RODO

[SongokuH 0]

Cześć!

 

Czy nowe prawo Was dotyczy, przygotowujecie się już?

Potrafi ktoś w prostych słowach, o ile da się to w taki sposób przedstawić, powiedzieć o co w tym wszystkim chodzi?

 

Czytam powoli Rozporządzenie [mam nadzieję, że dobre ] i jak rozumiem każda firma, która przetwarza dane [pracowników, klientów] musi mieć napisaną instrukcję polityki bezpieczeństwa dotyczącą tych danych?

Instrukcja powinna być napisana zgodnie z wytycznymi rozporządzenia, omawiając punkt po punkcie wszystkie aspekty pracy w tymi danymi?

Taka instrukcja leży sobie w firmie i w razie kontroli jest wydawana do wglądu kontrolerom?

 

Jeżeli mam bazę klientów na platformie do wysyłania wiadomości SMS, to ja odpowiadam za te dane czy operator systemu, a może i ja i operator, ale w innych zakresach?

Czy po 25 maja skończy się spam mailowy?

 

Pozdrawiam!

[xtn 1782]

Spam się nigdy nie skończy bo już teraz jest nielegalny, nowe przepisy nie maja żadnego znaczenia. Utrudnienia bedą dotyczyć tylko legalnie działających firm. Jak zwykle dorzuca obowiązków legalnym, a cały spam mailowy i telefoniczny nadal będzie miał się dobrze.

[BeeDead 0]

Cześć!

 

Czy nowe prawo Was dotyczy, przygotowujecie się już?

Potrafi ktoś w prostych słowach, o ile da się to w taki sposób przedstawić, powiedzieć o co w tym wszystkim chodzi?

 

Czytam powoli Rozporządzenie [mam nadzieję, że dobre ] i jak rozumiem każda firma, która przetwarza dane [pracowników, klientów] musi mieć napisaną instrukcję polityki bezpieczeństwa dotyczącą tych danych?

Instrukcja powinna być napisana zgodnie z wytycznymi rozporządzenia, omawiając punkt po punkcie wszystkie aspekty pracy w tymi danymi?

Taka instrukcja leży sobie w firmie i w razie kontroli jest wydawana do wglądu kontrolerom?

 

Jeżeli mam bazę klientów na platformie do wysyłania wiadomości SMS, to ja odpowiadam za te dane czy operator systemu, a może i ja i operator, ale w innych zakresach?

Czy po 25 maja skończy się spam mailowy?

 

Pozdrawiam!

 

To raczej błędne rozporządzenie - widziałeś datę?

co do RODO - to chyba nie ma jeszcze rozporządzenia i wszyscy na nie czekają, a czasu coraz mniej....

[SongokuH 0]

Data mnie zastanowiła, szczególnie, że samo rozporządzenie odnosi się do jeszcze starszej ustawy, a troszkę postępu w dziedzinie zabezpieczeń przez te 20 lat było

[BlackBishop 1]

GDPR nie polega na napisaniu instrukcji

Najlepsze jest to, że nie ma dokładnych wytycznych co ma być zrobione - jest tylko zbiór ogólnych stwierdzeń. Zbieranie danych to tylko jedno. Co ważniejsze to konieczność zabezpieczenia tych danych. Szczególnie jak masz jakiś system informatyczny to to nie jest coś co zrobisz w weekend. I mówiąc o zabezpieczeniu danych mam nie tylko na myśli to co mogą zobaczyć ludzie z zewnątrz ale też bezpieczeństwo wewnętrzne. Czyli np. szyfrowanie baz danych, szyfrowanie komunikacji wewnętrznej, usunięcie z logów danych pozwalających na identyfikację osoby przez osoby nieupoważnione itp. Ogólnie ból z przystosowaniem systemów.

 

p.s. spam to inna sprawa - duże firmy się dostosują - ale anonimowi spamerzy typu "powiększ swoją pałę w weekend", wiagra itp. pewnie dalej będą przychodzić znając życie

[Eclipse 188]

RODO wchodzi w zycie 25 maja tego roku.

 

Sam dokument jest przyjety 27.04.2016 r.

 

Generalnie wywrócone jest wszystko. Przestaja obowiązywac nasze przepisy krajowe Ustawa o ochronie danych osobowych i rozporządzenia wykonawcze.

 

Wymagania RODO stosuje sie wprost. Obecnie przez MC przygotowywana jest nasz ustawa nowa o ochronie danych osobowych - moze zostanie dopchnieta kolanem do 25.05

 

Wymagania nalozone na Administratorów Danych to uwzgledenienie przetwarzania danych w kazej postaci w kazdym czasie. Zabezieczenia maja wynikac z obowiazkowej analizy ryzyka. Do nowych projektow ma byc prowadzona Ocena skutków realizacji.

ABI zostaje zastepiony Inspektorem Ochrochrony Danych.

 

To administrator danych odpowiada za środki techniczne i organizacyjne. Regulane audyty przetwrzanai danych osobowych, obowiazkowe skzolenia pracownikow,

 

Rejestr czynnposci przetwarzania danych osobowych (obowiazek).Zmiana Klauzul zgody na przetwarzanie danych osobowych i obowiazkow informacyjnych

 

Najwiekssze wymaganai stawiane sa do IT. Anonimizacja, pseudoanonimizacja usuwanie danych osobowych - to sa miliardy zlotych w skali kraju przy dostosowaniu sytemow IT. Szyfrowanie, zapewnienie pelnej audytowalnosci przeplywu danych osobowych s sytemach IT.

 

Firmy doradcze maja zniwo. Ja wdrazam RODO od wrzesnia w duzej firmie 2000 ludzi 30 oddziłow terenowych. Wiele moge napisac.

 

Z ciekawostek jakimi np. trzeba sie zmierzyc. Jak usnuac kowalskiego z kopii zapasowych w momencie kiedy wygasa podstawa prawna przetwarzania. Jak zidentyfikowac przeplyw danyc pomiedzy relacyjnymi bazami i takie tam

[Gość Gordon Lameman]

Bardzo złe rozporządzenie czytasz, autorze.

 

 

Wieczorem mogę napisać kilka słów, bo od ponad dwóch lat pisze o GDPR, a od roku ciągle robię szkolenia z tego i wdrożenia w firmach. Ostatni projekt to 10 tysięcy zatrudnionych, oddziały na całym świecie.

Wielkiej rewolucji nie ma, jeśli ktoś czytał naszą ustawę ( prawie nikt ). Mamy nowe prawa i obowiązki informacyjne, ale zasady i definicje pozostają te same

Natomiast IT dostaje po tyłku dość mocno.

 

 

@Eclipse - pseudonimizacja, a nie "pseudoanonimizacja".

[SongokuH 0]

Bardzo złe rozporządzenie czytasz, autorze.

 

 

Wieczorem mogę napisać kilka słów, bo od ponad dwóch lat pisze o GDPR, a od roku ciągle robię szkolenia z tego i wdrożenia w firmach. Ostatni projekt to 10 tysięcy zatrudnionych, oddziały na całym świecie.

Wielkiej rewolucji nie ma, jeśli ktoś czytał naszą ustawę ( prawie nikt ). Mamy nowe prawa i obowiązki informacyjne, ale zasady i definicje pozostają te same

Natomiast IT dostaje po tyłku dość mocno.

 

 

@Eclipse - pseudonimizacja, a nie "pseudoanonimizacja".

 

Po cichu na Ciebie liczyłem

 

Dzięki za wszystkie dotychczasowe wypowiedzi, widzę, że będzie ciekawie.

[Snowmew 0]

Z ciekawostek jakimi np. trzeba sie zmierzyc. Jak usnuac kowalskiego z kopii zapasowych w momencie kiedy wygasa podstawa prawna przetwarzania.

O właśnie. Jak usunąć kowalskiego z przyrostowych kopii zapasowych nie usuwając kopii zapasowych? Przyrostowe - czyli przechowywanie plików różnicowych z kopii z danego dnia i dnia poprzedniego. Wyciągnięcie kopii sprzed 7 dni polega na obliczeniu go z ostatniej i różnic z wczoraj, przedwczoraj itd.

Ogólnie kopie zapasowe, z których usuwa się rekordy nie są już moim zdaniem kopiami bezpieczeństwa. Wszak nie da się wtedy cofnąć przypadkowego usunięcia Kowalskiego.

Prędzej wymyśliłbym odpowiednią podstawę prawną do dalszego przetrzymywania Kowalskiego "w celach archiwizacyjnych i statystycznych, w celu zachowania bezpieczeństwa systemu". I trzymał dodatkowo hashe danych, które mają być ponownie usunięte przy przywracaniu ich z kopii zapasowej.

[Gość Gordon Lameman]

O właśnie. Jak usunąć kowalskiego z przyrostowych kopii zapasowych nie usuwając kopii zapasowych? Przyrostowe - czyli przechowywanie plików różnicowych z kopii z danego dnia i dnia poprzedniego. Wyciągnięcie kopii sprzed 7 dni polega na obliczeniu go z ostatniej i różnic z wczoraj, przedwczoraj itd.

Ogólnie kopie zapasowe, z których usuwa się rekordy nie są już moim zdaniem kopiami bezpieczeństwa. Wszak nie da się wtedy cofnąć przypadkowego usunięcia Kowalskiego.

Prędzej wymyśliłbym odpowiednią podstawę prawną do dalszego przetrzymywania Kowalskiego "w celach archiwizacyjnych i statystycznych, w celu zachowania bezpieczeństwa systemu". I trzymał dodatkowo hashe danych, które mają być ponownie usunięte przy przywracaniu ich z kopii zapasowej.

Taka podstawa prawna być może istnieje w art 6 RODO, tj. prawnie uzasadniony interes. O ile oczywiście kopie zapasowe są przetrzymywane przez rozsądną ilość czasu. Jest to istotnie dość problematyczne, ale po prostu nie sposób usunąć danych z kopii zapasowej.

 

Problem pojawia się jednak, jeśli dane przetwarzane były na podstawie zgody, gdyż tą można cofnąć.

 

Temat rzeka, właśnie siedzę na konferencji w tym temacie, czekam na moją kolej z prezentacją

[Eclipse 188]

 

@Eclipse - pseudonimizacja, a nie "pseudoanonimizacja".

Na szybko, dzieki za poprawienie.

[Gość Gordon Lameman]

Cześć!

 

Czy nowe prawo Was dotyczy, przygotowujecie się już?

Potrafi ktoś w prostych słowach, o ile da się to w taki sposób przedstawić, powiedzieć o co w tym wszystkim chodzi?

 

Mnie nowe prawo o tyle, że przygotowuję przedsiębiorców do ich wejścia w życie, co w sumie nie jest łatwym zadaniem.

 

Co można napisać o RODO? Przede wszystkim to, że przewiduje duże kary za niezgodne z prawem przetwarzanie danych osobowych - do 20 milionów euro, albo do 4% ogólnoświatowego przychodu grupy. Gdyby nie te kary to nie byłoby takiej gorączki.

 

RODO dotyczy każdego przedsiębiorcy i każdy przedsiębiorca powinien rozumieć jego przepisy. RODO nie mówi dokładnie co kto ma zrobić, ale wskazuje, że każdy przedsiębiorca (właściwie: administrator danych osobowych) ma obowiązek dokonania analizy ryzyka w zakresie danych osobowych, wdrożenia odpowiednich środków zaradczych, w tym technicznych i organizacyjnych, realizowania praw osób, których dane dotyczą (a mamy rozszerzony katalog tych praw), prowadzenia rejestru czynności przetwarzania (są wyjątki) i uwzględniania prywatności na każdym etapie projektowanie swojego biznesu (czy też procesów biznesowych).

 

Do tej pory, gdyby się wczytać w ustawę obowiązującą w Polsce było dość podobnie, ale wszyscy mieli to gdzieś Teraz już nie, bo wysokość kar przeraża.

 

Z punktu widzenia Twojego, jeśli wysyłasz jakiś mailing lub powiadomienia to musisz przede wszystkim zastanowić się jaka jest twoja podstawa prawna do przetwarzania danych osobowych (art. 6 RODO). Jeśli to zgoda to na pewno musisz ją uzyskać na nowo. Jeśli to inna podstawa to i tak musisz poinformować o tym osoby, których dane dotyczą, bo masz teraz rozszerzony obowiązek informacyjny (art. 13 RODO).

Jeśli kupiłeś dane to Ci współczuję

 

 

Ogólnie RODO to nie jest rewolucja jeśli idzie o samo przetwarzanie danych - rewolucja w RODO polega na wysokości kar, wagi jaką KE przywiązuje do tej kwestii oraz tego, że w zasadzie całą ochron danych osobowych jest uregulowana na poziomie europejskim, a nie krajowym. Kraje członkowskie mają tylko wdrożenie RODO do systemów prawnych, co też jest problematyczne. Dość powiedzieć, że do tej pory zrobiły to tylko Niemcy i Austria, a Polska wśród pozostałych krajów jest jednym z liderów, przy czym dopiero dziś pierwsza ustawa trafiła do Komitetu Stałego Rady Ministrów, a czasu jest już poniżej 90 dni...

[SongokuH 0]

Serdeczne dzięki. Ciekawe czy nasz etatowy prawnik sobie z tym poradzi

[Gość Gordon Lameman]

Bitch, pls.

 

Wszystko ogarnięte

[SongokuH 0]

Widzę

Chodziło mi o gościa, który 2 razy w tygodniu pojawia się u nas w firmie i wyjaśnia różne prawne zawiłości.

 

U Ciebie pewnie chętni walą drzwiami i oknami im bliżej "godziny zero"?

[Gość Gordon Lameman]

Ogarniam temat w kancelarii jako jedyny, bo kolega poszedł do wielkiej czwórki, a koleżanka dziecko urodziła.

 

 

Nie ogarniam się z robotą, ale to dobrze bo godziny lecą

[zgreg 1]

Jak się ma ta zgoda RODO wyrażona teraz np. na wp.pl - niby pisze, że zgodę można wycofać i ma być wycofanie tak samo łatwe jak wyrażenie zgody. Jak może być jednak cofnięta jeśli nie jestem nawet zalogowany na pocztę wp.pl - na podstawie ciasteczek? Jakiś to jest bełkot.

[dario27 0]

Cześć!

 

Czy nowe prawo Was dotyczy, przygotowujecie się już?

 

 

mnie nie

[johny11 14]

Póki co to dostaje spam na firmowy mail o szkoleniach RODO.

Prowadzi je uwaga, kołcz

[209458 739]

Ta, Kościół jest ponadpaństwowy jeżeli chodzi o obowiązki, bo po przywileje państwowe chętnie ręce wyciągają.

Ale w Polsce już ktoś kiedyś próbował sie wypisać z ksiąg na bazie obecnej Ustawy o Ochronie Danych Osobowych i się klechy konkordatem zasłonili, choć nie pamiętam, czy to było w sądzie, czy tylko GIODO poszedł im na rękę.

 

Nawet jak po iluś latach kościół przegra jakąś sprawę w sądzie to i tak na usunięcie danych z archiwum obywatel nie ma co liczyć bo właścicielem danych jest parafia, a nie sąd.

To by było w sumie ciekawe jak by, tak jak pisał Gordon, dostali karę z RODO jako procent od światowych przychodów

[Gość Gordon Lameman]

To by było w sumie ciekawe jak by, tak jak pisał Gordon, dostali karę z RODO jako procent od światowych przychodów

Ale by zapiekło

 

 

Zobaczymy jak to w praniu wyjdzie, ale RODO będzie ich obowiązywać.

[andr_w 0]

Zacząłem interesować się tym RODO. Ja i ojeciec prowadzimy działalności gosp. czy daradę to ogarnąć samemu? W jaki sposób się do tego przygotować? Jak to zrobić? Są może jakieś linki co dokładnie zrobić/zabezpieczyc dane itd. aby było w porządku zgodnie z ustawą?

 

Oboje posidamy mikro firmy, a więc nie mamy adminów, nie tak jak w dużych koro - jedynie ksiegowa.

 

Z tego co udało mi się wyczytać to taka usługa w firmach zew. to koszt min. 1500zł od firmy xD mega sporo. Jeszcze trochę boję się, żeby nie wyszło jak z tym GIODO, że pełno naciągaczy i oszustów przez co były zawyżone stawki...

[SeN81 34]

@andr_w

A jakiego typu działalność prowadzisz i czy aby na pewno zbierasz dane osobowe osób prywatnych? Bo RODO dotyczy ochrony danych osobowych osób prywatnych. Przy działalności B2B dane osobowe które występują np na umowach nie podlegają RODO bo wykorzystywane są w celach służbowych. Ale jak prowadzisz sprzedaż detaliczną i wystawiasz fakturę na osobę prywatną te dane osobowe już tam masz. Z kolei jak wystawiasz tylko paragon osobie prywatnej to żanych danych osobowych na nim nie masz.

Co do dokumentacji to :

po pierwsze musisz określić procedury w których przewijają się dane osobowe zarówno te papierowe jak i elektroniczne.

po drugie musisz określić dla tych procedur podstawę ich przetwarzania, czas przetwarzania i co sprawia największą trudność kiedy musisz je usunąć.

po trzecie masz obowiązek informacyjny - musisz poinformować osobę której dane przetwarzasz, kto jest administratorem danych i co dana osoba może z nimi zrobić.

po czwarte musisz zapewnić bezpieczeństwo danych - czyli np zabezpieczyć odpowiednio komputery np stosując odpowiednio długie hasła zmieniane co jakiś tam czas, zaszyfrować dyski też nie zaszkodzi, to samo z backupami.

[Gość Gordon Lameman]

Przy działalności B2B dane osobowe które występują np na umowach nie podlegają RODO bo wykorzystywane są w celach służbowych.

Poproszę o podstawę prawną tego twierdzenia.

[dario27 0]

Cześć!

 

Czy nowe prawo Was dotyczy, przygotowujecie się już?

 

 

Mnie nie dotyczy