• úvod
  • témata
  • události
  • tržiště

    • Přišli jste skrz odkaz na příspěvek, který již neexistuje.

  • diskuze
  • nástěnka
    • přihlásit
    registrace
    ztracené heslo?
    EXISGDPR - mýty, rady, konzultace
    HARALD
    HARALD --- ---
    1 odpověď
    ADAMH: Ty ale musíš odstranit jen ta data, pro jejichž zpracováni nemáš právní titul. Ochrana před ddos je dostatečny právní titul v kategorii plnění smluv případně oprávněný zájem.

    IP adresa je osobním údajem v případě, že jsi schopen ztotožnit ji s konkrétním člověkem. Požadavek na smazání dat z IP adresy lze ve většině případů odmítnout.
    KOC256
    KOC256 --- ---
    +1
    ADAMH:
    To nemas pravdu.

    Ty musis obhajit jiz i sber. A DDOS je dobry ukazatel toho jak dlouho ty udaje potrebujes. Minutu? Pokud na tebe nekdo DDOSuje, tak stejnou IP pouziva asi casteji ne?
    HARALD
    HARALD --- ---
    RATTKIN: - Být schopen obhájit důvod, proč IP adresu sbírat
    - zamyslet se nad tím, kdo k datům přistupuje a proč
    - nedržet data déle, než potřeba, po dané době je smazat
    RATTKIN
    RATTKIN --- ---
    1 odpověď
    v jiné diskuzi teď zaznělo, že podle gpdr je ip adresa osobní informace. co z tho vyplývá, pokud je to tak?
    CUTOR
    CUTOR --- ---
    PULKA: podepsane nda a hlavne logovani vseho co jsi delal. logy samozrejme zabezpecene pred upravou.
    PULKA
    PULKA --- ---
    KAJJAK: Ok.
    KOC256: Než se dohodnem na zakázce, tak většinou smlouvu nemám, páč není, co do ní napsat anebo se může stát, že když to uvidím, tak mu řeknu, ať hledá někoho jinýho, že tohle neumím/nedělám/nechci dělat.
    KOC256
    KOC256 --- ---
    1 odpověď
    PULKA:
    pokud mate smlouvu a ze smlouvy vyplyva ze ten pristup je nezbytny tak OK. A nemusite ani nic navic resit.
    KAJJAK
    KAJJAK --- ---
    1 odpověď
    PULKA:

    podepise s tebou nda a je kryty
    PULKA
    PULKA --- ---
    3 odpovědi+1
    MVEK: u WP je zásadní problém v tom, že za a) není žádný jednotný způsob, jak to řešit, i když je tu snaha a doufám, že se to povede: https://www.gdprwp.com/ ale ještě ji musí autoři pluginů aplikovat (např. týká se mých pluginů, ale jen částečně - jakmile bude řešení, tak bude fungovat i pro mne).
    Takže třeba moji větší klienti už jsou pomalu nervózní a řešíme, jestli to řešit svépomocí anebo čekat na řešení shora (u WooCommerce). A druhá věc je, že si asi budeš muset jako uživatel pohlídat, jestli to není deklarované jenom jako pro US použití, ale i pro Evropu, z hlediska vývojíře mi to přijde jako jednoduché řešení problému (kdybych nebyla z EU).

    Mně by upřímně zajímalo, jak to funguje, když jsem programátor - jakmile mi klient zpřístupní byť vstup do administrace nebo jen FTP, tak z pozice své znalosti mám přístup ke všemu (a nikdo na to vpodstatě nepřijde). Z logiky své práce samozřejmě data nesdílím, ale můžu si hypoteticky vyexportovat všechny uživatele a adresy. Co s tím, mám to nějak řešit? Často musím vidět WP administraci jenom proto, abych se rozhodla, jestli chci s webem pracovat a řešit jejich potíže nebo ne.
    HARALD
    HARALD --- ---
    TRILOBYTE: Máš pocit, že tu tvrdím něco takového? Jen je dobré neplašit a nebrat si na svoje bedra NAVÍC povinnosti, které gdpr nepředepisuje.
    TRILOBYTE
    TRILOBYTE --- ---
    1 odpověď
    HARALD: No, pokud to vyresis tim ze a,b,c) zaridi spravce serveru, d,e,f) majitel shopu a ty nejses ani jeden z nich, tak to je pak snadny :).
    HARALD
    HARALD --- ---
    +3
    MVEK: Hlavně je potřeba pořád držet na paměti, že gdpr deklaruje zásadu přiměřenosti. V možnostech provozovatele eshopu není dělat penetrační testy na dodavatele technologií. Tady je zcela na místě očekávat, že technologie dělá, co deklaruje, že dělá, včetně zabezpečení.

    Cookies a ip adresa mohou být osobním údajem, pokud je TY zpracováváš a jsi schopen je ztotožnit. Pokud je zpracovává třeba provozovatel serveru, je jeho starost se s gdpr vypořádat, nikoliv tvoje.
    Stávající obtěžující informace o cookies by z pohledu gdpr měla být dostačující.
    MVEK
    MVEK --- ---
    1 odpověď-1
    HARALD: Chápu, asi hledám extrémní případy. Protože to, že někdo hackne úložiště tvůrce pluginu a s aktualizací se objeví verze, která bude něco posílat pryč nebo otevře zadní vrátka je asi podobné jako, když provozovateli e-shopu hacknou přímo jakoukoliv aplikaci nebo prolomí ochranu a dostanou se k databázi.

    Ale jak to tedy je s těmi reklamními systémy (typu AdSense a SKlik) a analytickými typu Google Analytics, TopList, které jsou vloženy pouze jako kód do klientské části, nikoliv na serverovou? Jestli jsou mé znalosti ohledně XSS a práce s cookies atd. ještě trochu aktuální, tak jediné, co může takový systém o návštěvníkovi shromažďovat, jsou údaje, které jsou na dané URL veřejně dostupné komukoliv, tedy ne údaje z formuláře, ale teoreticky, jaké produkty navštívil, co hledal na e-shopu (když to používá GET a ne POST) a na jakých jiných webech byl (díky své cookie). Jestli je toto soukromý údaj, znamená to, že se musí k jiným nařízením zavedenou povinnou cookie notice ještě souhlas s tímto, jinak by se daný kód neměl použít, a tedy tohle se týká všech webů, včetně blogů (těch se asi bude týkat i pokud se lze registrovat pro komentování) a statických prezentací?
    HARALD
    HARALD --- ---
    1 odpověď
    MVEK: Většina pluginů nikam data neodesílá, používají se na serverech, ale neznamenají zapojení další skupiny uživatelů. Jinými slovy - kvůli gdpr by nemělo být třeba je řešit.

    Co se updatů týče, tam gdpr vyžaduje přiměřenou ochranu a instalace posledních stabilních verzi k ochraně patří.
    MVEK
    MVEK --- ---
    2 odpovědi-1
    Z diskuze níže je velmi zajímavý poznatek o správci serverů, na to by určitě laik zapomněl, sám jsem si to zatím neuvědomil. Málokterý e-shop nebo CMS bude data v DB šifrovat.

    Ale pak je docela zásadní a dobrý postřeh "sw třetí strany", protože tím je samozřejmě i plugin do WordPressu/WooCommerce a podobných CMS a e-shopových systémů. Málokterý e-shop se bez nich obejde, jak bez těch placených, tak bez free drobností. A předpokládám, že dost dodavatelů je využívá též pro své zákazníky (provozovatele e-shopů).
    To znamená, že provozovatel e-shopu by měl mít pro samotný systém i všechny pluginy nějakou deklaraci ochrany údajů, nebo že s nimi nepracují. Musí ale myslet na to, že všechny tyhle součásti mívají aktualizace. Další asi běžně neprůchodnou variantou asi je nechat si udělat asi drahý audit systému a pak neinstalovat updaty, dokud nebude proveden audit updatu. A pak by ještě asi šlo uživatele otravovat souhlasem s těmito riziky, ale bude to opruz to sepsat a neodradit zákazníka.
    Nepředpokládám, že od spousty autorů pluginů je reálné nějaké legislativně dostatečné prohlášení získat, takže to znamená velké úpravy e-shopů (nahradit pluginy, nebo je přestat používat, nebo je nechat analyzovat). Nebo mi něco uniká?
    Máme totiž taky v jednom o. p. s. malý e-shop, takže se mě to taky týká a vidím tedy, že to asi sám jako lehce znalý amatér nevyřeším.
    MVEK
    MVEK --- ---
    ZBYNEK: Já to zase chápal jako mazání dat u neregistrovaných zákazníků, tam je asi opravdu nepotřebuje už nikdo. Protože ani zákazník při opětovném nákupu je nemůže využít.
    KOC256
    KOC256 --- ---
    ZBYNEK:
    jo, ja uz v noci nedodal info ze my jsme v situaci, ze eshop predava k vyrizeni objednavek do jineho SW. A v tom jinem SW ty data nepotrebujes.

    No rada mozna na hovno, ale pak si to musis osetrit. Co predavas, proc predavas. Musi o tom vedet koncak a balancnim pravidlem si to musis obhajit. Ne?
    ZBYNEK
    ZBYNEK --- ---
    2 odpovědi
    KOC256: Mazat adresu je blbost, na eshop kde budu muset znovu a znovu zadávat adresu nikdo nebude chodit...
    nepouzivat aplikace tretich stran - taky rada na hovno...
    KOC256
    KOC256 --- ---
    1 odpověď+3
    Ja se s GDPR setkal ted ve firme (interni workshop). A prijde mi to v mnoha vecech neurcite, ale alespon tak jak nam to bylo prezentovano to vychazi ze selskeho rozumu (balancni pravidla, ...). Hodne lidem to nemusi vyhovovat, protoze chteji mit idelane nalajnovane co jo a co ne. A nekdy to i chapu no...

    Ramcove jsem pochopil, ze co nejde podchytit technicky je treba "uzavrit" do smernice.

    A treba co se tyce eshopu, tak je to celkem "jednoduche".
    - nic co nepotrebuji nechtit
    - cokoliv jsem prestal potrebovat, tak se toho zbavit/anonymizovat
    --- po lhute na odstoupeni od smlouvy smazat/anonymizovat tel, email, dodaci adresu, ...
    --- po lhute na reklamaci smazat/anonymizovat vsechno
    - cokoliv potrebujes na zaklade smluvniho vztahu tak cajk
    - cokoliv chces navic tak EXTRA souhlas (jak je nize psano treba vcetne hesla aby bylo jasne co a jak
    - zadne male sede pismo
    - zadne skryte odstavce ve VOP
    - byt pripraven na dodani informace o tom co evidujete
    - umet v zakone lhute smazat udaje, o ktere si uzivatel pozadal aby byly smazane
    - idealne nikde data nepreposilat, nesdilet, nepouzivat aplikace tretich stran (vzdycky to smrdi pruserem)
    - mit podchyceno kdo s cim pracuje a proc a to si i vynutit pravy v systemu atd. (My treba zavadime novou dimenzi opravneni a tim je "pravo zobrazeni osobnich udaji" - kdo nema pravo, vidi hvezdicky napric systemem)

    Vlastne zaklad je to sepsani toho s jakymy udaji pracujete, co shromazdujete a proc to potrebujete (Objednavky dodavatelske, oidberatelske, vyberove rizeni, pohovory, ... personalistika, proste vsechno)

    Po technicke strane to bude "sranda".
    - pri obnove ze zalohy musi byt zajistena anonymizace dat, ktere jiz mely byt anonymizovane.
    - mit osetreno ve smernici, ze v zalohach jsou neanonymizovana data (vedet jak dlouho se drzi)
    - mit vyreseny vztah mezi dodavatelem HW/SW ze defacto maji pristup k vasim datum.

    Zajimavy extrem jsou tyto kontakty:
    Kontakt - LANEX a.s.
    http://www.lanex.cz/kontakt

    To jen tak co si kratce pamatuji. Pro ty co vubec nevi co je ceka...
    Urcite to neberte jako navod. Zakladem je se zaclenit dle zakona a pak si uvedomit ktere udaje potrebuji na zaklade ceho (tam bylo nejakych 6 duvodu - vzdy prezentujici rikal nejhorsi mozne zlo je neco resit na zaklade odkliknuti nejakeho "souhlasu"). :)

    Pokud se to tu nekomu znalejsimu zda jako strasna blbost tak napiste a smazu to :).
    HARALD
    HARALD --- ---
    1 odpověď
    TRILOBYTE: Právě, že to sračka není.

    Z pohledu eshopu je potřeba:
    1) zjistit ochranu dat (dodatelné poskytovatelem serveru)
    2) zajistit, že přístupy k osobnim datům maji jen osoby, které je potřebuji (zajisti majitel eshopu)
    3) zajistit, že případný marketingový souhlas je sbírán samostatně a prokazatelně (třeba znovu zadáním hesla) (dodatelné poskytovatelem serveru)
    4) smluvně zajistit, že poskytovatel serveru má pokyny jak nakládat s daty (třeba backupy a pod) - tohle má formálně na starost majitel eshopu, ale provozovatel serveru to může dát jako službu všem zákaznikům.
    Kliknutím sem můžete změnit nastavení reklam