GDPR (General Data Protection Regulation)

Právní problematika, závazná legislativa, provozní a lokalizační údaje, atd.
Uživatelský avatar
zdenek.svarc
Administrator
Příspěvky: 1569
Registrován: 13 years ago
antispam: Ano
Kontaktovat uživatele:

GDPR (General Data Protection Regulation)

Příspěvekod zdenek.svarc » 1 year ago

Update 18.4.2018

Přátelé, některé poslední příspěvky ukazují naprostou nedostatečnost v chápání GDRP. K tomu není tohle vlákno. Nikdo to za Vás nenastuduje, bohužel. Běžte na

https://www.gdpr.cz
https://www.uoou.cz/gdpr-obecne-narizen ... 38/p1=3938

a studujte. Za jedno nebo dvě odpoledne máte nestudované vše podstatné, opravdu. Je to opruz, ale je to nutné. V tomhle vlákně pak řešme konkrétní případy a implementace. Děkuju za pochopení.


--
Sice máme ještě rok čas, ale vyplatí se začít pomalu zabývat GDPR. Něco málo už na fóru proběhlo. Výborným odrazovým bodem je web Evy Škorničkové:

https://www.gdpr.cz

Do tohoto vlákna budeme postupně upřesňovat GDPR problematiku ve vztahu k ISP. Kdo je připraven, není zaskočen :v:
0 x

Uživatelský avatar
zdenek.svarc
Administrator
Příspěvky: 1569
Registrován: 13 years ago
antispam: Ano
Kontaktovat uživatele:

Příspěvekod zdenek.svarc » 1 year ago

Zjišťoval někdo, zda-li na ISP padne tvrdé GDPR tzn. včetně pověřence (https://www.gdpr.cz/gdpr/dpo) nebo měkké GDPR bez pověřence? Dle mého soukromého soudu by ISP mohli fungovat v GDPR režimu bez pověrence, ale díky sběru data retention už to spíš vypadá na tvrdé GDPR. Nejspíš bych v této věci zkusil formulovat dotaz na ÚOOÚ.
0 x

Majklik
Příspěvky: 1949
Registrován: 7 years ago

Příspěvekod Majklik » 1 year ago

ÚOOÚ by chělo snad hlavně nakopnout, aby byl už národní výklad...

Co se ISPíků týče, tak se obávám, že pro telco sektor platí tvrdé, snad ve všech těch přehledech je uváděn jako typický zpracovatel velkého množství a citlivých osobních údajů. Takže varianta s pověřencem. Vyjímka bude OSVČ ISP vesnického formátu, který má svých 200 přípojek a konec (analogie se zdravotnictvím, obvoďák s pár sty lidí ne, ale malej špitál s 2.000 záznamy už ano).

Velmi zajimavý bude spíše bod, zda na ISP dopadne článek 30 (Záznamy o činnostech zpracování) na téma dokladování jednotlivých manipulací/zobrazení/změn/.. osobních údajů, že se to vezme za subjekt soustavně zpracovávjící osobní data rizikovm způsobem nebo se ve většině případů schová pod vyjímku pro mikrofirmy do 250 zaměstanců, kteří tento bod nemusí plnit. Pro tvrdší varintu už nyní je v podstatě požadavky v ZoEK na metodiku a postupy pro zpracování a dokladování předávání zejména dat z data retention.

Také bude zjimavé, co pro taového malého ISP se bude akceptovt jako technikcé a orgnizaní řešení práce s daty při běžném provozu, zejména v případě, kdy jeden člověk fakticky plní X rolí.
1 x

Uživatelský avatar
okoun
Příspěvky: 5531
Registrován: 9 years ago
antispam: Ano
Bydliště: Mordor

Příspěvekod okoun » 11 months ago

dnes na konferenci v plzni zaznělo že IP adresa je osobní údaj, jak tedy zacházet s takovým osobním údajem, když třeba na RIPE je snadno dohledatelné komu IP patří?
0 x
Ufff, zajímalo by mě jestli vlákno "60GHz" překoná flame vlákno o "PBM10" :D

rsaf
Příspěvky: 606
Registrován: 11 years ago

Příspěvekod rsaf » 11 months ago

Vy do RIPE DB registrujete jednoltivé IP adresy přímo na koncové zákazníky?
IP adresa se osobním údajem stává až v okamžiku, kdy může vést ke "ztotožnění" konkrétní fyzické osoby.
Pokud má provider seznam zařízení v podobě TYP, SN, MAC, IP, osobní údaje to nebudou a pokud takový seznam unikne, celkem nic se neděje.
Pokud ale např. sexshopu unikne LOG z webserveru, kde je URL stránky a IP adresa návštěvníka, tak se o osobní údaje jednat může. Může se totiž najít např. zvědavý ISP který LOG projede a z něj se dozví, o jaké prasečinky se konkrétní zákazník zajímá.
0 x

Uživatelský avatar
okoun
Příspěvky: 5531
Registrován: 9 years ago
antispam: Ano
Bydliště: Mordor

Příspěvekod okoun » 11 months ago

hmm mělo by se to do RIPE psát kdo má danou adresu, třeba náš LIR od kterého jsme měly adresy to tam psal, mají tam na to i API takže není problém si to prpojit se systémem...
0 x
Ufff, zajímalo by mě jestli vlákno "60GHz" překoná flame vlákno o "PBM10" :D

Dalibor Toman
Příspěvky: 1149
Registrován: 5 years ago

Příspěvekod Dalibor Toman » 11 months ago

okoun píše:hmm mělo by se to do RIPE psát kdo má danou adresu, třeba náš LIR od kterého jsme měly adresy to tam psal, mají tam na to i API takže není problém si to prpojit se systémem...


to je otazka. RIPE naprosto nic nenamita proti registraci IPcek jako 'blok IP pro klienty'. Prosli jsme nekolika kontrolami a audity od RIPE a nikdy s tim nebyl problem. Jednak myslim, je dost na hrane, aby se v RIPE db objevil zaznam pro sit /30, ze patri Panu Novakovi bytem tamatam a jednak by to ISP dost zatizilo (registrace, zmeny, mazani). A kdo vi, jestli by pak to zvysene mnozstvi zaznamu RIPE DB zvladla :-)

https://apps.db.ripe.net/search/lookup. ... pe=inetnum
0 x

Uživatelský avatar
okoun
Příspěvky: 5531
Registrován: 9 years ago
antispam: Ano
Bydliště: Mordor

Příspěvekod okoun » 11 months ago

tak psal jsem, že je na to API takže zátěž minimální... ale mělo by se to tam psát právě proto, aby na internetu nebyl zcela anonymní bordel...
trochu mi právě připadá že to GDPR nahrává jen úchylákům a podobně aby ještě více byly zahalení anonymitou....
přijde mi to stejné /32 jako /22 a podobně... pokud v ripe nenapíšu koho ta ip je tak automaticky jde všechno na mě, což není dobré. alespoň tak bych to logicky mělo být
0 x
Ufff, zajímalo by mě jestli vlákno "60GHz" překoná flame vlákno o "PBM10" :D

sorenson.lena
Příspěvky: 1
Registrován: 9 months ago

Příspěvekod sorenson.lena » 9 months ago

Tenhle webinář by mohl taky pomoct, vedou to IT specialisti a právní kancelář Sedláková Legal, je to zadarmo https://attendee.gotowebinar.com/rt/4234366999125428225. Plus ještě na blogu Safetica Technologies je několik článků o GDPR a pod nimi se lidi ptají na všechno možné: https://www.safetica.cz/blog/46-otazek- ... i-ke-gdpr/
0 x

ronin
Příspěvky: 11
Registrován: 7 years ago

Příspěvekod ronin » 8 months ago

Uvažuje někdo z vás udělat si sám certifikaci na DPO? Nebo to nechat udělat někoho ve firmě?
Pokud ano, tak kde a za kolik? A co vše to obnáší?
0 x

Uživatelský avatar
dubrma
Příspěvky: 372
Registrován: 7 years ago

Příspěvekod dubrma » 8 months ago

praxe...
Výstřižek.jpg
Výstřižek.jpg (72.36 KiB) Zobrazeno 3043 x
0 x
Je mi jedno co mám v síti, ale musí to jet...

Uživatelský avatar
okoun
Příspěvky: 5531
Registrován: 9 years ago
antispam: Ano
Bydliště: Mordor

Příspěvekod okoun » 6 months ago

GDPR už tuká na dveře a mě by zajímalo jak k tomu má přisutpovat měnší poskytovatel do 2K zákazníků? Má vyškolit osobu DPO nebo si ji má zaplatit? Případně jaké ceny jsou v normě? Co jsem se koukal tak to je docela raketa za takovou osobu a pokud někdo naříkal na finanční dopad EET tak toto je asi finanční průser totální :D
1 x
Ufff, zajímalo by mě jestli vlákno "60GHz" překoná flame vlákno o "PBM10" :D

zubodravec
Příspěvky: 760
Registrován: 7 years ago
Kontaktovat uživatele:

Příspěvekod zubodravec » 6 months ago

Udelej ze sebe Poverence, a zamestnance (ktery nema ve firme exekutivu a nemuze ovlivnovat procesy z pozice managera) si pridej k pozici spravce.
v GDPR preambuli je to docela dobre popsany, akorat je to slohovka, nutno precist na zachode. Muzu Ti pujcit muj vytisk s poznamky oznacene fixem. Podle nove vzniklych pozic/titulu pracovniku si zmen/uprav metodiku nakladani s osobnimi udaji, co jde si v dohledu/logach/CRP anonymizuj. Kup si radnou skartovacku, Sanony zamkni do skrine, aby se k nim nedostal HOST na pracovisti. Neodkladej zbytne/nepovedene/ tisky smluv se zakazniky na pozdejsi pouziti (ze si jako na druhou prazdnou stranu budes psat poznamky), uprav aktualni smlouvu a je to. Zatim tapu, jak to udelat se samostatnym podpisem pod Soihlasem se zpracovanim osobnich udaju zakaznikem. Podpis smlouvy, pokud vyzaduje souhlas se spracovanim udaju vyzaduje separovanou kvitanci ze strany zakaznika (jiny papri, dalsi odstavec d ruhym pdopisem ??). Mozna ze v nasem pripade nebude kvitance se samostatnym podpisem pozadovana, protoze sber osobnich dat u zakaznika je v nasem pripade nezbytny pro udrzeni obchodniho vztahu = vyjimka. No a podel vyse uvedeneho se musi i upravit metodika na pracovisti a zanest/aktualizovat doorganizacni smernice, kterou uz ale ze zakona musi davno mit kazdy ISP. V roce 2014 jsme meli dokonce inspekci z CTU, kde jsem byl mesic skrcen na tema, predlozte organizacni smernici a hlavne kdemate pokyny na praci s osobnimi udaji. Pokdu ste na to prdeli a nemeli kontrolu, tak tito ISP maji mentalni problem, nevi jak na to, pro ostatni/drive pouceni jde akorat o zarazeni novych pozadavku do existujici organizacni struktury, v mem pripade je to ten modry sanon vlevo dole ve skrini za mnou (vedle Peroutky).
okoun píše:GDPR už tuká na dveře a mě by zajímalo jak k tomu má přisutpovat měnší poskytovatel do 2K zákazníků? Má vyškolit osobu DPO nebo si ji má zaplatit? Případně jaké ceny jsou v normě? Co jsem se koukal tak to je docela raketa za takovou osobu a pokud někdo naříkal na finanční dopad EET tak toto je asi finanční průser totální :D
0 x

Dalibor Toman
Příspěvky: 1149
Registrován: 5 years ago

Příspěvekod Dalibor Toman » 6 months ago

DD,


co porad mate s tim poverencem?

https://www.uoou.cz/poverenec%2Dpro%2Dnbsp%2Dochranu%2Dosobnich%2Dudaju/d-27307/p1=4753
1) zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí;
2) hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů;
3) hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

verejna spravs nejsme, zpracovani osobnich dat neni nasi hlavni naplni a rozsahle zpracovani zvlastnich kategorii udaju tykajicich se rozsudku take neprovadime.
0 x

Uživatelský avatar
okoun
Příspěvky: 5531
Registrován: 9 years ago
antispam: Ano
Bydliště: Mordor

Příspěvekod okoun » 6 months ago

Dalibor Toman píše:DD,


co porad mate s tim poverencem?

https://www.uoou.cz/poverenec%2Dpro%2Dnbsp%2Dochranu%2Dosobnich%2Dudaju/d-27307/p1=4753
1) zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí;
2) hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů;
3) hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

verejna spravs nejsme, zpracovani osobnich dat neni nasi hlavni naplni a rozsahle zpracovani zvlastnich kategorii udaju tykajicich se rozsudku take neprovadime.


No to nejsme ale jsme veřejný subjekt
0 x
Ufff, zajímalo by mě jestli vlákno "60GHz" překoná flame vlákno o "PBM10" :D


Zpět na „Právní záležitosti ISP“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 4 hosti