Quote:
cjepidlaka kaže:
Smiju li me tako tražiti otiske (no, očito smiju) i mogu li odbiti davanje istih bez straha od otkaza ili nečeg? Na što se pozvati i kako se zaštititi?
Firma je najobičnija, nije NASA il tak nekaj
|
Za početak će ti biti korisno znati da ti uređaji za identifikaciju putem otiska prsta ne rade na principu usporedbe cjelovitog otiska prsta, već na principu usporedbe nekoliko "karakterističnih točaka". To znači da se u bazu podataka otisaka prstiju ne pohranjuje cijeli otisak (kao u, recimo, policijskoj kartoteci), nego tek snimka stanovitog broja "točaka" s otiska. Iz tih "točaka" nije moguće rekonstruirati originalni otisak. Kada se identificiraš, uređaj uspoređuje točke pohranjene u bazi podataka s točkama očitanima na senzoru "brave". Iako se ne uspoređuje cijeli otisak, ipak se na temelju točaka postiže visoka vjerojatnost ispravnog raspoznavanja pravog od lažnog otiska.
Tako je zaštićena privatnost osobnih podataka zaposlenika, a opet postignuta dovoljna razina sigurnosti same "brave".
Tvoj poslodavac bi učinio etičku stvar da vas upozna s tim osnovnim principima rada. U najmanju ruku bi trebao odgovoriti postaviš li izravno pitanje temeljem informacija koje sam ti dao ovdje. Odgovor da je "princip rada tajan zbog sigurnosti" je u ovom dijelu stručno neutemeljen, jer se radi o dobro poznatim algoritmima.
--
Što se pravne zaštite tiče, nju ti pruža Zakon o zaštiti osobnih podataka i Agencija za zaštitu osobnih podataka (
www.azop.hr). Ukoliko se u bazi podataka uistinu pohranjuje idenficirajući podatak (cijeli ili dovoljno veliki dio otiska prsta), voditelj takve zbirke osobnih podataka nju mora prijaviti AZOP-u, te sve informacije o mjerama sigurnosti i načinima upotrebe tih podataka moraju biti dostupni vlasniku osobnih podataka.
Sumnjaš li, ili nisi zadovoljna ponašanjem svoje firme, anonimno zatraži inspekcijski nadzor od AZOP-a. Puno toga će opravdati nadzor AZOP-a, dovoljno je da samo detaljno opišeš situaciju i izraziš sumnju.
Također ih slobodno i nazovi i neobavezno popričaj o svojoj zabrinutosti -- za to i služe.
Inače, AZOP-u treba prijaviti SVAKU zbirku osobnih podataka. Npr. vaš poslodavac sigurno ima kartoteku vas zaposlenika s podacima o imenu, prezimenu, adresi, broju telefona i broju tekućeg računa, možda i sliku. Sve su to osobni podaci i postoje pravila kako se s tim zbirkama mora postupati. A jedno od pravila je da moraju biti prijavljene AZOP-u.
Registar zbirki osobnih podataka je javno dostupan na web-stranicama AZOP-a, pa možeš tamo potražiti je li tvoj poslodavac obavio ovu prijavu. Ako nije i to je temelj za prijavu AZOP-u.
---
Koliko sam ja upoznat, "brave" koje rade na otisak prsta, čak i one najkvalitetnijih proizvođača je moguće prevariti uz stanovitu količinu tehničkog umijeća, a -- ovo je najbitnije -- baratajući s otiskom "dignutim" s obične čaše ili CD-a ili slične površine. (Mislim da su i u popularnoj emisiji Mythbusters ovo prilično uvjerljivo demonstrirali.)
Zbog toga, s pravne strane, ja bih bio više zabrinut oko toga koliko neporicivim moj poslodavac smatra identifikaciju pomoću te "nove tehnologije" koju uvode. Zato je dobro da ugovor pregleda neki odvjetnik kako bi vidio da on ostavlja prostor za poricanje pred sudom.
Primjerice, kod pristupa u informacijski sustav pomoću korisničke oznake i zaporke (ovdje na forumu, npr. tvoj login/password), tipična obrana može glasiti: "ja sam svoj login i password dao nekome, nitko mi nije rekao da to ne smijem činiti" ili "moj password je bio moj rođendan, svatko je to mogao pogoditi". Ova obrana prolazi na sudu ukoliko korisnik logina/passworda nije nikada primio pismeno naputak o tome da password ne smije dijeliti i naputak o tome kako kreirati kompleksni password, te ga pročitao i potpisao -- to je tzv. "sigurnosni protokol".
Meni je ovdje zanimljivije pitanje -- kakav je sigurnosni protokol u ovom slučaju i možeš li ti pravno utemeljeno poreknuti da se radilo o tebi u slučaju da ti netko "digne" otisak i onda, koristeći se tehnikama koje su demonstrirane čak i na plauzibilnom, ali ipak zabavnom showu poput Mythbustersa, pristupi u firmu izdajući se za tebe.
---
Predlažem da pratiš link na firmu koji ti je u postu gore dan, te da upišeš u Google "računalna forenzika" i nađeš neke firme koje se time bave kod nas. Onda im pošalji e-mail o ovim temama koje sam ovdje otvorio, pa vidi hoćeš li dobiti kakav savjet ili daljnju korisnu informaciju. Prenesi i nama.