» »

GDPR, se ze veselite? :)

GDPR, se ze veselite? :)

AndrejO ::

jukoz je izjavil:

Oblačnih CRM in drugih sistemov je od slovenskih in tujih ponudnikov kolikor češ, Intrix ni edini (je pa verjetno edini ki se reklamira na busih LPP =)) in dandanes pri veliki večini lahko sediš nekje pod palmo.

Ravno e-pošta je pomoje glavni problem. Večina podjetij (tudi večja) to vrže na Google/Office365, doda temu še šeranje dokumentov (kot je omenil SeMiNeSanja) in potem smo tam. Če jih hosta na siolu, telemachu ali t-2 je pa glede na javna razkritja (vsaj siol in telemach) še slabše.

Vedno vzameš tisto, kar je smiselno in pustiš pri miru tisto, kar ni. Mislim, da je vredno biti pozoren na razvoj in ponudbo storitev na tem področju, ker že sama oblika "mainframe" pristopa (da si ne bo kdo mislil, da so SaaS "oblaki" nekaj novega) olajša ali celo odpravi nekatere težave okoli GDPR.

jukoz je izjavil:

Zaradi Clintonove in njenega privat e-poštnega strežnika se je v javnosti pojavilo prepričanje, da če imaš svoj e-poštni strežnik si pa že Lizzard King odgovoren za chemtrailse =)

Posel ni demokracija, kjer bi ljudje na volitvah izbirali kakšna IT arhitektura je ekonomsko upravičena za kakšno podjetje.

jukoz je izjavil:

Če dandanes rabi podjetje ali posameznik v Sloveniji svoj e-poštni strežnik, je to povsem enostavno. Internetni priključki omogočajo dovolj dobro in stabilno povezavo, izpadov elektrike je zelo malo, strojna in programska oprema pa je zelo poceni (in hitro ceneje kot najemanje pri MS/google) in če nekdo rabi zasebnost (in malo bolj kompleksne nastavitve e-poštne), potem si ga lahko postavi v lastni kuhinji (disclamer, z e-poštnimi strežniki se profesionalno ukvarjamo).

Kako pa GDPR?

jukoz je izjavil:

Oblačni CRM ali drugi sistemi tudi niso nič posebnega.

Saj njihov namen ni, da bi bili "nekaj posebnega". Iz drugih razlogov ampak na podoben način se je znotraj podjetij že delalo tam nekje do sredine 80. let (ponekod pa tudi še kasneje).

jukoz je izjavil:

Sam bi sicer izbral rešitev, ki gosti na mojih strežnikih in ne nekje v oblaku. Pantheon, Shakespeare in podobni to omogočajo.

Ja, javen ali pa privaten "oblak", karkoli je smiselno. Poanta je v načinu kako uporabniki uporabljajo aplikacije, kako nadzoruješ distribucijo aplikacij, kako nadzoruješ dostop do podatkov, ki so "zaklenjeni" na lokaciji, ki izpolnjuje tvoje lastne poslovne kriterije "varne lokacije".

jukoz je izjavil:

Vendor lock-in je problem, vendar je o tem potrebno razmišljati pred implementacijo.

Duh! O vsemu se razmišlja pred implementacijo in tudi še preden je kakršnakoli implementacija že izbrana. To verjetno sploh ne bi rabilo posebnega poudarka, ker itak vsi "instinktivno" vemo, da ne boš naročil hruške z betonom in 5.000 kosov opeke še preden boš imel gradbeno dovoljenje.

jukoz je izjavil:

Če dandanes naročnik ne razmišlja o tem, da lahko ponudnik propade, potem ima problem. Vsi naši sistemi omogočajo pregledne izvoze podatkov v standardne formate (CSV, TSV, XLSX). To, da ti ponudnik ne da pomoči ob prenosu podatkov pa je tako otročje in neprofesionalno, da ni za opisati.

Vendar pa v osnovi kapitalistično, naravno za ohranjanje posla in kot takšno praktično povsod prisotno obnašanje.

jukoz je izjavil:

Glede na hitrost nastajanja in propadanja IT podjetij in fluktuacije zaposlenih (kar je pomoje še večji problem, ker kaj ti pomaga da podjetje obstaja, če razvojna ekipa razpade, dokumentacije in prenosa znanja pa ni), se je potrebno zavedati, da do nekega prenosa med sistemi in ponudniki bo prišlo.

To imaš prav in mislim, da tukaj ni odveč omeniti Capito, da ne bi kdo zmotno mislil, da se velikim to ne more zgoditi.

Utk ::

Verjamem da zakonsko vse stima, pa vseeno bi bilo zanimivo poslat tisto zajebano pismo drzavi, pa naj pol en revez pol leta koplje po zakonih in pravilnikih raznih ustanov. Da ne govorimo o dostopih oz vpogledih.

flyby ::

Je kdo naštudiral GDPR in Mailchimp? Ta namreč ne beleži časa kdaj je nekdo potrdil ponovno prijavo na newsletter ...

mambli ::

Mailchimp to beleži. Če odpreš kontakt, je pod email naslovu, kako in kdaj se je pridružil.
Mailchimp ima trenutno drugi problem, ker ne moreš vseh emailov zbrisati.
V primeru, da je kontakt "cleaned" ga ne moreš zbrisati.
drugi problem pri Mailchimpu je da se hosta v USA. Če hočeš imeti podatke hostane izven EU, rabiš posebno dovoljenje od informacijskega pooblaščenca.

b3D_950 ::

mambli je izjavil:

Če hočeš imeti podatke hostane izven EU, rabiš posebno dovoljenje od informacijskega pooblaščenca.


To velja tudi za gmail oz. google apps in podobne mail rešitve (outlook, ipd.)?
Zdaj ko je mir, jemo samo krompir.

jype ::

Miha 333 ::

b3D_950 je izjavil:

mambli je izjavil:

Če hočeš imeti podatke hostane izven EU, rabiš posebno dovoljenje od informacijskega pooblaščenca.


To velja tudi za gmail oz. google apps in podobne mail rešitve (outlook, ipd.)?

Ne širite laži, preberite člene 44 do 49 GDPR.

AndrejO ::

Miha 333 je izjavil:

b3D_950 je izjavil:

mambli je izjavil:

Če hočeš imeti podatke hostane izven EU, rabiš posebno dovoljenje od informacijskega pooblaščenca.


To velja tudi za gmail oz. google apps in podobne mail rešitve (outlook, ipd.)?

Ne širite laži, preberite člene 44 do 49 GDPR.

Členi (oz. predvsem 45. čl.) dobijo smisel šele potem, ko se pove, da imamo za ZDA na ravni celotne EU trenutno dogovor o pripoznavanju ekvivalence. Podlaga je t.i. "Privacy Shield" dogovor.

No ... zanimivo bo, če bo ECJ tudi ta dogovor spoznalo za nezadosten ali pa ZDA (v liku zvezne vlade in v liku posamičnih zveznih držav) za krive kršitve tega dogovora, kot se je že zgodilo z njegovim predhodnikom "Safe Harbour".

Tudi to ne pomaga, da je sedaj v ZDA velja tudi zakonodaja, ki (v celoti pričakovano), podjetjem, ki se nahajajo v pristojnosti sodišč ZDA, nalaga, da pri zahtevi za izročitev podatkov (tudi npr. vsebine sporočil in podobnega), lokacija podatkovnega centra ne vpliva na nič.


Previdnost pri izbiri ponudnika zato nikakor ni odveč, če se bo obdelovalo osebne podatke.

Zgodovina sprememb…

  • spremenil: AndrejO ()

tadejkan ::

AndrejO je izjavil:

Miha 333 je izjavil:

b3D_950 je izjavil:

mambli je izjavil:

Če hočeš imeti podatke hostane izven EU, rabiš posebno dovoljenje od informacijskega pooblaščenca.


To velja tudi za gmail oz. google apps in podobne mail rešitve (outlook, ipd.)?

Ne širite laži, preberite člene 44 do 49 GDPR.

Členi (oz. predvsem 45. čl.) dobijo smisel šele potem, ko se pove, da imamo za ZDA na ravni celotne EU trenutno dogovor o pripoznavanju ekvivalence. Podlaga je t.i. "Privacy Shield" dogovor.

No ... zanimivo bo, če bo ECJ tudi ta dogovor spoznalo za nezadosten ali pa ZDA (v liku zvezne vlade in v liku posamičnih zveznih držav) za krive kršitve tega dogovora, kot se je že zgodilo z njegovim predhodnikom "Safe Harbour".

Tudi to ne, da je sedaj v ZDA velja tudi zakonodaja, ki (v celoti pričakovano), podjetjem, ki se nahajajo v pristojnosti sodišč ZDA, nalaga, da pri zahtevi za izročitev podatkov (tudi npr. vsebine sporočil in podobnega), lokacija podatkovnega centra ne vpliva na nič.


Previdnost pri izbiri ponudnika zato nikakor ni odveč, če se bo obdelovalo osebne podatke.


MailChimp ima to takole napisano (iz https://blog.mailchimp.com/gdpr-tools-f...
MailChimp has certified to the EU-U.S. Privacy Shield Framework and Swiss-U.S. Privacy Shield Framework, so you can transfer your contacts’ personal data outside of the EU to MailChimp in the U.S., so long as you:

- Complete our updated data processing agreement and
- Get permission from your contacts to transfer their data. Permission terms will be built directly into our GDPR-friendly forms, but you should copy that language over to your other list building methods, too.


Ni pa najbolj jasno, kako točno naj bi dobil permission uporabnikov ("Get permission from your contacts to transfer their data").
Je dovolj Privacy policy/Terms of use, ali mora biti eksplicitni permission.

AndrejO ::

tadejkan je izjavil:


Ni pa najbolj jasno, kako točno naj bi dobil permission uporabnikov ("Get permission from your contacts to transfer their data").
Je dovolj Privacy policy/Terms of use, ali mora biti eksplicitni permission.

Kakšna je siceršnja podlaga za to obdelavo? So to stranke kakšnega podjetja ali kaj drugega?

SeMiNeSanja ::

Tole samo generirajo eno goro spama s temi maili, v katerih od ljudi zahtevajo, da naj potrdijo, da privolijo v zlorabo njihovih osebnih podatkov.

S tem so v sami paniki pričeli pred kakšnimi dvemi tedni in bojim se, da bo tega samo še več, dokler ne bodo že enkrat doumeli, da to tudi ni sorazmerna rešitev, da spammaš vse naokoli.
Dodaten problem se potem pojavi, ker to ljudje ignorirajo (ali pa spam filtri to požrejo), ti pa si posledično dejansko prisiljen, da pričneš z brisanjem njihovih podatkov, ker se niso odzvali. Strel v lastno koleno.
Če bi kljub temu še naprej uporabljal te naslove, bi bil v hujšem prekršku, kot če nebi spammal in zahteval eksplicitno privolitev, saj si z neodzivanjem uporabnikov pridobil kvazi implicitno zavrnitev.

Potem se že raje izgovarjam na implicitno potrditev preko tega, da si uporabniku X posredoval že X sporočil, pa nikoli ni izbral opcije 'odjavi se'.

Zanimivi so tudi pri Vzajemni.... v zameno, da jim napišeš podatke (katere že takointako imajo!) ti ponujajo par mesecev nekega dodatnega zavarovanja. Ob tem navedejo, da lahko kadarkoli zahtevaš, da jih brišejo. Ja, kako pa bodo potem nudili zavarovanje, če bodo te podatke brisali? Mislim, kake bedarije...........

AndrejO ::

SeMiNeSanja je izjavil:


Zanimivi so tudi pri Vzajemni.... v zameno, da jim napišeš podatke (katere že takointako imajo!) ti ponujajo par mesecev nekega dodatnega zavarovanja. Ob tem navedejo, da lahko kadarkoli zahtevaš, da jih brišejo. Ja, kako pa bodo potem nudili zavarovanje, če bodo te podatke brisali? Mislim, kake bedarije...........

- Podatki, ki jih Vzajemna že ima za zavarovanca so bili zbrani izključno za namen zavarovanja. Tudi, če jih "imajo", kot si napisal, jih ne smejo uporabljati za druge namene. Če bi to storili, bi bili v prekršku.
- "V zameno, da jim napišeš podatke", je pridobivanje izrecnega soglasja za obdelavo podatkov za namen, ki ni zavarovanje. Tudi, če kasneje v skladu z ZVOP-1 to soglasje umakneš, bo zavarovalna pogodba ostala, verjetno pa boš izgubil kakšno ugodnost oz. popust. Lepo pa bi bilo, če bi prepisal njihovo besedilo in ne zgolj svoj povzetek tega, kar si o tem misliš, da bi ti lahko kdo drug razložil kaj, kako in zakaj.

Za nekoga, ki ima tako veliko za napisati o tem, kako naj se skladno s predpisi varuje osebne podatke, veš strahotno malo o predpisih, ki urejajo to varovanje.

SeMiNeSanja ::

@AndrejO - sorry, ampak spet si falil point in to samo zato, da kvazi dokazuješ (komu že?), kako da kao nimam pojma o ničemer (oz. ti imaš o vsemu).

Ponazoriti sem hotel, da je absurdna bedarija vabiti z bonbončki, da naj ti dajo ljudje soglasje, če tega lahko že naslednji dan prekličejo.
Poleg tega, ti že takointako vso reklamo nabutajo zraven ob računu, pa če si jim dal kakšno soglasje ali ne.

In prosim, ne bodi tak preklemanski smartass ali Klugscheisser po nemško - tudi tvoje izvedbe niso 'vodotesne' in si že natrosil toliko neumnosti, da bi bilo bolje malo manj se šopiriti.
Sem mislil, da sva to razčistila že pri tistem, ko si me obtoževal, češ da jaz paniko širim, pa očitno še vedno nisi pokapiral, da si bil ti tisti, ki je človeku skušal tupiti u glavo, da naj si beleži vsakič, ko bo dostopal do imenika na telefonu. Ta isti, ki tako reč izjavi, pa potem meni,.... eh pozabi, ni vredno....

Zgodovina sprememb…

AndrejO ::

SeMiNeSanja je izjavil:

Sem mislil, da sva to razčistila že pri tistem, ko si me obtoževal, češ da jaz paniko širim, pa očitno še vedno nisi pokapiral, da si bil ti tisti, ki je človeku skušal tupiti u glavo, da naj si beleži vsakič, ko bo dostopal do imenika na telefonu.

Ti si se šel redukcije do absurda, ker očitno ne veš kakšne možnosti obstajajo in kdaj je kaj sorazmerno. Svoje lastne nevednosti ne rabiš pripisovati meni.

SeMiNeSanja je izjavil:

Ta isti, ki tako reč izjavi, pa potem meni,.... eh pozabi, ni vredno....


No, pa dajva pogledati kdo je kaj napisal ...


AndrejO je izjavil:

jukoz je izjavil:

V primeru da ne igra nobene vloge, ali je potem potrebno držati tudi seznam vpogledov? Da ali ne. Realen, življenski primer. Za CRM sisteme je to povsem jasno. Ali mogoče za vizitke in telefon to ne velja?

Realen življenski primer: pazi, da ti ne bo "pameten telefon" posinhroniziral zbirko kontaktov z LinkedIn. Beleži kje se podatki nahajajo in privzami, da ima oseba, v katere uporabi je telefon, dostop do teh osebnih podatkov.


In tvoj odgovor:

SeMiNeSanja je izjavil:


Meni se namreč zdi izredno bad joke, da bi moral beležiti vsak vpogled v imenik na telefonu. Bi ga rad videl bedaka, ki bo to počel!
Klic je potem 'obdelava' ali kaj? Wau, pa še dnevnik obdelav (beri: klicev) naj bi potem vodil? O.k. to dela že telefon sam - ampak roko na srce - nikogar nima kaj brigat koga sem kdaj klical! Tu se gre potem že za grob poseg v mojo zasebnost. Naj bo telefon še toliko služben, se gre vendarle za nesorazmerne posege v zasebnost zaposlenih. No Go!


Torej. Kdo dela paniko?

flyby ::

mambli je izjavil:

Mailchimp to beleži. Če odpreš kontakt, je pod email naslovu, kako in kdaj se je pridružil.


drži. ampak imam e-naslove ljudi, ki so na listi 5+ let. od njih potrebujem sprejem novega soglasja.

vidim, da so novo soglasje sprejeli, nimam pa pojma kdaj so to storili (datum, ura).

SeMiNeSanja ::

@AndrejO - zaporedje se ne ujema.... kaj vse si pisal PRED tistim mojim citatom....

Potem si se sicer nekaj vlekel ven na neke sinhronizirane baze kontaktov, kar pa le redko katero podjetje v SME okolju uporablja(95% vseh podjetij, če še nisi pozabil?).

V veliki večini primerov si ljudje sami, ročno zapisujejo telefonske in maile v telefone - po lastni izbiri in presoji, kateri stiki so zanje pomembni. Ti pa nabijaš o 1% primerov, kjer imajo v podjetju centralno bazo stikov, do katere imajo zaposleni dostop/sinhronizacijo s svojih privat mobitelov. Oz. skušaš predstaviti, da je to edini 'legalni' način, da nisi v GDPR prekršku....
Telefon kateregakoli zaposlenega je njegova privatna sfera in nikogar nima kaj brigat, koga ima v adresarju - razen če prideš glih s sodnim nalogom. Pa še potem se lahko zaposleni upira in noče odkleniti telefona.

Skupna baza, sinhronizirana.... imaš...ampak redko na mobitele, sploh pa ne v SME okoljih z manj kot 200 zaposlenimi. Preprosto zato, ker nimajo resursov, da to vzpostavijo. Če pa že nekaj 'spacajo'.....pa bi ponavadi bilo bolje, da nebi, ker se gre za kakšno grdo improvizacijo, ki ti lahko lase postavi pokonci. Rezultat pa tak, da še čistilka lahko brska po telefonskih in naslovih poslovnih partnerjev, kupcev in dobaviteljev,....

Skratka, namesto da nabijaš tukaj z merili, ki morda veljajo za NLB, Telekom ali Google, se spusti na realna tla in se pogovarjajmo o tistih 95% vseh podjetij, ki imajo 1-10 zaposlenih in sem pridejo po kakšno pametno idejo. NLB in podobna podjetja bodo to že rešila v krogu svojih kadrovskih sposobnosti. Problem je ostalih 95%. Tisti mehanik Francelj ni le smešna prispodoba - možak je kruta realnost!!!

SME problematika je specifična in prosim ne podcenjuj nikogar, ki dela z SME okolji - pač ne gre kar 1:1 preslikat, kar velja za Enterprise okolja. Nekaj kar je v Enterprise priporočena praksa, je v SME lahko zelo slaba ideja - tako kot tisi sharing kontakov na telefone, če nimaš ustrezne infrastrukture in kadre, ki bodo tudi ustrezno poskrbeli za pravice in nadzor dostopa do različnih vrst stikov. GDPR je pri vsem tem še najmanjši problem!

AndrejO ::

SeMiNeSanja je izjavil:

@AndrejO - zaporedje se ne ujema.... kaj vse si pisal PRED tistim mojim citatom....

LOL. Zaporedni objavi, moja napisana neposredno pred tvojim odgovorom.

AndrejO je 30. apr 2018 ob 21:30:27 izjavil: ...
SeMiNeSanja je 30. apr 2018 ob 22:43:34 izjavil:...

Boš še malo kopal to svojo luknjo?

SeMiNeSanja ::

AndrejO je izjavil:

SeMiNeSanja je izjavil:

@AndrejO - zaporedje se ne ujema.... kaj vse si pisal PRED tistim mojim citatom....

LOL. Zaporedni objavi, moja napisana neposredno pred tvojim odgovorom.

AndrejO je 30. apr 2018 ob 21:30:27 izjavil: ...
SeMiNeSanja je 30. apr 2018 ob 22:43:34 izjavil:...

Boš še malo kopal to svojo luknjo?

Kaj to spremeni na dejstvu, da tebe nima kaj brigat, kaj ima zaposleni na svojem telefonu?
Nima kaj brigat ne tebe, ne GDPR, dokler s tem, kar ima na telefonu ne dela kakšno štalo.
Svoje Linkedin/ Facebook / name-it/ stike pa ima lahko vsakdo kakor njemu paše in ga ti še vprašat nimaš kaj dosti pravice. Privatna sfera pač in to povsem neodvisno od tega, ali je privatni ali službeni telefon.

AndrejO ::

SeMiNeSanja je izjavil:

Ti pa nabijaš o 1% primerov, kjer imajo v podjetju centralno bazo stikov, do katere imajo zaposleni dostop/sinhronizacijo s svojih privat mobitelov.

Excahnge ActiveSync za iOS in npr. Android/Samsung.

What is the market share of Microsoft Exchange Server, IBM Lotus Notes and Novell GroupWise? Namig: MS Exchange ima precej strank.

Potem tudi ne pozabi na rešitve v gostovanju, ki jih tudi majhnim podjetjem nudita npr. TS in A1.

SeMiNeSanja je izjavil:

Oz. skušaš predstaviti, da je to edini 'legalni' način, da nisi v GDPR prekršku....

Spet se ti prikazujejo bele miši.

SeMiNeSanja je izjavil:

Telefon kateregakoli zaposlenega je njegova privatna sfera in nikogar nima kaj brigat, koga ima v adresarju - razen če prideš glih s sodnim nalogom. Pa še potem se lahko zaposleni upira in noče odkleniti telefona.

Tehnologija je to rešila že pred leti in skladno z ZVOP-1 in GDPR.

SeMiNeSanja je izjavil:

Skratka, namesto da nabijaš tukaj z merili, ki morda veljajo za NLB, Telekom ali Google, se spusti na realna tla in se pogovarjajmo o tistih 95% vseh podjetij, ki imajo 1-10 zaposlenih

Pošta s sinhronizacijo kontaktov in koledarja, na voljo na vseh napravah za 6 EUR + DDV/račun pri TS?

Kaj pa vem ... 60 EUR/mesec, da se ti s tem ni potrebno ukvarjati, se mi za podjetje z 10 zaposlenimi ne zdi nezaslišan strošek. Koliko stane pavšal za sistemca, ki se oglasi enkrat na teden, da pobrca tisto škatlo v omari?

Kaj pa pavšal za sistemca, ki je dejansko uspel prebrati GDPR?

SeMiNeSanja je izjavil:

Tisti mehanik Francelj ni le smešna prispodoba - možak je kruta realnost!!!

Možaka še vedno ne rabi nič skrbeti.

SeMiNeSanja je izjavil:

SME problematika je specifična in prosim ne podcenjuj nikogar, ki dela z SME okolji - pač ne gre kar 1:1 preslikat, kar velja za Enterprise okolja. Nekaj kar je v Enterprise priporočena praksa, je v SME lahko zelo slaba ideja - tako kot tisi sharing kontakov na telefone, če nimaš ustrezne infrastrukture in kadre, ki bodo tudi ustrezno poskrbeli za pravice in nadzor dostopa do različnih vrst stikov.

Na srečo so stvari trivialne, če človek le ne bere tvojih občasnih halucinacij.


Itd ... v bistvu ... daj se še malo drži tistega, kjer si nesporen mojster, višek časa pa posveti širjenju znanja na področja, ki so komplementarna tvoji trenutni specializaciji.

SeMiNeSanja je izjavil:

AndrejO je izjavil:

SeMiNeSanja je izjavil:

@AndrejO - zaporedje se ne ujema.... kaj vse si pisal PRED tistim mojim citatom....

LOL. Zaporedni objavi, moja napisana neposredno pred tvojim odgovorom.

AndrejO je 30. apr 2018 ob 21:30:27 izjavil: ...
SeMiNeSanja je 30. apr 2018 ob 22:43:34 izjavil:...

Boš še malo kopal to svojo luknjo?

Kaj to spremeni na dejstvu, da tebe nima kaj brigat, kaj ima zaposleni na svojem telefonu?
Nima kaj brigat ne tebe, ne GDPR, dokler s tem, kar ima na telefonu ne dela kakšno štalo.
Svoje Linkedin/ Facebook / name-it/ stike pa ima lahko vsakdo kakor njemu paše in ga ti še vprašat nimaš kaj dosti pravice. Privatna sfera pač in to povsem neodvisno od tega, ali je privatni ali službeni telefon.

Če mu omogočiš sinhronizacijo poslovne zbirke osebnih kontaktov, potem to pač postane tvoj problem in moraš ga obvladovati tako, kot vsak drug posloven problem. Če ti tega ne znaš početi, pač OK. Tudi kdo drug tega ne zna početi. Še več je ljudi, ki sinhronizacije itak ne delajo (ne ročne, ne kakšne drugačne), ker se ukvarjajo s čisto tretjimi zadevami, ne pa z morebitnimi blodnjami sistemca, ki se mu znova nekaj prikazuje.

BTW, če te skrbi zasebnost, potem ne pozabi da v tem pogledu ni praktične razlike med zasebnim in službenim telefonom.

Zgodovina sprememb…

  • spremenil: AndrejO ()

SeMiNeSanja ::

@AndrejO - veš da sem bedak? Ampak samo zato, ker se s tabo pregovarjam.

Ne gre zato kaj JAZ znam ali ne! Kdaj bo tebi vzvišenemu samovšečnemu vase zaljubljenemu osebku to jasno? Gre se za to, kaj 'znajo' v 95% podjetjih, ki nimajo nobenih resursov, ki bi lahko kaj takega šli vzpostavljat, še najmanj pa na pravilen način.

Če kdo kaj sinhronizira, potem sinhronizira svoj lastni account, ne pa kot bazo stikov podjetja, ker preprosto niti ni zaupanja v to, da nek zaposleni ne bo potem odnesel celo bazo.

Ampak ej, ti si velik, lep, pameten, oh in sploh, čisto vse veš in vse znaš..... Bi se moral še klanjat? Na kolena?

Prekleto domišljav si - razmišljaš pa v slogu, kot da obstaja samo tistih zgornjih 2% podjetij. O dejanski realnosti pa več kot očitno nimaš pojma.

AndrejO ::

SeMiNeSanja je izjavil:

Ne gre zato kaj JAZ znam ali ne! Kdaj bo tebi vzvišenemu samovšečnemu vase zaljubljenemu osebku to jasno? Gre se za to, kaj 'znajo' v 95% podjetjih, ki nimajo nobenih resursov, ki bi lahko kaj takega šli vzpostavljat, še najmanj pa na pravilen način.

Kjer tega nimajo, tudi tega vprašanja nimajo.

SeMiNeSanja je izjavil:

Ampak ej, ti si velik, lep, pameten, oh in sploh, čisto vse veš in vse znaš..... Bi se moral še klanjat? Na kolena?

?

Samo zato, ker se ti obnašaš kot bedak, še ne pomeni, da sem tega jaz kriv.

SeMiNeSanja je izjavil:

Prekleto domišljav si - razmišljaš pa v slogu, kot da obstaja samo tistih zgornjih 2% podjetij. O dejanski realnosti pa več kot očitno nimaš pojma.

Človek je vprašal kaj se zgodi, dal sem odgovor na kaj naj pazi.

Za razliko od tebe, ki si npr. tukaj sposoben nekoga spljuvati do onemoglosti, ker je pač vprašal kako naj dobi podatke v nekem sistemu, ki ga za nekaj uporablja. Tudi toliko se nisi ustavil, da bi pred svojim izbruhom najprej vprašal kaj točno počno. Zagotovo so krivi.

SeMiNeSanja ::

Wau! Spljuval sem do onemoglosti?

Izključno sem povedal, da so zdaj vsi navalili s temi 'dajte potrditi' maili, ki so prav preklemansko siten spam. Tako nadležni so, kot tisto nadlegovanje s piškoti.

To je DEJSTVO in nima nič skupnega s kakim pljuvanjem.

Povsem dobronamerno pa je bilo tudi opozorilo, da marsikdo, ki ga sicer marketing sporočila niso motila, ne bo poslal potrditve. Tako, kot takrat pri piškotih marsikdo ni dal potrditve, da jih sprejema.

Posledica pa je logična: če nisi prejel eksplicitne potrditve, boš moral brisati podatke. To pa pomeni gospodarsko škodo, saj imajo podatki svojo ceno.

Torej... kje je tu karkoli o pljuvanju?

Drugo dejstvo: do danes je redko kdo brisal podatke, za katere ni pridobil eksplicitnega dovoljenja za hrambo in obdelavo. Tako bo tudi ostalo... Če ne drugače, jih bodo dali na nek backup in počakali, da se juha malo pohladi.

Od kje pa tebi, da sem karkoli odgovarjal osebno nekomu, ki je iskal neke podatke? Potem pa jaz vidim bele miši?

Ales ::

Vidva bi lahko vzela sobo. :))

Ne me narobe razumet, super da sodelujeta v temi in gre dejansko za perečo problematiko, samo kak korak narazen stopita in par globokih vdihov, pa bo...

AndrejO ::

Ales je izjavil:

Vidva bi lahko vzela sobo. :))

Ne me narobe razumet, super da sodelujeta v temi in gre dejansko za perečo problematiko, samo kak korak narazen stopita in par globokih vdihov, pa bo...

Slej kot prej bo prišel mimo kakšen mod in to počistil. Vmes pa se lahko vsi skupaj še malo nasmejemo.

borisk ::

A mi lahko kdo razloži (na kratko). Naša vodja pisarne je bila na seminarju glede GDPR, in so jim tam potrosili kar nekaj zanimivih.
Delodajalec naprimer ne sme imeti shranjene telefonske številke delavca. Dovoljenja pa od njega ne more dobiti, niti ne sme za njega vprašati, ker je delavec v podrejenem položaju. kako potem misliš oni zgoraj spraviti BYOD skozi? Bojda je tudi 98% videonadzornih sistemov v podjetjih nelegalnih, ker je kao dovoljeno snemanje samo na vstopno izstopnih točkah, absolutno pa ni dovoljeno snemanje delovnih mest, se pravi proizvodnje ali pisarne. Ima kdo kakšno mnenje o tem?

Netrunner ::

Delodajalec naprimer ne sme imeti shranjene telefonske številke delavca.

Mogoče ne sme biti v skupni bazi podatkov podjetja, vendar direktor v svojem telefonu lahko ima kontakte od vseh a ne?

Kar se snemanja tiče nevem točno kako je, vendar sklepam da se lahko snema po celotnih površinah podjetja dokler se ne posega v delavčevo zasebnost. Kar pomeni da ne sme biti kamere usmerjene direkt na delovno mesto, pa na kakšnem WC-ju ipd
Doing nothing is very hard to do... you never know when you're finished.

Invictus ::

borisk je izjavil:

A mi lahko kdo razloži (na kratko). Naša vodja pisarne je bila na seminarju glede GDPR, in so jim tam potrosili kar nekaj zanimivih.
Delodajalec naprimer ne sme imeti shranjene telefonske številke delavca. Dovoljenja pa od njega ne more dobiti, niti ne sme za njega vprašati, ker je delavec v podrejenem položaju. kako potem misliš oni zgoraj spraviti BYOD skozi? Bojda je tudi 98% videonadzornih sistemov v podjetjih nelegalnih, ker je kao dovoljeno snemanje samo na vstopno izstopnih točkah, absolutno pa ni dovoljeno snemanje delovnih mest, se pravi proizvodnje ali pisarne. Ima kdo kakšno mnenje o tem?

To je pa zdaj že bolano...

Na koncu zaradi GDPR ne boš smel vprašati delavca, ali je bil v službi in ali je kaj naredil :)).

Raj za lene Slovence... >:D
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

AndrejO ::

borisk je izjavil:

Delodajalec naprimer ne sme imeti shranjene telefonske številke delavca. Dovoljenja pa od njega ne more dobiti, niti ne sme za njega vprašati, ker je delavec v podrejenem položaju.

Sme "ponižno predlagati", kar pomeni, da to stori na način, kjer je jasno, da odklonitev soglasja ne bo imela nikakršnih posledic, iz prošnje pa mora biti jasno razviden natančen namen zakaj bi delodajalec ta podatek želel uporabiti.

Tukaj je znova pomemben namen. Veliko delodajalcev npr. hrani osebne podatke o vsaj enem družinskem članu zaposlenega kot kontakt za nujne primere. Da pa bi bil namen "poslovna komunikacija", to pa pač ne gre in, če zaposleni tega ne bi želel, že danes po določilih ZVOP-1 ne bi šlo. Razlog, da takšnih zavračanj ni veliko je ta, da praviloma zaposleni hočejo BYOD in se seveda pri tem ne ukvarjajo z morebitnimi posledicami, hkrati pa podjetje praviloma prevzame številko na svojo pogodbo, ker zaposleni hkrati pričakuje tudi to, da mu bo "firma plačala telefon". S tem slednjim pa je potem volk sit, koza pa ostane cela.

borisk je izjavil:

kako potem misliš oni zgoraj spraviti BYOD skozi?

Tudi pri BYOD je (vsaj zunaj) običaj, da podjetje prevzame pogodbo z mobilnim operaterjem, s čemer telefonska številka preide iz domene osebnega v domeno poslovnega podatka.

Tudi pri elektronski pošti je podobno, saj podjetja tudi pri BYOD ne prosijo za osebni naslov, temveč poskrbijo, da se na BYOD napravi uporablja službeni naslov, poslovna pošta, kontakti, koledar, ... pa so (oziroma naj bi bili) izolirani od zasebnih podatkov. Ker pa so telefoni z dvema SIM-kama redki, je odgovor pač prevzem številke na eni strani in ob prekinitvi delovnega razmerja prenos številke nazaj na (sedaj že bivšega) zaposlenega.

BYOD ni enako in nikoli ni bilo enako "bring your own private life". Samo napravo.

Lahko ti dam tudi nekaj čisto resničnim primerov, kjer so delodajalci te stvari pomešali in nato tudi pred GDPR končali z globo v žepu. Veseli me, da sedaj te informacije počasi prodirajo v zavest vodij/lastnikov/... skratka odgovornih za zakonsko skladno poslovanje podjetij.

borisk je izjavil:

Bojda je tudi 98% videonadzornih sistemov v podjetjih nelegalnih, ker je kao dovoljeno snemanje samo na vstopno izstopnih točkah, absolutno pa ni dovoljeno snemanje delovnih mest, se pravi proizvodnje ali pisarne. Ima kdo kakšno mnenje o tem?

98% ... pojma nimam od kje ta številka prihaja. Če bi bilo tako hudo, potem bi tudi IP-RS že zdavnaj našel to "tržno nišo" za izrek večjega števila glob.

To, kar si navedel, velja že danes, ni pa prepoved absolutna. Če je nadzor sorazmeren, se lahko nadzira tudi delovno mesto.

Razlike med ZVOP-1 in prihodnjo ureditvijo po ZVOP-2 so:
- Da se morajo delodajalci posvetovati z reprezentativnim sindikatom, predstavnikom delavcev ali pa delavskim zaupnikom. V ZVOP-1 je bila zahteva samo za reprezentativen sindikat in, kjer ga ni bilo, tudi posveta s predstavniki večine delavcev ni rabilo biti.
- Da se umika prepoved videonadzora v garderobah, dvigalih in sanitarnih prostorih. To pomeni, da je teoretično možno imeti nadzor tudi v teh prostorih, vendar pa zgolj in samo, če je dokazano, da se varuje zakonite interese in, da je ta oblika varovanja sorazmerna.
- Da sme "live stream" tega gledati samo osebe, ki so znotraj podjetja pooblaščene za naloge na področju varovanja. To pomeni, da imaš npr. varnostnika, ki to dela, bo pa po sprejemu ZVOP-2 težje razložiti, zakaj naj bi to delal npr. vodja proizvodnje ali pa direktor, če nimata hkrati tudi drugih nalog povezanih za varovanjem podjetja.

Invictus je izjavil:

To je pa zdaj že bolano...

ZVOP-1 ... z nami že od l. 2004.

Invictus je izjavil:

Na koncu zaradi GDPR ne boš smel vprašati delavca, ali je bil v službi in ali je kaj naredil :)).

Rešitev je enostavna: podjetje prevzame številko na svojo pogodbo, zaposleni je srečen, ker ima boniteto, podjetje je srečno, ker ima manj stroška za napravo, šef pa še naprej veselo kliče ob 21h in sprašuje, če bo poročilo pripravljeno do jutri zjutraj.

Invictus je izjavil:

Raj za lene Slovence... >:D

Od Islandije do Cipra.

Zgodovina sprememb…

  • spremenil: AndrejO ()

jukoz ::

@AndrejO
Em, dej si svoj nick popravi na AndrejO@google al pa neki, da ne bo kdo preveč resno vzel kaj pišeš.

Te zanima kaj je napisano v TSjevih ToS za Office365? Tole:
"S sklenitvijo te pogodbe naročnik imenuje in pooblašča Telekom Slovenije za dodatnega skrbnika Storitev za obdobje veljavnosti, kjer ima Telekom Slovenije enake skrbniške pravice in dostop do podatkov naročnika kot skrbniki naročnika. V kolikor ni s to pogodbo izrecno dogovorjeno drugače in razen v obsegu izrecno dogovorjenem s to pogodbo in prodajno ponudbo, nima Telekom Slovenije kot dodatni skrbnik Storitev nobenih obveznosti."

In kot je napisal borisk, se BS-anje že besno širi. Dobivam 5 mailov na dan glede tega GDPR.

Glede tega kje so dobili moj kontakt je pa napisano tole:
"Sporočilo ste skladno s 45.a členom Zakona o varstvu potrošnikov prejeli na osnovi prijave na spletnih straneh podjetja $PODJETJE, na osnovi telefonske prijave, spletne prijave, na podlagi vašega vpisa v Ipis, Pirs, Tis, Gvin, Bizi.si ali podobne podatkovne baze, na podlagi javno objavljenega vašega naslova, na podlagi priporočila, sodelovanja v nagradni igri, izpolnjenega anketnega vprašalnika na prireditvah ali drugih podobnih dogodkih v organizaciji podjetja Verlag Dashöfer. Celotno odgovornost vsebine komercialnega sporočila nosi naročnik objave komercialnega sporočila, prav tako pa tudi vse obveznosti, ki bi lahko iz tega sledile, in hkrati zagotavlja, da bo vse storitve izvedel v skladu z veljavno zakonodajo in moralno-etičnimi načeli."

Mimogrede, je to dovoljeno?

@borisk
BYOD je super rešitev, ker potem imajo zaposleni privat telefone/računalnike/karkoli in jih GDPR ne zadeva. Ampak morajo biti res BYOD, ne pa služben kot piše AndrejO (torej da svojo številko preneseš na podjetje).

Za majhno podjetje je to verjetno še najceneje - zaposlenemu plača 50EUR/mesec več in je stvar opravljena. Enkrat na 2 leti mu pa da nagrado 2kEUR da si kupi nov prenosnik in telefon =)

Invictus ::

Bi rekel da GDPR providerji izkoriščajo še zadnje momente ne-zakona za spamanje s svojimi storitvami ;).
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

hitcher10 ::

Ok jaz bom pa malce drugače še vprašal.
recimo, da so nam dokumenti in pravilniki nekako jasni.
Ne želim razpredati o komunikacijah/požarnih pregradah itd...
Kaj pa podatki, kateri se nahajajo v podatkovnih bazah, kako boste IT-jevci te podatke
ščitili, imate osebne podatke šifrirane, ali imate kako drugače urejene dostope do osebnih podatkov ?
lp

AndrejO ::

jukoz je izjavil:

@AndrejO
Em, dej si svoj nick popravi na AndrejO@google al pa neki, da ne bo kdo preveč resno vzel kaj pišeš.

Mislim, da se vzdevkov ne da popravljati, ravno tako pa nisem trobilo svojega delodajalca ampak človek z lastnimi stališči in idejami. Če bi vzdevek popravil tako, kakor si predlagal, bi to lahko nekdo tudi narobe interpretiral, kot da sem oseba, ki komunicira v imenu delodajalca, kar ne počnem in tudi ne smem početi.

Hkrati pa se seveda ne skrivam kdo sem in za koga delam in tudi za koga sem delal pred tem.

jukoz je izjavil:

Te zanima kaj je napisano v TSjevih ToS za Office365? Tole:

Te zanima kaj je napisano v pogodbi z Vzdrževanje računalniške opreme, Marko Gaspari s.p. in kaj bi moralo biti napisano, glede na to, da ima ta oseba poln dostop do tistega strežnika, ki ga ima podjetje z 1-10 zaposlenimi spravljenega v omari?

Sam bi rekel, da lepo, da so vsaj nekje poskrbeli (mimogrede, TS je moj bivši delodajalec), da je jasno napisano kakšne možnosti dostopa do podatkov imajo, glede na to, da imajo v rokah strojno opremo. Ali lahko rečeš, da je narobe, da se to napiše? Ali lahko z gotovostjo zatrdiš, da imajo enako stopnjo transparentnosti tudi pogodbe, ki jih v podpis ponujajo tisti, ki npr. skrbijo za opremo majhnih podjetij na njihovih lokacijah?

Ja, imaš prav. Vsako gostovanje podatkov pri nekomu drugemu ima za posledico to, da ima več ljudi možnost dostopa do teh podatkov. Včasih to je problem, včasih ni. YMMW. Ampak poglej tudi na drugo stran ponudbe in razmisli kakšni so tam morda standardi ravnanja in potencialno tudi skladnosti s kakšnim predpisom.

jukoz je izjavil:


"Sporočilo ste skladno s 45.a členom Zakona o varstvu potrošnikov prejeli na osnovi prijave na spletnih straneh podjetja $PODJETJE, na osnovi telefonske prijave, spletne prijave, na podlagi vašega vpisa v Ipis, Pirs, Tis, Gvin, Bizi.si ali podobne podatkovne baze, na podlagi javno objavljenega vašega naslova, na podlagi priporočila, sodelovanja v nagradni igri, izpolnjenega anketnega vprašalnika na prireditvah ali drugih podobnih dogodkih v organizaciji podjetja Verlag Dashöfer. Celotno odgovornost vsebine komercialnega sporočila nosi naročnik objave komercialnega sporočila, prav tako pa tudi vse obveznosti, ki bi lahko iz tega sledile, in hkrati zagotavlja, da bo vse storitve izvedel v skladu z veljavno zakonodajo in moralno-etičnimi načeli."

Mimogrede, je to dovoljeno?

telefonske prijave, spletne prijave: potencialno, vendar odvisno od konkretne implementacije - kako je bilo zagotovljeno, da je soglasje podal resničen lastnik osebnega podatka.
Ipis, Pirs, Tis, Gvin, Bizi.si: praviloma skladno z ZVOP-1, ker se v te zbirke naj ne bi vpisovalo osebne podatke, oziroma, kadar se jih, je izrecen namen obdelave za potrebe poslovanja, kar vključuje tudi cold-mailing. Podlaga je v tem primeru zakon, zato ni potrebno ločeno soglasje. Še vedno imaš pravico odjave, če to ni ravno "info@..." naslov, vendar se lahko zgodba ponovi pri kom drugem, ko ponovno zajame te podatke.
na podlagi javno objavljenega vašega naslova: praviloma ne, vendar odvisno od oblike odjave. Če tvoj naslov poberejo npr. iz malih oglasov na S-T, je to kršitev ZVOP-1. Če tvoj naslov poberejo iz "Kdo smo" strani tvojega podjetja, potem je obdelava verjetno skladna z namenom objave in s tem skladna z ZVOP-1.
na podlagi priporočila: ni dovoljeno, po ZVOP-1 mora biti soglasje osebno ali ga pa ni.
sodelovanja v nagradni igri, izpolnjenega anketnega vprašalnika na prireditvah ali drugih podobnih dogodkih v organizaciji podjetja Verlag Dashöfer: sivo območje. Večina teh soglasij je bila zbranih napačno, vendar ne pa vsa. V konkretnem primeru je očitno, da tale Verlag ne razpolaga z informacijo o soglasju (čeprav bi že po ZVOP-1 moral) in je sedaj presran zaradi višine glob po GDPR.

Če jih hočeš zaj.... jim pošlji zahtevo po 30. čl. ZVOP-1, kjer še izrecno navedeš, da želiš podatke iz 4. točke 1. odstavka ("posredovati seznam uporabnikov, katerim so bili posredovani osebni podatki, kdaj, na kakšni podlagi in za kakšen namen") in 5. točke 1. odstavka ("dati informacijo o virih, na katerih temeljijo zapisi, ki jih o posamezniku vsebuje zbirka osebnih podatkov, in o metodi obdelave;").

Če ne vedo povedati od kje natančno so tvoj osebni podatek dobili, bam. Prijava na IP-RS.
Če slučajno pozabijo povedati, da so tvoj osebni podatek posredovali pošiljatelju e-mailov, bam. Prijava na IP-RS.

Za varovanje svojih pravic ne rabiš čakati na GDPR.

jukoz je izjavil:

@borisk
BYOD je super rešitev, ker potem imajo zaposleni privat telefone/računalnike/karkoli in jih GDPR ne zadeva. Ampak morajo biti res BYOD, ne pa služben kot piše AndrejO (torej da svojo številko preneseš na podjetje).

Vse je odvisno od konteksta uporabe. Če ima podjetje npr. zbirko vseh zasebnih telefonskih številk, potem je to zagotovo zbirka osebnih podatkov in podjetje je upravljalec te zbirke. Če imajo zaposleni možnost, da si to zbirko ali njen del prenašajo na svoje naprave, potem je očitno govora o neki obdelavi. Če podjetje spodbuja, da to počno ... hm ... kaj pa vem. Nisem prepričan, da podjetje ni v prekršku.

Recimo tako. USB ključek je last zaposlenega. Nanj si skopira neke osebne podatke iz zbirke podjetja, da bo lahko še doma delal. Ključek se izgubi.

Je to problem podjetja in GDPR-ja ali ne?

Ali morda USB ključek in pameten telefon v očeh zakona nista primerljiva?

jukoz je izjavil:

Za majhno podjetje je to verjetno še najceneje - zaposlenemu plača 50EUR/mesec več in je stvar opravljena. Enkrat na 2 leti mu pa da nagrado 2kEUR da si kupi nov prenosnik in telefon =)

Enkrat na 5 let plača kazen, ker je nekje posejalo osebne podatke svojih strank (če hipotetično takšne podatke obdeluje).

jukoz ::

AndrejO je izjavil:


Te zanima kaj je napisano v pogodbi z Vzdrževanje računalniške opreme, Marko Gaspari s.p. in kaj bi moralo biti napisano, glede na to, da ima ta oseba poln dostop do tistega strežnika, ki ga ima podjetje z 1-10 zaposlenimi spravljenega v omari?

Sam bi rekel, da lepo, da so vsaj nekje poskrbeli (mimogrede, TS je moj bivši delodajalec), da je jasno napisano kakšne možnosti dostopa do podatkov imajo, glede na to, da imajo v rokah strojno opremo. Ali lahko rečeš, da je narobe, da se to napiše? Ali lahko z gotovostjo zatrdiš, da imajo enako stopnjo transparentnosti tudi pogodbe, ki jih v podpis ponujajo tisti, ki npr. skrbijo za opremo majhnih podjetij na njihovih lokacijah?

Ja, imaš prav. Vsako gostovanje podatkov pri nekomu drugemu ima za posledico to, da ima več ljudi možnost dostopa do teh podatkov. Včasih to je problem, včasih ni. YMMW. Ampak poglej tudi na drugo stran ponudbe in razmisli kakšni so tam morda standardi ravnanja in potencialno tudi skladnosti s kakšnim predpisom.


Upam da ima Marko Gaspari s.p. s svojo stranko podpisan kakšen NDA, ki ga zavezuje da skrbi za podatke.

Glede na zgodovino Telekoma (pa Telemacha in še koga), bolj zaupam Marku Gaspariju. Ker pri Marku Gaspariju vem da bo samo on leekal podatke. Pri Telekomu bodo podatki leekani, leekal jih pa ne bo nihče.

AndrejO je izjavil:


telefonske prijave, spletne prijave: potencialno, vendar odvisno od konkretne implementacije - kako je bilo zagotovljeno, da je soglasje podal resničen lastnik osebnega podatka.
Ipis, Pirs, Tis, Gvin, Bizi.si: praviloma skladno z ZVOP-1, ker se v te zbirke naj ne bi vpisovalo osebne podatke, oziroma, kadar se jih, je izrecen namen obdelave za potrebe poslovanja, kar vključuje tudi cold-mailing. Podlaga je v tem primeru zakon, zato ni potrebno ločeno soglasje. Še vedno imaš pravico odjave, če to ni ravno "info@..." naslov, vendar se lahko zgodba ponovi pri kom drugem, ko ponovno zajame te podatke.
na podlagi javno objavljenega vašega naslova: praviloma ne, vendar odvisno od oblike odjave. Če tvoj naslov poberejo npr. iz malih oglasov na S-T, je to kršitev ZVOP-1. Če tvoj naslov poberejo iz "Kdo smo" strani tvojega podjetja, potem je obdelava verjetno skladna z namenom objave in s tem skladna z ZVOP-1.
na podlagi priporočila: ni dovoljeno, po ZVOP-1 mora biti soglasje osebno ali ga pa ni.
sodelovanja v nagradni igri, izpolnjenega anketnega vprašalnika na prireditvah ali drugih podobnih dogodkih v organizaciji podjetja Verlag Dashöfer: sivo območje. Večina teh soglasij je bila zbranih napačno, vendar ne pa vsa. V konkretnem primeru je očitno, da tale Verlag ne razpolaga z informacijo o soglasju (čeprav bi že po ZVOP-1 moral) in je sedaj presran zaradi višine glob po GDPR.

Če jih hočeš zaj.... jim pošlji zahtevo po 30. čl. ZVOP-1, kjer še izrecno navedeš, da želiš podatke iz 4. točke 1. odstavka ("posredovati seznam uporabnikov, katerim so bili posredovani osebni podatki, kdaj, na kakšni podlagi in za kakšen namen") in 5. točke 1. odstavka ("dati informacijo o virih, na katerih temeljijo zapisi, ki jih o posamezniku vsebuje zbirka osebnih podatkov, in o metodi obdelave;").

Če ne vedo povedati od kje natančno so tvoj osebni podatek dobili, bam. Prijava na IP-RS.
Če slučajno pozabijo povedati, da so tvoj osebni podatek posredovali pošiljatelju e-mailov, bam. Prijava na IP-RS.

Za varovanje svojih pravic ne rabiš čakati na GDPR.


Dokler jim odjava deluje smo gut. Ko jim ne, se začne teženje na druge načine =)

Ma pa zanima kdo se je tega teksta spomnil. Najprej je bil to tekst pri enem pošiljatelju, nato so ga pa verjetno copy-paste še ostali.

Zgodovina sprememb…

  • spremenilo: jukoz ()

jukoz ::

AndrejO je izjavil:


jukoz je izjavil:

@borisk
BYOD je super rešitev, ker potem imajo zaposleni privat telefone/računalnike/karkoli in jih GDPR ne zadeva. Ampak morajo biti res BYOD, ne pa služben kot piše AndrejO (torej da svojo številko preneseš na podjetje).

Vse je odvisno od konteksta uporabe. Če ima podjetje npr. zbirko vseh zasebnih telefonskih številk, potem je to zagotovo zbirka osebnih podatkov in podjetje je upravljalec te zbirke. Če imajo zaposleni možnost, da si to zbirko ali njen del prenašajo na svoje naprave, potem je očitno govora o neki obdelavi. Če podjetje spodbuja, da to počno ... hm ... kaj pa vem. Nisem prepričan, da podjetje ni v prekršku.

Recimo tako. USB ključek je last zaposlenega. Nanj si skopira neke osebne podatke iz zbirke podjetja, da bo lahko še doma delal. Ključek se izgubi.

Je to problem podjetja in GDPR-ja ali ne?

Ali morda USB ključek in pameten telefon v očeh zakona nista primerljiva?


Izguba osebnih podatkov je _vedno_ problem. To da jih nekdo nosi nešifrirane naokoli tudi. VeraCrypt (samo kot primer) je zastonj in dovolj enostaven za uporabo.

AndrejO ::

jukoz je izjavil:

Upam da ima Marko Gaspari s.p. s svojo stranko podpisan kakšen NDA, ki ga zavezuje da skrbi za podatke.

Če je govora o tipičnem mikro podjetju in tipičnem s.p.-ju, potem ne bi zadrževal diha.

jukoz je izjavil:

Glede na zgodovino Telekoma (pa Telemacha in še koga), bolj zaupam Marku Gaspariju. Ker pri Marku Gaspariju vem da bo samo on leekal podatke. Pri Telekomu bodo podatki leekani, leekal jih pa ne bo nihče.

Ja. Pravilniki o disperziji odgovornosti so hudič.

jukoz je izjavil:

Dokler jim odjava deluje smo gut. Ko jim ne, se začne teženje na druge načine =)

Kaj pa vem ... jaz takšnim kar redno težim in potem izvem zanimive stvari. Npr. to, da še letos pri čisto določenem in meni ter AKOS-u znanem osebku visi kopija poštnih naslovov iz PIRS tam nekje iz l. 2010, ki jo uporablja za pošiljanje oglasov.

Da bo stvar ironična, sem se do tega dokopal, ko me je podjetje, ki je najelo tega osebka, na ta način oglaševalo seminar na temo GDPR. :D

Potem se spomnim enega, ki je ponujal inštrukcije ... sploh se mu ni sanjalo, da ZVOP-1 sploh obstaja.

Itd ... zabavne zgodbe.

jukoz je izjavil:

Ma pa zanima kdo se je tega teksta spomnil. Najprej je bil to tekst pri enem pošiljatelju, nato so ga pa verjetno copy-paste še ostali.

Jaz bi stavil na kakšen seminar.

Morda bi jim moral nekdo pojasniti, da je tudi takšno zbiranje strinjanj že kršitev ZVOP-1, če podatkov niso že v izhodišču pridobili skladno z ZVOP-1.

AndrejO ::

jukoz je izjavil:

Izguba osebnih podatkov je _vedno_ problem. To da jih nekdo nosi nešifrirane naokoli tudi. VeraCrypt (samo kot primer) je zastonj in dovolj enostaven za uporabo.

Ja, ampak tukaj se potem začne zabava. Naprava je BYOD, ampak to podjetja ne odveže odgovornosti do *podatkov*.

Kar v praksi pomeni, da če daš zaposlenemu možnost, da katerekoli poslovne podatke (osebne ali pa ne) prense BYOD, potem moraš nekako zagotoviti, da se jim ne bo zgodilo kaj slabega. Npr. imeti vsiljeno politiko ("mandatory policy"), kjer mora potem biti takšna naprava šifrirana, za uporabo pa je potreben odklep.

In potem iz tega izhajaš naprej. Končen rezultat je, da pri BYOD podjetje privarčuje zgolj in samo na ceni nakupa in vzdrževanja naprav, zaposleni pa se mora v zameno za to, da ne bo dobil "neuglednega službenega cigla", odpovedati popolnem nadzoru nad napravo (ne pa tudi nad zasebnostjo - primeren nadzor lahko vzpostaviš tudi brez nesorazmernega poseganja v zasebnost). Če se izkaže, da je podjetje *omogočalo* (ne samo podpiralo), da so zaposleni malomarni s podatki, bo na sodišču spoznano sokrivo. Pri "navadnih" podatkih to pomeni, da ne bo moglo tožiti zaposlenega za morebitno škodo, pri osebnih podatkih, pa to pomeni obisk inšektorja.

Zgodovina sprememb…

  • spremenil: AndrejO ()

jukoz ::

Za druge ne bom govoril, ampak sami stremimo k temu, da skrbno varujemo svoje in drugih podatke.

Torej nas ne skrbi izguba podatkov, potencialno inkasantstvo IP (in seveda drugih organov - mesec nazaj je bil aktualen ARSO in poročanje o odpadni embalaži, januarja AJPES s poročanjem o dejanskih lastnikih podjetij, ...) pa.

Kako ima urejeno varstvo osebnih podatkov avtomehanik Franc me ne zanima. Kako ima urejeno varstvo osebnih podatkov Vzdrževanje računalniške opreme, Marko Gaspari s.p., s katerim poslovno sodelujem, me pa seveda zanima.

Zgodovina sprememb…

  • spremenilo: jukoz ()

AndrejO ::

jukoz je izjavil:

Kako ima urejeno varstvo osebnih podatkov avtomehanik Franc me ne zanima. Kako ima urejeno varstvo osebnih podatkov Vzdrževanje računalniške opreme, Marko Gaspari s.p., s katerim poslovno sodelujem, me pa seveda zanima.

Logično in pravilno. Tudi, kadar je govora o osebnih podatkih, to ni nič novega, ker je že ZVOP-1 predpisoval stvari, ki so implicirale, da moraš imeti s človekom, ki bo v svoji delavnici morda reševal podatke iz tvojega diska, ustrezno pogodbo.

Nisem pa prepričan, da se večina lastnikov mikro in srednjih podjetij tega zaveda. K temu dodaj še primere, kjer to problematiko rešujejo strokovnjaki z napačno specializacijo (ker se lastnik morda ne zaveda, da obvladati varnost računalnika ni enako kot obvladati varnost poslovnega procesa), pa postane jasno, da se sedaj nenadoma zelo veliko ljudi zelo čoha po glavi.

b3D_950 ::

Kako pa bo telekomov imenik v skladu s tem, bo telekom vsakemu posebej poslal policy za opt-out? Dvomim, da se je kdo s tem strinjal pred 20 leti, da lahko telekom avtomatsko objavi osebne podatke tudi na internetu in ne samo v "papirnem" imeniku, tudi če se je takrat strinjal s tem (zgolj za papirno izvedbo). Pihanje v sonce in jahanje oblakov?
Zdaj ko je mir, jemo samo krompir.

Miha 333 ::

Verjetno lahko to "zapakirajo" pod opravljanje naročenih storitev.

Zgodovina sprememb…

  • spremenilo: Miha 333 ()

AndrejO ::

b3D_950 je izjavil:

Kako pa bo telekomov imenik v skladu s tem, bo telekom vsakemu posebej poslal policy za opt-out? Dvomim, da se je kdo s tem strinjal pred 20 leti, da lahko telekom avtomatsko objavi osebne podatke tudi na internetu in ne samo v "papirnem" imeniku, tudi če se je takrat strinjal s tem (zgolj za papirno izvedbo). Pihanje v sonce in jahanje oblakov?

Telekomov imenik več ne obstaja, kar obstaja sta "univerzalen imenik" in "univerzalna imeniška služba", ki ju na podlagi koncesije trenutno izvaja TS.

Obdelava podatkov v imeniku se izvaja izključno za namene, v trajanju in v obsegu, kot ga predpisuje (116. in 148. čl. ZEKom-1).

Če razmišljaš o tem, da vsi operaterji, ki ponujajo telefonske storitve, zbirajo soglasja za morebitno objavo v univerzalnem imeniku, pa ZEKom-1 pravi, da mora biti sprejem ali zavrnitev soglasja za to storitev del naročniške pogodbe (129. in 137. čl. ZEKom-1), ravno tako pa morajo biti uporabniki jasno obveščeni o obsegu te obdelave podatkov ter posledica vpisa in nevpisa v univerzalni imenik ter obliko vpisa (150. čl. ZEKom-1).

Glede 20 let starih soglasij, pa velja tako: ZTel je ob sprejemu (l. 1997, torej malo več kot pred 20 leti) vseboval zahtevo, da vsi operaterji objavljajo imenik, za objavo pa pridobijo predhodno soglasje.

Torej so se soglasja pobirala že 20+ let nazaj, obseg, način in trajanje obdelavo so predpisani v zakonu, od najmanj 1997 naprej pa so predpisane klavzula po kateri je potrebno pred objavo pridobiti soglasje.

PaX_MaN ::

AndrejO je izjavil:

Razlike med ZVOP-1 in prihodnjo ureditvijo po ZVOP-2 so:
- Da se umika prepoved videonadzora v garderobah, dvigalih in sanitarnih prostorih. To pomeni, da je teoretično možno imeti nadzor tudi v teh prostorih, vendar pa zgolj in samo, če je dokazano, da se varuje zakonite interese in, da je ta oblika varovanja sorazmerna.

Hm, vse različice, ki jih najdem, imajo še vedno zapisano to prepoved:
(8) Videonadzora ni dovoljeno izvajati v dvigalih, sanitarijah, slačilnicah in drugih podobnih prostorih, v katerih lahko posameznik utemeljeno pričakuje višjo stopnjo zasebnosti.

AndrejO ::

PaX_MaN je izjavil:

AndrejO je izjavil:

Razlike med ZVOP-1 in prihodnjo ureditvijo po ZVOP-2 so:
- Da se umika prepoved videonadzora v garderobah, dvigalih in sanitarnih prostorih. To pomeni, da je teoretično možno imeti nadzor tudi v teh prostorih, vendar pa zgolj in samo, če je dokazano, da se varuje zakonite interese in, da je ta oblika varovanja sorazmerna.

Hm, vse različice, ki jih najdem, imajo še vedno zapisano to prepoved:
(8) Videonadzora ni dovoljeno izvajati v dvigalih, sanitarijah, slačilnicah in drugih podobnih prostorih, v katerih lahko posameznik utemeljeno pričakuje višjo stopnjo zasebnosti.

My bad.

Spregledal sem, da so to določbo prenesli iz člena, ki ureja zgolj videonadzor v delovnih prostorih v člen, ki ureja videonadzor v splošnem.

Torej tudi to po sprejemu ZVOP-2 ostane isto.

barakus ::

Mavrik je izjavil:

barakus je izjavil:

Ali se bom po GDPR lahko odjavil od bolha spama brez da deaktiviram sam račun na bolhi?


Razen če sem kaj zgrešil, GDPR načeloma tega ne ureja.


Meni se zdi, da početje bolhe, da ne moreš odjavit email spama razen da zbrišeš račun, po GDPR ni dovoljeno

Consent should be separate from other terms and conditions. It should not generally be a precondition of signing up to a service.

If you make ‘consent’ a precondition of a service, consent is unlikely to be the most appropriate lawful basis.


Podobno je ponovljeno vsaj desetkrat v spdonjem dokumentu.

https://ico.org.uk/media/about-the-ico/...

AndrejO ::

barakus je izjavil:

Mavrik je izjavil:

barakus je izjavil:

Ali se bom po GDPR lahko odjavil od bolha spama brez da deaktiviram sam račun na bolhi?


Razen če sem kaj zgrešil, GDPR načeloma tega ne ureja.


Meni se zdi, da početje bolhe, da ne moreš odjavit email spama razen da zbrišeš račun, po GDPR ni dovoljeno

Načeloma imaš prav, samo celoten opis zakaj to nima nič neposrednega z GDPR je malo daljši.

Po direktivi/ZVOP-1/GDPR/ZVOP-2 obstajata dve "načelni kategoriji" podlag na katerih se lahko obdeluje osebne podatke: predpisano v zakonu (kateremkoli, ne samo ZVOP-1/2 ali GDPR) ali pa predhodna osebna privolitev.

Za potrebe trženja lastnih in podobnih ali sorodnih izdelkov sme podjetje svojim strankam pošiljati neposredna sporočila na elektronsko pošto v skladu z 158. čl. ZEKom-1. To zagotovi, da je obdelava skladna z zakonom, ki predvideva, da v tem primeru predhodno soglasje ni obvezno, ker obstaja že predhodno sodelovanje med udeležencema komunikacije.

Vendar pa ZEKom-1 v istem členu predvideva, da lahko to (implicitno) soglasje kadarkoli umakneš in podjetje mora tvojo zahtevo spoštovati, hkrati pa storitve ne sme odpovedati. Če podjetje tega ne stori, potem krši ZEKom-1, s čemer izgubi tudi zakonsko podlago za tovrstno obdelavo osebnih podatkov - torej podjetje načeloma krši tudi ZVOP-1 in v prihodnje GDRP.

Tako, da ja. Podlaga zakaj je temu tako, se res skriva v GDPR, ni pa GDPR tisti, ki bi to neposredno urejal. Konkretna stvar je v tem primeru prenešena v nek drug zakon.

Če meniš, da se Bolha ne drži zakona, lahko zato že danes prijaviš sum kršitve. Pravna podlaga za prijavo se tudi po 25. maju, ko začne veljati GDPR, ne bo spremenila.

barakus ::

Hvala za razlago.

K0l1br1 ::

AndrejO je izjavil:

Po direktivi/ZVOP-1/GDPR/ZVOP-2 obstajata dve "načelni kategoriji" podlag na katerih se lahko obdeluje osebne podatke: predpisano v zakonu (kateremkoli, ne samo ZVOP-1/2 ali GDPR) ali pa predhodna osebna privolitev.
Recimo ena bolnica, ki zbira podatke o zaposlenih in pacientih, se s soglasji, recimo, ne bo ukvarjala, ker ima za zbiranje in obdelavo podatkov podlago v zakonu?

BivšiUser2 ::

V začetnih postih sem bral, da se kao državne ustanove nimajo kaj bati, je pa že en čas objavljen en fajl, ki vsebuje ime, priimek, mail itd. Splošni pogoji narekujejo, da bi to moralo biti anonimizirano. Obveščeni / opozorjeni pa so že bili. Je čas za 20M?
SloTech - če nisi z nami, si persona non grata.

Zgodovina sprememb…

  • predlagal izbris: Ales ()

AndrejO ::

K0l1br1 je izjavil:

AndrejO je izjavil:

Po direktivi/ZVOP-1/GDPR/ZVOP-2 obstajata dve "načelni kategoriji" podlag na katerih se lahko obdeluje osebne podatke: predpisano v zakonu (kateremkoli, ne samo ZVOP-1/2 ali GDPR) ali pa predhodna osebna privolitev.
Recimo ena bolnica, ki zbira podatke o zaposlenih in pacientih, se s soglasji, recimo, ne bo ukvarjala, ker ima za zbiranje in obdelavo podatkov podlago v zakonu?

V Sloveniji v 99,99% primerih da. V tem trenutku se ne morem spomniti niti enega primera, da bi bolnica smela obdelovati osebne podatke brez zakonske podlage. Morda obstajajo takšni primeri, ampak jih ne poznam.

Razlog za to se skriva v določbi (stari in novi), da medicinski podatki spadajo med občutljive osebne podatke in medicinski podatek je že to, da se je neka oseba zglasila v bolnici (torej je bila na zdravljenju) ali pa je bolnico kontaktirala (verjetno ne zato, da bi naročila pizzo).

Občutljive osebne podatke se v splošnem sme obdelovati samo na podlagi zakona ali podlagi izrecnega predhodnega soglasja (implicitno soglasje odpade). Mislim, da v Sloveniji te zadeve v praktično vseh primerih pokrijejo Zakon o pacientovih pravicah, Zakon o zdravstveni dejavnosti in Zakon o zdravstvenem varstvu in zdravstvenem zavarovanju.

Izrecna predhodna soglasja za medicinske podatke mislim, da pridejo v Sloveniji v igro, kadar sklepaš življensko zavarovanje, ker boš verjetno šel skozi zdravniški pregled katerega namen pa ni nič od tega, kar pokrivajo zgoraj našteti zakoni (v grobem - namen tega zdravniškega pregleda ni zdravljenje, temeč nekaj čisto tretjega).

Ni pa to edini možen način ali pristop. Irska recimo nima takšnega krovnega pristopa in kadar se dogovarjaš za to, da te bo npr. splošni zdravnik ali zobozdravnik sprejel kot svojo stranko, moraš med ostalim podpisati tudi izrecno izjavo s katero jim dovoljuješ, da obdelujejo tvoje občutljive podatke. Zato ne sklepaj, da je to povsod v EU urejeno enako. GDPR tega tudi ne bo spremenil.

SeMiNeSanja ::

To s temi soglasi, ki se zdaj tako obsesivno zbirajo, mi nekako ni čisto jasno.

Dokaj jasno je v primeru, da ti je nekdo stvar lastnoročno podpisal na papirju, ti pa si zadevo potem nekako arhiviral, tako da tudi po 100 letih privlečeš na dan dokaz, da ti je Janez Novak nekoč dal privolitev, da ga lahko spammaš in 'obdeluješ'.

Toda kaj, ko je večina teh privolitev danes zgolj klik na neki spletni strani.

Kako bo zdaj nekdo dokazal, da se je tisti klik dejansko zgodil, da si ni vse skupaj izmislil programer, ki je lepo nafilal '.T.' ali '1' v polja z imenom 'Soglasje'. V skrajnem primeru pa bi se lahko skliceval na nek nesrečni bug v programu.....

Koneckoncev, tudi če se nekdo pritožuje, da ni podal soglasja, je beseda proti besedi.
Tudi če si legalno zbral nekakšno elektronsko privolitev lastnika podatkov - kako boš čez leto, dve, tri dokazoval, da ti je to privolitev dal? Morda je malo pozabljiv, ti ga nisi ravno zasipaval s spamom, pa je pozabil... Potem ti pa nažene inšpektorja za vrat, češ da ti nikoli ni dal soglasja.

Torej, kako dokažeš 'pristnost' soglasja, ko nenazadnje v večini primerov niti identitete nekoga ne moreš preveriti.

Kaj pa tisti, ki se jim bo 'zgodil' kakšen cryptolocker, ki bo zaklenil bazo 'soglasij'? Ali pa če nek hacker vdre v bazo in spremeni vrednosti v poljih 'soglasje'? Seveda govorim o primerih, kjer so bili malomarni in nimajo backup-a, ali pa se je ta izkazal za neuporabnega (pogostejši pojav, kot si misliš... - sploh če so prepozno opazili zlonamerni poseg v bazo).

Blockchain/SmartContracts? Opcija....ampak resno - je že kdo soglasja na to vižo 'ovekovečil'?
Mogoče bi potem bilo celo najbolje imeti kar digitalnega notarja, ki bi kot neodvisno telo shranjeval soglasja in tako jamčil, da se ne bosta mogla ne uporabnik, ne zbiratelj/obdelovalec podatkov zgovarjat, da sta dobila neko soglasje oz. da ga nista.

Torej......ali jaz vse skupaj narobe razumem, ali pa do teh vprašanj sploh še nismo prišli?


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Informacijski pooblaščenec: Podizvajalci, ki samo hranijo infrastrukturo s podatki, n

Oddelek: Novice / Zasebnost
175791 (4264) SeMiNeSanja
»

GDPR je tu, kaj pa zdaj (strani: 1 2 )

Oddelek: Novice / Zasebnost
6427156 (17649) AndrejO
»

Dobre prakse Informacijskega pooblaščenca že prešle v splošno rabo (strani: 1 2 3 )

Oddelek: Novice / Omrežja / internet
12134234 (25094) spegli
»

Spam

Oddelek: Pomoč in nasveti
345451 (3908) Matko
»

Mejli, spam,... od kje email

Oddelek: Loža
4711368 (7824) japol

Več podobnih tem