Jump to content

GDPR


Recommended Posts

Здравейте колеги,
мисля, че е добре да обсъдим новия регламент за лични данни - да си сверим часовниците.
Имате ли готовност с промените, някой ако може да даде напътствия за нашия сектор - да си вържем гащите докато не е късно - 25-ти наближава.

Поздрави.

П.С.
Прилагам регламента преведен на Български заедно с едно много добро описание от в. Капитал и практични съвети от КЗЛД - който не ги е чел все още да се коригира.

Regulation_EU_2016_679_Bg.pdf

GDPR-Capital-2018.pdf

10_Steps_GDPR.pdf

Edited by Networker

“...ние, можещите водени от незнаещите, вършим невъзможното за кефа на неблагодарните. И сме направили толкова много, с толкова малко, за толкова дълго време, че сме се квалифицирали да правим всичко от нищо...”, Константин Йозеф Иречек, 13.12.1881 г.

Link to comment
Share on other sites

Няма защо да преоткриваме топлата вода ?.  Витлата са направили документ свързан с личните данни, който е качен в сайта им " ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ И ЗАЩИТА НА ЛИЧНИТЕ ДАННИ ".  Точно и ясно е описано във въпросния документ кога , как и под каква форма се запазват и използват лични данни. За себе си казвам че нямам излишни пари да давам на юристи така че преработвам го и ТОВА Е ?

Edited by msboy
Допълване
Link to comment
Share on other sites

Това е само едно от задълженията, които ще гледат при проверка.
Нещо по обработката на цифрови данни мислили ли сте, примерно относно трафичните данни, които според КРС са лични - които данни се съхраняват масово по GW-тата които обслужват клиенти. Или цифровите данни за клиенти/техници и прочие.

Поздрави.

“...ние, можещите водени от незнаещите, вършим невъзможното за кефа на неблагодарните. И сме направили толкова много, с толкова малко, за толкова дълго време, че сме се квалифицирали да правим всичко от нищо...”, Константин Йозеф Иречек, 13.12.1881 г.

Link to comment
Share on other sites

msboy, много бъркаш ако мислиш че ако препишеш такъв тип документ ще те спаси при проверка. Това е само върха на айсберга. Доколкото съм в течение при проверка ще трябва да кажеш какви мерки си взел за защита на личните данни, а не дали имаш лични данни или какво не събираш. Трябва да имаш политики и процедури за всяко нещо или действие при работа с лични данни, DPO и т.н.

Link to comment
Share on other sites

До няколко дена ще ми пратят инструкция за изготвяне на "Вътрешни правила за защита на личните данни". Говори се също и за назначаване на човек на длъжност "Защита на личните данни".  Всички сме в кюпа така че спокойно. Като казвам кюп визирам всички, които ползват и използват лични данни. По държавните институции до момента нищо не е направено защото текат семинари на тема ЗЗДЛ (Закон за защита на личните данни ).  Юристите в момента мъдрят как да го натаманят за да е на принципа "използвам но не го запазвам". КРС също мълчи по Чл. 251 б от ЗАКОНА ЗА ЕЛЕКТРОННИТЕ СЪОБЩЕНИЯ.

.
Link to comment
Share on other sites

Доставчиците ще са едни от първите, които ще тръгнат да проверяват (някъде из нета поясняваха че на година ще се проверяват по 4-5 хил фирми), това че ЗЗЛД още не е обновен не променя факта че GDPR е задължителен за всички държави членки.
DPO не се изисква за всяка фирма (имаше там 3 критерия, като единия беше ако има над 250 наети служителя).
По чл. 251 б по скоро трябва да си ги съхраняваме данните както до сега за 6 месеца но вече не уведомяваме КЗЛД за всяко унищожаване на данни - по-скоро си го представям като вътрешна за фирмата документация удостоверяваща унищожаване на записи по-стари от 6 месеца.

Освен това се гласи един отделен регламент само за ISP-та и други доставчици на обществени услуги - до колкото знам, все още не е финализиран, но и там ще има доста по темата.

“...ние, можещите водени от незнаещите, вършим невъзможното за кефа на неблагодарните. И сме направили толкова много, с толкова малко, за толкова дълго време, че сме се квалифицирали да правим всичко от нищо...”, Константин Йозеф Иречек, 13.12.1881 г.

Link to comment
Share on other sites

DPO се иска за всяка фирма. Над 250 човека персонал или над 10к субекта си длъжен да наемеш човек който да се занимава само с това при теб. Под тези стойности може да наемеш външна фирма.

Най-вероятно проверките ще са главно по документи - както се проверява за легален уиндоус. Реалното установяване дали всичко е направено както е описано е прилично трудно и времеотнемащо дори за експерт.

Edited by computer
Link to comment
Share on other sites

DPO се иска при над 250 наети служители, 10к субекта (мисля, че са 5000) и ако обработваш чувствителна информация - тип медицинска. Иначе може да е фирма а може и сам - ако можеш.

Относно проверките - мисля, че този път ще са си съвсем реални, а не само на хартия - стимула от глоба 10 млн. Евро или 20 е достатъчен да ни гледат под лупа какво и как правим.

“...ние, можещите водени от незнаещите, вършим невъзможното за кефа на неблагодарните. И сме направили толкова много, с толкова малко, за толкова дълго време, че сме се квалифицирали да правим всичко от нищо...”, Константин Йозеф Иречек, 13.12.1881 г.

Link to comment
Share on other sites

Проблема е, че изискванията са драконовски, а за "лични данни" се смята дори IP адреса Ви. Всички лични данни трябва да се съхраняват само в криптиран вид. Казано иначе, системите за билинг трябва да се преработят. 

Link to comment
Share on other sites

Сега ще се пръкнат много фирми от типа на службите по  трудова медицина ? и ще предлагат услуги за GDPR . Даже забелязвам главоломно увеличаване броя на рекламите в нета за привеждане на изискванията с GDPR . Изпратих запитване към една фирма за оферта да видим какво ще върнат като отговор и колко лева ще искат :).

Link to comment
Share on other sites

Преди 1 час, gbdesign написа:

Проблема е, че изискванията са драконовски, а за "лични данни" се смята дори IP адреса Ви. Всички лични данни трябва да се съхраняват само в криптиран вид. Казано иначе, системите за билинг трябва да се преработят. 

Освен билингите, така както е написано, криптиране трябва и за самите документи с лични данни - примерно за служители във фирмата - техници. Един договор да съставиш в *.doc файл, самия док трябва да е или на NAS с криптация или вътрешен съврър със същата функция. Тъпото е че трафичните данни, които се събират (и които според КРС са също лични) първоначално са на нормален GW, който няма криптация и дори да ги копираш тези данни на вънешен NAS с криптация има техно некриптирано копие и там става мазало.

По принтеснителен за мен е момента със счетоводството - ако сте към външна фирма или счетоводител на свободна практика (болнични - чувствителни данни са според закона понеже указват информация за медицинско състояние на човек, ведомости - колкото искаш лични данни и други подобни). Данните които се обработват от тях за наети във фирмата техници, там могат да се заядат, ако счетоводителя не спазва особено новия закон, в този случай глобите отново са за Работодателя - не за счетоводителя.

Апорпо, според мен private IP адрес (ако не се раздават публични) не би трябвало да са лични данни понеже са недостъпни от вън.

В Билингите информацията може да се обезличи - ако там има само username и номер на договор не може по тях да се открие кой е човека, всичко което ги свързва на хартиени списъци затоврени в метални каси/шкафове и така.

преди 32 минути, msboy написа:

Сега ще се пръкнат много фирми от типа на службите по  трудова медицина ? и ще предлагат услуги за GDPR . Даже забелязвам главоломно увеличаване броя на рекламите в нета за привеждане на изискванията с GDPR . Изпратих запитване към една фирма за оферта да видим какво ще върнат като отговор и колко лева ще искат :).

Те вече се пръкнаха много, проблема е, че по закон юридическа и финансова отговорност носи работодателя, а не наетия външен специалист или фирма за услуги свързани с GDPR.

“...ние, можещите водени от незнаещите, вършим невъзможното за кефа на неблагодарните. И сме направили толкова много, с толкова малко, за толкова дълго време, че сме се квалифицирали да правим всичко от нищо...”, Константин Йозеф Иречек, 13.12.1881 г.

Link to comment
Share on other sites

Проблем със сървърите с документи се решава лесно с NextCloud/OwnCloud + стандартно криптиране на диска в Линукс. Всички шернати у-ва от тип Самба/CIFS/Windows share трябва да изчезнат. NextCloud-a се достъпва или през клиента където комуникацията е криптирана или през уеб със ССЛ. Така се покриват всички условия, вкл. имаш т.нар. versioning на документите + лесно определяне на права кой какво и как може да гледа/едитва/трие + лог

Проблема със счетоводството както и всички други външни услуги се решават като се подпише доп. договор, така че отговорността се прехвърля при който го прави ако е външна фирма. Ако си имаш собствен счет сменяш софтуера с GDPR compliant.

Не би трябвало да се прави разлика между частни и публични ип адреси. ИП адресите са лични данни дотолкова доколкото с тях може да правиш профилиране. Така че профилирането е валидно за и за двете.

Билинг софтуера се търси ъпгрейд към ГДПР съвместимост от производителя. Повечето ще пуснат със сигурност иначе просто излизат от бизнеса дори да е опън сорс. Ако е собствен софтуер - имплементираш собствено решение или го сменяш.

Аз вече проверих за оферти по фирмите и положението е общо взето от 100лв на работно място месечно до .. ами имаше и нереални оферти по 30-50-150к за офис с 10 работни места. Някои искаха по 20-50к+ само за одит без GAP анализ, което е брутално

Link to comment
Share on other sites

  • 1 month later...

и аз това се питам ,като рикуест тайм аут съм ,така и не се разбрах какво сме длъжни?

Link to comment
Share on other sites

Едно голямо писане на документи е. Като това не е достатъчно - трябва всичко да е подведено под текстовете на реламента, не само да е описано, че така се прави.
Техническия момент е добре засегнат в горните постове :).

Edited by Networker

“...ние, можещите водени от незнаещите, вършим невъзможното за кефа на неблагодарните. И сме направили толкова много, с толкова малко, за толкова дълго време, че сме се квалифицирали да правим всичко от нищо...”, Константин Йозеф Иречек, 13.12.1881 г.

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.