instituce by mely byt do jiste miry za data zodpovedne a nakladat s nimi opatrne. Jenze v praxi to muze a casto i je pomerne nakladna zalezitost. Nekdy i drasticka zmena firemnich procesu.
To si zase nemyslím. GDPR se zavádí roky, dlouho dopředu bylo avizované. Celá směrnice směřuje k poměrně jednoduchému cíli: data chránit, segregovat oprávnění, mít ve firmě pořádek. Objektivní odpovědnost byla stanovena, protože se jinak nikdo nemohl domoci práva.
Krome toho, ze logy drzim jenom jeden den, protoze proste vic si nemuzu dovolit ukladat. Kvalitativne prokazu, ze jsem udelal maximum pro naplneni GDPR. Ale proste nemam logy soudruzi, jako sorry jako.
Na logy existuje řešení mnohem víc. Spousta logů neobsahuje citlivé informace. Některé obsahují IP adresu, ale pokud např. není spojena spojitelná s query a dalšími informacemi, není to a priori citlivá informace. (Zde musí odpovědná osoba zjistit stav a tomu se přizpůsobit). Někdy stačí některá data anonymizovat, někdy stačí dostatečně bezpečně oddělit administrátora od dat a těch, kteří mohou logované informace spojit s konkrétními osobami. Cest je prostě mnoho.
Ocekava se, ze teda nejakej /mnt/hr/report/soubor.xlsx by mel byt proste logovanej kazda aktivita nad souborem. Protoze teoreticky ho mohl nekdo skopirovat pred rokem, dalsi rok potrva nez si toho nekdo nekde vsimne a pak prijde GDPR a rekne co? Chci 3 roky stary logy kdo pristupoval k tomuhle souboru, bo jinak neverim, ze to je bezpecny?
To je absolutně špatné pojetí GDPR, přesně to, co jsem říkal, že si firmy vyložili zcela naruby. Pokud se stane incident, v první řadě bude firma prokazovat, že jsou zaměstnanci poučeni jak se má s daty zacházet, jestli hned při nástupu do práce atd. Jestli probíhají pravidelné obnovy školení a jestli jsou nastaveny kontroly. To je úplně stejné, jako s pracovními úrazy: když se stane, tak firma musí prokázat vstupní lékařskou prohlídku, školení BOZP, doškolování BOZP, následně se zjišťuje, jestli je v praxi dodržováno. Když má zaměstnanec autonehodu a dojde ke zranění, zjišťuje se proškolení řidičů a jestli firma řidičskou kázeň kontrolovala (nebo jestli to nechala "prostě být").
Takže žádný log. Prokazovat budete, že máte ve firmě pořádek.
Co kdyz se stane, ze zamestnanec si nahral ten soubor na svym android, zazalohoval si to omylem ke googlu i s telefonem a kontaktama a uteklo to ve finale pres jeho ucet? Rozdil v tom jestli drzim logy den nebo 6 mesicu by asi nebyl. Drzet to jak ucetnictvi? 5-7 let bo kolik?
V první řadě se bude řešit: 1) co v souboru bylo za data, 2) proč bylo tolik dat v jednom souboru, 3) proč k němu měl zaměstnanec přístup (potřeboval to ke své práci?), 4) byl poučen, že nesmí data z firmy kopírovat?, 5) umožnila firma připojovat si do sítě kdejaké zařízení (telefon)? (není myšleno technicky umožnila, ale předpisem), 6) konrolovalo se to v praxi? (mnoho firem má předpisy na papíře, ale v praxi se nedodržují).
Účetnictví a zjeména mzdové účetnictví je ideální příklad. Mzdové záznamy se archivují 30 let. Od nepaměti každá zodpovědná firma (už snad od Rakouska-Uherska) měla mzdovou účtárnu zcela oddělenou. Osobní složky zaměstnanců byly pod dvěma zámky. Oddělení odemykal ráno šéf, běžní účetní chodili až po něm. --- To je odpovědný přístup v praxi. Dnes se na to pouze začalo kašlat, ale možné to bylo už před sto lety. (Dnes je to horší, že data nám uletí rychlostí světla).
Hezkým GDPR příkladem jsou e-shopy, které dodnes zcela zbytečně sbírají na doklady (faktury) jmnéno, adresu, ... Zcela zbytečně. Pak musí 10 let tyto doklady archivovat, tedy 10 let musí dbát na jejich ochranu. E-shop, který to má v hlavě v pořádku, vystavuje doklady bez jména. A údaje doplňuje jen na 10000 Kč a jen na požádání. Příkladem je IKEA - tam můžete pokladnou projet s nákupem za 60.000 Kč a vyjede jen paragon. Pro účely reklamace to stačí. Pokud chcete víc (do účetnictví), musíte na zákaznické služby a teprve tam Vám údaje doplní do faktury.
Soudruh politik to IT vidi a chape asi jako prumerny american mapu sveta. =/
To si nemyslím. Zrovna Vaše otázky ukazují, jak GDPR technici nerozumí a jak ho překrucují do úplně něčeho jiného, než je. Pokud jste zaměstnaný, tak to není Vaše chyba. Poučit Vás měl zaměstnavatel. Jestli to neudělal (neřešil), pak je to zase selhání. (A vím, že firmy často GDPR házejí na hrb ajťákům, kteří s tím mají pramálo co do činění).