» »

GDPR, se ze veselite? :)

GDPR, se ze veselite? :)

AndrejO ::

SeMiNeSanja je izjavil:

Torej, kako dokažeš 'pristnost' soglasja, ko nenazadnje v večini primerov niti identitete nekoga ne moreš preveriti.


Ena izmed možnosti je ta, da pri on-line registraciji vzpostaviš povratno zanko z elektronsko pošto. Kot odziv na registracijo preko spletnega obrazca pošlješ sporočilo, ki vsebuje naslednje elemente:
- Kopijo podatkov, ki so bili vnešeni z izjemo podatkov, ki jih ni varno ali potrebno prenašati preko e-pošte.
- Vsebino soglasja, ki vsebuje vse nujne elemente po zakonu/GDPR.
- Povezavo na katero lahko oseba klikne, da potrdi, da je prebrala vsebino in se z njo strinjala.

Torej nekako tako, kot odgovorna podjetja to že počno.

Preden skočiš v zrak in zakričiš, da to ne pomeni nič in, da se lahko kdorkoli potem predstavi s katerimkoli imenom, ti dam prav in ti hkrati povem, da se s tem ne rabiš preveč obremenjevati. Cilj spletnega obrazca je verjetno to, da dobiš delujoč e-mail naslov s strinjanjem pravega lastnika tega naslova, ne pa kar nekaj na pamet.

Vse ostalo je potem odvisno od konteksta. Če je to npr. spletna trgovina, potem je logično, da se oseba ne bo zlagala glede naslova za dostavo. Če so to zmenkarije, je logično, da se oseba ne bo zlagala glede spola in usmerjenosti. Itd ... naloga upravljalca je v teh primerih samo in zgolj to, da se obnaša, kot da so vsi podatki 100% verodostojni, v primeru zahtev za popravke, pa jih seveda nemudoma popravi. Če pa se kasneje izkaže, da se je nekdo lagal, lažno predstavljal ali kako drugače zavajal, je to izven konteksta GDPR in stvar druge zakonodaje.

SeMiNeSanja je izjavil:

Kaj pa tisti, ki se jim bo 'zgodil' kakšen cryptolocker, ki bo zaklenil bazo 'soglasij'? Ali pa če nek hacker vdre v bazo in spremeni vrednosti v poljih 'soglasje'? Seveda govorim o primerih, kjer so bili malomarni in nimajo backup-a, ali pa se je ta izkazal za neuporabnega (pogostejši pojav, kot si misliš... - sploh če so prepozno opazili zlonamerni poseg v bazo).

Hmnja. Če se jim to zgodi z bazo soglasij, bodo težko dokazovali kakršnokoli upravičenost. Potem najbolj, da nemudoma stopijo v stik z nadzornim organom in se dogovorijo kako bodo te podatke uničili oziroma ugotovijo, če je možno obstoj soglasja ugotoviti še na kakšen drugačen način.

SeMiNeSanja je izjavil:

Blockchain/SmartContracts? Opcija....ampak resno - je že kdo soglasja na to vižo 'ovekovečil'?
Mogoče bi potem bilo celo najbolje imeti kar digitalnega notarja, ki bi kot neodvisno telo shranjeval soglasja in tako jamčil, da se ne bosta mogla ne uporabnik, ne zbiratelj/obdelovalec podatkov zgovarjat, da sta dobila neko soglasje oz. da ga nista.

To je zelo zanimiva zamisel in morda celo vredna patentne zaščite (popolnoma resno in brez šale, če te še ni kdo prehitel).

SeMiNeSanja je izjavil:

Torej......ali jaz vse skupaj narobe razumem, ali pa do teh vprašanj sploh še nismo prišli?

Mislim, da smo do teh vprašanj prišli že pri ZVOP-1, vendar pa je šele prihod GDPR dosegel premik v beticah tozadevno (ne)odgovornih ljudi po podjetjih, da so začeli aktivno razmišljati o njih.

SlimDeluxe ::

Trenutno urejam skladnost z GDPR za stranke, pa nisem čisto prepričan, ali sem "obdelovalec" osebnih podatkov?
Namreč imam različne e-commerce platforme (lastno, opencart in prestashop), vse gostujejo pri meni na strežniku in do vseh imam seveda neomejen dostop, nikoli pa ne prenašam ali kakorkoli obdelujem osebnih podatkov, lahko pa jih vidim, v okviru zagotavljanja storitve (npr. pomoč pri uporabi spletne aplikacije, reševanje težav na produkciji...).
Pomoje nisem obdelovalec.
Predvidevam tudi, da nisem dolžen imenovati DPOja, ker nimam namenske programske opreme, kot je CRM, ker vsi posamezniki, ki so not, so se sami registrirali (ali oddali naročilo kot gost), ali so jih dodali njihovi šefi (B2B stranke).
Problem imam s tem odstavkom:
Prav tako bi sem sodile kadrovske agencije, številne spletne trgovine in IT podjetja, ki vzdržujejo rešitve za obdelavo osebnih podatkov posameznikov, npr. sistemi za upravljanje podatkov kupcev in njihovo profiliranje (upravljanje odnosov s strankami, angl. CRM), zdravstveni IT sistemi
s strani IPRS
Desktop: R5 3600X | MSI MPG B550 | RX580 8GB | 32GB DDR4 | be quiet! 650W
Laptop: Lenovo ThinkPad T15 G2 | i7-1165G7 | 32GB DDR4 | 15" FullHD IPS

Miha 333 ::

Seveda si obdelovalec, poglej definicijo obdelave. Poglej tudi uvodne določbe uredbe, kjer piše, da so ponudniki gostovanj in podobno obdelovalci. Moral boš imeti oz. dopolniti pogodbe s strankami, glej 3. odst. 28. čl. Uredbe. Malo pozno si se spomnil...

jukoz ::

Pomoje moraš pravilno brat cel člen =)

Podjetja, katerih temeljne dejavnosti zajemajo dejanja obdelave, pri katerih je treba zaradi njihove narave, obsega in/ali namenov posameznike redno in sistematično obsežno spremljati. Sem sodijo, npr. banke, zavarovalnice, operaterji elektronskih komunikacij, trgovci s klubi zvestobe. Prav tako bi sem sodile kadrovske agencije, številne spletne trgovine in IT podjetja, ki vzdržujejo rešitve za obdelavo osebnih podatkov posameznikov, npr. sistemi za upravljanje podatkov kupcev in njihovo profiliranje (upravljanje odnosov s strankami, angl. CRM), zdravstveni IT sistemi. Proizvodna podjetja in druga podjetja, katerih temeljne storitve niso namenjene posameznikom, temveč drugim podjetjem in ki ne vključujejo obsežne obdelave osebnih podatkov, ne bodo dolžna imenovati pooblaščene osebe.

Pozoren bodi na "katerih temeljne dejavnosti zajemajo dejanja obdelave" in "bi sem sodile"

Poglej še malo kako velika je tvoja firma oz delodajalec. Če predvidevamo da si malo podjetje, potem morajo, _po mojem razumevanju_, imeti tvoje stranke DPO, s katerim se ti dolžan posvetovati. Realno pa je da moraš gledati ali tvoje stranke imajo DPO, drugače ga boš rabil sam.

Če vzamemo za primer Intero (ponudnik CRM sistema Intrix), ta rabi DPO. Vzdrževanje računalniške opreme, Marko Gaspari s.p., ki občasno spiše še kakšno spletno stran in skonfigurira en SugarCRM za Avtomehanika Franci, Franc Novak s.p. pa ne vem.

Bosta AndrejO in Miha_333 bolj podrobno napisala.

Zgodovina sprememb…

  • spremenilo: jukoz ()

SmeskoSnezak ::

PRIMER:
Kako pa je z bankami, ki zelijo vec stvari , a dejansko so podatki na njih vecinoma podobni? Recimo najemna pogodba, osebna kartica, ki ima isti naslov kot najemna. Zakaj bi moral dajati oboje? Ali pa se po moznosti delovno pogodbo? Kjer pise placa, kje zivim, itd. A ne bi mogla bit ena stvar/ena listina dovolj?
@ Pusti soncu v srce... @

Zgodovina sprememb…

SlimDeluxe ::

Miha 333 je izjavil:

Seveda si obdelovalec, poglej definicijo obdelave. Poglej tudi uvodne določbe uredbe, kjer piše, da so ponudniki gostovanj in podobno obdelovalci. Moral boš imeti oz. dopolniti pogodbe s strankami, glej 3. odst. 28. čl. Uredbe. Malo pozno si se spomnil...

Prosim za pomoč, beseda "obdeloval*" se pojavlja 265x ampak besede "gostov*" pa ne najde?
To za dodaten člen v pogodbi že vem.
Zakaj pozno, saj bom uredil, pa tudi valda ne bomo fasali inšpekcije direkt 25.5. :)
Desktop: R5 3600X | MSI MPG B550 | RX580 8GB | 32GB DDR4 | be quiet! 650W
Laptop: Lenovo ThinkPad T15 G2 | i7-1165G7 | 32GB DDR4 | 15" FullHD IPS

AndrejO ::

SlimDeluxe je izjavil:

Miha 333 je izjavil:

Seveda si obdelovalec, poglej definicijo obdelave. Poglej tudi uvodne določbe uredbe, kjer piše, da so ponudniki gostovanj in podobno obdelovalci. Moral boš imeti oz. dopolniti pogodbe s strankami, glej 3. odst. 28. čl. Uredbe. Malo pozno si se spomnil...

Prosim za pomoč, beseda "obdeloval*" se pojavlja 265x ampak besede "gostov*" pa ne najde?

Gostovanje je ena izmed oblik obdelovanja. Poglej si definicijo pojma "obdelovanje", kot velja za GDPR v 2. odst. 4. čl.

Glede na to, kar si opisal, za upravljalce podatkovnih zbirk izvajaš delo pogodbenega obdelovalca.

SlimDeluxe je izjavil:

Zakaj pozno, saj bom uredil, pa tudi valda ne bomo fasali inšpekcije direkt 25.5. :)

Odvisno od tega, kdo so tvoje stranke in koliko jih imaš, ker preko njih pride kakšno vprašanje in obisk tudi k tebi. Direkt pa verjetno res ne, če ne boš česa zamočil do te mere, da bodo sledi izgube osebnih podatkov vodile naravnost k tebi.

SmeskoSnezak je izjavil:

PRIMER:
Kako pa je z bankami, ki zelijo vec stvari , a dejansko so podatki na njih vecinoma podobni? Recimo najemna pogodba, osebna kartica, ki ima isti naslov kot najemna. Zakaj bi moral dajati oboje? Ali pa se po moznosti delovno pogodbo? Kjer pise placa, kje zivim, itd. A ne bi mogla bit ena stvar/ena listina dovolj?

Hočejo na vpogled ali hočejo shraniti? Razlika je bistvena.

Zgodovina sprememb…

  • spremenil: AndrejO ()

Miha 333 ::

SlimDeluxe je izjavil:

Miha 333 je izjavil:

Seveda si obdelovalec, poglej definicijo obdelave. Poglej tudi uvodne določbe uredbe, kjer piše, da so ponudniki gostovanj in podobno obdelovalci. Moral boš imeti oz. dopolniti pogodbe s strankami, glej 3. odst. 28. čl. Uredbe. Malo pozno si se spomnil...

Prosim za pomoč, beseda "obdeloval*" se pojavlja 265x ampak besede "gostov*" pa ne najde?
To za dodaten člen v pogodbi že vem.
Zakaj pozno, saj bom uredil, pa tudi valda ne bomo fasali inšpekcije direkt 25.5. :)

člen 4
(2) „obdelava“ pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

Dodaten člen? Ne vem, če si dobro prebral, kaj vse mora vsebovati. S pravniškim timom smo pripravili določila glede tega za eno malo bolj specifično storitev gostovanja, skupaj je 19 členov, 4 strani. To je poleg osnovne naročniške pogodbe. Gre za to, da s tako pogodbo tudi upravljavec (tvoja stranka) dokazuje izpolnjevanje zahtev v zvezi uredbo. Oba, obdelovalec in upravljavec namreč morata biti zmožna to dokazati.

Zgodovina sprememb…

  • spremenilo: Miha 333 ()

K0l1br1 ::

Zahteva uredba dodatno pogodbo?

Miha 333 ::

K0l1br1 je izjavil:

Zahteva uredba dodatno pogodbo?

Ne samo to, ampak tudi določa obveznosti in predpisuje vsebino določb. Več: 3. odst. 28. člena Uredbe.

AndrejO ::

Miha 333 je izjavil:

K0l1br1 je izjavil:

Zahteva uredba dodatno pogodbo?

Ne samo to, ampak tudi določa obveznosti in predpisuje vsebino določb. Več: 3. odst. 28. člena Uredbe.

Zahteva samo to, da ima pogodba obliko. Torej mora biti na papirju in ne ustna. Lahko je aneks k trenutni pogodbi, čisto nova ali pa karkoli v Sloveniji prenese OZ, dokler je stvar v pisni obliki.

BTW, 2. odst. 38. čl. GDPR. 2 in 3 sta ti preskočila.

Miha 333 ::

AndrejO je izjavil:

Miha 333 je izjavil:

K0l1br1 je izjavil:

Zahteva uredba dodatno pogodbo?

Ne samo to, ampak tudi določa obveznosti in predpisuje vsebino določb. Več: 3. odst. 28. člena Uredbe.

Zahteva samo to, da ima pogodba obliko. Torej mora biti na papirju in ne ustna. Lahko je aneks k trenutni pogodbi, čisto nova ali pa karkoli v Sloveniji prenese OZ, dokler je stvar v pisni obliki.

BTW, 2. odst. 38. čl. GDPR. 2 in 3 sta ti preskočila.

Ne, nič ni preskočilo. 3. odstavek 28. člena:

Obdelavo s strani obdelovalca ureja pogodba ali drug pravni akt v skladu s pravom Unije ali pravom države članice, ki določa obveznosti obdelovalca do upravljavca, v katerem so določeni vsebina in trajanje obdelave, narava in namen obdelave, vrsta osebnih podatkov, kategorije posameznikov, na katere se nanašajo osebni podatki, ter obveznosti in pravice upravljavca. Ta pogodba ali drug pravni akt zlasti določa, da obdelovalec:
... in nato je navedenih 8 točk, nekatere se dalje sklicujejo na ostale člene.

Jasno pa je, da je pod izrazom pogodba mišljena katerakoli veljavna oblika, le da mora biti v pisni obliki, vključno z elektronsko.

AndrejO ::

Ups, ja. V moji glavi je preskočilo.

LeQuack ::

A to so isti geniji ki so izumili cookie law, če je tako potem je že obsojena stvar na propad.
Quack !

Miha 333 ::

Podobni geniji, treba pa je omeniti, da trenutni predlog ZVOP-2, ki ga je pripravilo naše ministrstvo za pravosodje, v nekaterih pogledih še strožji in nalaga še več obveznosti kot sama uredba in s tem posega v strokovno področje poslovnih subjektov ter daje Informacijskemu pooblaščencu nekatera pooblastila policije oz. tožilstva, kar je skregano z vsako normalno logiko.

K0l1br1 ::

Koliko pa je teh info pooblaščencev, ki bodo hodili po terenu? Za učinkovit nadzor bi se jih rabilo toliko kot fursovcev, torej vsaj 1000+, pa na začetku nimajo kaj globiti, temveč svetovati.

Miha 333 ::

Glede nadzora jaz vidim problem bolj v tem, da ker je treba določene incidente (izguba podatkov, vdori, ...) prijaviti, IP na podlagi tega začne vrtati in lahko kaznujejo vse v verigi obdelovalcev in upravljavcev, lahko že samo zaradi neobstoja ustreznih pogodb. Vse kao v imenu varovanja zasebnosti in pravic posameznikov, kar se bo kot razlog verjetno izrabljalo podobno kot npr. varstvo okolja.

AndrejO ::

Miha 333 je izjavil:

Podobni geniji, treba pa je omeniti, da trenutni predlog ZVOP-2, ki ga je pripravilo naše ministrstvo za pravosodje, v nekaterih pogledih še strožji in nalaga še več obveznosti kot sama uredba in s tem posega v strokovno področje poslovnih subjektov ter daje Informacijskemu pooblaščencu nekatera pooblastila policije oz. tožilstva, kar je skregano z vsako normalno logiko.

Če smo že pri genijih ... najbolj zabavni so ti, ki šele danes odkrivajo nekaj, kar je bilo uzakonjeno že v ZVOP-1 (11. čl.). Konkretno to, da mora biti za obdelavo podatkov pri pogodbenem obdelovalcu že tako ali tako sklenjena pogodba v pisni obliki (ali elektronski, ker ZEPEP tudi velja).

Sedaj jih pa glej, ko več kot 10 let po tem, ko je zakon stopil v veljavo, ugotavljajo, da morajo imeti nekaj na to temo napisanega v pogodbi.

Miha 333 ::

AndrejO je izjavil:

Miha 333 je izjavil:

Podobni geniji, treba pa je omeniti, da trenutni predlog ZVOP-2, ki ga je pripravilo naše ministrstvo za pravosodje, v nekaterih pogledih še strožji in nalaga še več obveznosti kot sama uredba in s tem posega v strokovno področje poslovnih subjektov ter daje Informacijskemu pooblaščencu nekatera pooblastila policije oz. tožilstva, kar je skregano z vsako normalno logiko.

Če smo že pri genijih ... najbolj zabavni so ti, ki šele danes odkrivajo nekaj, kar je bilo uzakonjeno že v ZVOP-1 (11. čl.). Konkretno to, da mora biti za obdelavo podatkov pri pogodbenem obdelovalcu že tako ali tako sklenjena pogodba v pisni obliki (ali elektronski, ker ZEPEP tudi velja).

Sedaj jih pa glej, ko več kot 10 let po tem, ko je zakon stopil v veljavo, ugotavljajo, da morajo imeti nekaj na to temo napisanega v pogodbi.

Je velika razlika, ZVOP-1 ne določa posebnih obveznosti obdelovalca in ne določa vsebine pogodbenih določil.

SlimDeluxe ::

Miha 333 je izjavil:

SlimDeluxe je izjavil:

Miha 333 je izjavil:

Seveda si obdelovalec, poglej definicijo obdelave. Poglej tudi uvodne določbe uredbe, kjer piše, da so ponudniki gostovanj in podobno obdelovalci. Moral boš imeti oz. dopolniti pogodbe s strankami, glej 3. odst. 28. čl. Uredbe. Malo pozno si se spomnil...

Prosim za pomoč, beseda "obdeloval*" se pojavlja 265x ampak besede "gostov*" pa ne najde?
To za dodaten člen v pogodbi že vem.
Zakaj pozno, saj bom uredil, pa tudi valda ne bomo fasali inšpekcije direkt 25.5. :)

člen 4
(2) „obdelava“ pomeni vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje;

Dodaten člen? Ne vem, če si dobro prebral, kaj vse mora vsebovati. S pravniškim timom smo pripravili določila glede tega za eno malo bolj specifično storitev gostovanja, skupaj je 19 členov, 4 strani. To je poleg osnovne naročniške pogodbe. Gre za to, da s tako pogodbo tudi upravljavec (tvoja stranka) dokazuje izpolnjevanje zahtev v zvezi uredbo. Oba, obdelovalec in upravljavec namreč morata biti zmožna to dokazati.

Kaj pa vem, morda jemljem vse bolj lahkotno. Tole kar piše na strani IPRS spet ne zgleda tako obsežno.
Ko pa bodo objavljena standardna določila, pa ZVOP-2, pa lahko damo to not, plus naše tehnične specifike. Vem, sem precej naiven :)
BTW. ponuja kakšna priznana pravna služba kakšne generične template za politiko zasebnosti in pogodbo upravljalec/obdelovaec?
Desktop: R5 3600X | MSI MPG B550 | RX580 8GB | 32GB DDR4 | be quiet! 650W
Laptop: Lenovo ThinkPad T15 G2 | i7-1165G7 | 32GB DDR4 | 15" FullHD IPS

AndrejO ::

Miha 333 je izjavil:

AndrejO je izjavil:

Miha 333 je izjavil:

Podobni geniji, treba pa je omeniti, da trenutni predlog ZVOP-2, ki ga je pripravilo naše ministrstvo za pravosodje, v nekaterih pogledih še strožji in nalaga še več obveznosti kot sama uredba in s tem posega v strokovno področje poslovnih subjektov ter daje Informacijskemu pooblaščencu nekatera pooblastila policije oz. tožilstva, kar je skregano z vsako normalno logiko.

Če smo že pri genijih ... najbolj zabavni so ti, ki šele danes odkrivajo nekaj, kar je bilo uzakonjeno že v ZVOP-1 (11. čl.). Konkretno to, da mora biti za obdelavo podatkov pri pogodbenem obdelovalcu že tako ali tako sklenjena pogodba v pisni obliki (ali elektronski, ker ZEPEP tudi velja).

Sedaj jih pa glej, ko več kot 10 let po tem, ko je zakon stopil v veljavo, ugotavljajo, da morajo imeti nekaj na to temo napisanega v pogodbi.

Je velika razlika, ZVOP-1 ne določa posebnih obveznosti obdelovalca in ne določa vsebine pogodbenih določil.

GDPR nekatere zadeve dodaja, nekatere pa zgolj bolj natančno specificra. To zagotovo pomeni, da je potrebno pogodbe dopolniti. Je pa hecno, če nekateri nimajo ničesar za dopolniti, ker ničesar nikoli niso imeli.

Konkretno:
1. odst. 11. čl. ZVOP-1: "Upravljavec osebnih podatkov lahko posamezna opravila v zvezi z obdelavo osebnih podatkov s pogodbo zaupa pogodbenemu obdelovalcu, ki je registriran za opravljanje takšne dejavnosti in zagotavlja ustrezne postopke in ukrepe iz 24. člena tega zakona."
2. odst.: "Medsebojne pravice in obveznosti se uredijo s pogodbo, ki mora biti sklenjena v pisni obliki in mora vsebovati tudi dogovor o postopkih in ukrepih iz 24. člena tega zakona. Upravljavec osebnih podatkov nadzoruje izvajanje postopkov in ukrepov iz 24. člena tega zakona."

Če bi stranke tistega zgoraj te stvari že imele v obstoječi pogodbi, bi bilo vprašanje res zastavljeno tako, kot je bilo zastavljeno?

SmeskoSnezak ::

AndrejO je izjavil:


SmeskoSnezak je izjavil:

PRIMER:
Kako pa je z bankami, ki zelijo vec stvari , a dejansko so podatki na njih vecinoma podobni? Recimo najemna pogodba, osebna kartica, ki ima isti naslov kot najemna. Zakaj bi moral dajati oboje? Ali pa se po moznosti delovno pogodbo? Kjer pise placa, kje zivim, itd. A ne bi mogla bit ena stvar/ena listina dovolj?

Hočejo na vpogled ali hočejo shraniti? Razlika je bistvena.

Za ta primer, recimo, da hocejo shraniti. Vprasanje je potem. ZAKAJ?
@ Pusti soncu v srce... @

SeMiNeSanja ::

Miha 333 je izjavil:

Glede nadzora jaz vidim problem bolj v tem, da ker je treba določene incidente (izguba podatkov, vdori, ...) prijaviti, IP na podlagi tega začne vrtati in lahko kaznujejo vse v verigi obdelovalcev in upravljavcev, lahko že samo zaradi neobstoja ustreznih pogodb. Vse kao v imenu varovanja zasebnosti in pravic posameznikov, kar se bo kot razlog verjetno izrabljalo podobno kot npr. varstvo okolja.

Kaj pa naj prijavljajo? Jih mora prizadet že kakšen kriptolocker, da sploh pogruntajo, da se je nekaj 'zgodilo'. Za kriptolocker pa ni ravno čisto jasno, če je to incident za prijaviti, saj v tem primeru podatki niso odtekli ampak so se 'le' zakriptirali, torej so še bolj 'zaščiteni'.... (zadnjič mi je bilo rečeno, da ti lahko pokradejo diske s kriptiranimi podatki, pa ni treba ničesar prijaviti - ker so podatki kriptirani).

Celo v največjih podjetjih in multinacionalkah traja mesece, predenj zaznajo tipični data breach in to ob množici ekspertov in vseh mogočih tehničnih rešitvah, o kakršnih tipično SLO podjetje lahko samo sanja.

ČE torej tipično SLO podjetje po bogvedi katerem čudežnem naključju vendarle uspe zaznati, da se mu je zgodil data breach, je potem realno pričakovati, da bo šlo to obešat na veliki zvon? Ali je bolj realno, da bodo skušali zadevo pomesti pod preprogo?
Ja, GDPR zahteva prijavo - ampak če zadeva ni prišla v javnost, potem je velika verjetnost, da se bo poskusilo vse skupaj pomesti pod preprogo in se tako izogniti 'nepotrebnemu vohljanju' kakšnega nadzornega organa.
Če pa enega dne vendarle pride v javnost....noja...72 ur potem, ko o tem piše na SLO-Tech, se še vedno lahko nekaj prijavi.... Če nihče nič ne zblebeta....pač niso nič vedeli...kako pa naj bi...?

AndrejO ::

SeMiNeSanja je izjavil:

Za kriptolocker pa ni ravno čisto jasno, če je to incident za prijaviti, saj v tem primeru podatki niso odtekli ampak so se 'le' zakriptirali, torej so še bolj 'zaščiteni'.... (zadnjič mi je bilo rečeno, da ti lahko pokradejo diske s kriptiranimi podatki, pa ni treba ničesar prijaviti - ker so podatki kriptirani).

Seveda je potrebno prijaviti. Malo pomisli ...

Razlika se skriva v tem, da podatke, ki jih lahko (načeloma) dešifriraš samo ti, ne more vpogledati nihče drug. Za podatke, ki ti jih je zašifriral nekdo tretji, pa ti ne moreš vedeti kdo vse jih lahko dešifrira.

Zato enega ni nujno potrebno prijavljati (bo pa izziv ponovno pridobiti podatke, ne da bi razkril zakaj jih moraš ponovno zajemati). Za drugega pa je prijava obvezna, ker podatki niso zaščiteni pred vpogledom trejih oseb, tudi če ti ne moreš več v njih vpogledati.

SmeskoSnezak je izjavil:

AndrejO je izjavil:


SmeskoSnezak je izjavil:

PRIMER:
Kako pa je z bankami, ki zelijo vec stvari , a dejansko so podatki na njih vecinoma podobni? Recimo najemna pogodba, osebna kartica, ki ima isti naslov kot najemna. Zakaj bi moral dajati oboje? Ali pa se po moznosti delovno pogodbo? Kjer pise placa, kje zivim, itd. A ne bi mogla bit ena stvar/ena listina dovolj?

Hočejo na vpogled ali hočejo shraniti? Razlika je bistvena.

Za ta primer, recimo, da hocejo shraniti. Vprasanje je potem. ZAKAJ?

Če želijo kaj shraniti, ti morajo vnaprej povedati kaj od tega bodo shranili, za kakšne namene in za koliko časa.

Če iz namena izhaja, da to ni nujno potrebno za sklenitev in izpolnitev pogodbe, potem jim lahko to zahtevo zavrneš in hkrati še vedno zahtevaš, da se pogodbo sklene.

Zgodovina sprememb…

  • spremenil: AndrejO ()

digitalcek ::

Kot velik nepoznavalec te tematike vprašujem za nasvet (v kratkem imam namreč v planu blog):

1. Smem kot "lastnik" bloga po novih pravilih sploh zbirati kakršnekoli podatke(mailing lista), brez da bi kot fizična oseba tvegal težave, kazen?

2. Če bi zbiral e-maile (registracija pri distopu), kako bi moral hraniti te podatke, da bi bilo vse po novih pravilih in kakšni bi bili približno s tem povezani predvideni stroški?

Najbrž pa lahko imam blog, na katerega bralci dostopajo BREZ kakršnekoli prijave?

Zgodovina sprememb…

Bezukhoff ::

Kaj zdaj, je že kakšen dober GDPR plugin za wordpress, preden se sam začnem potapljati v testisiranje kao vseh v njihovem depositoriju? :))

jukoz ::

Oj, kako pa CLOUD Act vpliva na skladnost z GDPR. Glede na EFF bo vse skupaj bolj slabo in bo šel Gmail in Office365 (pa še marsikdo drugi tudi) adijo.

https://www.eff.org/deeplinks/2018/04/u...

SeMiNeSanja ::

Kaj res nikomur ne gredo na živce tisti GDPR maili, s katerimi nas zadnje dneve bombardirajo?

Dobesedno tuhtam, kako bi jim poslal en besen odgovor v slogu tega spodnjega...

MH0 ::

A rule na mailbox si pa ne znaš naštimati, če te tako hudo motijo ti maili?

jukoz ::

Osebno me fascinira na koliko seznamih sem oz nisem. Za info@ sem pričakoval veliko več, z osebnim pa veliko manj =)

SeMiNeSanja ::

MH0 je izjavil:

A rule na mailbox si pa ne znaš naštimati, če te tako hudo motijo ti maili?

Kakšen rule? Če piše GDPR v subject, da naj briše?

Vse skupaj je NOROST. Dejansko se mi s tem skuša reči, da sem po vsej verjetnosti tako velik bedak, da se v vseh letih, ko sem na listah x, y in Z, nisem bil sposoben odjaviti, če mi slučajno ni všeč, da prejemam njihove maile. Halo? Kaj so še zdrave pameti?

V praksi te s temi zahtevami spammajo tisti, ki nikoli niso spammali, kjer si dejansko prijavljen po lastni volji, tisti, ki ti pošiljajo dejanski spam, ki ga ne želiš videti, ti ne bodo poslali te zahteve.

Sicer pa pravijo, da je že pošiljanje te zahteve kršitev GDPR, če naslovi niso bili zbani 'legalno'. Torej se krši GDPR, da bi bili v skladu z GDPR ?!? Wtf?

Drugače pa to množično pošiljanje zahtev skriva dve nevarnosti, ki jih je idealno za zlorabiti:
1.) da ljudi zvabiš na phishing stran in jim pokradeš še več podatkov, kot si jih že imel (npr. gesla?)
2.) da ljudi zvabijo na kompromitirano stran, kjer se okužijo z malware-om.

V tujini sicer že opažajo, da se pošilja take zahteve kar na slepo, da dobiš zahtevo za potrditev nekih list, za katere še nikoli nisi slišal.

Vse skupaj ena velika štala in niti približno ni tako, kot bi moralo biti.

SeMiNeSanja ::

Aja....kolikšna štala je to... en 'lep' konkretni primer GDPR faila:

Včeraj sem se registriral na portali od Dnevnika, ker sem rabil dostop do enega članka.

Danes dobim mail "Želite še naprej ostati v naši družbi?"

Kaj so še normalni?

AndrejO ::

SeMiNeSanja je izjavil:

Kaj res nikomur ne gredo na živce tisti GDPR maili, s katerimi nas zadnje dneve bombardirajo?

Dobesedno tuhtam, kako bi jim poslal en besen odgovor v slogu tega spodnjega...


Še malo za čohanje po glavi.

Mislim, da naslov in podnaslov povesta bistvo vsega: "Most GDPR emails unnecessary and some illegal, say experts. Many firms have the required consent already; others don’t have consent to send a request."

SeMiNeSanja ::

AndrejO je izjavil:

SeMiNeSanja je izjavil:

Kaj res nikomur ne gredo na živce tisti GDPR maili, s katerimi nas zadnje dneve bombardirajo?

Dobesedno tuhtam, kako bi jim poslal en besen odgovor v slogu tega spodnjega...


Še malo za čohanje po glavi.

Mislim, da naslov in podnaslov povesta bistvo vsega: "Most GDPR emails unnecessary and some illegal, say experts. Many firms have the required consent already; others don’t have consent to send a request."

Očitno so jih neki pametni svetovalci prepričali, da če to 'za vsak slučaj' uspejo poriniti skozi pred 25.5., da so na 'varni strani'.
Problem pa je, da so potem v paniki vsi začeli s to neumnostjo...ziher je ziher...

Žalostno pa je, da mi še Arnes pošlje takšen mail, čeprav se na njihov informator res nebi šel prijavljat, če ga nebi želel prejemat. Malo zdrave pameti ljudjem res nebi škodovalo.

Kot rečeno, pa ni problem le v 'nadlegovanju'. Problem je v izredno visokem potencialu za zlorabe.
Vsi ti maili se razpošiljajo v nasprotju s tem, kar se trudimo naše uporabnike naučiti: NAJ NE KLIKAJO LINKOV V MAILIH - sploh, ko se gre za zadeve okoli account-ov.

Vsi ti potrditveni maili dejansko zahtevajo od uporabnika, da klikne nek link v mailu, potem pa najmanj še da/ne na neki spletni strani. Le kaj bi tu lahko šlo narobe....?

Če si imel včeraj problem nekoga zvabiti na preparirano zlonamerno stran... hja, danes bo to najmanj 3x lažje.....

SmeskoSnezak ::

Ima kdo dostop do tega videa?

http://www.grtu.eu/index.php/services/g...
@ Pusti soncu v srce... @

_Denny_ ::

Pm so tečni s tem. Danes sem dobil že 23 mailov z zahtevami za potrditev in skoraj polovica teh je s slovenskih trgovin o katerih prvič slišim in ne bi niti nikoli kupoval tam...no ja, bo vsaj nekaj novih domen v Thunderbirdovi junk mail listi.

Pri NLB-ju moraš celo ročno izpolniti obrazec, jim zgleda nekaj klikov ni dovolj ali pa ne znajo narediti tega. Me zanima kaj za čudnih zadev še bom dobil do 25ega, ker večina EU strani, ki jih uporabljam še ni nič poslala.
Asrock X670E Taichi, Ryzen 9 7950X3D + NH-D14, 96GB Corsair DDR5-6400 CL32
RTX 2070S 8GB, 2TB Kingston KC3000, 2TB ADATA SX8200 Pro, 4TB Micron 5200
Seasonic Focus Plus 850W, Corsair Air 540, Logitech Z-2300, Samsung UE65H6400

Modri dirkač ::

Bezukhoff je izjavil:

Kaj zdaj, je že kakšen dober GDPR plugin za wordpress, preden se sam začnem potapljati v testisiranje kao vseh v njihovem depositoriju? :))

To tudi mene zanima, tudi če je plačljiv, predvsem kar se tiče blokiranja piškotkov.
Pomembno je, da je popolnoma multilingual in da zanesljivo opravlja delo.
Everybody lies!

Invictus ::

Zakaj bi sploh kaj klikal?

Tako se najučinkovitejši odklopiš od vseh spamerjev...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

SeMiNeSanja ::

Invictus je izjavil:

Zakaj bi sploh kaj klikal?

Tako se najučinkovitejši odklopiš od vseh spamerjev...

Ko bi vsaj res - pravi spammerji ti ne pošiljajo teh mailov.

Dobivaš jih samo od tistih, ki že doslej niso bili (pretirano) nadležni ali celo koristni in zaželeni ;(

imagodei ::

Kot sem omenil že v eni drugi temi, mene resnično moti tale abstraktnost, s katero se razlaga GDPR in zahteve. Očitno je vse jasno, a na koncu ljudem ni nič jasno. Ali pa drugače, subsetu ljudi, ki bolj ali manj tesno delajo na področju varovanja osebnih podatkov se vse zdi dost straightforward, drugi pa se praskamo po glavi. Še posebej manjša podjetja, ki nimamo svojih legal departmentov in kjer se IT razume kot vse od zamenjave RAMa v računalniku, do menjanja kartuš v printerjih, do sistemske administracije, mrežne administracije, pa do koordiniranja dejanskih IT projektov z outsourcanimi firmami in ukvarjanja z GDPR...

Ja, očitek, da smo verjetno prebukovi, je morda res na mestu. Očitek, da smo slabi sistemci, nemara tudi v kakem primeru zdrži. Ampak to ni izgovor za to, da se na forumu namesto konkretnih odgovorov piše cele A4 strani demantijev ter enovrstičnic, ter usmerja neuke sistemce na čitanje taistih dokumentov, ki že itak prodajajo meglo.

Ali še drugače: glede na spisek sodelujočih v tej temi bi pričakoval več vsebine, pa manj prepucavanja. "Vsebina" bi bili tudi kakšni konkretni primeri oz. use-case scenariji, konkretne razlage na konkretne dileme (nekaj jih je kljub vsemu bilo naštetih v tej temi)...

Še najbolj žalostno je, da na strani IP-RS ne najdeš nekih konkretnih korakov, ki bi bila v pomoč 90% malih podjetij. Npr., povsem konkretno: katere dokumente je treba pripraviti z naslova osebnih podatkov zaposlenih, katere dokumente je treba pripraviti za varstvo podatkov strank, kaj so običajno tiste zbirke podatkov oziroma kaj so običajno tiste dejavnosti obdelave, ki jih je treba evidentirati, vzorci dokumentov, etc. Menda (tako sugerirajo nekateri v tej temi) biti skladen z ZVOP-1 ali GDPR ni nekaj, kar bi zahtevalo četo pravnih svetovalcev, a dejansko stanje je natančno tako... Redko kdo pove kaj konkretnega, redko kdo je sposoben podat nekaj konkretnih korakov, ki jih mora neko malo podjetje sprovesti, da bo skladno z GDPR. Ne, "Evidentirat morate dejavnosti obdelave osebnih podatkov" ni dovolj dober odgovor. Saj se za mnoga podjetja da podat konkretne procese, kjer se obdeluje osebne podatke in kaj korake, ki jih je potrebno postoriti.

Tako pa ostaja cela plejada neodgovorjenih vprašanj. Mora veliko podjetje evidentirat dejavnosti obdelave tudi za telefonski imenik podjetja, ki ga imajo posamezniki natisnjenega in laminiranega na A4 listu in spravljenega pod tipkovnico? Je treba zagotavljat, da se stari, neveljavni telefonski imeniki sproti uničujejo? Kaj pa podjetje z manj kot 250 zaposlenimi?

Kaj pa izpolnjeni potni nalogi? Se lahko hranijo v fasciklu na polici? Ali morajo biti pod ključem? Kaj pa slike iz službenih zabav? Moramo pridobiti dovoljenje vseh zaposlenih, če jih hočemo objavit na intranet portalu ali shranit na mapo v skupni rabi? Moramo v tem primeru evidentirat procese, definirat retencijsko dobo? Če nam kriptovirus zakriptira te slike, moramo obvestit pristojne institucije? Tudi če ima podjetje samo 10 zaposlenih (in je zato po merilih GDPR malo do srednje podjetje)?

To jaz vidim kot absolutni fail slovenskega IP, ki bi kamot odgovoril na takšna vprašanja. Saj točno vedo, s kakšnimi zbirkami osebnih podatkov se podjetja srečujejo dnevno. Alternativno, če ne znajo odgovorit pri IP, je to verjetno fail neotipljivosti in abstraktnosti GDPR-ja. Slednje verjetno ne drži?
- Hoc est qui sumus -

imagodei ::

Naše matično podjetje iz Avstrije je najelo zunanje pravne strokovnjake, da nam uredijo to področje in delujejo kot naši DPO-ji. Kljub temu, da so strokovnjaki, stvari ostajajo pretežno neodgovorjene. 2 dni pred začetkom veljave GDPR ne vem, ali moram od zaposlenih pridobiti soglasje za zbirko podatkov v Active Directory - ki ga pač nujno potrebujemo, če želimo zaposlenim omogočiti delo z računalnikom in serverji, e-pošto... Skratka, za to, da tako delodajalec kot delojemalec lahko uresničujeta dogovore, zapisane v pogodbi o zaposlitvi. (Podobno je tudi za kadrovsko evidenco in plače, kjer je evidenca osebnih podatkov zaposlenih osnova za izvajanje pogodbe o zaposlitvi; vodenje evidenc pa je seveda zapovedano z zakoni)

Še več, šele ko sem tule postavil vprašanje in ko mi je AndrejO odgovoril, ter sem dilemo posredoval naprej omenjeni pravni službi, so tudi oni ugotovili, da je AD dejansko zbirka osebnih podatkov. 8-O No, pa kljub temu še vedno ne vem, kaj storiti z AD-jem - če sploh kaj. Je treba pripraviti evidenco dejavnosti obdelave? Je treba pridobiti Privolitve zaposlenih? Ali zadostuje "samo" nek splošen pravilnik o varovanju osebnih podatkov na nivoju podjetja (Uredba, člen 24., odstavek 2)? All of the above?

Ali pa za kadrovsko evidenco/plače v ERP. Ali pa za sistem za kontrolo delovnega časa/prisotnosti.

Dobro, vem, da je tole interna težava, ker mi pogodbeni pravniki ne odgovorijo, ampak to so evidence podatkov, ki jih ima 90% drugih (malih) podjetij. Zakaj ni na strani IP-RS vsaj enega primera z eno od teh zbirk, ki bi prikazal kako zabeležimo vse od A do Ž?
- Hoc est qui sumus -

imagodei ::

Po drugi strani sem naše Data Protection Officerje prosil za pojasnila, kako je z lokalnimi seznami osebnih podatkov, ki jih zaposleni hranijo (in večja kot je firma, težje je zagotavljat da takšnih seznamov ni, ali na ravni oddelkov ali pa na ravni posameznih uporabnikov) na lokalnih računalnikih. Znotraj IT oddelka si zlahka predstavljamo seznam internih in eksternih uporabnikov, ki do omrežja dostopajo preko VPN. Nabavnik utegne imeti tudi v izključno B2B podjetju Excel tabelo s kontakti pri dobaviteljih. Itd, itn... Moje vprašanje je bilo, kako nadziramo oziroma evidentiramo te sezname.

Odgovor lepim sem v celoti:
Such lists are of course lawful since they are part of your daily business activity. We will not record such processing activities. However, what is important is to retain this personal information as long as it is required (e.g. customer, partner data in order to reply to requests or perform a contracts). Therefore, in the near future we will provide you with some general guidance on the data retention periods.


V tole "daily business" po mojem skromnem pravniškem znanju spadajo tudi telefonski imeniki in lokalni adresarji v Outlooku. Nenazadnje jaz tudi t.i. recital 47 razumem na ta način:
Zakoniti interesi upravljavca, tudi upravljavca, ki se mu osebni podatki lahko razkrijejo, ali tretje osebe lahko predstavljajo pravno podlago za obdelavo, če ne prevladajo interesi ali temeljne pravice in svoboščine posameznika, na katerega se nanašajo osebni podatki, pri čemer se upoštevajo razumna pričakovanja posameznikov, na katere se nanašajo osebni podatki, glede na njihovo razmerje do upravljavca.
...
Obdelava osebnih podatkov za neposredno trženje se lahko šteje za opravljeno v zakonitem interesu.

Skratka, to, da imam v telefonskem imeniku številko fizične osebe dobavitelja, ali pa v posebni tabeli spisek fizičnih oseb zunanjih partnerjev, ki imajo VPN dostop do omrežja, bi skorajda moralo biti dopustno brez tragediranja, evidentiranja in pridobivanja soglasij. Je pa res, da IANAL.


Nenazadnje, tile Wall-o-teksti, ki jih pišem, niso mišljeni kot neko pametovanje, pač pa zgolj na glas razpravljam in pričakujem (prosim), da me popravite, če se kje motim.
- Hoc est qui sumus -

SmeskoSnezak ::

Lahk bi kdo kak clanek napisal, mogoce po 25.maju, ko bo vec jasno :D
@ Pusti soncu v srce... @

imagodei ::

Naslednje je ena redkih svetlih točk te teme... Pa kljub temu ne gre dovolj globoko. Kot rečeno, pišejo se bloki tekstov, ki avtorjem vzamejo verjetno znaten kos časa - nobenega izgovora ni, da se ne bi podale konkretne informacije, konkretni primeri, konkretne rešitve, če pa si lahko vzamemo čas za Dissanje drugih.

AndrejO je izjavil:

jukoz je izjavil:

- če so osebni podatki nestrukturirani, ali je potrebno voditi seznam dostopov. Predvidevam da.

Ne. Strukturiranost je nujen pogoj, da je govora o zbirki in dostope se gleda za zbirko, ne kar vsepovprek.

Tole je kul. Kaj točno pa pomeni "strukturiran" vs "nestrukturiran" podatek v GDPR terminologiji?

AndrejO je izjavil:

Pazi pa, da si ne boš narobe umislil, da nekaj ni strukturiran podatek, čeprav dejansko je.

Ja, točno: kje je definicija? Kako vem, da imam že zbirko podatkov?

AndrejO je izjavil:

jukoz je izjavil:

Kaj pa če vizitke ležijo v nekem predalu in niso zbrane skupaj?

Jih lahko pustiš ležati tam. To ni zbirka osebnih podatkov.

Zakaj ne? Na vizitki so osebni podatki. Če so vizitke na kupu v predalu, kako je to drugače kot če so lično vložene v knjižico? Ali pa če so shranjene v Outlooku? V telefonskem imeniku? Spet, stvari človeku, ki ni vešč prava, delujejo zelo neotipljive. Jaz prosim za podnapise. Kot omenjeno v enem prejšnjih sporočil, je naš DPO mnenja, da seznama "vizitk" dobaviteljev v Excel tabeli, ki jo uporablja zaposleni v Nabavi, ni potrebno posebej evidentirati. Kar avtomatično še ne pomeni, da to ni zbirka osebnih podatkov (ali je?) niti da bi z osebnimi podatki lahko ravnal neskrbno.

AndrejO je izjavil:

jukoz je izjavil:

- ali je imenik v telefonu ali v e-poštnih odjemalcih zbirka osebnih podatkov?

Je.

jukoz je izjavil:

Ali je potrebno vodit seznam dostopov?

Da.

Zakaj? Kje so merila kaj je zbirka podatkov in kaj ne; kaj so strukturirani podatki in kaj ne; kdaj moramo za zbirko pripraviti Evidenco dejavnosti obdelave (ROPA) in kdaj ne?

Edina "merila", ki sem jih zasledil, so zabeležena v 30. členu Uredbe. Velika podjetja morajo evidentirati vse procese, kjer obdelujejo podatke; srednja in manjša podjetja (pod 250 zaposlenih) pa zgolj določene procese, kjer je tveganje za zlorabo večje. Nadalje so potem tu še recitali od cca 44 do cca 55, ki navajajo razne izjeme (npr. recital 44: "Obdelava bi morala biti zakonita, kadar je potrebna v okviru pogodbe ali namena sklenitve pogodbe."; recital 47: "Obdelava osebnih podatkov za neposredno trženje se lahko šteje za opravljeno v zakonitem interesu."; recital 49: "Obdelava osebnih podatkov v obsegu, nujno potrebnem in sorazmernem za zagotovitev varnosti omrežja in informacij ... ... ... pomeni zakoniti interes zadevnega upravljavca podatkov.", itd. itn) - ampak so pa pomensko spet tako "vague", da se glede točne interpretacije lahko samo čohamo po glavi.

Sama sreča je, da delamo izključno v B2B segmentu in da je glavnina skrbi pri nas povezana zgolj z osebnimi podatki zaposlenih.


Še enkrat poudarjam: glede na kaliber sodelujočih v temi sem vseeno pričakoval malo več konkretnih nasvetov. In še vedno se zanje zelo lepo priporočam.
- Hoc est qui sumus -

Zgodovina sprememb…

  • spremenil: imagodei ()

tikitoki ::

Se mi zdi pozitiven ukrep. Ceporav bo imel tudi negativne posledice. Sam je lepo porisati opozorila, da bodo spamerji morali prenehati, ce jim to ne dovolis. Ce bom kaj zelel, se bom ponovno narocil.

Se mi pa zdi, da bo to res bolj prizadelo majhna podjetja, kot velikane, kjer bo folk tko poklikal YES, YES, YES, da pride do mailov al kaksne druge zeljene vsebine.

Pa zanimivo bo videti kako se bo v praksi obnesla zahteva po izbrisu vseh podatkov, ki jih hranijo o tebi. O tem ze razmisljam, ker ne vem zakaj bi ena korporacija hranila virtualni profil mene oz. se mi zdi, da se to lahko potencialno zlorabi.

jukoz ::

@imagodei
Kot sem ti napisal v prejšnji temi - največ je odvisno od vašega tolmačenja in nato od tolmačenja inšpektorja.

Naš DPO (no, ni naš, je od stranke in smo ga povprašali) pravi, da za vizitke, imenike, ... ni po njegovem potrebno beležiti. Marsikaj drugega tudi ne, če so vpogledi občasni.
Fora pri vsem skupaj je, da morate to sami zdefinirati. Če vas je 10, se boste že interno zmenili kaj delate s podatki. Če vas je več, boste morali napisati kakšen interen pravilnik.
Največja težava je, in to poudarja tudi naš DPO, da bo to tolmačil inšpektor. In če inšpektorju nisi všeč, si lahko tolmači drugače kot ti.

Sami bomo naredili tako, da ne bomo pisali neke nove papirologije. Tudi mi smo B2B podjetje. Pretežno se ne ukvarjamo z obdelavo osebnih podatkov, testne podatke, ki vsebujejo tudi osebne podatke, smo in bomo še naprej striktno randomizirali, vizitke in poslovne kontakte smo dobili za točno ta namen, za sklepanje in izvajanje posla, osebnih podatkov pa ne zbiramo. Mailing liste imajo unsubscribe, diski so kriptirani in osebnih podatkov zaposlenih (in strank) ne valjamo po mizah. Več kot to pa ne bomo delali, ker je brez veze. Če nas želijo kaznovati nas pa bodo v vsakem primeru, ker bomo vedno nekje v prekršku in nas IP-RS lahko vedno štrafa.

Priporočam da to narediš tudi ti in se ne sekiraš preveč, predvsem pa malo počakaj da se stvari umirijo. Dokler vam ne odtekajo osebni podatki ven, bo vse OK =)

Zgodovina sprememb…

  • spremenilo: jukoz ()

Invictus ::

V Sloveniji bo problem, ker si bo vsak inšpektor po svoje razlagal zakon. Nekih uradnih navodil pa ne bo...
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

AndrejO ::

imagodei je izjavil:

Tako pa ostaja cela plejada neodgovorjenih vprašanj. Mora veliko podjetje evidentirat dejavnosti obdelave tudi za telefonski imenik podjetja, ki ga imajo posamezniki natisnjenega in laminiranega na A4 listu in spravljenega pod tipkovnico?

Katere podatke vsebuje ta telefonski imenik?

imagodei je izjavil:

Kaj pa izpolnjeni potni nalogi? Se lahko hranijo v fasciklu na polici?

Da, če je ta polica nekje, kjer nima vsakdo prostega dostopa. O tem lahko razmišljaš tako, kot npr. razmišljaš o hrambi podpisanih pogodb. Te so poslovna skrivnost in ne želiš jih izgubiti, ker bo podjetje trpelo. Potni nalogi vsebujejo podatke o tem kje in kdaj se je neka oseba nahajala in to ni nekaj, kar bi brigalo kogarkoli izven tistih znotraj podjetja, ki te podatke obdelujejo. Ne želiš jih izgubiti, ker bi posamezniki lahko trpeli in, če bodo trpeli ti, bo trpelo tudi podjetje. Tudi po GDPR.

imagodei je izjavil:

Ali morajo biti pod ključem?

Mislim, da je za arhiv tako ali tako koristno, da je pod ključem.

imagodei je izjavil:

Kaj pa slike iz službenih zabav? Moramo pridobiti dovoljenje vseh zaposlenih, če jih hočemo objavit na intranet portalu ali shranit na mapo v skupni rabi?

Hm. Na to pa še v življenju nisem pomislil. Mislim, da je pravilen odgovor ta, da podjetje interno jasno razmeji kaj je poslovna in kaj je zasebna raba in kakšni so pogoji za to, da se lahko sredstva podjetja zasebno uporablja. To je potem temelj tega, da tudi če zaposleni med seboj sami delijo svoje zasebne stvari, podjetje obdrži "čiste roke". Pomaga tudi "kodeks ravnanja" (to je lahko tudi samo en stavek), kjer se jasno pojasni, da imajo vsi zaposleni pravico do varnega delovnega okolja, ko/če pride do kakšnih sporov okoli "položaja" v katerem je bil kdo slikan.

imagodei je izjavil:

Moramo v tem primeru evidentirat procese, definirat retencijsko dobo?

Če postaviš jasno mejo, kjer bo tudi zunanjem opazovalcu jasno, da je to nekaj, kar počno odrasli med seboj, potem ima podjetje "čiste roke".

imagodei je izjavil:

Če nam kriptovirus zakriptira te slike, moramo obvestit pristojne institucije? Tudi če ima podjetje samo 10 zaposlenih (in je zato po merilih GDPR malo do srednje podjetje)?

Bolj se bi sekiral, da podjetje izgubi te slike, ker bi zaposleni lahko utemeljeno pričakovali, da bo podjetje ukrenilo vse potrebno, da jih zavaruje pred razkritjem tretjim osebam. To bi lahko resno načelo odnose znotraj podjetja. Kar pa se tiče GDPR, pa podjetje ni upravljalec te zbirke in iz tega naslova ni neposredno odgovorno (kljub temu pa pazi npr. na malomarno ravnanje, ki lahko privede do drugih oblik odgovornosti).

Če želiš praktičen razmislek, kaj lahko to pomeni v praksi: skupina ljudi se odloči deliti svoje podatke preko npr. DropBox-a v zaprti skupini. DropBox nima ničesar z vsebino teh podatkov in, ker to počno posamezniki za lastne potrebe, to ne zapade pod GDPR. Če DropBox te podatke izgubi ali pa jih razkrije, lahko potencialno odškodninsko odgovarja lastnikom teh podatkov, nima pa doložnosti po GDPR, ker ti podatki niso bili zbirka, ki bi jo upravljal.

imagodei je izjavil:

Alternativno, če ne znajo odgovorit pri IP, je to verjetno fail neotipljivosti in abstraktnosti GDPR-ja. Slednje verjetno ne drži?

Mislim, da je največji fail, da so morali začeti mediji pisati o večmiljonskih globah, preden smo se začeli vsi skupaj pogovarjati o tem.

Dobro je, da se sedaj pogovarjamo.

imagodei je izjavil:

2 dni pred začetkom veljave GDPR ne vem, ali moram od zaposlenih pridobiti soglasje za zbirko podatkov v Active Directory - ki ga pač nujno potrebujemo, če želimo zaposlenim omogočiti delo z računalnikom in serverji, e-pošto...

Mislim, da si na svoje vprašanje že odgovoril, ker ima zasebni sektor pravico do obdelave osebnih podatkov, kadar je to nujno potrebno za uresničitev njihovih legitimnih interesov (6. čl. GDPR). Ker je to kritičen element poslovanja in osebna komunikacija znotraj podjetja ni možna brez osebnih podatkov, je razumljivo, da je obdelava nujna in sorazmerna ... dokler ne posežeš v katero izmed ustavnih kategorij.

To slednje se ti potencialno lahko zgodi, če je AD uporabljen kot splošna zbirka, kjer se hrani tudi npr. HR podatke, ki ostalih zaposlenih izven HR načeloma ne zanimajo. V tem primeru preveri kontrole, začasno vključi auditing dostopa do objektov in se vsedi z HR (ali ostlimi deležniki, ki tukaj hranijo svoje podatke) in pripravi akcijski načrt kako boste te podatke v doglednem času sprvili ven iz AD, ki za njihovo hrambo verjetno ni najbolj primeren (nadzor evidence dostopov je verjetno še vedno na nivoju objektov in ne atributov).

imagodei je izjavil:

Skratka, za to, da tako delodajalec kot delojemalec lahko uresničujeta dogovore, zapisane v pogodbi o zaposlitvi. (Podobno je tudi za kadrovsko evidenco in plače, kjer je evidenca osebnih podatkov zaposlenih osnova za izvajanje pogodbe o zaposlitvi; vodenje evidenc pa je seveda zapovedano z zakoni)

Ta in večina sorodnih pravnih podlag za takšno obdelavo je v 6. čl. GDPR.

imagodei je izjavil:

No, pa kljub temu še vedno ne vem, kaj storiti z AD-jem - če sploh kaj. Je treba pripraviti evidenco dejavnosti obdelave?

Audit log je dobr zadeva že zato, da zaznaš, če je prišlo do kakšne druge zlorabe.

imagodei je izjavil:

Je treba pridobiti Privolitve zaposlenih?

Načeloma ne.

imagodei je izjavil:

Ali zadostuje "samo" nek splošen pravilnik o varovanju osebnih podatkov na nivoju podjetja (Uredba, člen 24., odstavek 2)?

Načeloma da, čeprav lahko te podatke "skriješ" v enotno zbirko vseh podatkov nujno potrebnih za izvajanje delovnih nalog. Tako lahko zbirko gledaš kot logično celoto, AD pa je samo ena izmed potencialno večih podatkov baz kjer se podatki iz zbirke hranijo/obdelujejo.

imagodei je izjavil:

Ali pa za kadrovsko evidenco/plače v ERP. Ali pa za sistem za kontrolo delovnega časa/prisotnosti.

To vse skupaj je ena sama zbirka, ker so podatki med temi sistemi zagotovo povezani z enotnim identifikatorjem. Velja enako kot zgoraj: ko pišete pravilnike glejte kakšne "logične zbirke" uporabljate, nato pa za njih dokumentirajte v katerih podatkovnih bazah so razpršene.

Tako imaš lahko npr. "kadrovsko zbirko", ki je razpršena preko AD+Exchange (poštni naslovi, tf. številke), SAP (npr. dodelitve osnovnih sredstev), Oracle (npr. podatki o plačah in dopustih), itd ... Število "GDPR zbirk" bi moralo biti za podjetje relativno majhno. Lahko pa imaš opravka z veliko podatkovnimi bazami in obdelave v vsaki izmed njih slediš tako, da je stvar sorazmerna z občutljivostjo.

imagodei je izjavil:

Dobro, vem, da je tole interna težava, ker mi pogodbeni pravniki ne odgovorijo, ampak to so evidence podatkov, ki jih ima 90% drugih (malih) podjetij. Zakaj ni na strani IP-RS vsaj enega primera z eno od teh zbirk, ki bi prikazal kako zabeležimo vse od A do Ž?

IMO je dobro izhodišče za novoprišle na tem področju, da si pogledajo register zbirk osebnih podatkov, da dobijo občutek kako so definirane zbirke osebnih podatkov in v kakšnem razmerju so s podatkovnimi bazami.

imagodei je izjavil:

Zakaj ne? Na vizitki so osebni podatki. Če so vizitke na kupu v predalu, kako je to drugače kot če so lično vložene v knjižico? Ali pa če so shranjene v Outlooku? V telefonskem imeniku?

Recital 15 iz GDPR.

Vprašanje, ki ga boš iz tega dobil je, kaj pomeni, da je nek niz podatkov strukturiran ali pa ni strukturiran. Moje razmišljanje glede na moje razumevanje področja in recital iz GDPR je to, da strukturiranost na papirju pomeni fiksno strukturo, ki je primerna za nadaljno obdelavo. Npr. izpolnjen obrazec bi štel kot struktururan niz podatkov (ki se ga ročno obdeluje za vključitev v zbirko podatkov). Vizitko pa ne, ker ne glede na "standardno vsebino", ne vidim očitne strukture v smislu strukture, kot jo ima obrazec.

Stvari se spremenijo, ko so ti podatki vpisani v Outlook (oz. AD, če imate Exchange kot svoj centralni imenik), ker so podatki v tem primeru nujno strukturirani, se čemer izpolnejo kriterij, da postanejo "zbirka" glede na definicijo zbirke po GDRP.

imagodei je izjavil:

Spet, stvari človeku, ki ni vešč prava, delujejo zelo neotipljive. Jaz prosim za podnapise. Kot omenjeno v enem prejšnjih sporočil, je naš DPO mnenja, da seznama "vizitk" dobaviteljev v Excel tabeli, ki jo uporablja zaposleni v Nabavi, ni potrebno posebej evidentirati. Kar avtomatično še ne pomeni, da to ni zbirka osebnih podatkov (ali je?) niti da bi z osebnimi podatki lahko ravnal neskrbno.

Hm. Takšne decentralizirane zbirke so mi vedno kravžljale možgančke, ker nisem pravnik.

Pravniško vprašanje tukaj notri je, na kateri točki podjetje prevzame odgovornost za dejanja svojih zaposlenih. Če si jaz nekaj na lastno pest čačkam v eno svojo Excel preglednico, to ne more biti odogovornost podjetja. Če to delim še z nekaj sodelavci, se začne stvar premikati v malo bolj motne vode. Če to postane "uraden seznam kontakov" za oddelek, kjer je odgovornost zaposlenih v oddelku (in ena izmed delovnih nalog), da ga redno vzdržujejo, pa mislim, da je stvar prešla v območje "kaj pa GDRP?"

imagodei je izjavil:

AndrejO je izjavil:

jukoz je izjavil:

- ali je imenik v telefonu ali v e-poštnih odjemalcih zbirka osebnih podatkov?

Je.

jukoz je izjavil:

Ali je potrebno vodit seznam dostopov?

Da.

Zakaj? Kje so merila kaj je zbirka podatkov in kaj ne; kaj so strukturirani podatki in kaj ne; kdaj moramo za zbirko pripraviti Evidenco dejavnosti obdelave (ROPA) in kdaj ne?

Imenike na telefonih vsaj jaz gledam zelo na ozko. Relevantni so, če jih vzdržuješ centralno (metoda ni pomembna, zgodba je podobna Excel preglednici od zgoraj). Če jih, potem je evidenca dostopov sorazmerna tveganju in tukaj bi rekel, da je dovolj, da veš kdaj je bila neka naprava sinhronizirana s centralno zbirko, ker boš lahko iz tega sklepal kdaj je nek podatek postal ali pa prenehal biti dostopen uporabniku naprave - to je potem seznam dostopov. Več od tega ni sorazmerno.

imagodei je izjavil:

Edina "merila", ki sem jih zasledil, so zabeležena v 30. členu Uredbe. Velika podjetja morajo evidentirati vse procese, kjer obdelujejo podatke; srednja in manjša podjetja (pod 250 zaposlenih)

Izjema je bila uvedena zato, da se majhnih in mikro podjetij ne obremenjuje pretirano, saj ta podjetja tipično ne obdelujejo večjih količin osebnih podatkov, da bi njihova obdelava predstavljala pomembno tveganje za družbo kot celoto.

imagodei je izjavil:

pa zgolj določene procese, kjer je tveganje za zlorabo večje.

Izjema k izjemi je bila uvedena zato, ker je v času izvajanja direktive postalo jasno, da imamo opravka tudi z enoosebnimi d.o.o.-ji in s.p.-ji, ki živjo od drekanja z osebnimi podatki v enormnih količinah (nam vsem tako ljubi spammerji) ali pa obdelujejo občutljive osebne podatke (zasebne zdravniške ordinacije). V teh primerih je omejitev števila nesmiselna, ker je porušeno razmerje med velikostjo podjetja in količino osebnih podatkov.

Kot praktični primeri: podjetje s 100 zaposlenimi bo tipično morda izgubilo podatke o 10.000 svojih strank. Zagotovo zelo slaba novica. Ampak ne pa tako katastrofalna, kot če bi podjetje izgubilo osebne podatke o 500.000 osebah ali pa 10 medicinskih kartonov. Številke so malo čez palec, ampak npr. v Sloveniji ima BankArt čez vse bankomate, hkrati pa je to podjetje, ki je imelo l. 2016 v povprečju 203 zaposlena (na hitro pogooglano). Zaradi takšnih čisto razumljivih preteklih spoznanj imaš zato v GDPR sedaj izjemo za velikost in potem še izjemo k tej izjemi, da stvari ne bi pobegnile izpod nadzora.

imagodei je izjavil:

Nadalje so potem tu še recitali od cca 44 do cca 55, ki navajajo razne izjeme (npr. recital 44: "Obdelava bi morala biti zakonita, kadar je potrebna v okviru pogodbe ali namena sklenitve pogodbe.";

Recitali so dokumentiran razmislek zakonodajalca s katerim se pojasnjuje kontekst nastanka nekega člena. Čeprav niso normativni, lahko na njihovi podlagi bolje razlagaš posamezne dele predpisa in poskušaš slediti tudi duhu in ne zgolj črki zakonodaje. Če bi jih iskal v Sloveniji, bi sorodno vsebino našel v razlagi k predlogu novele zakona, ki ga vlada pošlje v DZ.

Ta recital npr. pojasnjuje, da GDPR-ja ni dobro razlagati na način, da mora sedaj vsaka pogodba imeti še en kup GDPR klavzul za strinjanje o tem in onem, če je pa jasno, da ti npr. Telekom Slovenije ne more potegniti telefonskega kabla do stanovanja, če jim ne poveš natančnega naslova. Zato npr. pogodba o zaposlitvi ne potrebuje posebnih klavzul za to, da se bodoče zaposleni strinja s tem, da podjetje za obdobje njegove zaposlitve obdeluje podatke o njegovem TRR in še kaj tretjega ali desetega, če je to vsem udeležnim jasno, da so podatki nujno potrebni, da sploh lahko nekoga zaposliš.

imagodei je izjavil:

recital 47: "Obdelava osebnih podatkov za neposredno trženje se lahko šteje za opravljeno v zakonitem interesu.";

V preteklosti se je pogosto postavljalo vprašanje kaj predstavlja "zakonit interes" nekega podjetja in neposredno trženje (ali pa kar navadno spammanje) je nekaj, kar je dejansko v neki drugi regulativi dopuščeno tudi brez predhodnega strinjanja (v Sloveniji glej 2. odst. 158. čl. ZEKom-1). Ta recital zato v zadnjem stavku opozarja na to okoliščino.

imagodei je izjavil:

recital 49: "Obdelava osebnih podatkov v obsegu, nujno potrebnem in sorazmernem za zagotovitev varnosti omrežja in informacij ... ... ... pomeni zakoniti interes zadevnega upravljavca podatkov.",

To je podobno, kot zgoraj: recital opozarja na to, da obstajajo dodatne pravne podlage za omejeno in sorazmerno obdelavo osebnih podatkov s konkretnim ciljem varovanja omrežij in informacijskih sistemov. To ni toliko izjema sama po sebi, temveč bolj opozorilo, da GDPR ne obstaja v vakumu, temveč imamo naokoli tudi drugo regulativo, ki daje ustrezno pravno podlago za posamične vrste obdelave, ki bi na prvi pogled sicer izgledale kot eklatantna kršitev GDPR.

imagodei je izjavil:

Še enkrat poudarjam: glede na kaliber sodelujočih v temi sem vseeno pričakoval malo več konkretnih nasvetov. In še vedno se zanje zelo lepo priporočam.

Hudič pri konkretnih nasvetih je ta, da lahko že ena navidezna malenkost dan spremeni v noč. Nekaj tednov nazaj sem npr. dal primer nekega Jake Zdravnika s.p., da bi pokazal zakaj obstaja izjema k izjemi velkosti pod 250 zaposlenih. Pa se je izkazalo, da oseba, ki sem ji odgovarjal, ni vedela, da zdravniki obdelujejo občutljive osebne podatke, kjer je strogost in odgovornost še za stopnjo višja.

Nekaj, kar lahko tebi zveni kot malenkost, ki jo nevede izpustiš, je lahko bistvena informacija, ki celoten odgovor ali nasvet takoj in v celoti "razveljavi". Zato je npr. IP-RS spisal veliko nezavezujočih mnenj. Ker v odsotnosti dejanskega pregleda, kjer se bi ugotovilo vsa relevantna dejstva, privzameš, da je spraševalec ta dejstva v celoti povzel, ne moreš pa tega z gotovostjo vedeti. Dejansko je težko dati odgovor, ne da se bi poglobil v potankosti vseh okoliščin posameznega vprašanja.

OK.d ::

Me prav zanima, kdo bo pri nas naredil otvoritev s prislužitvijo kazni z napol izdelanimi pravili?
LPOK.d

SeMiNeSanja ::

OK.d je izjavil:

Me prav zanima, kdo bo pri nas naredil otvoritev s prislužitvijo kazni z napol izdelanimi pravili?

Pravila so jasna, črnobelo zapisana na papirju.

Težava je v interpretaciji pravil.
Ti imaš svojo umetniško svobodo pri interpretaciji, IP-RS bo imel svojo, na koncu pa ni nujno, da bosta imela prav ne ti, ne IP-RS.

Bemtiš, kok mam rajši ZVCP, kjer jasno piše, da več kot 140 nikjer ne bo nekaznovano.....


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Informacijski pooblaščenec: Podizvajalci, ki samo hranijo infrastrukturo s podatki, n

Oddelek: Novice / Zasebnost
175790 (4263) SeMiNeSanja
»

GDPR je tu, kaj pa zdaj (strani: 1 2 )

Oddelek: Novice / Zasebnost
6427150 (17643) AndrejO
»

Dobre prakse Informacijskega pooblaščenca že prešle v splošno rabo (strani: 1 2 3 )

Oddelek: Novice / Omrežja / internet
12134229 (25089) spegli
»

Spam

Oddelek: Pomoč in nasveti
345450 (3907) Matko
»

Mejli, spam,... od kje email

Oddelek: Loža
4711368 (7824) japol

Več podobnih tem