Změny informace o uživatelích sítě

[Petr S.]

Zdravím,

prý jsou od nového roku nějaké změny ohledně informačních systémů pro ukládání informací o uživatelích - nevíte konkrétně o co jde? Nevím z toho pořádně ani hlavu ani patu...

Díky.

[Majklik]

Asi jsi zaregistroval počínající paniku ohledně nástupu GDPR, což je nařízen EU 2016/679 o ochrna osobních údajů. Platnpst nastupuje koncem května 2018, ale obecně vyvolává paniku už teď, protože zavadí slušné flastry (po přepočtu z EUR) za kdejakou blbost a bude se týkat v podstatě všech, kdo manipulují s něčím, jako osobní inforamce. Uklidňující je, že nejvíce na držku dostane zdravotnictví a pojišťováci (bankovní sektor už obvkykle plní), pak někde bude dál ISPíci a podobná verbež.
Řekl bych, že teď je nejlepší džob začít se školit a získat ceritikaci na manažera osobníc informací, což je figurka, kterou povinně bude muset každý mít, což bude taková veš, kterou si budeš muset platit, ta bude stát fakticky mimo tebe, bude tě buzerovat za nakládání s osobníma daty a její šéf fakticky v Česku bude ÚOOÚ. To je taková humornější sránka té věci.Techniká/organizační stránka věci už tak humorná nebude (požadavky na zabezpečení, sepace rolí, ...).

[okoun]

takže tedy § 63 odst. 3 zák.č. 127/2005 Sb. o elektronických komunikacích, který mě nutí třeba mít rodné číslo nepodnikajcího zákazníka tedy nebude už platit?

[Petr S.]

Asi jsi zaregistroval počínající paniku ohledně nástupu GDPR, což je nařízen EU 2016/679 o ochrna osobních údajů. Platnpst nastupuje koncem května 2018, ale obecně vyvolává paniku už teď, protože zavadí slušné flastry (po přepočtu z EUR) za kdejakou blbost a bude se týkat v podstatě všech, kdo manipulují s něčím, jako osobní inforamce. Uklidňující je, že nejvíce na držku dostane zdravotnictví a pojišťováci (bankovní sektor už obvkykle plní), pak někde bude dál ISPíci a podobná verbež.
Řekl bych, že teď je nejlepší džob začít se školit a získat ceritikaci na manažera osobníc informací, což je figurka, kterou povinně bude muset každý mít, což bude taková veš, kterou si budeš muset platit, ta bude stát fakticky mimo tebe, bude tě buzerovat za nakládání s osobníma daty a její šéf fakticky v Česku bude ÚOOÚ. To je taková humornější sránka té věci.Techniká/organizační stránka věci už tak humorná nebude (požadavky na zabezpečení, sepace rolí, ...).

Zajímavé... Nikde jsem moc nenašel přesné specifikace, aniž by kolem toho bylo strašných keců kolem. Jen třeba informaci, že :

Nařízení obecně posiluje práva fyzických osob, jejichž osobní údaje jsou zpracovávány, klade důraz na to, aby subjekty zpracovávající osobní údaje zpracovávali pouze údaje, které skutečně potřebují, aby vynaložili veškerou odbornou péči na eliminaci rizik spojených se zneužitím, neoprávněným přístupem nebo neoprávněným zveřejněním osobních údajů.

Takže z toho nic nepoznám.

Bude něco z toho vyloženě nutné? Tedy když jsou údaje o zákazníkovi v nějakém systému na serveru - tak třeba aby byla povinnost mít přístup šifrovaný přes HTTPS, pravidelný zálohy, nebo třeba trezor na zálohy a tak?

Je to specifikované nějak konkrétně?

[Majklik]

Bude něco z toho vyloženě nutné? Tedy když jsou údaje o zákazníkovi v nějakém systému na serveru - tak třeba aby byla povinnost mít přístup šifrovaný přes HTTPS, pravidelný zálohy, nebo třeba trezor na zálohy a tak?

Je to specifikované nějak konkrétně?

Měl by se objevit "národní výklad" GDPR, který tomu dá jasnější obraz (předpokládám že jsi našinec a podnikáš jen v ČR, obecně, pokud podnikáš ve vícero státech EU, tak se budeš řídit v celé EU národním výkladem státu, kde máš největší část operací, protože vůči němu budeš mít i danou informační/konzultační povinnost).
Toto by měl právě řešit ten manažer osobních informací. Měl by stát za analýzou, která konkrétně pro tvůj případ určí jaké osobní informace zpracováváš, jak a z toho vyplynou postupy a nároky, co a jak dělat a v jakém rozsahu. Toto si necháš schválit od úřadu a pak podle toho budeš interně posupovat.
A pak bude na této figurce toto prosadit a kontolovat. Stejně tak bude mít reportovací povinnosti proti státu, když se stane nějaký průser. Ta figurka bude buď jen tvoje (zaměstnanec), pokud jsi velký. U menších, kde by vyplynula její povinnost, tak klidně nasmlouvaný nějaký externista. V podstatě sjená pozice, jak auditor.

takže tedy § 63 odst. 3 zák.č. 127/2005 Sb. o elektronických komunikacích, který mě nutí třeba mít rodné číslo nepodnikajcího zákazníka tedy nebude už platit?

Ke zpracování osobního údje buď máš prokazatelný souhlas dané osoby nebo to plyne z nějakého jiného předpisu. V tomto případě ZoEK to po tobě chce, tak si budeš RČ sušit, ale budeš s ním nakládat v souladu s tím GDPR a svým předpism na prácí/ochranu osobních dat.

[Majklik]

Tady je přímo znění té směrnice EU 2016/679: http://eur-lex.europa.eu/legal-content/ ... 32016R0679
A zde hezký panický článek na dané téma na ihnedu z minulého týdne: http://byznys.ihned.cz/c1-65591920-cesk ... ove-pokuty
Je třeba zachovt paniku a aspoň se člověk trochu procvičí v homomorfních a multidoménových šifrách na sloupečky dat v DB, aby dostál představy úředníka (to je jedno z možných řešeneí sprostého slova pseudonymizace v tom EU glejtu).

[ludvik]

Těch třináct tisíc nových úředníků jsem také viděl ... hlava mi to nebere, když čistě státních "opravdových úředníků" je do padesáti tisíc, ne?

[zdenek.svarc]

viewtopic.php?f=41&t=22604