NOWE POSTY | NOWE TEMATY | POPULARNE | STAT | RSS | KONTAKT | REJESTRACJA | Login: Hasło: rss dla

HOME » INNE » GDPR.

Przejdz do dołu stronyStrona: 1 / 2>>>    strony: [1]2

GDPR.

Ogólne rozporządzenie o ochronie danych
  
EI2KK
15.05.2018 14:23:31
poziom najwyższy i najjaśniejszy :-)



Grupa: Użytkownik

Posty: 1746 #2545738
Od: 2012-8-7


Ilość edycji wpisu: 1
Temat ułomności silnika tego forum poruszany był już nie raz, nie ma więc potrzeby przypominać...

Czy forum (i administratorzy) będzie spełniać nowe wymagania GDPR?

Przykładowo:

jaśniejsze prawo do usunięcia danych („prawo do bycia zapomnianym”),

prawo do bycia niezwłocznie poinformowanym w razie ataku hakerskiego na dane (firmy będą także zobligowane zawiadomić odpowiednie organy nadzorcze ds. ochrony danych),

technologie takie jak pseudonimizacja oraz szyfrowanie.

Czy podejdziemy do tematu tradycyjnie, czyli admin ma racje, a jak ci się nie podoba to spadaj..?


Ciekawe jest IMHO 'prawo do bycia zapomnianym', to już nie tylko zastąpienie znaku (jednoznaczna identyfikacja) nazwą 'usunięty_xxxxxx', ale usunięcie tego znaku ze wszystkich cytatów, a także usunięcie tych cytatów i wszystkich postów 'zapomnianego'. Żadne wymyślne regulaminy tu nie pomogą, nie mogą one stać ponad prawem...



_________________
Alles hat ein Ende, nur die Wurst hat zwei.

DMR TG 2600 (2720126)
Obrazek
  
Electra24.11.2024 14:08:28
poziom 5

oczka
  
canis_lupus
15.05.2018 14:41:25
poziom najwyższy i najjaśniejszy :-)



Grupa: Użytkownik

QTH: Kraków

Posty: 7764 #2545741
Od: 2013-7-18
Forum to pikuś, pomyśl co się dzieje np. na stronie PZK. Taki OSEC...
_________________
"Prezydium zapoznało się z wnioskiem Marka SP9UO, w którym domaga się podjęcia przez Prezydium działań przeciwko osobom szkalującym PZK, a szczególnie przeciwko członkom organizacji. Takie działania będą podjęte po zasięgnięciu opinii prawnej."

To mówiłem ja, "unlis i ukrywający coś, wstydzący się swojego znaku, człowiek z ulicy, losowa osoba z internetu, element, ignorant i darmozjad, anonimowy pirat, konfident, donosiciel, do d**y".
  
sq2hcz
15.05.2018 15:02:41
poziom 6

Grupa: Użytkownik

QTH: Bydgoszcz

Posty: 840 #2545748
Od: 2009-12-30
Niestety, RODO i kwestie związane z ochroną danych osobowych dotkną każdy klub, organizację czy stowarzyszenie. Zwykła baza adresów mailowych z imieniem i nazwiskiem wymaga wdrożenia odpowiednich procedur i przygotowania papierologii.
Z ciekawostek: Np. jeśli trzymamy bazę adresową klubowiczów (znak, adres mailowy) w kontaktach na koncie google (korzystając z telefonu lub komputera), to taka baza zgodnie z wymaganiami RODO wymaga zabezpieczeń i biorąc pod uwagę regulamin konta google taką bazę trzeba z konta google usunąć ponieważ nie spełnia ono wymagań zaufanego operatora.

Poziom biurokracji zaskoczył samych biurokratów - polskie przepisy nie są gotowe, firmy i urzędy są w głębokiej murzyńskiej ... chacie.

Sławek
_________________
http://sq2hcz.wordpress.com
http://www.eo.net.pl
  
HF4ALL
15.05.2018 15:03:43
poziom 3

Grupa: Użytkownik

QTH: Londyn

Posty: 196 #2545750
Od: 2018-3-25
Zamiast „prawa do bycia zapomnianym” prościej „nie daj się zapamiętać „ ?

_________________
Marcin
  
sp3suz
15.05.2018 15:25:38
poziom najwyższy i najjaśniejszy :-)

Grupa: Użytkownik

QTH: JO72SV

Posty: 3407 #2545758
Od: 2011-3-19
IMHO przecież jest znane od dawna! Co w tym nowego już Egipcie istniał faraon IMHO TEB trzeci. Także zapomniany na parę tysięcy lat. Da się? Da się! Jak nie jak tak wesoły cool
_________________
Pijmy piwo jedzmy śledzie , będziem silni jak niedzwiedzie!
  
EI2KK
15.05.2018 15:59:50
poziom najwyższy i najjaśniejszy :-)



Grupa: Użytkownik

Posty: 1746 #2545771
Od: 2012-8-7
    sq2hcz pisze:



    Poziom biurokracji zaskoczył samych biurokratów - polskie przepisy nie są gotowe, firmy i urzędy są w głębokiej murzyńskiej ... chacie.

    Sławek


Ale chyba z samych zapisów GDPR na poziomie unijnym już wszystko wiadomo, nawet tak to sprytnie ułozyli, ze nie są potrzebne (nie trzeba czekać na) żadne przepisy na poziomie krajów UE.. 25 maja GDPR wchodzi w życie i nie ma że w murzyńskiej chacie prądu nie było..

Ciekawi mnie jeszcze jedno.. kto jest 'administratorem danych' - bo to nie to samo co 'administrator forum', ten drugio nie ma przecież bezpośredniego dostepu do bazy danych, do zabezpieczeń, ustawień serwera itd.. nie ma wpływu na zabezpieczenia po stronie firmy hostingowej.. więc wychodzi mi że to firma która udostepnia fora na iq24.pl jest 'podmiotem odpowiedzialnym'..
_________________
Alles hat ein Ende, nur die Wurst hat zwei.

DMR TG 2600 (2720126)
Obrazek
  
canis_lupus
15.05.2018 16:34:47
poziom najwyższy i najjaśniejszy :-)



Grupa: Użytkownik

QTH: Kraków

Posty: 7764 #2545777
Od: 2013-7-18
    EI2KK pisze:



    Ciekawi mnie jeszcze jedno.. kto jest 'administratorem danych' - bo to nie to samo co 'administrator forum', ten drugio nie ma przecież bezpośredniego dostepu do bazy danych, do zabezpieczeń, ustawień serwera itd.. nie ma wpływu na zabezpieczenia po stronie firmy hostingowej.. więc wychodzi mi że to firma która udostepnia fora na iq24.pl jest 'podmiotem odpowiedzialnym'..


To nie tak. W takim lub podobnym przypadku, administratorem nadal pozostaje właściciel forum a z hostingodawcą zawiera się "umowę powierzenia przetwarzania danych osobowych".
_________________
"Prezydium zapoznało się z wnioskiem Marka SP9UO, w którym domaga się podjęcia przez Prezydium działań przeciwko osobom szkalującym PZK, a szczególnie przeciwko członkom organizacji. Takie działania będą podjęte po zasięgnięciu opinii prawnej."

To mówiłem ja, "unlis i ukrywający coś, wstydzący się swojego znaku, człowiek z ulicy, losowa osoba z internetu, element, ignorant i darmozjad, anonimowy pirat, konfident, donosiciel, do d**y".
  
EI2KK
15.05.2018 16:48:57
poziom najwyższy i najjaśniejszy :-)



Grupa: Użytkownik

Posty: 1746 #2545780
Od: 2012-8-7
    canis_lupus pisze:

      EI2KK pisze:



      Ciekawi mnie jeszcze jedno.. kto jest 'administratorem danych' - bo to nie to samo co 'administrator forum', ten drugio nie ma przecież bezpośredniego dostepu do bazy danych, do zabezpieczeń, ustawień serwera itd.. nie ma wpływu na zabezpieczenia po stronie firmy hostingowej.. więc wychodzi mi że to firma która udostepnia fora na iq24.pl jest 'podmiotem odpowiedzialnym'..


    To nie tak. W takim lub podobnym przypadku, administratorem nadal pozostaje właściciel forum a z hostingodawcą zawiera się "umowę powierzenia przetwarzania danych osobowych".


Kto jest właścicielem forum?
_________________
Alles hat ein Ende, nur die Wurst hat zwei.

DMR TG 2600 (2720126)
Obrazek
  
canis_lupus
15.05.2018 17:05:44
poziom najwyższy i najjaśniejszy :-)



Grupa: Użytkownik

QTH: Kraków

Posty: 7764 #2545785
Od: 2013-7-18
    EI2KK pisze:



    Kto jest właścicielem forum?


A to już jest zupełnie inne pytanie. Nie wiem. Oficjalnie forum ma tylko administratorów. Myślę, ze bez problemów można ich podciągnąć pod administratorów danych osobowych.
_________________
"Prezydium zapoznało się z wnioskiem Marka SP9UO, w którym domaga się podjęcia przez Prezydium działań przeciwko osobom szkalującym PZK, a szczególnie przeciwko członkom organizacji. Takie działania będą podjęte po zasięgnięciu opinii prawnej."

To mówiłem ja, "unlis i ukrywający coś, wstydzący się swojego znaku, człowiek z ulicy, losowa osoba z internetu, element, ignorant i darmozjad, anonimowy pirat, konfident, donosiciel, do d**y".
  
EI2KK
15.05.2018 17:32:34
poziom najwyższy i najjaśniejszy :-)



Grupa: Użytkownik

Posty: 1746 #2545788
Od: 2012-8-7
    canis_lupus pisze:

      EI2KK pisze:



      Kto jest właścicielem forum?


    A to już jest zupełnie inne pytanie. Nie wiem. Oficjalnie forum ma tylko administratorów. Myślę, ze bez problemów można ich podciągnąć pod administratorów danych osobowych.


No właśnie... czyli nikt nic nie wie, nikt za nic nie odpowiada ,)
Taka ciekawostka, na którą pewnie nieliczni tylko zwrócili uwagę...

W regulaminie jest napisane, że wszystkie wpisy są własnością forum, ale że właściciel forum nie ponosi odpowiedzialności za swoją własność..


Moja córka ma gdzieś jeszcze koszulke z napisem

My parents take no responsibility for any damages I can do.

Ciekawe czy by to załatwiło sprawę jakby gdzieś narozrabiała w takiej koszulce lol
_________________
Alles hat ein Ende, nur die Wurst hat zwei.

DMR TG 2600 (2720126)
Obrazek
  
HF4ALL
15.05.2018 17:55:04
poziom 3

Grupa: Użytkownik

QTH: Londyn

Posty: 196 #2545793
Od: 2018-3-25
Administratora jak i właściciela każdej strony/forum obejmuje ustawa odprawie prasowym.
Adnotacja ze „nie biorę odpowiedzialności za to co kto wpisze” można uznać za notatek w pamiętniku dla lepszego samopoczucia.
Prawo już dawno było tylko na szczęście nikt nie egzekwował.
_________________
Marcin
  
Electra24.11.2024 14:08:28
poziom 5

oczka
  
arekm
16.05.2018 06:36:05
poziom 1

Grupa: Użytkownik

Posty: 34 #2545973
Od: 2014-5-9
Prawo do bycia zapomnianym nie musi być realizowane w pewnych sytuacjach np. "Ust. 1 i 2 nie mają zastosowania, w zakresie w jakim przetwarzanie jest niezbędne: do korzystania z prawa do wolności wypowiedzi i informacji".
  
EI2KK
16.05.2018 11:09:54
poziom najwyższy i najjaśniejszy :-)



Grupa: Użytkownik

Posty: 1746 #2546046
Od: 2012-8-7
    SP95094KA pisze:



    Wygumuj to o córce




Dorosła jest...

A tak poza tym... czemu uważasz że możesz mi cokolwiek doradzać?
Sam sobie wygumuj conieco. Nie da się?
_________________
Alles hat ein Ende, nur die Wurst hat zwei.

DMR TG 2600 (2720126)
Obrazek
  
EI2KK
16.05.2018 13:06:35
poziom najwyższy i najjaśniejszy :-)



Grupa: Użytkownik

Posty: 1746 #2546071
Od: 2012-8-7
    SP95094KA pisze:

      EI2KK pisze:


      A tak poza tym... czemu uważasz że możesz mi cokolwiek doradzać?
      Sam sobie wygumuj conieco. Nie da się?



    Bo cię lubię - bardzo cię lubię - to i doradzam.
    Czuję się w obowiązku doradzić młodszemu i nie ogarniającemu, że źle robi.
    Robię to bo lubię pomagać młodszym, słabszym.

    Ostatnio pomagałem staruszce wjechać ruchomymi schodami, bardzo mi była wdzięczna, bo wind się boi, schodów zresztą też, ale poczuła me oddanie i pomoc przyjęła chętnie.



Uzasadniłeś, zresztą całkowicie błędnie, czemu chcesz doradzać, pytanie było inne...

Co do pomocy, to rozważ czy przypadkiem samnjej nie potrzebujesz.

Dla ciebie EOT.
_________________
Alles hat ein Ende, nur die Wurst hat zwei.

DMR TG 2600 (2720126)
Obrazek
  
sp6ryd
16.05.2018 21:16:11
poziom najwyższy i najjaśniejszy :-)

Grupa: Użytkownik

QTH: Wrocław

Posty: 3870 #2546283
Od: 2012-1-22


Ilość edycji wpisu: 1
    EI2KK pisze:



    Ciekawi mnie jeszcze jedno.. kto jest 'administratorem danych' - bo to nie to samo co 'administrator forum', ten drugio nie ma przecież bezpośredniego dostepu do bazy danych, do zabezpieczeń, ustawień serwera itd.. nie ma wpływu na zabezpieczenia po stronie firmy hostingowej.. więc wychodzi mi że to firma która udostepnia fora na iq24.pl jest 'podmiotem odpowiedzialnym'..


Administratorem jest ten kto przetwarza i decyduje o przetwarzaniu (tu zapewne właściciel). - To pytanie jakby trochę nie na miejscu bo podstawowym obowiązkiem ADO jest skuteczne poinformowanie wszystkich, których dane przetwarza właśnie za pomocą tzw. klauzuli informacyjnej o swojej nazwie siedzibie i kontakcie do tzw DPO/IOD (Inspektora Ochrony Danych) - o ile go wyznaczył. Więc wystarczy poczekać do przyszłego Piątku i zapewne się dowiemy wesoły. ADO zobowiązany jest do opracowania tzw. "Rejestru czynności przetwarzania" z którego bedzie wynikało jakie dane, w jakim celu i jak przetwarza oraz na jakiej podstawie prawnej (moga być w zasadzie tylko: "na podstawie przepisów", "dla wykonania umowy", "na podstawie zgody osoby" lub zdaje sie jeszcze najbardziej wątpliwy "uzasadniony interes ADO"

Współodpowiedzialny za przetwarzanie jest w równym niemalże stopniu odpowiedzialności za zgodność z GDPR/RODO tzw. "Procesor" czyli podmiot któremu ADO powierzył przetwarzanie danych. Ten z kolei musi przygotować tzw "Rejestr czynności procesora"

Zasad jest jeszcze całkiem sporo i nie jest tak jak napisałeś, że wszystko jest jasne i przejrzyste - powiedziałbym raczej że stopień niepewności co do interpretacji jaki zgotowali wszystkim ADO urzędnicy i miara niekompetencji prawników, którzy dla wpajanej im zapewne na studiach ostrożności zawodowej, kreują tak absurdalne, nieżyciowe i zaryzykowałbym szkodliwe opinie prowadzą do sporych frustracji u niejednego admina oczko

  
EI2KK
16.05.2018 22:02:57
poziom najwyższy i najjaśniejszy :-)



Grupa: Użytkownik

Posty: 1746 #2546302
Od: 2012-8-7
    sp6ryd pisze:


    Administratorem jest ten kto przetwarza i decyduje o przetwarzaniu (tu zapewne właściciel). - To pytanie jakby trochę nie na miejscu bo podstawowym obowiązkiem ADO jest skuteczne poinformowanie wszystkich, których dane przetwarza właśnie za pomocą tzw. klauzuli informacyjnej o swojej nazwie siedzibie i kontakcie do tzw DPO/IOD (Inspektora Ochrony Danych) - o ile go wyznaczył. Więc wystarczy poczekać do przyszłego Piątku i zapewne się dowiemy wesoły.



No, czyli pytanie jest jak najbardziej na miejscu, tyle że na odpowiedź jest jeszcze troche czasu ,)

    sp6ryd pisze:



    Zasad jest jeszcze całkiem sporo i nie jest tak jak napisałeś, że wszystko jest jasne i przejrzyste - powiedziałbym raczej że stopień niepewności co do interpretacji jaki zgotowali wszystkim ADO urzędnicy i miara niekompetencji prawników, którzy dla wpajanej im zapewne na studiach ostrożności zawodowej, kreują tak absurdalne, nieżyciowe i zaryzykowałbym szkodliwe opinie prowadzą do sporych frustracji u niejednego admina ,)



No właśnie tu troche mam brak wiedzy z terenu SP...

Tak się składa, że jestem w zespole który utrzymuje w instytucji finansowej 'system inwentaryzacji aplikacji i zasobów'.. do GDPR przygotowujemy się od prawie 2 lat. O ile sam system nie gromadzi zbyt wiele danych 'wrażliwych', to jego zadaniem jest zgromadzenie informacji o wszystkich aplikacjach, komponentach, bazach danych, lokalizacji serwerów.. itp itd.. jednym słowem ten system ma wiedzieć wszystko o informatycznej stronie firmy, również odpowiedzieć na wszelkie pytania wynikające z GDPR (nie ma sensu wymieniać nazwy oprogramowania czy jego producenta). Ja osobiście zajmuje się jedynie implementacją tego co analitycy w porozumieniu z działem prawnym określą, jednak nie widze żeby były jakieś niejasności, rozmyte obszary czy szare strefy.. Być może to w SP ktoś niepotrzebnie sprawę skomplikował. Ale jest też oddział w SP i nie wymaga specjalnego traktowania. Robiliśmy pewne specyficzne implementacje dla Japoni i Argentyny, ale w temacie SP idą te same zasady co w EI.. dziwne...
_________________
Alles hat ein Ende, nur die Wurst hat zwei.

DMR TG 2600 (2720126)
Obrazek
  
canis_lupus
17.05.2018 00:22:52
poziom najwyższy i najjaśniejszy :-)



Grupa: Użytkownik

QTH: Kraków

Posty: 7764 #2546333
Od: 2013-7-18
    sp6ryd pisze:



    Współodpowiedzialny za przetwarzanie jest w równym niemalże stopniu odpowiedzialności za zgodność z GDPR/RODO tzw. "Procesor" czyli podmiot któremu ADO powierzył przetwarzanie danych. Ten z kolei musi przygotować tzw "Rejestr czynności procesora"


To chyba nie jest tak trywialne, bo o ile rozróżniam procesora, subprocesora, to jeszcze jest jeden twór. Chodzi o podmiot, u którego ja przetwarzam swoje dane a nie on przetwarza moje dane.
_________________
"Prezydium zapoznało się z wnioskiem Marka SP9UO, w którym domaga się podjęcia przez Prezydium działań przeciwko osobom szkalującym PZK, a szczególnie przeciwko członkom organizacji. Takie działania będą podjęte po zasięgnięciu opinii prawnej."

To mówiłem ja, "unlis i ukrywający coś, wstydzący się swojego znaku, człowiek z ulicy, losowa osoba z internetu, element, ignorant i darmozjad, anonimowy pirat, konfident, donosiciel, do d**y".
  
sp6ryd
17.05.2018 02:18:20
poziom najwyższy i najjaśniejszy :-)

Grupa: Użytkownik

QTH: Wrocław

Posty: 3870 #2546362
Od: 2012-1-22
Jeśli masz na myśli chmurę to w modelu SaaS on będzie jednak przetwarzał. Można to nawet zgeneralizować dla PaaS i IaaS bo samo przechowywanie jest również przetwarzaniem. No chyba że zaszyfrowałeś a klucze prywatne są tylko u Ciebie to wtedy te dane nie są danymi osobowymi.

@EI2KK
to do tego mega systemu zadałbym następujące pytania:
- w których systemach zastosowano pseudonimizację jako mechanizm ochrony DO ?
- jaki jest wymiar ryzyka dla DO w danym systemie ?
- dla których systemów przeprowadzono analizę DPIA ?
- w których systemach mamy zaimplementowane mechanizmy pozwalające na "realizowanie praw osób których dane dotyczą"
- w których systemach mamy zaimplementowane oznaczanie czasu/zdarzenia po którym DO należy usunąć ?
- dane których systemów potrafimy selektywnie usuwać z backupów czy logów systemowych ?
- które dane osobowe przetwarzamy poza EU i w jakich przypadkach (czy serwisant bazy danych pracujący przez VPN z terenu USA przetwarza DO poza terenem EU ? a prezes firmy w podróży służbowej ? - uwaga na interpretację prawnika)
- co do których systemów powinniśmy zaplanować weryfikację umów serwisowych ?
...
...
wesoły
  
sp3suz
17.05.2018 08:32:58
poziom najwyższy i najjaśniejszy :-)

Grupa: Użytkownik

QTH: JO72SV

Posty: 3407 #2546397
Od: 2011-3-19
moim zdaniem nie ma co rozdzierać szat bo oprócz "dyrektywy unijnej" według mnie powstaną jakieś przepisy wykonawcze dla poszczególnych podmiotów. Oczywiście inne np. dla tego i podobnych forów, inne dla banków a jeszcze inne dla gmin i np. Skarbówki. Wiadomo że zrobi się przy tym nieziemski "burdel na kółkach" i dopiero za jakiś czas się to unormuje ( albo i nie wesoły )Ja wiem jedno,- trzeba co jakiś czas zmieniać hasła dostępu bo dla hackerów nie ma zamka nie do przejścia a przy takich "zmianach prawnych" zawsze podczas modyfikacji znajdzie się kilku takich co sobie zostawi "tylną furtkę". Bagatela jeśli jest to admin lub służby państwowe. Rozumiem, terroryści, oszuści finansowi , tajne algorytmy skarbówki ( kontrola najwyższą forma zaufania wesoły ) i temu podobne. Gorzej jak to zrobi ktoś naprawdę groźny lub jakiś pazerny kutafon któremu zachciało się "wyprowadzić " np. na Kajmany pieniądze jakiejś fundacji lub nasze emerytury.To wiedzą wszystkie wywiady świata że najlepiej ryby łowi się w mętnej wodzie.A taka "reorganizacja " to jet po prostu jakby stworzona do organizacji podobnych "furtek od zakrystii". Dlatego ja po prostu nie wróżę poprawy cyfrowego bezpieczeństwa naszych systemów a wręcz odwrotnie. No bo CO TAKIEGO zapewni według tych przepisów bezpieczeństwo? Dodatkowy poziom szyfrowania ? Dodatkowe hasło? Czy wszystko razem? Jak ktoś w to wierzy że to będzie bezpieczniejsze to jest w dużym błędzie. Ale... jest JEDEN plus! Jeżeli ja pójdę do pracy w danej firmie i mi się tam nie spodoba albo pracodawcy ja się nie spodobam, to wtedy mam prawo żądać usunięcia danych i zaprzestania wydawania o mnie złej opinii do innych pracodawców. W dodatku pod karą administracyjną. I TO jest dobre. Bo miałem paru takich pseudo szefów że gdyby za to kary nie było to by już wisieli na latarni a zrobił bym to osobiście. Teraz będzie można powiedzieć , - macie o mnie zapomnieć. W końcu i nareszcie! Zawsze przy zmianie pracy nowy pracodawca dzwoni do starego. Nie dość że stary pracodawca sam był nie w porządku bo oszukiwał jak się dało to jeszcze spier* człowiekowi opinie u nowego. Ot tak , na zasadzie - ja ci pokażę kto tu rządzi. Teraz jest nadzieja że to w końcu ukrócą. bardzo szczęśliwy cool
_________________
Pijmy piwo jedzmy śledzie , będziem silni jak niedzwiedzie!
  
EI2KK
17.05.2018 08:55:08
poziom najwyższy i najjaśniejszy :-)



Grupa: Użytkownik

Posty: 1746 #2546407
Od: 2012-8-7
    sp6ryd pisze:

    Jeśli masz na myśli chmurę to w modelu SaaS on będzie jednak przetwarzał. Można to nawet zgeneralizować dla PaaS i IaaS bo samo przechowywanie jest również przetwarzaniem. No chyba że zaszyfrowałeś a klucze prywatne są tylko u Ciebie to wtedy te dane nie są danymi osobowymi.

    @EI2KK
    to do tego mega systemu zadałbym następujące pytania:
    - w których systemach zastosowano pseudonimizację jako mechanizm ochrony DO ?
    - jaki jest wymiar ryzyka dla DO w danym systemie ?
    - dla których systemów przeprowadzono analizę DPIA ?
    - w których systemach mamy zaimplementowane mechanizmy pozwalające na "realizowanie praw osób których dane dotyczą"
    - w których systemach mamy zaimplementowane oznaczanie czasu/zdarzenia po którym DO należy usunąć ?
    - dane których systemów potrafimy selektywnie usuwać z backupów czy logów systemowych ?
    - które dane osobowe przetwarzamy poza EU i w jakich przypadkach (czy serwisant bazy danych pracujący przez VPN z terenu USA przetwarza DO poza terenem EU ? a prezes firmy w podróży służbowej ? - uwaga na interpretację prawnika)
    - co do których systemów powinniśmy zaplanować weryfikację umów serwisowych ?
    ...
    ...
    wesoły



Tak, z tym że podejcie jest troche odwrotne.. nie "w których systemach", bo to już wynik końcowy, czyli zestawienia...

Struktura jest taka, że np. dla kazdej aplikacji zaczyna się od ustalenia 4 osób określonych w którymś ISO: Owner, RSM, kontakt, i chyba BISO.. nie zawracam sobie głowy pamiętaniem takich rzeczy, dostaje requirements, implementuje, kiedy po testach wchodzi do produkcji to 'zapominam'. Drugi krok, to wprowadzenie do systemu szeregu danych przez Owner.. jest zestaw wizards które ktoś 'wypełnia', system robi walidacje czy nie podał głupot itd itp.. dla przykładu, sama sekcja PII/PHI, liczy już około 100 pytań/parametrów. Raz do roku system wymusza audyt wewnętrzny. No i oczywiście mnóstwo raportów dostępnych dla upoważnionych osób oraz zapis wszystkich zmian jake dokonują użytkownicy + automatyczne wyliczanie różnych wskaźników jak Risk Tier, Risk Profile.... Wspomniałeś o umowach serwisowych... tu mamy chyba ponad 20 parametrów, powiązanie z komponentami (np .NET nie jest integralną częścią aplikacji, ale jest to core component za którego odpowiada ktoś inny). Itd itp.... w zasadzie od strony GDPR jesteśmy gotowi, kończe tylko sekcje danych związaną z SDLC.

_________________
Alles hat ein Ende, nur die Wurst hat zwei.

DMR TG 2600 (2720126)
Obrazek
  
Electra24.11.2024 14:08:28
poziom 5

oczka

Przejdz do góry stronyStrona: 1 / 2>>>    strony: [1]2

  << Pierwsza      < Poprzednia      Następna >     Ostatnia >>  

HOME » INNE » GDPR.

Aby pisac na forum musisz sie zalogować !!!

TestHub.pl - opinie, testy, oceny