Index krize v ČR.
Úvod Hledání On-line hry On-line testy Odkazník Registrace Jak podpořit Blogovník Provozní podmínky Zásady ochrany osobních údajů
 



Návštěvy
Celkem:636815
Tento rok:85021
Měsíc:5556
Včera:249
Dnes:137
Online:20
počítadlo ALAWARE.CZ

Úvodní strana  Prohlížení článků  GDPR, metla na drobné živnostníky




GDPR, metla na drobné živnostníky

(aktualizace 25.2.2018) GDPR = General Data Protection Regulation. A ano, je to jedna z mnoha regulací, které byly, jsou a budou připraveny Evropskou Unií pro svého ovčana, pardon pro občana. O co jde? V tomto případě jde o snůšku jakýchsi právních rámců, kodexů a říkání, které nejsou (alespoň o tom prozatím nevím) dány jasnými předpisy v zákonech, ale přesto při jejich nedodržování hrozí sankce ve formě pravděpodobných pokut. Kontrolovat a postihovat nedodržování snůšek GDPR bude úřad pro ochranu osobních údajů = tzv. DOZOROVÝ ÚŘAD. Následující text je určitým souhrnem pro mě a zároveň možnou nápovědou pro vás. V podstatě se sám sebe pokusím provést tím, co bych měl udělat, abych se jako drobný živnostník cítil před touto nespecifickou kuratelnou v bezpečí, a aby se nade mnou nehoupal Damoklův meč, hrozící mi setnout hlavu za něco, co v podstatě ani nemám šanci nějak ovlivnit. Např. za to, že mi nějaký hacker ukrade data, on potrestán nebude, ale já za to, že jsem o této skutečnosti neupozornil zákazníka, ano.

Řekněme si rovnou, že podnikání v překrásné nové Evropské Unii nebude snadné. Ale dost řečí. Hlavouni něco vymysleli a já teď budu možná i stovky hodin vymýšlet, jak z toho ven, studovat výplky a informační zdroje, různé názory, diskusní fóra, postoje úřadů, vyhotovit si z toho poznámky, co dělat, a následně přistoupit k činu.  Protože pokud si nechcete zaplatit nějakého poradce, který beztak za nic nebude nést odpovědnost, musíte si nějak poradit sami.

Informační zdroje ke studiu

Pohodlně se usaďte, příjemně se nalaďte, protože nyní budete každý večer studovat moře informací ohledně GDPR. Začínáme:

Nejzákladnější informace
https://www.uoou.cz/gdpr/ds-3938/p1=3938
Tady jsou nějaké základní kecy k něčemu, co v tuto chvíli není zákonem dáno. Co si z toho vzít? Určitě moře odkazů ke studiu. A potom toto:
Cituji:
před zahájením nového zpracování je třeba posoudit vliv jednotlivých zpracování na ochranu osobních údajů (DPIA) a zvolit vhodné nástroje ochrany údajů, za určitých podmínek si vyžádat předběžnou konzultaci u dozorového úřadu. Klíčem k nastavování povinností pro správce je rizikovost, která je dovozována z rozsahu zpracování, zpracovávaných osobních údajů a používaných technologií.
A hned mám otázku. Co je to DPIA??? DPIA = Data Protection of Impact Assessment. Na této adrese (https://www.gdpr.cz/gdpr/heslo/data-protection-impact-assessment ) se uvádí, že by se mělo většinou jednat o nějaký softwarový nástroj. Pro malého živnostníka je nemyslitelné kupovat si softwarový nástroj, který by řešil vliv zpracování na ochranu osobních údajů. Z toho si vyvozuji, že buďto nebudu osobní údaje vůbec zpracovávat a nebo je budu zpracovávat tak, abych je zpracoval jednou a naposled a následně všechny údaje smazal, aby nemohlo dojít k narušení "ochrany" osobních údajů, protože už nebude chránit co.

Z výše uvedeného mi vyplývá, že nejlepší cestou, jak chránit osobní údaje, je všechny osobní údaje odstranit ihned po provedení obchodní operace. Pokud nějaké osobní údaje zůstanou, držet je MIMO POČÍTAČ, MIMO INTERNET tak, aby nemohlo dojít k jejich odcizení a pokud by k jejich odcizení fyzicky došlo, aby tato skutečnost byla prokázána ideálně policejním protokolem a následně, aby se samotná  policie zabývala vyšetřením krádeže těchto fyzických údajů (např. šanonů s objednávkami). Pro mě z toho vyplývá, vyvést maximum informací mimo virtuální svět počítače do fyzického světa papíru a tento fyzický svět papíru uzamčít v trezoru nebo za zabezpečeným vstupem proti vloupání.

Zatímco ochranu dat na počítači vzhledem k tomu, že jsou napíchnuté i procesory, zorganizovat nejsem a nechci za to mít odpovědnost, když ji nemá výrobce procesorů nebo operačního systému, ochranu fyzických dat, třeba tesaných do kamene, schopen zajistit jsem. A vypadá to, že přesně tohle po mě GDPR chce, abych si mohl říct, ano, udělal jsem maximum pro to, aby data u mě byla v bezpečí.

Následné studium žvástů o GDPR se tedy bude principiálně držet toho, jaká data zlikvidovat na počítači nebo médiích, abych nebyl uveden v riziko nedodržování GDPR a zajištění ochrany, kterou nemohu zajistit, protože ji není schopen zajistit ani výrobce procesorů a ani výrobce operačního systému. A zatímco mě by postih za ztrátu dat za určitých okolností hrozil, výrobcům obého nehrozí zjevně nic. Počítač se tedy pro mě stává médiem, které mě uvádí v riziko a musím zcela logicky omezit využívání počítače a úložných virtuálních médií tak, abych toto riziko minimalizoval nebo zcela eliminoval.

Tuto zásadu budu nazývat zásadou KOVADLINY. Protože právě o kovadlinu se Damoklův meč GDPR , jenž není kladivem, otupí a nebude dělat to, co dělat má, tj. kriminalizovat skupinu obyvatel. A je docela škoda, že kriminalizace skupiny obyvatel není trestná, pokud ji ovšem nepovažujeme za diskriminaci skupiny obyvatel, což by se teoreticky na drobné živnostníky, kteří nemají dostatečný právní základ, dostatečný kapitál na ochranu před GDPR, dalo aplikovat.

Když si danou problematiku zmetaforizujeme, tak GDPR je jako meč nebo sekyra, a to jsou sečné nástroje, které se potřebují do něčeho zaseknout. Když nebudu mít data k ochraně, nebude se mít GDPR do čeho zaseknout a případná kontrola úředního šimla dopadne ztrátou jeho času a mým úsměvem s tím, že se pokusím žádat odškodnění za zmařený můj čas a způsobený stres včetně náhrady ušlého zisku.

Budeme tedy vystupovat stejnou logikou jako EU a vytvoříme si vlastní zásady. Zásada KOVADLINY proti zásadám GDPR.

Cituji:
Správci a zpracovatelé jsou za určitých podmínek povinni jmenovat pověřence pro ochranu osobních údajů.
Pokud budu aplikovat zásadu KOVADLINY, tak nemusím jmenovat pověřence pro ochranu osobních údajů.

Co je to osobní údaj?

Podle wikipedie je, cituji:
Osobním údajem je jakákoliv informace týkající se určené nebo určitelné fyzické osoby, k níž se osobní údaje vztahují. Tato se považuje za určenou nebo určitelnou, jestliže lze fyzickou osobu přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro její fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu.
Zdroj:
https://cs.wikipedia.org/wiki/Osobn%C3%AD_%C3%BAdaj
Za osobní údaj tedy považujeme jméno a příjmení, datum a místo narození, rodinný stav, rodné číslo, státní příslušnost, adresa trvalého bydliště, telefonní spojení a další v duchu definice osobního údaje. Osobním údajem může být i e-mailová adresa, jestliže lze podle ní identifikovat danou osobu, což teoreticky nepřímo a pokud je adresa dostatečně výstižná, tak i přímo lze.

Aby mohla naše Kovadlina fungovat, je třeba důsledně likvidovat cokoli, co smrdí osobním údajem. A pokud máme osobní údaje, tyto evidovat mimo počítač, mimo očima nečitelné paměťové médium, ideálně na papíře, tento papír mít uzamčený a ideálně skrytý, aby o něm nikdo nevěděl, a tedy aby kontrola neměla co kontrolovat a případný zloděj co krást.
Možná úplně nejlepší je zaznamenat záznamy na papír v jazyce a písmu, kterému nikdo nerozumí jenom my sami. Jedním takovým písmem je těsnopis, který ovládám, za využití speciální zkratek. :-)
Další možností je data na papíře rovnou šifrovat a následně dešifrovat přes skener rozpoznávající znaky a příslušný software s aktivačním klíčem, který bude uložen na speciálním paměťovém médiu uschovaném v certifikovaném trezoru. Takto bychom snad mohli učinit GDPR zadost.

GDPR (celý název je: Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)) bude platit na území ČR od 25. května 2018 a jako "obecné nařízení" nahradí zákon č. 101/2000 Sb. o ochraně osobních údajů. Lze předpokládat, že postupně na toto obecné nařízení vzniknou nové zákony (např. novelizovaný zákon 101/2000 Sb.) nebo předpisy.  Zákony a předpisy však budou mít pouze doplňkový charakter k nařízení EU o GDPR.

Z GDPR jsou vyloučeny činnosti, při kterých jsou  zpracovávány osobní údaje pro osobní nebo domácí činnost.

Dále je z působnosti obecného nařízení vyloučeno zpracování prováděné příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.

A to mi něco připomíná...

Zápisy o provedení GDPR

O jakémkoli opatření v souladu s GDPR je vhodné provádět zápisy ideálně podepsané svědkem, notářem, nebo advokátem. Je to z toho důvodu, že nařízení GDPR ukládá na bedra "správce" dokládat nakládání s osobními údaji a dokládat, že pracuje v souladu GDPR. Je třeba vytvořit kodex, zápisy, logy, interní směrnice, dokumentaci o prováděných činnostech, které vedou ke snížení rizika zneužití osobních údajů.

Pokutový systém/Sankce

Pokuta může být udělena až do výše 20 000 000 EURO a nebo až 4 % z obratu!!!
Na české koruny je to cca až 500 milionů Kč.
K tomuto bych chtěl dodat, že dle mého názoru se takto dá "uvařit" prakticky kdokoli. GDPR má natolik obecný a principiální charakter, že nalezení porušení těchto principů nebude u kohokoli žádný problém.

Závěrem

Domníval jsem se, že jsem v oblasti zabezpečení dat dostatečně paranoidní, ale chyba lávky. Budu muset svoji paranoiu navýšit minimálně stokrát a nebo totálně zrušit veškeré živnostničení, na které má GDPR sebemenší vliv.

Závěrem bych to shrnul poměrně lapidárně. Pokud člověk, byť se bude snažit učinit GDPR a dalším sračkám zadost, dostane likvidační pokutu, povede to k jeho vyčlenění ze společnosti a totální ztrátě zábran ve všech oblastech a zejména v těch, které společnost nejvíce bolí. Tohle někdo opravdu chce???

Přijmutá opatření - příklady:

- zavést dokumentaci, která bude dokládat činnost pro snížení rizika zneužití osobních údajů a dodržování zásad GDPR. Každý doklad by měl být podepsán nějakým svědkem, notářem nebo advokátem (např. prohlášení o implementaci zásad GDPR).
- jakékoli narušení bezpečnosti transparentním a ověřeným způsobem hlásit na úřad pro ochranu osobních údajů.
- šifrace pevného disku. Lze využít funkčnosti Linuxu, protože o jiném šifrovaném neopensource systému, kde výrobce v podstatě nenese za ukradení dat odpovědnost, z bezpečnostního hlediska neuvažuji.
- průběžná šifrace veškerých dat na jakýchkoli paměťových médií kromě papíru, který bude řešen jinak. Lze využít např. skvělý ruský opensource software 7-Zip od Igora Pavlova, který funguje jak na Windows, tak na Linuxu.
- šifrace veškeré privátní e-mailové komunikace. S adresáty, kteří odmítnou šifrovat a postupovat v duchu zásad GDPR přerušit kontakt.
- e-maily provozovat na vlastním zabezpečeném e-mailovém serveru, kontrolovat logy a chránit tento systém ve vlastní režii.
internetové prezentace provozovat na vlastním zabezpečeném www serveru, kontrolovat logy a chránit tento systém ve vlastní režii.
- ftp provozovat na vlastním zabezpečeném ftp serveru.
- šifrovat přístup k ftp.
- šifrovat přístup k webům, nešifrovaný přístup přesměrovat na šifrovaný přístup (protokol https).
- neprovozovat systém registrací, zrušit veškeré seznamy registrantů.
- neuchovávat v počítači osobní údaje déle jak 30 dnů i v případě objednávky.
- neuchovávat maily v mailové schránce se stářím více jak 30 dnů. Starší maily půjdou na externí úložiště, které bude mimo intranet i internet.
- zvýšit zabezpečení do prostor, kde se uchovávají šanony s citlivými nebo osobními údaji (např. vytisknuté objednávky). (mříže, alarm, bezpečnostní až pancéřované dveře, nástražné pasti pro vetřelce, trvalý on-line dohled kamer).
- zabezpečit veřejně přístupnou síť (např. WiFi, Bluetooth, ale i klasickou "po drátě") tak , aby nikdo anonymní nemohl z této sítě páchat nelegální aktivity, a pokud někdo tyto aktivity páchal, tak byl identifikovatelný, jinak vina automaticky padá na poskytovatele této sítě. A s tím i hrozba sankcí.

--tento článek je ve vývinu--

Zdroje:
názor a zkušenost autora
https://cs.wikipedia.org/wiki/Osobn%C3%AD_%C3%BAdaj
https://www.uoou.cz/gdpr/ds-3938/p1=3938
http://www.privacy-regulation.eu/cs/5.htm






















--jun--
24.02.2018,16:21
Počet čtenářů: 0



název a sídlo firmy: Josef Nádběla - ALAWARE IČ: 75811511,  sídlo: Moravská 617/18, Chropyně
Firma je zapsána do živnostenského rejstříku pod názvem 'Josef Nádběla', odkaz zde.
Jsme neplátci DPH.

Webový systém NÁDBĚLA WEB INFINITY 1.1.21D - Copyright Josef Nádběla - ALAWARE 2020 - Všechna práva vyhrazena.
CSS 3.0, PHP 5.4.20 STRICT (verze PHP na hostingu: 5.4.20), XHTML 1.0 Strict
Odladěno pro Internet Explorer 9-11; Mozilla Firefox 12-57; Opera 11,12; Google Chrome 20-34, Maxthon Cloud Browser v4.0.3.6000.
v