sztucznie dodawane konta sql

Question

powiedzmy ze chce zrobic pewien anonimowy serwis w którym bedzie administracja ale chce dodawac konta administratorów do sql dodawac sztucznie  czy wtedy dane bedą przetwarzane i gromadzione czy nie ? chodzi o to ze sam dodam do sql takie konto i bedzie opcja logowania dla administracji ale nie bedzie opcji rejestracji

Comments

Tu raczej nikt Ci kompetentnie prawnie nie odpowie, musiałbyś zapytać specjalistę.

Natomiast gdybym ja był w takiej sytuacji, to moje rozumowanie by było:

Czy w bazie adminów jest samo login+hasło? Jak tak to z natury tutaj żadnych wrażliwych danych osobowych nie ma (chyba że osoba nieuprawniona z dostępem do konta admina może go jakoś użyć by dalej naruszyć czyjąś prywatność).

Jeśli jest tam np email, to z natury przechowujesz dane osobowe (tylko nie userów). Możesz zadać sobie pytanie: "czy gdyby ktoś się włamał i zrobił wyciek zawartości bazy danych, to czy to byłby problem dla prywatności osób w tej bazie?".

---

no ok

---

mysle ze albo nick+hasło+ranga albo nick+hasło+ranga+email cos takiego

---

@adrian17,  co do wycieku nick no jest i tak publiczny hasło jest zahasowane ranga to tez publiczna a email to za bardzo nie wiem czy to by naruszyło ale moze

---

ale rodo to na to tak nie patrzy niestety

Answer 1

W kwesti rodo : 
mogą się znaleźć takie imiona i nazwiska, trzeba umiejętnie czytać to co w kodeksie jest napisane 
 

Przepis art. 4 ust. 1 rozporządzenia wskazuje jedynie, że dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

Po imieniu i nazwisku nie jesteś wstanie jednoznacznie zidentyfikować osobę, gdyż imiona i nazwiska się powielają. wiele osób ma to samo Imie i nazwisko nawet. 

Dlatego w świetle tworzenia "danych fejkowych" można korzystać z Imion i nazwisk wymyślonych, lub generowanych. 

PESEL jest już np. daną wrażliwą. 

Dodatkowo sama informacja jest 

W związku z tym w zdecydowanej większości przypadków takie informacje jak samo imię, nazwisko, pełnione stanowisko w pracy, stopień naukowy czy numer konta bankowego nie będą traktowane jako dane osobowe, gdyż pozostają bez związku z konkretną osobą fizyczną.

źrdóło GOV: RODO_GOV 

Comments

Po imieniu i nazwisku nie jesteś wstanie jednoznacznie zidentyfikować osobę, gdyż imiona i nazwiska się powielają. wiele osób ma to samo Imie i nazwisko nawet. 

Co, nie.

Szybka kontra: https://commission.europa.eu/law/law-topic/data-protection/reform/what-personal-data_en

Examples of personal data:

- a name and surname

- an email address such as name.surname@company.com;

Twój argument że "wiele osób ma to samo Imie i nazwisko, więc to nie identyfikuje jednoznacznie", równie dobrze można by użyć by argumentować że mój adres nie jest danymi osobowymi, bo mieszka pod nim wiele osób ;) W praktyce AFAIK wystarczy by dane choćby częściowo pomagały w zidentyfikowaniu osoby, by się liczyły jako osobowe.

Natomiast autor pytania nie pytał bezpośrednio o imiona i nazwiska, tylko po prostu o bazę kont adminów. Jeśli nie ma w niej imion, maili etc, albo są maile ale w jakiś sposób zagwarantowałeś że wszystkie są "anonimowe", to faktycznie RODO się taką bazą nie interesuje.

 

---

no i dokładnie nie, przykład danych osobowych jest uwzględniony jako cały zestaw wspomniany przez Unię, nie jesteś wstanie zidentyfikować osoby po Imieniu i nazwisku, niby jak, to sie tyczy przetwarzania danych - co podkreśliłem, a nie np. instytucji i urzędów, gdzie osoba rejestruje się pełnym zestawem danych Imię, nazwisko dodatkowo adres zamieszkania i pesel.
|
Według ustawy RODO na dzień dzisiejszy w Polsce z dyrektywy unijnej
Co to zasady  imię i nazwisko nie powiązane z innymi informacjami nie będzie danymi osobowymi. Dlaczego?
 

W przeważającej ilości przypadków nie będzie możliwe wskazanie konkretnej osoby, ponieważ takie samo imię i nazwisko może nosić kilkadziesiąt, bądź kilkaset osób.

 

Na bazie samego imienia i nazwiska trudno mówić o możliwej do zidentyfikowania osobie fizycznej.Przykładem będzie często spotykane i bardzo popularne imiona i nazwiska jak np. Jan Kowalski, Adam Nowak itp. Zidentyfikowanie osoby o takim imieniu i nazwisku byłoby trudne i czasochłonne.

I to wiem z autospji, bo już powiedzmy, miałem sprawę prawną o to. (przegrałem i też to Ci powie każda kancelaria prawna)

To co jest napisane na w/.w stronie również to potwierdza gdyż unia, mówiąc "dane osobowe" traktuje to co wylistowane jako pełen zestaw danych osobowych, które całościowo stanowią możliwość identyfikacji. 
  "pojedyncze informacje, ale odpowiednio zestawione stają się danymi "

W definicji z RODO wyraźnie wskazano imię i nazwisko. Nie oznacza to jednak, że w każdym przypadku imię i nazwisko stanowi dane osobowe. Wszystko zależy od tego, czy informacje te wystarczą do zidentyfikowania osoby fizycznej. Nie sposób stwierdzić to bez analizy konkretnego przypadku
żródło
I jakoś PARP do mnie bardziej przemawia :) szczególnie że jak mówię, sprawę sądową już o to miałem, przegrałem. 

---

nie jesteś wstanie zidentyfikować osoby po Imieniu i nazwisku, niby jak, to sie tyczy przetwarzania danych

W przeważającej ilości przypadków nie będzie możliwe wskazanie konkretnej osoby, ponieważ takie samo imię i nazwisko może nosić kilkadziesiąt, bądź kilkaset osób.

Kluczowe tutaj jest z uchwały

 an identifiable natural person is one who can be identified, directly or indirectly

To że technicznie imię i nazwisko nie identyfikuje w 100%, nie oznacza że nie pomaga (i to znacząco) pośrednio w identyfikacji. Nikt nie powiedział że baza się tylko liczy jeśli używając tylko tej jednej bazy da się zidentyfikować osobę. Z tego samego powodu, jeszcze bardziej zgrubne dane jak samo miasto zamieszkania lub kod pocztowy też może być traktowane jako dane osobowe.

Dodatkowy kontekst bezpośrednio z motywu preambuły RODO, czyli to nie jest niczyja interpretacja:

Personal data which have undergone pseudonymisation, which could be attributed to a natural person by the use of additional information should be considered to be information on an identifiable natural person

Zgadza się że w wszystko zależy od kontekstu i szczegółów. Nie wiem jak wyglądała Twoja sprawa sądowa ale osobiście bym się nie zdziwił gdyby istniały podobne sprawy przesądzone w drugą stronę.

EDIT: plus: RODO się interesuje osobistymi danymi osób w ogólności, a nie tylko PII (danymi identyfikującymi). Więc w zasadzie to, czy imię i nazwisko pozwala zidentyfikować, nie jest nawet koniecznie ważne; jeśli usera da się zidentyfikować w dowolny inny sposób, to imię z natury jest informacją związaną z fizyczną osobą. (natomiast to jest czysto akademickie rozważanie, bo jasne że imię i nazwisko pomaga zidentyfikować usera)

EDIT2: Doczytałem co PARP pisze i z mojego punktu widzenia to się nie zgadza z jakąkolwiek wcześniej czytaną przeze mnie interpretacją. EDIT3: zgadzam się z interpretacją comandeera niżej.

---

@Wiciorny, ale ten cytat z PARP wcale nie potwierdza tego, o czym piszesz. W cytacie jest wylistowanie pojedynczych danych: 

samo imię, nazwisko, pełnione stanowisko w pracy, stopień naukowy czy numer konta bankowego

Tam nie ma "imienia i nazwiska", ale odrębnie "imię" i odrębnie "nazwisko". Wg tego cytatu Jan nie jest daną osobową, Kowalski nie jest daną osobową, ale Jan Kowalski już tak (a przynajmniej: cytat takiego połączenia nie uwzględnia).

Co więcej, przykład tuż pod tym cytatem wyraźnie pokazuje, że chodzi o imię w oderwaniu od nazwiska:

Marcin, blondyn, sprzedawca, kredytobiorca, właściciel kota, ojciec… – żadna z tych informacji występująca osobno i bez zestawienia jej z inną nie będzie zaliczana do danych osobowych. Jest bowiem bardzo wielu mężczyzn noszących imię Marcin, niejeden klient spłaca kredyt, nie brakuje też tych, którzy mają koty itd.

 

Answer 2

Tak, można tak zrobić.

INSERT INTO `table_t` VALUES(null, "admin50", "password50");

I teraz być może w php, if($a x $b y)....

Trzeba sprawdzić ważność tekstu i w odpowiedzi na logiczny warunek dać dostęp osobie i wszystkie funkcje, struktury należące do administratorów.

Comments

ach naprawde jestem tak nie czytelny?

---

pytam sie czy w takiej sytuacji zostanie uznane to za przetwarzanie danych osobowych

---

To trzeba było napisać że pytasz o RODO, bo to najważniejsza część :P A to że wspomniałeś SQL to w ogóle nas wprowadziło w błąd że pytasz o implementację

---

aha wybacz

Answer 3

Więc tak jeżeli chodzi o kwestie RODO to loginy nie mogą zawierać danych personalnych czyli nie mogą być w formie jakubnowak oraz maile na które będziesz zakładał takie konta nie mogą posiadać imienia i nazwiska czyli przykładowo jakub.nowak@gmail.com. 

Czytaj tutaj: https://poradnikprzedsiebiorcy.pl/-rodo-czyli-jakie-dane-podlegaja-ochronie-danych-osobowych

Artykuł dosyć fajnie przedstawia temat RODO tak w skrócie.

Comments

Dodałem w sumie odpowiedź, ale to co piszesz nie jest prawdą.
Jakubnowak jak i jakub.nowak@gmail.com takie emaile można używać jako dane fejkowe i nie podlegają one RODO i to pisze na stronie której podlinkowane.

Nie pozwalają one na identyfikowanie osoby, bo jest wiele osób o tym samym imieniu i nazwisku. Masz nawet taką informacje na GOV... 
https://www.parp.gov.pl/component/content/article/81206:rodo-zabrania-przetwarzania-czyli-o-niektorych-nieporozumieniach-z-obszaru-ochrony-danych-osobowych#:~:text=W%20zwi%C4%85zku%20z%20tym%20w,zwi%C4%85zku%20z%20konkretn%C4%85%20osob%C4%85%20fizyczn%C4%85.

---

Ja chyba myślę że to właśnie dane osobowe ale się nie znam

---

@Wiciorny, dane podlegające pod rodo to każde dane zezwalające na identyfikację osoby w tym również maile z imieniem i nazwiskiem bardzo płytko podszedłeś do tematu i nie wprowadzaj człowieka w błąd bo konsekwencje tego mogą być bardzo nieprzyjemne.

---

nie, akurat miałem sprawę sądową o to, moje imie i nazwisko zostało użyte w agendzie oraz w reklamie prezentacji pewnego wydarzenia w IT, dotyczącego JAVY, i przegrałem gdyż, Imię i nazwisko nie obowiązuje do ochrony danych osobowych  :) jeśli jednoznacznie nie mogą Cię na tej podstawie zidentyfikować.

I sorry, ale przemawia do mnie dyrektywa na stronie rządu i nawet informacje umieszone na oficjalnej stronie danych osobowych, gdzie jasno wyjaśniają dlaczego samo imie i nazwisko w takim kontekście jak przetwarzanie danych internetowych nie podlega RODO.

Wszystkie "same pojedyncze dane", mogą totalnie nie podlegać rodo tym bardziej jeśli mowa o tworzeniu fejkowych danych do serwisów. Bo nie mają one nawet kontekstu.

i mówię to tylko dlatego, że sam tak twierdziłem jak "Ty" i powielałem takie informacje, do póki nie doinformowałem się tym i sam nie miałem z tym styczności na tle prawnym 

Popatrz też na nasz chory kraj, gdzie "jakiś numer- PESEL" może posłużyć do tego, że ktoś tylko na podstawie tego numery - bez weryfikacji osoby czy ty to ty, może wziąć pożyczkę, kredyt nawet... i musisz to zastrzec samodzielnie, bo nie jest to zrobione z automatu, aby tego uniknąć. Chore. 

---

Dlatego są szkolenia, które przeszedłem i jak sam stwierdziłeś przegrałeś tą sprawę z drugiej strony dobry regulamin oraz polityka prywatności i autor rodo nie będzie musiał się bać.

---

To chętnie poznam te szkolenia :) podaj źródło. Najlepiej rzetelne.
Przegrałem te sprawe, bo sąd mi udowodnił, że IMIE I NAZIWSKO nie podlega do RODO, a według tego co Ty mówisz, teoretycznie sprawę bym wygrał :)

Bo mam nadzieje, że to nie szkolenia sekuraka których wartości merytoryczne poza cyber it są miałkie.

---

Niestety, ale to nie sekurak. Podać nie mogę bo szkolenia pochodzą z firmy w której pracuje a tutaj niestety RODO jest dosyć kluczowe :)

---

No tak myślałem właśnie, że argument będzie "miałem szkolenie, czytałem xyz".
W firmach RODO jest kluczowe, ale tyczy się ono pracowników, którzy podpisują klauzule, klientów, do których masz ogromny zestaw danych i możesz ich zidentyfikować.
A nie do imienia i nazwiska :) tym bardziej, że w art. ustawy jest wyraźnie podkreślone, że w w instytucji, mechanizm jest inny.

---

No nie do końca bo RODO jest jedno, ale skoro tak uważasz to jest Twoja wiedza, Twoja racja. W moim interesie nie jest wyprowadzanie Cię z błędu a zaoszczędzenie autorowi problemów :) Miłego dnia.

---

To chętnie poznam te szkolenia :) podaj źródło. Najlepiej rzetelne.

Cała idea którą chcą przekazać w takim szkoleniu to że lepiej dmuchać na zimne, bo to że Ty osobiście przegrałeś sprawę z jakąś firmą, nie znaczy że inna firma która popełni taki sam błąd też się tym samym rozumowaniem obroni. Może firma z którą przegrałeś miała jakiś trick w rękawie, może mieli jakieś super konkretne okoliczości łagodzące, może sędzia dał się przekonać lub nie ogarnął, może po prostu miałeś pecha. Plus, co jeśli przyczepi się instytucja ochrony danych osobowych z innego kraju EU, który patrzy na to bardziej ostro?

EDIT: plus samo UODO przyznaje, że czasem polskim sądom zdarza się dawać wyroki nt danych osobowych sprzeczne z wytycznymi europejskimi.

Moje rozumowanie (i raczej też innych osób w branży które znam) by było, że to dość oczywiste dane osobowe.

---

no ja tez tak mysle

---

@adrian17, a tak w ogole czy moje rozumowanie jest poprawne ?.jesli zrobie baze danych gdzie bedą hasła ale nie userów a np do danego swiata .to nie są dane osobowe . tak?

 

---

Jeśli jedyne co masz to jakieś auto-generowane loginy lub nazwy serwerów oraz hasła, to z natury tutaj nie ma niczyich danych osobowych, zgadza się.

---

@Mist, jeżeli wszystko będzie losowe to śmiało możesz sobie taką bazę budować.

---

'losowe' to nie do konca ale dobra niewazne mój pomysł nie ma sensu