NOWE POSTY | NOWE TEMATY | POPULARNE | STAT | RSS | KONTAKT | REJESTRACJA | Login: Hasło: rss dla

HOME » INNE » GDPR.

Przejdz do dołu strony<<<Strona: 2 / 2    strony: 1[2]

GDPR.

Ogólne rozporządzenie o ochronie danych
  
sp6ryd
17.05.2018 02:18:20
poziom najwyższy i najjaśniejszy :-)

Grupa: Użytkownik

Posty: 2040 #2546362
Od: 2012-1-22
Jeśli masz na myśli chmurę to w modelu SaaS on będzie jednak przetwarzał. Można to nawet zgeneralizować dla PaaS i IaaS bo samo przechowywanie jest również przetwarzaniem. No chyba że zaszyfrowałeś a klucze prywatne są tylko u Ciebie to wtedy te dane nie są danymi osobowymi.

@EI2KK
to do tego mega systemu zadałbym następujące pytania:
- w których systemach zastosowano pseudonimizację jako mechanizm ochrony DO ?
- jaki jest wymiar ryzyka dla DO w danym systemie ?
- dla których systemów przeprowadzono analizę DPIA ?
- w których systemach mamy zaimplementowane mechanizmy pozwalające na "realizowanie praw osób których dane dotyczą"
- w których systemach mamy zaimplementowane oznaczanie czasu/zdarzenia po którym DO należy usunąć ?
- dane których systemów potrafimy selektywnie usuwać z backupów czy logów systemowych ?
- które dane osobowe przetwarzamy poza EU i w jakich przypadkach (czy serwisant bazy danych pracujący przez VPN z terenu USA przetwarza DO poza terenem EU ? a prezes firmy w podróży służbowej ? - uwaga na interpretację prawnika)
- co do których systemów powinniśmy zaplanować weryfikację umów serwisowych ?
...
...
wesoły
  
Electra21.05.2018 22:48:37
poziom 5

oczka
  
sp3suz
17.05.2018 08:32:58
poziom najwyższy i najjaśniejszy :-)

Grupa: Użytkownik

QTH: JO72SV

Posty: 2531 #2546397
Od: 2011-3-19
moim zdaniem nie ma co rozdzierać szat bo oprócz "dyrektywy unijnej" według mnie powstaną jakieś przepisy wykonawcze dla poszczególnych podmiotów. Oczywiście inne np. dla tego i podobnych forów, inne dla banków a jeszcze inne dla gmin i np. Skarbówki. Wiadomo że zrobi się przy tym nieziemski "burdel na kółkach" i dopiero za jakiś czas się to unormuje ( albo i nie wesoły )Ja wiem jedno,- trzeba co jakiś czas zmieniać hasła dostępu bo dla hackerów nie ma zamka nie do przejścia a przy takich "zmianach prawnych" zawsze podczas modyfikacji znajdzie się kilku takich co sobie zostawi "tylną furtkę". Bagatela jeśli jest to admin lub służby państwowe. Rozumiem, terroryści, oszuści finansowi , tajne algorytmy skarbówki ( kontrola najwyższą forma zaufania wesoły ) i temu podobne. Gorzej jak to zrobi ktoś naprawdę groźny lub jakiś pazerny kutafon któremu zachciało się "wyprowadzić " np. na Kajmany pieniądze jakiejś fundacji lub nasze emerytury.To wiedzą wszystkie wywiady świata że najlepiej ryby łowi się w mętnej wodzie.A taka "reorganizacja " to jet po prostu jakby stworzona do organizacji podobnych "furtek od zakrystii". Dlatego ja po prostu nie wróżę poprawy cyfrowego bezpieczeństwa naszych systemów a wręcz odwrotnie. No bo CO TAKIEGO zapewni według tych przepisów bezpieczeństwo? Dodatkowy poziom szyfrowania ? Dodatkowe hasło? Czy wszystko razem? Jak ktoś w to wierzy że to będzie bezpieczniejsze to jest w dużym błędzie. Ale... jest JEDEN plus! Jeżeli ja pójdę do pracy w danej firmie i mi się tam nie spodoba albo pracodawcy ja się nie spodobam, to wtedy mam prawo żądać usunięcia danych i zaprzestania wydawania o mnie złej opinii do innych pracodawców. W dodatku pod karą administracyjną. I TO jest dobre. Bo miałem paru takich pseudo szefów że gdyby za to kary nie było to by już wisieli na latarni a zrobił bym to osobiście. Teraz będzie można powiedzieć , - macie o mnie zapomnieć. W końcu i nareszcie! Zawsze przy zmianie pracy nowy pracodawca dzwoni do starego. Nie dość że stary pracodawca sam był nie w porządku bo oszukiwał jak się dało to jeszcze spier* człowiekowi opinie u nowego. Ot tak , na zasadzie - ja ci pokażę kto tu rządzi. Teraz jest nadzieja że to w końcu ukrócą. bardzo szczęśliwy cool
_________________
Pijmy piwo jedzmy śledzie , będziem silni jak niedzwiedzie!
  
EI2KK
17.05.2018 08:55:08
poziom 5



Grupa: Użytkownik

Posty: 475 #2546407
Od: 2012-8-7

    sp6ryd pisze:

    Jeśli masz na myśli chmurę to w modelu SaaS on będzie jednak przetwarzał. Można to nawet zgeneralizować dla PaaS i IaaS bo samo przechowywanie jest również przetwarzaniem. No chyba że zaszyfrowałeś a klucze prywatne są tylko u Ciebie to wtedy te dane nie są danymi osobowymi.

    @EI2KK
    to do tego mega systemu zadałbym następujące pytania:
    - w których systemach zastosowano pseudonimizację jako mechanizm ochrony DO ?
    - jaki jest wymiar ryzyka dla DO w danym systemie ?
    - dla których systemów przeprowadzono analizę DPIA ?
    - w których systemach mamy zaimplementowane mechanizmy pozwalające na "realizowanie praw osób których dane dotyczą"
    - w których systemach mamy zaimplementowane oznaczanie czasu/zdarzenia po którym DO należy usunąć ?
    - dane których systemów potrafimy selektywnie usuwać z backupów czy logów systemowych ?
    - które dane osobowe przetwarzamy poza EU i w jakich przypadkach (czy serwisant bazy danych pracujący przez VPN z terenu USA przetwarza DO poza terenem EU ? a prezes firmy w podróży służbowej ? - uwaga na interpretację prawnika)
    - co do których systemów powinniśmy zaplanować weryfikację umów serwisowych ?
    ...
    ...
    wesoły



Tak, z tym że podejcie jest troche odwrotne.. nie "w których systemach", bo to już wynik końcowy, czyli zestawienia...

Struktura jest taka, że np. dla kazdej aplikacji zaczyna się od ustalenia 4 osób określonych w którymś ISO: Owner, RSM, kontakt, i chyba BISO.. nie zawracam sobie głowy pamiętaniem takich rzeczy, dostaje requirements, implementuje, kiedy po testach wchodzi do produkcji to 'zapominam'. Drugi krok, to wprowadzenie do systemu szeregu danych przez Owner.. jest zestaw wizards które ktoś 'wypełnia', system robi walidacje czy nie podał głupot itd itp.. dla przykładu, sama sekcja PII/PHI, liczy już około 100 pytań/parametrów. Raz do roku system wymusza audyt wewnętrzny. No i oczywiście mnóstwo raportów dostępnych dla upoważnionych osób oraz zapis wszystkich zmian jake dokonują użytkownicy + automatyczne wyliczanie różnych wskaźników jak Risk Tier, Risk Profile.... Wspomniałeś o umowach serwisowych... tu mamy chyba ponad 20 parametrów, powiązanie z komponentami (np .NET nie jest integralną częścią aplikacji, ale jest to core component za którego odpowiada ktoś inny). Itd itp.... w zasadzie od strony GDPR jesteśmy gotowi, kończe tylko sekcje danych związaną z SDLC.

_________________
--podpis nieczytelny--

UWAGA: Chodzenie po bagnach wciąga!

/gone fishing/
  
sq2hcz
18.05.2018 09:40:44
poziom 5

Grupa: Użytkownik

QTH: Bydgoszcz

Posty: 680 #2546751
Od: 2009-12-30
Nie wiem w (w zasadzie nie sądzę) aby urzędnicy mogli ogarnąć bałagan z RODO.

Wczoraj uświadomiłem sobie banalną sytuację. Załóżmy że masz telefon służbowy a na nim zapisane kontakty do osób prywatnych (stali klienci lub znajomi) - masz bazę danych i przetwarzasz te informacje więc taka baza podlega pod RODO. Jak firma ma 500 przedstawicieli to ma po za kontrolą 500 baz bardzo szczęśliwy

Jeszcze lepszy przykład do jakiego absurdu prowadzą te przepisy: jeżeli wykonamy połączenie z numeru służbowego do osoby prywatnej to ślad po tym pozostanie w postaci jej numeru w bilingu naszego telefonu czyli w bazie operatora. Zgodnie z opinia wielu osób (prawników) sam numer telefonu jest informacją która wystarcza aby określić konkretną osobę. W związku z powyższym teoretycznie, firma powinna mieć podpisaną umowę z operatorem na przetwarzanie danych. Co zrobić gdy taka osoba stwierdzi że na jej żądanie dane o niej mamy usunąć ???

Większość telefonów na rynku to telefony z Android. Naturalną konsekwencją w tym przypadku dla wielu użytkowników jest używanie konta google jako kopii kontaktów, kalendarza i oczywiście maila. Warunki używania usług google są tak napisane że nie można tego operatora traktować jako "zaufanego" który chroni nasze dane po zgodnie z regulaminem usług google może zrobić z tym prawie co chce.

Piszę to, ponieważ wielu z nas albo prowadzi biznes, albo ma w rodzinie lub w kręgu znajomych takie osoby i warto o tym mówić ponieważ wiele osób nie ma o tym żadnej wiedzy, a nawet świadomości problemu.
Najważniejsze: Problemem nie są konsekwencje z tytułu jakiej kontroli urzędowej lub dział urzędników.
Problemem jest aktywność firm (często prawniczych) które czekają na podknięcia firm i wymuszają haracz za obsługę prawną.
Jak zwykle, fatalne prawo staje się pożywką dla cwaniaków ,a cierpi zwykły człowiek (przedsiębiorca).

Jak powstaje bzdurne prawo:
https://www.youtube.com/watch?v=lzigiPUXNzI


Sławek

_________________
http://sq2hcz.wordpress.com
http://www.eo.net.pl
  
sp6ryd
18.05.2018 21:12:27
poziom najwyższy i najjaśniejszy :-)

Grupa: Użytkownik

Posty: 2040 #2546975
Od: 2012-1-22
    sq2hcz pisze:

    Nie wiem w (w zasadzie nie sądzę) aby urzędnicy mogli ogarnąć bałagan z RODO.

    Wczoraj uświadomiłem sobie banalną sytuację. Załóżmy że masz telefon służbowy a na nim zapisane kontakty do osób prywatnych (stali klienci lub znajomi) - masz bazę danych i przetwarzasz te informacje więc taka baza podlega pod RODO. Jak firma ma 500 przedstawicieli to ma po za kontrolą 500 baz bardzo szczęśliwy

    Jeszcze lepszy przykład do jakiego absurdu prowadzą te przepisy: jeżeli wykonamy połączenie z numeru służbowego do osoby prywatnej to ślad po tym pozostanie w postaci jej numeru w bilingu naszego telefonu czyli w bazie operatora. Zgodnie z opinia wielu osób (prawników) sam numer telefonu jest informacją która wystarcza aby określić konkretną osobę. W związku z powyższym teoretycznie, firma powinna mieć podpisaną umowę z operatorem na przetwarzanie danych. Co zrobić gdy taka osoba stwierdzi że na jej żądanie dane o niej mamy usunąć ???

    Większość telefonów na rynku to telefony z Android. Naturalną konsekwencją w tym przypadku dla wielu użytkowników jest używanie konta google jako kopii kontaktów, kalendarza i oczywiście maila. Warunki używania usług google są tak napisane że nie można tego operatora traktować jako "zaufanego" który chroni nasze dane po zgodnie z regulaminem usług google może zrobić z tym prawie co chce.

    Piszę to, ponieważ wielu z nas albo prowadzi biznes, albo ma w rodzinie lub w kręgu znajomych takie osoby i warto o tym mówić ponieważ wiele osób nie ma o tym żadnej wiedzy, a nawet świadomości problemu.
    Najważniejsze: Problemem nie są konsekwencje z tytułu jakiej kontroli urzędowej lub dział urzędników.
    Problemem jest aktywność firm (często prawniczych) które czekają na podknięcia firm i wymuszają haracz za obsługę prawną.
    Jak zwykle, fatalne prawo staje się pożywką dla cwaniaków ,a cierpi zwykły człowiek (przedsiębiorca).

    Jak powstaje bzdurne prawo:
    https://www.youtube.com/watch?v=lzigiPUXNzI

    Sławek


(1)Z telefonem tak jest w istocie ale skłaniałbym się ku interpretacji (trzeba trochę to wesprzeć dokumentami) że użytkownik telefonu jest w takim wypadku administratorem danych osobowych

(2)U operatora sam numer raczej nie, chyba że osoba do której dzwonisz jest klientem indywidualnym tego właśnie operatora. Więc operator inicjujący połączenie nie przetwarza danych osobowych bo ich nadzwyczajniej nie posiada. W przypadku firm żadko też jest tak, że operator zna listę pracowników podmiotu i konkretne przypisanie numeru do osoby. Biling bedzie zatem u Ciebie w firmie dana osobową ale tez tylko wtedy gdy połączysz numer z inną informacją lub gdy informacja o tym kto używa danego numeru będzie łatwo dostępna

(3)Regulamin Google nie jest zgodny z RODO (to znaczy oczywiście jest) ale w nim wykorzystywana jako podstawa przetwarzania Twoja zgoda.
Ciekaw jestem jak sobie radzicie z pogodzeniem następujących sprzeczności:

- pracodawca wyposaża pracownika w narzędzie (telefon), które by dostawało aktualizacje musi być zarejestrowane,
- zarejestrowanie wymaga podania przynajmniej adresu mailowego użytkownika,
- pracodawca by uzyskać możliwość kontaktu z pracownikiem zezwala mu na korzystanie z telefonu poza godzinami normalnej pracy, zezwala tez na korzystanie z niego (w ograniczonym zakresie) do celów prywatnych
- pracodawca nie może przyjmować zgody na przetwarzanie danych prywatnych pracownika bo przetwarzanie takie jest nadmiarowe, dane takie jednak gromadzi i przetwarza (na należącym do niego służbowym urządzeniu)
- ewentualna zgoda na przetwarzanie byłaby i tak nieskuteczna bo relacja pracodawca - pracownik jest niesymetryczna i zgoda może być uznana za wymuszoną,
- pracodawca powierza przetwarzanie firmie Google (zakres zależy od usług z których korzysta pracownik).
- przydała by się zatem umowa powierzenia miedzy Twoją firmą a Google tylko jak zebrać zgody pracowników - których w zasadzie nie powinno być.
- może zatem zarejestrować telefony na fikcyjne dane (myszka miki, robin hood) warto by sprawdzić czy dopuszcza tego regulamin Google (FaceBook niestety nie)

ot dylematy RODO wesoły

Nie, nie jestem prawnikiem i proszę nie powoływać się na powyższą opinię i prywatne zdanie ,)
Gdyby jednak był tu na forum jakiś i chciał się ujawnić to chętnie poznałbym opinię profesjonalisty wesoły



  
Electra21.05.2018 22:48:37
poziom 5

oczka

Przejdz do góry strony<<<Strona: 2 / 2    strony: 1[2]

  << Pierwsza     < Poprzednia      Następna >     Ostatnia >>  

HOME » INNE » GDPR.

Aby pisac na forum musisz sie zalogować !!!

randki | własny sklep internetowy | promocje | CyberCiekawostki | darmowe forum | sklepy
opinie, testy, oceny | katalog stron | toplsta