Виж темата - GDPR - дълго чаканата сигурност или прах в очите

[vld]

Ще спечелят разните там консултанти които ще бъдат наети от хора които немогат да раберат текста на закона.
На всички останали им е допълнителна работа без допълнително заплащане, като на мен например....
Щото нали дещо има сайт или сървър с оторизация събира логове, а те съдържат лични данни, щото нали и ИП адреса вече е лична данна и те така.
Та ще се потиме някакво време докато нещата влезнат в релси, после всичко по старо му.

[steeN Профил]

На теб не ти е допълнително заплащането, защото си на фиксирана заплата... но за фирмата ти е повече пари
От друга страна за много това може да значи разликата между имане и нямане на работа...


само ще оставя това тук

I had drafted a letter a few years ago detailing the worst kind of personal information access request that a Canadian company could receive under PIPEDA. I thought it might be useful to update that as a subject access request under GDPR, and present it as a worst-case situation (with thanks to Paul Breitbarth for reviewing this and offering some insights from a regulator's point of view). You might simply use this to make a case to your organization about what it could potentially receive.

https://www.linkedin.com/pulse/nightmar ... rbaliotis/

The nightmare letter:
Dear Sir/Madam:
I am writing to you in your capacity as data protection officer for your company. I am a customer of yours, and in light of recent events, I am making this request for access to personal data pursuant to Article 15 of the General Data Protection Regulation. I am concerned that your company’s information practices may be putting my personal information at undue risk of exposure or in fact has breached its obligation to safeguard my personal information pursuant to <latest nasty cybersecurity event or thing in the news>.
I am including a copy of documentation necessary to verify my identity. If you require further information, please contact me at my address above.
I would like you to be aware at the outset, that I anticipate reply to my request within one month as required under Article 12, failing which I will be forwarding my inquiry with a letter of complaint to the <appropriate data protection authority>.
Please advise as to the following:
1. Please confirm to me whether or not my personal data is being processed. If it is, please provide me with the categories of personal data you have about me in your files and databases.
a. In particular, please tell me what you know about me in your information systems, whether or not contained in databases, and including e-mail, documents on your networks, or voice or other media that you may store.
b. Additionally, please advise me in which countries my personal data is stored, or accessible from. In case you make use of cloud services to store or process my data, please include the countries in which the servers are located where my data are or were (in the past 12 months) stored.
c. Please provide me with a copy of, or access to, my personal data that you have or are processing.
2. Please provide me with a detailed accounting of the specific uses that you have made, are making, or will be making of my personal data.
3. Please provide a list of all third parties with whom you have (or may have) shared my personal data.
a. If you cannot identify with certainty the specific third parties to whom you have disclosed my personal data, please provide a list of third parties to whom you may have disclosed my personal data.
b. Please also identify which jurisdictions that you have identified in 1(b) above that these third parties with whom you have or may have shared my personal data, from which these third parties have stored or can access my personal data. Please also provide insight in the legal grounds for transferring my personal data to these jurisdictions. Where you have done so, or are doing so, on the basis of appropriate safeguards, please provide a copy.
c. Additionally, I would like to know what safeguards have been put in place in relation to these third parties that you have identified in relation to the transfer of my personal data.
4. Please advise how long you store my personal data, and if retention is based upon the category of personal data, please identify how long each category is retained.
5. If you are additionally collecting personal data about me from any source other than me, please provide me with all information about their source, as referred to in Article 14 of the GDPR.
6. If you are making automated decisions about me, including profiling, whether or not on the basis of Article 22 of the GDPR, please provide me with information concerning the basis for the logic in making such automated decisions, and the significance and consequences of such processing.
7. I would like to know whether or not my personal data has been disclosed inadvertently by your company in the past, or as a result of a security or privacy breach.
a. If so, please advise as to the following details of each and any such breach:
i. a general description of what occurred;
ii. the date and time of the breach (or the best possible estimate);
iii. the date and time the breach was discovered;
iv. the source of the breach (either your own organization, or a third party to whom you have transferred my personal data);
v. details of my personal data that was disclosed;
vi. your company’s assessment of the risk of harm to myself, as a result of the breach;
vii. a description of the measures taken or that will be taken to prevent further unauthorized access to my personal data;
viii. contact information so that I can obtain more information and assistance in relation to such a breach, and
ix. information and advice on what I can do to protect myself against any harms, including identity theft and fraud.
b. If you are not able to state with any certainty whether such an exposure has taken place, through the use of appropriate technologies, please advise what mitigating steps you have taken, such as
i. Encryption of my personal data;
ii. Data minimization strategies; or,
iii. Anonymization or pseudonymization;
iv. Any other means
8. I would like to know your information policies and standards that you follow in relation to the safeguarding of my personal data, such as whether you adhere to ISO27001 for information security, and more particularly, your practices in relation to the following:
a. Please inform me whether you have backed up my personal data to tape, disk or other media, and where it is stored and how it is secured, including what steps you have taken to protect my personal data from loss or theft, and whether this includes encryption.
b. Please also advise whether you have in place any technology which allows you with reasonable certainty to know whether or not my personal data has been disclosed, including but not limited to the following:
i. Intrusion detection systems;
ii. Firewall technologies;
iii. Access and identity management technologies;
iv. Database audit and/or security tools; or,
v. Behavioural analysis tools, log analysis tools, or audit tools;
9. In regards to employees and contractors, please advise as to the following:
a. What technologies or business procedures do you have to ensure that individuals within your organization will be monitored to ensure that they do not deliberately or inadvertently disclose personal data outside your company, through e-mail, web-mail or instant messaging, or otherwise.
b. Have you had had any circumstances in which employees or contractors have been dismissed, and/or been charged under criminal laws for accessing my personal data inappropriately, or if you are unable to determine this, of any customers, in the past twelve months.
c. Please advise as to what training and awareness measures you have taken in order to ensure that employees and contractors are accessing and processing my personal data in conformity with the General Data Protection Regulation.
Yours Sincerely,

[kasho Профил]

The nightmare letter...

И какво ще стане ако на тоя откровен тъпан му отговориш следното: "Неуважаеми г-н олигофрен, твоите лични данни са били изтрити на хх.хх.20хх и не се съхраняват или обработват, с изключение на издадената към теб фактура на хх.хх.20хх, която сме длъжни да съхраняваме като финансов документ." Как въпросния тъпан ще докаже, че примерно неговите данни са в някоя твоя база данни?

[steeN Профил]

Нямам идея. Тва го е писал някакъв адвокат като възможно най-лошия случай.

Аз бих му върнал данните на балистична ракета... (понеже му имам адреса)... но едва ли европейските регулатори ще ми влязат в положението.

[alx Профил ICQ]

Имаш право да поискаш, тънкия момент е, че те имат право да ти откажат.
Нищо не се е променило освен регламента по употреба на данните.
Като цяло всички които събират по някакъв начин, вече ще ти искат изрично съгласие в което се съгласяваш с тях да ги използват за необходимите на конкретния бизнес неща.
Тоест да ти се обаждат, да ти пращат реклами и прочие.
А да има персонална отговорност, ако не си взел мерки и ти хакнат базата на онлайн магазина, от там носиш пряко отговорност за изтеклата информация.
Натоварващо е малко, бая работа ми отвориха с тия нови изисквания, ама какво да се прави.

Добре написано. Някой си е прочел урока и си пише (надявам се прилежно) домашното

Мога само да добавя, че новия закон допълнително разширява и уточнява правилата за контрольорите и за процесорите. Но най- важното е, че налага законова рамка за налагане на огромни глоби при неспазване. Като бизнес ефекта е, че не само могат да те глобят ако се издъниш на одит, а също ако просто те хакнат както трябва и се окаже, че защитите ти не отговарят на изискванията (които са написани доста общо и могат да се тълкуват по 100 начина)....

Политическия ефект е, че това е един лост за налагане на закони върху големите (предимно американски) компании. Идеята е, че европейците нямат дефакто големи масиви от данни и желаят по някаква схема дс ограничат американците и също да контролират какво се знае за хората.

Ефекта върху хората е че всяка информация която някои има за тебе трябва да се събира само с твое съгласие и да се използва само за цели за които си им позволил като във всеки един момент можеш да изискаш тази информация а също така и да бъдеш “забравен”.

[steeN Профил]

Политическия ефект е, че това е един лост за налагане на закони върху големите (предимно американски) компании.

Това може и да им се иска на бюрократите, но реалния ефект е, че пак ще си чешат главите защо така не върви предриемаческата екосистема в ЕС.

[alx Профил ICQ]

Политическия ефект е, че това е един лост за налагане на закони върху големите (предимно американски) компании.

Това може и да им се иска на бюрократите, но реалния ефект е, че пак ще си чешат главите защо така не върви предриемаческата екосистема в ЕС.

Аз като един от участниците в работната група която написа гдпр мога отговорно да заявя, че за целите за които е писан е по- добър от фреймуърк-а до този момент

Между другото гдпр-а е писан от правителствени консултанти, но всичките му части преди това са одобрени от няколко от най- големите европейски компании... така че не е създаден съвсем в бюрократичен вакуум...

[steeN Профил]

То това са двата варианта... или бюрократична некадърност или лобизъм от големи компании за да смачкат малките (както съм написал в първото си мнение) Това, че си участвал в това нещо не ми повишава респекта, точно обратното... нищо лично.


Sent from my iPhone using Tapatalk Pro

[alx Профил ICQ]

То това са двата варианта... или бюрократична некадърност или лобизъм от големи компании за да смачкат малките (както съм написал в първото си мнение) Това, че си участвал в това нещо не ми повишава респекта, точно обратното... нищо лично.


Sent from my iPhone using Tapatalk Pro

Грешни са ти и двете твърдения.

Внимавай какво си пожелаваш- Директивата е написана във възможно най- леката форма. Ако беше “станало моето” и беше написана по другия по- конкретен начин нямаше да има компания близките 5 години която да има дори минимален шанс да е “примерен ученик”.

За смачкването- гдпр-а е написан с фокус/ въдворяване на големите компании. Прилагането му там е изключително скъпо и времеемко. Забележи, чe максималното наказание е 20 милиона евра или 4% от оборота- нали разбираш, че за 20 милиона никой няма да седне да одит-ва и разнася по съдилища една малка компания? докато един Сименс примерно е много по апетитна цел- еле пък Гугъл и подобните...

Лобизъм разбира се има, но не е очевиден и е в дребните детайли и е с цел компетитив адвентидж на глобалната сцена. Задачата да се мачкат малките компании не е зададена (или решена) в гдпр. Това е опорна точка.

[steeN Профил]

Какво си пожелавам... ти и аз го живеем в щатите. Краставичар с краставици плашиш. Дори сегашната администрация премахна регулация свързана с интернет операторите в тази област скоро. Това е любимия ми аргумент... “знаеш ли какво ще стане” когато има реални примери да се прибягва до хипотетични

п.с. това с опорната точка малко ме засегна честно казано, защото всичко писано тук си мое лично мнение. ако е опорна точка значи аз ги задавам.

Sent from my iPhone using Tapatalk Pro

[alx Профил ICQ]

Какво си пожелавам... ти и аз го живеем в щатите.

това изречение има неверни неща в него

п.с. това с опорната точка малко ме засегна честно казано, защото всичко писано тук си мое лично мнение. ако е опорна точка значи аз ги задавам.

не се засягай. написах го защото просто гдпр-а не е сметнат да улеснява големите компании (дори обратното) и това беше едно от основните изисквания към създателите му - един вид опорна точка в чертежите му. нямах напредвид тебе и твоето мнение.

[N.Mihaylovski Профил Уеб-сайт]

Това което виждам аз е как давам едни хиляди левове, и нищо няма да се промени, пишем вътрешни правила, който няма как да спазваме защото ще трябват още 3 ма да назнача заради "процедурата" на тях кой ще плаща заплати ?
Истината е, че е направена едни хора да направят много пари за сметка на други.

[steeN Профил]

...

Да, частично невярно е, заради HIPAA, FERPA и FCRA предимно. Тук там има пръснати щатски закони, но няма такава всеобхващаща регулация с такива тежки изисквания.
Аз разбирам, че имаме различен светоглед, но има една приказка, че политиките трябва да се оценят по резултатите, не по намеренията.
Дори и да има политическа воля регулаторите да си затварят очите за малките компании... това може да е страшна бухалка и да генерира корупция... като се удрят селективно такива.
Това са най-страшните закони, които се прилагат асиметрично по усмотрение на администрацията, дори и да е с добри намерения. И разбира се няма гаранция, че следващата администрация няма да е с лоши.

Аз нямам нищо против личния интерес... това което споменаваш, че не е "станало моето". Да, света се движи от хора, които следват личния си интерес.
Така и трябва да бъде и уважавам такива хора, които го правят открито. Това, което не ми харесва е, като чужд личен интерес се представя като мой образно казано.
Ясно виждам и че ЕС имат проблем с това, че нямат сериозни техологични компании, но това е стъпка назад, не напред.
Стратегията им за електронен пазар е плачевна. Последно френските комунисти искат да набутат глупости като минимум 30% локално съдържание в онлайн платформи като Нетфликс.

Можеш ли да кажеш, че този нов регламент би преотвратил свинщина, като тази която се случи с Equifax (което дори си е информация, която попада под доста тежка регулация)...
което е един реален проблем, за разлика от преекспонирането на драмите с Facebook?

[vixx Профил]

И какво ще стане ако на тоя откровен тъпан му отговориш следното...

Принципно нищо, ако не му предоставяш услуги и наистина не пазиш данни, няма какво друго да отговориш. Ако лъжеш, не е ясно какво точно ще се случи или поне аз не съмнамерил някой, който да каже как ще е в БГ процедурата по доказване.
Ако му предоставяш услуги, на почти всички тези въпроси отговорите им трябва да са ти в политиката за поверителност, така че просто му даваш линк към нея, пращаш данните в 30-дневен срок и това е.

[steeN Профил]

alx нищо няма да каже, но мисля да се кандидатирам за secretary of commerce...

https://www.ft.com/content/9d261f44-625 ... 0534df682c

Complying with GDPR will exact a significant cost, particularly for small and medium-sized enterprises and consumers who rely on digital services and may lose access and choice as a result of the guidelines. US companies have already invested billions of dollars to comply with the new rules. But even as companies update their privacy policies to bring themselves in line, many uncertainties remain.

цирка едва сега започва

GDPR creates serious, unclear legal obligations for both private and public sector entities, including the US government. We do not have a clear understanding of what is required to comply. That could disrupt transatlantic co-operation on financial regulation, medical research, emergency management co-ordination, and important commerce. It could threaten public welfare on both sides of the Atlantic. US and European financial services regulators may be impeded from carrying out important activities: for example, it is unclear whether EU supervisors can share information with the US for compliance exams and other oversight.

Pharmaceutical companies may not be able to submit medical data from drug trials involving European patients to US authorities, which could delay the approval of new life-saving drugs. The Centers for Disease Control and Prevention could be restricted in sharing information with European counterparts while responding to the outbreak of diseases such as Ebola. And the US Postal Service believes the new rules will prevent EU postal operators from providing the personal data on individuals it needs to process inbound mail.

GDPR also raises concern for law enforcement and intellectual property rights by restricting access to publicly available internet domain-name registration data. We anticipate companies will either stop providing “Whois” look-up services outright, or make it hard to access the information. That could stop law enforcement from ascertaining who is behind websites that propagate terrorist information, sponsor malicious botnets or steal IP addresses.