GDPR

[Networker]

Здравейте колеги,
мисля, че е добре да обсъдим новия регламент за лични данни - да си сверим часовниците.
Имате ли готовност с промените, някой ако може да даде напътствия за нашия сектор - да си вържем гащите докато не е късно - 25-ти наближава.

Поздрави.

П.С.
Прилагам регламента преведен на Български заедно с едно много добро описание от в. Капитал и практични съвети от КЗЛД - който не ги е чел все още да се коригира.

Regulation_EU_2016_679_Bg.pdf

GDPR-Capital-2018.pdf

10_Steps_GDPR.pdf

Редактирано 3 Май, 2018 от Networker

[msboy]

Няма защо да преоткриваме топлата вода .  Витлата са направили документ свързан с личните данни, който е качен в сайта им " ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ И ЗАЩИТА НА ЛИЧНИТЕ ДАННИ ".  Точно и ясно е описано във въпросния документ кога , как и под каква форма се запазват и използват лични данни. За себе си казвам че нямам излишни пари да давам на юристи така че преработвам го и ТОВА Е

Редактирано 3 Май, 2018 от msboy
Допълване

[Networker]

Това е само едно от задълженията, които ще гледат при проверка.
Нещо по обработката на цифрови данни мислили ли сте, примерно относно трафичните данни, които според КРС са лични - които данни се съхраняват масово по GW-тата които обслужват клиенти. Или цифровите данни за клиенти/техници и прочие.

Поздрави.

[computer]

msboy, много бъркаш ако мислиш че ако препишеш такъв тип документ ще те спаси при проверка. Това е само върха на айсберга. Доколкото съм в течение при проверка ще трябва да кажеш какви мерки си взел за защита на личните данни, а не дали имаш лични данни или какво не събираш. Трябва да имаш политики и процедури за всяко нещо или действие при работа с лични данни, DPO и т.н.

[msboy]

До няколко дена ще ми пратят инструкция за изготвяне на "Вътрешни правила за защита на личните данни". Говори се също и за назначаване на човек на длъжност "Защита на личните данни".  Всички сме в кюпа така че спокойно. Като казвам кюп визирам всички, които ползват и използват лични данни. По държавните институции до момента нищо не е направено защото текат семинари на тема ЗЗДЛ (Закон за защита на личните данни ).  Юристите в момента мъдрят как да го натаманят за да е на принципа "използвам но не го запазвам". КРС също мълчи по Чл. 251 б от ЗАКОНА ЗА ЕЛЕКТРОННИТЕ СЪОБЩЕНИЯ.

.

[Networker]

Доставчиците ще са едни от първите, които ще тръгнат да проверяват (някъде из нета поясняваха че на година ще се проверяват по 4-5 хил фирми), това че ЗЗЛД още не е обновен не променя факта че GDPR е задължителен за всички държави членки.
DPO не се изисква за всяка фирма (имаше там 3 критерия, като единия беше ако има над 250 наети служителя).
По чл. 251 б по скоро трябва да си ги съхраняваме данните както до сега за 6 месеца но вече не уведомяваме КЗЛД за всяко унищожаване на данни - по-скоро си го представям като вътрешна за фирмата документация удостоверяваща унищожаване на записи по-стари от 6 месеца.

Освен това се гласи един отделен регламент само за ISP-та и други доставчици на обществени услуги - до колкото знам, все още не е финализиран, но и там ще има доста по темата.

[computer]

DPO се иска за всяка фирма. Над 250 човека персонал или над 10к субекта си длъжен да наемеш човек който да се занимава само с това при теб. Под тези стойности може да наемеш външна фирма.

Най-вероятно проверките ще са главно по документи - както се проверява за легален уиндоус. Реалното установяване дали всичко е направено както е описано е прилично трудно и времеотнемащо дори за експерт.

Редактирано 3 Май, 2018 от computer

[Networker]

DPO се иска при над 250 наети служители, 10к субекта (мисля, че са 5000) и ако обработваш чувствителна информация - тип медицинска. Иначе може да е фирма а може и сам - ако можеш.

Относно проверките - мисля, че този път ще са си съвсем реални, а не само на хартия - стимула от глоба 10 млн. Евро или 20 е достатъчен да ни гледат под лупа какво и как правим.

[gbdesign]

Проблема е, че изискванията са драконовски, а за "лични данни" се смята дори IP адреса Ви. Всички лични данни трябва да се съхраняват само в криптиран вид. Казано иначе, системите за билинг трябва да се преработят. 

[msboy]

Сега ще се пръкнат много фирми от типа на службите по  трудова медицина и ще предлагат услуги за GDPR . Даже забелязвам главоломно увеличаване броя на рекламите в нета за привеждане на изискванията с GDPR . Изпратих запитване към една фирма за оферта да видим какво ще върнат като отговор и колко лева ще искат :).

[Networker]

Преди 1 час, gbdesign написа:

Проблема е, че изискванията са драконовски, а за "лични данни" се смята дори IP адреса Ви. Всички лични данни трябва да се съхраняват само в криптиран вид. Казано иначе, системите за билинг трябва да се преработят. 

Освен билингите, така както е написано, криптиране трябва и за самите документи с лични данни - примерно за служители във фирмата - техници. Един договор да съставиш в *.doc файл, самия док трябва да е или на NAS с криптация или вътрешен съврър със същата функция. Тъпото е че трафичните данни, които се събират (и които според КРС са също лични) първоначално са на нормален GW, който няма криптация и дори да ги копираш тези данни на вънешен NAS с криптация има техно некриптирано копие и там става мазало.

По принтеснителен за мен е момента със счетоводството - ако сте към външна фирма или счетоводител на свободна практика (болнични - чувствителни данни са според закона понеже указват информация за медицинско състояние на човек, ведомости - колкото искаш лични данни и други подобни). Данните които се обработват от тях за наети във фирмата техници, там могат да се заядат, ако счетоводителя не спазва особено новия закон, в този случай глобите отново са за Работодателя - не за счетоводителя.

Апорпо, според мен private IP адрес (ако не се раздават публични) не би трябвало да са лични данни понеже са недостъпни от вън.

В Билингите информацията може да се обезличи - ако там има само username и номер на договор не може по тях да се открие кой е човека, всичко което ги свързва на хартиени списъци затоврени в метални каси/шкафове и така.

преди 32 минути, msboy написа:

Сега ще се пръкнат много фирми от типа на службите по  трудова медицина и ще предлагат услуги за GDPR . Даже забелязвам главоломно увеличаване броя на рекламите в нета за привеждане на изискванията с GDPR . Изпратих запитване към една фирма за оферта да видим какво ще върнат като отговор и колко лева ще искат :).

Те вече се пръкнаха много, проблема е, че по закон юридическа и финансова отговорност носи работодателя, а не наетия външен специалист или фирма за услуги свързани с GDPR.

[computer]

Проблем със сървърите с документи се решава лесно с NextCloud/OwnCloud + стандартно криптиране на диска в Линукс. Всички шернати у-ва от тип Самба/CIFS/Windows share трябва да изчезнат. NextCloud-a се достъпва или през клиента където комуникацията е криптирана или през уеб със ССЛ. Така се покриват всички условия, вкл. имаш т.нар. versioning на документите + лесно определяне на права кой какво и как може да гледа/едитва/трие + лог

Проблема със счетоводството както и всички други външни услуги се решават като се подпише доп. договор, така че отговорността се прехвърля при който го прави ако е външна фирма. Ако си имаш собствен счет сменяш софтуера с GDPR compliant.

Не би трябвало да се прави разлика между частни и публични ип адреси. ИП адресите са лични данни дотолкова доколкото с тях може да правиш профилиране. Така че профилирането е валидно за и за двете.

Билинг софтуера се търси ъпгрейд към ГДПР съвместимост от производителя. Повечето ще пуснат със сигурност иначе просто излизат от бизнеса дори да е опън сорс. Ако е собствен софтуер - имплементираш собствено решение или го сменяш.

Аз вече проверих за оферти по фирмите и положението е общо взето от 100лв на работно място месечно до .. ами имаше и нереални оферти по 30-50-150к за офис с 10 работни места. Някои искаха по 20-50к+ само за одит без GAP анализ, което е брутално

[puh]

колеги има ли развитие по темата - някой направил ли е нещо?

 

[space]

и аз това се питам ,като рикуест тайм аут съм ,така и не се разбрах какво сме длъжни?

[Networker]

Едно голямо писане на документи е. Като това не е достатъчно - трябва всичко да е подведено под текстовете на реламента, не само да е описано, че така се прави.
Техническия момент е добре засегнат в горните постове :).

Редактирано 19 Юни, 2018 от Networker