Vlákno názorů k článku Nesmíme se nechat zahltit zákony, říká šéfka nejstaršího českého CSIRT týmu od Petr - “Například na GDPR se mi těžko hledá něco,...

“Například na GDPR se mi těžko hledá něco, o čem bych mohla mluvit pozitivně.” Takze treba to, ze uz u navrhu aplikace zpracovavajici osobni data musite resit zabezpeceni dat nepovazuje slecna za pozitivni? Zvlastni.

Považuji. Ale potřeba přemýšlet nad ochranou (jakýchkoliv citlivých) dat již ve fázi návrhu a pak v celém procesu realizace aplikace je zde odjakživa. Není to převratná novinka, kterou přináší GDPR. Ale přidalo-li GDPR v tomto směru na důrazu, tak je to určitě dobře.

Kdyz rikate odjakziva, mate na mysli ruzne dumpy databaz nekde ve /var/www/html/ obsahujicich e-mail, jmeno atd. jenom proto ze to pro spravce webu je to tak pohodlne? Nebo mate na mysli e-mail seznamu ktery po deaktivaci (smazani neni dle nich mozne) vsechny e-maily porad skladuje a v pripade ze si nekdo vytvori schranku a pouzije to same jmeno tak se dostane do vasich e-mailu? To odjakziva se implementuje ruzne a diky GDPR treba budu moci konecne seznam poslat do ( )|( ) s tim at mi konecne zrusi schranku obshaujici me osobni udaje. GDPR zavede do urcite miry v CR poradek s nakladnim s osobnimi udaji, kdyz mi zavola treba spolecnost X a oslovi me jmenem, budu vedet ze odnekud ma moje telefonni cislo linkovane s mou osobou a uz nebudou moci rict ze jsem s tim souhlasil nekde u nejake akce v kauflandu na ktere jsem nikdy nebyl.

jen si to moc nemalujte, podobnych standardu a predpisu jako je GDPR je po svete plno a jejich zavedeni toho nikdy moc nezmenilo. On to toz musi jeste nekdo implementovat a udrzovat, co se moc nedeje.

Navic samotny GDPR neni nic moc extra v porovnani se ostatnima.

Standardu je samozrejme spousta, ale vetsina z nich pokud vim nezahrnuje treba vysoke pokuty...

Princip kontroly nad vlastními informacemi a povinnost ochrany je určitě pozitivní. Ale asi jde o to byrokratické pojetí zákona, které příliš nezohlednilo reálné a efektivní použití. Například zahrnutí IP adresy a emailové adresy do osobních údajů je pěkný průser. Teď hrozí, že nebude legální poslat třetí straně (správci anti-spamové služby) emailové adresy spammerů bez jejich souhlasu a podobně.

Ono sa to nariadenie vztahuje aj na ine ako na mailove adresy realnych osob. Myslim ze sa nebudu vztahovat na technicke mail adresy, adresy fiktivnych osob (ktory spamer pouzije svoju realnu identitu?) a tak podobne... teda ak za spamerov nepokladas realne osoby ktorych maily treba mazat, pretoze myslia inak ako stado - njn, to si ich virusfree nebude moct evidovat :)

2.. 654: GDPR ale neni minimalne v CR zadna novinka, 101/2000 ... === uz 18let tu plati defakto presne totez, jen s tim, ze sankce se prakticky neudeluji nebo naprosto smesne.

Stejne tak definuje osobni udaj, jako libovolny udaj nebo soubor udaju, ktere identifikuji konkretni osobu nebo uzky okruh osob === IP byla osobnim udajem odjakziva, stejne jako email a spousta dalsich veci (nick je take osobni udaj).

GDPR defakto jen striktne rika, ze veskere dokazovani a odpovednost je na tom, kdo takove udaje ma, tudiz naprosto neobstoji ze budes nekde vykladat, ze si je v dobre vire koupil.

Proč? V bance zjistí, že někdo zkouší hádat hesla ze sítě SkvělýTelekom. No tak banka dá vědět SkvělýmuTelekomu prefix /64 a nezajímá ji, jestli je to konkrétní člověk nebfirma, nebo jestli se zařízení někdo zmocnil. Následně to řeší SkvělýTelekom na úrovni sítě (zjistí si, jestli jde o blok /64 nebo /52, zablokuje nebo eskaluje (do firmy). No a deska se za jednou IPv4 může skrývat plno lidí a za prefixem IPv6 ještě víc.

A i kdyby se posílaly údaje jako mailová adresa atd., tak v případě incidentu a jeho řešení snad není problém prokázat, že bylo využito nezbytný minimum informací a jejich zpracování bylo legální (= pro zabránění vzniku škody, povoleno zákonem atd.). Přece nedostanete flastra, když si u vás zloděj na chatě zapomene občanku, vy zjistíte že není vaše (kontrolou osobních údajů) a předáte ji policajtům.