• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    EXISGDPR - mýty, rady, konzultace
    MATEEJ
    MATEEJ --- ---
    DWICH: Mně na tom vadí ta neurčitost a nejistota.

    Např. ty jsi třeba první, u koho jsem narazil na to, že výslovný souhlas definuje jako double opt-in, který je komplikovanější pro programátora i zákazníka.

    Já bych chtěl připravit náš e-shop na GDPR tak, aby nás to stálo co nejmíň peněz, aby to co nejmíň obtěžovalo naše zákazníky a taky abychom přišli o co nejméně kontaktů z naší zákaznické databáze. A to je - i u tak malého podniku, jako jsme my - relativně složitá optimalizace celé zakázky na to, aby ji prováděl laik, jako jsem já, na základě (často i protichůdných) informací, které si přečte různě po internetu.
    DWICH
    DWICH --- ---
    Hodně doporučovaný čtení je zákon na ochranu osobních údajů. Když se koukneš, co všechno obsahuje a přeskočíš části jako organizace úřadu, činnost úřadu, zbyde ti jen hlava II, což jsou čtyři stránky. Ti, co radí s GDPR, říkají, že kdo je v souladu se zákonem na ochranu osobních údajů, má z 80 % hotovo.

    Zákon o ochraně osobních údajů - Část I. - Hlava 2 - Práva a povinnosti při zpracování osobních údajů
    https://business.center.cz/business/pravo/zakony/oou/cast1h2.aspx

    Já na to téma přečetl několik článků, ale pár konkrétních, kde to je shrnuto, nevypíchnu. V podstatě - když máš něcí osobní údaje, např. e-mailovou adresu pro newsletter, tak musíš: mít výslovný souhlas, že ti ho ten člověk dal. U e-mailů je to double opt-in, tzn. když někdo zadá adresu (svoji nebo cizí) do registračního políčka pro odběr newsletterů, musíš na tu adresu poslat e-mail ve znění: někdo, možná vy a možná ne, zadal tuto adresu k odběru newsletterů. Jestli souhlasíte, klidněte na tlačítko. Jestli ne, tento e-mail ignorujte. Tím se vyhneš tomu, že někdo škodolibě zadá cizí e-mail bez souhlasu vlastníka. Druhá věc: musíš mít jasně uvedenej souhlas majitele e-mailu s účelem zpracování. Jestli jsi mu slíbil, že mu budeš posílat produktové novinky a k ničemu jinému souhlas nemáš, nesmíš ten e-mail použít jinak. Musíš mít někde uvedeno, co všechno za data zpracováváš. Například: e-maily máme v databázi e-shopu, lidé se registrují na stránce XYZ, vyžadujeme double opt-in a ten souhlas je pak taky v databázi v profilu zákazníka. Přístup do databáze, kde jsou údaje zákazníků, má majitel firmy, lidé z obchodního, lidé se supportu a dodavatel IT řešení. Se všemi máme podepsané interní nebo externí NDA (že data nevynesou) a poučili jsme je o rizicích.

    Když budeš mít se všema NDA nebo podepsanou směrnici, školení atd, tak i kdyby vzal někdo obálku a vynesl data, tomu nezabráníš. Jsi aspoň z obliga, že jsi přijal patřičná opatření - vyškolil lidi (neber úplatky, neber úplatky) a ten člověk ti to podepsal, dal jsi mu školení a víc udělat nemůžeš. Navíc platí zásada přiměřenosti. Když máš ty nejmíň citlivé údaje, nikdo po tobě nebude požadovat prověrku všech zaměstnanců na úroveň přísně tajné.

    Složitější než EET to je proto, že pravidla jsou jen obecná - chraňte osobní údaje, aby vám neunikly - technicky i lidsky, zabezpečujte systémy, školte lidi, nechte si od nich podepsat interní směrnici, že nic nevynesou, nenechají si dát úplatek atd. Mějte přehled o tom, jaká data máte, na jak dlouho, kdo k nim má přístup. Na vyžádání ty data poskytněte majiteli, případně je smažte, pokud není vyšší zákon jako účetní apod (nesmíš smazat faktury).

    A protože tahle obecná pravidla musí každý obor implementovat jinak, tak není jedno řešení jako u EET - pošlete nám údaje účtenky a tím to pro vás končí.

    Vyšlo mi, že nejlíp udělám, když strávím pár hodin / dnů u netu a budu číst články, které jsou nejblíž mému oboru a z nich si poskládám tu mozaiku.
    MATEEJ
    MATEEJ --- ---
    PEETIK: Mně vyšlo to samý. Nevím, proč mi to doporučuje "Audit předávání dat třetím stranám", když jsem všude zaškrtával, že žádná data třetím stranám neposkytujeme.

    DWICH: Jako není to úplně špatný, ale není to ani úplně dobrý, je to vlastně pouze úplně první krok. Za nepříliš vysoký poplatek (890 za jeden typ auditu nebo 3705 za balíček šesti auditů) si člověk koupí tříměsíční přístup k auditům. Ty si může opakovaně vyplnit, vyplivne mu to zřejmě slabá místa, ale pokud tomu dobře rozumím, tak řešení těch slabých míst mu to už nenavrhne. Navíc se zřejmě jedná o předdefinované auditové dotazníky, které si sám vyplním sám. Jakmile někde nebudu schopen se do těch políček nebo možností vejít, tak se začnu pohybovat na bázi přibližného odhadu.

    (Vedle toho nabízejí ještě variantu auditu na míru od jejich právníků a IT specialistů, který bude stát víc peněz a bude přesnější, ale ani v tomto případě nenaznačují, že by mi taky poradili, co mám v e-shopu upravit.)

    Ale já bych potřeboval jak určení toho, v čem nevyhovujeme GDPR, tak toho, co s tím udělat, abychom vyhovovali. Respektive, v čem asi nevyhovujeme, to jsem schopen řekněme se 70% spolehlivostí určit já sám už teď, ale potřeboval bych někoho, kdo mi to řekne se 100% spolehlivostí, a pak taky někoho, kdo mi řekne, jak mají správně vypadat naše formuláře a s nimi spojené texty, kde mají být jaké checkboxy, jak přesně technicky z hlediska GDPR musí vypadat odhlašovací systém, a taky jak nejlépe oslovit stávající databázi zákazníků za účelem získání jejich souhlasu (plus na jak dlouho mi ten souhlas poskytnou, atd. atd.). :-(
    PEETIK
    PEETIK --- ---
    PEETIK: Přítelkyně o nějakém GDPR vůbec neví, a tak se jí na to snažím připravit co je potřeba. Jenže já tomu taky vůbec nerozumím. Má na eshopu dost zákazníků, kterým rozesílá newslettery, novinky, slevy, zajímavosti. Pak na FB a Instagramu má lidi. Co se stím má dělat? Nikde na webu nemá povinost se registrovat, zadávat email, má to tam dobrovolně. Max. při první návštevě, unikátní IP a zadání emailu, dostanu k první objednávce slevu 100 kč, ale pořád je to nepovinné a mohou to odškrtnoum, dále chatovací okénko. To nikde neexistuje nějaký manuál co se má dělat? Tohle mi přijde ještě složitější než EET :(
    PEETIK
    PEETIK --- ---
    DWICH: to sem zkoušel včera otestovat přitelkyně eshop. Nakonec vypadlo že patří do třídy D2. Ale já z toho moc chytrý nejsem, pak že za nějaké audity se musí nadále platit atd.
    Přepošlu co vyšlo.

    Vzhledem k tomu že: ukládá osobní údaje do externího online nástroje
    provozuje e-shop
    na webu má reklamy přes externí systém
    na webu má cizí měřící kódy
    využívá remarketing

    DOPORUČENÉ AUDITY

    AO : Audit osobní bezpečnosti
    AIT : Audit IT systémů
    AWE : Audit webů a eshopů
    AMKT : Audit marketingu a souhlasů se zpracováním
    AP : Audit přístupových práv
    A3 : Audit předávání dat třetím stranám

    GDPR třída D - osobní údaje mám, zpracovávám a předávám dalším
    Jedna z největších skupin – sem spadají především firmy, které využívají online marketing, ať už cílené reklamy, nebo jen sledování
    návštěvníků webu pomocí Google Analytics. Zejména u webových služeb je třeba dbát na správné informování návštěvníka o
    zpracování a předávání jeho údajů dalším subjektům. I pouhé ukládání osobních údajů do cloudu může být předáváním. Je třeba
    zajistit správně formulované souhlasy návštěvníků s takovým zpracováním. Pro větší rozsah zpracovaných údajů je vhodné zvolit
    online řešení, takže v této kategorii bude často nutná úprava stávajících webů a systémů.

    Roz sah a riz iko - 2 střední
    Střední rozsah zpracování se bude týkat většiny malých a středních firem, zejména e-shopů. Většinu povinností lze splnit vlastními
    silami.
    DWICH
    DWICH --- ---
    MATEEJ: Byl jsem na přednáškách a jako super produkt pro malý společnosti nebo neziskovky mi přišel https://www.gdprkalkulacka.cz/ - týpek o tom vyprávěl s nadšením, přišlo mi, že to dělají od srdce a ne jako komerci s maximální výtěžností. Tu přednášku měl na téma "kdo pomůže těm malým".

    Mělo by tam vyjít, co všechno se té konkrétní firmy / neziskovky týká, co z toho plyne a v průběhu "dotazníku" dávat i nějaký doporučení, jak na to. Nezkoušel jsem, ale přišlo mi to sympatický a užitečný. Jestli to někdo vyzkoušíte, podělte se, prosím.
    HARALD
    HARALD --- ---
    MATEEJ: Poradenství na gdpr dělám. Neofiko, neplaceně. Sepisuju pro drobné firmy návod jak na to, ale nějak se nemůžu dokopat to dopsat.

    Mám na starost část implementace gdpr v jedné z bank, direktivu mám sestudovsnou horem dolem. A vidím, jak návody, co člověk najde na netu, jsou většinou neúplné, nebo směřují k nějaké podvodné certifikaci.

    Napiš mi do pošty. Většinou je to tak na hodinu až dvě u piva.
    RATTKIN
    RATTKIN --- ---
    MATEEJ:
    ALMAD:
    my jsme v pozici dodavatele systému. Všechny zákazníky jsme o GDPR informovali minulý rok - většina vůbec nevěděla, že něco takového existuje.
    Děláme v rámci údržby systému takové minimum, jako přístup pouze přes https, ssh, vpn, to už i před GDPR, ale jinak si musí dělat analýzu zákazník sám, každý má zcela jiný systém na míru, jen se zorientovat kde všechny data jsou je víc než den práce.
    ALMAD
    ALMAD --- ---
    MATEEJ: To mi od nich taky prijde trochu neprofesionalni.

    Vim, ze se tim zabejva pro tyhle pripady / radi et netera, ale vicemene to vim z blogu https://www.activate.cz/gdpr-z-par-jinych-uhlu-pohledu/ a nejaky primy reference nemam zadny.
    MATEEJ
    MATEEJ --- ---
    Ještě jeden dotaz - nevíte o někom (jednotlivec, firma), kdo dělá nějaké poradenství v souvislosti s GDPR? V našem případě jde jenom o e-shop a marketingová sdělení zasílaná maily, takže to není nic megasložitého jako u pojišťoven, nemocnic, úřadů apod.
    Na druhou stranu mi na základě dosud zjištěných informací přijde, že když začnu tu problematiku studovat já jako laik, tak se snadno může stát, že si u naší IT firmy objednám úpravy buď nedostatečné, nebo naopak naddimenzované, takže bych to radši probral s někým, kdo se tím profesionálně zabývá.
    (Trochu jsem čekal, že mi poradí právě v té IT firmě, která nám před 2 lety dělala nový e-shop a v současné době nám ho servisuje, ale řekli mi, že problematiku GDPR VŮBEC nesledují, což moc nechápu - imo bude naprostá většina e-shopů, které dělali nebo udržují, potřebovat nějaký zásah, který si oni nechají zaplatit, takže bych čekal, že už teď budou mít v nabídce balíček alespoň základních úprav "Jak udržet váš e-shop a zákaznickou databázi v souladu s GDPR".)
    HARALD
    HARALD --- ---
    DIGGLER: Skvělý shrnutí. Díky.
    DIGGLER
    DIGGLER --- ---
    HARALD: jo, naráží to na zákon o archivnictví a spisové službě atp., nějaké výtahy k tomu:

    Jak dlouho musíte archivovat firemní dokumenty? - Portál POHODA
    https://portal.pohoda.cz/...etnictvi-mzdy/ucetnictvi/jak-dlouho-musite-archivovat-firemni-dokumenty/

    Při podnikání vznikají stohy dokumentů. Některých se léta nesmíte zbavit - Podnikatel.cz
    https://www.podnikatel.cz/...ri-podnikani-vznikaji-stohy-dokumentu-nekterych-se-leta-nesmite-zbavit/
    HARALD
    HARALD --- ---
    ELIDOR: Ano. A dokonce ten požadavek je přísnější. Ty musíš vědět která data smíš a která data nesmíš držet. A ty, co držet nesmíš, odmazávat.

    Je 6 zákonných titulů, které podle gdpr dávaji právo zpracovávat data. Dva se vztahují na zdravotnictví a státní správu. Ty zbývající jsou:
    - plněni smlouvy nebo jednání k jejímu uzavření
    - plnění zákonné povinnosti (posílání dat finančáku, sociálce a podobně) - sem spadá třeba i povinnost zpracovávat reklamace, což jsou podle občanského zákoníku 2 roky od prodeje
    - podepsaný souhlas - sem spadají mj. všechny ty marketingové souhlasy.
    - oprávněný zájem - všechno ostatní, kde správce dat dokáže obhájit (!), že právo zpracovávat data je silnější než právo osob na odmazání dat. Důvodem z oprávněného zájmu bývají třeba běžící soudní spory.

    Žádosti o smazáni se může vztahovat na ty poslední dva důvody.

    V praxi se to dělá třeba tak, že se pro každou smlouvu napočítává, jaké tituly máš k držení dat o ní. Typicky:
    (1) obsluha - od jednání o jejím podpisu až po její ukončení
    (2) reklamace - od ukončení 2 roky v případě občanského zákoniku. Jiné zákonné povinosti dávají jiné lhůty
    (3) archivační povinnost - z různých zákonů různá. Finančák na tebe může přijít 7 let.
    (4) marketingový souhlas - po odebrání musíš neprodleně (v řádu dní) tento titul brát jako neplatný

    A u smluv, kde nemáš žádný titul, tak mažeš. Takže si uchováváš čísla smluv, kde už jsi pozbyl titulů, a po obnovení ze zálohy je jako první krok smažeš (případně anonymizuješ).
    ELIDOR
    ELIDOR --- ---
    tzn jestli jsem to dobre pochopil, je potreba archivovat i zadosti o odmazani pro pripad obnovy dat ze starsi zalohy, aby se dala anonymizace provest i opetovne v pripade nasazeni/jakehokoliv uziti zalohy
    HARALD
    HARALD --- ---
    ELIDOR: O archivech a zálohách se explicitně gdpr nařízení nezmiňuje, takže by se mohlo zdát, že se na ně vztahuje stejná pravidla jako na ostatní data a musí se mazat po skončení posledního právního titulu (oprávnění) k držení dat.

    Na druhou stranu, gdpr stanoví i zásadu přiměřenosti nákladů na zavedení opatření k ochraně osobních dat. Což by u archivů a záloh znamenalo ohromné náklady s nulovou přidanou hodnotou.

    Co jsem slyšel v debatách o tomto tématu, prakticky všemi sdílený přístup je, že do těchto dat nevstupují, neodmazávají v nich a jenom když je potřeba je použít, spoušti nad nimi mazací / anonymizační skripty.
    ELIDOR
    ELIDOR --- ---
    mohu se zeptat jak je to s vyrazenim dat zakaznika z dat, ktera jsou archivovana offline?
    HARALD
    HARALD --- ---
    ACIDOFIL: Ano. Pokud drží data z důvodu zákonné povinnosti, je to cajk.
    Ale i ta by se měla po určitém čase odmazávat. Přes vánoce chci napsat pár článků na téma gdpr, zkusím do nich ty lhůty dohledat.
    ACIDOFIL
    ACIDOFIL --- ---
    HARALD: to je super vedet, timpadem by ruzny online ucetnictvi nemeli bejt pro firmy +-problem, pokud to chapu dobre? Diky moc za sdileni tehle informaci.
    HARALD
    HARALD --- ---
    (Pardon za drobení příspěvku, ale na mobilu nevím, co píšu, po zaplnění screenu).

    GDPR umožňuje ještě zákonný titul “oprávněný zájem” a explicitně říká, že marketingové oslovení může být oprávněným zájmem. Pokud ovšem zákazník “vznese námitku se zpracováním” (jinými slovy dá jakkoliv najevo, že nechce být zařazen), tak ho musíš okamžitě vyřadit.
    Tahle cesta je snadnější, než souhlasy, ale musíš na to zákaznika upozornit nejpozději v okamžiku, kdy ti ta data předává a to způsobem zřetelným a srozumitelným. Nejde to tedy aplikovat na jinak získaná data.
    Nevím přitom o žádné společnosti (mám trochu povědomí jenom o finančních službách), která by se rozhodla jít přes oprávněný zájem. Všechny sbírají marketingové souhlasy. Nepátral jsem proč.
    HARALD
    HARALD --- ---
    HARALD: Ještě doplnění. To, že většina společností získala marketingový souhlas v rozporu s gdpr nebo nejsou schopny to dokázat, je důvod, proč teď skoro všechny marketingový souhlas přesmlouvávají.
    Navíc, držet data bývalých zákazniků jen na základě marketingoveho souhlasu musí být časově omezené a pak se musí přesmluvnit. Nemám teď chuť hledat v direktivě, tak se jen omezim na to, že obvykle se platnost souhlasu bez produktů či smluv je jeden rok.

    Ale k zákaznické databázi můžeš mít i jiné zákonné tituly, proč ta data držet. Typicky plnění smlouvy / objednávky. Pak reklamač ní lhůta (podle občanského zákoníku 2 roky, pokud ji nemáte prodlouženou). Pak kontrola z finančáku. 4 nebo 5 let (kdo ví, kolik to je?). Akorát data držených bez marketingového souhlasu nesmíš marketingově zpracovávat. S jednou výjimkou...
    Kliknutím sem můžete změnit nastavení reklam