Networker Posted May 3, 2018 Report Share Posted May 3, 2018 (edited) Здравейте колеги, мисля, че е добре да обсъдим новия регламент за лични данни - да си сверим часовниците. Имате ли готовност с промените, някой ако може да даде напътствия за нашия сектор - да си вържем гащите докато не е късно - 25-ти наближава. Поздрави. П.С. Прилагам регламента преведен на Български заедно с едно много добро описание от в. Капитал и практични съвети от КЗЛД - който не ги е чел все още да се коригира. Regulation_EU_2016_679_Bg.pdf GDPR-Capital-2018.pdf 10_Steps_GDPR.pdf Edited May 3, 2018 by Networker “...ние, можещите водени от незнаещите, вършим невъзможното за кефа на неблагодарните. И сме направили толкова много, с толкова малко, за толкова дълго време, че сме се квалифицирали да правим всичко от нищо...”, Константин Йозеф Иречек, 13.12.1881 г. Link to comment Share on other sites More sharing options...
msboy Posted May 3, 2018 Report Share Posted May 3, 2018 (edited) Няма защо да преоткриваме топлата вода . Витлата са направили документ свързан с личните данни, който е качен в сайта им " ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ И ЗАЩИТА НА ЛИЧНИТЕ ДАННИ ". Точно и ясно е описано във въпросния документ кога , как и под каква форма се запазват и използват лични данни. За себе си казвам че нямам излишни пари да давам на юристи така че преработвам го и ТОВА Е Edited May 3, 2018 by msboy Допълване Link to comment Share on other sites More sharing options...
Networker Posted May 3, 2018 Author Report Share Posted May 3, 2018 Това е само едно от задълженията, които ще гледат при проверка. Нещо по обработката на цифрови данни мислили ли сте, примерно относно трафичните данни, които според КРС са лични - които данни се съхраняват масово по GW-тата които обслужват клиенти. Или цифровите данни за клиенти/техници и прочие. Поздрави. “...ние, можещите водени от незнаещите, вършим невъзможното за кефа на неблагодарните. И сме направили толкова много, с толкова малко, за толкова дълго време, че сме се квалифицирали да правим всичко от нищо...”, Константин Йозеф Иречек, 13.12.1881 г. Link to comment Share on other sites More sharing options...
computer Posted May 3, 2018 Report Share Posted May 3, 2018 msboy, много бъркаш ако мислиш че ако препишеш такъв тип документ ще те спаси при проверка. Това е само върха на айсберга. Доколкото съм в течение при проверка ще трябва да кажеш какви мерки си взел за защита на личните данни, а не дали имаш лични данни или какво не събираш. Трябва да имаш политики и процедури за всяко нещо или действие при работа с лични данни, DPO и т.н. Link to comment Share on other sites More sharing options...
msboy Posted May 3, 2018 Report Share Posted May 3, 2018 До няколко дена ще ми пратят инструкция за изготвяне на "Вътрешни правила за защита на личните данни". Говори се също и за назначаване на човек на длъжност "Защита на личните данни". Всички сме в кюпа така че спокойно. Като казвам кюп визирам всички, които ползват и използват лични данни. По държавните институции до момента нищо не е направено защото текат семинари на тема ЗЗДЛ (Закон за защита на личните данни ). Юристите в момента мъдрят как да го натаманят за да е на принципа "използвам но не го запазвам". КРС също мълчи по Чл. 251 б от ЗАКОНА ЗА ЕЛЕКТРОННИТЕ СЪОБЩЕНИЯ. . Link to comment Share on other sites More sharing options...
Networker Posted May 3, 2018 Author Report Share Posted May 3, 2018 Доставчиците ще са едни от първите, които ще тръгнат да проверяват (някъде из нета поясняваха че на година ще се проверяват по 4-5 хил фирми), това че ЗЗЛД още не е обновен не променя факта че GDPR е задължителен за всички държави членки. DPO не се изисква за всяка фирма (имаше там 3 критерия, като единия беше ако има над 250 наети служителя). По чл. 251 б по скоро трябва да си ги съхраняваме данните както до сега за 6 месеца но вече не уведомяваме КЗЛД за всяко унищожаване на данни - по-скоро си го представям като вътрешна за фирмата документация удостоверяваща унищожаване на записи по-стари от 6 месеца. Освен това се гласи един отделен регламент само за ISP-та и други доставчици на обществени услуги - до колкото знам, все още не е финализиран, но и там ще има доста по темата. “...ние, можещите водени от незнаещите, вършим невъзможното за кефа на неблагодарните. И сме направили толкова много, с толкова малко, за толкова дълго време, че сме се квалифицирали да правим всичко от нищо...”, Константин Йозеф Иречек, 13.12.1881 г. Link to comment Share on other sites More sharing options...
computer Posted May 3, 2018 Report Share Posted May 3, 2018 (edited) DPO се иска за всяка фирма. Над 250 човека персонал или над 10к субекта си длъжен да наемеш човек който да се занимава само с това при теб. Под тези стойности може да наемеш външна фирма. Най-вероятно проверките ще са главно по документи - както се проверява за легален уиндоус. Реалното установяване дали всичко е направено както е описано е прилично трудно и времеотнемащо дори за експерт. Edited May 3, 2018 by computer Link to comment Share on other sites More sharing options...
Networker Posted May 3, 2018 Author Report Share Posted May 3, 2018 DPO се иска при над 250 наети служители, 10к субекта (мисля, че са 5000) и ако обработваш чувствителна информация - тип медицинска. Иначе може да е фирма а може и сам - ако можеш. Относно проверките - мисля, че този път ще са си съвсем реални, а не само на хартия - стимула от глоба 10 млн. Евро или 20 е достатъчен да ни гледат под лупа какво и как правим. “...ние, можещите водени от незнаещите, вършим невъзможното за кефа на неблагодарните. И сме направили толкова много, с толкова малко, за толкова дълго време, че сме се квалифицирали да правим всичко от нищо...”, Константин Йозеф Иречек, 13.12.1881 г. Link to comment Share on other sites More sharing options...
gbdesign Posted May 4, 2018 Report Share Posted May 4, 2018 Проблема е, че изискванията са драконовски, а за "лични данни" се смята дори IP адреса Ви. Всички лични данни трябва да се съхраняват само в криптиран вид. Казано иначе, системите за билинг трябва да се преработят. Link to comment Share on other sites More sharing options...
msboy Posted May 4, 2018 Report Share Posted May 4, 2018 Сега ще се пръкнат много фирми от типа на службите по трудова медицина и ще предлагат услуги за GDPR . Даже забелязвам главоломно увеличаване броя на рекламите в нета за привеждане на изискванията с GDPR . Изпратих запитване към една фирма за оферта да видим какво ще върнат като отговор и колко лева ще искат :). Link to comment Share on other sites More sharing options...
Networker Posted May 4, 2018 Author Report Share Posted May 4, 2018 Преди 1 час, gbdesign написа: Проблема е, че изискванията са драконовски, а за "лични данни" се смята дори IP адреса Ви. Всички лични данни трябва да се съхраняват само в криптиран вид. Казано иначе, системите за билинг трябва да се преработят. Освен билингите, така както е написано, криптиране трябва и за самите документи с лични данни - примерно за служители във фирмата - техници. Един договор да съставиш в *.doc файл, самия док трябва да е или на NAS с криптация или вътрешен съврър със същата функция. Тъпото е че трафичните данни, които се събират (и които според КРС са също лични) първоначално са на нормален GW, който няма криптация и дори да ги копираш тези данни на вънешен NAS с криптация има техно некриптирано копие и там става мазало. По принтеснителен за мен е момента със счетоводството - ако сте към външна фирма или счетоводител на свободна практика (болнични - чувствителни данни са според закона понеже указват информация за медицинско състояние на човек, ведомости - колкото искаш лични данни и други подобни). Данните които се обработват от тях за наети във фирмата техници, там могат да се заядат, ако счетоводителя не спазва особено новия закон, в този случай глобите отново са за Работодателя - не за счетоводителя. Апорпо, според мен private IP адрес (ако не се раздават публични) не би трябвало да са лични данни понеже са недостъпни от вън. В Билингите информацията може да се обезличи - ако там има само username и номер на договор не може по тях да се открие кой е човека, всичко което ги свързва на хартиени списъци затоврени в метални каси/шкафове и така. преди 32 минути, msboy написа: Сега ще се пръкнат много фирми от типа на службите по трудова медицина и ще предлагат услуги за GDPR . Даже забелязвам главоломно увеличаване броя на рекламите в нета за привеждане на изискванията с GDPR . Изпратих запитване към една фирма за оферта да видим какво ще върнат като отговор и колко лева ще искат :). Те вече се пръкнаха много, проблема е, че по закон юридическа и финансова отговорност носи работодателя, а не наетия външен специалист или фирма за услуги свързани с GDPR. “...ние, можещите водени от незнаещите, вършим невъзможното за кефа на неблагодарните. И сме направили толкова много, с толкова малко, за толкова дълго време, че сме се квалифицирали да правим всичко от нищо...”, Константин Йозеф Иречек, 13.12.1881 г. Link to comment Share on other sites More sharing options...
computer Posted May 4, 2018 Report Share Posted May 4, 2018 Проблем със сървърите с документи се решава лесно с NextCloud/OwnCloud + стандартно криптиране на диска в Линукс. Всички шернати у-ва от тип Самба/CIFS/Windows share трябва да изчезнат. NextCloud-a се достъпва или през клиента където комуникацията е криптирана или през уеб със ССЛ. Така се покриват всички условия, вкл. имаш т.нар. versioning на документите + лесно определяне на права кой какво и как може да гледа/едитва/трие + лог Проблема със счетоводството както и всички други външни услуги се решават като се подпише доп. договор, така че отговорността се прехвърля при който го прави ако е външна фирма. Ако си имаш собствен счет сменяш софтуера с GDPR compliant. Не би трябвало да се прави разлика между частни и публични ип адреси. ИП адресите са лични данни дотолкова доколкото с тях може да правиш профилиране. Така че профилирането е валидно за и за двете. Билинг софтуера се търси ъпгрейд към ГДПР съвместимост от производителя. Повечето ще пуснат със сигурност иначе просто излизат от бизнеса дори да е опън сорс. Ако е собствен софтуер - имплементираш собствено решение или го сменяш. Аз вече проверих за оферти по фирмите и положението е общо взето от 100лв на работно място месечно до .. ами имаше и нереални оферти по 30-50-150к за офис с 10 работни места. Някои искаха по 20-50к+ само за одит без GAP анализ, което е брутално Link to comment Share on other sites More sharing options...
puh Posted June 14, 2018 Report Share Posted June 14, 2018 колеги има ли развитие по темата - някой направил ли е нещо? Link to comment Share on other sites More sharing options...
space Posted June 14, 2018 Report Share Posted June 14, 2018 и аз това се питам ,като рикуест тайм аут съм ,така и не се разбрах какво сме длъжни? Link to comment Share on other sites More sharing options...
Networker Posted June 19, 2018 Author Report Share Posted June 19, 2018 (edited) Едно голямо писане на документи е. Като това не е достатъчно - трябва всичко да е подведено под текстовете на реламента, не само да е описано, че така се прави. Техническия момент е добре засегнат в горните постове :). Edited June 19, 2018 by Networker “...ние, можещите водени от незнаещите, вършим невъзможното за кефа на неблагодарните. И сме направили толкова много, с толкова малко, за толкова дълго време, че сме се квалифицирали да правим всичко от нищо...”, Константин Йозеф Иречек, 13.12.1881 г. Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now