NOVINKA - Online rekvalifikační kurz Java programátor. Oblíbená a studenty ověřená rekvalifikace - nyní i online.
NOVINKA – Víkendový online kurz Software tester, který tě posune dál. Zjisti, jak na to!

Diskuze: GDPR - General Data Protection Regulation

V předchozím kvízu, Online test znalostí PHP, jsme si ověřili nabyté zkušenosti z kurzu.

Aktivity
Avatar
katrincsak
Člen
Avatar
katrincsak:30.1.2018 11:47

Zdravým,

vím že se GDPR netýká pouze PHP, ale celkových dat a celého zpracování. Rád bych tímto otevřel téma, které pomůže sesbírat veškeré informace a mít vše co je potřeba. Co jsem četl, tak dost informací není úplně jasných.

  • umožnit uživatelům smazat veškeré informace, které by dotyčného ztotožňovali.
  • logovat veškeré změny a úpravy osobních údajů.
  • veškeré osobní údaje musí být šifrované z důvodu případné krádeže dat a znemožnit čitelnost opět pro případ ztotožnění konkrétní osoby.
  • stejně tak se jedná o fotografie.

Zajímalo by mě zda jsou další důležité body na které se zaměřit a hlavně jak správně provést šifrování dat na takové úrovni? Je nějaký nástroj v SQL, který by se uměl postarat o dešifrování a zašifrování? Např. se uživatel zaregistruje, veškeré informace budou zašifrované. Přihlášení, nebo podobné věci jsou jasné, ale jak např. získat data pro případný export a třeba zasílání novinek na email? Pohádkou by bylo, kdyby data byly již v databázi zašifrovaný, provedl bych dotaz a hodnoty by nebyly šifrované v dotaze, databáze by byla schopná si to zpracovat a šifrovaná data přečíst.

V těch kripto věcech jsem velkým amatérem.

Děkuji moc za veškeré informace, rady a doufám, že se to bude hodit i dalším lidem.

 
Odpovědět
30.1.2018 11:47
Avatar
Neaktivní uživatel
Tvůrce
Avatar
Neaktivní uživatel:30.1.2018 11:53

logovat veškeré změny a úpravy osobních údajů

to je zase nějaka novinka? O tom jsem ani nevěděl. Pokud to je pravda, tak jim na to seru, nebudu ukládat všechny podoby osobních údaju, zatěžovát DB a potom jěště být zodpovědný...

Ohledně šifrování, použivám openssl. Při ukladani šifrují, při čtení dešifrují.

Editováno 30.1.2018 11:55
Nahoru Odpovědět
30.1.2018 11:53
Neaktivní uživatelský účet
Avatar
Marian Benčat
Člen
Avatar
Odpovídá na katrincsak
Marian Benčat:30.1.2018 12:02

Nemohu zde odhalovat naše know-how, jen ti povím co mohu:

  1. Odstranit veškeré informace nemusíš vždy - jednak jsou výjimky (například pokud je jasné, že je ta druhá strana potřebuje a bude chtít použít k nějakému dalšímu zpracování) - třeba agregované statistiky, lékařské záznamy u lékaře (lékař těžko smázne pacošovo data). Na DRUHOU stranu bys měl smazat data i ze záloh, ALE není definované za jak dlouho, takže to můžeš nastavit jako délku platnosti zálohy.
  2. logovat veškeré změny a úpravy osobních údajů.

Jop to musíš, musíš mít u sebe v DB identifikované tyto údaje a musíš logovat jejich změnu .. třeba na úrovni DALu v PHP.

3)

veškeré osobní údaje musí být šifrované z důvodu případné krádeže dat a znemožnit čitelnost opět pro případ ztotožnění konkrétní osoby.

stejně tak se jedná o fotografie.

Na toto odpovědět přesně nemohu.. ale existuje způsob jakým můžeš data zašifrovat tak, aby je přečetli jen ti uživatelé, které k tomu mají mít přístup...

Konkrétní přístup ti neporadím, protože je to obchodní tajemství. Jen ti prozradím, že jde o to, že data něčím zašifruješ a pak to "něco" zašifruješ "něčím" co vzniklo kombinací třeba hesel uživatelů (ne hashi, ale hesly) tudíž lze ty data rozšifrovat jen a pouze jedním z hesel uživatelů, kteří k těm datum mají mít přístup.

Samozřejmě to má i nějaké nevýhody:

  • pokud si někdo zapomene heslo a nemáš v systému zavedený tzv. master password, tak se ten uživatel už NIKDY nedostane k datum.
  • změna hesla libovolného uživatele, který má mít k datum přístup, znamená přešifrování všech "něco" v jakémkoliv resourcu (třeba řádky tABULKY, resourcu u NoSQL atd)
  • blbě se v tom vyhledává, pokud to není exact match a nemůžeš dělat agregační funkce..., defakto máš 2 možnosti jak to řešit:
    1. Něco jako elastic search / případně redmin, či něco co drží data jen v paměti aby to nešlo jednoduše dumpnout
    2. Mít speciální "index" řádku / resource v DB, kde budes mit jakesi svoje index.. takze kdyz chces neco hledat, tak desifrujes jen tento resource a pak hledas v nem.
  • veškeré třeba doporučení systému atp (třerba reklama na zákaldě dat) musíš dělat buďto komunikací Client -> server, nebo při Write/edit/delete operacich prepocitat.
Nahoru Odpovědět
30.1.2018 12:02
Totalitní admini..
Avatar
Marian Benčat
Člen
Avatar
Odpovídá na Neaktivní uživatel
Marian Benčat:30.1.2018 12:07

bože :D doufám, že tě zavřou :D

Nahoru Odpovědět
30.1.2018 12:07
Totalitní admini..
Avatar
Neaktivní uživatel
Tvůrce
Avatar
Odpovídá na Marian Benčat
Neaktivní uživatel:30.1.2018 12:32

jo jo

Nahoru Odpovědět
30.1.2018 12:32
Neaktivní uživatelský účet
Avatar
dez1nd
Člen
Avatar
Odpovídá na Neaktivní uživatel
dez1nd:30.1.2018 12:42

Dobře, třeba tě nezavřou, ale více bych měl strach z té několik desítek miliónové pokuty v eurech :D

 
Nahoru Odpovědět
30.1.2018 12:42
Avatar
Neaktivní uživatel
Tvůrce
Avatar
Neaktivní uživatel:30.1.2018 12:45

Bože že jsem napsal, že na to(JÁ) seru, neznamená, že na to opravdu seru, jen jsem nasranej kolik se toho musí pořád dokola dělat, nejdříve EET, teď tohle, potom EET z části zrušili, teď se nastaví GDPR a ono se za rok taky zruší?

Editováno 30.1.2018 12:47
Nahoru Odpovědět
30.1.2018 12:45
Neaktivní uživatelský účet
Avatar
David Hartinger
Vlastník
Avatar
Odpovídá na Neaktivní uživatel
David Hartinger:30.1.2018 12:53

Nad tím se nemá smysl rozčilovat, takhle to mají všichni. Mě třeba štve, že musíme pořád implementovat nová Facebook API, už nás to stálo desítky tisíc :D

Nahoru Odpovědět
30.1.2018 12:53
New kid back on the block with a R.I.P
Avatar
Neaktivní uživatel
Tvůrce
Avatar
Odpovídá na David Hartinger
Neaktivní uživatel:30.1.2018 12:58

No o FB API mi ani nemluv... :-@ :D

Editováno 30.1.2018 12:59
Nahoru Odpovědět
30.1.2018 12:58
Neaktivní uživatelský účet
Avatar
Lukáš Hornych
Tvůrce
Avatar
Lukáš Hornych:30.1.2018 16:06

Chápu to dobře, že tato opatření musí zavést jakékoliv webové stránky?

 
Nahoru Odpovědět
30.1.2018 16:06
Avatar
Erik Šťastný
Člen
Avatar
Odpovídá na Lukáš Hornych
Erik Šťastný:30.1.2018 16:16

Díky bohu to ne :-O ... jen ty co někam data o uživatelých ukládají.

 
Nahoru Odpovědět
30.1.2018 16:16
Avatar
Lukáš Hornych
Tvůrce
Avatar
Odpovídá na Erik Šťastný
Lukáš Hornych:30.1.2018 16:18

Nebo takhle vyjádřil jsem se asi nepřesně. Myslím stránky, na kterých se uživatelé mohou registrovat a nějakým způsobem mohou komunikovat s ostatními uživateli.

 
Nahoru Odpovědět
30.1.2018 16:18
Avatar
Erik Šťastný
Člen
Avatar
Odpovídá na Lukáš Hornych
Erik Šťastný:30.1.2018 16:21

Ano bohužel i email už je osobní údaj, takže bohužel :/

Editováno 30.1.2018 16:21
 
Nahoru Odpovědět
30.1.2018 16:21
Avatar
Lukáš Hornych
Tvůrce
Avatar
Odpovídá na Erik Šťastný
Lukáš Hornych:30.1.2018 16:37

Čistě teoreticky, pokud by uživatel byl identifikovaný pouze vymyšleným uživatelským jménem (tzv. žádný email, žádná profilovka atd.) bere se to stále jako osobní údaj. Všude čtu, že jméno je osobní údaj to chápu, ale zda se jedná i o vymyšlené uživatelské jméno to jsem se nikde nedočetl.

 
Nahoru Odpovědět
30.1.2018 16:37
Avatar
Erik Šťastný
Člen
Avatar
Odpovídá na Lukáš Hornych
Erik Šťastný:30.1.2018 16:38

Netuším nemám to nastudované, ale souhlasím a hádám, že k vymýšlenému usernamu by se to vztahovat nemělo.

 
Nahoru Odpovědět
30.1.2018 16:38
Avatar
Honza Bittner
Tvůrce
Avatar
Odpovídá na Lukáš Hornych
Honza Bittner:30.1.2018 17:23

Někdo mi říkal, že cokoli, čím si tě mohou spojit pomocí jiné sítě (tj. např. přezdívka) je bráno jako osobní údaj.

Nebo např. u ukládání MAC adresy. Samo o sobě to je ok, nepoznáš nic o uživateli, ale když to spojíš s databází MAC adres tak už o uživateli vlastně můžeš vědět vše, proto i např. MAC adresa bude něco, co je bráno jako ten osobní údaj.

Nahoru Odpovědět
30.1.2018 17:23
FIT ČVUT alumnus :-) Sleduj mě na https://twitter.com/tenhobi a ptej se na cokoli na https://github.com/tenhobi/ama.
Avatar
katrincsak
Člen
Avatar
Odpovídá na Lukáš Hornych
katrincsak:30.1.2018 17:23

Mělo by to být cokoliv co může identifikovat/zto­tožnit osobu o kterou se jedná/jednalo. Respektive tak, že když dojde k úniku dat, tak, aby nebylo možné zjistit o koho se jedná. Zároveň, pokavaď policie, nebo nějaký podobný orgán si vyžádá informace, jsi povinný je mít a poskytnout, ale to souvisí spíše se změnou.

 
Nahoru Odpovědět
30.1.2018 17:23
Avatar
Marian Benčat
Člen
Avatar
Marian Benčat:30.1.2018 18:22

Zajímalo by mě, kde by honza vzal MAC adresy. Ale ano,.. i IP adresa je osobní údaj :-) A ono to neni uplne tak easy...Těch pravidel je tam spoustu a obecně se vyplatí si vzít na nějaký větší projekt právníka :-) Ostatně - nám třeba GDPR předepisuje, že musíme mít i speciálního zaměstnance, který bude určité věci hlídat :-)

Jen pro představu..

U běžného eshopu například ANI NESMÍTE podmínit objednávku souhlasem se zpracováním osobních údajů, jinak GDPR porušujete.

Nahoru Odpovědět
30.1.2018 18:22
Totalitní admini..
Avatar
Honza Bittner
Tvůrce
Avatar
Odpovídá na Marian Benčat
Honza Bittner:30.1.2018 18:37

To byl příklad, že kdybys např. jen uchovával MAC adresy. :-)

Ty pravidla jsou AFAIK dost šílený, kor pro menší weby a tak. :/

Nahoru Odpovědět
30.1.2018 18:37
FIT ČVUT alumnus :-) Sleduj mě na https://twitter.com/tenhobi a ptej se na cokoli na https://github.com/tenhobi/ama.
Avatar
Lukáš Hornych
Tvůrce
Avatar
Odpovídá na Honza Bittner
Lukáš Hornych:30.1.2018 19:04

Taky mně to přijde docela šílený, pokud udělám malej web jen pro zábavu, ale co už. Právě se rozhoduju jestli se mně to do toho mého mini webu vůbec vyplatí investovat čas s tou minimální účastí. :-?

 
Nahoru Odpovědět
30.1.2018 19:04
Avatar
Marian Benčat
Člen
Avatar
Odpovídá na Honza Bittner
Marian Benčat:30.1.2018 19:29

Z poloviny souhlasím a z poloviny vůbec.

Je nutné říci, že ty nejtvrdší pravidla se vás netýkají - jelikož my administrujeme lékařská data, tak například nikdo z nás nemá ani přístup na produkci , jen 2 lidé a ti musí mít nějakou bezpečnostní prověrku. Jinak jsou tam i nějaké další věci samozřejmě, jako nutnost mít DPO, šifrovat úplně vše (což by jsme ale dělali i bez GDPR), vše anonymizovat = pokud nastane na serveru / klientovi nějaká chyba, tak my musíme kompletně ten log (stav aplikace) anonymizovat, než se odešle do logu, kam má přístup vývojář atd..

Tím chci říci, že ty pravidla rozhodně nejsou pořád stejná a u většiny lidí jen bude platit vesměs obecná poučka "neuchovávat data, co nepotřebujete uchovávat" a mít systém zabezpečený (šifrování, způsob hashování hesel atp.)

A proč nejsem úplně "proti" gdpr? Už z definice je jasné, že to není rozhodně jen co se týče IT a už z definice plyne jedna důležitá skutečnost..

Vám by nevadilo, kdyby třeba jakýkoliv obchod, kde si co koupíte, jakákoliv půjčovna, kde si co půjčíte.. prostě kdokoliv.. vám by nevadilo, kdyby tyto data - ke kterým nemá důvod, je shromažďovat, skutečně shromažďoval a pak je podle svoji vůle předával dál, nebo je dal na parapet z venku tak, aby si je mohl kdokoliv přečíst / ukrást?

Tak proto to GDPR je.
Člověk si uvědomí tu nezodpovědnost valné většině "majitelů" a vývojářů webových systému až v okamžiku, kdy to přirovná k příkladu z reálného života.

Mít totiž web s nezabezpečenou databází co shraňuje data co nepotřebuje, je to samé, jako mít tyto záznamy u normálního obchodu a dát ty záznamy na ten parapet.

Nahoru Odpovědět
30.1.2018 19:29
Totalitní admini..
Avatar
Lukáš Hornych
Tvůrce
Avatar
Odpovídá na Marian Benčat
Lukáš Hornych:30.1.2018 21:02

Ještě k tomu šifrování (mám v tom pořád guláš tak trochu) musím zašifrovat všechny identifikační údaje (username, email atd.) nebo stačí pro malý web jen to to heslo?

 
Nahoru Odpovědět
30.1.2018 21:02
Avatar
katrincsak
Člen
Avatar
Odpovídá na Marian Benčat
katrincsak:30.1.2018 21:02

Rozhodně souhlasím, že to není věc úplně nesmyslná až na pár detailů jako např. tebou zmíněné mít speciálního zaměstnance, což jsem opomenul napsat. Pro malé weby je to zbytečné, ale rozhodně easy. Provést úpravy na redakčním systému, který má firma, bude ještě sranda...

Víte někdo jak dlouho je nutné uchovávat logy? Bylo zde psáno, že smazání záloh lze nechat na datu mazání.

Editováno 30.1.2018 21:05
 
Nahoru Odpovědět
30.1.2018 21:02
Avatar
Marian Benčat
Člen
Avatar
Odpovídá na Lukáš Hornych
Marian Benčat:30.1.2018 21:15

To záleží na hodně faktorech, proto je doporučené na velké systémy si vzít pravnika, který da doporučení. Vim ze i u malých webu musíš šifrovat věci jako jsou rodná čísla ATP.

Nahoru Odpovědět
30.1.2018 21:15
Totalitní admini..
Avatar
Neaktivní uživatel
Tvůrce
Avatar
Odpovídá na katrincsak
Neaktivní uživatel:31.1.2018 1:02

To(mít pověřence) platí jen pro firmy co mají 250+ zaměstnanců pokud se nepletu.

Nahoru Odpovědět
31.1.2018 1:02
Neaktivní uživatelský účet
Avatar
dez1nd
Člen
Avatar
dez1nd:31.1.2018 6:02

Ale co na to státní správa? co ares a seznamy s ICO atd ? na to se to snad vztahuje taky ne ? a jak to bude platit tam ?

Editováno 31.1.2018 6:03
 
Nahoru Odpovědět
31.1.2018 6:02
Avatar
Marian Benčat
Člen
Avatar
Odpovídá na Neaktivní uživatel
Marian Benčat:31.1.2018 9:22

Není to jen o tom, je to i pokud třeba skladuješ zdravotnická data

Nahoru Odpovědět
31.1.2018 9:22
Totalitní admini..
Avatar
Marian Benčat
Člen
Avatar
Marian Benčat:31.1.2018 11:38

KdZ už jsme i toho, tak i DIČ porušuje gdpr :)))

Nahoru Odpovědět
31.1.2018 11:38
Totalitní admini..
Avatar
Antonín Kasalsky
Člen
Avatar
Odpovídá na katrincsak
Antonín Kasalsky:9.3.2021 13:11

Ahojte, tady Vám přikládám rozhovor a článek, který jsem našel. Je to právnička a zodpovídá tam důležité informace:) tak kouknete https://www.cikr.cz/…idane-novou/

 
Nahoru Odpovědět
9.3.2021 13:11
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 29 zpráv z 29.