GDPR и онлайн магазин

Информация, директно от регламента, който чета (цялостно и обстойно) от около 10 часа и все още не съм приключил. :eek:
Договорно задължение
Вашето дружество/организация продава стоки онлайн. То може да обработва данните, които са необходими за предприемане на стъпки по искане на физическото лице преди сключването на договора и за изпълнението на договора. Така че можете да обработвате името, адреса за доставка, номера на кредитната карта (ако плащането е с карта) и т.н
 
Темата е GDPR за онлайн магазин, а до момента никой не е засегнал важните теми:

1. Вие като собственици на онлайн магазини какви се явявате - администратори или обработващи
2. Куриерските фирми, на които предоставяте данните ккави се явяват във триъгълника, Вие, клиента, куриера - обработващи или администратори
3. Хостинг доставчика Ви какъв се води - администратор на личните данни на Вашите потебители или обработващ
4. Носят ли отговорност за предоставените лични данни куриерите или Вие ще го отнесете ако те се осерат
5. Носи ли отговорност хостинг провайдъра при загуба на лични данни или Вие ще го отнесете ако има security breach
6. Какво е data in motion и data at rest и може ли да се криптира ?!? - тука повечето са забили яко
7. Коя версия на mysql поддържа криптиране на InnnoDB и коя на MyISAM ?
8. Какъв TLS сертификат Ви трябва
9. темата с cookies - ей тука си еба майката здраво.


и още една баля с технически въпроси, които колколкото и да Ви се иска на Вас не се решава с три клика и готов плъгин за Magento , Open Cart, Presta Shop и Woocommerce .

а най-важният въпрос си остава какви данни събирате и на какво основание, от там тръгва всичко и от там започва процеса на изготвяне на политиката по сигурност на личните данни и трехническите контроли за изпълнение и спазване на тези политики.

Колега, благодаря за точните постове и мнения и отговори. Как според теб стои въпросът със сайтовете за малки обяви или работа например ?
 
Вижте хора като оставим на страна текстовете които се мислят от държавната администрация, по същество лични данни са както казах ЕНГ,Номер на лична карта и адрес.Вари го,печи го,пържи го това е. Държавната администрация няма абсолютно никакви аргументи в полза на свойте текстове и те могът да бъдат оборени в съда.

Колко да са лични данни двете ми имена? Че то ги пише навсякаде(Пощенска кутия,фейсбук профил).Да не говорим че всеки които те познава ти ги знае.Та пак питам колко да са лични двете имена на човека?

Второ колко да е лично IP-то ми и как ще ми гарантира този закон че всеки интернет адрес които посещавам ще има правото да ми съхранява IP-то? Колко да е лично IP-то при положение че има цели блокове които излизат с 1 IP в мрежата? Има ли текстове засягащи това че много хора ще имат едни и същи данни и как при това положение се определят като лични?

Всеки web server има access logs, в които се записва IP-то на посетителя. В тези текстове споменато ли е това? Трябва ли access логовете да бъдат спирани или да бъдат конфигурирани по такъв начин че да не запазват IP-то. Как ще бъде гарантирано че това нещо ще бъде изпълено?

Какво се случва ако мойте лични данни бъдат променени тоест доставчика ми сменя IP-то по някаква причина? Има ли право доставчика да ми променя личните данни, без мое разрешение?
Още един проблем. Как IP-то ще ми се води като лично когато се вържа към свободна wifi мрежа? По тази логика всеки рутер трябва да се лицензира като оператор на лични данни защото и рутерите правят логове и раздават IP-та.

Общо взето това са текстове които както виждате има страшно много аргументи срещу тях. Закон неозначава истина, закон означава правила които ако не си съгласен с тях в демократичния дух имаш право да възразиш срещу тях в съда.

И това правете сметка че го пиша докато си пия кафето. Ако се наеме адвокат които се занимава с такива казуси аргументите ще станат толкова много а съм и почти сигурен че този закон си противоречи с някои друг такъв.

Не е никакъв проблем да се заведе колективен иск срещу тази мярка и както виждате няма да бъде кои знае колко сложно този текст да бъде отменен от съда.
 
Последно редактирано:
Отпада регистрацията като администратор на лични данни към КЗЛД, а понятията "администратор на лични данни" и "обработващ на линчи данни" остават и важат в пълна сила. Аз какво съм изчел не е важно. Важно е, че Вие не сте изчели това, което е написано и разсъждавате в грешна посока въвеждайки в заблуждение и без това незапознатите форумни членове.
Регистрацията не отпада, а срава безплатна. Това явно е в услуга, тъй като повече хоеа и организации ше трябва а го направят. Ще теябва, защото ще се изусква. Ще се изисква, защото сайтовете задължително ще ползват лични данни (няма как без IP). Иначе, от "висотата на познанието си" не сте казал нищо полезно все още.
 
Вижте хора като оставим на страна текстовете които се мислят от държавната администрация, по същество лични данни са както казах ЕНГ,Номер на лична карта и адрес.Вари го,печи го,пържи го това е. Държавната администрация няма абсолютно никакви аргументи в полза на свойте текстове и те могът да бъдат оборени в съда.

Колко да са лични данни двете ми имена? Че то ги пише навсякаде(Пощенска кутия,фейсбук профил).Да не говорим че всеки които те познава ти ги знае.Та пак питам колко да са лични двете имена на човека?

Второ колко да е лично IP-то ми и как ще ми гарантира този закон че всеки интернет адрес които посещавам ще има правото да ми съхранява IP-то? Колко да е лично IP-то при положение че има цели блокове които излизат с 1 IP в мрежата? Има ли текстове засягащи това че много хора ще имат едни и същи данни и как при това положение се определят като лични?

Всеки web server има access logs, в които се записва IP-то на посетителя. В тези текстове споменато ли е това? Трябва ли access логовете да бъдат спирани или да бъдат конфигурирани по такъв начин че да не запазват IP-то. Как ще бъде гарантирано че това нещо ще бъде изпълено?

Какво се случва ако мойте лични данни бъдат променени тоест доставчика ми сменя IP-то по някаква причина? Има ли право доставчика да ми променя личните данни, без мое разрешение?
Още един проблем. Как IP-то ще ми се води като лично когато се вържа към свободна wifi мрежа? По тази логика всеки рутер трябва да се лицензира като оператор на лични данни защото и рутерите правят логове и раздават IP-та.

Общо взето това са текстове които както виждате има страшно много аргументи срещу тях. Закон неозначава истина, закон означава правила които ако не си съгласен с тях в демократичния дух имаш право да възразиш срещу тях в съда.

И това правете сметка че го пиша докато си пия кафето. Ако се наеме адвокат които се занимава с такива казуси аргументите ще станат толкова много а съм и почти сигурен че този закон си противоречи с някои друг такъв.

Не е никакъв проблем да се заведе колективен иск срещу тази мярка и както виждате няма да бъде кои знае колко сложно този текст да бъде отменен от съда.
Всъщнот текстовете са във Вала полза. Те ще задължават отсрещния не да съхранява а ако съхранява, да е отговорно. Гарантира Ви, че ще знаете как се ползват и ако не желаете някое от приложението им ще да можете основателно да искате изтриването им. Има доста основания за да се въведе това. И сега IP реално са лични данни. Ако извършире престъпление (измама например) от компютъра си можете да бъдете търсен и съден. IP присъства там, като Ваш идентификатор.
 
Последно редактирано:
Всъщнот текстовете са във Вала полза. Те ще задължават отсрещния не да съхранява а ако съхранява, да е отговорно. Гарантира Ви, че ще знаете как се ползват и ако не желаете някое от приложението им ще да можете основателно да искате изтриването им. Има,досра иснования за да,се въведе това. И сега IP реално са лични данни. Ако извършире престъпление (измама например) от компютъра си можете да бъдете търсен и съден. IP присъства там, като Ваш идентификатор.

Изобщо не е вярно това което казваш. В кой регистър пише твоето IP и твоето име? Те по IP-то могат да те намерят, но това само по себе си неозначава че ти си извършил престъплението. Тоест само IP-то не доказва нищо. Както споменах цели блокове излизат с 1 IP та в такъв случай кои е извършил престъплението? В същия ред на мисли повечето фирми използват едно IP за техните служители и гости. Като имаш 200 служители които излизат с 1 IP на кой от всичките ще го лепнеш това престъпление на базата на IP-то? IP-то не е са лични данни. Ако са такива аз трябва да имам правото да избирам на кой да ги давам и на кой да не ги давам. Е като намерат отговор на тоя въпрос тогава вече можем да кажем че IP-тата са лични данни.
 
Изобщо не е вярно това което казваш. В кой регистър пише твоето IP и твоето име? Те по IP-то могат да те намерят, но това само по себе си неозначава че ти си извършил престъплението. Тоест само IP-то не доказва нищо. Както споменах цели блокове излизат с 1 IP та в такъв случай кои е извършил престъплението? В същия ред на мисли повечето фирми използват едно IP за техните служители и гости. Като имаш 200 служители които излизат с 1 IP на кой от всичките ще го лепнеш това престъпление на базата на IP-то? IP-то не е са лични данни. Ако са такива аз трябва да имам правото да избирам на кой да ги давам и на кой да не ги давам. Е като намерат отговор на тоя въпрос тогава вече можем да кажем че IP-тата са лични данни.
IP е само един от идентификаторите. МАС адреса с него, както и допълнителната информация, свързана с тях стясняват кръга. За установяване на извършители на престъпления в Интернет те имат понякога повече значение от предоставени имена. Всеки може да ползва фалшиви имена и крадени карти и т.н.
 
Въпроса е много по комплексен. Те се опитват да намерят просто решение на сложен проблем който неразбират. Ако трябва да оборя и теорията ти за мак адреса - мак адреса се решава на софтуерно ниво с надеждата че драйвъра ще вземе този адрес които му е подаден от картата. Драйвърите могат ли да се преработват? Могат. И това чрез драйвъра е само един от многото начин как да си сменим мак адреса. Да не говорим че можеш и самите wifi или lan карти да си ги сменяш когато ти е кеф.

Повечето който ги ловят за кибер престъпления го правят на доказателства намерени на неговия компютър снимки,видео т.н. Демек дори и IP адреса да ги доведе до някакъв човек това неозначава че те ще намерят нещо при него.
 
Въпроса е много по комплексен. Те се опитват да намерят просто решение на сложен проблем който неразбират. Ако трябва да оборя и теорията ти за мак адреса - мак адреса се решава на софтуерно ниво с надеждата че драйвъра ще вземе този адрес които му е подаден от картата. Драйвърите могат ли да се преработват? Могат. И това чрез драйвъра е само един от многото начин как да си сменим мак адреса. Да не говорим че можеш и самите wifi или lan карти да си ги сменяш когато ти е кеф.

Повечето който ги ловят за кибер престъпления го правят на доказателства намерени на неговия компютър снимки,видео т.н. Демек дори и IP адреса да ги доведе до някакъв човек това неозначава че те ще намерят нещо при него.
МАС адрес се сменя с една идея по-трудно от IP. Пакетите също носят и оставят информация от където минават. Няма пълна анонимност, както знаете. Има средства за прикриване. Някои са доста добри. Това обаче не значи, че MAC адрес и IP не важат. Човек може да си направи и пластична операция, но често и това не го спасява. Може машината на човека да е използвана без той да знае. Това вече също може да се брои за неправомерно придобиване и ползване на лични данни. Но тук вече доста се отклоняваме от темата.
 
Аз неказвам че не важът, важът разбира се, но не са лични данни :)
 
Тоест аз и ти можем да имаме едакви лични данни? Тогава се изменя смисъла на думата личност :D
 
Тоест аз и ти можем да имаме едакви лични данни? Тогава се изменя смисъла на думата личност :D
Само ако някой попрегреши с манипулациите на мрежата и компа си. Има хора с еднакви имена, при това случайно, не нарочно. И не, не изменя смисъла на думата личност. Ако личноста е само име или IP, то кое пречи и да е размера на силикона, примерно?
 
Последно редактирано:
Целия въпрос е там че не ми е необходимо да имам лиценз да сабирам IP-та
 
Целия въпрос е там че не ми е необходимо да имам лиценз да сабирам IP-та
Докато някой не реши да го оспори. Тогава може да излезе и друго. Много зависи кой какво ще реши в определен момент. Не виждам проблем в лиценза, при положение, че става безплатен.
 
В България такива работи се налагат трудно. Все пак се замисли върху следния пример. Някой се скарва с някого в твоя форум. Добива достъп до IP-то му през твията среда и от там до географското му разположение. Отива, бият се и после се съдят. Това след 25 май 2018 г. Тогава някой хитър адвокат се сеща да сложи акцент на това, как са съхранявани данните на потребителите във форума ти, че се е стигнало до това. Влизаш във филма.
 
Проблема на това е че те няма как да ти гарантират правата според техния закон ако посещаваш сървъри извън техния обсег, и това съответно ти дава възможността да си базираш сървърите другаде. Тоест те не решават никакъв проблем. Това сигурно Мария Габриел го е писала, сигурно това е част от плана и да направи Европа меката на технологиите. Общо взето идеята е хубава но неприложима. Не е необходимо да приемаме закони които не се спазват. Всяка голяма технологична компания може да го бутне тоя закон от вуле. Аз не съм съгласен парите ми като данакоплатец да се харчат за неща които са неприложими. Ако ти си съгласен, добре :)
 
Проблема на това е че те няма как да ти гарантират правата според техния закон ако посещаваш сървъри извън техния обсег, и това съответно ти дава възможността да си базираш сървърите другаде. Тоест те не решават никакъв проблем. Това сигурно Мария Габриел го е писала, сигурно това е част от плана и да направи Европа меката на технологиите. Общо взето идеята е хубава но неприложима. Не е необходимо да приемаме закони които не се спазват. Всяка голяма технологична компания може да го бутне тоя закон от вуле. Аз не съм съгласен парите ми като данакоплатец да се харчат за неща които са неприложими. Ако ти си съгласен, добре :)
Всщност са доста приложими, оказва се. Това само ако правата се търсят, разбира се. Ако някой има акаунт в твоя онлайн магазин и поиска са изтрие данните за себе си, би било чудесно са му го осигуриш според регламента. Акп реши да те съди няма да е разход за данъкоплатеца. За твоя сметка ще е. Сущо така трябва да пазиш така личните му данни, пе трети лица да не могат да ги докопват без неговото изрично съгласие. Виж как се пазят в Европа. Скандалът с Фейсбук пък е показателен. Тук е много възможно лични данни да се предоставят много повече. Нали не мислиш, че този регланент е измислен в България? Нека го има. Аз не върша нищо нередно за да се боя. Осведоми се на 100% преди да си против или за.
 
Това също не е вярно. Задължително се съхранявят разчетно платежните ведомости и то не по закона за счетоводството, а по други закони и кодекси. Общото трудово досие може да бъде заличено след напусканеъто на служителя. Във ведомостите имате 3 имена, длъжност и година раждане. Отделно от това, субекта няма как да изисква заличаване, ако това е в разрез със друг закон, но в случая няма закон или кодекс, който да Ви задължава да му пазите личните данни, които обикновено фигурират само в договора и в болничните листи. За охранителните фирми е малко по-сложно, защото там се съхраняват и свидетелства за съдимост, психо преглед, разрешителни за огнестрелни оръжия и справки от следствена служба.

Така ли мислиш? Я прочети по-внимателно.

Съхраняване на счетоводна информация

Чл. 12. (1) Счетоводната информация се съхранява на хартиен и/или на технически носител в предприятието в следните срокове:
1. ведомости за заплати – 50 години, считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят;
2. счетоводни регистри и финансови отчети, включително документи за данъчен контрол, одит и последващи финансови инспекции – 10 години, считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят;
3. всички останали носители на счетоводна информация – три години, считано от 1 януари на отчетния период, следващ отчетния период, за който се отнасят.
(2) Счетоводната информация може да се съхранява в частни или държавни архиви по реда на Закона за Националния архивен фонд при спазване на изискванията по ал. 1.
(3) При прекратяване на предприятие чрез преобразуване носителите на счетоводна информация (хартиени и/или технически) се предават на приемащото и/или новоучреденото предприятие/предприятия.
(4) При прекратяване на предприятие или когато предприятието няма правоприемник, ведомостите за заплати се предават в Националния осигурителен институт по реда на чл. 5, ал. 10 от Кодекса за социално осигуряване.

Може да прочетеш и тук

Не желая да влизам в дискусия с теб - очевидно много си начетен - нека всеки си прецени.
 

Горе