PEETIK: Mně vyšlo to samý. Nevím, proč mi to doporučuje "Audit předávání dat třetím stranám", když jsem všude zaškrtával, že žádná data třetím stranám neposkytujeme.

DWICH: Jako není to úplně špatný, ale není to ani úplně dobrý, je to vlastně pouze úplně první krok. Za nepříliš vysoký poplatek (890 za jeden typ auditu nebo 3705 za balíček šesti auditů) si člověk koupí tříměsíční přístup k auditům. Ty si může opakovaně vyplnit, vyplivne mu to zřejmě slabá místa, ale pokud tomu dobře rozumím, tak řešení těch slabých míst mu to už nenavrhne. Navíc se zřejmě jedná o předdefinované auditové dotazníky, které si sám vyplním sám. Jakmile někde nebudu schopen se do těch políček nebo možností vejít, tak se začnu pohybovat na bázi přibližného odhadu.

(Vedle toho nabízejí ještě variantu auditu na míru od jejich právníků a IT specialistů, který bude stát víc peněz a bude přesnější, ale ani v tomto případě nenaznačují, že by mi taky poradili, co mám v e-shopu upravit.)

Ale já bych potřeboval jak určení toho, v čem nevyhovujeme GDPR, tak toho, co s tím udělat, abychom vyhovovali. Respektive, v čem asi nevyhovujeme, to jsem schopen řekněme se 70% spolehlivostí určit já sám už teď, ale potřeboval bych někoho, kdo mi to řekne se 100% spolehlivostí, a pak taky někoho, kdo mi řekne, jak mají správně vypadat naše formuláře a s nimi spojené texty, kde mají být jaké checkboxy, jak přesně technicky z hlediska GDPR musí vypadat odhlašovací systém, a taky jak nejlépe oslovit stávající databázi zákazníků za účelem získání jejich souhlasu (plus na jak dlouho mi ten souhlas poskytnou, atd. atd.). :-(

PEETIK: Přítelkyně o nějakém GDPR vůbec neví, a tak se jí na to snažím připravit co je potřeba. Jenže já tomu taky vůbec nerozumím. Má na eshopu dost zákazníků, kterým rozesílá newslettery, novinky, slevy, zajímavosti. Pak na FB a Instagramu má lidi. Co se stím má dělat? Nikde na webu nemá povinost se registrovat, zadávat email, má to tam dobrovolně. Max. při první návštevě, unikátní IP a zadání emailu, dostanu k první objednávce slevu 100 kč, ale pořád je to nepovinné a mohou to odškrtnoum, dále chatovací okénko. To nikde neexistuje nějaký manuál co se má dělat? Tohle mi přijde ještě složitější než EET :(

DWICH: to sem zkoušel včera otestovat přitelkyně eshop. Nakonec vypadlo že patří do třídy D2. Ale já z toho moc chytrý nejsem, pak že za nějaké audity se musí nadále platit atd.
Přepošlu co vyšlo.

Vzhledem k tomu že: ukládá osobní údaje do externího online nástroje
provozuje e-shop
na webu má reklamy přes externí systém
na webu má cizí měřící kódy
využívá remarketing

DOPORUČENÉ AUDITY

AO : Audit osobní bezpečnosti
AIT : Audit IT systémů
AWE : Audit webů a eshopů
AMKT : Audit marketingu a souhlasů se zpracováním
AP : Audit přístupových práv
A3 : Audit předávání dat třetím stranám

GDPR třída D - osobní údaje mám, zpracovávám a předávám dalším
Jedna z největších skupin – sem spadají především firmy, které využívají online marketing, ať už cílené reklamy, nebo jen sledování
návštěvníků webu pomocí Google Analytics. Zejména u webových služeb je třeba dbát na správné informování návštěvníka o
zpracování a předávání jeho údajů dalším subjektům. I pouhé ukládání osobních údajů do cloudu může být předáváním. Je třeba
zajistit správně formulované souhlasy návštěvníků s takovým zpracováním. Pro větší rozsah zpracovaných údajů je vhodné zvolit
online řešení, takže v této kategorii bude často nutná úprava stávajících webů a systémů.

Roz sah a riz iko - 2 střední
Střední rozsah zpracování se bude týkat většiny malých a středních firem, zejména e-shopů. Většinu povinností lze splnit vlastními
silami.

MATEEJ: Byl jsem na přednáškách a jako super produkt pro malý společnosti nebo neziskovky mi přišel https://www.gdprkalkulacka.cz/ - týpek o tom vyprávěl s nadšením, přišlo mi, že to dělají od srdce a ne jako komerci s maximální výtěžností. Tu přednášku měl na téma "kdo pomůže těm malým".

Mělo by tam vyjít, co všechno se té konkrétní firmy / neziskovky týká, co z toho plyne a v průběhu "dotazníku" dávat i nějaký doporučení, jak na to. Nezkoušel jsem, ale přišlo mi to sympatický a užitečný. Jestli to někdo vyzkoušíte, podělte se, prosím.

MATEEJ: To mi od nich taky prijde trochu neprofesionalni.

Vim, ze se tim zabejva pro tyhle pripady / radi et netera, ale vicemene to vim z blogu https://www.activate.cz/gdpr-z-par-jinych-uhlu-pohledu/ a nejaky primy reference nemam zadny.

Ještě jeden dotaz - nevíte o někom (jednotlivec, firma), kdo dělá nějaké poradenství v souvislosti s GDPR? V našem případě jde jenom o e-shop a marketingová sdělení zasílaná maily, takže to není nic megasložitého jako u pojišťoven, nemocnic, úřadů apod.
Na druhou stranu mi na základě dosud zjištěných informací přijde, že když začnu tu problematiku studovat já jako laik, tak se snadno může stát, že si u naší IT firmy objednám úpravy buď nedostatečné, nebo naopak naddimenzované, takže bych to radši probral s někým, kdo se tím profesionálně zabývá.
(Trochu jsem čekal, že mi poradí právě v té IT firmě, která nám před 2 lety dělala nový e-shop a v současné době nám ho servisuje, ale řekli mi, že problematiku GDPR VŮBEC nesledují, což moc nechápu - imo bude naprostá většina e-shopů, které dělali nebo udržují, potřebovat nějaký zásah, který si oni nechají zaplatit, takže bych čekal, že už teď budou mít v nabídce balíček alespoň základních úprav "Jak udržet váš e-shop a zákaznickou databázi v souladu s GDPR".)

DIGGLER: Skvělý shrnutí. Díky.

tzn jestli jsem to dobre pochopil, je potreba archivovat i zadosti o odmazani pro pripad obnovy dat ze starsi zalohy, aby se dala anonymizace provest i opetovne v pripade nasazeni/jakehokoliv uziti zalohy

mohu se zeptat jak je to s vyrazenim dat zakaznika z dat, ktera jsou archivovana offline?

HARALD: to je super vedet, timpadem by ruzny online ucetnictvi nemeli bejt pro firmy +-problem, pokud to chapu dobre? Diky moc za sdileni tehle informaci.

Měl bych dotaz do pléna:

Značná část databáze zákazníků našeho e-shopu (ale nevím přesně jaká) byla shromážděna v předchozích dvou verzích e-shopu, které už jsou pár let nefunkční. Já můžu tvrdit, že tato data byla získaná v souladu s GDPR, checkbox že nebyl předzaškrtnutý a nákup nebyl podmíněný jeho zaškrtnutím a je prakticky nemožné dokázat opak (upřímně řečeno, vůbec nevím - možná to tak bylo, možná ne). Je však takové tvrzení pro UOOU dostačující, nebo musím mít u každého zákazníka dokument (asi elektronický), který bude potvrzovat, že mi ta data poskytl korektním způsobem?

(QUIP tady píše [ QUIP @ GDPR - mýty, rady, konzultace ] , že u souhlasu "by mělo" být uchováno, k jakým účelům byl souhlas udělen, ale nepíše, že to být "musí", jenom že "by mělo").