Forum » Omrežja in internet » GDPR, se ze veselite? :)
GDPR, se ze veselite? :)
AndrejO ::
SeMiNeSanja je izjavil:
Kaj pa avtomehanik Franci s svojim s.p., ki ne ve več, ali še lahko svojim strankam pošlje čestitko za rojstni dan, da ne bo obtožen, da je po nepotrebnem in na neprimeren način hranil osebne podatke svojih strank in grda baraba kriminalna te potem še "obdeloval" brez eksplicitnega predhodnega soglasja svoje stranke!
Da. Vendar samo tistim, ki mu niso rekle, da naj jih že enkrat pusti pri miru. Te slednje pa mora poslušati.
Ne. Do 25.05.2018 bo moral od vseh obstoječih in od tedaj naprej tudi novih strank pridobiti eksplicitno in dokazljivo soglasje, da lahko zbira in obdeluje točno določen njihov osebni podatek - datum rojstva za namen pošiljanja rojstnodnevnih čestitk.
Nope. Malo višje ti je že bilo pojasnjeno zakaj ne.
Evropska komisija pravi drugače:
...- za obdelavo podatkov morate imeti določene namene morate z njimi seznaniti posameznike med zbiranjem osebnih podatkov o njih. Osebnih podatkov ne morete preprosto zbirati za neopredeljene namene („omejitev namena“),Vir
- zbirati in obdelovati smete samo osebne podatke, ki so potrebni za izpolnitev tega namena („najmanjši obseg podatkov“),
Podatke lahko obdelujete samo v naslednjih primerih:Vir
če imate privolitev zadevnih posameznikov;
Naslednja alineja sicer dopušča zbiranje na podlagi pogodbe, vendar rojstni datum sem ne spada, saj
Kadar so osebni podatki potrebni, morajo biti ustrezni, relevantni in omejeni na to, kar je potrebno za namen („najmanjši obseg podatkov“). Kot upravljavec ste odgovorni, da ocenite, koliko podatkov je potrebnih, in zagotovite, da se nepotrebni podatki ne zbirajo.Vir
Vir
Ko morate pridobiti privolitev za obdelavo osebnih podatkov, mora biti izpolnjenih več pogojev, da je ta privolitev veljavna:
dana mora biti prostovoljno;
biti mora ozaveščena;
dana mora biti za določen namen;
vsi razlogi za obdelavo morajo biti jasno navedeni;
biti mora izrecna in dana s pozitivnim dejanjem (npr. prek elektronskega polja za označevanje, ki ga mora posameznik izrecno označiti na spletu, ali s podpisom na obrazcu);
izražena mora biti jasno in preprosto in jasno razvidna;
pojasniti in omogočiti je treba možnost za preklic privolitve (npr. s povezavo do strani za preklic na koncu elektronske pošte z novicami)
Vse lepo in prav, ampak kar si pozabil omeniti, pa je, da v Sloveniji že ZVOP-1 določa, da je obdelava dovoljena na podlagi takšnega soglasja in nikakor drugače. GDPR v tem pogledu ne presega predpisa, ki v Sloveniji velja že od 2007.
Gl. mnenje IP-RS št. 0712-1047/2007/2:
"Osebna privolitev posameznika je v 14. točki 6. člena ZVOP-1 definirana kot prostovoljna izjava volje posameznika, da se lahko njegovi osebni podatki obdelujejo za določen namen, in je dana na podlagi informacij, ki mu jih mora zagotoviti upravljavec po tem zakonu. Iz citirane definicije izraza »osebna privolitev posameznika« ter iz načela zakonitosti in poštenosti pri obdelavi osebnih podatkov (2. člen ZVOP-1) izhaja, da se osebna privolitev posameznika lahko šteje kot veljavna pravna podlaga za obdelavo osebnih podatkov le v primeru, če je bil posameznik pred podajo osebne privolitve jasno seznanjen z namenom obdelave osebnih podatkov ter, če so mu bile pred podajo osebne privolitve s strani upravljavca osebnih podatkov dane informacije, ki jih določa ZVOP-1."
Kdor se je ravnal po zakonu, se ne bi imel ničesar za bati in mu ne bi bilo ničesar potrebno spreminjati. GDPR glede tega ne spreminja nič bistvenega in ga zato izpostavljati kot "problem" v Sloveniji nima smisla.
Se mi pa smeji, ko sedaj vsi prekrškarji nekaj stokajo, ker globa nenadoma več ne bi bila nekaj 100 EUR, ampak 4% prometa. A ob to se pa ne bo nihče obregnil?
Še posebej zato, ker rojstni datum ni podatek, ki bi bil po zakonu potreben za izvedbo storitve.
Na nek način ga je pridobil. Če ga je pridobil pod pretvezo, je že danes v prekršku in GDPR spremeni samo višino globe. Če ga je pridobil pravilno, mu GDPR tozadevno ne spremeni ničesar.
Glej prejšnji odgovor. Če predhodno pridobljeno soglasje ni bilo pridobljeno kot določa GDPR, ga bo moral pridobiti še enkrat. Vsekakor pa za vse nove stranke.
Ditto. Že danes bi moralo podjetje pridobiti informirano soglasje za obdelavo podatka in GDPR za Slovenijo ne določa nič novega.
In tega osebnega podatka (datuma rojstva) ne bo smel uporabiti za noben drug namen kot za tistega, za katerega je bilo dano takšno soglasje.
Nope. Če je bil podatek pravilno pridobljen z okviru izvajanja pogodbe, potem to ne velja. Če podatek ni bil pridobljen v skladu z ZVOP-1, je s.p. že danes v prekršku.
V okviru izvajanja pogodbe lahko zahteva samo podatke, ki so nujno potrebni za izvajanje pogodbe, rojstni datum to ni:
Ditto. Če je podatek obdeluje legalno glede na ZVOP-1, se z GDPR glede soglasja ne spremeni nič.
Kadar so osebni podatki potrebni, morajo biti ustrezni, relevantni in omejeni na to, kar je potrebno za namen („najmanjši obseg podatkov“). Kot upravljavec ste odgovorni, da ocenite, koliko podatkov je potrebnih, in zagotovite, da se nepotrebni podatki ne zbirajo.Vir
Da, da. Morda si spregledal, ampak tudi to velja v Sloveniji že od l. 2007: 3. čl. ZVOP-1. Banke so tudi že dopbile po prstih, ker so zahtevale več, kot bi smele.
Se pravi, bo potreboval soglasje, za kar pa velja:
Ko morate pridobiti privolitev za obdelavo osebnih podatkov, mora biti izpolnjenih več pogojev, da je ta privolitev veljavna:Vir
dana mora biti prostovoljno;
biti mora ozaveščena;
dana mora biti za določen namen;
vsi razlogi za obdelavo morajo biti jasno navedeni;
biti mora izrecna in dana s pozitivnim dejanjem (npr. prek elektronskega polja za označevanje, ki ga mora posameznik izrecno označiti na spletu, ali s podpisom na obrazcu);
izražena mora biti jasno in preprosto in jasno razvidna;
pojasniti in omogočiti je treba možnost za preklic privolitve
Kar je, glej ga zlomka, že od l. 2007 uzakonjeno v ZVOP-1. Edina ampak resnično edina stvar, ki je ZVOP-1 ni definiral, ampak jo je definirala praksa dela IP-RS, je obseg minimalnih zahtev, da se šteje, da je dejansko bilo podano soglasje.
Ja.
Jajcanja z trgovinami in njihovimi nagradnimi igrami so potegnila kratko. Francelj s svojim s.p. zaenkrat še ne.
Ob vsakem pošiljanju rojstnodnevne čestitke bo moral zabeležiti, da je dostopal do tega osebnega podatkain s kakšnim namenom. (revizijska sled).
Zadoščal bo račun za pošto, da se bo lahko spomnil katerega dne je to bilo.
Podatke o dostopih bo moral beležiti že zato, da bo lahko pravočasno ugotovil morebitno nepooblaščeno dostopanje in v tem primeru ukrepal v skladu z regulativo, ki določa, da mora biti sposoben dokazati, da izpolnjuje vse zahteve.
Verjetno boš lahko tudi za to navedbo podal vir.
Prav tako bo moral zagotoviti varovanje teh podatkov (zaklenjen sef ali enkripcija).
To si ti misliš. Dovolj je, da koledarja ne bo imel razstavljenega pred vhodom v delavnico (predvidevam, da so notri naslovi in imena, ne zgolj krožci).
Zdrava pamet: če nič drugega, konkurenci ne želiš dati v roke svojega "rolodeksa".
Zdrava pamet kvečjemu pravi, da to ni v skladu s členom 32 GDPR, ki med drugim pravi:
...upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno:
...
(b) zmožnostjo zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;
(c) zmožnostjo pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;
(d) postopkom rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnostni obdelave.
Če postaviš koledarček na svojo mizo v pisarni, ki jo na koncu šihta zakleneš, kako točno si s tem kršil katerkoli določbo 32. čl GDPR?
Poleg tega bo moral voditi evidenco, katere so še vedno njegove redne stranke in podatke ostalih izbrisati.
Če bo nekdo zahteval, da mu preneha pošiljati čestitke, lahko uporabi črn marker flomaster.
Spet na pamet, kajne?
Vir
Podatke morate hraniti čim krajši čas.
Določiti morate roke za izbris ali preverjanje shranjenih podatkov.
Osebni podatki se izjemoma lahko hranijo daljše obdobje za namene v javnem interesu ali znanstveno- ali zgodovinsko raziskovalne namene, pod pogojem, da se izvajajo ustrezni tehnični in organizacijski ukrepi (kot so anonimizacija, šifriranje itd.).
zagotoviti morate, da se osebni podatki hranijo le toliko časa, kolikor je potrebno za namene, za katere se zbirajo („omejitev hrambe“),Vir
Obdeluješ jih lahko dokler imaš soglasje. Kar si citiral so členi, ki se nanašajo na obdelavo, ki je nujna za izvedbo pogodbe.
Če je tvoja obdelava pokrita s soglasjem, ki je skladno z ZVOP-1, potem bo ta obdelava skladna tudi z GDPR.
Vse to bo moral tudi dokumentirati.
Nope.
Za vse te postopke bo moral imeti sprejete interne akte.
Nope.
Yep:
Člen 24
Odgovornost upravljavca
1. Ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu s to uredbo. Ti ukrepi se pregledajo in dopolnijo, kjer je to potrebno.
2. Kadar je to sorazmerno glede na dejavnosti obdelave, ukrepi iz odstavka 1 vključujejo izvajanje ustreznih politik za varstvo podatkov s strani upravljavca.
Ja in? Si spregledal, da se upošteva naravo obdelave in tveganja za pravice in svoboščine posameznikov? Morda ne gre skozi, da to vključuje politike za varstvo podatkov, kadar je to sorazmerno glede na dejavnosti obdelave?
Iščeš dlako v jajcu?
Člen 33
Upravljavec dokumentira vsako kršitev varstva osebnih podatkov, vključno z dejstvi v zvezi s kršitvijo varstva osebnih podatkov, njene učinke in sprejete popravne ukrepe. Ta dokumentacija nadzornemu organu omogoči, da preveri skladnost s tem členom.
Pozabil si omeniti tudi: "..., razen če ni verjetno, da bi bile s kršitvijo varstva osebnih podatkov ogrožene pravice in svoboščine posameznikov."
Bi lahko pojasnil kako točno so francovih beležke v koledarju problem, ki bi ogrožal pravice in svoboščine posameznikov?
Moral bo imeti določeno tudi osebo, ki bo skrbnik osebnih podatkov, ki bo skrbela za pravilno izvajanje vsega opisanega.
Nope.
OK, v tem primeru ni obvezno, ampak kolikor poznam obrtnike in podjetnike, je ogromno takih, ki obvladajo svoje delo, vse ostalo (IT, ...) pa jih ne zanima. Bojim se, da jih veliko niti nima interesa se poglabljati v te zadeve.
Ja, prav imaš. Nimajo interesa in tudi sam jih poznam nekaj, ki zavestno ne želijo vedeti ničesar o temu, tudi če sem jim skušal pomagati.
Večina jih tudi nevede ne presega omejitev, ki jih postavlja GDPR, tisti pa, ki jih presegajo, pa bodo od prekrškovnega organa (IP-RS pri nas) za malenkostne krštive dobili poziv k uskladitivi, ne pa globo na prvo žogo.
Pod črto je vprašanje, če je to upravičeno ali ne. IMO jih GDPR ne bo "ogrožal", dokler ne bodo osebnih podatkov prekomerno mrcvarili. Večina jih tako ali tako ne pošilja rojstnodnevnih čestitk, temveč zgolj za kakšen božič ali novo leto. Večina osebnih podatkov je na računih ali povezanih z računi. Večina elektronskih naslovov je pokrita z določili ZEKom-1. To so zelo majhna tveganja in GDPR ima ravno zaradi njih uzakonjeno sorazmernost ukrepov. Z izjemo reguliranih poklicov (odvetniki, zdravniki, zobozdravniki, ...) je tukaj veliko preveč FUD-a.
Enako velja za ime, naslov, telefonsko številko in vse druge osebne podatke. V resnici noben od teh podatkov ni nujno potreben za izvedbo storitve.
Če ni potreben, potem je človek že danes v prekršku. Če je potreben, potem tudi po 25.5. ne bo v prekršku.
Če podatki niso pridobljeni na način, skladen z GDPR, jih bo moral pridobiti še enkrat (vir je naveden zgoraj).
Ditto. Če so podatki pridobljeni v skladu z ZVOP-1, potem tudi po GDPR z njimi ne bo težav.
Da bo med tem utegnil popraviti tudi kakšen avto, bo moral nekoga zaposliti ali najeti zunanjega izvajalca.
Ja, če se bo zanašal na takšne vseznalce, kot si ti, potem res.
Hvala za kompliment.
Ni problema. Lahko še kdaj.
Prav bi bilo, da kot stranka ob prvem obisku avtomehanika (ali zobozdravnika) dobite A4 list, kjer bo navedeno, kateri vaši osebni podatki se zbirajo, s kakšnim namenom, kako so varovani, kje se nahajajo in kako dolgo se hranijo in kjer boste podpisali, da to eksplicitno dovolite.
Če obseg podatkov presega tistega, ki je potreben za izvedbo storitve, potem je odgovor, da je informirano soglasje potrebno dati že zadnjih 10 let. Torej nič novega. Vse, kar se je dodalo, je to, da je sedaj natančneje določeno kaj pomeni "informirano". Saj si hotel manj megle, mar ne?
Če so podatki potrebni za izvedbo storitve, potem ločeno soglasje ni potrebno, ker je podlaga podana v zakonu.
Še enkrat, če podatki niso pridobljeni v skladu z določili GDPR, jih bo moral pridobiti še enkrat, kot je to določeno (navedeno zgoraj).
Ditto.
Ne pozabite, GDPR velja neposredno in ni zgolj neko priporočilo! Ker pa je ta regulativa nerealna in neživljenjska in vsaj za mala podjetja in podjetnike čista norost, bomo verjetno čez čas dobili zakon, ki bo vse to uredil malo bolj človeško (kot je bilo npr. s prometnimi podatki - najprej obvezno hranjenje, potem prepovedano, piškotki, in malo dlje nazaj z obvezno registracijo zbirk osebnih podatkov pri IP-RS, ki je bila potem za mala podjetja kasneje odpravljena). Ampak do takrat GDPR velja in to tako za korporacije, freelancerje, avtomehanike in branjevke na tržnici.
Živeli in videli.
Ampak zgodbica, ki si jo tukaj popisal nima zveze z realnostjo.
Vsaj v 80 % ima.
Morda 1%, zagotovo pa 0%, ko prideš do Avtomehanik Francelj s.p.
SeMiNeSanja ::
Namesto tega si povzel pozicijo 'jaz vem vse o GDPR in ZVOP, vam se pa ne sanja' in se nad sogovornike spravil na način, ki bi mu lahko rekel, da je nekoliko preveč aroganten za moj okus.
Ampak ne glede na to, sem v bistvu uspel dokazati mojo prvotno trditev, katero nisi razumel: da danes, manj kot mesec dni pred uveljavitvijo GDPR zadeve široki javnosti niso niti približno jasne. Da ima vsak neko svojo lastno predstavo o GDPR. Da se je vse skupaj tako zavilo v meglo - pogosto tudi po zaslugi odvetniške gospode. Da vlada en kup GDPR mitov - nekaterim si očitno celo ti zapadel.
In prosim kar takoj prenehaj z govorjenjem o tistih 4% prometa za kazen - istočasno pa drugim govoriš, da delajo paniko. 4% lahko v najhujšem primeru prizadane tvojega delodajalca, zagotovo pa ne bo mehanika Francija, ne glede na to, kakšen prekršek bi naredil.
Nad moje komentarje si se spravil, kot da imam JAZ težave - medtem ko sem ti hotel ponazoriti, kako nelogične so zadeve za splošno 'rajo' - vse tiste d.o.o. in s.p. z manj kot 100 zaposlenimi, brez IT in pravne službe, ki niso eksperti ne za eno ne za drugo področje. Tega je več kot 90% podjetij! Moje navedbe niso imele popolnoma nič skupnega z menoj in mojim poslovanjem. Rabim posebej poudarjat, da so bili tvoji komentarji žaljivi? Imam občutek, da si se tega navzel od Lakotnik29...
Tvoj 'problem' je v tem, da na vse skupaj gledaš s stališča velikih podjetij. Tistih, ki imajo človeške in finančne resurse za takšne pravniške in organizacijske telovadbe tipa GDPR.
Dodaten tvoj problem je v tem, da si očitno že pozabil, kako si sam bil neuk o vseh teh rečeh, predenj so te različni pravniki podučili.
Prosim te, da se ogibaš arogance v svojem pisanju. Če ti je namen koga podučiti in zadevo razložiti, tako da jo bo razumel, bošbistveno bolj uspešen brez arogantnega podtona. Če ti je pa namen, da se delaš pametnega.... No, upam, da ni.....
Drugače pa je trenutno tvoje mnenje o GDPR tudi zgolj TVOJE mnenje. Tako, kot mnenja drugih 'GDPR ekspertov' ni še prav nobene sodne prakse, na osnovi katere bi lahko rekli, kdo ima prav. Seveda so kakšne osnovne zadeve, kjer se točno ve, kdo ima prav. So pa tudi druge zadeve, kjer prav nihče ne ve, kaj bi obveljalo v primeru sodnega spora. Kdo ima prav? Kaj ni vseeno? Mislim, da je še toliko bolj pomembno, da vemo tudi za takšna razhajanja v mnenjih, da smo lahko bolj pozorni na ta področja. Najslabše je točno to, da ne vemo, da na določenih področjih obstajajo različne razlage in interpretacije, da ne vemo, da je morda naša interpretacija napačna.
Drugače pa me prav mika, da bi dobil nekje enega pravnika, ki bi sestavil 'drobni tisk' v katerem bi uporabnik s svojim podpisom dobesedno prodal 'dušo' hudiču. Po tistem mi bo malo mar za GDPR. Če lahko Google in Facebook zbirata tudi informacije o tem kdaj spim, pa ni vika in krika, ker si baje nekje pristal na 'splošne pogoje' - zakaj pa nebi še jaz potem storil enako?
Guest WiFi? Logiranje? Na captive portal napišem, da bom logiral VSE in to za VEČNO. Dostop do logov pa bo imel kdorkoli mu ga bom omogočil, evidenca o tem pa se ne bo vodila. Obkljukaš? O.k., GDPR ni več moj problem...saj si dal svoje soglasje.
Miha 333 ::
SeMiNeSanja je izjavil:
Kaj pa avtomehanik Franci s svojim s.p., ki ne ve več, ali še lahko svojim strankam pošlje čestitko za rojstni dan, da ne bo obtožen, da je po nepotrebnem in na neprimeren način hranil osebne podatke svojih strank in grda baraba kriminalna te potem še "obdeloval" brez eksplicitnega predhodnega soglasja svoje stranke!
Da. Vendar samo tistim, ki mu niso rekle, da naj jih že enkrat pusti pri miru. Te slednje pa mora poslušati.
Ne. Do 25.05.2018 bo moral od vseh obstoječih in od tedaj naprej tudi novih strank pridobiti eksplicitno in dokazljivo soglasje, da lahko zbira in obdeluje točno določen njihov osebni podatek - datum rojstva za namen pošiljanja rojstnodnevnih čestitk.
Nope. Malo višje ti je že bilo pojasnjeno zakaj ne.
Evropska komisija pravi drugače:
...- za obdelavo podatkov morate imeti določene namene morate z njimi seznaniti posameznike med zbiranjem osebnih podatkov o njih. Osebnih podatkov ne morete preprosto zbirati za neopredeljene namene („omejitev namena“),Vir
- zbirati in obdelovati smete samo osebne podatke, ki so potrebni za izpolnitev tega namena („najmanjši obseg podatkov“),
Podatke lahko obdelujete samo v naslednjih primerih:Vir
če imate privolitev zadevnih posameznikov;
Naslednja alineja sicer dopušča zbiranje na podlagi pogodbe, vendar rojstni datum sem ne spada, saj
Kadar so osebni podatki potrebni, morajo biti ustrezni, relevantni in omejeni na to, kar je potrebno za namen („najmanjši obseg podatkov“). Kot upravljavec ste odgovorni, da ocenite, koliko podatkov je potrebnih, in zagotovite, da se nepotrebni podatki ne zbirajo.Vir
Vir
Ko morate pridobiti privolitev za obdelavo osebnih podatkov, mora biti izpolnjenih več pogojev, da je ta privolitev veljavna:
dana mora biti prostovoljno;
biti mora ozaveščena;
dana mora biti za določen namen;
vsi razlogi za obdelavo morajo biti jasno navedeni;
biti mora izrecna in dana s pozitivnim dejanjem (npr. prek elektronskega polja za označevanje, ki ga mora posameznik izrecno označiti na spletu, ali s podpisom na obrazcu);
izražena mora biti jasno in preprosto in jasno razvidna;
pojasniti in omogočiti je treba možnost za preklic privolitve (npr. s povezavo do strani za preklic na koncu elektronske pošte z novicami)
Vse lepo in prav, ampak kar si pozabil omeniti, pa je, da v Sloveniji že ZVOP-1 določa, da je obdelava dovoljena na podlagi takšnega soglasja in nikakor drugače. GDPR v tem pogledu ne presega predpisa, ki v Sloveniji velja že od 2007.
Gl. mnenje IP-RS št. 0712-1047/2007/2:
"Osebna privolitev posameznika je v 14. točki 6. člena ZVOP-1 definirana kot prostovoljna izjava volje posameznika, da se lahko njegovi osebni podatki obdelujejo za določen namen, in je dana na podlagi informacij, ki mu jih mora zagotoviti upravljavec po tem zakonu. Iz citirane definicije izraza »osebna privolitev posameznika« ter iz načela zakonitosti in poštenosti pri obdelavi osebnih podatkov (2. člen ZVOP-1) izhaja, da se osebna privolitev posameznika lahko šteje kot veljavna pravna podlaga za obdelavo osebnih podatkov le v primeru, če je bil posameznik pred podajo osebne privolitve jasno seznanjen z namenom obdelave osebnih podatkov ter, če so mu bile pred podajo osebne privolitve s strani upravljavca osebnih podatkov dane informacije, ki jih določa ZVOP-1."
Kdor se je ravnal po zakonu, se ne bi imel ničesar za bati in mu ne bi bilo ničesar potrebno spreminjati. GDPR glede tega ne spreminja nič bistvenega in ga zato izpostavljati kot "problem" v Sloveniji nima smisla.
Zelo verjetno se motiš:
To zelo verjetno pomeni, da številne privolitve, ki so bile veljavne po ZVOP-1 ne izpolnjujejo vseh pogojev za veljavnost privolitve po Splošni uredbi. Absolutno priporočamo, da temeljito preverite vse vaše obrazce za soglasje, sklenjene pogodbe, splošne pogoje storitev in spletne obrazce, s katerimi ste pridobili privolitve. Podrobno si poglejte predvsem uvodne določbe 32, 33, 42, 43 in 171 ter člene 7, 8 in 9.
Se mi pa smeji, ko sedaj vsi prekrškarji nekaj stokajo, ker globa nenadoma več ne bi bila nekaj 100 EUR, ampak 4% prometa. A ob to se pa ne bo nihče obregnil?
Še posebej zato, ker rojstni datum ni podatek, ki bi bil po zakonu potreben za izvedbo storitve.
Na nek način ga je pridobil. Če ga je pridobil pod pretvezo, je že danes v prekršku in GDPR spremeni samo višino globe. Če ga je pridobil pravilno, mu GDPR tozadevno ne spremeni ničesar.
Glej prejšnji odgovor. Če predhodno pridobljeno soglasje ni bilo pridobljeno kot določa GDPR, ga bo moral pridobiti še enkrat. Vsekakor pa za vse nove stranke.
Ditto. Že danes bi moralo podjetje pridobiti informirano soglasje za obdelavo podatka in GDPR za Slovenijo ne določa nič novega.
Gl. prejšnji odgovor.
In tega osebnega podatka (datuma rojstva) ne bo smel uporabiti za noben drug namen kot za tistega, za katerega je bilo dano takšno soglasje.
Nope. Če je bil podatek pravilno pridobljen z okviru izvajanja pogodbe, potem to ne velja. Če podatek ni bil pridobljen v skladu z ZVOP-1, je s.p. že danes v prekršku.
V okviru izvajanja pogodbe lahko zahteva samo podatke, ki so nujno potrebni za izvajanje pogodbe, rojstni datum to ni:
Ditto. Če je podatek obdeluje legalno glede na ZVOP-1, se z GDPR glede soglasja ne spremeni nič.
Verjetno ne drži. Gl. prejšnji odgovor.
Kadar so osebni podatki potrebni, morajo biti ustrezni, relevantni in omejeni na to, kar je potrebno za namen („najmanjši obseg podatkov“). Kot upravljavec ste odgovorni, da ocenite, koliko podatkov je potrebnih, in zagotovite, da se nepotrebni podatki ne zbirajo.Vir
Da, da. Morda si spregledal, ampak tudi to velja v Sloveniji že od l. 2007: 3. čl. ZVOP-1. Banke so tudi že dopbile po prstih, ker so zahtevale več, kot bi smele.
Se pravi, bo potreboval soglasje, za kar pa velja:
Ko morate pridobiti privolitev za obdelavo osebnih podatkov, mora biti izpolnjenih več pogojev, da je ta privolitev veljavna:Vir
dana mora biti prostovoljno;
biti mora ozaveščena;
dana mora biti za določen namen;
vsi razlogi za obdelavo morajo biti jasno navedeni;
biti mora izrecna in dana s pozitivnim dejanjem (npr. prek elektronskega polja za označevanje, ki ga mora posameznik izrecno označiti na spletu, ali s podpisom na obrazcu);
izražena mora biti jasno in preprosto in jasno razvidna;
pojasniti in omogočiti je treba možnost za preklic privolitve
Kar je, glej ga zlomka, že od l. 2007 uzakonjeno v ZVOP-1. Edina ampak resnično edina stvar, ki je ZVOP-1 ni definiral, ampak jo je definirala praksa dela IP-RS, je obseg minimalnih zahtev, da se šteje, da je dejansko bilo podano soglasje.
Gl. prejšnji odgovor.
Ob vsakem pošiljanju rojstnodnevne čestitke bo moral zabeležiti, da je dostopal do tega osebnega podatkain s kakšnim namenom. (revizijska sled).
Zadoščal bo račun za pošto, da se bo lahko spomnil katerega dne je to bilo.
Podatke o dostopih bo moral beležiti že zato, da bo lahko pravočasno ugotovil morebitno nepooblaščeno dostopanje in v tem primeru ukrepal v skladu z regulativo, ki določa, da mora biti sposoben dokazati, da izpolnjuje vse zahteve.
Verjetno boš lahko tudi za to navedbo podal vir.
Člen 33 GDPR
5. Upravljavec dokumentira vsako kršitev varstva osebnih podatkov, vključno z dejstvi v zvezi s kršitvijo varstva osebnih podatkov, njene učinke in sprejete popravne ukrepe. Ta dokumentacija nadzor
nemu organu omogoči, da preveri skladnost s tem členom.
Prav tako bo moral zagotoviti varovanje teh podatkov (zaklenjen sef ali enkripcija).
To si ti misliš. Dovolj je, da koledarja ne bo imel razstavljenega pred vhodom v delavnico (predvidevam, da so notri naslovi in imena, ne zgolj krožci).
Zdrava pamet: če nič drugega, konkurenci ne želiš dati v roke svojega "rolodeksa".
Zdrava pamet kvečjemu pravi, da to ni v skladu s členom 32 GDPR, ki med drugim pravi:
...upravljavec in obdelovalec z izvajanjem ustreznih tehničnih in organizacijskimi ukrepov zagotovita ustrezno raven varnosti glede na tveganje, vključno med drugim z naslednjimi ukrepi, kot je ustrezno:
...
(b) zmožnostjo zagotoviti stalno zaupnost, celovitost, dostopnost in odpornost sistemov in storitev za obdelavo;
(c) zmožnostjo pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;
(d) postopkom rednega testiranja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnostni obdelave.
Če postaviš koledarček na svojo mizo v pisarni, ki jo na koncu šihta zakleneš, kako točno si s tem kršil katerkoli določbo 32. čl GDPR?
Točko c. Incident vključuje tudi uničenje podatkov (namerno ali nenamerno - požar, poplava, politje s kavo, ...).
Poleg tega bo moral voditi evidenco, katere so še vedno njegove redne stranke in podatke ostalih izbrisati.
Če bo nekdo zahteval, da mu preneha pošiljati čestitke, lahko uporabi črn marker flomaster.
Spet na pamet, kajne?
Vir
Podatke morate hraniti čim krajši čas.
Določiti morate roke za izbris ali preverjanje shranjenih podatkov.
Osebni podatki se izjemoma lahko hranijo daljše obdobje za namene v javnem interesu ali znanstveno- ali zgodovinsko raziskovalne namene, pod pogojem, da se izvajajo ustrezni tehnični in organizacijski ukrepi (kot so anonimizacija, šifriranje itd.).
zagotoviti morate, da se osebni podatki hranijo le toliko časa, kolikor je potrebno za namene, za katere se zbirajo („omejitev hrambe“),Vir
Obdeluješ jih lahko dokler imaš soglasje. Kar si citiral so členi, ki se nanašajo na obdelavo, ki je nujna za izvedbo pogodbe.
Če je tvoja obdelava pokrita s soglasjem, ki je skladno z ZVOP-1, potem bo ta obdelava skladna tudi z GDPR.
Spet, soglasje, skladno z ZVOP-1 zelo verjetno ni skladno z GDPR. Glej zgoraj.
Vse to bo moral tudi dokumentirati.
Nope.
Za vse te postopke bo moral imeti sprejete interne akte.
Nope.
Yep:
Člen 24
Odgovornost upravljavca
1. Ob upoštevanju narave, obsega, okoliščin in namenov obdelave, pa tudi tveganj za pravice in svoboščine posameznikov, ki se razlikujejo po verjetnosti in resnosti, upravljavec izvede ustrezne tehnične in organizacijske ukrepe, da zagotovi in je zmožen dokazati, da obdelava poteka v skladu s to uredbo. Ti ukrepi se pregledajo in dopolnijo, kjer je to potrebno.
2. Kadar je to sorazmerno glede na dejavnosti obdelave, ukrepi iz odstavka 1 vključujejo izvajanje ustreznih politik za varstvo podatkov s strani upravljavca.
Ja in? Si spregledal, da se upošteva naravo obdelave in tveganja za pravice in svoboščine posameznikov? Morda ne gre skozi, da to vključuje politike za varstvo podatkov, kadar je to sorazmerno glede na dejavnosti obdelave?
Iščeš dlako v jajcu?
Bistvenih določil enostavno ne moreš izvajati v praksi, če nimaš določenih pravil in postopkov.
Poleg tega IP RS pravi:
Če ste resno in odgovorno podjetje, potem je prav, da imate v internih aktih postavljena pravila, kako ščitite osebne podatke pred izgubo, nepooblaščenim dostopom in drugimi zlorabami.
Člen 33
Upravljavec dokumentira vsako kršitev varstva osebnih podatkov, vključno z dejstvi v zvezi s kršitvijo varstva osebnih podatkov, njene učinke in sprejete popravne ukrepe. Ta dokumentacija nadzornemu organu omogoči, da preveri skladnost s tem členom.
Pozabil si omeniti tudi: "..., razen če ni verjetno, da bi bile s kršitvijo varstva osebnih podatkov ogrožene pravice in svoboščine posameznikov."
Bi lahko pojasnil kako točno so francovih beležke v koledarju problem, ki bi ogrožal pravice in svoboščine posameznikov?
Enostavno, neka stranka vidi ali ukrade koledar iz pisarne, medtem ko je Franci zatopljen v menjavo sklopke na avtomobilu.
Moral bo imeti določeno tudi osebo, ki bo skrbnik osebnih podatkov, ki bo skrbela za pravilno izvajanje vsega opisanega.
Nope.
OK, v tem primeru ni obvezno, ampak kolikor poznam obrtnike in podjetnike, je ogromno takih, ki obvladajo svoje delo, vse ostalo (IT, ...) pa jih ne zanima. Bojim se, da jih veliko niti nima interesa se poglabljati v te zadeve.
Ja, prav imaš. Nimajo interesa in tudi sam jih poznam nekaj, ki zavestno ne želijo vedeti ničesar o temu, tudi če sem jim skušal pomagati.
Večina jih tudi nevede ne presega omejitev, ki jih postavlja GDPR, tisti pa, ki jih presegajo, pa bodo od prekrškovnega organa (IP-RS pri nas) za malenkostne krštive dobili poziv k uskladitivi, ne pa globo na prvo žogo.
Pod pogojem, da kršitev ne bo namerna ali iz malomarnosti. Zavestno ignoriranje predpisov lahko že spada pod malomarnost.
Ne pozabite, GDPR velja neposredno in ni zgolj neko priporočilo! Ker pa je ta regulativa nerealna in neživljenjska in vsaj za mala podjetja in podjetnike čista norost, bomo verjetno čez čas dobili zakon, ki bo vse to uredil malo bolj človeško (kot je bilo npr. s prometnimi podatki - najprej obvezno hranjenje, potem prepovedano, piškotki, in malo dlje nazaj z obvezno registracijo zbirk osebnih podatkov pri IP-RS, ki je bila potem za mala podjetja kasneje odpravljena). Ampak do takrat GDPR velja in to tako za korporacije, freelancerje, avtomehanike in branjevke na tržnici.
Živeli in videli.
Ampak zgodbica, ki si jo tukaj popisal nima zveze z realnostjo.
Vsaj v 80 % ima.
Morda 1%, zagotovo pa 0%, ko prideš do Avtomehanik Francelj s.p.
Bistvena značilnost GDPR je, da ne razlikuje med neko multinacionalko in Avtomehanikom Frencljem s.p.
Miha 333 ::
SeMiNeSanja je izjavil:
Drugače pa me prav mika, da bi dobil nekje enega pravnika, ki bi sestavil 'drobni tisk' v katerem bi uporabnik s svojim podpisom dobesedno prodal 'dušo' hudiču. Po tistem mi bo malo mar za GDPR. Če lahko Google in Facebook zbirata tudi informacije o tem kdaj spim, pa ni vika in krika, ker si baje nekje pristal na 'splošne pogoje' - zakaj pa nebi še jaz potem storil enako?
Guest WiFi? Logiranje? Na captive portal napišem, da bom logiral VSE in to za VEČNO. Dostop do logov pa bo imel kdorkoli mu ga bom omogočil, evidenca o tem pa se ne bo vodila. Obkljukaš? O.k., GDPR ni več moj problem...saj si dal svoje soglasje.
Večina tega bi bila v nasprotju z GDPR.
SeMiNeSanja ::
SeMiNeSanja je izjavil:
Drugače pa me prav mika, da bi dobil nekje enega pravnika, ki bi sestavil 'drobni tisk' v katerem bi uporabnik s svojim podpisom dobesedno prodal 'dušo' hudiču. Po tistem mi bo malo mar za GDPR. Če lahko Google in Facebook zbirata tudi informacije o tem kdaj spim, pa ni vika in krika, ker si baje nekje pristal na 'splošne pogoje' - zakaj pa nebi še jaz potem storil enako?
Guest WiFi? Logiranje? Na captive portal napišem, da bom logiral VSE in to za VEČNO. Dostop do logov pa bo imel kdorkoli mu ga bom omogočil, evidenca o tem pa se ne bo vodila. Obkljukaš? O.k., GDPR ni več moj problem...saj si dal svoje soglasje.
Večina tega bi bila v nasprotju z GDPR.
Če si dal privolitev.... sam kriv!
Kako pa misliš, da Google, FB & Co pridejo skozi?
Ja, poslal ti bodo mail o spremembi splošnih pogojev....ki ga seveda nihče ne prebere. Posledično tudi nihče ne reče 'zdej ste šli pa predaleč' in se ne odjavi z njihovih storitev, ne zahteva brisanja,.....
Zadnje dneve taki maili že pridno vletavajo.... koliko ste jih prebrali? Jaz priznam, da nisem nobenega.
Uporabnix ::
AndrejO ::
SeMiNeSanja je izjavil:
@AndrejO - kot sem že v začetku rekel, nisi razumel kaj sem sploh hotel izpostaviti.
Namesto tega si povzel pozicijo 'jaz vem vse o GDPR in ZVOP, vam se pa ne sanja' in se nad sogovornike spravil na način, ki bi mu lahko rekel, da je nekoliko preveč aroganten za moj okus.
OK, sprejmem da sem preveč aroganten za tvoj okus. Bom poskusil manj neposredno.
SeMiNeSanja je izjavil:
Ampak ne glede na to, sem v bistvu uspel dokazati mojo prvotno trditev, katero nisi razumel: da danes, manj kot mesec dni pred uveljavitvijo GDPR zadeve široki javnosti niso niti približno jasne. Da ima vsak neko svojo lastno predstavo o GDPR. Da se je vse skupaj tako zavilo v meglo - pogosto tudi po zaslugi odvetniške gospode. Da vlada en kup GDPR mitov - nekaterim si očitno celo ti zapadel.
Želim, da k tej "odvetniški gospodi" dodaš tudi "IT trote" za katere menim, da so krivi najmanj 80% dreka, ki ga podjetja sedaj trpijo. Najmanj zato, ker ni delo "odvetniške gospode", da hodijo naokoli in neznancem na cesti razlagajo nekaj o zakonodaji, temveč je delo najetih in plačanih IT strokovnjakov, da sledijo področju in pazijo, da bo na njihovi straži IT sistem nemoteno deloval.
SeMiNeSanja je izjavil:
In prosim kar takoj prenehaj z govorjenjem o tistih 4% prometa za kazen - istočasno pa drugim govoriš, da delajo paniko. 4% lahko v najhujšem primeru prizadane tvojega delodajalca, zagotovo pa ne bo mehanika Francija, ne glede na to, kakšen prekršek bi naredil.
Teoretično lahko prizadane oba, ampak možnost, da prizadane Avtomehanik Fraci s.p. je ničelna. Zagotovo pa to lahko prizadane in to čisto zasluženo "Lokalni Spamer Jože s.p.", ki načrtno zbira osebne podatke in nato trži storitev razpošiljanja elektronske pošte.
SeMiNeSanja je izjavil:
Nad moje komentarje si se spravil, kot da imam JAZ težave - medtem ko sem ti hotel ponazoriti, kako nelogične so zadeve za splošno 'rajo' - vse tiste d.o.o. in s.p. z manj kot 100 zaposlenimi, brez IT in pravne službe, ki niso eksperti ne za eno ne za drugo področje.
13. citat nalaga interpretacije, ki je takšna: "Za upoštevanje posebnega položaja mikro, malih in srednjih podjetij ta uredba vsebuje odstopanja glede vodenja evidenc za organizacije, ki zaposlujejo manj kot 250 oseb. Poleg tega se institucije in organe Unije ter države članice in njihove nadzorne organe spodbuja, da posebne potrebe mikro, malih in srednjih podjetij upoštevajo pri uporabi te uredbe."
Če si podjetje z 250 ali več zaposlenimi ne more privoščiti IT inženirja(*) ali drugega ustreznega strokovnjaka, hkrati pa je poslovanje kritično odvisno od obdelave osebnih podatkov, potem pač ostanem brez besed. Ne vem kaj naj jim rečem. Ignoranca ni izgovor?
SeMiNeSanja je izjavil:
Tega je več kot 90% podjetij! Moje navedbe niso imele popolnoma nič skupnega z menoj in mojim poslovanjem. Rabim posebej poudarjat, da so bili tvoji komentarji žaljivi? Imam občutek, da si se tega navzel od Lakotnik29...
Kako lahko manj žaljivo povem, da mislim, da so tvoje predstave napačne, tvoja pričakovanja pa nerazumna?
SeMiNeSanja je izjavil:
Tvoj 'problem' je v tem, da na vse skupaj gledaš s stališča velikih podjetij. Tistih, ki imajo človeške in finančne resurse za takšne pravniške in organizacijske telovadbe tipa GDPR. Dodaten tvoj problem je v tem, da si očitno že pozabil, kako si sam bil neuk o vseh teh rečeh, predenj so te različni pravniki podučili.
Ravno nasprotno. V marsikom vidim sebe pred 10 leti. Vsevednega IT-jevca, ki je mislil, da se problemi sveta ne tičejo IT-ja, "Ekonomika poslovanja" na FRI pa je en izmed najbolj bednih predmetov sploh in kaj za boga ta dela na računalniškem faksu.
Če se bi mi dalo, bi pobrskal po javnih dokumentih, ki sem jih pisal na temo ZEKom okoli 2007 in notri bi dobesedno našel prepisane tvoje besede o "megli" in "pomankanju standardov".
Sedaj, ko gledam nazaj z distanco, vidim kako kratkoviden bedak sem bil. Škoda, da me ni kakšen Lakotnik ali njemu podoben že takrat krepko okoli kepe, da bi mi pojasnil kako nič ne vem.
SeMiNeSanja je izjavil:
Prosim te, da se ogibaš arogance v svojem pisanju. Če ti je namen koga podučiti in zadevo razložiti, tako da jo bo razumel, bošbistveno bolj uspešen brez arogantnega podtona. Če ti je pa namen, da se delaš pametnega.... No, upam, da ni.....
Izhodišče je, da IT služi poslovnim procesom in za uspešno + poceni obdelavo osebnih podatkov je nujno, da se pregleda in uskladi oboje. Poudarjanje zgolj "tehničnih problemov" je kratkovidno, ker praviloma vodi v (pre)drago reševanje položaja, ki ga bi morda že manjša organizacijska spremeba v celoti odstranila.
SeMiNeSanja je izjavil:
Drugače pa je trenutno tvoje mnenje o GDPR tudi zgolj TVOJE mnenje. Tako, kot mnenja drugih 'GDPR ekspertov' ni še prav nobene sodne prakse, na osnovi katere bi lahko rekli, kdo ima prav. Seveda so kakšne osnovne zadeve, kjer se točno ve, kdo ima prav. So pa tudi druge zadeve, kjer prav nihče ne ve, kaj bi obveljalo v primeru sodnega spora. Kdo ima prav? Kaj ni vseeno?
GDPR dejansko gradi na veliko izkušnjah in sodni praksi vseh članic, zato ne obstaja v pravnem vakumu. Informacije o GDPR so splošne in predvidevajo, da je bralec iz okolja, ki je bilo do sedaj še najmanj regulirano (UK in Irska sta takšna primera), vse te nasvete pa je potrebno brati ob razumevanju lokalne zakonodaje. Slovenija je bila z ZVOP-1 relativno blizu tem, kar je danes realizirano v GDPR, zato bi veliko podjetij ob spoštovanju ZVOP-1 in mnenj IP-RS moralo narediti tranzicijo z nizkimi stroški in v relativno kratkem času.
Revizijska sled je en primer, ki se pogosto pojavlja. V skladu z ZVOP-1 ima vsak posameznik pravico do tega, da mu upravljalec zbirke sporoči katere podatke o njemu hrani, od kdaj jih hrani, na kateri podlagi jih hrani, kdo je do njih dostopal, kdaj je do njih dostopal, za kakšen namen je do njih dostopal, ...
Koliko različnih načinov poznaš za zagotavljanje teh podatkov? Jaz poznam dva. En je (digitalna) revizijska sled, drugi je (papirnati) dnevnik vpogledov. Morda obstaja še več načinov, ampak če pogledam GDPR, ki pač zahteva revizijsko sled in komentarje, ki tulijo kako je to nesorazmerno, me kar malo stisne. Kako so pa ti ljudje do sedaj spoštovali ZVOP-1? In komentarji kako je vse to megla? Kako, če sedaj GDPR jasno zahteva revizijsko sled, dočim je v pretekli verziji direktiva bolj liberalno govorila samo kaj mora upravljalec zagotoviti?
Mislim, da ni problem v GDPR ali "megli" okoli GDPR. Mislim, da je problem, da so podjetja živela "v megli" preteklih 10 let, sedaj pa ji je nekdo vrgel nekaj kosti o višjih kaznih. Aha. Opa. Sedaj bo pa potrebno zakon resno vzeti. Zato nimam kaj dosti usmiljenja do takšnih podjetij, pa če so to multinacionalke ali pa France s.p.
SeMiNeSanja je izjavil:
Mislim, da je še toliko bolj pomembno, da vemo tudi za takšna razhajanja v mnenjih, da smo lahko bolj pozorni na ta področja. Najslabše je točno to, da ne vemo, da na določenih področjih obstajajo različne razlage in interpretacije, da ne vemo, da je morda naša interpretacija napačna.
Sledi zahtevanim izidom, ki so zelo jasni in ne boš storil napake. Vse sledi iz tega.
SeMiNeSanja je izjavil:
Drugače pa me prav mika, da bi dobil nekje enega pravnika, ki bi sestavil 'drobni tisk' v katerem bi uporabnik s svojim podpisom dobesedno prodal 'dušo' hudiču.
Ne bo šlo. Ker podjetja niso dobro dojela kaj pomeni "soglasje" in zato, ker so nekatere države dopuščale tudi takšen drek (Slovenija ga ne bi rabila, samo kaj ko se posamezniki okoli tega niso ravno pritoževali), je sedaj v GDPR bolje obrazloženo, da je soglasje dano samo, če človek ve s čem soglaša.
To izključuje "drobni tisk".
SeMiNeSanja je izjavil:
Če lahko Google in Facebook zbirata tudi informacije o tem kdaj spim, pa ni vika in krika, ker si baje nekje pristal na 'splošne pogoje' - zakaj pa nebi še jaz potem storil enako?
Bomo videli kako se bo to razpletlo.
SeMiNeSanja je izjavil:
Guest WiFi? Logiranje? Na captive portal napišem, da bom logiral VSE in to za VEČNO. Dostop do logov pa bo imel kdorkoli mu ga bom omogočil, evidenca o tem pa se ne bo vodila. Obkljukaš? O.k., GDPR ni več moj problem...saj si dal svoje soglasje.
Za večno ne bo šlo ne zdaj, ne potem. Z dobrim ubesedenjem pa dejansko lahko dosežeš "vse" in za "dovolj dolgo". Prej in potem.
AndrejO ::
Bistvena značilnost GDPR je, da ne razlikuje med neko multinacionalko in Avtomehanikom Frencljem s.p.
Ja in ne. GDPR ima večino rezov narejenih na drugačen in IMO ustreznejši način.
En člen to razlikuje taksativno, ker velja zgolj za podjetja z manj kot 250 zaposlenimi, preostali členi vsebujejo podatke o sorazmernosti, kjer GDPR razlikuje med Avtomehanik Francelj s.p. in njegovo (domnevno že danes v skladu z ZVOP-1) zbirko podatkov o rojstnih dnevih in Splošni zdravnik Miha s.p. in njegovo zbirko (tudi domnevno že danes v skladu z ZVOP-1), ki vključuje tudi občutljive osebne podatke.
Sorazmernost je in ostane temelj obravnave, pri čemer presoja sloni na tem, da nekatere vrste obdelave in nekatere zbirke lahko ogrožajo, nekatere pa praktično ne morejo. Posamično (taksativno) pa ti primeri niso navedeni, ker se zakonodajalec zaveda, da ne more predvideti vseh. Obravnavane in zavrnjene možnosti so bile glede na velikost podjetja (zavrnjeno zaradi enoosebnih spammerjev) in glede na velikost zbirke (zbirka 10.000 e-mail naslovov predstavlja manjše tveganje kot pa zbirka 10 medicinskih kartonov). Rešitev je bila ta, da se v najbolj kritične člene vstavi dikcija o sorazmernosti, ki se sklicuje na 75. recital za pomoč pri ugotavljanju kaj zapade pod definicijo ogrožanja osebnostnih pravic in podobnega.
jukoz ::
Imamo stranko tipa "Splošni zdravnik Miha s.p." (cca 30 zaposlenih), ki bi morala o GDPR vedeti veliko. Ko smo jih spraševali glede njihovega ITja in kaj bi morali urediti, so rekli da se to njih kaj dosti ne tiče, saj nimajo strukturiranih podatkov in da jih ne uporabljajo za prodajo. To je res, podatke od strank imajo v 1000 in 1 word, excel, ... datotekah, podatke o zaposlenih pa v raznoraznih računovodskih programih. Vseeno smo izrazili začudenje, saj imajo o strankah precej poglobljene podatke (so neke vrste gradbeniki, torej imajo podatke o parcelah, o nakupih, načinih plačil, ...) o njihovem premoženju.
Imamo stranko tipa "Splošni zdravnik Miha s.p." (spet cca 30 zaposlenih), ki o GDPR ve veliko. Ker so podizvajalci za večja tuja in domača podjetja, morajo biti skladi z GDPR tudi zato, ker se lahko zgodi (sicer redko), da obdelujejo podatke njihovih strank ali zaposlenih. Tudi oni nimajo strukturiranih podatkov, imamo pa vsi skupaj precej dela, saj se dejansko ločuje dokumente, ki vsebujejo osebne podatke od tistih, ki jih ne. Spet so tu 1000 in 1 word, excel, ... datoteke. Podatki o svojih zaposlenih pa so v računovodskih programih.
Pri njih se poleg pričakovanih dokumentov (razne pogodbe, ponudbe, ...), ki se smatrajo, da vsebujejo osebne podatke, kot dokumente z osebnimi podatki razumejo tudi vizitke in e-pošta.
Naslov e-pošte tipa ime.priimek@domena.si naj bi bil osebni podatek. Poštni strežnik je potem potrebno smatrati kot zbirko osebnih podatkov, pa tudi lokalne poštne odjemalce na računalnikih in telefonih.
Imamo stranko tipa "Avtomehanik Francelj s.p.", ki osebne podatke zbira in obdeluje zaradi prodaje. Ker so v poslu kjer je osebni stik zelo pomemben in poslujejo večinoma s poslovnimi strankami, imajo njihovi prodajniki na tone vizitk. Kako se to obdeluje? Sedaj so to vpisovali v CRM, seveda pa je marsikdo te vizitke tudi obdržal in jih spravil v tiste kolute za vizitke ali pa v mape.
Njihovi direktorji so postali z GDPR malo panični in so začeli delati čistko po podjetju. Stare dokumente se sedaj pravilno uničuje in podobno, začeli pa so zbirati in uničevati tudi vizitke.
Če si podjetje tipa "Splošni zdravnik Miha s.p.", ki ima vpogled v zelo osebne podatke, ki pa niso strukturirani (ne govorimo o zdravniški kartoteki, ki je strukturiran dokument), ali moraš poleg zaščite pred izgubo ali zlorabo teh podatkov voditi tudi vpoglede?
Kaj pa e-pošta. Je e-poštni naslov res oseben podatek? Ali pa te zbirke vizitk. Moje razumevanje je, da če nekomu dam vizitko, si seveda želim da me kontaktira.
Mavrik ::
SeMiNeSanja ::
V tej debati je predvsem zanimivo to, da je SeMiNeSanja pred časom na vsak način v debati zagovarjal vohunjenje za zaposlenimi, namestitev HTTPS intercept firewallov in vsemogoče zbiranje podatkov o obnašanju ljudi. Tudi ko smo mu povedali da je precej tega v nasprotju z zakonodajo. Zdaj pa ima jasno problem, ko se je izkazalo da je zbiranje vseh mogočih podatkov resna poslovna odgovornost s katero je treba pazljivo ravnati.
Kaj še vedno nisi obupal s tem svojim mitom?
Probleme pa imamo s prav vsemi osebnimi podatki - ampak se bojim, da boš ti imel večje, če jih ne varuješ na ustrezen, današnjemu času primeren način.
Pozabljaš, da GDPR ni samo regulativa o zbiranju osebnih podatkov, temveč tudi o njihovi ZAŠČITI. In tu ni mišljen le backup.
Žal seveda pri varovanju biločesa nastajajo spet novi osebni podatki - ampak to ve že vratar v podjetju, da je tista knjiga obiskovalcev tudi zbirka osebnih podatkov. Ampak če hoče varovati podjetje, mora voditi tudi to knjigo.
Kako si pa ti predstavljaš varovanje omrežja, brez da se karkoli logira, brez da kdo kdajkoli pogleda loge in njihovo analitiko, pa meni ni jasno. GDPR bi zdaj rad uporabil kot alibi za varovanje omrežja po standardih izpred enega desetletja? Ti kar daj..... samo potem ne jokat.
AndrejO ::
SeMiNeSanja je izjavil:
Kako si pa ti predstavljaš varovanje omrežja, brez da se karkoli logira, brez da kdo kdajkoli pogleda loge in njihovo analitiko, pa meni ni jasno. GDPR bi zdaj rad uporabil kot alibi za varovanje omrežja po standardih izpred enega desetletja? Ti kar daj..... samo potem ne jokat.
Če smo že pri tem, kdo gleda standarde varovanja izpred enega desetletja ...
https://www.beyondcorp.com/
SeMiNeSanja ::
SeMiNeSanja je izjavil:
Kako si pa ti predstavljaš varovanje omrežja, brez da se karkoli logira, brez da kdo kdajkoli pogleda loge in njihovo analitiko, pa meni ni jasno. GDPR bi zdaj rad uporabil kot alibi za varovanje omrežja po standardih izpred enega desetletja? Ti kar daj..... samo potem ne jokat.
Če smo že pri tem, kdo gleda standarde varovanja izpred enega desetletja ...
https://www.beyondcorp.com/
Koliko podjetij poznaš, ki so to vpeljali, ukinili vse požarne pregrade, in pobrisali ACL-e?
Access control je že cool. Ampak samo na njega se zanest? Bi moral biti pa res malo nor.
Mavrik ::
Ali se bom po GDPR lahko odjavil od bolha spama brez da deaktiviram sam račun na bolhi?
Razen če sem kaj zgrešil, GDPR načeloma tega ne ureja.
AndrejO ::
SeMiNeSanja je izjavil:
SeMiNeSanja je izjavil:
Kako si pa ti predstavljaš varovanje omrežja, brez da se karkoli logira, brez da kdo kdajkoli pogleda loge in njihovo analitiko, pa meni ni jasno. GDPR bi zdaj rad uporabil kot alibi za varovanje omrežja po standardih izpred enega desetletja? Ti kar daj..... samo potem ne jokat.
Če smo že pri tem, kdo gleda standarde varovanja izpred enega desetletja ...
https://www.beyondcorp.com/
Koliko podjetij poznaš, ki so to vpeljali, ukinili vse požarne pregrade, in pobrisali ACL-e?
Malo in nikoli ne bom trdil, da je pristop primeren za vse ali pa, da nima tudi pomakljivosti. Samo, če se odločiš nekaj kritizirati v smislu "izpred enega desetletja", potem malo poglej s čim ti delaš in kaj je danes "state of the art".
SeMiNeSanja je izjavil:
Access control je že cool. Ampak samo na njega se zanest? Bi moral biti pa res malo nor.
Poglej iz drugega zornega kota in razmisli kakšne so pozitivne lastnosti tega pristopa kjer:
- So vsa omrežja privzeto kompromitirana.
- Te bolj zanima "kdo" izvaja neko operacijo, kot pa "od kje" nekdo izvaja operacijo.
Kako se bi kot lastnik podatkov počutil, če ti bi IT predstavil varnostno arhitekturo, kjer bi ti rekli, da se bodo sicer trudili zaščititi usmerjevalnike, ampak ker je preprosto preveliko tveganje, da jih bo napadel nekdo z nerazkritim in nepopravljenim "0-day", so se odločili, da bo celotna arhitektura zastavljena tako, da se lahko večino mrežne infrastrukture "pwna" na neznan način, ob neznanem času in na neznanem kraju, pa bodo podatki še vedno ostali tehnično zavarovani?
Ko sem to prvič srečal, se je tudi meni zdelo grozno. Ko pa s takšno implementacijo živiš dlje časa, pa nekatere pozitivne plati resnično pokažejo svojo vrednost.
Invictus ::
https://www.eugdpr.org/key-changes.html
Teh zahtev ne more rešiti noben pravnik (kar trenutno zelo na veliko oglašujejo), in nobena še tako napredna, varnostna IT infrastruktura.
Preprosto mora podjetje uvesti nove poslovne procese, ki se tičejo zbirk osebnih podatkov. Kar niti ne bi bila zahtevna naloga, če bi podjetja vedela katere osebne podatke sploh imajo .
http://goo.gl/2YuS2x
jukoz ::
Ali je torej e-poštni naslov ime.priimek@podjeje.si osebni podatek ali ne. Ali je zbirka vizitk tudi zbirka osebnih podatkov?
jukoz ::
AndrejO? Miha 333?
Miha 333 ::
Zanimivo, čez Francetov koledar je bilo veliko napisanega. Za seznam vizitk pa noben ne ve kako se klasificira?
Seveda je tudi to zbirka osebnih podatkov, ki jo je potrebno ustrezno zavarovati. Kar pa se tiče vzpostavljanja stikov z osebami na vizitkah, pa jaz vidim to tako: ko ti je oseba dala vizitko, je s tem izrazila legitimen interes, da se njeni podatki uporabijo za vzpostavitev stika. Kontaktiraš jih lahko samo za relevanten namen glede (potencialnega) poslovnega sodelovanja. Prav je, da recimo v prvem poslanem e-mailu vključiš informacije, kako in kateri podatki se zbirajo in obdelujejo ter na primer vstaviš povezavo do spletnega obrazca, kjer lahko ta oseba da soglasje za nadaljnjo obdelavo in uporabo podatkov.
https://www.brandexpublishing.co.uk/the...
Zgodovina sprememb…
- spremenilo: Miha 333 ()
Mavrik ::
Zanimivo, čez Francetov koledar je bilo veliko napisanega. Za seznam vizitk pa noben ne ve kako se klasificira?
AndrejO? Miha 333?
A po vsem tem še vedno ne razumeš da ne moreš o osebnih podatkih razmišljati kot en robot. Postavljaš napačno vprašanje. Ni vprašanje "kaj je seznam vizitk po GDPR?" ampak je vprašanje "Kateri podatki so na vizitkah in a jih rabim za opravljanje dejavnosti?" Če ja, potem pač ni problem, le podatkov na vizitkah ne smeš dati vsakemu cepcu ki pride mimo.
Za večino podjetij je hranjenje kontaktnih podatkov poslovnih partnerjev okej (dokler jih vržeš stran če kdo prosi za to).
Zgodovina sprememb…
- spremenil: Mavrik ()
jukoz ::
Zanimivo, čez Francetov koledar je bilo veliko napisanega. Za seznam vizitk pa noben ne ve kako se klasificira?
Seveda je tudi to zbirka osebnih podatkov, ki jo je potrebno ustrezno zavarovati. Kar pa se tiče vzpostavljanja stikov z osebami na vizitkah, pa jaz vidim to tako: ko ti je oseba dala vizitko, je s tem izrazila legitimen interes, da se njeni podatki uporabijo za vzpostavitev stika. Kontaktiraš jih lahko samo za relevanten namen glede (potencialnega) poslovnega sodelovanja. Prav je, da recimo v prvem poslanem e-mailu vključiš informacije, kako in kateri podatki se zbirajo in obdelujejo ter na primer vstaviš povezavo do spletnega obrazca, kjer lahko ta oseba da soglasje za nadaljnjo obdelavo in uporabo podatkov.
https://www.brandexpublishing.co.uk/the...
Kul, potem pravilno razumem. Kako se pa klasificira seznam kontaktnih podatkov v e-poštnem odjemalcu? Ali je potem potrebno vse e-poštne odjemalce razumeti kot zbirko osebnih podatkov. Kaj pa imeniki v telefonih?
Mavrik ::
Kul, potem pravilno razumem. Kako se pa klasificira seznam kontaktnih podatkov v e-poštnem odjemalcu? Ali je potem potrebno vse e-poštne odjemalce razumeti kot zbirko osebnih podatkov. Kaj pa imeniki v telefonih?
Em, ja, osebni naslovi, poštni naslovi, imena, itd. so jasno zbirke osebnih podatkov :)
Zgodovina sprememb…
- spremenil: Mavrik ()
jukoz ::
Zanimivo, čez Francetov koledar je bilo veliko napisanega. Za seznam vizitk pa noben ne ve kako se klasificira?
AndrejO? Miha 333?
A po vsem tem še vedno ne razumeš da ne moreš o osebnih podatkih razmišljati kot en robot. Postavljaš napačno vprašanje. Ni vprašanje "kaj je seznam vizitk po GDPR?" ampak je vprašanje "Kateri podatki so na vizitkah in a jih rabim za opravljanje dejavnosti?" Če ja, potem pač ni problem, le podatkov na vizitkah ne smeš dati vsakemu cepcu ki pride mimo.
Za večino podjetij je hranjenje kontaktnih podatkov poslovnih partnerjev okej (dokler jih vržeš stran če kdo prosi za to).
Seveda moraš o osebnih podatki razmišljati kot robot. To je edini način, drugače si bo vsak to predstavljal po svoje. Moja predstava je, da če nekomu dam vizitko, potem mu tudi dam dovoljenje, da me kontaktira na vse načine, kateri so napisani na vizitki. Drugače vizitke ne bi dal oz bi nanjo napisal samo tiste kontaktne podatke, ki bi jih želel. Podatke na vizitki javno objavim.
Isto je s podatki zapisanimi na oglasnem panoju, kombiju, spletni strani. Eni imajo info@podjetje.si, eni imajo podjetje@gmail.com in mobilno številko itd.
Kdo drug pa tega ne bo razumel tako.
Se pa strinjam, da če nekdo želi odstranitev iz seznama, da se to tudi izvede.
Mavrik ::
Seveda moraš o osebnih podatki razmišljati kot robot.
To je edini način, drugače si bo vsak to predstavljal po svoje.
Hm, ne vem če si pravilno razumel kaj sem hotel povedati. Da razjasnim - za GDPR razmišljanje o ostebnih podatkih kot o "vizitkah", "tabelah", "emailih" ni dovolj dobro in povzroča miselne probleme kot jih ima Seminesanja v tej temi. Gledati moraš na namen in kontekst teh podakov in kako si jih dobil. Torej ne na tehnične rešitve in recepte, ampak na celo sliko tega kar držiš.
Moja predstava je, da če nekomu dam vizitko, potem mu tudi dam dovoljenje, da me kontaktira na vse načine, kateri so napisani na vizitki. Drugače vizitke ne bi dal oz bi nanjo napisal samo tiste kontaktne podatke, ki bi jih želel. Podatke na vizitki javno objavim.
Isto je s podatki zapisanimi na oglasnem panoju, kombiju, spletni strani. Eni imajo info@podjetje.si, eni imajo podjetje@gmail.com in mobilno številko itd.
Kdo drug pa tega ne bo razumel tako.
To razmišljanje je smiselno (dodati je vseeno treba da morajo biti ti podatki ustrezno zavarovani da jih ne morejo dobiti druge osebe). V bistvu ne vem kdo bi tole razumel drugače :)
AndrejO ::
Zanimivo, čez Francetov koledar je bilo veliko napisanega. Za seznam vizitk pa noben ne ve kako se klasificira?
AndrejO? Miha 333?
Ni se mi dalo posvečati časa sporočilu, ki izgleda, kakor da ima 1/3 besedila podvojenega, začne pa se z Imamo stranko tipa "Splošni zdravnik Miha s.p.", potem pa prekosči na nekaj, kar nima nikakršne povezave z občutljivimi osebnimi podatki v zdravniških ordinacijah.
Na podlagi tega hitrega preleta sem zaključil, da si nisi vzel časa, da bi razumel, kaj sem želel povedati in potem si tudi jaz nisem jemal časa, da bi poskušal razumeti, kaj si ti želel povedati ali vprašati.
jukoz ::
Zanimivo, čez Francetov koledar je bilo veliko napisanega. Za seznam vizitk pa noben ne ve kako se klasificira?
AndrejO? Miha 333?
Ni se mi dalo posvečati časa sporočilu, ki izgleda, kakor da ima 1/3 besedila podvojenega, začne pa se z Imamo stranko tipa "Splošni zdravnik Miha s.p.", potem pa prekosči na nekaj, kar nima nikakršne povezave z občutljivimi osebnimi podatki v zdravniških ordinacijah.
Na podlagi tega hitrega preleta sem zaključil, da si nisi vzel časa, da bi razumel, kaj sem želel povedati in potem si tudi jaz nisem jemal časa, da bi poskušal razumeti, kaj si ti želel povedati ali vprašati.
Hm, OK. Omenil sem 2 tipa podjetij, ki sicer nimajo podatkov o bolezenskem stanju svojih strank, imajo pa o njihovem premoženjskem stanju. Če misliš da to ni podobno, tudi prav. Časa sem si vzel dovolj in te verjetno tudi razumel, vendar smo se prej ukvarjali z osebnim podatkov (rojstni datum), ki nima nobene veze s storitvijo, ki jo France izvaja.
Bom bolj robotsko napisal, da mi boste znali pomagati (mimogrede, hvala Mavriku da je potrdil moje mnenje), ter da se vam bo ljubilo prebrati =)
- če so osebni podatki nestrukturirani, ali je potrebno voditi seznam dostopov. Predvidevam da.
- ali je zbirka vizitk zbirka osebnih podatkov? Ali je potrebno voditi seznam dostopov? Kaj pa če vizitke ležijo v nekem predalu in niso zbrane skupaj?
- ali je imenik v telefonu ali v e-poštnih odjemalcih zbirka osebnih podatkov? Ali je potrebno vodit seznam dostopov?
Pa da malo razširim:
- kaj pa razni BYOD in osebni podatki na teh napravah. Ali se jih sme uporabljati, kako se tretirajo te zbirke? Osebna last? Če ja, ali to pomeni da se vsem zaposlenim naroči da naj kupijo svoje telefone/računalnike/BYOD in je zmanjšana birokracija?
Priznam, z GDPR se bom ukvarjal ko bo prišel čas za to. Sami ne zbiramo osebnih podatkov oz jih zbiramo ravno toliko, kot jih potrebnujemo za poslovanje. Z ZVOP pa smo verjetno kompatibilni. Begajo pa me odnos in panika glede GDPR pri strankah, zato tudi vprašam.
Zgodovina sprememb…
- spremenilo: jukoz ()
darkolord ::
- ali je zbirka vizitk zbirka osebnih podatkov? Ali je potrebno voditi seznam dostopov? Kaj pa če vizitke ležijo v nekem predalu in niso zbrane skupaj?Kot ti je bilo že odgovorjeno, to, da gre za vizitke ali imenik, sploh ne igra nobene vloge.
- ali je imenik v telefonu ali v e-poštnih odjemalcih zbirka osebnih podatkov? Ali je potrebno vodit seznam dostopov?
Važno je, kaj je na vizitkah in kako jih misliš uporabljati.
jukoz ::
Na to bi rad odgovor, kje je ta magična meja. Telefonska centrala v podjetju da, privat telefon ki ga uporabljaš v sluižbene namene pa ne?
Ker če to mejo določamo po lastni presoji, potem je rešitev z uporabo BYOD idealna.
Rad bi izkoristil priložnost, ko imamo strokovnjake na zvezi. Kot sem že pojasnil, moje mnenje je, da če me nekdo kontaktira ali mi da vizitko ali pa so njegovi podatki javno dostopni, mi torej da soglasje za to da, ga kontaktiram. Če želi izbris, ga bo seveda deležen.
Ne vem pa kako urediti izbris iz telefonov/mail klientov in ostalih naprav. In ali se to smatra kot zbirka osebnih podatkov.
Primer avtomehanika in njegovega pošiljanja rojstnodnevnih čestitk je na žalost malo brezveze, saj je vsakemu jasno da je ta podatke za njegovo dejavnost povsem nepomemben in da jih mora pravilno hraniti.
darkolord ::
V primeru da ne igra nobene vloge, ali je potem potrebno držati tudi seznam vpogledov?Odvisno, kaj je na njih in za kaj/kako misliš te podatke uporabljati.
jukoz ::
In ponovno: kaj pa podatki v telefonih in e-poštnih odjemalcih. Namen adresarja je identičen zbirki vizitk.
Ali je torej potrebno držati seznam vpogledov ali ne? Ali z uporabo zasebnih naprav in zasebnega predala ali mape za vizitke rešimo problem držanja seznama vpogledov?
FFS, preberi celoten post in odgovori nanj ali pa povej da ne veš.
AndrejO ::
Hm, OK. Omenil sem 2 tipa podjetij, ki sicer nimajo podatkov o bolezenskem stanju svojih strank, imajo pa o njihovem premoženjskem stanju. Če misliš da to ni podobno, tudi prav.
To sploh ni ista kategorija. Premoženjsko stanje ne spada med občutljive osebne podatke, zdravstveni podatki spadajo med občutljive osebne podatke. Razlika je definirana v stari direktivi, ZVOP-1 in GDPR.
Časa sem si vzel dovolj in te verjetno tudi razumel, vendar smo se prej ukvarjali z osebnim podatkov (rojstni datum), ki nima nobene veze s storitvijo, ki jo France izvaja.
Morda si prebral, ampak razumel nisi, ker ti manjka (je manjkala?) osnovna informiranost. Npr. prvih nekaj členov stare direktive, ZVOP-1 ali pa GDRP, kjer se nahajajo definicije in splošna načela.
- če so osebni podatki nestrukturirani, ali je potrebno voditi seznam dostopov. Predvidevam da.
Ne. Strukturiranost je nujen pogoj, da je govora o zbirki in dostope se gleda za zbirko, ne kar vsepovprek.
Pazi pa, da si ne boš narobe umislil, da nekaj ni strukturiran podatek, čeprav dejansko je.
- ali je zbirka vizitk zbirka osebnih podatkov?
Odvisno od tega, če je tvoj način "zbiranja" skladen z definicijo zbirke ali pa ni skladen z definicijo zbirke.
Ali je potrebno voditi seznam dostopov?
Če je zbirka osebnih podatkov, potem ja. Če ni, potem ne.
Kaj pa če vizitke ležijo v nekem predalu in niso zbrane skupaj?
Jih lahko pustiš ležati tam. To ni zbirka osebnih podatkov.
- ali je imenik v telefonu ali v e-poštnih odjemalcih zbirka osebnih podatkov?
Je.
Ali je potrebno vodit seznam dostopov?
Da.
- kaj pa razni BYOD in osebni podatki na teh napravah. Ali se jih sme uporabljati, kako se tretirajo te zbirke?
Kadar izpolniš predpisane pogoje, lahko uporabljaš tudi abakus ali pa WC papir, in bo uporaba dovoljena.
Osebna last?
Osebni podatki, ki jih obdelujejo posamezniki za lastne potrebe ali dom, niso predmet stare direktove, ZVOP-1 ali pa GDRP.
Če ja, ali to pomeni da se vsem zaposlenim naroči da naj kupijo svoje telefone/računalnike/BYOD in je zmanjšana birokracija?
To ni "osebna last" in težko boš koga prepričal, da imajo vsi zaposleni svojo zbirko, katere vsebina je "slučajno" enaka in niti pod razno je ne uporabljajo pri delu, čeprav so notri poslovni stiki podjetja.
Priznam, z GDPR se bom ukvarjal ko bo prišel čas za to.
Čas je bil l. 2016-2017. Sedaj ti lahko rečem samo še "Srečno Poldi!"
Sami ne zbiramo osebnih podatkov oz jih zbiramo ravno toliko, kot jih potrebnujemo za poslovanje. Z ZVOP pa smo verjetno kompatibilni.
Če ste "verjetno kompatibilni", potem rezultat morebitnega nadzora "verjetno ne bo globa".
Begajo pa me odnos in panika glede GDPR pri strankah, zato tudi vprašam.
Zgornja meja globe se je v Sloveniji premaknila iz max. 12k EUR na 10mio/2% oz. 20mio/4%, kar zogotavlja, da je od spodaj navzgor usmerjen FUD dovolj dober, da so tudi direktorji začeli ugotavljati, da že 10+ let itak niso skladni z ničemer.
AndrejO ::
V primeru da ne igra nobene vloge, ali je potem potrebno držati tudi seznam vpogledov? Da ali ne. Realen, življenski primer. Za CRM sisteme je to povsem jasno. Ali mogoče za vizitke in telefon to ne velja?
Realen življenski primer: pazi, da ti ne bo "pameten telefon" posinhroniziral zbirko kontaktov z LinkedIn. Beleži kje se podatki nahajajo in privzami, da ima oseba, v katere uporabi je telefon, dostop do teh osebnih podatkov.
Na to bi rad odgovor, kje je ta magična meja.
1 osebni podatek v zbirki zadošča.
Telefonska centrala v podjetju da, privat telefon ki ga uporabljaš v sluižbene namene pa ne?
Ker če to mejo določamo po lastni presoji, potem je rešitev z uporabo BYOD idealna.
Meja se določa glede na cilj, obseg in vsebino obdelave osebnih podatkov. Tehnologija izrecno ne igra nikakršne vloge.
Rad bi izkoristil priložnost, ko imamo strokovnjake na zvezi. Kot sem že pojasnil, moje mnenje je, da če me nekdo kontaktira
Ne. Lahko te konktaktira in ti ga vljudno vprašaš, če lahko shraniš njegovo telefonsko/email/whatever. Ne moreš pa privzeti, da imaš sedaj zgolj zato, ker te je kontaktiral, pravico do neomejene obdelave.
ali mi da vizitko
Da. Namen in narava poslovne vizitke jasno izkazujeta namen obdelave. Pomagalo ti bo, če si na vizitko napišeš datum, kdaj si jo prejel, da boš vedel kdaj je počasi čas, da vizitko vržeš v rezalnik papirja.
ali pa so njegovi podatki javno dostopni,
Ne. Moji podatki so javno dostopni, vendar ti nisem nikjer dal dovoljenja, da si jih shraniš in obdeluješ za karkoli, kar nisem izrecno dovolil. Če boš to storil, boš ugotovil, da sem sposoben utrujati na IP-RS, dokler se me nekdo ne usmili in gre preveriti kaj je na stvari.
mi torej da soglasje za to da, ga kontaktiram.
Za poslovno vizitko imaš prav. Za ostalo se potencialno motiš. Javno objava ne implicira ničesar, jasno napisan stavek "za stik nas pokličite na +XXX XXXXXXX" pa predstavlja jasno strinjanje.
Če želi izbris, ga bo seveda deležen.
Pravilno.
Ne vem pa kako urediti izbris iz telefonov/mail klientov in ostalih naprav. In ali se to smatra kot zbirka osebnih podatkov.
Če se gre za poslovne zbirke, potem je čas, da to centraliziraš. Ena zanimiva možnost je enosmerna replikacija, kjer se kontakti ne prenašajo iz telefona v poslovno zbirko, temveč samo iz zbirke na telefon. Kontakte pa se nato vzdržuje preko ločenega odjemalca (mobilni, namizni, ... vseeno).
Primer avtomehanika in njegovega pošiljanja rojstnodnevnih čestitk je na žalost malo brezveze, saj je vsakemu jasno da je ta podatke za njegovo dejavnost povsem nepomemben in da jih mora pravilno hraniti.
Mobitel se je njega dni uspešno izgovoril, da je rojstni datum potreben zaradi uveljavljanja posebnega popusta za mlade. Ker tega produkta ni možno nuditi, ne da bi vedel natančen rojstni datum (torej tudi letnico, ne samo dan v letu), je uspešno demonstriral sorazmernost zbiranja tega podatka za vsaj eno kategorijo uporabnikov (in s tem dosegel tudi uspešno kategorizacijo vseh uporabnikov, ki tega niso dali, v kategorijo nad XX let).
Catch 22 je, da kolikor vem IP-RS ni nikoli izvedel nadzora, če se ta podatek obdeluje izključno za ta namen ali pa ga je družba obdelovala še za kaj čisto tretjega, za kar si ni pridobila predhodnega soglasja lastnika.
SeMiNeSanja ::
Meni se namreč zdi izredno bad joke, da bi moral beležiti vsak vpogled v imenik na telefonu. Bi ga rad videl bedaka, ki bo to počel!
Klic je potem 'obdelava' ali kaj? Wau, pa še dnevnik obdelav (beri: klicev) naj bi potem vodil? O.k. to dela že telefon sam - ampak roko na srce - nikogar nima kaj brigat koga sem kdaj klical! Tu se gre potem že za grob poseg v mojo zasebnost. Naj bo telefon še toliko služben, se gre vendarle za nesorazmerne posege v zasebnost zaposlenih. No Go!
Enako velja za elektronsko pošto. To, kar imajo zaposleni na svojih računalnikih je 'sveta krava' in IT v podjetju nima kaj brskat po temu - torej tudi ne more (sme!) vedet, ali je Janez iz nabave v svoji mapi 'dobavitelji' shranjeval podatke o svojih dobaviteljih v strukturirani ali nestrukturirani obliki. Ravno tako načeloma nihče ne sme vedeti, čigave naslove ima kdo v imeniku na mail klientu, kaj šele, kako je zaposleni do teh podatkov prišel, koliko časa jih že hrani,....
Na splošno se mi zdi, da ste se spravili dlakocepiti okoli zadev, ki se šele bodo izkristalizirale. Dajte se raje ukvarjati s tistimi DEJANSKIMI problematičnimi zbirkami, zaradi katerih sploh imamo GDPR. Resnično ne verjamem, da je bil namen snovalcev GDPR, da bi ljudi spravljali v absurdne situacije, kot je tista o vpogledih v imenik na telefonu.
Raje se ukvarjate z bazami strank in podobno, ki ste jih naložili na raznorazne oblačne storitve - nimate pa pojma, kdo lahko do teh podatkov pristopa (vsi bivši zaposleni zadnjih 5 let?), kaj šele, kaj kdo s temi podatki počne. Takih in podobnih okostnjakov se po podjetjih najde še in še po omarah oz. strežnikih. TO je treba počistiti, potegniti črto pod šalabajzersi odnos do podatkov, ko se ne ve kdo pije, kdo plača.
Vizitke in imenik v telefonu so tu povsem irelevantni. Bagatela. Glejte 'big picture' in to spravite v red. Ostalo se bo tudi počasi pošlihtalo, ko se bo izkristalizirala priporočena splošna praksa.
Mislim, da ni bil namen GDPR, da se generira miljone novih baz z novimi osebnimi podatki za čisto vsak drek. Beleženje JA - ampak SORAZMERNO !!!
Problem je, da nekako še nimamo pravega občutka, kaj je in kaj ni sorazmerno. Definitivno je nesorazmerno, da logiram vpoglede v imenik telefona. Sorazmerno pa je beleženje dostopov v bazo z kadrovsko evidenco podjetja.
V silni vnemi, da bi 'ustrezali' GDPR, bo treba precej paziti, da pri tem ne posežete v pravico do zasebnosti posameznikov. Eno osnovnih načel GDPR je minimalizacija osebnih podatkov. Ker je vsak zapis o dostopanju do podatkov tudi osebni podatek (ali jih boste vodili anonimizirane?), bo treba slediti GDPR in v vsakem primeru posebej dobro pretehtati, ali je res utemeljeno in neobhodno, da jih ustvarjamo, hranimo in obdelujemo.
AndrejO ::
SeMiNeSanja je izjavil:
In spet se pokaže absurdnost določenih trditev.
Meni se namreč zdi izredno bad joke, da bi moral beležiti vsak vpogled v imenik na telefonu. Bi ga rad videl bedaka, ki bo to počel!
Klic je potem 'obdelava' ali kaj? Wau, pa še dnevnik obdelav (beri: klicev) naj bi potem vodil? O.k. to dela že telefon sam - ampak roko na srce - nikogar nima kaj brigat koga sem kdaj klical! Tu se gre potem že za grob poseg v mojo zasebnost. Naj bo telefon še toliko služben, se gre vendarle za nesorazmerne posege v zasebnost zaposlenih. No Go!
Še dobro, da se gre samo za to, da si odtaval ven po neki tangenti, ki nima zveze z praktičnimi stvarmi.
Če imaš npr. imenik, potem zadošča (je popolnoma sorazmerno), da veš kdo ima na napravi lokalno kopijo in kako lahko to kopijo odstraniš oz. po potrebi v njej popraviš kakšen podatek. Dnevnik sinhronizacij, možnost izbrisa na daljavo in šifriran medij na pametni napravi so standardne opcije, ki ne terjajo nikakršnih sprememb ali stroškov. Samo zdravo pamet moraš vključiti, pa bo.
SeMiNeSanja je izjavil:
Na splošno se mi zdi, da ste se spravili dlakocepiti okoli zadev, ki se šele bodo izkristalizirale.
Izbrisal sem večino tvojega nerelevantnega dlakocepljenja. Zdi se mi, da si se predvsem ti zataknil ob neke "tehnične ukrepe", nisi pa še dojel kako se to dela praktično in pragmatično.
SeMiNeSanja je izjavil:
Dajte se raje ukvarjati s tistimi DEJANSKIMI problematičnimi zbirkami, zaradi katerih sploh imamo GDPR. Resnično ne verjamem, da je bil namen snovalcev GDPR, da bi ljudi spravljali v absurdne situacije, kot je tista o vpogledih v imenik na telefonu.
Seveda ne. Je pa lepo, če si sposoben človeku, ki od tvojega podjetja zahteva, da ga več ne kontaktirate, tozadevno tudi ustrežeš in, če te kdo pobara po kakšnem dokazu, da si to res storil, imaš pri roki že pripravljenih nekaj praktičnih malenkosti, da lahko to storiš.
Če se seveda ne zatakneš ob nesmisle, kot si jih sam opisal. Te bi vrgel v isti koš, kot podjetja, ki zaradi neznanja ali nerazumevanja mečejo denar v kanto za smetje, ko vklapljajo audit na nekih SQL tabelah.
SeMiNeSanja je izjavil:
Raje se ukvarjate z bazami strank in podobno, ki ste jih naložili na raznorazne oblačne storitve - nimate pa pojma, kdo lahko do teh podatkov pristopa (vsi bivši zaposleni zadnjih 5 let?), kaj šele, kaj kdo s temi podatki počne.
Dejansko je centralizirane sisteme (v javnem oblaku, privatnem oblaku ali pa v "staromodnem" podatkovnem centru) relativno enostavno obvladovati, če si je le nekdo vzel teden ali dva, da naštudira kako delujejo dostopi v danem okolju.
SeMiNeSanja je izjavil:
Takih in podobnih okostnjakov se po podjetjih najde še in še po omarah oz. strežnikih. TO je treba počistiti, potegniti črto pod šalabajzersi odnos do podatkov, ko se ne ve kdo pije, kdo plača.
Iz tvojih ust v božja ušesa!
SeMiNeSanja je izjavil:
Mislim, da ni bil namen GDPR, da se generira miljone novih baz z novimi osebnimi podatki za čisto vsak drek. Beleženje JA - ampak SORAZMERNO !!!
OK, štekaš. Zakaj pa potem začneš svoj odgovor z, milo rečeno, čisto fantastiko.
SeMiNeSanja je izjavil:
Problem je, da nekako še nimamo pravega občutka, kaj je in kaj ni sorazmerno.
Actually ... imamo iz sodne prakse ECHR in posameznih držav članic že kar dobro idejo kako izgleda sorazmernost. GDPR ima tudi kar nekaj recitalov (spremnega besedila, če želiš) kjer je podrobneje pojasnjeno kako se naj kakšno določbo razlaga, vključno s sorazmernostjo.
Pod črto ... zdravo pamet v roke, pa ne strašiti ljudi s svojo fantastiko. Ravno tako pa se ne delati neumnega, ker poslovni imenik vsebuje osebne podatke in te je prav in dobro imeti pod nadzorom, ki je sorazmeren njihovi vrednosti.
SeMiNeSanja ::
Tako da nebi bilo slabo, če se tudi sam malo s pepelom posuješ.
Sploh ne vem od kje ti, da jaz strašim - preberi kar si sam napisal - temu bi jaz rekel strašenje!
AndrejO ::
SeMiNeSanja je izjavil:
AndrejO - TI si bil tisti, ki je napisal, da je imenik v telefonu baza osebnih podatkov in da je treba beležiti dostope do te baze, ne pa jaz.
#1: Zbirke, ne baze.
#2: Beleženje dostopov ne vključuje skeniranje šarenice, vzorec urina in pregled krvi, kot ti očitno rad pretiravaš.
SeMiNeSanja je izjavil:
Tako da nebi bilo slabo, če se tudi sam malo s pepelom posuješ.
Zakaj že?
SeMiNeSanja je izjavil:
Sploh ne vem od kje ti, da jaz strašim - preberi kar si sam napisal - temu bi jaz rekel strašenje!
Kar sem napisal lahko prestraši zgolj nevedne. Nekako tako, kot če bi jaz napisal, da bo nevihta, ti iz tega narediš najmanj hurikan 5. kategorije in me obtožiš, da strašim ljudi.
Ostali pogledamo vremensko napoved za več informacij in vzamemo dežnik.
SeMiNeSanja ::
kot prvo: DON'T PANIC !
kot drugo: DON'T PANIC !
kot tretje (že slutiš?): DON'T PANIC !
Vse ostalo, kar je zvenelo kot pretiravanje, pa je služilo striktno temu, da še dodatno ponazori nesmiselnost določenih zadev, če pogledamo na skrajne primere.
Trditve, katere izrečeš za 'normalne' vsakodnevne situacije pač morajo zdržati tudi v ekstremnih primrih, sicer so ali napačne, ali pa je treba ekstremne primere obravnavati drugače - se pravi, da morajo obstajati izjeme.
Ponazarjanje problematike s tem da izpostaviš ekstremni primer (na katerega morda nikoli ne bomo naleteli), v eni potezi pokriva celotni spekter problematike od tistih vsakodnevnih manj do skrajnih zelo jasnih primerov - vsaj pričakoval bi, da so jasni, ker so skrajni.
Vendar se na koncu pokaže, da imate nekateri ravno s temi skrajnimi primeri silne težave, namesto da bi ravno tu bil odgovor najlažji, kar je paradoks svoje vrste.
V bistvu se začnete zaganjat v nesmiselnost tega skrajnega primera, namesto da bi rekli "ja, v tem primeru je pa popolnoma jasno, da gre zadeva tako in tako".
Kar pa je pri vsem tem še najbolj žalostno, je dejstvo, da je podton v odgovoru žaljiv. Sorry, če ne razumeš poante, to še ne pomeni, da sem jaz bedak.
Zagotovo nimam vedno prav, zagotovo marsičesa ne vem - ampak ravno zato spračujem tiste, ki se proglašate, da veste več od mene. Sorry, če vam moja logika ne ustreza. Toda zato še nisem nek bedak.
AndrejO ::
SeMiNeSanja je izjavil:
Reci karkoli hočeš....ampak kdo od naju je zapisal sledeče:
kot prvo: DON'T PANIC !
kot drugo: DON'T PANIC !
kot tretje (že slutiš?): DON'T PANIC !
Vse ostalo, kar je zvenelo kot pretiravanje, pa je služilo striktno temu, da še dodatno ponazori nesmiselnost določenih zadev, če pogledamo na skrajne primere.
Well ... v mojih očeh si uspešno ponazoril, da znaš predvsem pretiravati.
SeMiNeSanja je izjavil:
Trditve, katere izrečeš za 'normalne' vsakodnevne situacije pač morajo zdržati tudi v ekstremnih primrih, sicer so ali napačne, ali pa je treba ekstremne primere obravnavati drugače - se pravi, da morajo obstajati izjeme.
Imaš in izjeme in splošno obvezo upoštevanja sorazmernosti. Tvoja pretiravanja so zato zgolj to: pretiravanja. Ne ponazarjajo ničesar, razen tega, da rad pretiravaš.
SeMiNeSanja je izjavil:
Ponazarjanje problematike s tem da izpostaviš ekstremni primer (na katerega morda nikoli ne bomo naleteli), v eni potezi pokriva celotni spekter problematike od tistih vsakodnevnih manj do skrajnih zelo jasnih primerov - vsaj pričakoval bi, da so jasni, ker so skrajni.
Ekstremni primer, kot si ga naštepal, ne obstaja.
Sorazmernost #1: tovrstni podatki, ki so praviloma na mobilni napravi, ne terjajo tolikšnega nadzora.
Sorazmernost #2: podatki, ki terjajo tovrsten nadzor, se praviloma ne znajdejo neposredno na mobilni napravi.
Ko sešteješ 1+1 ugotoviš, da zadošča to, da je imela oseba X vpogled v osebni podatek v času od takrat do takrat, na podlagi dnevniških zapisov, ki se tičejo sinhronizacije.
SeMiNeSanja je izjavil:
Vendar se na koncu pokaže, da imate nekateri ravno s temi skrajnimi primeri silne težave, namesto da bi ravno tu bil odgovor najlažji, kar je paradoks svoje vrste.
Tvoje zadnje pretiravanje je navadna bedarija. Kako naj rečem, da ima bedarija "najlažji odgovor"? Nima ga. Bedarija je ...
SeMiNeSanja je izjavil:
V bistvu se začnete zaganjat v nesmiselnost tega skrajnega primera, namesto da bi rekli "ja, v tem primeru je pa popolnoma jasno, da gre zadeva tako in tako".
... in za bedarijo tega ne morem reči. V tem primeru mi je jasno samo to, da je redukcija prišla do absurda, ki pač ne velja.
Že to, da si vedel, da je neumnost, pa si jo še vedno šel pisati, me v bistvu žalosti in to zato, ker ...
SeMiNeSanja je izjavil:
Kar pa je pri vsem tem še najbolj žalostno, je dejstvo, da je podton v odgovoru žaljiv. Sorry, če ne razumeš poante, to še ne pomeni, da sem jaz bedak.
... ker sem lahko potem še bolj neposreden: ne serji klanf tam, kjer ljudje bosi hodijo, ker jim morajo potem drugi za teboj pobirati.
SeMiNeSanja je izjavil:
Zagotovo nimam vedno prav, zagotovo marsičesa ne vem - ampak ravno zato spračujem tiste, ki se proglašate, da veste več od mene. Sorry, če vam moja logika ne ustreza. Toda zato še nisem nek bedak.
Zmanjšaj jakost pretiravanja v tehničnih debatah iz 11 na recimo nekih 9. Samo predlog.
Netrunner ::
Invictus ::
http://goo.gl/2YuS2x
jukoz ::
Glede na zapisano, je torej uničevanje vizitk pametna ideja, oz jih je potrebno držati nestrukturirano.
Kaj narediti z imeniki v telefonih in e-poštnih odjemalcih pa sploh ne vem. Podjetja, kjer ne bo vpeljan centralni imenik oz adresar bodo potencialno nasankala.
Nočem širiti panike, vendar zaupanja v IP-RS in njihove sposobnosti ali sposobnost razumne presoje nimam (tako iz javnih primerov AJPES, Telemach, pravokator.si kot ne-javnih). Bojim se, da bodo prešli v inkasantstvo oz se bodo ob primerni priliki pojavili še oni - npr. nadzor FURS, okoljske, tržne, sanitarne in za povrh še IP inšpekcije =)
Kombinacija BYOD in zagotavljanja zasebnosti na IT opremi zaposlenih bo torej pravi pristop, prav tako zagotavljanje zasebnosti njihovih predalov/omar =)
AndrejO ::
Glede na zapisano, je torej uničevanje vizitk pametna ideja, oz jih je potrebno držati nestrukturirano.
Odvisno kaj bi z njimi rad dejansko počel. Paprinate poslovne vizitke so v splošnem benigna zadeva, kjer je še največji problem to, da skozi leta podatki na njih zastarajo.
Kaj narediti z imeniki v telefonih in e-poštnih odjemalcih pa sploh ne vem. Podjetja, kjer ne bo vpeljan centralni imenik oz adresar bodo potencialno nasankala.
Hmm ... kakšen je realen scenarij, kjer je podjetje večje od nekaj posameznikov, pa se jim še ni zdelo vredno urediti skupnega imenika? Kako potem sploh poteka delo, če gre na dopust človek s svojo privatno "črno knjižico"?
Nočem širiti panike, vendar zaupanja v IP-RS in njihove sposobnosti ali sposobnost razumne presoje nimam (tako iz javnih primerov AJPES, Telemach, pravokator.si kot ne-javnih). Bojim se, da bodo prešli v inkasantstvo oz se bodo ob primerni priliki pojavili še oni - npr. nadzor FURS, okoljske, tržne, sanitarne in za povrh še IP inšpekcije =)
Moje izkušnje z IP-RS so relativno pozitivne. S kakšno stvarjo se nisem strinjal, ampak če govoriš o prepovedi iskanja po imenih v korpusu (morda pa je bilo še kaj), se na koncu izkaže, da to niti ni bil "plod domačega znanja", ampak del razvijajoče se prakse, ki se zadeva tudi današnjega GDPR, pravice do pozabe in prepovedi iskanja po imenih tudi takrat, kadar je govora o splošnih spletnih iskalnikih.
Gledano iz generalskega fotelja na preteklih 10 let, IP-RS morda res ni oral ledine, ampak kakšnih velikih kiksov se pa tudi ne spomnem. Kdor je sledil njihovim neobvezujočim mnenjem, tudi s prilagoditvijo na GDPR ne bi smel imeti večjih problemov.
Kar se tiče "inkasantstva", pa mislim, da je IP-RS velikokrat (tudi večkrat, kot bi meni bilo všeč) najprej odredil, da se ugotovljene nepravilnosti odstrani v predpisanem roku. Šele potem in šele pri "povratnikih" pa so sledile globe. GDPR tega tudi ne spreminja: glej 83. čl.
Kombinacija BYOD in zagotavljanja zasebnosti na IT opremi zaposlenih bo torej pravi pristop, prav tako zagotavljanje zasebnosti njihovih predalov/omar =)
Mislim, da je dobra poslovna praksa, da se med poslovnim in zasebnim postavlja visoke zidove. To pa ne pomeni, da se ljudi potem kvazi-fašistično nadzoruje. Ne glede na pogosto utemeljeno zmrdovanje nad oblačnimi storitvami, imajo te iz vidika varnosti, neprekinjenega poslovanja in nadzora nad dostopom do vseh poslovnih podatkov tudi pozitivne plati. Ena takšna je ta, da se tudi v mikro podjetjih podatki lahko preselijo iz delovnih postaj, ki so vedno žrtve "mešane uporabe", na strežnike, kjer je potem jasno kdo dela kaj.
Če želiš biti potem neo-kvazi-fašističen, te v poslovnem oklju 21. stoletja ne zanima, če je tvoj zaposleni obiskoval FB, YT ali pa spletne strani klinike za AIDS. Bolj te zanima, če je iz strežniških zapisov razvidno, da je delal in opravil svoje delo. Večino ostalega lahko potem pustiš skrito v megli. Posledično več ne hrčkaš podatkov iz delovnih postaj in telefonov, temveč imaš podatke že nahrčkane na strežniku in vse, kar je tam, je bodisi poslovna uporaba bodisi (uspešen ali pa neuspešen) poskus zlorabe. V takšnem okolju posten BYOD obvladljiva stvar, če imaš možnost vzpostaviti minimalne tehnične pogoje (npr. predpisan OS, predpisan dodaten SW, vsiljene ustrezne sistemske nastavitve, ipd ...).
jukoz ::
Mešana uporaba je povsem OK in normalna. Do sedaj se je delalo tako, da je bil strogo določen "privat" folder, sedaj bo pa pač "služben".
Centralni strežnik se pri naših strankah uporablja že zaradi tega, da se ve kaj je potrebno arhivirati. In ti podatki, ne glede na GDPR, ne gredo v oblak. V malih podjetjih je stanje IT opreme v stilu malo mešano na žaru ali BYOD realnost in se ji mora strežniška infrastruktura prilagoditi.
Glede IP-RS pa predlagam da si pogledaš lanska razkritja o odtekanju podatkov iz AJPESove nove strani, Telemachovega javnega pregleda prometnih podatkov (oboje na slo-tech) ter zapise na telefoncek.si
Mogoče je urad OK, njegovi zaposleni pa niso.
AndrejO ::
Haha, nisi dodal disklejmerja da delaš za google =)
Sem mislil, da je to splošno vedenje ...
In kolikor vem ta niti ne ponuja npr. računovodstvo v oblaku, CRM, storitve arhiva po ZVDAGA in večine ostalih storitev, ki bi prišle prav mikro podjetju v Sloveniji.
Mešana uporaba je povsem OK in normalna. Do sedaj se je delalo tako, da je bil strogo določen "privat" folder, sedaj bo pa pač "služben".
Je normalna v smislu "vsi to počno", ne bom pa rekel, da je OK. Recimo tako ... če imaš zbirko osebnih podatkov na strežniku in do njih dostopaš preko aplikacije, potem se ve kje je kaj in kdo kaj počne.
Kaj pa, če so podatki v Excel preglednici na disku delovne postaje, ker jih je tam zaposleni "potegnil", da jih bo nekaj posebej obdeloval? Hmm ... jih boš našel, če jih boš rabil najti? So varni, če bo zaposleni med brskanjem staknil kakšen nebodigatreba virus? Boš zato gledal pod prste zaposlenim, jim blokiral FB in ostale stvari ali pa morda obstaja kakšna "arhitekturna" pot iz te zagate.
Nekdo je tukaj omenjal "pristope izpred desetletja". Morda je vredno razmisliti, če se še izplača vztrajati ali pa je čas za spremembo načina dela.
Centralni strežnik se pri naših strankah uporablja že zaradi tega, da se ve kaj je potrebno arhivirati. In ti podatki, ne glede na GDPR, ne gredo v oblak. V malih podjetjih je stanje IT opreme v stilu malo mešano na žaru ali BYOD realnost in se ji mora strežniška infrastruktura prilagoditi.
Največji problem so mikro podjetja, ki nimajo ljudi, ki bi jim lahko te stvari upravljali in praviloma tudi ne denarja, da bi nekoga najeli na pavšal. Ostali se že znajdejo (znajdete?).
Glede IP-RS pa predlagam da si pogledaš lanska razkritja o odtekanju podatkov iz AJPESove nove strani, Telemachovega javnega pregleda prometnih podatkov (oboje na slo-tech) ter zapise na telefoncek.si
Mogoče je urad OK, njegovi zaposleni pa niso.
Mogoče.
SeMiNeSanja ::
Ta 'sprememba' deluje... - v določenem obsegu za določene aplikacije. Z vsem ostalim se pa sploh ne ukvarja!
Cleartext: Če je Google (ali kdo drug) hotel prodajati svoje oblačne aplikacije kot 'varne', je moral poskrbeti za čim boljši nadzor dostopa do njih.
Razen access control-a, oblačni ponudnik namreč nima na voljo kaj dosti drugih metod, da bi potencialne uporabnike prepričal v 'varnost' svojih storitev. Dostop preko VPN za široke množice ni primeren, zato se je forsiralo SSL/TLS enkripcijo - https, ki je vse skupaj bistveno poenostavil.
Nesporno je Google tu precej napreden v primerjavi z ostalimi ponudniki spletnih storitev. Vendar se s tem pokriva izključno ponudnikovo stran. Uporabnikova je še vedno popolnoma enako izpostavljena, kot je vedno bila.
Ne le, da je še vedno enako izpostavljena - ves ta 'napredni access control' lahko hitro postane pravi pain in the ass, če malo več potuješ in uporabljaš različno opremo za dostop do njihovih oblačnih storitev.
Medtem ko je čim boljši Access Control želena zadeva, pa si ne smemo zatiskati oči, da se s tem rešuje vse varnostne probleme. Operacijski sistemi in aplikacije imajo hrošče in jih bodo vedno imeli. Komuniciramo preko kopice drugih protokolov, ne le preko https. Nisem preverjal, vendar resno dvomim, da Google ne uporablja ACL-ov (in požarnih pregrad), s katerimi omejuje dostop 'javnosti' do svojih strežnikov, da že na mrežnem nivoju ne izpostavlja več storitev, kot je to nujno potrebno. Istočasno pa nam govorijo, da požarnih pregrad ne rabimo več? To je nekako tako, kot tisti farmošter ki ti pridiga, kaj vse ne smeš, sam pa...... s figo v žepu.
Vsekakor je legitimno oglaševati storitve v oblakih. Vendar prosim ne na način, da se ljudi zavaja s polresnicami in lažnimi dejstvi. Google lahko še tako varuje Gmail in dostope do njega - ampak kaj ti to koristi, če ti je virus okužil tvoj android na telefonu in leaka vse, kar mu pride na doseg? Katera spletna aplikaciaj je 'varna', če je odjemalec okužen s trojancem? Kar velja za Gmail in Android še toliko bolj velja za Windows in vse ostale aplikacije.
Selitev 'pisarniških' aplikacij v oblak skriva še vrsto drugih nevarnosti, če stvari niso izpeljane 'profesionalno' - kar v večini malih podjetij NISO.
Poznam podjetje, ki ima skupno 'bazo' strank kar na Google doc, v navadni tabeli. Nekdo je to naložil gor in začel deliti ostalim sodelavcem.
Danes nihče ne ve, kdo vse ima dostop do tega. Vem pa, da obstajajo osebe, ki že vsaj dve leti niso več zaposlene v podjetju, pa imajo še vedno dostop do teh podatkov.
GDPR? Hja, to bo še veselje....
Podobne reči se dogajajo tudi na Dropbox in Office365, ko ljudje 'improvizirajo' kakor vedo in znajo, da bi prišparali nekaj drobiža, ne da bi se zavedali kakšno štalo dejansko delajo.
Ampak očitno enim ne pade na pamet kaj boljšega, kot razlagat, da so požarne pregrade bedarija, da bo oblak rešil vse probleme....? Ko je marsikje ravno oblak del problema.....
Nasprotno: če nimaš požarne pregrade in ne spremljaš prometa preko nje, ne izpolnjuješ eno od osnovnih zahtev večine v svetu veljavnih varnostnih standardov.
Če ne izpolnjuješ enega osnovnih pogojev večine aktualnih varnostnih standardov, pa si avtomatično tudi na majavih nogah glede ZVOP in GDPR. Slednji sicer v večini svojih členov govori o tem, kako zbirat oz. ne zbirat podatke, a vraga ima tam nekje tudi neke člene o katerih pravniki očitno kaj dosti ne vedo, ki ti narekujejo varovanje na 'ustrezen način' - kar pa po mojem mnenju pomeni, da izpolnjuješ najmanj osnovne kriterije nekega varnostnega standarda. Sam hudirja, se ta hip ne spomnim nobenega, ki ne omenja nadzora prometa na perimetru omrežja.....
Access Control? Vsekakor! Vendar nikoli samo za sebe, brez kakršnikholi drugih zaščit!
jukoz ::
Če se vdre v info sys velike firme, se leeka njene podatke. Če se vdre v majhno firmo s svojim strežnikom, se leeka njihove podatke. Ko se bo vdrlo v Office365, googla, dropbox, se bo leekalo podatke par miljonov majhnih in vwlikih podjetij. In google bo vdor, tako kot yahoo, skrival.
AndrejO ::
Kaj pa če bi nwhali nabijazi o teh vsemogočih oblačnih storitvah. Google je že bil pwned by NSA, kdo pravi da ni tudi od kogs deugega (yahoo in "rusi").
Google po mojem vedenju tako ali tako nima storitev, ki bi bile hudo relevantne za mini in mikrp podjetja v Sloveniji. Velika podjetja pa tako ali tako ne rabijo uporabljati javnih oblačnih storitev, imajo svoje sisteme, ki so lahko po naravi lahko "oblačni", lahko pa tudi ne.
Tudi nikjer nisem napisal, da je potrebno narediti prehod tukaj in zdaj. Neumnost pa je, če se ga ne vidi in ne upošteva.
V Sloveniji imaš recimo storitve, kot sta mSef in eHramba.si za hranjenje dokumenarnega gradiva, vključno s papirnatimi računi. Potem imaš npr. Intrix, ki je "oblačen" CRM, ravno tako slovenskega dobavitelja (Intera d.o.o.).
To so primeri, kjer lahko vsak vidi, da imamo na voljo tudi arhitekture IT sistemov, kjer je vseno, če uporabnik sedi v pisarni, na plaži ali pa vlaku - kjekrkoli pač misli, da bo produktiven in z napravo, ki jo pač ima. So vsi primeri uporabe za to primerni? Ne. Je to edina zveličava pot? Ne. Je to potrebno narediti takoj? Niti pod razno. Je to dobro sledi, upoštevati in, kadar je to primerno, načrtovati vpeljavo? Mislim, da je.
Ja, vem. E-Pošta je "slon v trgovini", ki se mu namenoma izogibam, ampak tudi pri tej se najdejo ponudniki v EU, ki nimajo povezav ali navezav z ZDA. Samo zato, ker gre nekomu na jetra moj delodajalec, to še ne pomeni, da je potrebno delati tako, kot se je delalo pred desetletji ali pa, da se stvari ne spreminjajo.
Če se vdre v info sys velike firme, se leeka njene podatke. Če se vdre v majhno firmo s svojim strežnikom, se leeka njihove podatke. Ko se bo vdrlo v Office365, googla, dropbox, se bo leekalo podatke par miljonov majhnih in vwlikih podjetij.
Iz vidika družbenega vpliva je to ogromna razlika in, ko se bo to zgodilo, bo prizadetih morje ljudi in podjetij. Iz vidika vpliva na individualno podjetje, pa je vprašanje komu bo kakšen kos mrčesa zaklenil vse podatke na deljenih "diskih". Takšnim, ki se zanašajo na to, da bodo vedno uspešno zaščitili delovno postajo z laičnim uporabnikom vred, ali takšnim, ki raje razmišljajo kako bodo uspešno zaščitili nekaj aplikacij in strežnikov na "varnem otoku", v ostalo ranljivo opremo pa se vlaga samo tisti minimum, ki zagotovi, da je ni potrebno ravno vsak mesec "reinštalirati".
In google bo vdor, tako kot yahoo, skrival.
Non sequiter. Vse se lahko poskuša prikrivati, ne more pa s skriti simptomov in simptomi, ko bo do tega prišlo, bodo vidni vsem na planetu. Zato lahko veliki takšne vdore kvečjemu zanikajo, ne morejo pa jih prikriti.
Največja pomankljivost sistemov v javnem oblaku, je t.i. "vendor lock-in". Prehodi med oblačnimi sistemi (npr. iz Salesforce na Intrix), pa so danes še vedno za magnitudo bolj zahtevni, kot bi to kdo hotel. Če z uvažanjem še gre, pa se vsak brani dajati pomoč pri izvozu in pripravi podatkov za konkurenčno platformo.
jukoz ::
Ravno e-pošta je pomoje glavni problem. Večina podjetij (tudi večja) to vrže na Google/Office365, doda temu še šeranje dokumentov (kot je omenil SeMiNeSanja) in potem smo tam. Če jih hosta na siolu, telemachu ali t-2 je pa glede na javna razkritja (vsaj siol in telemach) še slabše.
Zaradi Clintonove in njenega privat e-poštnega strežnika se je v javnosti pojavilo prepričanje, da če imaš svoj e-poštni strežnik si pa že Lizzard King odgovoren za chemtrailse =)
Če dandanes rabi podjetje ali posameznik v Sloveniji svoj e-poštni strežnik, je to povsem enostavno. Internetni priključki omogočajo dovolj dobro in stabilno povezavo, izpadov elektrike je zelo malo, strojna in programska oprema pa je zelo poceni (in hitro ceneje kot najemanje pri MS/google) in če nekdo rabi zasebnost (in malo bolj kompleksne nastavitve e-poštne), potem si ga lahko postavi v lastni kuhinji (disclamer, z e-poštnimi strežniki se profesionalno ukvarjamo).
Oblačni CRM ali drugi sistemi tudi niso nič posebnega. Sam bi sicer izbral rešitev, ki gosti na mojih strežnikih in ne nekje v oblaku. Pantheon, Shakespeare in podobni to omogočajo. Vendor lock-in je problem, vendar je o tem potrebno razmišljati pred implementacijo. Če dandanes naročnik ne razmišlja o tem, da lahko ponudnik propade, potem ima problem. Vsi naši sistemi omogočajo pregledne izvoze podatkov v standardne formate (CSV, TSV, XLSX). To, da ti ponudnik ne da pomoči ob prenosu podatkov pa je tako otročje in neprofesionalno, da ni za opisati. Kot ponudnik smo bili udeleženi na obeh koncih in moram reči, da so določena tričrkovna IT podjetja v Sloveniji zelo otročja. Ali je to odnos projektnih vodij in posledično zaposlenih ne vem, vendar se očitno tak odnos tolerira.
Glede na hitrost nastajanja in propadanja IT podjetij in fluktuacije zaposlenih (kar je pomoje še večji problem, ker kaj ti pomaga da podjetje obstaja, če razvojna ekipa razpade, dokumentacije in prenosa znanja pa ni), se je potrebno zavedati, da do nekega prenosa med sistemi in ponudniki bo prišlo.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Informacijski pooblaščenec: Podizvajalci, ki samo hranijo infrastrukturo s podatki, nOddelek: Novice / Zasebnost | 6343 (4816) | SeMiNeSanja |
» | GDPR je tu, kaj pa zdaj (strani: 1 2 )Oddelek: Novice / Zasebnost | 29051 (19544) | AndrejO |
» | Dobre prakse Informacijskega pooblaščenca že prešle v splošno rabo (strani: 1 2 3 )Oddelek: Novice / Omrežja / internet | 37649 (28509) | spegli |
» | SpamOddelek: Pomoč in nasveti | 5992 (4449) | Matko |
» | Mejli, spam,... od kje emailOddelek: Loža | 12139 (8595) | japol |