PULKA:

podepise s tebou nda a je kryty

TRILOBYTE: Máš pocit, že tu tvrdím něco takového? Jen je dobré neplašit a nebrat si na svoje bedra NAVÍC povinnosti, které gdpr nepředepisuje.

HARALD: No, pokud to vyresis tim ze a,b,c) zaridi spravce serveru, d,e,f) majitel shopu a ty nejses ani jeden z nich, tak to je pak snadny :).

MVEK: Většina pluginů nikam data neodesílá, používají se na serverech, ale neznamenají zapojení další skupiny uživatelů. Jinými slovy - kvůli gdpr by nemělo být třeba je řešit.

Co se updatů týče, tam gdpr vyžaduje přiměřenou ochranu a instalace posledních stabilních verzi k ochraně patří.

ZBYNEK: Já to zase chápal jako mazání dat u neregistrovaných zákazníků, tam je asi opravdu nepotřebuje už nikdo. Protože ani zákazník při opětovném nákupu je nemůže využít.

ZBYNEK:
jo, ja uz v noci nedodal info ze my jsme v situaci, ze eshop predava k vyrizeni objednavek do jineho SW. A v tom jinem SW ty data nepotrebujes.

No rada mozna na hovno, ale pak si to musis osetrit. Co predavas, proc predavas. Musi o tom vedet koncak a balancnim pravidlem si to musis obhajit. Ne?

KOC256: Mazat adresu je blbost, na eshop kde budu muset znovu a znovu zadávat adresu nikdo nebude chodit...
nepouzivat aplikace tretich stran - taky rada na hovno...

TRILOBYTE: Právě, že to sračka není.

Z pohledu eshopu je potřeba:
1) zjistit ochranu dat (dodatelné poskytovatelem serveru)
2) zajistit, že přístupy k osobnim datům maji jen osoby, které je potřebuji (zajisti majitel eshopu)
3) zajistit, že případný marketingový souhlas je sbírán samostatně a prokazatelně (třeba znovu zadáním hesla) (dodatelné poskytovatelem serveru)
4) smluvně zajistit, že poskytovatel serveru má pokyny jak nakládat s daty (třeba backupy a pod) - tohle má formálně na starost majitel eshopu, ale provozovatel serveru to může dát jako službu všem zákaznikům.

TRILOBYTE: Přesně takovým dojmem to na mě působí, že se bojej rizika, že zákazníkovi nabídnou a prodají řešení, které se v okamžiku nějaké kontroly ukáže jako nedostatečné, nebo že naopak zákazníka naserou tím, že mu prodali něco drahého, protože předimenzovaného. Jinak si nedokážu vysvětlit, proč z těch nutných úprav nechtějí těžit zakázky.

MATEEJ: Protoze GDPR je takova sracka, ze se jim do toho nechce, tak radsi nechaj zakaznika at si to nastuduje sam a pak specifikuje co chce. Oni to spichnou podle specky a kdyz bude nekde pruser, tak sou z obliga.

DWICH: Právě proto jsem čekal, že IT firma, která se už 20 let živí výrobou e-shopů, bude mít připravený nějaký základní balíček úprav, který prodá všem svým zákazníkům. Tím spíš, že náš dva roky starý e-shop od nich GDPR v řadě věcí zjevně nevyhovuje. Ale z rozhovoru s nám přiděleným account managerem i samotným ředitelem firmy vyplynulo, že (cituji) problematiku GDPR vůbec nesledují.... Pro mě čistý WTF.

Ale podle všeho to u jiných IT firem není lepší. Když hodím do googlu "GDPR poradenství", tak firmy, co vypadnou jako první, nabízejí jenom audity, analýzy, testování, školení, ale ještě jsem nenarazil na takovou, která by nabízela i konkrétní řešení, která by z toho plynula.

DWICH: Mně na tom vadí ta neurčitost a nejistota.

Např. ty jsi třeba první, u koho jsem narazil na to, že výslovný souhlas definuje jako double opt-in, který je komplikovanější pro programátora i zákazníka.

Já bych chtěl připravit náš e-shop na GDPR tak, aby nás to stálo co nejmíň peněz, aby to co nejmíň obtěžovalo naše zákazníky a taky abychom přišli o co nejméně kontaktů z naší zákaznické databáze. A to je - i u tak malého podniku, jako jsme my - relativně složitá optimalizace celé zakázky na to, aby ji prováděl laik, jako jsem já, na základě (často i protichůdných) informací, které si přečte různě po internetu.

Hodně doporučovaný čtení je zákon na ochranu osobních údajů. Když se koukneš, co všechno obsahuje a přeskočíš části jako organizace úřadu, činnost úřadu, zbyde ti jen hlava II, což jsou čtyři stránky. Ti, co radí s GDPR, říkají, že kdo je v souladu se zákonem na ochranu osobních údajů, má z 80 % hotovo.

Zákon o ochraně osobních údajů - Část I. - Hlava 2 - Práva a povinnosti při zpracování osobních údajů
https://business.center.cz/business/pravo/zakony/oou/cast1h2.aspx

Já na to téma přečetl několik článků, ale pár konkrétních, kde to je shrnuto, nevypíchnu. V podstatě - když máš něcí osobní údaje, např. e-mailovou adresu pro newsletter, tak musíš: mít výslovný souhlas, že ti ho ten člověk dal. U e-mailů je to double opt-in, tzn. když někdo zadá adresu (svoji nebo cizí) do registračního políčka pro odběr newsletterů, musíš na tu adresu poslat e-mail ve znění: někdo, možná vy a možná ne, zadal tuto adresu k odběru newsletterů. Jestli souhlasíte, klidněte na tlačítko. Jestli ne, tento e-mail ignorujte. Tím se vyhneš tomu, že někdo škodolibě zadá cizí e-mail bez souhlasu vlastníka. Druhá věc: musíš mít jasně uvedenej souhlas majitele e-mailu s účelem zpracování. Jestli jsi mu slíbil, že mu budeš posílat produktové novinky a k ničemu jinému souhlas nemáš, nesmíš ten e-mail použít jinak. Musíš mít někde uvedeno, co všechno za data zpracováváš. Například: e-maily máme v databázi e-shopu, lidé se registrují na stránce XYZ, vyžadujeme double opt-in a ten souhlas je pak taky v databázi v profilu zákazníka. Přístup do databáze, kde jsou údaje zákazníků, má majitel firmy, lidé z obchodního, lidé se supportu a dodavatel IT řešení. Se všemi máme podepsané interní nebo externí NDA (že data nevynesou) a poučili jsme je o rizicích.

Když budeš mít se všema NDA nebo podepsanou směrnici, školení atd, tak i kdyby vzal někdo obálku a vynesl data, tomu nezabráníš. Jsi aspoň z obliga, že jsi přijal patřičná opatření - vyškolil lidi (neber úplatky, neber úplatky) a ten člověk ti to podepsal, dal jsi mu školení a víc udělat nemůžeš. Navíc platí zásada přiměřenosti. Když máš ty nejmíň citlivé údaje, nikdo po tobě nebude požadovat prověrku všech zaměstnanců na úroveň přísně tajné.

Složitější než EET to je proto, že pravidla jsou jen obecná - chraňte osobní údaje, aby vám neunikly - technicky i lidsky, zabezpečujte systémy, školte lidi, nechte si od nich podepsat interní směrnici, že nic nevynesou, nenechají si dát úplatek atd. Mějte přehled o tom, jaká data máte, na jak dlouho, kdo k nim má přístup. Na vyžádání ty data poskytněte majiteli, případně je smažte, pokud není vyšší zákon jako účetní apod (nesmíš smazat faktury).

A protože tahle obecná pravidla musí každý obor implementovat jinak, tak není jedno řešení jako u EET - pošlete nám údaje účtenky a tím to pro vás končí.

Vyšlo mi, že nejlíp udělám, když strávím pár hodin / dnů u netu a budu číst články, které jsou nejblíž mému oboru a z nich si poskládám tu mozaiku.

PEETIK: Mně vyšlo to samý. Nevím, proč mi to doporučuje "Audit předávání dat třetím stranám", když jsem všude zaškrtával, že žádná data třetím stranám neposkytujeme.

DWICH: Jako není to úplně špatný, ale není to ani úplně dobrý, je to vlastně pouze úplně první krok. Za nepříliš vysoký poplatek (890 za jeden typ auditu nebo 3705 za balíček šesti auditů) si člověk koupí tříměsíční přístup k auditům. Ty si může opakovaně vyplnit, vyplivne mu to zřejmě slabá místa, ale pokud tomu dobře rozumím, tak řešení těch slabých míst mu to už nenavrhne. Navíc se zřejmě jedná o předdefinované auditové dotazníky, které si sám vyplním sám. Jakmile někde nebudu schopen se do těch políček nebo možností vejít, tak se začnu pohybovat na bázi přibližného odhadu.

(Vedle toho nabízejí ještě variantu auditu na míru od jejich právníků a IT specialistů, který bude stát víc peněz a bude přesnější, ale ani v tomto případě nenaznačují, že by mi taky poradili, co mám v e-shopu upravit.)

Ale já bych potřeboval jak určení toho, v čem nevyhovujeme GDPR, tak toho, co s tím udělat, abychom vyhovovali. Respektive, v čem asi nevyhovujeme, to jsem schopen řekněme se 70% spolehlivostí určit já sám už teď, ale potřeboval bych někoho, kdo mi to řekne se 100% spolehlivostí, a pak taky někoho, kdo mi řekne, jak mají správně vypadat naše formuláře a s nimi spojené texty, kde mají být jaké checkboxy, jak přesně technicky z hlediska GDPR musí vypadat odhlašovací systém, a taky jak nejlépe oslovit stávající databázi zákazníků za účelem získání jejich souhlasu (plus na jak dlouho mi ten souhlas poskytnou, atd. atd.). :-(