» »

GDPR, se ze veselite? :)

GDPR, se ze veselite? :)

M.B. ::

Pa še nekaj me zanima. Kako je možno dat opt-in uporabniku, da boš hranil njegov IP za namene logiranja? Če pa ko pride na spletno stran je njegov IP v logu.
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.

Lonsarg ::

Če sem jaz prav razumel je za tiste podatke, ki so "nujni za delovanje storitve" dovolj obvestilo oziroma preprosti accept. Nenujni so tisti, ki zahtevajo eksplicitni opt-in.

Skratka to je lažji del, najtežji del implementacije je auditing, ker bodo auditing tabele večje od samih izvornih tabel... No ter pa deletanje podatkov je tudi zabavno.

SeMiNeSanja ::

Kot je nekdo na nekem drugem forumu rekel: če imaš dobre odvetnike, lahko logiraš in hraniš kar hočeš...

Tu se nekaj komplicira glede IP naslova v log datoteki spletnega strežnika....medtem ko Facebook in Google o nas kopičijo podatke, za katere se nam še sanja ne - pa sta na koncu še na nek čudežni način skladna z GDPR?!? Go figure!

PaX_MaN ::

pudge je izjavil:

Ali bo GDPR zakonodaja vplivala na spletne storitve, kot so bizi.si, ajpes, companywall, itd..?

Ne, ker je "Vir vseh podatkov [...] AJPES", to niso osebni podatki.

pudge je izjavil:

Bo imela fizična in pravna oseba pravico do izbrisa oz. pozabe podatkov o lastništvu, neporavnanih obveznosti, itd..?

Pravna ne, fizična mogoče(*pod nekaterimi pogoji).

SeMiNeSanja je izjavil:

Tu se nekaj komplicira glede IP naslova v log datoteki spletnega strežnika....medtem ko Facebook in Google o nas kopičijo podatke, za katere se nam še sanja ne - pa sta na koncu še na nek čudežni način skladna z GDPR?!? Go figure!

Enostavno je: obkljukal si da se strinjaš s tem kaj počno s tvojimi podatki.

Zgodovina sprememb…

  • spremenilo: PaX_MaN ()

SeMiNeSanja ::

PaX_MaN je izjavil:


SeMiNeSanja je izjavil:

Tu se nekaj komplicira glede IP naslova v log datoteki spletnega strežnika....medtem ko Facebook in Google o nas kopičijo podatke, za katere se nam še sanja ne - pa sta na koncu še na nek čudežni način skladna z GDPR?!? Go figure!

Enostavno je: obkljukal si da se strinjaš s tem kaj počno s tvojimi podatki.

Hja.... glede na stanje tehnologije, si s klikom na katerikoli link dal svoje soglasje za to, da se zazna tvoj IP naslov na strežniku, katerega si obiskal preko klikanega linka. Tako internet pač deluje.
Logično je potem tudi pričakovati, da se bo zaznani naslov zabeležil na strežniku?

Zame je to tako, kot če se sprehajam pred kamero v trgovskem centru in potem rečem "ker nisem dal izrecnega soglasja, me kamera takointako ne more snemat".

ShowDown ::

stb je izjavil:

Zanimivo, A1 (bivši Simobil) se je stvari lotil z obvestilom v katerem najavljajo kopico sprememb v splošnih pogojih in politikah: https://www.a1.si/pomoc-in-informacije/...


Kje je opt-in? >:D

Zbiranje osebnih podatkov na podlagi privolitve - soglasja mora biti jasna in razumljiva izjava, dana
z nedvoumnim pritrdilnim dejanjem (opt-in) in dokazljiva. Posameznik mora torej izrecno podati
privolitev v zbiranje in obdelavo svojih osebnih podatkov.

Zgodovina sprememb…

  • spremenilo: ShowDown ()

SeMiNeSanja ::

ShowDown je izjavil:

stb je izjavil:

Zanimivo, A1 (bivši Simobil) se je stvari lotil z obvestilom v katerem najavljajo kopico sprememb v splošnih pogojih in politikah: https://www.a1.si/pomoc-in-informacije/...


Kje je opt-in? >:D

Zbiranje osebnih podatkov na podlagi privolitve - soglasja mora biti jasna in razumljiva izjava, dana
z nedvoumnim pritrdilnim dejanjem (opt-in) in dokazljiva. Posameznik mora torej izrecno podati
privolitev v zbiranje in obdelavo svojih osebnih podatkov.

Razen kadar se določeni podatki zbirajo na osnovi zakona.....
A1 od svojih uporabnikov dejansko MORA pobrati kup podatkov, pa če ti je to všeč ali ne. Kako naj ti drugače izvaja storitve, pošilja račune,....? Ne gre....

Mavrik ::

SeMiNeSanja je izjavil:


Tu se nekaj komplicira glede IP naslova v log datoteki spletnega strežnika....medtem ko Facebook in Google o nas kopičijo podatke, za katere se nam še sanja ne - pa sta na koncu še na nek čudežni način skladna z GDPR?!? Go figure!


To je zato ker bosta Facebook in Google vložila precej sredstev v to da bosta se držala zakonodaje (no, vsaj za Google vemo da bo :P), ne pa se k stvari spravila šalabajzersko z vitjem rok in jamranjem.

SeMiNeSanja je izjavil:


Hja.... glede na stanje tehnologije, si s klikom na katerikoli link dal svoje soglasje za to, da se zazna tvoj IP naslov na strežniku, katerega si obiskal preko klikanega linka. Tako internet pač deluje.
Logično je potem tudi pričakovati, da se bo zaznani naslov zabeležil na strežniku?

Zame je to tako, kot če se sprehajam pred kamero v trgovskem centru in potem rečem "ker nisem dal izrecnega soglasja, me kamera takointako ne more snemat".


V bistvu nisi dal nobenega soglasja in tazadnji stavek bi bil pod GDPR lahko popolnoma okej :)
The truth is rarely pure and never simple.

Zgodovina sprememb…

  • spremenil: Mavrik ()

Invictus ::

Videonadzor niso osebni podatki ;). To ureja druga zakonodaja...

Pač butast primer...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Mavrik ::

Joj, Invictus, ne spet govorit o stvareh, ki jih ne razumeš. Video nadzor jasno so osebni podatki in se jih dotika tudi GDPR.
The truth is rarely pure and never simple.

Invictus ::

Dokler video ni uparjen s prepoznavo obraza in dotično osebo, to ni nikakršen osebni podatek...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

Mavrik ::

No, motiš se. :)
The truth is rarely pure and never simple.

SeMiNeSanja ::

ZVOP-2 si poglej....polovica govori samo o videonadzoru, do nekih absurdnih podrobnosti.
Nadzora/varstva ostalih podatkov v gibanju (ki se pretakajo po omrežjih) in mirovanju (so shranjeni na pomnilniških medijih), pa se komajda dotakne. Vse nekaj pavšalno, nič konkretnega. Megla.

Če bi sklepal po ZVOP, so podatki videonadzora bolj pomembni osebni podatki, kot vsi ostali. Resnica pa je, da odvetniška gospoda 1000x lažje razume videonadzor in tehnologije, ki so povezane z njim, kot pa vse ostale oblike podatkov in njihovega varovanja. Poleg tega se tehnologije na ostalih področjih izredno hitro spreminjajo, kar potem še dodatno otežuje konkretizacijo v zakonski obliki. Čim pa zadeva ni konkretizirana, pa pušča ogromno umetniške svobode pri implementaciji. Saj lahko zapišeš v zakon, da si dolžan na primeren način varovati osebne podatke. Vendar potem hudimana tudi definiraj, kaj je tisti 'primeren način', kaj so minimalni standardi, kje se dejansko začne malomarnost, katera je kazniva po zakonu.

IP RS je že kaznoval podjetja zaradi 'neprimernega varovanja' podatkov. Ampak res mi ni jasno, na osnovi česa so določili, da je bilo to varovanje neprimerno. Ravno tako me po svoje čudi, da kaznovano podjetje ni uspelo najti dovolj sposobnega odvetnika, da bi to kazen izpodbil.

V cestnem prometu se točno ve za vsak prekršek, kolikšna kazen te bo doletela. V bistvu je zakon že kar 'cenik'. Ko te ujamejo, se nimaš kaj izgovarjati.
Na področju varovanja podatkov pa kaos. Še to se ne ve, ali je kaznivo, če imaš na routerju admin account brez gesla ali pa imaš še vedno default geslo. Vsak ve, da je to groba malomarnost - ampak je tudi kazniva? In če je - kakšna kazen te čaka? Kje so šele milejši prekrški, kot npr. da na routerju poganjaš 10 let star firmware, za katerega se ve, da ima gomilo varnostnih napak.

SeMiNeSanja ::

Priporočam pa še, da si preberete "The Nightmare Letter".
Zadeva je zelo lep primer, kako lahko kot uporabnik lepo pokvariš dan nekomu, ki meni, da je glede GDPR že vse rešil (samo v Slovenščino ga je še treba prevesti >:D).

Pozabljamo tudi, da bi dejansko morali vsem našim poslovnim partnerjem (računovodski servis, svetovalci, serviserji...), s katerimi si izmenjujemo kakršnekoli podatke iz kategorije osebnih podatkov (ali jim omogočamo dostop do njih) poslati podobne vprašalnike.

Spet se pa tukaj pojavlja vprašanje, kako podrobni vprašalniki so sploh še sprejemljivi. Če gredo zadeve preveč v podrobnosti, lahko že govorimo o neke vrste social engineering napada s pomočjo katerega se poizveduje o načinih varovanja našega omrežja. Predstavljajte si, da nekdo od vas želi poleg ostalih podatkov še zadnje poročilo security audita vašega omrežja in/ali zadnjega penetracijskega testa. Bi ga posredovali?8-O

c3p0 ::

PaX_MaN je izjavil:


Enostavno je: obkljukal si da se strinjaš s tem kaj počno s tvojimi podatki.


GDPR še vedno velja, ne glede na to s čim si se tam strinjal.

Uporabnix ::

Še na nekaj sem pomislil, ko pošiljaš delodajalcem CV, jim tudi predaš ogromno osebnih podatkov.
Predvidevam, da se lahko tudi v tem primeru slicuješ na GDPR, če se ti zdi, da ni potrebe, da imajo podatke v primeru zavrnitve prošnje za delovno mesto. Ali se motim?
Če pomisliš, jim pošlješ za cel fejsbuk informacij, ne le osnovne podatke, še clo opis, kakšen tip človeka si, kaj počneš, kaj te zanima, celo zgodovino šolanja itd.

Zgodovina sprememb…

  • spremenilo: Uporabnix ()

SeMiNeSanja ::

Uporabnix je izjavil:

Še na nekaj sem pomislil, ko pošiljaš delodajalcem CV, jim tudi predaš ogromno osebnih podatkov.
Predvidevam, da se lahko tudi v tem primeru slicuješ na GDPR, če se ti zdi, da ni potrebe, da imajo podatke v primeru zavrnitve prošnje za delovno mesto. Ali se motim?

Hahahaha - jim pošlješ mail: "saj bi vam poslal vlogo za razpisano delovno mesto, vendar mi prosim predhodno posredujte ustrezna zagotovila, da je poslovanje vašega podjetja skladno z GDPR........"

Uporabnix ::

S tem jim samo dokažeš še eno fino kompetenco: da nisi naiven šalabajzer. :
Sicer sem mislil bolj za nazaj, ko že pošlješ in zavrnejo.

Zgodovina sprememb…

  • spremenilo: Uporabnix ()

Jure14 ::

SeMiNeSanja je izjavil:

Priporočam pa še, da si preberete "The Nightmare Letter".

Na večino vprašanj lahko odgovoriš z "Ne razkrivamo poslovnih skrivnosti in varnostnih mehanizmov."
Za preostanek pa izpišeš iz programa vse podatke, ki jih imaš o osebi.

DonMatejo ::

Kaj pa tale primer:
Stranka pride na stran in opravi nakup.
Pri tem izvem IP, Ime, Priimek, Naslov, Email in Tip plačila.
Postopek plačila se izvede pri posredniku in sam nad tem nimam nadzora.
Vse skupaj se shrani na fakturo, ki se pošlje stranki.
Vsi ti podatki se prav tako shranijo v bazo podatkov, ki so za stranko relevantni do izvedbe storitve (lahko rečemo, da gre za podatke o fakturah).
To je enkratni proces, ki ga stranka opravi kot gost (no logging in).

Bolj kot berem GDPR in ostale prakse, bolj vidim, da so vsi podatki, ki jih pridobim (z izjemo IP-ja) potrebni pogoj za izvedbo storitve in jih zaradi računovodskih zadev ne morem izbrisati, spreminjati etc. Kako potem GDPR zares vpliva na moj posel?

Stranke se izven pogodbenega razmerja nikoli ne kontaktira, podjetje ne izvaja nobene marketinške dejavnosti.

Bom vesel kakšne ga insighta, ampak jaz razen neke dokumentacije procesa in skrbi za zaščito baze podatkov ne vidim nekih ostalih aplikacij.

PaX_MaN ::

c3p0 je izjavil:

PaX_MaN je izjavil:


Enostavno je: obkljukal si da se strinjaš s tem kaj počno s tvojimi podatki.


GDPR še vedno velja, ne glede na to s čim si se tam strinjal.


https://www.dnevnik.si/1042818750

Zgodovina sprememb…

  • spremenilo: PaX_MaN ()

SeMiNeSanja ::

Jure14 je izjavil:

SeMiNeSanja je izjavil:

Priporočam pa še, da si preberete "The Nightmare Letter".

Na večino vprašanj lahko odgovoriš z "Ne razkrivamo poslovnih skrivnosti in varnostnih mehanizmov."
Za preostanek pa izpišeš iz programa vse podatke, ki jih imaš o osebi.

Mislim, da ni ravno v smislu GDPR, da boš na vse odgovarjal, da se gre za poslovne skrivnosti - čeprav se tudi jaz strinjam, da so in jih ne velja razkrivati tretjim osebam.
Potrebno bi bilo nekaj 'vmes', kot npr. "področje X imamo urejeno v skladu/po priporočilih s standardom Y"

Matek ::

DonMatejo je izjavil:

Kaj pa tale primer:
Stranka pride na stran in opravi nakup.
Pri tem izvem IP, Ime, Priimek, Naslov, Email in Tip plačila.
Postopek plačila se izvede pri posredniku in sam nad tem nimam nadzora.
Vse skupaj se shrani na fakturo, ki se pošlje stranki.
Vsi ti podatki se prav tako shranijo v bazo podatkov, ki so za stranko relevantni do izvedbe storitve (lahko rečemo, da gre za podatke o fakturah).
To je enkratni proces, ki ga stranka opravi kot gost (no logging in).

Bolj kot berem GDPR in ostale prakse, bolj vidim, da so vsi podatki, ki jih pridobim (z izjemo IP-ja) potrebni pogoj za izvedbo storitve in jih zaradi računovodskih zadev ne morem izbrisati, spreminjati etc. Kako potem GDPR zares vpliva na moj posel?

Stranke se izven pogodbenega razmerja nikoli ne kontaktira, podjetje ne izvaja nobene marketinške dejavnosti.

Bom vesel kakšne ga insighta, ampak jaz razen neke dokumentacije procesa in skrbi za zaščito baze podatkov ne vidim nekih ostalih aplikacij.
Če ti lahko v trgovini izdajo račun, brez da bi poznali tvoj email, IP, ime, priimek in naslov, potem to očitno niso nujno potrebni podatki z vidika računovodstva. Z vidika obveščanja kupca, pošiljanja paketa in podobnega, pa sicer so potrebni, ampak kot si rekel, samo do izvedbe storitve.

V enem od mnogoterih GDPR FAQ člankov sem zasledil ravno ta primer in odgovor je bil točno v tem smislu. Jaz lahko rečem "pobriši me iz svoje etrgovine", ti ne smeš pobrisati vseh podatkov o naročilu, ker nekatere rabiš za računovodstvo, moraš pa odstraniti tiste, ki niso nujni za to.
Bolje ispasti glup nego iz aviona.

SmeskoSnezak ::

Matek je izjavil:

DonMatejo je izjavil:

Kaj pa tale primer:
Stranka pride na stran in opravi nakup.
Pri tem izvem IP, Ime, Priimek, Naslov, Email in Tip plačila.
Postopek plačila se izvede pri posredniku in sam nad tem nimam nadzora.
Vse skupaj se shrani na fakturo, ki se pošlje stranki.
Vsi ti podatki se prav tako shranijo v bazo podatkov, ki so za stranko relevantni do izvedbe storitve (lahko rečemo, da gre za podatke o fakturah).
To je enkratni proces, ki ga stranka opravi kot gost (no logging in).

Bolj kot berem GDPR in ostale prakse, bolj vidim, da so vsi podatki, ki jih pridobim (z izjemo IP-ja) potrebni pogoj za izvedbo storitve in jih zaradi računovodskih zadev ne morem izbrisati, spreminjati etc. Kako potem GDPR zares vpliva na moj posel?

Stranke se izven pogodbenega razmerja nikoli ne kontaktira, podjetje ne izvaja nobene marketinške dejavnosti.

Bom vesel kakšne ga insighta, ampak jaz razen neke dokumentacije procesa in skrbi za zaščito baze podatkov ne vidim nekih ostalih aplikacij.
Če ti lahko v trgovini izdajo račun, brez da bi poznali tvoj email, IP, ime, priimek in naslov, potem to očitno niso nujno potrebni podatki z vidika računovodstva. Z vidika obveščanja kupca, pošiljanja paketa in podobnega, pa sicer so potrebni, ampak kot si rekel, samo do izvedbe storitve.

V enem od mnogoterih GDPR FAQ člankov sem zasledil ravno ta primer in odgovor je bil točno v tem smislu. Jaz lahko rečem "pobriši me iz svoje etrgovine", ti ne smeš pobrisati vseh podatkov o naročilu, ker nekatere rabiš za računovodstvo, moraš pa odstraniti tiste, ki niso nujni za to.

Care to elaborate? Kako to izvesti? En primer z John Dow ali pa Janez Novakom? :)
@ Pusti soncu v srce... @

DonMatejo ::

Matek je izjavil:


V enem od mnogoterih GDPR FAQ člankov sem zasledil ravno ta primer in odgovor je bil točno v tem smislu. Jaz lahko rečem "pobriši me iz svoje etrgovine", ti ne smeš pobrisati vseh podatkov o naročilu, ker nekatere rabiš za računovodstvo, moraš pa odstraniti tiste, ki niso nujni za to.


Dopolnjujem vprašanje: Nimam e-trgovine (v smislu woocomerca). Imam kontaktno formo, s katero stranka s podjetjem sklene pogodbo, podatki obrazloženi zgoraj pa so ključni del te pogodbe in brez njih izvedba storitve ni mogoča.

Z računovodskega stališča bi bila lahko pogrešljiva samo email in IP, se strinjam. IPja načeloma ne rabim in ga lahko pozabim, email pa v zadnjih n-letih vedno dopišem na račun kot ključno komponento za komunikacijo s stranko.

Kaj misliš?

darkolord ::

> email pa v zadnjih n-letih vedno dopišem na račun kot ključno komponento za komunikacijo s stranko

Ampak ko se storitev/pogodba zaključi, ti nimaš več kaj komunicirati s stranko (razen če se izrecno strinja).

DonMatejo ::

@darkolord Ja, se strinjam. S stranko se tudi nikoli ne komunicira izven pogodbe, je pa to že na fakturi (nism zihr če ga lahko tudi kar tako izbrišem iz fakture in s tem spreminjam fakturo ampak pustimo to na strani za trenutek, ker je to pravno vprašanje).

Vprašanje je, kaj storiti:
1) email izbrisati po končani pogodbi
2) checkbox, da se stranka strinja s tem, da se email hrani in potem to hranim v bazi podatkov, na strankino prošljo ga pokažem ali izbrišem (ročno)
3) checkbox + izgradnja user portalov, kjer se bo za vsako stranko hranil email in ga ona potem lahko edita/deleta, če hoče.
4) sem odprt za ideje.

Ker, če je varianta 2, potem je to čisto sprejemljivo, če je pa varianta 3 je pa za to potreben kar konkreten vložek.

Hvala za odgovore.

SeMiNeSanja ::

@Don.....
kot prvo: DON'T PANIC !
kot drugo: DON'T PANIC !
kot tretje (že slutiš?): DON'T PANIC !

Spomni se zgodbe o piškotkih, ki se je kuhala 10x bolj vroča, kot se je potem na koncu pojedla.
Najslabše pri poškotkih so jo odnesli tisti, ki so takoj na prvi dan hoteli biti skladni od A-Ž, ob tem, ko nihče zares še ni obvladal abecede.

V tvojem primeru se gre zgolj za naslov strankinega maila. Ker ti ga je v sklopu sklepanja pogodbe posredovala stranka sama, obtem pa je verjetno tudi del komunikacije potekal preko maila, bi jaz to razumel kot strankino privolitev v hrambo njenega maila - opt-in. V nasprotnem primeru namreč nebi dala naslova ali pa bi podala lažni mail naslov.

Ker podatkov ne procesiraš, ne prodajaš ali kakorkoli z njimi zganjaš nekaj, kar bi lahko kdo smatral za hujšo kršitev GDPR, se ne rabiš bati nekih kazni. Tudi v primeru da imaš sovražnike in te nekdo ovadi pri IP RS, bi jo v najslabšem primeru odnesel z opominom in pisnim navodilom, kaj moraš popraviti.

Sčasoma se bodo stvari izkristalizirale. Pokazalo se bo, kaj je še dopustno, kaj pa je že pretiravanje.
Brezglavo brisanje podatkov je za moje pojme pretiravanje, zaradi katerega bo marsikoga še bolela glava.

Drugače pa mislim, da imaš kot prodajalec dolžnost hraniti podatke o kupcih, da jih lahko kontaktiraš v primeru kakršnihkoli težav z proizvodi, ki si jim jih prodal (odpoklici, odprave tovarniških napak,...). Da kupca ne kontaktiraš več, ko je prodaja zaključena, je normalno v določenih branžah. V drugih branžah pa nikakor ni normalno, da se s kupcem prekine vse stike. Zato nikakor ni možno reči, da moraš kar pavšalno brisat kontaktne podatke svojih strank.

Za enkrat bi se jaz na tvojem mestu lepo poslužil tistega checkboxa (stay on the safe side), zraven pa navedel, zakaj te podatke potencialno potrebuješ.

AndrejO ::

SeMiNeSanja je izjavil:

ZVOP-2 si poglej....polovica govori samo o videonadzoru, do nekih absurdnih podrobnosti.
Nadzora/varstva ostalih podatkov v gibanju (ki se pretakajo po omrežjih) in mirovanju (so shranjeni na pomnilniških medijih), pa se komajda dotakne. Vse nekaj pavšalno, nič konkretnega. Megla.

Ustava očitno zadošča. V zakon se mora zato posebej zapisati samo primere, kjer ustava dopušča izjemo od splošne zapovedi.

SeMiNeSanja je izjavil:

Če bi sklepal po ZVOP, so podatki videonadzora bolj pomembni osebni podatki, kot vsi ostali. Resnica pa je, da odvetniška gospoda 1000x lažje razume videonadzor in tehnologije, ki so povezane z njim, kot pa vse ostale oblike podatkov in njihovega varovanja.

Če bi bil malo manj napuhel, ti bi "odvetniška gospoda" povedala, da GDPR velja neposredno zaradi česar ni potrebno prepisovati vseh tistih členov, kjer Slovenija ne želi uzakoniti dopustnih izjem ali pa zagotoviti višji nivo varovanja.

SeMiNeSanja je izjavil:

Poleg tega se tehnologije na ostalih področjih izredno hitro spreminjajo, kar potem še dodatno otežuje konkretizacijo v zakonski obliki.

Zato je večina zakonov napisana tako, da se tiče načel, ne pa vsakdonevne barve neba.

SeMiNeSanja je izjavil:

Čim pa zadeva ni konkretizirana, pa pušča ogromno umetniške svobode pri implementaciji.

Dokler zakon spoštuješ, je načeloma popolnoma nepomembno kakšno pot do "razsvetlitve" si izbral. Vsi se pritožujejo nad "mikromagementom zakonodaje", ko pa se jo zapiše tehnološko nevtralno, pa spet ni OK.

Pojdi in poskusi enkrat sam napisati en sam člen enega samega zakona.

SeMiNeSanja je izjavil:

Saj lahko zapišeš v zakon, da si dolžan na primeren način varovati osebne podatke. Vendar potem hudimana tudi definiraj, kaj je tisti 'primeren način', kaj so minimalni standardi, kje se dejansko začne malomarnost, katera je kazniva po zakonu.

In potem se bo našel nekdo, ki bo do pike izpolnil vse zahteve zakona in še vedno na suho nat**nil vse svoje stranke. ZFPPIPP je en takšen zelo konkreten primer.

SeMiNeSanja je izjavil:

IP RS je že kaznoval podjetja zaradi 'neprimernega varovanja' podatkov. Ampak res mi ni jasno, na osnovi česa so določili, da je bilo to varovanje neprimerno.

Povej o kateri odločbi je govora, pa ti bom pomagal razumeti.

SeMiNeSanja je izjavil:

Ravno tako me po svoje čudi, da kaznovano podjetje ni uspelo najti dovolj sposobnega odvetnika, da bi to kazen izpodbil.

Morda je za spodbijanje kazni najprej dobro biti nedolžen. Če nič drugega, so se pri IP-RS že kar solidno naučili izogibati postopkovnim napakam (khm, KPK, khm, ...).

SeMiNeSanja je izjavil:

V cestnem prometu se točno ve za vsak prekršek, kolikšna kazen te bo doletela. V bistvu je zakon že kar 'cenik'. Ko te ujamejo, se nimaš kaj izgovarjati.

Razen seveda, če bereš stvari, ki jih pišemo tukaj.

SeMiNeSanja je izjavil:

Na področju varovanja podatkov pa kaos. Še to se ne ve, ali je kaznivo, če imaš na routerju admin account brez gesla ali pa imaš še vedno default geslo.

Odvisno od tega, kaj je za usmerjevalnikom.

SeMiNeSanja je izjavil:

Vsak ve, da je to groba malomarnost - ampak je tudi kazniva?

Če si v prekršku, potem je, če pa nisi, potem pa pač ni.

SeMiNeSanja je izjavil:

In če je - kakšna kazen te čaka? Kje so šele milejši prekrški, kot npr. da na routerju poganjaš 10 let star firmware, za katerega se ve, da ima gomilo varnostnih napak.

Morda pa je to vprašanje popolnoma nepomembno. Si kdaj pomislil, da je pomembno zgolj to, da so osebni podatki ustrezno varovani, ne pa kaj ti počneš z usmerjevalnikom, ki je namontiran v omarici, ki je 2,5m od vhoda v prostore arhiva, kjer se hranijo medicinski kartoni v izvorni obliki in kamor je vstop možen samo skozi protivlomna vrata, za katera je ključ pri direktorju zdravstvenega doma?

AndrejO ::

SmeskoSnezak je izjavil:

Matek je izjavil:

V enem od mnogoterih GDPR FAQ člankov sem zasledil ravno ta primer in odgovor je bil točno v tem smislu. Jaz lahko rečem "pobriši me iz svoje etrgovine", ti ne smeš pobrisati vseh podatkov o naročilu, ker nekatere rabiš za računovodstvo, moraš pa odstraniti tiste, ki niso nujni za to.

Care to elaborate? Kako to izvesti? En primer z John Dow ali pa Janez Novakom? :)

Te zanima tehnično ali organizacijsko kako to izvesti?

SeMiNeSanja ::

@AndrejO - repliciral si prav vsak stavek posebej.....ampak žal imam na koncu občutek, da si ravno zato povsem zgrešil bistvo tega, kar sem napisal.

Če pogledaš druge zakone, od zdravstva pa do varstva pri delu, požarnega varstva, itd. itd. ni nikjer take megle, kot pri varstvu podatkov. Če drug zakon nalaga 'primerno ravnanje', potem tudi obstajajo neki dodatni akti, pravilniki, predpisi, kateri zelo natančno konkretizirajo, kaj je to 'primerno ravnanje', o katerem je govora v zakonu. Hkrati pa tudi natančno definirajo, kaj je nedopustno ravnanje.

Ko se gre za varstvo podatkov, pa je ta 'primernost' prepuščena presoji...koga? IP RS? Objektivni ali subjektivni presoji? Bo presoja drugačna, če si Pepe ali Jaka? Kaj pa, če je nekdo vstal z levo ali desno nogo? Kje so definirani kriteriji?
Kako potem braniti stališča, da nekaj ni neprimerno, če ni nobenega akta, ki bi definiral, da je določena stvar neprimerna?

In predvsem: kje boš vzel kriterije, ki jih moraš izpolniti, da ne boš postal žrtev presoje IP RS, da nisi 'ustrezno' varoval podatkov?

Pa ne govorim o routerju in fasciklih - govorim o tem, kako je celotna zgodba zastavljena. Da obstaja 'greh', ampak nikomur ni povsem jasno kdaj greši, kdaj pa ne.
Ista zgodba kot z piškotki. Piškotki kao zlo, pa nikjer zares definirano kdaj in kako so zlo. Potem pa vsak po svoje pameten o piškotih. Pa še Musarjeva vsake tri dni spreminjala stališča. Cool.
GDPR? Ja, določene zadeve so jasne kot beli dan. Druge so pa spet na nivoju drobtin piškotov, umetniške svobode in interpretacije posameznika. Zvenijo lepo, vsi pa ugibajo, kakšna je prava, sorazmerna in smiselna implementacija.

Če hočeš biti skladen z ISO standardi, PCI-DSS, NIST, itd. se ne ukvarjaš kaj dosti z 'umetniško svobodo'. Stvari so dokaj natančno definirane.
Ko govorimo o bistveno pomembnejšem dokumentu - zakonu, pa gremo lahko 'malo po domače'? Za mene je to precej nenavadno.

Če bi zakon o varstvu v cestnem prometu bil izveden na tak način, bi lahko povsod vozili s 'primerno hitrostjo' - predvidevam, da je primerna vsaka, razen tista, pri kateri pride do nesreče?
Na cesto bi se tudi lahko podal z primernim vozilom. Torej bi zadoščalo, da se lahko z lastno močjo zaustavi pred oviro...? Homologacija? Kdo pa to rabi!
Za upravljanje vozila pa bi tudi zgolj potreboval 'primerno znanje' - kdo pa še rabi vozniško dovoljenje!

Multinacionalke in velika podjetja si bodo že pomagali in najeli odvetnike, ki bodo na ustrezne načine interpretirali zakone in jih v primeru spora tudi zagovarjali.
Kaj pa avtomehanik Franci s svojim s.p., ki ne ve več, ali še lahko svojim strankam pošlje čestitko za rojstni dan, da ne bo obtožen, da je po nepotrebnem in na neprimeren način hranil osebne podatke svojih strank in grda baraba kriminalna te potem še "obdeloval" brez eksplicitnega predhodnega soglasja svoje stranke!

Za moje pojme, noben zakon nebi smel biti tako kompliciran, da potrebuješ odvetnika za njegovo tolmačenje. Ko je to enkrat potrebno, je zakon že v osnovi zgrešil svoj smisel. Če pa še odvetnik ne razume podrobnosti zakona, pa imamo pravo polomijo.

AndrejO ::

SeMiNeSanja je izjavil:

Če pogledaš druge zakone, od zdravstva pa do varstva pri delu, požarnega varstva, itd. itd. ni nikjer take megle, kot pri varstvu podatkov. Če drug zakon nalaga 'primerno ravnanje', potem tudi obstajajo neki dodatni akti, pravilniki, predpisi, kateri zelo natančno konkretizirajo, kaj je to 'primerno ravnanje', o katerem je govora v zakonu. Hkrati pa tudi natančno definirajo, kaj je nedopustno ravnanje.

In potem ti akti naredijo celega dreka. Samo reci, da tega še nisi opazil.

SeMiNeSanja je izjavil:

Ko se gre za varstvo podatkov, pa je ta 'primernost' prepuščena presoji...koga? IP RS?

Nadzornega organa in, v primeru spora, sodišča. Tako kot za čisto vsako drugo stvar. Nezaslišano, mar ne?

SeMiNeSanja je izjavil:

Objektivni ali subjektivni presoji? Bo presoja drugačna, če si Pepe ali Jaka? Kaj pa, če je nekdo vstal z levo ali desno nogo? Kje so definirani kriteriji?

Objektivni. Ne. Ne. V zakonu.

SeMiNeSanja je izjavil:

Kako potem braniti stališča, da nekaj ni neprimerno, če ni nobenega akta, ki bi definiral, da je določena stvar neprimerna?

IMO je GDRP solidno definiral večino stvari, ki so bile potrebne definicije.

Razumem pa, da definicije morda povzročajo težave ljudem, ki niti v preteklih 10 letih še niso zapopadli EU definicije "osebnega podatka", kaj šele, da bi tudi po 10 letih razumeli definicijo izraza "določljiva oseba".

Si morda tudi ti med njimi?

SeMiNeSanja je izjavil:

In predvsem: kje boš vzel kriterije, ki jih moraš izpolniti, da ne boš postal žrtev presoje IP RS, da nisi 'ustrezno' varoval podatkov?

Vsedeš se, pogledaš katere osebne podatke obdeluješ in to obdelavo uskladiš z zahtevami zakona. Ta je napisal tako liberalno, da ne potrebuješ posebnega dvornega dobavitelja.

SeMiNeSanja je izjavil:

Pa ne govorim o routerju in fasciklih - govorim o tem, kako je celotna zgodba zastavljena. Da obstaja 'greh', ampak nikomur ni povsem jasno kdaj greši, kdaj pa ne.

Eeem ... predvsem ni jasno tistim, ki v Sloveniji mislijo, da so osebni podatki problem nekoga drugega.

SeMiNeSanja je izjavil:

Ista zgodba kot z piškotki. Piškotki kao zlo, pa nikjer zares definirano kdaj in kako so zlo. Potem pa vsak po svoje pameten o piškotih.

Kaj je pri piškotkih še ostalo nedefinirano?

SeMiNeSanja je izjavil:

Pa še Musarjeva vsake tri dni spreminjala stališča. Cool.

Kot IP-RS je bila zgledno konsistentna. Odkar je šla v zasebni sektor, več ni faktor, ker dela v interesu svojih strank, ne pa nujno v interesu javnosti.

SeMiNeSanja je izjavil:

GDPR? Ja, določene zadeve so jasne kot beli dan. Druge so pa spet na nivoju drobtin piškotov, umetniške svobode in interpretacije posameznika. Zvenijo lepo, vsi pa ugibajo, kakšna je prava, sorazmerna in smiselna implementacija.

Npr?

SeMiNeSanja je izjavil:

Če hočeš biti skladen z ISO standardi, PCI-DSS, NIST, itd. se ne ukvarjaš kaj dosti z 'umetniško svobodo'. Stvari so dokaj natančno definirane.

Zakoni niso standardi. Zako lahko storim prekršek, policist me ustavi in po presoji vseh relevantnih okoliščin ugotovi, da se lahko postopek prekine.

Matica M5 nima "relevantnih okoliščin". Za PCI-DSS pa smo tudi ugotovili, da pomaga pri revizorskih kljukicah, ne pomaga pa kaj dosti proti zlorabam.

SeMiNeSanja je izjavil:

Ko govorimo o bistveno pomembnejšem dokumentu - zakonu, pa gremo lahko 'malo po domače'? Za mene je to precej nenavadno.

Kje pa gre po domače?

SeMiNeSanja je izjavil:

Če bi zakon o varstvu v cestnem prometu bil izveden na tak način, bi lahko povsod vozili s 'primerno hitrostjo' - predvidevam, da je primerna vsaka, razen tista, pri kateri pride do nesreče?

Res je. Policija pri ogledu kraja prometne nesreče pogosto napiše kazen zaradi neprilagojene hitrosti, ne glede na to, da se jim niti ne sanja, kako hitro je kaznovani vozil. Že dejstvo, da vozila ni obvladoval zadošča za edini logičen zaključek, da je očitno vozil z neprilagojeno hitrostjo.

SeMiNeSanja je izjavil:

Na cesto bi se tudi lahko podal z primernim vozilom. Torej bi zadoščalo, da se lahko z lastno močjo zaustavi pred oviro...? Homologacija? Kdo pa to rabi!

Pamet za volanom? Pa kdo to rabi, če pa imaš homologacijo?

SeMiNeSanja je izjavil:

Za upravljanje vozila pa bi tudi zgolj potreboval 'primerno znanje' - kdo pa še rabi vozniško dovoljenje!

To se pa strinjam. Dejansko bi morali prepovedati obdelavo osebnih podatkov vsem, ki bi padli na preverjanju znanja o GDPR.

Žal zakonodajalec tega ni dal v zakon, ampak vedno obstajajo še možnosti za izboljšave.

SeMiNeSanja je izjavil:

Multinacionalke in velika podjetja si bodo že pomagali in najeli odvetnike, ki bodo na ustrezne načine interpretirali zakone in jih v primeru spora tudi zagovarjali.

Lepa lastnost "interpretiranja zakonov" je ta, da odvetniki lahko nedovršno "interpretriajo", sodišča pa dovršno pove kakšna je interpretacija. Ko je ta enkrat znana, je znana vsem in velja za vse.

In ja. Obstaja ena stvar, ki se ji reče sodna praksa. Ta recimo določa kakšne dokaze moraš zbrati, da utemeljiš, da nisi bi ti voznik vozila, ki ga je ujel radar, pa čeprav si lastnik vozila. Groza, da tega zakonodajalec ni zapisal v zakon. Izrecen seznam dovoljenih izgovorov in nič več. Tako, kot so tako natančno predpisani pogoji za zamenjavo ali povračilo vrednosti vinjete. Potem pa bog pomagaj, če bi slučajno želel povrnjeno sorazmerno vrednost vinjete zato, ker si vozilo odjavil iz prometa (UPRS sodba II U 397/2015) ali pa morda zato, ker je oče odstranil napačno vinjeto (UPRS Sodba II U 173/2016-6) ali pa kateregakoli drugega razloga, ki ga zakonodajalec ni napisal v zakon.

Včasih si bi želel, da bi bile te stvari malo bolj abstraktne, ne pa takšne, kot bi jih ti želel imeti.

SeMiNeSanja je izjavil:

Kaj pa avtomehanik Franci s svojim s.p., ki ne ve več, ali še lahko svojim strankam pošlje čestitko za rojstni dan, da ne bo obtožen, da je po nepotrebnem in na neprimeren način hranil osebne podatke svojih strank in grda baraba kriminalna te potem še "obdeloval" brez eksplicitnega predhodnega soglasja svoje stranke!

Da. Vendar samo tistim, ki mu niso rekle, da naj jih že enkrat pusti pri miru. Te slednje pa mora poslušati.

SeMiNeSanja je izjavil:

Za moje pojme, noben zakon nebi smel biti tako kompliciran, da potrebuješ odvetnika za njegovo tolmačenje.

Predvsem rabiš zdravo pamet. Začneš pri tem, da osebni podatki tretjih oseb niso tvoja lastnina. Ko ti je jasno to, je vse ostalo enostavno.

SeMiNeSanja je izjavil:

Ko je to enkrat potrebno, je zakon že v osnovi zgrešil svoj smisel. Če pa še odvetnik ne razume podrobnosti zakona, pa imamo pravo polomijo.

Ja, se kar strinjam. Nesmisel je plačevati odvetnika, ki nima pojma, namesto pravnika, ki se specializira za to področje.

SeMiNeSanja ::

Hudič je samo, da je mehanik Franci rojstne dneve svojih strank čisto staromodno označeval kar na koledarju v svoji pisarni, do katere ima vsakdo dostop.

S tem je že v osnovi hud kršitelj GDPR, saj osebne podatke ni ustrezno zavaroval. Tudi nima pojma, kdo vse nepooblaščen jih je videl, morda celo prepisal, preslikal. Ravno tako je prekršil zapoved o prijavi data breach-a...

Eto, pa ga imamo kriminalca!

------------

Drugi, ki ga bo GDPR hudo prizadel, pa je lokalni Don Giovanni. Leta je trdo garal, da si je tisto črno beležko napolnil z pikantnimi podatki svojih ljubic. Zdaj pa mu neki Bruseljski uradniki grozijo, da mora ljubicam ponuditi pravico do izbrisa?!?

-------------
Malo resneje.....

Sodna praksa bo razčistila, kaj je dopustno in kaj ni.....ampak za GDPR sodne prakse še ni, ZOVP-2 pa....kje je že?
Torej se lahko ravno tebi zgodi, da boš tisti osel, ki bo moral na led, da se bo na njegovem hrbtu kreirala sodna praksa. Ni problem, če za tabo stoji firma, ki si to lahko privošči. Kaj pa tisti, ki si ne morejo privoščiti, da bi šli na led in testirali prakso?
Panika in pretiravanje pa tudi nista optimalna rešitev....

O GDPR zdaj poslušam že celo večnost kako in kaj....ampak na koncu je resnica še vedno ta, da z ustreznim pravnim zaledjem lahko do onemoglosti skladiščiš in obdeluješ osebne podatke. Ali boš morda rekel, da bo npr. Google do 25.5. pobrisal vse zbrane podatke, za katere nima eksplicitne privolitve uporabnikov? Ali se bo izkazalo, da takih podatkov sploh ni, ker si v splošnih pogojih (katere nihče ne prebere) požegnal, da lahko tvoje podatke po mili volji zbirajo in obdelujejo?

Istočasno pa prihajajo na dan s priporočili, da si daj log datoteke obdelat tako da brišeš par oktetov IP naslova. Resno? Čemu potem sploh še kaj logirat?

Dejansko prideš do točke, ko misliš, da že približno razumeš GDPR - samo da bi malo za tem spet naletel na neko varianto/razlago/interpretacijo zaradi katere se ti zdi, da ti ni prav nič več jasno.

Eno je, kar prebereš iz teksta uredbe. Drugo pa je tisto, s čemer te zasipavajo tisti, ki se proglašajo da so 'eksperti' in se niti slučajno ne ujema vedno s tem, kako ti kot laik razumeš besedilo. Poleg tega imaš še pričevanja kolegov, ki so tudi poslušali kakšnega 'eksperta', katerega so pa razumeli popolnoma drugače.

Potem pa so še taki nasveti kot pohabljanje log datotek, ki so popolnoma skregani s samo logiko upravljanja omrežij. V ekstremnih primerih pa se celo priporoča brisanje logov po treh dnevih. Resno? Mene se spomnijo poklicat po enem tednu 'prejšnji teden mi pa to in to ni delalo...'. Če bi slepo poslušal vse nasvete, bi lahko samo odgovoril 'sorry, prepozen si'. Sploh pa bodo takega slepega brisanja podatkov veseli hackerji. Samo najbolj butasti se bodo pustili ujeti v parih dnevih, predenj boš pobrisal loge. A tudi to ti ne bo lahko, če boš imel izmaličene IP naslove v logih.....

Skratka, sprašujem se, kdo so ti brihtneži, ki rojevajo taka priporočila. Včasih bi jih obtožili sabotaže. Danes se jim pa ploska za odlično poznavanje GDPR?

Miha 333 ::

AndrejO je izjavil:


SeMiNeSanja je izjavil:

Kaj pa avtomehanik Franci s svojim s.p., ki ne ve več, ali še lahko svojim strankam pošlje čestitko za rojstni dan, da ne bo obtožen, da je po nepotrebnem in na neprimeren način hranil osebne podatke svojih strank in grda baraba kriminalna te potem še "obdeloval" brez eksplicitnega predhodnega soglasja svoje stranke!

Da. Vendar samo tistim, ki mu niso rekle, da naj jih že enkrat pusti pri miru. Te slednje pa mora poslušati.

Ne. Do 25.05.2018 bo moral od vseh obstoječih in od tedaj naprej tudi novih strank pridobiti eksplicitno in dokazljivo soglasje, da lahko zbira in obdeluje točno določen njihov osebni podatek - datum rojstva za namen pošiljanja rojstnodnevnih čestitk. Še posebej zato, ker rojstni datum ni podatek, ki bi bil po zakonu potreben za izvedbo storitve. In tega osebnega podatka (datuma rojstva) ne bo smel uporabiti za noben drug namen kot za tistega, za katerega je bilo dano takšno soglasje. Ob vsakem pošiljanju rojstnodnevne čestitke bo moral zabeležiti, da je dostopal do tega osebnega podatka in s kakšnim namenom. (revizijska sled). Prav tako bo moral zagotoviti varovanje teh podatkov (zaklenjen sef ali enkripcija). Poleg tega bo moral voditi evidenco, katere so še vedno njegove redne stranke in podatke ostalih izbrisati. Vse to bo moral tudi dokumentirati. Za vse te postopke bo moral imeti sprejete interne akte. Moral bo imeti določeno tudi osebo, ki bo skrbnik osebnih podatkov, ki bo skrbela za pravilno izvajanje vsega opisanega. Tako je po GDPR in nič drugače.

Enako velja za ime, naslov, telefonsko številko in vse druge osebne podatke. V resnici noben od teh podatkov ni nujno potreben za izvedbo storitve.

Da bo med tem utegnil popraviti tudi kakšen avto, bo moral nekoga zaposliti ali najeti zunanjega izvajalca.

Prav bi bilo, da kot stranka ob prvem obisku avtomehanika (ali zobozdravnika) dobite A4 list, kjer bo navedeno, kateri vaši osebni podatki se zbirajo, s kakšnim namenom, kako so varovani, kje se nahajajo in kako dolgo se hranijo in kjer boste podpisali, da to eksplicitno dovolite.

Ne pozabite, GDPR velja neposredno in ni zgolj neko priporočilo! Ker pa je ta regulativa nerealna in neživljenjska in vsaj za mala podjetja in podjetnike čista norost, bomo verjetno čez čas dobili zakon, ki bo vse to uredil malo bolj človeško (kot je bilo npr. s prometnimi podatki - najprej obvezno hranjenje, potem prepovedano, piškotki, in malo dlje nazaj z obvezno registracijo zbirk osebnih podatkov pri IP-RS, ki je bila potem za mala podjetja kasneje odpravljena). Ampak do takrat GDPR velja in to tako za korporacije, freelancerje, avtomehanike in branjevke na tržnici.

Mavrik ::

Ker vidim da že širite neumnosti in očitno niste prebrali GDPR, naj vam pokažem recital 47, ki zelo direktno pravi:

The processing of personal data for direct marketing purposes may be regarded as carried out for a legitimate interest.


Zraven pravi tudi da moraš ob meti nekaj smiselnih premislekov, ampak Miha 333, ti pa pišeš neumnosti. Še najbolj relevanten del tvojega nekoliko zgrešenega sestavka je to, da bo moral mehanik res trenutno malo pomisliti kje ima stvari shranjene in jih ne pustiti ležati na WinXP mašini z virusi v Excel fajlu. Kar je vredu.
The truth is rarely pure and never simple.

Zgodovina sprememb…

  • spremenil: Mavrik ()

SmeskoSnezak ::

AndrejO je izjavil:

SmeskoSnezak je izjavil:

Matek je izjavil:

V enem od mnogoterih GDPR FAQ člankov sem zasledil ravno ta primer in odgovor je bil točno v tem smislu. Jaz lahko rečem "pobriši me iz svoje etrgovine", ti ne smeš pobrisati vseh podatkov o naročilu, ker nekatere rabiš za računovodstvo, moraš pa odstraniti tiste, ki niso nujni za to.

Care to elaborate? Kako to izvesti? En primer z John Dow ali pa Janez Novakom? :)

Te zanima tehnično ali organizacijsko kako to izvesti?

oboje.
@ Pusti soncu v srce... @

Lonsarg ::

Po mojem mnenju je večina zadev življenskih, tehnično zafrnkjena in draga je zgolj revizijska sled dostopov(ker ni dosti seznam oseb ki dostopajo, ampak se po GDPR rabijo timestampi za vsak dostop posebaj). Zadeva bo vsaj potrojila zahtevo po strežniškem prostoru na serverjih, ki imajo tabele z osebnimi podatki, da se sistemsko reši ta sled.

Ok imaš tukaj alternativo, redizajn vseh aplikacij, da to počneš na aplikacijskem nivoju, ampak ta je v praksi tako stroškovno kot časovno neizvedljiva, pa še ne reši ti produkcijskega debugiranja.

Me zanima kaj bom dobil od Facebooka, če bom zahteval tako natančno sled do dostopa mojih podatkov, ali so tut tle našli luknje taveliki...

Zgodovina sprememb…

  • spremenil: Lonsarg ()

AndrejO ::

Miha 333 je izjavil:

AndrejO je izjavil:


SeMiNeSanja je izjavil:

Kaj pa avtomehanik Franci s svojim s.p., ki ne ve več, ali še lahko svojim strankam pošlje čestitko za rojstni dan, da ne bo obtožen, da je po nepotrebnem in na neprimeren način hranil osebne podatke svojih strank in grda baraba kriminalna te potem še "obdeloval" brez eksplicitnega predhodnega soglasja svoje stranke!

Da. Vendar samo tistim, ki mu niso rekle, da naj jih že enkrat pusti pri miru. Te slednje pa mora poslušati.

Ne. Do 25.05.2018 bo moral od vseh obstoječih in od tedaj naprej tudi novih strank pridobiti eksplicitno in dokazljivo soglasje, da lahko zbira in obdeluje točno določen njihov osebni podatek - datum rojstva za namen pošiljanja rojstnodnevnih čestitk.

Nope. Malo višje ti je že bilo pojasnjeno zakaj ne.

Miha 333 je izjavil:

Še posebej zato, ker rojstni datum ni podatek, ki bi bil po zakonu potreben za izvedbo storitve.

Na nek način ga je pridobil. Če ga je pridobil pod pretvezo, je že danes v prekršku in GDPR spremeni samo višino globe. Če ga je pridobil pravilno, mu GDPR tozadevno ne spremeni ničesar.

Miha 333 je izjavil:

In tega osebnega podatka (datuma rojstva) ne bo smel uporabiti za noben drug namen kot za tistega, za katerega je bilo dano takšno soglasje.

Nope. Če je bil podatek pravilno pridobljen z okviru izvajanja pogodbe, potem to ne velja. Če podatek ni bil pridobljen v skladu z ZVOP-1, je s.p. že danes v prekršku.

Miha 333 je izjavil:

Ob vsakem pošiljanju rojstnodnevne čestitke bo moral zabeležiti, da je dostopal do tega osebnega podatkain s kakšnim namenom. (revizijska sled).

Zadoščal bo račun za pošto, da se bo lahko spomnil katerega dne je to bilo.

Miha 333 je izjavil:

Prav tako bo moral zagotoviti varovanje teh podatkov (zaklenjen sef ali enkripcija).

To si ti misliš. Dovolj je, da koledarja ne bo imel razstavljenega pred vhodom v delavnico (predvidevam, da so notri naslovi in imena, ne zgolj krožci).

Zdrava pamet: če nič drugega, konkurenci ne želiš dati v roke svojega "rolodeksa".

Miha 333 je izjavil:

Poleg tega bo moral voditi evidenco, katere so še vedno njegove redne stranke in podatke ostalih izbrisati.

Če bo nekdo zahteval, da mu preneha pošiljati čestitke, lahko uporabi črn marker flomaster.

Miha 333 je izjavil:

Vse to bo moral tudi dokumentirati.

Nope.

Miha 333 je izjavil:

Za vse te postopke bo moral imeti sprejete interne akte.

Nope.

Miha 333 je izjavil:

Moral bo imeti določeno tudi osebo, ki bo skrbnik osebnih podatkov, ki bo skrbela za pravilno izvajanje vsega opisanega.

Nope.

Miha 333 je izjavil:

Tako je po GDPR in nič drugače.

Tako je samo v tvoji zmedeni buči in nikjer drugje. Ali si sploh prebral GDPR, ker ne vem od kje vlečeš ven svoje zmote?

Miha 333 je izjavil:

Enako velja za ime, naslov, telefonsko številko in vse druge osebne podatke. V resnici noben od teh podatkov ni nujno potreben za izvedbo storitve.

Če ni potreben, potem je človek že danes v prekršku. Če je potreben, potem tudi po 25.5. ne bo v prekršku.

Miha 333 je izjavil:

Da bo med tem utegnil popraviti tudi kakšen avto, bo moral nekoga zaposliti ali najeti zunanjega izvajalca.

Ja, če se bo zanašal na takšne vseznalce, kot si ti, potem res.

Miha 333 je izjavil:

Prav bi bilo, da kot stranka ob prvem obisku avtomehanika (ali zobozdravnika) dobite A4 list, kjer bo navedeno, kateri vaši osebni podatki se zbirajo, s kakšnim namenom, kako so varovani, kje se nahajajo in kako dolgo se hranijo in kjer boste podpisali, da to eksplicitno dovolite.

Če obseg podatkov presega tistega, ki je potreben za izvedbo storitve, potem je odgovor, da je informirano soglasje potrebno dati že zadnjih 10 let. Torej nič novega. Vse, kar se je dodalo, je to, da je sedaj natančneje določeno kaj pomeni "informirano". Saj si hotel manj megle, mar ne?

Če so podatki potrebni za izvedbo storitve, potem ločeno soglasje ni potrebno, ker je podlaga podana v zakonu.

Miha 333 je izjavil:

Ne pozabite, GDPR velja neposredno in ni zgolj neko priporočilo! Ker pa je ta regulativa nerealna in neživljenjska in vsaj za mala podjetja in podjetnike čista norost, bomo verjetno čez čas dobili zakon, ki bo vse to uredil malo bolj človeško (kot je bilo npr. s prometnimi podatki - najprej obvezno hranjenje, potem prepovedano, piškotki, in malo dlje nazaj z obvezno registracijo zbirk osebnih podatkov pri IP-RS, ki je bila potem za mala podjetja kasneje odpravljena). Ampak do takrat GDPR velja in to tako za korporacije, freelancerje, avtomehanike in branjevke na tržnici.

Živeli in videli.

Ampak zgodbica, ki si jo tukaj popisal nima zveze z realnostjo.

AndrejO ::

SeMiNeSanja je izjavil:

Hudič je samo, da je mehanik Franci rojstne dneve svojih strank čisto staromodno označeval kar na koledarju v svoji pisarni, do katere ima vsakdo dostop.

S tem je že v osnovi hud kršitelj GDPR, saj osebne podatke ni ustrezno zavaroval. Tudi nima pojma, kdo vse nepooblaščen jih je videl, morda celo prepisal, preslikal. Ravno tako je prekršil zapoved o prijavi data breach-a...

Nope.

SeMiNeSanja je izjavil:

Eto, pa ga imamo kriminalca!

V tvojem scenariju obstajata dve možnosti:
1) Obdelava je že po obstoječem ZVOP-1 nepravilna in tvoj Franci je že danes v prekršku.
2) Obdelava je že po obstoječem ZVOP-1 zakonita in tvoj Franci tudi po 25.5. ne bo v prekršku.


SeMiNeSanja je izjavil:

Drugi, ki ga bo GDPR hudo prizadel, pa je lokalni Don Giovanni. Leta je trdo garal, da si je tisto črno beležko napolnil z pikantnimi podatki svojih ljubic. Zdaj pa mu neki Bruseljski uradniki grozijo, da mora ljubicam ponuditi pravico do izbrisa?!?

GDRP ohranja izjemo obdelovanja osebnih podatkov za zasebne namene.

SeMiNeSanja je izjavil:

Sodna praksa bo razčistila, kaj je dopustno in kaj ni.....ampak za GDPR sodne prakse še ni, ZOVP-2 pa....kje je že?

Velik del GDPR odgovarja na kritike premajhne dorečenosti lokalne zakonodaje, kjer je bilo preveč prepuščenega sodni praksi.

SeMiNeSanja je izjavil:

Torej se lahko ravno tebi zgodi, da boš tisti osel, ki bo moral na led, da se bo na njegovem hrbtu kreirala sodna praksa. Ni problem, če za tabo stoji firma, ki si to lahko privošči. Kaj pa tisti, ki si ne morejo privoščiti, da bi šli na led in testirali prakso?

Edini osli, ki bodo šli na led, so tisti, ki jim še ni potegnilo, da se osebni podatki v EU štejejo kot neodtujljiva zasebna lastnina osebe na katero se nanašajo. In to že olala let.

SeMiNeSanja je izjavil:

Panika in pretiravanje pa tudi nista optimalna rešitev....

Torej ju nehaj zganjati in se informiraj.

SeMiNeSanja je izjavil:

O GDPR zdaj poslušam že celo večnost kako in kaj....ampak na koncu je resnica še vedno ta, da z ustreznim pravnim zaledjem lahko do onemoglosti skladiščiš in obdeluješ osebne podatke.

Naloga GDRP in preprečiti ustvarjanje zbirk osebnih podatkov, temveč poskrbeti, da imajo lastniki osebnih podatkov odločilno besedo pri tem, kaj in kako se z njimi počne.

SeMiNeSanja je izjavil:

Ali boš morda rekel, da bo npr. Google do 25.5. pobrisal vse zbrane podatke, za katere nima eksplicitne privolitve uporabnikov?

Dejansko pojma nimam kaj bo storil moj delodajalec.

SeMiNeSanja je izjavil:

Ali se bo izkazalo, da takih podatkov sploh ni, ker si v splošnih pogojih (katere nihče ne prebere) požegnal, da lahko tvoje podatke po mili volji zbirajo in obdelujejo?

Ne morem komentirati kaj se bo izkazalo pri mojem delodajalcu.

SeMiNeSanja je izjavil:

Istočasno pa prihajajo na dan s priporočili, da si daj log datoteke obdelat tako da brišeš par oktetov IP naslova. Resno? Čemu potem sploh še kaj logirat?

Čemu logiraš danes?

SeMiNeSanja je izjavil:

Dejansko prideš do točke, ko misliš, da že približno razumeš GDPR - samo da bi malo za tem spet naletel na neko varianto/razlago/interpretacijo zaradi katere se ti zdi, da ti ni prav nič več jasno.

Nehaj poslušati kvazimojstre, kot si sam, globoko vdihni in še enkrat začni od začetka:
1) Osebni podatek je v EU neodtujljiva lastnina osebe na katero se nanaša.
2) Če obdeluješ tuje osebne podatke, potem jih obdeluj tako, kot si prepričan, da ti je lastnik dovolil.
3) Če te lastnik pobara po tem, kaj počneš, mu bodi pripravljen pogledati v oči in mu brez sramu in prikrivanja povedati natančno kaj in kako počneš z njegovo lastnino.

Če se bodo tvoji hipotetični primeri zavedali teh treh osnovni in že kakšnih 20 let znanih načel, potem ne bodo imeli težav z razumevanjem zahtev v GDPR.

SeMiNeSanja je izjavil:

Eno je, kar prebereš iz teksta uredbe. Drugo pa je tisto, s čemer te zasipavajo tisti, ki se proglašajo da so 'eksperti' in se niti slučajno ne ujema vedno s tem, kako ti kot laik razumeš besedilo. Poleg tega imaš še pričevanja kolegov, ki so tudi poslušali kakšnega 'eksperta', katerega so pa razumeli popolnoma drugače.

Glede na to, da tukaj ti ogromno veš o GDRP, si morda pomislil, da nekatere stvari narobe razlagaš in v debato tudi sam vnašaš nepotrebno zmedo? Kaj pa to?

SeMiNeSanja je izjavil:

Potem pa so še taki nasveti kot pohabljanje log datotek, ki so popolnoma skregani s samo logiko upravljanja omrežij. V ekstremnih primerih pa se celo priporoča brisanje logov po treh dnevih. Resno? Mene se spomnijo poklicat po enem tednu 'prejšnji teden mi pa to in to ni delalo...'.

Lepo. Torej lahko opredeliš kaj rabiš in za koliko časa to rabiš. Manjka ti samo še, da ugotoviš kakšna stopnja varovanja je posledično primerna.

SeMiNeSanja je izjavil:

Če bi slepo poslušal vse nasvete, bi lahko samo odgovoril 'sorry, prepozen si'.

Če bi slepo poslušal vse nasvete, potem bi bil delavec na traku. Ker vse kaže na to, da nisi, je pač čas, da si prislužiš svojo plačo ali pa najdeš drugo delo.


SeMiNeSanja je izjavil:

Sploh pa bodo takega slepega brisanja podatkov veseli hackerji. Samo najbolj butasti se bodo pustili ujeti v parih dnevih, predenj boš pobrisal loge. A tudi to ti ne bo lahko, če boš imel izmaličene IP naslove v logih.....

Strinjam se, da je največja neumnost ta, da slepo slediš nasvetom posameznikov, ki ne vedo ničesar o tvojem poslu.

SeMiNeSanja je izjavil:

Skratka, sprašujem se, kdo so ti brihtneži, ki rojevajo taka priporočila. Včasih bi jih obtožili sabotaže. Danes se jim pa ploska za odlično poznavanje GDPR?

Poglej v ogledalo. Bojim se, da si del problema.

SmeskoSnezak je izjavil:

AndrejO je izjavil:

SmeskoSnezak je izjavil:

Matek je izjavil:

V enem od mnogoterih GDPR FAQ člankov sem zasledil ravno ta primer in odgovor je bil točno v tem smislu. Jaz lahko rečem "pobriši me iz svoje etrgovine", ti ne smeš pobrisati vseh podatkov o naročilu, ker nekatere rabiš za računovodstvo, moraš pa odstraniti tiste, ki niso nujni za to.

Care to elaborate? Kako to izvesti? En primer z John Dow ali pa Janez Novakom? :)

Te zanima tehnično ali organizacijsko kako to izvesti?

oboje.

Ali je hipotetična trgovina zavezana k spoštovanju še kakšne druge specialne zakonodaje, razen davčne?

Zgodovina sprememb…

  • spremenil: AndrejO ()

AndrejO ::

Lonsarg je izjavil:

Po mojem mnenju je večina zadev življenskih, tehnično zafrnkjena in draga je zgolj revizijska sled dostopov(ker ni dosti seznam oseb ki dostopajo, ampak se po GDPR rabijo timestampi za vsak dostop posebaj). Zadeva bo vsaj potrojila zahtevo po strežniškem prostoru na serverjih, ki imajo tabele z osebnimi podatki, da se sistemsko reši ta sled.

Ok imaš tukaj alternativo, redizajn vseh aplikacij, da to počneš na aplikacijskem nivoju, ampak ta je v praksi tako stroškovno kot časovno neizvedljiva, pa še ne reši ti produkcijskega debugiranja.

Alternativ je več in katere so na voljo je odvisno od širšega konteksta aplikacij/poslovnih procesov, ki se izvajajo. Redesign je zagotovo ena izmed njih.

Razumem, da so za nekatere takšne spremembe težko pravočasno izvedljive ampak ... časa je bilo dve leti. Za božjo voljo ali trdiš, da dve leti ni dovolj časa, da v 99% podjetij podelajo, kar je potrebno za skladnost? Srsly?

Lonsarg ::

No bil to moj glavni point, vse je seveda mogoče izvesti z neskončno denarja. Moj glavni point je, da mora facebook potrojiti diskovne potrebe zaradi GDPR, vsaj po striktem načelu, da se vsak select na tabelo občutljivega podatka shrani za 10 let nazaj ali koliko. Se zavedaš kak strošek je to?

Natančni timestampi vsakega posameznega dostopa so pretiravanje, sem 100% prepričan da bo kaka moderna interpretacija GDPR-a rekla, da to ni nujno, čeprav navidez trenutno zgleda da je.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

AndrejO ::

Lonsarg je izjavil:

No bil to moj glavni point, vse je seveda mogoče izvesti z neskončno denarja. Moj glavni point je, da mora facebook potrojiti diskovne potrebe zaradi GDPR, vsaj po striktem načelu, da se vsak select na tabelo občutljivega podatka shrani za 10 let nazaj ali koliko.

No such thing.

Lonsarg je izjavil:

Se zavedaš kak strošek je to?

Seveda se zavedam. Se zavedaš, da pravice posameznikov niso "trgovsko blago", da bi jih gledali skozi prizmo "stroškov".


Lonsarg je izjavil:

Natančni timestampi vsakega posameznega dostopa so pretiravanje, sem 100% prepričan da bo kaka moderna interpretacija GDPR-a rekla, da to ni nujno, čeprav navidez trenutno zgleda da je.

Nikakršne "moderne interpretacije GDPR" ne potrebuješ, da zavohaš, da je pri tvoje zgornjem scenariju nekaj narobe.

Začne se pri tem, da je ena stvar to, da si s podjetjem sklenil sporazum po katerem naprošaš podjetje, da tvoje osebne podatke deli z osebami, ki si jih sam izbral. Druga in čisto ločena stvar pa je to, da bi podjetje tvoje podatke obdelovalo še za kaj drugega ali pa bi jih delilo še z kom tretjim.

Razmili katera od teh stvari zahteva revizijsko sled in katera ne.

Nadalje pa razmisli, če je revizijska sled nekaj, kar se tiče "zbirke podatkov" ali nekaj, kar se tiče posamičnih "tabel v bazi".

Lonsarg ::

Sem že razmislil(oziroma je tisti, ki mi je dotični primer povedal), gre se za auditing cirka 15 tabel na SQL nivoju, ki pobere 80GB dnevno brez result seta. Najbrž pride še optimizacija ampak velikostni red je zastrašujoč.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

AndrejO ::

Lonsarg je izjavil:

Sem že razmislil(oziroma je tisti, ki mi je dotični primer povedal), gre se za auditing cirka 15 tabel na SQL nivoju, ki pobere 80GB dnevno brez result seta. Najbrž pride še optimizacija ampak velikostni red je zastrašujoč.


To verjetno ni govora o FB, ker sem za tega prepričan, da se ne gre za "cirka 15 tabel na SQL nivoju", 80GB podatkov dnevno pa se tudi ne sliši ravno kot nek "zastrašujoč velikostni red" v tej panogi.

Po podatku, ki ga je FB objavil l. 2014, so takrat imeli pritok podatkov cca. 600TB/dan. Pri takšni dimenziji podatkov predstavlja 80GB cca. 0,01 promila povečanja, kar je nekako dimenzija pljunka (cca. 1ml) v 8l posodo.

https://code.facebook.com/posts/2298618...

Če pa ni govora o FB, potem pa se vprašaš o kakšnih podatkih je govora, kakšen je kontekst obdelave podatkov, kakšni so poslovni procesi vezani na te podatke in iz tega potegneš ven zaključke o tem, kakšna revizijska sled je primerna in kako se jo bo zagotovilo.

Zgodovina sprememb…

  • spremenil: AndrejO ()

Lonsarg ::

Kokr vem je to velikostnega reda 10% baze, torej 10% baze na dan za audit, to je kakorkoli pogledaš velik problem. Pa še brez result seta, da moraš joinat z backupi, ki so najbrž na kasetah:)

Zgodovina sprememb…

  • spremenil: Lonsarg ()

AndrejO ::

Lonsarg je izjavil:

Kokr vem je to velikostnega reda 10% baze, torej 10% baze na dan za audit, to je kakorkoli pogledaš velik problem. Pa še brez result seta, da moraš joinat z backupi, ki so najbrž na kasetah:)

Hmm ... dajmo umiriti žogo, ker sedaj stvari, ki jih pišeš, več nimajo ne repa, ne glave.

Ena izjava je bila: "Moj glavni point je, da mora facebook potrojiti diskovne potrebe zaradi GDPR."
Sedaj si napisal: "Kokr vem je to velikostnega reda 10% baze, ..."
Vmes si napisal: "... pobere 80GB dnevno brez result seta ..."

Kaj sedaj? 3x več diskovja ali 10% več diskovja? Je 80GB 10% ali 0,0001% tega, kar FB dnevno "prebavil" že pred tremi leti (in od takrat naprej zapiše še več, ne pa manj)? Je sploh še govora o FB ali smo že pri nečem tretjem?

Lonsarg ::

10% oziroma 80GB baze na dan je realni testni primer(rekla-kazala), ko se vklopi SQL auditing samo za dotične tabele pri enem podjetju, vsekakor to ni FB:)

3x povečanje diskovja za tako bazo je zgolj moja optimistična ocena, ko se načeloma vse to malo zoptimizira.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

darkolord ::

Po moji optimistični oceni se pa baza lahko zmanjša, ko dejansko pobrišejo ven stvari, ki/ko jih nimajo več za kaj rabiti.

AndrejO ::

Lonsarg je izjavil:

10% oziroma 80GB baze na dan je realni testni primer(rekla-kazala), ko se vklopi SQL auditing samo za dotične tabele pri enem podjetju, vsekakor to ni FB:)

3x povečanje diskovja za tako bazo je zgolj moja optimistična ocena, ko se načeloma vse to malo zoptimizira.

OK, torej ni FB. To stvari zagotovo postavi v čisto drugačno luč glede obsega podatkov.

Seveda o potankostih rešitve ne boš mogel govoriti, ker javni forum ni pravi kraj, ampak kar me moti pri tej zgodbi je to, da se "vklopi auditing za dotične tabele". Morda je to res edina možnost. Morda je to res najboljša možnost. Ampak nekaj v trebuhu mi pravi, da podjetje o tem ni začelo razmišljati l. 2016 in si je morda samo skopalo luknjo, ki si je ne bi rabilo in rešitve bi lahko bile tudi cenejše, kot pa 80GB/dan.

Morda bi bilo moje prvo vprašanje IT-ju v tem podjetju kdo in zakaj trenutno neposredno dostopa do RDBMS in kaj se bi lahko storilo, da to več ne bi bilo potrebno, oz. da se bi dostop "kanaliziral" skozi ločen sistem, ki bi revizijsko sled ustvarjal na nivoju koncepta "osebe" in ne na nivoju realiziranih podatkov o osebi v 1 ali 15 tabelah v RDBMS.

Miha 333 ::

AndrejO je izjavil:

Miha 333 je izjavil:

AndrejO je izjavil:


SeMiNeSanja je izjavil:

Kaj pa avtomehanik Franci s svojim s.p., ki ne ve več, ali še lahko svojim strankam pošlje čestitko za rojstni dan, da ne bo obtožen, da je po nepotrebnem in na neprimeren način hranil osebne podatke svojih strank in grda baraba kriminalna te potem še "obdeloval" brez eksplicitnega predhodnega soglasja svoje stranke!

Da. Vendar samo tistim, ki mu niso rekle, da naj jih že enkrat pusti pri miru. Te slednje pa mora poslušati.

Ne. Do 25.05.2018 bo moral od vseh obstoječih in od tedaj naprej tudi novih strank pridobiti eksplicitno in dokazljivo soglasje, da lahko zbira in obdeluje točno določen njihov osebni podatek - datum rojstva za namen pošiljanja rojstnodnevnih čestitk.

Nope. Malo višje ti je že bilo pojasnjeno zakaj ne.

Evropska komisija pravi drugače:

...- za obdelavo podatkov morate imeti določene namene morate z njimi seznaniti posameznike med zbiranjem osebnih podatkov o njih. Osebnih podatkov ne morete preprosto zbirati za neopredeljene namene („omejitev namena“),
- zbirati in obdelovati smete samo osebne podatke, ki so potrebni za izpolnitev tega namena („najmanjši obseg podatkov“),
Vir

Podatke lahko obdelujete samo v naslednjih primerih:

če imate privolitev zadevnih posameznikov;
Vir

Naslednja alineja sicer dopušča zbiranje na podlagi pogodbe, vendar rojstni datum sem ne spada, saj

Kadar so osebni podatki potrebni, morajo biti ustrezni, relevantni in omejeni na to, kar je potrebno za namen („najmanjši obseg podatkov“). Kot upravljavec ste odgovorni, da ocenite, koliko podatkov je potrebnih, in zagotovite, da se nepotrebni podatki ne zbirajo.
Vir


Ko morate pridobiti privolitev za obdelavo osebnih podatkov, mora biti izpolnjenih več pogojev, da je ta privolitev veljavna:
dana mora biti prostovoljno;
biti mora ozaveščena;
dana mora biti za določen namen;
vsi razlogi za obdelavo morajo biti jasno navedeni;
biti mora izrecna in dana s pozitivnim dejanjem (npr. prek elektronskega polja za označevanje, ki ga mora posameznik izrecno označiti na spletu, ali s podpisom na obrazcu);
izražena mora biti jasno in preprosto in jasno razvidna;
pojasniti in omogočiti je treba možnost za preklic privolitve (npr. s povezavo do strani za preklic na koncu elektronske pošte z novicami)
Vir

AndrejO je izjavil:


Miha 333 je izjavil:

Še posebej zato, ker rojstni datum ni podatek, ki bi bil po zakonu potreben za izvedbo storitve.

Na nek način ga je pridobil. Če ga je pridobil pod pretvezo, je že danes v prekršku in GDPR spremeni samo višino globe. Če ga je pridobil pravilno, mu GDPR tozadevno ne spremeni ničesar.

Glej prejšnji odgovor. Če predhodno pridobljeno soglasje ni bilo pridobljeno kot določa GDPR, ga bo moral pridobiti še enkrat. Vsekakor pa za vse nove stranke.

Če je privolitev, ki jo je oseba dala pred začetkom uporabe splošne uredbe o varstvu podatkov, skladna s pogoji te uredbe, ni treba zahtevati nove privolitve. Zagotoviti morate, da privolitev, dana pred začetkom veljavnosti splošne uredbe o varstvu podatkov, izpolnjuje pogoje, ki so določeni v tej uredbi.
Vir

AndrejO je izjavil:


Miha 333 je izjavil:

In tega osebnega podatka (datuma rojstva) ne bo smel uporabiti za noben drug namen kot za tistega, za katerega je bilo dano takšno soglasje.

Nope. Če je bil podatek pravilno pridobljen z okviru izvajanja pogodbe, potem to ne velja. Če podatek ni bil pridobljen v skladu z ZVOP-1, je s.p. že danes v prekršku.

V okviru izvajanja pogodbe lahko zahteva samo podatke, ki so nujno potrebni za izvajanje pogodbe, rojstni datum to ni:

Kadar so osebni podatki potrebni, morajo biti ustrezni, relevantni in omejeni na to, kar je potrebno za namen („najmanjši obseg podatkov“). Kot upravljavec ste odgovorni, da ocenite, koliko podatkov je potrebnih, in zagotovite, da se nepotrebni podatki ne zbirajo.
Vir

Se pravi, bo potreboval soglasje, za kar pa velja:

Ko morate pridobiti privolitev za obdelavo osebnih podatkov, mora biti izpolnjenih več pogojev, da je ta privolitev veljavna:

dana mora biti prostovoljno;
biti mora ozaveščena;
dana mora biti za določen namen;
vsi razlogi za obdelavo morajo biti jasno navedeni;
biti mora izrecna in dana s pozitivnim dejanjem (npr. prek elektronskega polja za označevanje, ki ga mora posameznik izrecno označiti na spletu, ali s podpisom na obrazcu);
izražena mora biti jasno in preprosto in jasno razvidna;
pojasniti in omogočiti je treba možnost za preklic privolitve
Vir

AndrejO je izjavil:


Miha 333 je izjavil:

Ob vsakem pošiljanju rojstnodnevne čestitke bo moral zabeležiti, da je dostopal do tega osebnega podatkain s kakšnim namenom. (revizijska sled).

Zadoščal bo račun za pošto, da se bo lahko spomnil katerega dne je to bilo.

Podatke o dostopih bo moral beležiti že zato, da bo lahko pravočasno ugotovil morebitno nepooblaščeno dostopanje in v tem primeru ukrepal v skladu z regulativo, ki določa, da mora biti sposoben dokazati, da izpolnjuje vse zahteve.

AndrejO je izjavil:


Miha 333 je izjavil:

Prav tako bo moral zagotoviti varovanje teh podatkov (zaklenjen sef ali enkripcija).

To si ti misliš. Dovolj je, da koledarja ne bo imel razstavljenega pred vhodom v delavnico (predvidevam, da so notri naslovi in imena, ne zgolj krožci).

Zdrava pamet: če nič drugega, konkurenci ne želiš dati v roke svojega "rolodeksa".


Zdrava pamet kvečjemu pravi, da to ni v skladu s členom 32 GDPR, ki med drugim pravi:

...upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno:
...
(b) zmožnostjo zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;
(c) zmožnostjo pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;
(d) postopkom rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnostni obdelave.

AndrejO je izjavil:


Miha 333 je izjavil:

Poleg tega bo moral voditi evidenco, katere so še vedno njegove redne stranke in podatke ostalih izbrisati.

Če bo nekdo zahteval, da mu preneha pošiljati čestitke, lahko uporabi črn marker flomaster.

Spet na pamet, kajne?


Podatke morate hraniti čim krajši čas.
Določiti morate roke za izbris ali preverjanje shranjenih podatkov.

Osebni podatki se izjemoma lahko hranijo daljše obdobje za namene v javnem interesu ali znanstveno- ali zgodovinsko raziskovalne namene, pod pogojem, da se izvajajo ustrezni tehnični in organizacijski ukrepi (kot so anonimizacija, šifriranje itd.).
Vir

zagotoviti morate, da se osebni podatki hranijo le toliko časa, kolikor je potrebno za namene, za katere se zbirajo („omejitev hrambe“),
Vir

AndrejO je izjavil:


Miha 333 je izjavil:

Vse to bo moral tudi dokumentirati.

Nope.

Miha 333 je izjavil:

Za vse te postopke bo moral imeti sprejete interne akte.

Nope.

Yep:

Člen 24

Odgovornost upravljavca

1. Ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu s to uredbo. Ti ukrepi se pregledajo in dopolnijo, kjer je to potrebno.

2. Kadar je to sorazmerno glede na dejavnosti obdelave, ukrepi iz odstavka 1 vključujejo izvajanje ustreznih politik za varstvo podatkov s strani upravljavca.


Člen 33

Upravljavec dokumentira vsako kršitev varstva osebnih podatkov, vključno z dejstvi v zvezi s kršitvijo varstva osebnih podatkov, njene učinke in sprejete popravne ukrepe. Ta dokumentacija nadzornemu organu omogoči, da preveri skladnost s tem členom.



AndrejO je izjavil:


Miha 333 je izjavil:

Moral bo imeti določeno tudi osebo, ki bo skrbnik osebnih podatkov, ki bo skrbela za pravilno izvajanje vsega opisanega.

Nope.

OK, v tem primeru ni obvezno, ampak kolikor poznam obrtnike in podjetnike, je ogromno takih, ki obvladajo svoje delo, vse ostalo (IT, ...) pa jih ne zanima. Bojim se, da jih veliko niti nima interesa se poglabljati v te zadeve.

AndrejO je izjavil:


Miha 333 je izjavil:

Enako velja za ime, naslov, telefonsko številko in vse druge osebne podatke. V resnici noben od teh podatkov ni nujno potreben za izvedbo storitve.

Če ni potreben, potem je človek že danes v prekršku. Če je potreben, potem tudi po 25.5. ne bo v prekršku.

Če podatki niso pridobljeni na način, skladen z GDPR, jih bo moral pridobiti še enkrat (vir je naveden zgoraj).

AndrejO je izjavil:


Miha 333 je izjavil:

Da bo med tem utegnil popraviti tudi kakšen avto, bo moral nekoga zaposliti ali najeti zunanjega izvajalca.

Ja, če se bo zanašal na takšne vseznalce, kot si ti, potem res.

Hvala za kompliment.

AndrejO je izjavil:


Miha 333 je izjavil:

Prav bi bilo, da kot stranka ob prvem obisku avtomehanika (ali zobozdravnika) dobite A4 list, kjer bo navedeno, kateri vaši osebni podatki se zbirajo, s kakšnim namenom, kako so varovani, kje se nahajajo in kako dolgo se hranijo in kjer boste podpisali, da to eksplicitno dovolite.

Če obseg podatkov presega tistega, ki je potreben za izvedbo storitve, potem je odgovor, da je informirano soglasje potrebno dati že zadnjih 10 let. Torej nič novega. Vse, kar se je dodalo, je to, da je sedaj natančneje določeno kaj pomeni "informirano". Saj si hotel manj megle, mar ne?

Če so podatki potrebni za izvedbo storitve, potem ločeno soglasje ni potrebno, ker je podlaga podana v zakonu.

Še enkrat, če podatki niso pridobljeni v skladu z določili GDPR, jih bo moral pridobiti še enkrat, kot je to določeno (navedeno zgoraj).

AndrejO je izjavil:



Miha 333 je izjavil:

Ne pozabite, GDPR velja neposredno in ni zgolj neko priporočilo! Ker pa je ta regulativa nerealna in neživljenjska in vsaj za mala podjetja in podjetnike čista norost, bomo verjetno čez čas dobili zakon, ki bo vse to uredil malo bolj človeško (kot je bilo npr. s prometnimi podatki - najprej obvezno hranjenje, potem prepovedano, piškotki, in malo dlje nazaj z obvezno registracijo zbirk osebnih podatkov pri IP-RS, ki je bila potem za mala podjetja kasneje odpravljena). Ampak do takrat GDPR velja in to tako za korporacije, freelancerje, avtomehanike in branjevke na tržnici.

Živeli in videli.

Ampak zgodbica, ki si jo tukaj popisal nima zveze z realnostjo.


Vsaj v 80 % ima.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Informacijski pooblaščenec: Podizvajalci, ki samo hranijo infrastrukturo s podatki, n

Oddelek: Novice / Zasebnost
176336 (4809) SeMiNeSanja
»

GDPR je tu, kaj pa zdaj (strani: 1 2 )

Oddelek: Novice / Zasebnost
6429050 (19543) AndrejO
»

Dobre prakse Informacijskega pooblaščenca že prešle v splošno rabo (strani: 1 2 3 )

Oddelek: Novice / Omrežja / internet
12137603 (28463) spegli
»

Spam

Oddelek: Pomoč in nasveti
345991 (4448) Matko
»

Mejli, spam,... od kje email

Oddelek: Loža
4712139 (8595) japol

Več podobnih tem