MATEEJ: Ano, je to přesně tak, jak píšeš.

Ahoj, už nějakou dobu programuju vlastní CMS, mám to jako koníčka, takové technické cvičení mozku. Postupem času systém začalo používat pár lidí a firem. Mno a je prostě potřeba řešit i právní věci, bez toho to prostě dál nejde. Měl bych několik otázeček na chytřejší a znalejší GDRP.

V tuhle chvíli mi nejvíc trápí generátor formulářů a jejich zpracování.
Nejklasičtější způsob použití je: Po odeslání jde jedena zpráva na email vyplněný ve formuláři, druhý jde na email člověka (firmy), který požadavky zpracovává. Zároveň se data uloží do databáze, kdyby se něco nepovedlo (třeba nepřišel email), aby si zákazník mohl v administraci odeslané formuláře kontrolovat. Jde většinou o údaje tipu, jméno, adresa, co chce. U jednoho člověka je tam info o dvou adresách, odkud kam se stěhuje. U jedné firmy, jaké používá topení, kotel, solárka, tepelko, ztráty domu atd…

A teď jestli je moje logika pro GDPR správně.
Data uložená v db na serveru jsou v šifrované podobě a nešifrované je vidí pouze určený člověk z firmy na svém účtu v administraci. Admin a ostatní správci vidí odeslaný formulář v administraci, ale osobní údaje vidí jen jako rozsypaný čaj.
V emailu, který jde uživateli co form vyplnil, bude, mimo toho co vyplnil i informace, že vyplněná data jsou uložená na serveru. Pro případ zpětné kontroly, nebo nastalé chyby. S tím, že pokud si to nepřeje, může kliknout na odkaz, který ho pošle na stránku, kde si může vybrat, jestli chce formulář vymazat. Nebo tam může udělit dodatečný souhlas s uchováním údajů.
Jestli je to takhle OK.

Pak by bylo zajímavý, jestli je potřeba mazat celý formulář, nebo jen údaje označené jako osobní údaje a zbytek dat ponechat. Popřípadě mít možnost výběru, co mazat.

Je potřeba mít se zákazníkem uzavřenou smlouvu o mlčenlivosti, i když vlastně žádné osobní údaje neuvidím, nezpracovávám? Data jsou šifrovaná.

A ještě jedna otázka, když je odsouhlasovaco/mazací strana. Je pak vůbec potřeba mít u odeslání formuláře, nějaké zatržítko, že souhlasí se zpracováním údajů. Když to ve finále nemá žádnou váhu. Nebude tam stačit jen odkaz na stránku s dvoustránkovým pojednáním od právníka o zpracování os. Údajů.

Předem moc díky za pomoc.

Ještě tak mimo, akorát dělám nějaký grafiky pro firmu. Děláme herny, kasína apod. Kvůli novému zákonu se musí hráči registrovat u obsluhy, která to pak zadá do centrálního registru hráčů. Tohle určitě spadá do GDPR, měl bych dodat do té grafiky něco navíc, nebo bude stačit když to budeme mít jen na webu, kde v grafice bude odkaz?

HARALD: já bych ochranu před DDOS klasifikoval i jako veřejný zájem :D

PEETIK: v gdpr se počítá, že v obchodním styku se musí tisknout na fakturu osobní údaje plátce. když neplatí, tak se mu posílá upomínka, pak je to na souhrnném hlášení... nesmí se posílat spam

CESNET | Seminář o GDPR
https://www.cesnet.cz/akce/gdpr2017/

E2E4: me je Facebook ukradenej, ja zkoumam GDPR z pohledu administratora nejakyho beznyho serveru. A to straseni tim, ze u kazdyho blogu musis hned anonymizovat logy v IP je nicim nepodlozeny bubak - to z GDPR nijak nevyplyva a i jsem rekl proc.

DANYSEK: ale nedovozuju nic, vim o tom tuzku, to byl jen priklad, proste mali to budou muset resit a proti velkym zneuzivatelum osobnich dat to bude prd platne, obavam se..

(a myslim ze termin FUD pouzivas nespravne, pouziva se spis v kontextu marketingu/PR/propagandy - vyzaduje nejakeho aktera, typu Microsoft rika ze Linux je nebezpecnej, ale tohle jsou spis uprimne obavy a nejasnosti, prijde mi)

kazdopadne jestli do toho vidis, jak myslis ze dopadne GDPR vs facebook ? Jak muze byt facebook GDPR compliant?

Jo a fakt by me zajimalo, jak se s GDPR vyrovna facebook (a v mensi mire Google). Jejich business je zalozen na exploataci soukromych dat.. Ale maj dobry americky pravniky, takze z toho nic nebude.. Nejaky clovek se snazil legalni cetou primet facebook aby po nem nechtel obcanku a aby mu dal data ze zablokovaneho uctu kvuli udajnemu nepouzivani skutecneho jmena. Neuspel, irsky urad pro osobni udaje se na nej vykaslal, EU se na nej vykaslala a musel by se soudit v Irsku s pravnikama facebooku..

europe-v-facebook.org | EUROPE versus FACEBOOK
http://europe-v-facebook.org

Ted kdyz jsem to hledal tak jsem narazil na clanek ze uz je mozne zalovat facebook kvuli uziti osobnich dat lokalne, neni nutne kvuli tomu letat do Irska. - https://www.independent.ie/...-entitled-to-sue-facebook-ireland-through-austrian-court-36318801.html

Ale stejne - obavam se, ze se vlk nazere, ale koza zustane cela - kazdej blog bude muset resit anonymizaci IP adres v logach, ale business s nasimi osobnimi daty bude dal kvest, protoze vetsi rozpocet na pravniky.

ADAMH: Pokud mas na serveru uzivatelska jmena (napr. pro registrovane), kde zadavaji svoje jmeno, ztotoznit to muzes snadno sam. Tim padem je kazda IP adresa, kterou mas v logu PII, protoze muze byt toho tveho uzivatele ktereho mas. A vlastne na kazdem serveru kde mas lokalni uzivatele se jmenem muze byt kazda IP adresa PII. :-)

Stejne je to divny, kazdou IP adresu uchovavas prave proto, abys odhalil cloveka ktery te hackuje, tj za ucelem zpracovani jeho osobnich udaju..

Ale nevim jak je to doopravdy, a kdo vi zda to bude jasne nez nastanou prvni poruseni a soudni spory..

ADAMH:
no zatim jsem ve stavu kdy shanim infa jinde (i zde) :D

Kdo je vubec zodpovednej za kontrolu a penalizaci tohohle narizeni?

je vám jasný, že na celým světě všechny webservery defaultně logují všechny ip adresy do access logů, které se defaultně nikdy nemazají?
a že těch webserverů jsou miliony?

Možnost udělit vysoké pokuty spamerům a prodejcům osobníh údajů je fajn, ale tohle je fuckup kterýmu se "tato stránka používá cookies" nemůže nikdy vyrovnat.

Zkusím se ještě rozepsat, až tu budu jinak, než z mobilu.