Privacy violations

Földes Ádám,Molnár Péter,Radics Réka,Varga Máté,

Zámbó Tamás

Miről lesz szó?

• Privacyról általában

• Jogi szabályozás

• Privacy Enhancing Technologies

• Anonimizáló technológiák

• Szemelvények

Privacy?

• Privacy definíciók▫ nincs jó fordítás: egyedüllét, elvonultság, magány,

magánélet (szotar.sztaki)

▫ „Az egyén joga, hogy megvédjék – direkt fizikai eszközökkel vagy információk közzétételével történő – az ő vagy a családja magánéletébe vagy magánügyeibe való betolakodástól” (Calcutt Committee)

▫ „A privacy-nek három eleme van: titkosság, anonimitás és magányosság. Ez egy állapot, mely elveszíthető vagy az ebben az állapotban lévő személy döntése szerint vagy más személy cselekedete miatt.” (Ruth Gavison)

▫ The ability of an individual or group to seclude themselves or information about themselves and thereby reveal themselves selectively. (wiki)

Privacy folyt.

• Nem a cégek adatainak vagy rendszereinek védelméről beszélünk! Elsősorban az egyének személyes adatainak védelméről lesz szó. Ezt információs önrendelkezési jognak is szokták hívni.

• Privacy típusai

▫ Információs – személyes adatok gyűjtése, kezelése

▫ Kommunikációs – lehallgatások

▫ Testi – egyén intimszférájába behatolás, biológiai minták, ...

▫ Területi – térfigyelő kamerák, nyomonkövetés

• A privacy megsértésének minősül a személyes adatok hozzájárulás (vagy törvény adta lehetőség) nélküli bárminemű használata.

• Elektronikus kereskedelem -> leginkább az információs és kommunikációs privacy-t érinti, de bármely másik is sérülhet.

Privacy violation és el.

kereskedelem• A privacy megsértése bármely szituáció, melyben

az egyén (információs) önrendelkezésre vonatkozó alkotmányos joga sérül.

• A támadó lehet bármely olyan entitás, amely viselkedése – nem feltétlenül rossz akaratból, de – a fenti állapot előállásához vezet.

• Elektronikus adatok mozgásakor folyamatos fenyegetettség áll fenn valamennyi tranzakció során.

Tartalom

• Privacyról általában

• Jogi szabályozás

• Privacy Enhancing Technologies

• Anonimizáló technológiák

• Szemelvények

Jogi szabályozás - adatvédelem

• Miért hasznos ezt ismerni az elektronikus kereskedelemben résztvevőknek?

• Szolgáltató:▫ Egy nem körültekintően kialakított form is jelenthet jogsértést

(pl. egy alapból bepipált checkbox)▫ Mire használhatom fel a logolt adatokat és mire nem? (pl.

hangelemző call center)▫ Mely reklamációkat kell komolyan venni?▫ Egyre jotgtudatosabbak az emberek▫ Mindenért az adatkezelő felel▫ A törvény nem ismerete nem mentesít

• Felhasználó:▫ Saját jogainak ismerete tudatossághoz és megfontoltsághoz vezet

(apróbetűs rész átfutása, tájékoztatás elvárása)▫ Hová fordulhat panaszával?

Nemzetközi jogi szabályozás

• OECD

▫ 8 adatvédelmi irányelvet fogalmaz meg, de nem kötelező a tagokra nézve

• Európa tanács

▫ Ajánlás, az aláírók számára kötelező (40 aláíró)

▫ Ekvivalens védelmi szintet ír elő

• EU Data Protection Directive

▫ adekvát védelmi szintet ír elő, az ezt nem teljesítő országok felé tilos a személyes adatok kiadása

▫ USA, Safe Harbor Principles – cégek iratkozhanak fel

• Magyarország minhárom egyezménynek részese

Európai vs. amerikai modell

Európai modell Amerikai modell

Szektor: magán + köz köz

Feldolgozás: manuális + automatikus

automatikus

Lefedés: általános mozaikszerű

Ellenőr: van nincs

Kanada az európai modellt követi.

Jogi szabályozás - fogalmak• Adatbiztonság (data security)

▫ az adatok védelme (titkoítás, bunker, ...)• Adatvédelem (data protection)

▫ az adatalanyok védelme (adatgyűjtés, továbbítás, ...)• Személyes adat

▫ olyan adat, amely (bármi módon) kapcsolatba hozható az adatalannyal. (relativista – abszolutista, ~ támadó modell)

▫ természetes (személyi), mesterséges (TAJ) és biomerius adatok.▫ különleges adatok – av. tv. definiálja (faji eredet, szexuális

beállítottság, kisebbséghez tartozás, szakszervezeti tagság, eü. állapot, ...)

• Adatkezelés (adatkezelő)▫ szem. adatok felvétele, tárolása, feldolgozása, közzététele, stb

• Adatfeldolgozás (adatfeldolgozó)▫ az adatkezelő megbízásából történő adatfeldolgozás▫ tilos a láncfelfolgozás!

Jogi szabályozás szintjei -

Magyarország• Alkotmány 59. § (személyes adatok védelméhez

való jog).• „A személyes adatok védelméről és a közérdeű

adatok nyilvánosságáról” szóló törvény▫ általános szabályozás a szem. adatok védelmére.

• Szektoriális/területspecifikus tv-ek.▫ részletszabályozások/kivételek▫ Direkt marketing tv., El. ker. tv, Nb tv, Hpt, ...

• Rendeletek• Belső szabályok – önszabályozás

▫ Belső Adatvédelmi Szabályzatnak és Felelősnek kötelezően lennie kell

Adatvédelmi biztos

Jogi szabályozás – alapelvek• Adatgyűjtés korlátozásának elve

▫ Az adatok megszerzése legyen törvényes és tisztességes. Ha lehetséges, az alany tudtával és beleegyezésével történjen.

• Adatminőség elve▫ pontos, teljes és aktuális legyen a nyilvántartott adat

• Célhoz kötöttség elve▫ csak mehatározott céllal gyűjthető és a célnak megfelelő ideig tárolható a

személyes adat• Korlátozott felhasználás elve.

▫ csak hozzájárulás (önkéntes, határozott, tájékozott) vagy tv. alapján• Biztonság elve

▫ illetéktelen megszerzés elleni védelem• Nyíltság elve

▫ nem lehet titokban adatokat kezelni, adatvédelmi nyilvántartás (ha tartósan tárol adatokat)

• Személyes részvétel elve▫ az adatalanynak joga van betekintésre, helyesbítésre, törlésre (ha nincs

ellenkező tv.)• Felelősség elve

▫ az adatkezelő felel az elvek betartásáért

Törvényi szabályozás

• Adatvédelmi törvény

• Elektronikus kereskedelmet szabályzó törvény

• Elektronikus aláírás

• Elektronikus számla

• Adatnyilvántartás

• Kutatás, adatvédelem

• Direkt marketing, SPAM

• Pénzmosásról szóló törvény

Kihez fordulhatunk?

• Adatvédelmi biztos

• Nemzeti Hírközlési Hatóság

▫ SPAM bejelentése

▫ El.ker. Törvény megsértése (nincsenek megfelelő adatok fenn az oldalon, nincs adatvédelmi nyilatkozat, nem érhető el)

Adatvédelmi törvény

• Milyen adatok

• Hogyan kezelhetik

• Meddig tarthatják meg

• Mire használhatják fel

• Adatok típusai

• Adatkezelés célja

Elektronikus kereskedelmet

szabályozó törvény• Mire kell figyelni, ha elektronikusan szeretne kereskedni

az ember?

• Adatok, amiket meg kell adni a cég honlapján (céges adatok, elérhetőségek, adószám, tevékenységi kör, stb)

• Amiknek feltétlenül fenn kell lennie az oldalon: ÁszF, megrendelési leírás, adatkezelésre vonatkozó tudnivalók, magatartási kódex, egyéb rendelkezések

• Ügyfélszolgálatot kell üzemeltetni

• Regisztrálni kell az NHH-nál

Elektronikus aláírás

• Hitelesítés

• Dokumentumok aláírása

• Elektronikus iratok kezelése

• NHH-nál szintén be kell jelenteni 30 nappal a használat előtt

Elektronikus számla

• Kiadható elektronikus számla, megfelelő formai követelményeknek eleget kell tennie

• Adóbevalláshoz használható

Adatnyilvántartás• Törvény szabályozza, hogy milyen adatokat lehet

nyilvántartani

• Adószám

• Taj-szám

• Személyigazolvány szám

• Bizonyos adatokat nem kezelhetnek együtt

• Ha nem tiltjuk le a nevünket és lakcímünket, akkor ezek kiadhatóak, akár direkt marketing célokra is

Kutatás, adatvédelem

• Kutatási adatokat máshogy kell kezelni

• A személyes adatok csak kiindulás, ezeket későbbiekben statisztikának használják, a személyes jelleg megszűnik (nem visszakövethető, hogy eredetileg kihez tartoztak)

• Bár nem tartozik ide szervesen: népszámláláskor nem vagy köteles bizonyos adatokat megadni (vallási hovatartozás, szexuális irányultság, politikai nézetek, stb)

Direkt marketing

• Honnan szerezhetünk címlistát legálisan?

▫ BM központi nyilvántartás (név, lakcím)

▫ Nyilvános jegyzékekből, a szerkesztővel egyeztetve

▫ Más hasonló társaságoktól, ha előre megegyeznek

• Minden esetben meg kell jelölni a forrást, illetve hogy hogyan lehet tiltakozni ellene

• A SPAM nem legális, e-mailt csak akkor küldhetnek, ha feliratkoztunk rá (opt-in)

Egyéb érdekességek

• Egészségügyi adatok kezelése: nagyon titkos adatok, csak kivételes esetekben adhatják ki (pl: járvány) → nem kivételezhetnek senkivel az egészségügyi állapota miatt

• Utasregisztrációs törvény: USA és EU között

• Pénzügyi adatok: 9.11 óta nagyobb figyelmet kapott, a terrorizmus pénzelését szeretnék kiszűrni → pénzmosás elleni törvény

Pénzmosás elleni törvény• Európai Uniós szabályozás miatt hozták létre

• Eredeti cél: gyanús pénzforgalmat jelenteni a nyomozó hatóságnak (itthon: VPOP), ami terrorizmus segítésére utalhat

• Mi számít gyanúsnak?

• Kit figyelnek meg?

• VPOP mit csinál az adatokkal?

• Másra is használják, mint az eredeti cél

• Felülírja a banktitkot

Szerzői jogok vs adatvédelem

• Jellemzően p2p hálózatokon

• Jogvédő szervezet belép, megkeres valamit, elkezdi tölteni, megnézi a peer-eket, feljelentés

• Szolgáltató kiadhatja az adatokat?

• Artisjus nem hivatalos szerv, nem adható ki neki adat

• Ha nem fizet érte, nincs anyagi nyeresége, az is törvénysértés?

• Ha külföldi oldalakról/külföldiek töltenek, akkor melyik ország jogrendszere érvényes?

Privátszféra(saját adatok)

Az egyén tájékozott, határozott és önkéntes beleegyezésével adja ki

az adatot?

Kikerült személyes információ(jelentheti egy email

címzettjét, egy IP címet, de felhasználói szokást is)

Nem: Privacy violation(SPAM, IP cím alapján földrajzi helyzet meghatározása, profilépítés vásárlói adatokból, stb..)

Védekezés: igen nehéz, hiszen a címzettnek látnia kell az információthitelesítés – bizalomtrust and reputation systems

Nem: Privacy violation(biztonsági lyukak, phishing, backdoor, spyware, tacking, eldugott kisbetű, kereskedőnek nem kell tudnia a számlaszámomat, Chrome, stb..)

Védekezés: kisbetű elolvasás, „ne húzzák le kétszer a kártyát”, biometrikus útlevél alu-ba, hitelesítés, tűzfal, vírusirtó, körültekintő böngészés, ...

igen

nem

Arra használják fel az adatokat, amire

kiadtam?

Igen: privacy violation(bármilyen lehallgatás, nem engedélyezett adattovábbítás)

Védekezés: anonomizálás, titkosítás, hitelesítés, védett adattárolás, ...

Illetéktelen harmadik fél hozzájut az

adatokhoz?

nem

nemigen

Védekezés: PET technológiák

Tartalom

• Privacyról általában

• Jogi szabályozás

• Privacy Enhancing Technologies

• Anonimizáló technológiák

• Szemelvények

PET technológiák és egyebek

Zámbó Tamás

Privacy – „The right to be left alone”

Privacy Enhancing Technologies

• Információs és kommunikációs technológiák, melyek az adatokon kívül az adatalanyt is védik.

• Egy lehetséges besorolásuk:

Nyílt szöveges protokoll (semmi sincs védve)

A tartalom védett

Metainformáció védett

Elfedett

a létezés

ténye

Szteganográfia

PET-ek

Kriptográfia

© Földes

PET-ek csoportosításai

A. Burkert-féle:

▫ Szubjektum-orientált

▫ Objektum-orientált

▫ Tranzakció-orientált

▫ Rendszer-orientált

B. Pragmatikus

▫ Meglévő rendszerek biztonságát növeli

▫ Új adattárolási és hozzáférési technológiák

▫ Tranzakció alapú technológiák

C. Melyik adatvédelmi elv érvényesül? … stb.

Kritériumok PET-ekkel szemben

• Anonimitás:

Az adat és a személy között semmi kapcsolat nincs.

• Pszeudonimitás:

Az adat álnéven keresztül van kapcsolatban a személlyel.

• Megfigyelhetetlenség:

Egy illetéktelen 3. fél ne láthassa a felhasználó tevékenységét a hálózaton.

• Összeköthetetlenség:

Két esemény között nem teremthető kapcsolat .

PET

• Néhány példa PET-ekre:

▫ Kapcsolati kód:

három szakazonosító a régi univerzális helyett

APEH, TB, BM között teremt páronként kapcsolatot

Pl. NEPTUN kódnak is lenne egy ilyen célja

▫ Anonim remailerek

▫ Anonim böngészők és anonimizáló protokollok

• Bő gyűjtemény az epic.org-on

EPIC

• Electronic Privacy Information Center

• Jogi szintű tevékenység, kiadványok, éves beszámolók (~TASZ)

• Témák széles spektruma

• Egy közülük: Google “Flu Trends”

▫ Google Trends kiegészítése

▫ Csak aggregált adatok kerülnek majd ki

▫ Erre mindeddig nem szolgáltatott bizonyítékot (anonimizáló alg., reidentifikáció elleni védelem)

Re-identification

• Carnegie Mellon University, 2003

• Trail Re-identification: Learning Who You are From Where You Have Been

• Trail re-identification: Újbóli kapcsolat létesítése adott személy és az általa különböző helyeken hátrahagyott anonimizált adatokkal.

• Kiindulás: különböző adataggregátorok személyes és egyéb adatokat gyűjtenek. Ezek egy részét anonimizálva (unidentified) adják ki pl. statisztikákhoz, más részüket pedig úgy, hogy azok továbbra is személyekhez köthetők (identified), pl. valamilyen törvény írja elő.

• Valós idejű algoritmusokat mutatnak, melyekkel anonimizált és személlyel köthető adattáblák újra összekapcsolhatók.

• (szül.idő, nem, ZIP-kód) amerikai populáció 87%-a

Re-identification folyt.

• Több adatgyűjtő hely által „release”-elt táblák: anonimizált és nem anonimizált

• 3 algoritmust javasolnak (REIDIT-C,I és M)

• A újra azonosítás elméleti maximuma: a két tábla rekordjainak minimuma.

• Gyakorlati példákon demonstrálták (kórház, webes vásárlások)

Re-identification folyt.

• Példa:

Name Birthdate Gender ID Zip DNA

John Smith 2/18/45 M 11 15234acag…t

Mary Doe 4/9/75 F 18 15097accg…a

Bob Little 2/26/49 M 2 15212 cttg…a

Kate Erwin 11/3/54 F 21 15054atcg…t

Fran Booth 1/8/71 F 27 15054 accg…t

P (identified track) N (deidentified track)

Name h1 h2 H3 DNA h1 h2 h3

John 1 1 0acag…t 1 1 0

Mary 1 0 1accg…a 1 0 1

Bob 0 1 1cttg…a 0 1 1

Kate 0 0 1atcg…t 0 0 1

Még néhány gondolat a privacy-ről

• A megfigyelt egy napja.

• Greenspan: „The human need for personal expression, property, and privacy, doubtless were significant in undermining the collectivist states.”

• Larry Ellison (Oracle): „A digitális világban illúziókat kerget, aki privacy-ről beszél.”

• Riasztó ötletek:

▫ Digitális személyi igazolvány és adatbázis

▫ Agyszkenner

▫ Riasztás viselkedésminták alapján

▫ TIPS (tervezett besúgóhálózat)

• Simon Davies (PI): Jövőben Internet és számítógép = megfigyelőeszköz

Tartalom

• Privacyról általában

• Jogi szabályozás

• Privacy Enhancing Technologies

• Anonimizáló technológiák

• Szemelvények

Anonimizáló rendszerek

C él: kommunikációs kapcsolat elfedése

Ár: többlet erőforrás

Kategóriák:

Mix-Net

DC-Net

Üzenetszórás

Többes küldés

Egyéb MIX-NetTeljesítménySkálázhatóság

Anonimitás

Üzenetszórás, többesküldés

• Anonimizálás a küldő és fogadó számára is

• Üzenetszórás: minden résztvevőnek

Többes küldés:résztvevők egy csoportjának

• Fix méret, adott gyakoriság zaj csomagok

• Fogadó fél nyilvános publikus kulcsával titkosítva

• Hátránya: nagy sávszélesség-igény

• Pl.:P5 (Peer to peer personal privacy protocol

DC-Net

• Alapötlet: vacsorázó kriptográfusok problémája

Fej

Írás

Fej 0 Fej Fej

Fej Írás

ÍrásFej

Írás

ÍrásÍrás0 01

1 bit átvitele

Bob

Alice

Charlie

Üzenet=0 Üzenet=1

Nyilvános kulcsú kriptográfia

Mindenki mindenkivel kommunikál

Egyszerre egy résztvevő küldhet ütközés

Pl.:Herbivore

Herbivore (DC-Net)

• Két fő komponensből áll

Global Topology Control: skálázhatóságért és támadók elleni védelemért felelős

kisebb anonim csoportok

Round protokoll: résztvevők közti anonim kommunikációt biztosítja DC-Net révén

▫ Foglalási fázis

▫ Küldési fázis

▫ Szavázási fázis

Foglalás:• Cél: névtelen, kizárólagos hozzáférés a csatornához

• Az időt szeletekre osztjuk

• Küldeni akaró csomópontok:• Véletlen i

• Üzenetszórás: csupa 0, i. helyen 1 (000…010….000)

• Mindenki megkapja a foglalások XOR-ját

• Siker esetén küldés a lefoglalt szeletben

Küldés:• Lefoglalt szeletben küldi az üzenetét, többiek a 0-t

• Ütközés előfordulhat:• Páratlan számú csp. Ugyanazt a szeletet akarta lefoglalni

• Csomagokban adat+hash ütközés detektálás, integritásvédelem

Szavazás:• Cél:jelezni lehessen, ha egy csp hosszú tranzakcióban van

többi csp. késleltet a tarnzakció befejezéséig

• Hatékony (2 byte)

Topológia

• Teljes gráf: Késleltetés: O(1)

Küldések száma: O (N2)

• Gyűrű: Késleltetés: O(N)

Küldések száma: O (N)

• Csillag Késleltetés: O(1)

Küldések száma: O (N)

Global Topology Control - Skálázás

• „Oszd meg és uralkodj!”

• Klikkek k csomóponttal szétválasztható a protokoll költsége a rendszer méretétől

• Klikk menedzsment N résztvevő minimum k méretű klikkbe osztása

Véletlenszerűen kerülnek klikkekbe az új csp-ok

Nincs szükség központi vezérlésre

3k-nál nagyobb klikk kettéosztás

k-nál kisebb klikk legközelebbi klikkbe

• Klikken belül összes kommunikáció anonim

Global Topology Control - Entry

• feladat: Támadások kivédés

Közel azonos méretű csoportok

• Új node belépése:▫ Mindenkinek van csoport- és csomópont-azonosítója

▫ F,G egyirányú leképezés

▫ Belépéshez:

1. csp. Generál Kpriv és Kpub kulcsokat

2. Keres y != Kpub hogy F(Kpub) =F(y) utolsó mk bitben

3. G(Kpub,y) :=node id

4. Numerikusan legközelebbit megkeresi

5. Mutat Kpub,y ellenőrzés F(Kpub) =F(y) utolsó mk bitbenellenőrzés G(Kpub,y), ha volt már denied

6. Kihívás-válasz:vresp= Kpriv(vchal) ell.:Kpub(vresp) =vchal

Klikk méret

Klikk méret

Kés

lelt

eté

s (s

)S

áv

szél

essé

g(K

b/s

)

Támadhatóság

• Lokális lehallgatás: küldők üzeneteinek időzítés alapú analízisével kikövetkeztethető lehet a fogadó

• Predecessor támadás: együttműködő támadók vizsgálják a fogadót. Lehetséges küldők halmazai alapján következtetnek (hosszabb adatforgalom után) a küldőre

• Sybil támadás: több támadó csatlakozik a rendszerhez elérve, hogy a csoporton belül rajtuk kívül csak 1 felhasználó legyen

• DoS: anonim kommunikáció nehéz a támadót kideríteni

Herbivore támadhatósága:

Lokális lehallgatás: érzéketlen (mindenki egyszerre küld és fogad)

Predecesszor: érzéketlen

Sybil: közepesen érzékeny (csoportba csatlakozó felhasználók limitálva)

DoS: nagyon érzékeny (számítás+sávszélesség árán detektálható lehetne a támadó)

Tartalom

• Privacyról általában

• Jogi szabályozás

• Privacy Enhancing Technologies

• Anonimizáló technológiák

• Szemelvények

Szemelvények

• Adatkezelői tevékenység

• Technikai jellegű privátszféra-problémák

Adatkezelők privacy-invazív

tevékenysége• Google

▫ „Ön elismeri és tudomásul veszi, hogy a Google [...] a Szolgáltatásokkal kapcsolatos minden jog jogosultja, [...] szellemi tulajdonjogot is” – GMail, Picasa, stb.

• AXA Bank▫ „[...] hozzájárul, hogy az Ön által megadott

adatokat az AXA Bank Zrt. [...] kezelje és feldolgozza, valamint [...], hogy a megadott adatokat a [...] érdekeltségi körébe tartozó társaságok részére ugyanezen célokra átadja”

Adatkezelők privacy-invazív

tevékenysége II• TeszVesz, Vatera

▫ Megnézhetjük, hogy ki mit vett az elmúlt 90 napban

▫ Ha veszünk tőle valamit, kapcsolhatjuk a vásárlási szokásokat a személyhez

• Könyváruház és futárcég

▫ Veszünk egy könyvet, és bepanaszoljuk az azt kiszállító futárt az áruháznál

▫ A „rendezze le a vevő a futárral”-elv kerül alkalmazásra, a futárcég hozzájut az adatainkhoz

IP cím = pozíció

• A dinamikus IP-címek elvileg nem köthetőek személyhez

• A helyről, ahonnan internetezünk, azonban sokat elárulhat

Miért releváns információ a hely?

• Cenzúra▫ Youtube, Channel4 News, stb.: öncenzúra▫ Helyes, ha egy cég játszik „hatóságost”?

• Árkülönbségek▫ Steam: USA és Ausztrália közt néha többszörös

különbözet▫ ITunes: Európában sem egységes árazás▫ Igazságos, ha a pozíció alapján drágábban adnak

nekünk valamit, vagy, ami még rosszabb, el sem adják?

• Nagy Testvér▫ Svédország: törvény által biztosított a határon átmenő

forgalom lehallgatásának lehetősége

Bankkártyák

• A bankkártyák lehetővé teszik vásárlási szokásaink nyomon követését

▫ anonim bankkártya: pl. Vanilla Visa (USA) –készpénzért megvehető kártya, melyre nem gravíroznak nevet

• RFID csipes bankkártyák

▫ kényelmes, hogy csak elhúzzuk az olvasó előtt, és már fizettünk is, de...

▫ (+1: miért is szűnt meg a TIRIS-kártya? )

RFID lapka „kezelése”

Bankkártyák II

• Biztonságos a smartcardot használó bankkártya?

▫ Támadási felület:

smartcard hamisítása

mágnescsík klónozása

terminál „megpatkolása”

▫ Első kivitelezése lehetséges, de nehézkes, és csak offline tranzakcióknál használható

▫ Az igazi támadási felület igazából a mágnescsík

▫ Különbség: kié a felelősség?

Konklúziók

• A privátszférához való jog sokszor nincs összhangban a technika mai működésével

▫ Bizonyos helyzetekben vannak eszközeink (kriptográfia, PET-ek, szteganográfia) a probléma kezelésére

• Az adatkezelőktől is „szivároghat” adat

▫ Külföldi adatkezelő: nem használjuk a szolgáltatást, vagy alkalmazkodunk...

▫ Magyarországon bejegyzett adatkezelő: panaszt tehetünk az adatvédelmi ombudsmannál

• Összességében: résen kell lenni, ha érdekel minket az információs önrendelkezéshez való jogunk