"pojedyncze informacje, ale odpowiednio zestawione stają się danymi "

W definicji z RODO wyraźnie wskazano imię i nazwisko. Nie oznacza to jednak, że w każdym przypadku imię i nazwisko stanowi dane osobowe. Wszystko zależy od tego, czy informacje te wystarczą do zidentyfikowania osoby fizycznej. Nie sposób stwierdzić to bez analizy konkretnego przypadku
żródło
I jakoś PARP do mnie bardziej przemawia :) szczególnie że jak mówię, sprawę sądową już o to miałem, przegrałem.

komentarz 2 czerwca 2024 przez adrian17 Mentor (354,120 p.)
edycja 2 czerwca 2024 przez adrian17

nie jesteś wstanie zidentyfikować osoby po Imieniu i nazwisku, niby jak, to sie tyczy przetwarzania danych

W przeważającej ilości przypadków nie będzie możliwe wskazanie konkretnej osoby, ponieważ takie samo imię i nazwisko może nosić kilkadziesiąt, bądź kilkaset osób.

Kluczowe tutaj jest z uchwały

an identifiable natural person is one who can be identified, directly or indirectly

To że technicznie imię i nazwisko nie identyfikuje w 100%, nie oznacza że nie pomaga (i to znacząco) pośrednio w identyfikacji. Nikt nie powiedział że baza się tylko liczy jeśli używając tylko tej jednej bazy da się zidentyfikować osobę. Z tego samego powodu, jeszcze bardziej zgrubne dane jak samo miasto zamieszkania lub kod pocztowy też może być traktowane jako dane osobowe.

Dodatkowy kontekst bezpośrednio z motywu preambuły RODO, czyli to nie jest niczyja interpretacja:

Personal data which have undergone pseudonymisation, which could be attributed to a natural person by the use of additional information should be considered to be information on an identifiable natural person

Zgadza się że w wszystko zależy od kontekstu i szczegółów. Nie wiem jak wyglądała Twoja sprawa sądowa ale osobiście bym się nie zdziwił gdyby istniały podobne sprawy przesądzone w drugą stronę.

EDIT: plus: RODO się interesuje osobistymi danymi osób w ogólności, a nie tylko PII (danymi identyfikującymi). Więc w zasadzie to, czy imię i nazwisko pozwala zidentyfikować, nie jest nawet koniecznie ważne; jeśli usera da się zidentyfikować w dowolny inny sposób, to imię z natury jest informacją związaną z fizyczną osobą. (natomiast to jest czysto akademickie rozważanie, bo jasne że imię i nazwisko pomaga zidentyfikować usera)

EDIT2: Doczytałem co PARP pisze i z mojego punktu widzenia to się nie zgadza z jakąkolwiek wcześniej czytaną przeze mnie interpretacją. EDIT3: zgadzam się z interpretacją comandeera niżej.

komentarz 2 czerwca 2024 przez Comandeer Guru (607,060 p.)

@Wiciorny, ale ten cytat z PARP wcale nie potwierdza tego, o czym piszesz. W cytacie jest wylistowanie pojedynczych danych:

samo imię, nazwisko, pełnione stanowisko w pracy, stopień naukowy czy numer konta bankowego

Tam nie ma "imienia i nazwiska", ale odrębnie "imię" i odrębnie "nazwisko". Wg tego cytatu Jan nie jest daną osobową, Kowalski nie jest daną osobową, ale Jan Kowalski już tak (a przynajmniej: cytat takiego połączenia nie uwzględnia).

Co więcej, przykład tuż pod tym cytatem wyraźnie pokazuje, że chodzi o imię w oderwaniu od nazwiska:

Marcin, blondyn, sprzedawca, kredytobiorca, właściciel kota, ojciec… – żadna z tych informacji występująca osobno i bez zestawienia jej z inną nie będzie zaliczana do danych osobowych. Jest bowiem bardzo wielu mężczyzn noszących imię Marcin, niejeden klient spłaca kredyt, nie brakuje też tych, którzy mają koty itd.

odpowiedź 29 maja 2024 przez Karol Belka Obywatel (1,140 p.)

Tak, można tak zrobić.

INSERT INTO `table_t` VALUES(null, "admin50", "password50");

I teraz być może w php, if($a x $b y)....

Trzeba sprawdzić ważność tekstu i w odpowiedzi na logiczny warunek dać dostęp osobie i wszystkie funkcje, struktury należące do administratorów.

1	komentarz 29 maja 2024 przez niezalogowany ach naprawde jestem tak nie czytelny?

1	komentarz 29 maja 2024 przez niezalogowany pytam sie czy w takiej sytuacji zostanie uznane to za przetwarzanie danych osobowych

2	komentarz 29 maja 2024 przez adrian17 Mentor (354,120 p.) To trzeba było napisać że pytasz o RODO, bo to najważniejsza część :P A to że wspomniałeś SQL to w ogóle nas wprowadziło w błąd że pytasz o implementację

1	komentarz 29 maja 2024 przez niezalogowany aha wybacz

odpowiedź 1 czerwca 2024 przez AnimaVillis Stary wyjadacz (13,470 p.)

Więc tak jeżeli chodzi o kwestie RODO to loginy nie mogą zawierać danych personalnych czyli nie mogą być w formie jakubnowak oraz maile na które będziesz zakładał takie konta nie mogą posiadać imienia i nazwiska czyli przykładowo jakub.nowak@gmail.com.

Czytaj tutaj: https://poradnikprzedsiebiorcy.pl/-rodo-czyli-jakie-dane-podlegaja-ochronie-danych-osobowych

Artykuł dosyć fajnie przedstawia temat RODO tak w skrócie.

Pokaż 10 poprzednich komentarzy

komentarz 2 czerwca 2024 przez niezalogowany

no ja tez tak mysle

komentarz 2 czerwca 2024 przez niezalogowany

@adrian17, a tak w ogole czy moje rozumowanie jest poprawne ?.jesli zrobie baze danych gdzie bedą hasła ale nie userów a np do danego swiata .to nie są dane osobowe . tak?