NOVINKA - Online rekvalifikační kurz Java programátor. Oblíbená a studenty ověřená rekvalifikace - nyní i online.
NOVINKA – Víkendový online kurz Software tester, který tě posune dál. Zjisti, jak na to!
Avatar
Roman Kulhánek
Člen
Avatar
Roman Kulhánek:18.1.2018 11:55

Ahoj,
mám program v delphi, o evidenci psů.
Avšak od letošního roku v květnu platí nově GDPR podmínky v ČR, které program nesplňuje. Plánuji udělat databázi osob a jejich psů na web, aby byl přístupný z více míst.

Máte zkušenosti s šifrováním dat, které se ukládají při vložení? Je vhodné toto dělat v PHP nebo doporučujete něco jiného. Popř. již někde něco je hotového?

Díky moc.

 
Odpovědět
18.1.2018 11:55
Avatar
Michal Haňáček
Tvůrce
Avatar
Odpovídá na Roman Kulhánek
Michal Haňáček:18.1.2018 12:11

GDPR ale nemá se šifrováním dat nic společného, naopak bych řekl že z pohledu GDPR je úplně jedno jestli šifruješ, nebo ne. Jde především o to s jakými daty, kdo a jak pracuje.

Tím že databázi vystavíš na web spíš nevyhovíš GDPR, než když pár vyvolených používá prográmek.

Ale obecně těžko soudit když nikdo neví co tvůj prográmek dělá, s jakými údaji a jak pracuješ, atd ...

Nahoru Odpovědět
18.1.2018 12:11
Každé rozhodnutí a každý krok v životě nás někam posune. Bohužel jen některé nás posouvají dopředu.
Avatar
Michal Haňáček
Tvůrce
Avatar
Michal Haňáček:18.1.2018 12:16

Nakonec je prakticky jedno v čem to budeš psát, klidně můžeš zůstat u Delphi. I pro něj existuje celá řada nástrojů a frameworků pro to jak napsat web aplikaci. Například Raudus fw (byla o něm zmínka i na Delphi.cz ), nebo DMVCFramework a i o něm se na Delphi.cz psalo.

Byť nepopírám, že to může bejt mučednická cesta ...

Editováno 18.1.2018 12:17
Nahoru Odpovědět
18.1.2018 12:16
Každé rozhodnutí a každý krok v životě nás někam posune. Bohužel jen některé nás posouvají dopředu.
Avatar
Neaktivní uživatel
Tvůrce
Avatar
Neaktivní uživatel:18.1.2018 13:13

Já spíš nechápu, jak vyhovět GDPR když jseš eshop.
Jasně že potřebuješ mít všechny objednávky(kon­takty) na webu(administraci).
Ten celej zákon je úplna hovadina.

Editováno 18.1.2018 13:14
Nahoru Odpovědět
18.1.2018 13:13
Neaktivní uživatelský účet
Avatar
Michal Haňáček
Tvůrce
Avatar
Odpovídá na Neaktivní uživatel
Michal Haňáček:18.1.2018 13:19

Jsme trochu mimo téma, ale GDPR přeci neříká, že bys tam ty údaje mit neměl.

S tou hovadinou je to sporné, já tam vidím výhody, i nevýhody...

Nahoru Odpovědět
18.1.2018 13:19
Každé rozhodnutí a každý krok v životě nás někam posune. Bohužel jen některé nás posouvají dopředu.
Avatar
Neaktivní uživatel
Tvůrce
Avatar
Neaktivní uživatel:18.1.2018 13:42

Možná jsem to pochopil špatně, ale ani na samotném GDPR webu nemohou normálně vysvětlit co vlastně chtějí.
A vůbec "doporučujou" přechod na cloud(jako proč?).

Kdyžtak potom vytvořím nato téma(ale pochybují, že to tady někdo bude diskutovat)

Nahoru Odpovědět
18.1.2018 13:42
Neaktivní uživatelský účet
Avatar
Roman Kulhánek
Člen
Avatar
Roman Kulhánek:18.1.2018 15:26

No zde je takový souhrn pro správce co se jeho týče http://www.privacy-regulation.eu/cs/32.htm

píšou a) pseudonymizace a šifrování osobních údajů;

Já to chápu asi špatně, ale myslel jsem že když určitou osobu předem upozorním, že jeho informace budou použity pro účel v programu na databázi a vyhledání při ztrátě jeho psa a nebudou nikde jinde publikovány, a že pokud chce údaje změnit nebo smazat, lze mě kontaktovat tak je vše OK. podle toho článku ale jde o ochranu dat před únikem někam ven. Program o kterém se bavím mi poskytl pan Mrázek odkaz ZDE
Který mi svolil k úpravě. Přemýšlel jsem k němu pouze přidělat přihlášení uživatele před otevřením.

 
Nahoru Odpovědět
18.1.2018 15:26
Avatar
Michal Haňáček
Tvůrce
Avatar
Odpovídá na Roman Kulhánek
Michal Haňáček:19.1.2018 7:15

Naopak to podle mého chápeš správně. GDPR je primárně o tom, že uživatel ví co se s jeho daty děje, kdo a k jakým účelům je používá a případně má možnost požádat o vyjmutí z registru. A pokud je to přiměřeně možné a není to v rozporu s byznisem kvůli kterému ty údaje dal, tak by mu mělo být vyhověno.

Ten odkaz je fajn, ale jistě sis přečetl že hned nad tím co jsi jsem hodil

  • a) pseudonymizace a šifrování osobních údajů;

je

  • provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně

Tak že je třeba zvážit rizika (jak jsem říkal, nevím co všechno ta appka dělá, ale asi to nebude nějaký gigantický projekt) a s ohledem na to případně šifrovat.

Tzn. v tvém případě pokud bude člověk vedený ve tvé aplikaci vědět proč a k čemu svoje údaje poskytl, nemusíš šifrovat nic.

Nahoru Odpovědět
19.1.2018 7:15
Každé rozhodnutí a každý krok v životě nás někam posune. Bohužel jen některé nás posouvají dopředu.
Avatar
Neaktivní uživatel
Tvůrce
Avatar
Odpovídá na Michal Haňáček
Neaktivní uživatel:19.1.2018 17:39

"GDPR sděluje, že zájmu zachování bezpečnosti a zabránění zpracování, které by bylo v rozporu s tímto nařízením, by měl správce nebo zpracovatel posoudit rizika spojená se zpracováním a přijmout opatření ke zmírnění těchto rizik, například šifrování."

http://www.akdps.cz/…e-sifrovani/

Nahoru Odpovědět
19.1.2018 17:39
Neaktivní uživatelský účet
Avatar
David Hartinger
Vlastník
Avatar
Odpovídá na Neaktivní uživatel
David Hartinger:19.1.2018 18:01

Ono je otázka co je to šifrování, to je teoreticky i že dám na web SSL :) V plném znění GDPR (https://www.gdpr.cz/…-zneni-gdpr/) jsem slovo šifrování nenašel, tak nevím. Možná je nejlepší přečíst si ten osmdesátistránkový text než číst ty náhodné články na internetu, kde to není stejně nikde pořádně vysvětlené.

Nahoru Odpovědět
19.1.2018 18:01
New kid back on the block with a R.I.P
Avatar
Vladislav Domin
Člen
Avatar
Vladislav Domin:19.1.2018 23:12

to je tak, ked niekto vida 100 stranovy dokument miesto par riadkov, co treba zmenit... :D

 
Nahoru Odpovědět
19.1.2018 23:12
Avatar
Ondřej Crha
Člen
Avatar
Ondřej Crha:21.1.2018 11:26

Podle toho, co jsem si odnesl z konference, bys měl jako správce dat udělat:

  1. maximalizovat snahu o zabezpečení dat (základem by mělo být minimálně šifrování údajů, které pod GDPR spadají, aby v případě neoprávněného přístupu/úniku byly údaje nečitelné)
  2. definovat v dokumentaci a následně realizovat, jakým způsobem je řízen přístup k datům, vyvarovat se plnému zobrazení, pokud to není nutné z hlediska účelu aplikace (tedy, nezobrazovat jen tak někomu seznam zaměstnanců včetně emailu a telefonu, protože je to přístup k velkému množství informací a zcela zbytečně, ale např. na vystavené žádance odkaz na kartu vystavitele s potřebnými údaji není problém, protože je to podstata problému - dispečer potřebuje žadatele kontaktovat)
  3. informovat všechny osoby, kterých se to týká, jakým způsobem je nakládáno s jejich osobními údaji (co ukládám, proč to ukládám, jak to ukládám)
  4. na žádost osoby smazat její údaje, pokud to není v rozporu se zákonem (nemocnice, úřady) nebo pokud to ze závažného důvodu nedovoluje aplikace (tohle je těžko definovatelné)
 
Nahoru Odpovědět
21.1.2018 11:26
Avatar
Neaktivní uživatel
Tvůrce
Avatar
Neaktivní uživatel:21.1.2018 11:40

Já jsem zase hledal ohledně šifrování a nenašel nikde uvedno, že šifrovani je povinnost, všude to je podano způsobem "výhody".
Potom jsem hledal nejlepši způsoby šifrování dat a bylo mi řečeno, že to není povinnost, takže já nevím, asi počkám do dubna. To už by snad mělo být na 100% jasno co vše se musí udělat a co ne... :D

Editováno 21.1.2018 11:41
Nahoru Odpovědět
21.1.2018 11:40
Neaktivní uživatelský účet
Avatar
Ondřej Crha
Člen
Avatar
Ondřej Crha:21.1.2018 11:42

Ještě dodám, že pokud má subjekt míň jak 200(? 250?) zaměstnanců a zpracování osobních údajů ve smyslu profilování osoby (nebo něco v tom smyslu, už si moc nevzpomínám) není podstatou jeho činnosti, může zažádat (nebo se na něj vztahuje, teď nevím) o výjimku.

 
Nahoru Odpovědět
21.1.2018 11:42
Avatar
Ondřej Crha
Člen
Avatar
Odpovídá na Neaktivní uživatel
Ondřej Crha:21.1.2018 11:44

Nikdo ti neřekne, že musíš šifrovat, každý ti řekne, že musíš zabezpečit osobní údaje, zamezit neoprávněnému užití, přístupu, whatever.

 
Nahoru Odpovědět
21.1.2018 11:44
Avatar
Neaktivní uživatel
Tvůrce
Avatar
Odpovídá na Ondřej Crha
Neaktivní uživatel:21.1.2018 11:56

No a je to, šifrování je jen výhoda, zabezpečit osobní údaje od neopravněného užití a přístupu můžeš heslem a popř. SSL.

Editováno 21.1.2018 11:58
Nahoru Odpovědět
21.1.2018 11:56
Neaktivní uživatelský účet
Avatar
Ondřej Crha
Člen
Avatar
Odpovídá na Neaktivní uživatel
Ondřej Crha:21.1.2018 12:03

https://www.gdpr.cz/…/povinnosti/

zavedení tzv. pseudonymizace osobních údajů

Pseudonymizací se rozumí zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu člověku bez použití dodatečných informací, které jsou uchovávány odděleně a chráněny proti opětovnému přiřazení k původním údajům.

A v případě úniku informací zajistíš nemožnost jejich přiřazení konkrétní osobě jak? Šifrování přesně odpovídá požadavkům - bez šifrovacího klíče, který je uložený odděleně, chráníš (i uniklá) data proti opětovnému přiřazení k původním údajům.
Podívej, ani já nikomu neříkám, že musí šifrovat. Ale šifrování (aspoň sloupců s osobními údaji) považuju za dostatečné opatření. A vzhledem k tomu, že několik přednášejících o něm mluvili jako o jednom z kroků přípravy na GDPR, tak mám za to, že je to správný přístup.

Editováno 21.1.2018 12:05
 
Nahoru Odpovědět
21.1.2018 12:03
Avatar
Neaktivní uživatel
Tvůrce
Avatar
Neaktivní uživatel:21.1.2018 12:30

Jeden blbej zákon bude stat firmam 4 nebo 5 místné číslo. Prostě to vypada, že EU i ČR chce zlikvidovat malé firmy a živnostníky. Nejdříve EET, teď tohle... Teď zase dali zákon, že EET se nevztahuje na karetni transakce, ale pochybují, že vyplati peníze které lidi museli utratili za impementaci a teď utrati za odstranění a implementaci GDPR(možná za rok taky zruší GDPR) ..

Jsem mega rád, že si tohle vše mohu udělat sám.

Editováno 21.1.2018 12:31
Nahoru Odpovědět
21.1.2018 12:30
Neaktivní uživatelský účet
Avatar
Petr Čech
Tvůrce
Avatar
Odpovídá na Neaktivní uživatel
Petr Čech:21.1.2018 19:58

Skoro by se dalo říct, že máš pravdu, ale ohledně GDPR nesouhlasím, to mi připadá z hlediska ochrany spotřebitele jako krok vpřed, navíc se to prakticky sjednotí pro EU.
Je asi nepříjemné, že to bude znamenat problém pro firmy, co se živí obchodováním s osobními údaji, ale je dobrá věc...
Na co můžeme nadávat je ePrivacy, jestli to nějak dokončí a schválí. Protože potom bude muset uživatel odkliknout tolik tlačítek, aby mohl rozumně používat jakýkoliv web, že jim tam budeme most nacpat, že svou duši upisují ďáblu a všichni to radostně odkliknou, protože to nikdo číst nebude.

Nahoru Odpovědět
21.1.2018 19:58
the cake is a lie
Avatar
Michal Haňáček
Tvůrce
Avatar
Michal Haňáček:22.1.2018 12:32

Dneska vyšel na rootu článek

Nahoru Odpovědět
22.1.2018 12:32
Každé rozhodnutí a každý krok v životě nás někam posune. Bohužel jen některé nás posouvají dopředu.
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 20 zpráv z 20.