Jump to content

Recommended Posts

Networker

Здравейте колеги,
мисля, че е добре да обсъдим новия регламент за лични данни - да си сверим часовниците.
Имате ли готовност с промените, някой ако може да даде напътствия за нашия сектор - да си вържем гащите докато не е късно - 25-ти наближава.

Поздрави.

П.С.
Прилагам регламента преведен на Български заедно с едно много добро описание от в. Капитал и практични съвети от КЗЛД - който не ги е чел все още да се коригира.

Моля, влезте или се регистрирайте, за да видите този attachment.

Моля, влезте или се регистрирайте, за да видите този attachment.

Моля, влезте или се регистрирайте, за да видите този attachment.

Редактирано от Networker

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
msboy

Няма защо да преоткриваме топлата вода 🙂.  Витлата са направили документ свързан с личните данни, който е качен в сайта им " ПОЛИТИКА ЗА ПОВЕРИТЕЛНОСТ И ЗАЩИТА НА ЛИЧНИТЕ ДАННИ ".  Точно и ясно е описано във въпросния документ кога , как и под каква форма се запазват и използват лични данни. За себе си казвам че нямам излишни пари да давам на юристи така че преработвам го и ТОВА Е 🙂

Редактирано от msboy
Допълване

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
Networker

Това е само едно от задълженията, които ще гледат при проверка.
Нещо по обработката на цифрови данни мислили ли сте, примерно относно трафичните данни, които според КРС са лични - които данни се съхраняват масово по GW-тата които обслужват клиенти. Или цифровите данни за клиенти/техници и прочие.

Поздрави.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
computer

msboy, много бъркаш ако мислиш че ако препишеш такъв тип документ ще те спаси при проверка. Това е само върха на айсберга. Доколкото съм в течение при проверка ще трябва да кажеш какви мерки си взел за защита на личните данни, а не дали имаш лични данни или какво не събираш. Трябва да имаш политики и процедури за всяко нещо или действие при работа с лични данни, DPO и т.н.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
msboy

До няколко дена ще ми пратят инструкция за изготвяне на "Вътрешни правила за защита на личните данни". Говори се също и за назначаване на човек на длъжност "Защита на личните данни".  Всички сме в кюпа така че спокойно. Като казвам кюп визирам всички, които ползват и използват лични данни. По държавните институции до момента нищо не е направено защото текат семинари на тема ЗЗДЛ (Закон за защита на личните данни ).  Юристите в момента мъдрят как да го натаманят за да е на принципа "използвам но не го запазвам". КРС също мълчи по Чл. 251 б от ЗАКОНА ЗА ЕЛЕКТРОННИТЕ СЪОБЩЕНИЯ.

.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
Networker

Доставчиците ще са едни от първите, които ще тръгнат да проверяват (някъде из нета поясняваха че на година ще се проверяват по 4-5 хил фирми), това че ЗЗЛД още не е обновен не променя факта че GDPR е задължителен за всички държави членки.
DPO не се изисква за всяка фирма (имаше там 3 критерия, като единия беше ако има над 250 наети служителя).
По чл. 251 б по скоро трябва да си ги съхраняваме данните както до сега за 6 месеца но вече не уведомяваме КЗЛД за всяко унищожаване на данни - по-скоро си го представям като вътрешна за фирмата документация удостоверяваща унищожаване на записи по-стари от 6 месеца.

Освен това се гласи един отделен регламент само за ISP-та и други доставчици на обществени услуги - до колкото знам, все още не е финализиран, но и там ще има доста по темата.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
computer

DPO се иска за всяка фирма. Над 250 човека персонал или над 10к субекта си длъжен да наемеш човек който да се занимава само с това при теб. Под тези стойности може да наемеш външна фирма.

Най-вероятно проверките ще са главно по документи - както се проверява за легален уиндоус. Реалното установяване дали всичко е направено както е описано е прилично трудно и времеотнемащо дори за експерт.

Редактирано от computer

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
Networker

DPO се иска при над 250 наети служители, 10к субекта (мисля, че са 5000) и ако обработваш чувствителна информация - тип медицинска. Иначе може да е фирма а може и сам - ако можеш.

Относно проверките - мисля, че този път ще са си съвсем реални, а не само на хартия - стимула от глоба 10 млн. Евро или 20 е достатъчен да ни гледат под лупа какво и как правим.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
gbdesign

Проблема е, че изискванията са драконовски, а за "лични данни" се смята дори IP адреса Ви. Всички лични данни трябва да се съхраняват само в криптиран вид. Казано иначе, системите за билинг трябва да се преработят. 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
msboy

Сега ще се пръкнат много фирми от типа на службите по  трудова медицина 🙂 и ще предлагат услуги за GDPR . Даже забелязвам главоломно увеличаване броя на рекламите в нета за привеждане на изискванията с GDPR . Изпратих запитване към една фирма за оферта да видим какво ще върнат като отговор и колко лева ще искат :).

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
Networker
Преди 1 час, gbdesign написа:

Проблема е, че изискванията са драконовски, а за "лични данни" се смята дори IP адреса Ви. Всички лични данни трябва да се съхраняват само в криптиран вид. Казано иначе, системите за билинг трябва да се преработят. 

Освен билингите, така както е написано, криптиране трябва и за самите документи с лични данни - примерно за служители във фирмата - техници. Един договор да съставиш в *.doc файл, самия док трябва да е или на NAS с криптация или вътрешен съврър със същата функция. Тъпото е че трафичните данни, които се събират (и които според КРС са също лични) първоначално са на нормален GW, който няма криптация и дори да ги копираш тези данни на вънешен NAS с криптация има техно некриптирано копие и там става мазало.

По принтеснителен за мен е момента със счетоводството - ако сте към външна фирма или счетоводител на свободна практика (болнични - чувствителни данни са според закона понеже указват информация за медицинско състояние на човек, ведомости - колкото искаш лични данни и други подобни). Данните които се обработват от тях за наети във фирмата техници, там могат да се заядат, ако счетоводителя не спазва особено новия закон, в този случай глобите отново са за Работодателя - не за счетоводителя.

Апорпо, според мен private IP адрес (ако не се раздават публични) не би трябвало да са лични данни понеже са недостъпни от вън.

В Билингите информацията може да се обезличи - ако там има само username и номер на договор не може по тях да се открие кой е човека, всичко което ги свързва на хартиени списъци затоврени в метални каси/шкафове и така.

преди 32 минути, msboy написа:

Сега ще се пръкнат много фирми от типа на службите по  трудова медицина 🙂 и ще предлагат услуги за GDPR . Даже забелязвам главоломно увеличаване броя на рекламите в нета за привеждане на изискванията с GDPR . Изпратих запитване към една фирма за оферта да видим какво ще върнат като отговор и колко лева ще искат :).

Те вече се пръкнаха много, проблема е, че по закон юридическа и финансова отговорност носи работодателя, а не наетия външен специалист или фирма за услуги свързани с GDPR.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
computer

Проблем със сървърите с документи се решава лесно с NextCloud/OwnCloud + стандартно криптиране на диска в Линукс. Всички шернати у-ва от тип Самба/CIFS/Windows share трябва да изчезнат. NextCloud-a се достъпва или през клиента където комуникацията е криптирана или през уеб със ССЛ. Така се покриват всички условия, вкл. имаш т.нар. versioning на документите + лесно определяне на права кой какво и как може да гледа/едитва/трие + лог

Проблема със счетоводството както и всички други външни услуги се решават като се подпише доп. договор, така че отговорността се прехвърля при който го прави ако е външна фирма. Ако си имаш собствен счет сменяш софтуера с GDPR compliant.

Не би трябвало да се прави разлика между частни и публични ип адреси. ИП адресите са лични данни дотолкова доколкото с тях може да правиш профилиране. Така че профилирането е валидно за и за двете.

Билинг софтуера се търси ъпгрейд към ГДПР съвместимост от производителя. Повечето ще пуснат със сигурност иначе просто излизат от бизнеса дори да е опън сорс. Ако е собствен софтуер - имплементираш собствено решение или го сменяш.

Аз вече проверих за оферти по фирмите и положението е общо взето от 100лв на работно място месечно до .. ами имаше и нереални оферти по 30-50-150к за офис с 10 работни места. Някои искаха по 20-50к+ само за одит без GAP анализ, което е брутално

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване

  • Потребители разглеждащи страницата   1 потребител

    • dobriloff
×

Important Information

By using this site, you agree to our Terms of Use.