• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    EXISGDPR - mýty, rady, konzultace
    MATEEJ
    MATEEJ --- ---
    Ještě jeden dotaz - nevíte o někom (jednotlivec, firma), kdo dělá nějaké poradenství v souvislosti s GDPR? V našem případě jde jenom o e-shop a marketingová sdělení zasílaná maily, takže to není nic megasložitého jako u pojišťoven, nemocnic, úřadů apod.
    Na druhou stranu mi na základě dosud zjištěných informací přijde, že když začnu tu problematiku studovat já jako laik, tak se snadno může stát, že si u naší IT firmy objednám úpravy buď nedostatečné, nebo naopak naddimenzované, takže bych to radši probral s někým, kdo se tím profesionálně zabývá.
    (Trochu jsem čekal, že mi poradí právě v té IT firmě, která nám před 2 lety dělala nový e-shop a v současné době nám ho servisuje, ale řekli mi, že problematiku GDPR VŮBEC nesledují, což moc nechápu - imo bude naprostá většina e-shopů, které dělali nebo udržují, potřebovat nějaký zásah, který si oni nechají zaplatit, takže bych čekal, že už teď budou mít v nabídce balíček alespoň základních úprav "Jak udržet váš e-shop a zákaznickou databázi v souladu s GDPR".)
    HARALD
    HARALD --- ---
    DIGGLER: Skvělý shrnutí. Díky.
    DIGGLER
    DIGGLER --- ---
    HARALD: jo, naráží to na zákon o archivnictví a spisové službě atp., nějaké výtahy k tomu:

    Jak dlouho musíte archivovat firemní dokumenty? - Portál POHODA
    https://portal.pohoda.cz/...etnictvi-mzdy/ucetnictvi/jak-dlouho-musite-archivovat-firemni-dokumenty/

    Při podnikání vznikají stohy dokumentů. Některých se léta nesmíte zbavit - Podnikatel.cz
    https://www.podnikatel.cz/...ri-podnikani-vznikaji-stohy-dokumentu-nekterych-se-leta-nesmite-zbavit/
    HARALD
    HARALD --- ---
    ELIDOR: Ano. A dokonce ten požadavek je přísnější. Ty musíš vědět která data smíš a která data nesmíš držet. A ty, co držet nesmíš, odmazávat.

    Je 6 zákonných titulů, které podle gdpr dávaji právo zpracovávat data. Dva se vztahují na zdravotnictví a státní správu. Ty zbývající jsou:
    - plněni smlouvy nebo jednání k jejímu uzavření
    - plnění zákonné povinnosti (posílání dat finančáku, sociálce a podobně) - sem spadá třeba i povinnost zpracovávat reklamace, což jsou podle občanského zákoníku 2 roky od prodeje
    - podepsaný souhlas - sem spadají mj. všechny ty marketingové souhlasy.
    - oprávněný zájem - všechno ostatní, kde správce dat dokáže obhájit (!), že právo zpracovávat data je silnější než právo osob na odmazání dat. Důvodem z oprávněného zájmu bývají třeba běžící soudní spory.

    Žádosti o smazáni se může vztahovat na ty poslední dva důvody.

    V praxi se to dělá třeba tak, že se pro každou smlouvu napočítává, jaké tituly máš k držení dat o ní. Typicky:
    (1) obsluha - od jednání o jejím podpisu až po její ukončení
    (2) reklamace - od ukončení 2 roky v případě občanského zákoniku. Jiné zákonné povinosti dávají jiné lhůty
    (3) archivační povinnost - z různých zákonů různá. Finančák na tebe může přijít 7 let.
    (4) marketingový souhlas - po odebrání musíš neprodleně (v řádu dní) tento titul brát jako neplatný

    A u smluv, kde nemáš žádný titul, tak mažeš. Takže si uchováváš čísla smluv, kde už jsi pozbyl titulů, a po obnovení ze zálohy je jako první krok smažeš (případně anonymizuješ).
    ELIDOR
    ELIDOR --- ---
    tzn jestli jsem to dobre pochopil, je potreba archivovat i zadosti o odmazani pro pripad obnovy dat ze starsi zalohy, aby se dala anonymizace provest i opetovne v pripade nasazeni/jakehokoliv uziti zalohy
    HARALD
    HARALD --- ---
    ELIDOR: O archivech a zálohách se explicitně gdpr nařízení nezmiňuje, takže by se mohlo zdát, že se na ně vztahuje stejná pravidla jako na ostatní data a musí se mazat po skončení posledního právního titulu (oprávnění) k držení dat.

    Na druhou stranu, gdpr stanoví i zásadu přiměřenosti nákladů na zavedení opatření k ochraně osobních dat. Což by u archivů a záloh znamenalo ohromné náklady s nulovou přidanou hodnotou.

    Co jsem slyšel v debatách o tomto tématu, prakticky všemi sdílený přístup je, že do těchto dat nevstupují, neodmazávají v nich a jenom když je potřeba je použít, spoušti nad nimi mazací / anonymizační skripty.
    ELIDOR
    ELIDOR --- ---
    mohu se zeptat jak je to s vyrazenim dat zakaznika z dat, ktera jsou archivovana offline?
    HARALD
    HARALD --- ---
    ACIDOFIL: Ano. Pokud drží data z důvodu zákonné povinnosti, je to cajk.
    Ale i ta by se měla po určitém čase odmazávat. Přes vánoce chci napsat pár článků na téma gdpr, zkusím do nich ty lhůty dohledat.
    ACIDOFIL
    ACIDOFIL --- ---
    HARALD: to je super vedet, timpadem by ruzny online ucetnictvi nemeli bejt pro firmy +-problem, pokud to chapu dobre? Diky moc za sdileni tehle informaci.
    HARALD
    HARALD --- ---
    (Pardon za drobení příspěvku, ale na mobilu nevím, co píšu, po zaplnění screenu).

    GDPR umožňuje ještě zákonný titul “oprávněný zájem” a explicitně říká, že marketingové oslovení může být oprávněným zájmem. Pokud ovšem zákazník “vznese námitku se zpracováním” (jinými slovy dá jakkoliv najevo, že nechce být zařazen), tak ho musíš okamžitě vyřadit.
    Tahle cesta je snadnější, než souhlasy, ale musíš na to zákaznika upozornit nejpozději v okamžiku, kdy ti ta data předává a to způsobem zřetelným a srozumitelným. Nejde to tedy aplikovat na jinak získaná data.
    Nevím přitom o žádné společnosti (mám trochu povědomí jenom o finančních službách), která by se rozhodla jít přes oprávněný zájem. Všechny sbírají marketingové souhlasy. Nepátral jsem proč.
    HARALD
    HARALD --- ---
    HARALD: Ještě doplnění. To, že většina společností získala marketingový souhlas v rozporu s gdpr nebo nejsou schopny to dokázat, je důvod, proč teď skoro všechny marketingový souhlas přesmlouvávají.
    Navíc, držet data bývalých zákazniků jen na základě marketingoveho souhlasu musí být časově omezené a pak se musí přesmluvnit. Nemám teď chuť hledat v direktivě, tak se jen omezim na to, že obvykle se platnost souhlasu bez produktů či smluv je jeden rok.

    Ale k zákaznické databázi můžeš mít i jiné zákonné tituly, proč ta data držet. Typicky plnění smlouvy / objednávky. Pak reklamač ní lhůta (podle občanského zákoníku 2 roky, pokud ji nemáte prodlouženou). Pak kontrola z finančáku. 4 nebo 5 let (kdo ví, kolik to je?). Akorát data držených bez marketingového souhlasu nesmíš marketingově zpracovávat. S jednou výjimkou...
    HARALD
    HARALD --- ---
    MATEEJ: Souhlas získaný prostým zaškrtnutím bez elektronickeho nebo písemného podpisu je Pochybnitelný velmi snadno. Bude to zajímavý precedent, až někdo vznese námitku u UOOU. Důkazní břemeno, že klienti odsouhlasili přesně ten souhlas, který splňuje požadavky gdpr, je na správci dat, tedy v tomto případě na provozovateli eshopu.

    Co je taky podstatné, od května musí být souhlasy samostatné (!) - tedy ne jako jedno z několika zaškrtávacích políček na stránce s dalšími informacemi ale hezky samostatná stránka. A stejnou cestou, jakou byl souhlas udělen, musí být i odvolatelný. Kromě toho, že je odvolatelný i libovolnou jinou formou.
    MATEEJ
    MATEEJ --- ---
    Měl bych dotaz do pléna:

    Značná část databáze zákazníků našeho e-shopu (ale nevím přesně jaká) byla shromážděna v předchozích dvou verzích e-shopu, které už jsou pár let nefunkční. Já můžu tvrdit, že tato data byla získaná v souladu s GDPR, checkbox že nebyl předzaškrtnutý a nákup nebyl podmíněný jeho zaškrtnutím a je prakticky nemožné dokázat opak (upřímně řečeno, vůbec nevím - možná to tak bylo, možná ne). Je však takové tvrzení pro UOOU dostačující, nebo musím mít u každého zákazníka dokument (asi elektronický), který bude potvrzovat, že mi ta data poskytl korektním způsobem?

    (QUIP tady píše [ QUIP @ GDPR - mýty, rady, konzultace ] , že u souhlasu "by mělo" být uchováno, k jakým účelům byl souhlas udělen, ale nepíše, že to být "musí", jenom že "by mělo").
    HARALD
    HARALD --- ---
    QUIP: Správnou osobou je Data Protection Officer, nebo v české verzi Zmocněnec pro ochranu osobních dat. Kontakt na něj bude muset být uveden na stránkách pojišťovny.
    Správný postup je napsat mu mail, že se domníváš, že došlo k úniku dat a že žádáš prošetření a sdělení, jak pojišťovna chrání data před únikem.
    Pokud nebudeš spokojen, tak podnět na uoou. Tam sice nezareagují asi na jedinou stížnost, protože budou zavaleni podobnými podněty, ale když vás bude víc, je šance, že se něco pohne.
    EXIS
    EXIS --- ---
    KASUMI: spíš jsem myslel to, co už dneska může člověk požadovat... :)
    KASUMI
    KASUMI --- ---
    tak clanek 83 stanovi pokuty

    2.Správní pokuty se ukládají podle okolností každého jednotlivého případu kromě či namísto opatření uvedených v čl. 58 odst. 2 písm. a) až h) a j).
    Při rozhodování o tom, zda uložit správní pokutu, a rozhodování o výši správní pokuty v jednotlivých případech se řádně zohlední tyto okolnosti:
    a) povaha, závažnost a délka trvání porušení s přihlédnutím k povaze, rozsahu či účelu dotčeného zpracování, jakož i k počtu dotčených subjektů údajů a míře škody, jež jim byla způsobena;
    b) zda k porušení došlo úmyslně nebo z nedbalosti;
    c) kroky podniknuté správcem či zpracovatelem ke zmírnění škod způsobených subjektům údajů;
    d) míra odpovědnosti správce či zpracovatele s přihlédnutím k technickým a organizačním opatřením jimi zavedeným podle článků 25 a 32;
    e) veškerá relevantní předchozí porušení správcem či zpracovatelem;
    f) míra spolupráce s dozorovým úřadem za účelem nápravy daného porušení a zmírnění jeho možných nežádoucích účinků;
    g) kategorie osobních údajů dotčené daným porušením;
    h) způsob, jakým se dozorový úřad dozvěděl o porušení, zejména zda správce či zpracovatel porušení oznámil, a pokud ano, v jaké míře;
    i) v případě, že vůči danému správci nebo zpracovateli byla v souvislosti s týmž předmětem dříve nařízena opatření uvedená v čl. 58 odst. 2, splnění těchto opatření;
    j) dodržování schválených kodexů chování podle článku 40 nebo schváleného mechanismu pro vydávání osvědčení podle článku 42 a
    k) jakoukoliv jinou přitěžující nebo polehčující okolnost vztahující se na okolnosti daného případu, jako jsou získaný finanční prospěch či zamezení ztrátám, přímo či nepřímo vyplývající z porušení.

    3.Pokud správce nebo zpracovatel úmyslně či z nedbalosti u stejných nebo souvisejících operací zpracování poruší více ustanovení tohoto nařízení, nesmí celková výše správní pokuty překročit výši stanovenou pro nejzávažnější porušení.

    4.Za porušení následujících ustanovení lze v souladu s odstavcem 2 uložit správní pokuty až do výše 10 000 000 EUR, nebo jedná-li se o podnik, až do výše 2 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší: a) povinnosti správce a zpracovatele podle článků 8, 11, 25 až 39, 42 a 43; b) povinnosti subjektu pro vydávání osvědčení podle článků 42 a 43; c) povinnosti subjektu pro vydávání osvědčení podle čl. 41 odst. 4. 4.5.2016 L 119/82 Úřední věstník Evropské unie CS

    5.Za porušení následujících ustanovení lze v souladu s odstavcem 2 uložit správní pokuty až do výše 20 000 000 EUR, nebo jedná-li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší:
    a) základní zásady pro zpracování, včetně podmínek týkajících se souhlasu podle článků 5, 6, 7 a 9;
    b) práva subjektů údajů podle článků 12 až 22;
    c) předání osobních údajů příjemci ve třetí zemi nebo mezinárodní organizaci podle článků 44 až 49;
    d) jakékoli povinnosti vyplývající z právních předpisů členského státu přijatých na základě kapitoly IX;
    e) nesplnění příkazu nebo dočasné či trvalé omezení zpracování nebo přerušení toků údajů dozorovým úřadem podle čl. 58 odst. 2 nebo neposkytnutí přístupu v rozporu s čl. 58 odst. 1.

    6.Za nesplnění příkazu dozorového úřadu podle čl. 58 odst. 2 lze v souladu s odstavcem 2 tohoto článku uložit správní pokuty až do výše 20 000 000 EUR, nebo jedná-li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí rozpočtový rok, podle toho, co je vyšší.
    EXIS
    EXIS --- ---
    ECLECTICA: pro bankovní sektor přijdiou zajímavější věci, co jim udělají průvan v businessu a to je SPD2, kdy musí umožnit 3. stranám autorizovat platby a i procházet celý účet.. to je imho velká pecka (nemám rád banky)
    QUIP: Už dnes platí 101 a díky výkladu ESD (Evropský Soudní Dvůr) máš i právo být zapomenut. tedy, zase tolik novinek reálně nepřichází, jen jsou "jasněji" kodifikované a vznikají různé povinnosti pro správce/zpracovatele. Nemluvě o pokutách. Co se týká toho, co přesně a jak dnes může chtít - to bych předal slovo @KASUMI.
    ACIDOFIL
    ACIDOFIL --- ---
    ECLECTICA: tech uniku uz bylo habadej(viz treba haveibeenpwned) a nikdo s tim nemel vetsi problem
    ECLECTICA
    ECLECTICA --- ---
    Jinak příští rok bude pro bankovní sektor fakt nářez: GDPR, IFRS9 a k tomu zátěžový test s poněkud odlišnou metodikou než doposud...
    N_I
    N_I --- ---
    ECLECTICA: celkove je okamura na vsechny tyhle nepopular veci co se ale udelat musej proste peklo...
    kalousek je kokot, ale tehle kroku se nebal...
    jen kdyby to umeli lip podporit PR :(
    Kliknutím sem můžete změnit nastavení reklam