• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
    • přihlásit
    registrace
    ztracené heslo?
    EXISGDPR - mýty, rady, konzultace
    GDPR - General Data Protection Regulation - Nová legislativa na ochranu osobních údajů, která začne platit od 25. 5. 2018!
    rozbalit záhlaví
    DANYSEK
    DANYSEK --- ---
    E2E4: me je Facebook ukradenej, ja zkoumam GDPR z pohledu administratora nejakyho beznyho serveru. A to straseni tim, ze u kazdyho blogu musis hned anonymizovat logy v IP je nicim nepodlozeny bubak - to z GDPR nijak nevyplyva a i jsem rekl proc.
    DANYSEK
    DANYSEK --- ---
    2 odpovědi+1
    E2E4: a na ceho konkretne dovozujes, ze musis v logu IP vzdy anonymizovat? To je nicim nepodlozeny FUD. Podstatny je, jakym zpusobem ty logy dal zpracovavas (pokud vubec) a kdo vsecko k nim ma pristup. Viz napr. clanek 6, odstavec 1, pismeno f) GDPR - staci, aby byla splnena jedna z podminek (nejmene jedna). Jinymi slovy v nekterych pripadech ani neni potreba nejaky souhlas subjektu udaju (zrovna logy uchovane po definovany cas pro eventuelni zpetnou analyzu bezpecnostnich incientu pod f) s urcitosti spadnou). Ano, postihne to ruzne techniky "cilenych reklam" - ale rozhodne ne kazdy blog.
    ADAMH: ani to "pravo na vymaz" neni absolutni - to je velmi rozsireny mytus :-) Viz clanek 17, odstavec 3 GDPR.
    E2E4
    E2E4 --- ---
    2 odpovědi
    Jo a fakt by me zajimalo, jak se s GDPR vyrovna facebook (a v mensi mire Google). Jejich business je zalozen na exploataci soukromych dat.. Ale maj dobry americky pravniky, takze z toho nic nebude.. Nejaky clovek se snazil legalni cetou primet facebook aby po nem nechtel obcanku a aby mu dal data ze zablokovaneho uctu kvuli udajnemu nepouzivani skutecneho jmena. Neuspel, irsky urad pro osobni udaje se na nej vykaslal, EU se na nej vykaslala a musel by se soudit v Irsku s pravnikama facebooku..

    europe-v-facebook.org | EUROPE versus FACEBOOK
    http://europe-v-facebook.org

    Ted kdyz jsem to hledal tak jsem narazil na clanek ze uz je mozne zalovat facebook kvuli uziti osobnich dat lokalne, neni nutne kvuli tomu letat do Irska. - https://www.independent.ie/...-entitled-to-sue-facebook-ireland-through-austrian-court-36318801.html

    Ale stejne - obavam se, ze se vlk nazere, ale koza zustane cela - kazdej blog bude muset resit anonymizaci IP adres v logach, ale business s nasimi osobnimi daty bude dal kvest, protoze vetsi rozpocet na pravniky.
    E2E4
    E2E4 --- ---
    ADAMH: Pokud mas na serveru uzivatelska jmena (napr. pro registrovane), kde zadavaji svoje jmeno, ztotoznit to muzes snadno sam. Tim padem je kazda IP adresa, kterou mas v logu PII, protoze muze byt toho tveho uzivatele ktereho mas. A vlastne na kazdem serveru kde mas lokalni uzivatele se jmenem muze byt kazda IP adresa PII. :-)

    Stejne je to divny, kazdou IP adresu uchovavas prave proto, abys odhalil cloveka ktery te hackuje, tj za ucelem zpracovani jeho osobnich udaju..

    Ale nevim jak je to doopravdy, a kdo vi zda to bude jasne nez nastanou prvni poruseni a soudni spory..
    KOC256
    KOC256 --- ---
    ADAMH:
    no zatim jsem ve stavu kdy shanim infa jinde (i zde) :D
    KOC256
    KOC256 --- ---
    +1
    RATTKIN:
    no mam maly hosting a prave premyslim jak jednoduse najit/udelat kucharku toho co takovy maly/velky hoster bude muset resit.
    - logy
    - zalohy
    - full pristup vsude
    - nejaky support pro zakazniky
    - neco deklarovat smerem k zakaznikum (?)
    - zabezpeceni (sifrovani zaloh, extra logovani pristupu a mit "knihu" duvodu proc a kdo a kam lezl) (?)
    - ...
    RATTKIN
    RATTKIN --- ---
    1 odpověď
    je vám jasný, že na celým světě všechny webservery defaultně logují všechny ip adresy do access logů, které se defaultně nikdy nemazají?
    a že těch webserverů jsou miliony?

    Možnost udělit vysoké pokuty spamerům a prodejcům osobníh údajů je fajn, ale tohle je fuckup kterýmu se "tato stránka používá cookies" nemůže nikdy vyrovnat.
    HARALD
    HARALD --- ---
    Zkusím se ještě rozepsat, až tu budu jinak, než z mobilu.
    HARALD
    HARALD --- ---
    ADAMH: Ve stručnosti: Ano, zařazení IP adresy na blaclist, zejména pokud ji nedokážeš ztotožnit, je oprávněný zájem a pokud se najde někdo, kdo by žádal její výmaz z blacklistu, pak máš právo to odmítnout.
    HARALD
    HARALD --- ---
    1 odpověď
    ADAMH: Ty ale musíš odstranit jen ta data, pro jejichž zpracováni nemáš právní titul. Ochrana před ddos je dostatečny právní titul v kategorii plnění smluv případně oprávněný zájem.

    IP adresa je osobním údajem v případě, že jsi schopen ztotožnit ji s konkrétním člověkem. Požadavek na smazání dat z IP adresy lze ve většině případů odmítnout.
    KOC256
    KOC256 --- ---
    +1
    ADAMH:
    To nemas pravdu.

    Ty musis obhajit jiz i sber. A DDOS je dobry ukazatel toho jak dlouho ty udaje potrebujes. Minutu? Pokud na tebe nekdo DDOSuje, tak stejnou IP pouziva asi casteji ne?
    HARALD
    HARALD --- ---
    RATTKIN: - Být schopen obhájit důvod, proč IP adresu sbírat
    - zamyslet se nad tím, kdo k datům přistupuje a proč
    - nedržet data déle, než potřeba, po dané době je smazat
    RATTKIN
    RATTKIN --- ---
    1 odpověď
    v jiné diskuzi teď zaznělo, že podle gpdr je ip adresa osobní informace. co z tho vyplývá, pokud je to tak?
    CUTOR
    CUTOR --- ---
    PULKA: podepsane nda a hlavne logovani vseho co jsi delal. logy samozrejme zabezpecene pred upravou.
    PULKA
    PULKA --- ---
    KAJJAK: Ok.
    KOC256: Než se dohodnem na zakázce, tak většinou smlouvu nemám, páč není, co do ní napsat anebo se může stát, že když to uvidím, tak mu řeknu, ať hledá někoho jinýho, že tohle neumím/nedělám/nechci dělat.
    KOC256
    KOC256 --- ---
    1 odpověď
    PULKA:
    pokud mate smlouvu a ze smlouvy vyplyva ze ten pristup je nezbytny tak OK. A nemusite ani nic navic resit.
    KAJJAK
    KAJJAK --- ---
    1 odpověď
    PULKA:

    podepise s tebou nda a je kryty
    PULKA
    PULKA --- ---
    3 odpovědi+1
    MVEK: u WP je zásadní problém v tom, že za a) není žádný jednotný způsob, jak to řešit, i když je tu snaha a doufám, že se to povede: https://www.gdprwp.com/ ale ještě ji musí autoři pluginů aplikovat (např. týká se mých pluginů, ale jen částečně - jakmile bude řešení, tak bude fungovat i pro mne).
    Takže třeba moji větší klienti už jsou pomalu nervózní a řešíme, jestli to řešit svépomocí anebo čekat na řešení shora (u WooCommerce). A druhá věc je, že si asi budeš muset jako uživatel pohlídat, jestli to není deklarované jenom jako pro US použití, ale i pro Evropu, z hlediska vývojíře mi to přijde jako jednoduché řešení problému (kdybych nebyla z EU).

    Mně by upřímně zajímalo, jak to funguje, když jsem programátor - jakmile mi klient zpřístupní byť vstup do administrace nebo jen FTP, tak z pozice své znalosti mám přístup ke všemu (a nikdo na to vpodstatě nepřijde). Z logiky své práce samozřejmě data nesdílím, ale můžu si hypoteticky vyexportovat všechny uživatele a adresy. Co s tím, mám to nějak řešit? Často musím vidět WP administraci jenom proto, abych se rozhodla, jestli chci s webem pracovat a řešit jejich potíže nebo ne.
    HARALD
    HARALD --- ---
    TRILOBYTE: Máš pocit, že tu tvrdím něco takového? Jen je dobré neplašit a nebrat si na svoje bedra NAVÍC povinnosti, které gdpr nepředepisuje.
    TRILOBYTE
    TRILOBYTE --- ---
    1 odpověď
    HARALD: No, pokud to vyresis tim ze a,b,c) zaridi spravce serveru, d,e,f) majitel shopu a ty nejses ani jeden z nich, tak to je pak snadny :).
    HARALD
    HARALD --- ---
    +3
    MVEK: Hlavně je potřeba pořád držet na paměti, že gdpr deklaruje zásadu přiměřenosti. V možnostech provozovatele eshopu není dělat penetrační testy na dodavatele technologií. Tady je zcela na místě očekávat, že technologie dělá, co deklaruje, že dělá, včetně zabezpečení.

    Cookies a ip adresa mohou být osobním údajem, pokud je TY zpracováváš a jsi schopen je ztotožnit. Pokud je zpracovává třeba provozovatel serveru, je jeho starost se s gdpr vypořádat, nikoliv tvoje.
    Stávající obtěžující informace o cookies by z pohledu gdpr měla být dostačující.
    MVEK
    MVEK --- ---
    1 odpověď-1
    HARALD: Chápu, asi hledám extrémní případy. Protože to, že někdo hackne úložiště tvůrce pluginu a s aktualizací se objeví verze, která bude něco posílat pryč nebo otevře zadní vrátka je asi podobné jako, když provozovateli e-shopu hacknou přímo jakoukoliv aplikaci nebo prolomí ochranu a dostanou se k databázi.

    Ale jak to tedy je s těmi reklamními systémy (typu AdSense a SKlik) a analytickými typu Google Analytics, TopList, které jsou vloženy pouze jako kód do klientské části, nikoliv na serverovou? Jestli jsou mé znalosti ohledně XSS a práce s cookies atd. ještě trochu aktuální, tak jediné, co může takový systém o návštěvníkovi shromažďovat, jsou údaje, které jsou na dané URL veřejně dostupné komukoliv, tedy ne údaje z formuláře, ale teoreticky, jaké produkty navštívil, co hledal na e-shopu (když to používá GET a ne POST) a na jakých jiných webech byl (díky své cookie). Jestli je toto soukromý údaj, znamená to, že se musí k jiným nařízením zavedenou povinnou cookie notice ještě souhlas s tímto, jinak by se daný kód neměl použít, a tedy tohle se týká všech webů, včetně blogů (těch se asi bude týkat i pokud se lze registrovat pro komentování) a statických prezentací?
    Kliknutím sem můžete změnit nastavení reklam