GDPR - aktuální stav

[MP]

Caus,

predpokladam, ze GDPR bude resit/uz resi vetsina z nas. Chtel bych, aby se tu sesly nejlepe overene informace, ktere jsou ted k dispozici. Idealne, kdyby z toho pak nekdo na Root napsal mensi clanek.

Ja bych nadhodil treba takovyhle pripad:

Databaze uzivatelu mailserveru - login, email, jmeno/prijmeni (posledni prihlaseni, ip, atd).
- spada do GDPR? Muj nazor je, ze zrejme ano
- pokud spada do GDPR, co s tim? Musi byt sifrovana? pozadavky, zpusob pristupu mailserveru k databazi...

Uzivatelske emaily na serveru (email=file) - email, jmeno, ip, atd
- spada do GDPR? Asi ano
- co s tim? Sifrovat kazdy email zvlast? Sifrovani celeho disku?

Analyticke nastroje (ELK, graylog, atd). - logy z ruznych sluzeb (login, ip, atd)
- spada do GDPR?

Pravo na vymaz - pokud neni nadrazeno pravo na archivaci, jak asi muze dojit k vymazu z backupu?

[Reklama]

[daemon]

Absolovoval jsem dvě úvodní GDPR přednášky a přiznám se, že je problematika pro mě trošku nepřehledná.
Pochopil jsem z toho několik věcí:
- GDPR je multioborová disciplína, není to ryze IT záležitost a takto je nezbytné k tomu přistupovat. Je chyba to pojmout jako IT projekt.
- GDPR se vztahuje na jakoukoliv informaci, kterou lze ztotožnit s konkrétní fyzickou osobou
- režimu GDPR podléhají všechny právnické osoby (dle tvrzení Mgr. Škorničkové, včetně např. zapsaných spolků) a podnikající fyzické osoby
- neexistuje jednotná metodika co se má v oblasti IT dělat. Jaká mají být přijata opatření, vyplývá až z výsledku analýzy rizik.

[daemon]

Nejlépe bude ty čuráky z Brusele bojkotovat.

Možná i to by mohlo být řešení. Setkal jsem se názorem, že Úřad nemá dostatečné kapacity, aby zkontroloval a potrestal všechny. Někdo by ale černýho Petra dostal...

Ještě k těm poznatkům:

Osobní údaje lze pseudonymizovat nebo anonymizovat.

V případě pseudonymyzace (což je mj. i šifrování) existuje způsob jak informaci rekonstruovat do původního stavu. Pseudonymizované údaje proto podléhají režimu GDPR a je nezbytné s nimi náležitým způsobem nakládat. (Takže šifrování hesel situaci nějak zásadně neřeší).

Anonymizované osobní údaje nelze ztotožnit s konkrétní osobou a tedy režimu GDPR nepodléhají.

Časem si jistě ještě na něco vzpomenu.

[daník]

Já tedy zatím pochopil tyto věci:

- Právo na zapomenutí/vymazání - či-li tlačítko pro výmaz profilu/osobních dat a to i nejlépe ze záloh.
- Export osobních dat v XML pro přenost k jinému správci či-li právo na přenositelnosti, ale třeba osobně bych to dělal tak, že to bude notářsky ověřeno nebo příjde osobně uživatel s tímto požadavkem a ověří se totožnost. Či-li nejlépe formulář s požadavkem a poté další tlačítko pro export v případě ověření. Důvod může být i třeba podvod apod.
- Právo na změnu osob. dat a umožnění námitky ke zpracování osob. dat. Či-li další formuláře pro možné změny osob. dat a kontaktování správce s námitkou.
- Změna obchod podmínek např.: dopsání časové období uchování osob. dat a účel zpracování. Dále nutnost v případě, že je předávám dále už neodsouhlasovat v obchod. podmínkách, ale nejlépe přímo u zaškrtávacího pole, kde vydá uživatel přímý souhlas se zpracováním osob. dat. To se týká hlavně pokud předávám data 3 stranám.
- Vést záznamy zpracování osob. dat či-li pěkně rozebrat firmu a sjednotit veškeré produkty, kartotéky apod. V případě vyžádání záznamů o evidenci osob. dat v případě požadavku od uživatele se jedná o nutnost to mít v co nejlepší formě.
- Silné šifrování disků a dat v databazích.

Ale sám v tom trochu ještě plavu, takže asi tak ) Je to dost obsáhlé.

[j]

Nejlépe bude ty čuráky z Brusele bojkotovat.

Mno az ti curaci prijdou oignorovat tebe, a udelej ti flastr ve vysi 30% rocniho obratu, tak te to ignorovani trebas prejde ...

Jinak k veci

1) nejlepsi zacatek je zlikvidovat naprosto vsecha data ktera mohou byt povazovana za osobni udaj a nejsou nezbytne potreba (takze treba na vsemoznych diskusnich forech smazat vsechno co zavani jmenem a ponechat jen nick, byt i to je osobni udaj ...)
2) pak je treba si ujasnit, jaky data realne potrebujes (pripadne chces)
3) nasleduje rozdeleni tech dat do dvou kategorii - ze zakona/se souhlasem
4) data "ze zakona" (= ses eshop, potrebujes adresu) muzes zpracovat pouze nezbytne nutnym zpusobem (= poslat zbozi), a skladovat je muzes (plati v pripade ze by dotycny ta data chtel smazat) po dobu danou opet pripadnym zakonem (trebas 10 let na fakture).
5) data "se souhlasem" muzes mit a zpracovavat odsouhlasenym zpusobem, po dobu platnosti toho souhlasu. Ten muze dotycny kdykoli odvolat, a ty pak obratem musis data prestat pouzivat. Pokud to vyslovene nechce, nemusis je sice smazat, ale ... sychr je sychr ...


6) ses povinej kdykoli na pozadani komukoli predlozit vsechny vyskyty jeho osobnich udaju, vcetne seznamu pripadnych vsech dalsich zpracovatelu tech dat a zpusobu jejich vyuziti. (takze pekne vist evidenci)

7) pokud nekdo souhlas odvola, tak pochopitelne zodpovidas i za to, ze ty data prestanou pouzivat vsichni, kterym, si je (s tim souhlasem) predal.

ses povinej pripadnymu ouradu dolozit, jakym zpusobem osobni udaje zpracovavas, a jak jsou zabezpeceny
9) ses povinej je zabezpecit adekvatne (to bude legranda)

10) asi bys mel mit nejakou interni smernici, ktera rika kdo co a jak muze s temi daty delat, k do k nim ma pristup atd.

Tohle je (velice zhruba) to, co musis jako bezna firma. Ale pokud ses trebas marketingova agentura ktera zpracovava velky mnoztvi osobnich udaju, tak mas jeste hromadu dalsich povinosti. Tohodle se tyce ten "zmocnenec" atd ...

Jop, osobnim udajem je samo i IPcko, a predavani dat treti osobe je trebas i googli pocitadlo. Na to bys musel mit souhlas, kterej rozodne nemas u neprihlaseniych a u prihlasenych jen pro nekoho, takze to musis zlikvidovat. Totez samo plati o reklamnich systemech  ... (to bude uberrit ...).

A samo, souhlasem nelze podminovat jakykoli poskytovani jakyhkoli sluzeb, jde o zcela nezavislou vec a nelze ten souhlas jakkoli vynucovat (ostatne, dotynej ho muze minutu potom odvolat).

Jinak ad IP ... muzes mit logy nezbytny pro provoz (a sou to data "ze zakona") =  ne roky zpetne.

[Reklama]

[Tomas2]

GDPR nesmí řešit IT, musí to jít celou firmou na zkrz a největší důraz je právě na dokumentaci, evidenci, postupy a metodiku, nikoliv na samotné fyzicky zabezpečení dat.

Poté co proběhne ve firmě určitá analýza nakládání s daty napříč celou firmou (od vrátného a jeho deníku příchodů/odchodů po databáze a data v IT systémech), pozor, tady si firma musí stanovit zmocněnce, který za to bude zodpovědný (zaměstnanec nebo třeba externí společnost).

Po analýze následuje sepsání postupů, co dělat v různých případech, jak se bude nakládat s kterými daty, kudy vším půjdou a kdo k nim bude mít přístup, jak budou probíhat kontrolní mechanismy atd. atd.

Poté je na konzultaci úřadů a zmocněnce rozhodnutí o konkrétním implementaci a konkrétním technickém zabezpečení. U malých eshopů požadavek na šifrování dat nejspíš nenastane.

Pokud je zájem o technickou stránku, mohu popsat, jak příprava vypadá u jedné z naší nějvětší banky a jak se s tím vypořádali u jejich databází.

[M.]

Jak zaznělo, GDPR není jen IT, je to hlavně o procesech, papírech a vztahuje se i na šanony ve skříni u účetní/personalistky.
Prvotní podstaté je rozhodnutí do jaké kategorie padnu. Zda se schovám pod mikropodniky (do 250 zaměstanců) nepzracovávající primárně osobní data (kam padne většina malých firem/živnostníků), či budu mimo tuto skupinu, případně i ve variantě s nutností mít zmíněného zmocněnco pro osobné data. Od toho se pak odvíjí ta celá strategie. Ta nejmenší skupina to má trochu jednodušší v rozsahu vedené dokumentace.
Upřimně, sleduji bokově, moje starost to není, ale nějvětší problém vidím pro malé využívání prostředků třetí strany a udržení oddělení osobníh dat od zbytku a případně jejich likvidace.
Zrovna bankovní sektor je na tom relativně dobře, protože fakticky řadu požadavků už má splněno přes nátlak od jiné legislativy, takže maximálně (což činí) postupně klienty zvou k podepsání nových souhlasů se zpracováním osobních dat.
Dost blbé to bude mít hlavně pojišťovnictví a telco sektor. A přes hubu dostaou slušně malé webshopy (hlavně na bod vázané souhlasy, což platí snad pro všecha data, co dosud získali).
Co se kontrol týče, berme to tak, že to bude hlavně na "občanské upozornění" a s velkou pravděpodobností na upozornění zhrzeného odejitého zaměstance (zkušenost za 3 MKč).

[MP]

Pokud je zájem o technickou stránku, mohu popsat, jak příprava vypadá u jedné z naší nějvětší banky a jak se s tím vypořádali u jejich databází.

Urcite by me to zajimalo. Nevim, do jakych detailu by to stacilo popsat, aby se dala udelat nejaka predstava, proto jsem uvadel v uvodu priklad "jednoduche" databaze, kterou ma snad kazda firma.

[rg r hfsgve]

Tak zrovna eshopum to preju, protoze vesmes chteji vic udaju nez opravdu potrebuji.
A kdyz jsme u toho, k cemu pro pridavani prispevku musim povinne vyplnit email taky nechapu.

[andy]

Na suhlas so spracovanim staci klasicky checkbox? To by mali mat eshopy aj v sucastnosti. Mna skor zaujima to spracovanie. To ked si zamestnanec otvori objednavku a ma tam meno, ma to byt auditovane a nasledne sa to ma vyskytnut v pripadnom vypise? Alebo este presnejsie - ak urobim select ktory vrati niekoho osobny udaj, mam to pridat do logu?

[M.]

Ano, stačí checkbox, ale musí to být samostatná stránka a ne spojená s něčím jiným.

Např., jak je to dneska klasicky - mám stránku s objednávkou, dole je npř. chceckbox chci dostávat nabídky a pod tím jedno tlačítko, co odešle potvrzení obejdnávky i toho spamování, tak jde o vázaný souhlas, který je neplatný. A pokud jsi takto získal souhlasy dříve, tak za rok ztratí platnost.
Takže musíš mít od sebe odděleno podání souhlasu pro posílání spamu/založení účtu/vlastní objednávku/... Dohromady můžeš spojit jen věci, keré jsou nezbytné k realizaci vlastní objednávky.
Je možno to dát na jednu stráku - souhrn objednávka a k tomu checkbox že chci spam, ale pro každé musí být samostané tlačítko pro odeslání.
A vzhledem k tomu, že podobně vázaným způsobem jsou získány snad všechny souhlasy i u dalších, tak buď musíš tato data zahodit v květnu 2018 nebo vyžádat si do té doby nové. Jestli jsem to pochopil, pokud si někdo bude stěžovat, tak se u takového vázaného souhlasu nebude brát za prokázané, že dal patřičně souhlas.

Zda musíš auditovat/zaznamenávat jednotlivé manipulace/zobrazení/použití osobního údaje, tak to záleží, do jaké skupiny zpracovatelů z pohledu GDPR padneš. Takže je žádoucí minimalizovat operace, kdy se někdo k osobním datům dostane, což obecně GDPR požaduje, že osobní údaj máš spatřt jen v nezbytné době/míře, kdy jej prokazatelně potřebuji. U zpracování/zálohování vidím také velký problém u využívání dcloudových/istribuovaných platforem. Pokud si předem nezískáš souhlas, tak nesmíš data (ani v zašifrované formě) dát/umístit mimo jurisdikci EU, takže je potřeb se omezit na služby, které ti dají patřičnou gararnci, že vše bude v EU nebo i mimo EU budou respektovat a plnit požadavky EU.

[Petr]

Tak celý den jsem odpovídal na otázky u svých systémů v práci v bance a teď mě to ještě pronásleduje tady =:-o

[j]

Ano, stačí checkbox, ale musí to být samostatná stránka a ne spojená s něčím jiným.

Na to bych se nespolehal. Protoze dukazni bremeno je na zpracovatelich dat. Ze nekdo (nebo neco) nekde zaskrtlo nejakej checkbox a vyplnilo to tam nejaky osobni udaje jeste vubec neznamena, ze to udelal ten dotycnej clovek, nebo ze o tom aspon vi. A sem vazne zvedav, jak budes dokladat, ze to neudelal nejakej bot, pripadne, ze sis to tam nezaskrt sam.

[M.]

Je to spojeno s potvrzovacm mailem, který musí dotyčný odsouhlasit. Ale nesledoval jsem, protože tuto oblast neřeším.

Ale jak je to správně, to se uvidí, až kdo první nedostane flastr po kontrole. :-)

Minimálně např z role ISP, kdy třeba chci po účaetníkovi číslo na mobil a email, tak to chce papír zvlášť, protože k ukládání a použití telef. čísla a emailu nejsme zmocněn v ZoEK (na rozdíl od jméno, popřípadě jména, a příjmení, bydliště, datum narození nebo rodné číslo fyzické osoby, bylo-li přiděleno), takže smlouva o připojneí minimálně na 2 papíry, zvlášť smlouva a druhý papír, kde podepisuje, že i dává email adresu a mobil číslo, které budu držet, na mail 1x měsíčně posílat vyúčtování a případné informace o nedopltcích/přeplatcích. U mobilu případně SMS o nedoplatku nebo výpadkách v rozsahu nepřevyšujícím v průměru 3 zpráv/měsíc a může být číslo použito pro telefonní kontakt pro dojednání schůzek, servisního zásahu atd (v podstatě papír podobně, jak s ním teď i otravují bankéři, ČEZ a další podobní). Toto zvlášť podepsané na samosatném papíru a následně číslo/email doplněné do smlouvy o připojení. A pokud mi to nepodepíše, tak zbývá leda ten papír do obálky nebo si volej sám na infolinku. Vlastní proces zpracování a uložneí je pak zcela jiná kapitola.

[Lol Phirae]

Jestli Chcete  přidat stránku s příslušnými zásadami ochrany soukromí GDPR, můžete použít tento bezplatný automatický konstruktor

No konečně!!! Několik stránek strojově generovaných blábolů v ruštině je přesně to, co jsem potřeboval!!!