• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    EXISGDPR - mýty, rady, konzultace
    GDPR - General Data Protection Regulation - Nová legislativa na ochranu osobních údajů, která začne platit od 25. 5. 2018!
    rozbalit záhlaví
    HARALD
    HARALD --- ---
    QUIP: Správnou osobou je Data Protection Officer, nebo v české verzi Zmocněnec pro ochranu osobních dat. Kontakt na něj bude muset být uveden na stránkách pojišťovny.
    Správný postup je napsat mu mail, že se domníváš, že došlo k úniku dat a že žádáš prošetření a sdělení, jak pojišťovna chrání data před únikem.
    Pokud nebudeš spokojen, tak podnět na uoou. Tam sice nezareagují asi na jedinou stížnost, protože budou zavaleni podobnými podněty, ale když vás bude víc, je šance, že se něco pohne.
    CORNY
    CORNY --- ---
    QUIP: Taková drobná oprava, GDPR je aktuálně nejonom platné, ale zákon jako takový již nabyl i účinnosti. Jediné co zatím není, je možnost pokutovat, kdy tato nastane právě v květnu letošního roku.
    QUIP
    QUIP --- ---
    I kdyz GDPR jeste neplati, tak se stejne zeptam - jak se resi / bude resit pripad, kdy vim, ze u nejakeho subjektu doslo k uniku mych osobnich udaju? Vim to na zaklade toho, ze jen tento subjekt znal moji e-mailovou adresu (pouzitou pri registraci), ale tahle adresa se nikde jinde nepouziva, je to jen alias pro prichozi postu a nikdy ji nikdo jiny nevidel. Takze kdyz ted na tuhle adresu zacal chodit spam, vim, ze jim nekdo vykradl databazi, nebo ji nekdo ze zamestnancu vynesl.
    Ta firma ted tvrdi, ze se subjektem, ktery posila spam, nema nic spolecneho (to jim i verim), ale taky tvrdi, ze k zadnemu uniku dat na jejich strane nedoslo (coz je blbost).
    Zkusil jsem na ne otazky, jake osobni udaje o me uchovavaji, jak je maji zabezpecene, co hodlaji delat s unikem dat.
    Odpoved je "k uniku nedoslo a udaje o vas mame jen ty, co jste nam poskytnul pri registraci".
    Z hlediska GDPR podle me naproste selhani... ale maji jeste pul roku na to, aby proskolili personal na supportu, ze takhle odpovidat nemuzou.

    Kdo tedy od 25.5.2018 bude ten, na koho se obratit s podobnym problemem, aby to prosetril?
    TEAPACK
    TEAPACK --- ---
    HARALD: Jen tedy doplním orientační cenu těchto dat: nedávno mi nabízeli databázi klientů - jména, rodné čísla, adresy, telefony, emaily a čísla pojistných smluv z jedné pojišťovny odkud byla ona databáze ukradena - a chtěli celých 40Kč/ks ...
    ATTILAH
    ATTILAH --- ---
    To je mi jasný, že tu je případně zákonný titul, omezení účelem atd.
    Mě jde o to, jestli to vůbec spadá do věcné působnosti v čl. 2/1 GDPR (což je na...."neautomatizované zpracování těch údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny").
    QUIP
    QUIP --- ---
    ATTILAH: Shromazdovat ucetni doklady a mit na nich osobni udaje, ti narizuje zakon, ktery je tomu GDPR nadrazeny. Tzn. nemuzes se dodavatelu a odberatelu ptat, jestli souhlasi se zpracovanim osobnich udaju, ani to zpracovani nemuzou odmitnout. Samozrejme nemuzes udaje z dokladu pak pouzit k jinym ucelum.
    ATTILAH
    ATTILAH --- ---
    Jinak ještě k OÚ v šanonech, třeba nahodile se vyskytujících v účetních dokladech: jde nebo nejde o evidenci dle čl.2/1? Dle komentáře je evidence, pokud je manuální soubor uspořádaný dle určitých kritérií. Zde je to kritérium časové, ev. nějaká účetní kritéria dle středisek apod., netřídí se ale dle kritéria těch osobních údajů. Jak byste vykládali, je to evidence a spadá do GDPR nebo ne?
    /Komentář by napovídal, že jakékoli kritérium uspořádání a jsme v režimu GDPR, ale pohledem smyslu tu vidím, že si z papírů takhle žádné OÚ nevytáhnu./
    HARALD
    HARALD --- ---
    EXIS: Přístup k šanonům bys měl mít řízen metodicky a organizačně. Třeba klíč od místnosti se šanony budou mít jen pracovníci, co k nim mají mít přístup a budeš mít pracovní předpis, že nesmí tyto klíče nikomu půjčit.

    Uoou sám psal na svých stránkách, že náklady na ochranu dat mají být přiměřené hodnotě těch dat.
    EXIS
    EXIS --- ---
    QUIP: s prvním souhlas. U druhého pokud firma zpracovává data ve velkém rozsahu (který nikde není určen) musí vést záznamy o přístupu k osobním údajům i za předpokladu, že je firma menší než 250 zaměstnanců. (podrobněji zde článek 3.) Co se týká logování přístupu k těm šanonům - jak píšeš, GDPR nerozlišuje jestli to je elektronické/analagové a ta povinnost platí pro oba případy.

    Nicméně nemám patent na rozum a pokud se mýlím, tak prosím o vysvětlení.
    QUIP
    QUIP --- ---
    EXIS: 10 let se uchovava ucetni uzaverka a vyrocni zprava. Ucetni doklady, ucetni knihy atd. jen 5 let.
    Ke zpracovavani ucetnich dokladu (ktere obsahuji osobni udaje) neni potreba zadny souhlas - zpracovani vyzaduje zakon.

    EXIS: logovani neni povinne, GDPR plati v obecne rovine, ne jen pro elektronicke zpracovani. A to, ze mas osobni udaje na papire (smlouva atp.) zalozene v sanonech v regalu ve skrini, taky nikam nelogujes.
    EXIS
    EXIS --- ---
    RATTKIN: plus i logovat to, jak se s daty nakládalo a kdo k nim přistupoval
    EXIS
    EXIS --- ---
    QUIP: ale pozor na to mazání.. máte povinnost vůči účetnictví držet 10 let záznamy, 2 roky reklamace atp... nicméně pokud dat ao zákaznicích chcete jakkoli "automatizovaně" zpracovávat (profilovat, atp) potřebujete na to souhlas
    RATTKIN
    RATTKIN --- ---
    QUIP: tak tak. jediné co bych dodal je povinnost na žádost zákazníka skladované údaje ukázat, případně i smazat
    QUIP
    QUIP --- ---
    GIOMIKY: V korporatu mate jednu vyhodu - budou to resit hlavne firemni pravnici, kteri musi sepsat firemni smernici pro management a pak to teprve dopadne na lidi, co s tim realne budou pracovat :)
    GIOMIKY
    GIOMIKY --- ---
    QUIP: Dekuji moc. Predam dal. Jsem zvedavej, jak to budem resit v korporatu. V tom kvantu to takova standa nebude.
    QUIP
    QUIP --- ---
    GIOMIKY: Cele GDPR neni ani tak o technologiich (ze by bylo potreba neco naprogramovat jinak), jako spis o pravnich zalezitostech, jak je mozne osobni udaje ziskat, k jakym ucelum a jak s nimi zachazet. Z pohledu programatora - tykalo by se ho leda tak nejake zvyseni zabezpeceni osobnich udaju, pokud to jsou mimoradne citlive udaje, nebo pokud by si zakaznik pral, aby mel data nejakym zpusobem oddelena, anonymizovana, pseudonymizovana.
    Ale obecne si nemyslim, ze by bylo neco, co by programator musel na e-shopu predelat.

    Pokud se nebavime o tech zakladnich detailech, jako je ziskani souhlasu vsech zakazniku se zpracovanim osobnich udaju ke konkretnim ucelum, ktere nemohou podminovat moznost zakoupeni zbozi v e-shopu - tzn. nemuze se nakup podminovat souhlasem se zasilanim newsletteru, U souhlasu by mel uchovavat k jakym vsem ucelum byl souhlas udelen, kdy, jake bylo konkretni zneni toho souhlasu.
    Zaskrtavaci policka pro udeleni souhlasu nesmi byt predvyplnena atd.
    Takovych drobnosti je tam spousta, ale na druhou stranu - slusny e-shop mel tohle podchycene uz dlouho pred tim.

    Pokud bysme se bavili o tom, co by mohl nabidnout - tak to by mohl byt napriklad nejaky "jednoduchy nastroj", jak vypsat vsechny osobni udaje o nejakem zakaznikovi, pokud o to zakaznik pozada (aby mu byly predany k nahledu - export ve strojove zpracovatelne podobne), jak je jednoduse editovat, nebo smazat - protoze na to ma zakaznik kazdeho e-shopu pravo.
    Na druhou stranu, nejaka administrace e-shopu tohle vsechno nejspis umoznuje (jen treba ne v nejake pohodlne forme pro ucely GDPR)
    GIOMIKY
    GIOMIKY --- ---
    QUIP: Je to podnikatel. Koduje stranky. Krome toho i e-shopy. Ma nejake zakazniky, kterym prubezne plni zadane pozadavky.
    Ptal se, co muze nebo by mel, zakaznikum nabidnout (potazmo naprogramovat), aby vyhoveli GPDR.
    QUIP
    QUIP --- ---
    GIOMIKY: Jenom abych si udelal jasno - koder naprogramoval e-shop a zakaznik je ten, kdo ho provozuje a prodava pres nej svoje zbozi?
    Koder ma pristup k osobnim udajum zakaznikovych zakazniku?
    GIOMIKY
    GIOMIKY --- ---
    Jak vysvetlit koderovi e-shopu, co ma udelat se svymi zakazniky v souvislosti s GPDR?
    Prosim o radu.
    Zjistil jsem, ze vlastne nevim, co to provnej znamena.
    KASUMI
    KASUMI --- ---
    SPIR / GDPR
    http://gdpr.spir.cz/

    pruvodce od SPIRu
    KASUMI
    KASUMI --- ---
    Z dilnicky ek

    K tematu netematu...

    ATTILAH
    ATTILAH --- ---
    Kolega mi nahrál, tady jde stáhnout (jen poslední část se mu nepovedlo zkonvertovat, jde přehrát v browseru nebo VLC playerem:
    http://www.uschovna.cz/zasilka/PWT4RC9C75ULSCJK-H94
    Kliknutím sem můžete změnit nastavení reklam