EU se snaží regulovat nakládání s osobními údaji
Napsal: stř 06. zář 2017 21:06:56
Od května 2018 vstoupí v platnosti nová regulace EU týkající se zacházení osobních s osobními údaji. (oni to nazývají zpracování, i když s nimi nikdo nutně vůbec pracovat nemusí)
Úprava je plná obecných nicneříkajících frází a povinností, hrozící maximální pokutou až 20 tisíc EUR nebo 4% z obratu (použít lze vyšší částku). Všechno by se jaksi mělo kontrolovat, popisovat, přizpůsobovat, aby byl úřad spokojen, ale nikdo moc nepíše jak konkrétně. Vše jsou to jen plané nekonkrétní žvásty, které nelze podle mého názoru objektivně konkretizovat. Vypadá to jako další typické řádění úřednické diktatury z Bruselu.
https://www.uoou.cz/gdpr-v-nbsp-otazkac ... dpovedich/
Zdá se, že to bude dobrý způsob obživy, protože už někteří založili stránky, kde o GDPR informují. Zjevně ale mají tendenci zbytečně strašit a zveličovat s tím, aby si každý zaplatil minimálně nějaké to školení. https://www.gdpr.cz/ Např. zdá se, nepřipouští, že někdo může mít vše v pořádku už dnes a žádné změny nejsou nutné.
Osobní údaje a současný stav na Odorik.cz
O zákaznicích se snažíme uchovávat jen údaje nezbytné. Není tedy nutné zadávat pravé jméno zákazníka, datum narození ani rodné číslo. Email nebo telefonní číslo je nutné zadat jako možný způsob pro obnovení zapomenutého hesla. Na pobočce je možná vyzdvihnout zcela anonymní karty, které představují samostatnou registraci. Pokud nemáte nomadické či geografické číslo, neptáme se ani na adresu, ta je jinak potřebná kvůli správnému fungování na tísňové linky. Adresy se předávají každý týden do centrální databáze, kterou spravuje O2, aby při volání na tísňovou linku viděli na dispečinku zadanou adresu. Též se hovory podle zadané adresy směrují.
Dále ukládáme provozní údaje. Ukládat historii hovorů půl roků zpětně vyžaduje zákon. Tedy tohle nelze neukládat, navíc samozřejmě musíme být schopni zákazníkovi prokázat, za co se strhl kredit. Tedy řešit reklamace. Většina lidí ocení podstatně delší historii hovorů, některým to ale může vadit. Navíc český telekomunikační úřad vyžaduje různé statistické údaje z telekomunikačního provozu za minulý rok, což by nebylo možné získat a kontrolovat, pokud bychom umožnili mazání historie hovorů na přání. Jak se pak vypořádat s někým, komu ukládání historie hovorů vadí? Mazat u některých hovorů historii by navíc způsobovalo nekonzistentnost v databázi a záhady s mizením kreditu. Nejspíše tedy bude nutné, aby každý zákazník souhlasil, že historie hovorů bude uchovávána a přístupná cca pět let (přesněji co nejdéle, jak naše technické možnosti dovolí), tak je to ocení většina zákazníků.
Ukládány jsou další provozní údaje, jako ip adresy, z jakých se SIP zařízení hlásí a telefonují. Tyto usnadní řešení různých technických záhad, případně dovedou potvrdit či vyvrátit zneužití služby třetí osobou. Všechny uchované údaje se snažíme zobrazovat přímo zákazníkovi, aby měl o informacích přehled a mohli mu být také užitečné. Přibýt by mělo i podrobnější zobrazování SIP signalizace, což by pokročilejším zákazníkům mělo usnadnit ladění různých SIP problémů. Nyní signalizaci logujeme pro potřeby řešení technických problémů.
Snad možná zbývá možnost zrušení registrace. To nyní spočívá v tom, že je ručně smazán záznam emailové adresy, čísla na které je provedena registrace, a tím se účet stává anonymní. (adresy a další údaje si může každý uživatel smazat kdykoli sám.) Smazat účet jako takový není možné, protože je třeba uchovávat historii plateb, daňových dokladů, historie hovorů. Některé z těchto věcí je nutné uchovávat ze zákona (historie hovorů, daňové doklady), aby se neporušila konzistence databáze a bylo možné zpětně zkontrolovat férové fungování a též mít možnost proces "zrušení registrace" vzít zpět v případě lidské chyby.
Je snad tohle onen tolik potřebovaný popis procesů zpracovávání dat? A co třeba pokud si někdo objedná dobíjecí kartičku pomocí SMS s adresou. Smíme adresu uchovat pro případ, že by požadoval poslat kartičku znovu a žádal o to třeba jen telefonem? Musíme tuhle drobnost psát do všeobecných podmínek? Také jsem se doslechl, že díky novému nařízení EU bude prý povinná dvoufázová autorizace pro přihlašování na webové stránky. U většiny zákazníků to považuji za nesmysl. Není ale zjevné, jestli to EU opravdu myslí vážně, nebo je to jen informační šum. Co by ale mohlo být dobré, je pro nové registrace místo pinu začít standardně jméno a heslo a heslo by mělo ukládáno šifrovaně kvalitní hašovací funkcí. Např. Vodafone, pokud vím, ukládá hesla svých zákazníků také nešifrovaně - protože jedině tak mohou operátoři callcentra kontrolovat jen druhou a čtvrtou číslici, ostatně u čtyřmístných až osmimístných čísel jako hesel ani šifrování nemá smysl, protože lze vždy snadno prolomit vyzkoušením všech kombinací. Budou tedy nuceni tohle změnit?
Pokud by chtěl někdo opravdu spamovat nebo zneužívat nějaká pochybně získaná data, založí si přece firmu na bílého koně a při splatnosti první pokuty nechá firmu zkrachovat. Dnes lze založit s.r.o. už s kapitálem 1 Kč. Firma v čí prospěch bude spamovat, předpokládám, už postižitelná nebude. A firmy, jejichž hlavní činností je sbírání a vyhodnocování dat o svých klientech jako facebook, whatapp, aby pak mohli lépe ovlivňovat jejich další chování, ty si to přece ošetří tak, aby se úřadům jevilo, že je vše v pořádku. Nechápu tedy moc význam.
Pokud k tomu máte nějaký komentář, budu rád.
Úprava je plná obecných nicneříkajících frází a povinností, hrozící maximální pokutou až 20 tisíc EUR nebo 4% z obratu (použít lze vyšší částku). Všechno by se jaksi mělo kontrolovat, popisovat, přizpůsobovat, aby byl úřad spokojen, ale nikdo moc nepíše jak konkrétně. Vše jsou to jen plané nekonkrétní žvásty, které nelze podle mého názoru objektivně konkretizovat. Vypadá to jako další typické řádění úřednické diktatury z Bruselu.
https://www.uoou.cz/gdpr-v-nbsp-otazkac ... dpovedich/
Zdá se, že to bude dobrý způsob obživy, protože už někteří založili stránky, kde o GDPR informují. Zjevně ale mají tendenci zbytečně strašit a zveličovat s tím, aby si každý zaplatil minimálně nějaké to školení. https://www.gdpr.cz/ Např. zdá se, nepřipouští, že někdo může mít vše v pořádku už dnes a žádné změny nejsou nutné.
Osobní údaje a současný stav na Odorik.cz
O zákaznicích se snažíme uchovávat jen údaje nezbytné. Není tedy nutné zadávat pravé jméno zákazníka, datum narození ani rodné číslo. Email nebo telefonní číslo je nutné zadat jako možný způsob pro obnovení zapomenutého hesla. Na pobočce je možná vyzdvihnout zcela anonymní karty, které představují samostatnou registraci. Pokud nemáte nomadické či geografické číslo, neptáme se ani na adresu, ta je jinak potřebná kvůli správnému fungování na tísňové linky. Adresy se předávají každý týden do centrální databáze, kterou spravuje O2, aby při volání na tísňovou linku viděli na dispečinku zadanou adresu. Též se hovory podle zadané adresy směrují.
Dále ukládáme provozní údaje. Ukládat historii hovorů půl roků zpětně vyžaduje zákon. Tedy tohle nelze neukládat, navíc samozřejmě musíme být schopni zákazníkovi prokázat, za co se strhl kredit. Tedy řešit reklamace. Většina lidí ocení podstatně delší historii hovorů, některým to ale může vadit. Navíc český telekomunikační úřad vyžaduje různé statistické údaje z telekomunikačního provozu za minulý rok, což by nebylo možné získat a kontrolovat, pokud bychom umožnili mazání historie hovorů na přání. Jak se pak vypořádat s někým, komu ukládání historie hovorů vadí? Mazat u některých hovorů historii by navíc způsobovalo nekonzistentnost v databázi a záhady s mizením kreditu. Nejspíše tedy bude nutné, aby každý zákazník souhlasil, že historie hovorů bude uchovávána a přístupná cca pět let (přesněji co nejdéle, jak naše technické možnosti dovolí), tak je to ocení většina zákazníků.
Ukládány jsou další provozní údaje, jako ip adresy, z jakých se SIP zařízení hlásí a telefonují. Tyto usnadní řešení různých technických záhad, případně dovedou potvrdit či vyvrátit zneužití služby třetí osobou. Všechny uchované údaje se snažíme zobrazovat přímo zákazníkovi, aby měl o informacích přehled a mohli mu být také užitečné. Přibýt by mělo i podrobnější zobrazování SIP signalizace, což by pokročilejším zákazníkům mělo usnadnit ladění různých SIP problémů. Nyní signalizaci logujeme pro potřeby řešení technických problémů.
Snad možná zbývá možnost zrušení registrace. To nyní spočívá v tom, že je ručně smazán záznam emailové adresy, čísla na které je provedena registrace, a tím se účet stává anonymní. (adresy a další údaje si může každý uživatel smazat kdykoli sám.) Smazat účet jako takový není možné, protože je třeba uchovávat historii plateb, daňových dokladů, historie hovorů. Některé z těchto věcí je nutné uchovávat ze zákona (historie hovorů, daňové doklady), aby se neporušila konzistence databáze a bylo možné zpětně zkontrolovat férové fungování a též mít možnost proces "zrušení registrace" vzít zpět v případě lidské chyby.
Je snad tohle onen tolik potřebovaný popis procesů zpracovávání dat? A co třeba pokud si někdo objedná dobíjecí kartičku pomocí SMS s adresou. Smíme adresu uchovat pro případ, že by požadoval poslat kartičku znovu a žádal o to třeba jen telefonem? Musíme tuhle drobnost psát do všeobecných podmínek? Také jsem se doslechl, že díky novému nařízení EU bude prý povinná dvoufázová autorizace pro přihlašování na webové stránky. U většiny zákazníků to považuji za nesmysl. Není ale zjevné, jestli to EU opravdu myslí vážně, nebo je to jen informační šum. Co by ale mohlo být dobré, je pro nové registrace místo pinu začít standardně jméno a heslo a heslo by mělo ukládáno šifrovaně kvalitní hašovací funkcí. Např. Vodafone, pokud vím, ukládá hesla svých zákazníků také nešifrovaně - protože jedině tak mohou operátoři callcentra kontrolovat jen druhou a čtvrtou číslici, ostatně u čtyřmístných až osmimístných čísel jako hesel ani šifrování nemá smysl, protože lze vždy snadno prolomit vyzkoušením všech kombinací. Budou tedy nuceni tohle změnit?
Pokud by chtěl někdo opravdu spamovat nebo zneužívat nějaká pochybně získaná data, založí si přece firmu na bílého koně a při splatnosti první pokuty nechá firmu zkrachovat. Dnes lze založit s.r.o. už s kapitálem 1 Kč. Firma v čí prospěch bude spamovat, předpokládám, už postižitelná nebude. A firmy, jejichž hlavní činností je sbírání a vyhodnocování dat o svých klientech jako facebook, whatapp, aby pak mohli lépe ovlivňovat jejich další chování, ty si to přece ošetří tak, aby se úřadům jevilo, že je vše v pořádku. Nechápu tedy moc význam.
Pokud k tomu máte nějaký komentář, budu rád.