• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    EXISGDPR - mýty, rady, konzultace
    GDPR - General Data Protection Regulation - Nová legislativa na ochranu osobních údajů, která začne platit od 25. 5. 2018!
    rozbalit záhlaví
    ZBYNEK
    ZBYNEK --- ---
    MATEEJ: Neřeším prachy, ale stránky, resp. zabitej čas... Už takhle jsem těma sračkama zabil víc času než je zdrávo :-(

    https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=7278 strana 12, kapitola IV, podle obou variant musím oddělit nákup od "marketingového souhlasu" (pokud řešíme eshopy). Rád se nechám přesvědčit o opaku, ale prosím o konkrétní odkaz, přesnou citaci.
    MATEEJ
    MATEEJ --- ---
    ZBYNEK: Mně se taky strašně nechtělo ty prachy dávat, protože ta Praktická část, týkající se tématu, o kterém píšu, má rozsah 7 stran... Nicméně na těch sedmi stranách autor velmi jasně říká, jak to s těmi e-sopy je, a byly to přesně ty informace, které jsem potřeboval, a které odpovídají textu GDPR

    L_2016119CS.01000101.xml
    http://gdpr.spir.cz/NARIZENI_EU_2016-679.html#clanek13

    i textům předcházejícím:

    https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=7278

    Jediné body, kde si nejsem úplně jistý, jsou body 7 a 9.
    ZBYNEK
    ZBYNEK --- ---
    MATEEJ: Pěkný výklad, ale bohužel mi tam chybí odkazy na konkrétní paragrafy... A vzhledem k tomu, že se to dost liší oproti jiným výkladům, tak by mě odkazy na konkrétní paragrafy dost zajímaly.
    (Knížku bych si klidně koupil, ale upřímně se mi nechce číst 224 stran.)

    Hned první bod mi připadne v rozporu s https://www.uoou.cz/zakladni%2Dprirucka%2Dk%2Dgdpr/ds-4744/p1=4744

    Jaké jsou podmínky udělení souhlasu se zpracováním osobních údajů?

    Aby bylo možné dosáhnout svobodnosti, konkrétnosti, informovanosti a jednoznačnosti projevu vůle subjektu údajů, stanovuje Obecné nařízení v článku 7 podmínky vyjádření souhlasu. Zásadní je tzv. odlišitelnost souhlasu, což znamená, že souhlas musí být odlišen od jiných skutečností, ke kterým se subjekt údajů vyjadřuje. Pro názornost, souhlas tak musí být oddělený např. od smlouvy či obchodních podmínek, resp. již není možné, aby byl jejich nedílnou součástí. Zároveň nesmí být uzavření smlouvy (např. na službu) podmiňováno poskytnutím souhlasu se zpracováním osobních údajů. Je však samozřejmé, že v závislosti na službě či výrobku bude správce muset zpracovávat (bez souhlasu) určité množství osobních údajů subjektu údajů právě pro účely plnění smlouvy či plnění zákonem stanovené povinnosti.



    (Mimochodem, proč takové knížky vydává ředitel odboru jako svou samostatnou komerční činnost (určitě v pracovní době, díky znalostem získaným v pracovním poměru, určitě sepsaných na pracovním počítači a díky spolupráci kolegů?) a ne přímo konkrétní úřad v rámci své činnosti)
    MATEEJ
    MATEEJ --- ---
    /Třeba to někomu pomůže, když už jsem nad tím strávil tolik času.../

    Jaký dopad bude mít GDPR na běžné e-shopy z hlediska toho, jak má vypadat objednávkový formulář, zákazníkův profil a rozesílání obchodních sdělení?

    Minimální.


    Na moje otázky, jak GDPR zasáhne fungování běžných e-shopů a rozesílání obchodní nabídek, jsem našel odpovědi v knize Praktický průvodce GDPR.

    Praktický průvodce GDPR – Knihkupectví Neoluxor
    https://neoluxor.cz/odborne-knihy/prakticky-pruvodce-gdpr--271813/

    Jejím autorem je JUDr. Jiří Žůrek, ředitel Odboru pro styk s veřejností Úřadu na ochranu osobních údajů, kde se mimo jiné zabývá vyhodnocováním stížností a podnětů. Zjevně ví, o čem mluví, respektive tento pán je asi tím nejpovolanějším v republice z hlediska výkladu nejasností v této problematice.

    Takže:

    1) Osobní údaje získané prostřednictvím zákaznického vztahu lze používat k zasílání obchodních sdělení, protože to spadá do definice oprávněného zájmu, který tu zmiňoval HARALD. Tedy pokud ve vašem e-shopu v minulosti někdo nakoupil, můžete mu (hned, nebo i později) začít zasílat obchodní sdělení. Nepotřebujete k tomu jeho výslovný souhlas s tímto užitím jeho kontaktů. Musíte mu ovšem umožnit (snadno a přehledně) vznést námitku proti zpracování osobních údajů, jinými slovy, v každém zaslaném obchodním sdělení musí být možnost se od jejich odběru odhlásit. To vše platí už teď a bude to platit i za půl roku.

    2) Jelikož nelze definovat, jak dlouho takový zákaznický vztah trvá, je možné zasílat zákazníkům obchodní sdělení bez časového omezení, ovšem je nutné dodržet podmínku snadné odhlásitelnosti.

    3) Pokud by provozovatel chtěl rozesílat nabídky jiného druhu zboží, než prodává (a tedy než si u něj zákazníci běžně kupují), tak už se „nevejde“ do definice oprávněného zájmu a potřebuje jejich souhlas.

    4) Pokud si kvůli bodu 3 (jinak to nepotřebuje) bude provozovatel zajišťovat souhlas se zasíláním nabídek prostřednictvím webového formuláře („Zde zadejte svůj e-mail a budou Vám zasílány naše novinky“), měl by uživateli přijít potvrzovací link, kterým souhlas potvrdí, aby se zabránilo tomu, že tam někdo zadá jeho e-mail bez jeho vědomí. Tady bych zdůraznil to „měl by“, podle mě se nejedná o povinnost, ale pouze o slušnost.

    5) Zároveň platí, že ke zpracování osobních údajů pro účel splnění objednávky nepotřebuje provozovatel e-shopu souhlas zákazníka, protože jejich zpracování je nezbytné pro splnění kupní smlouvy.

    6) Z bodů 5) a 1) vyplývá, že technicky vzato není nutné mít v rámci objednávkového formuláře checkbox „Mám zájem o zasílání novinek“, ať už předzaškrtnutý nebo ne, protože osobní údaje získané prostřednictvím realizovaných objednávek může obchodník použít i bez souhlasu k rozesílání obchodních nabídek. Ale je slušné a vstřícné vůči zákazníkům to tam mít.

    7) „Šedou zónou“ jsou registrace zákazníků, protože když se zákazník registruje, tak to ještě nemusí nutně znamenat, že si hned i něco koupí a že hned vznikne kupní smlouva nebo zákaznický vztah (pouhým projevením zájmu ze strany zákazníka zákaznický vztah nevzniká). Nicméně bod o zpracování z důvodu plnění smlouvy má takový dodatek: „zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů“. Ten by podle mě mohl pokrývat zpracování údajů zadaných při registraci, u které hned nedojde ke koupi. Protože zákazník se svobodně rozhodl, že koupi neprovede bez registrace, ale že se u nás napřed zaregistruje. My ho k registraci nenutíme, koupi může za stejných podmínek provést i bez registrace. Tedy on na svou vlastní žádost ( „na žádost tohoto subjektu údajů“ ) se zaregistruje (iniciuje „opatření před uzavřením smlouvy“ ) a my jím zadaná data uložíme ( „provedeme opatření přijatá před uzavřením smlouvy“ ). Ale tohle je jenom můj výklad, 100% jistý si tím nejsem.

    8) Co ovšem platí za všech okolností, to je informační povinnost, tedy zákazník musí být jasně a srozumitelně informován (asi stačí odkazem na Smluvní podmínky, ve kterých to bude napsané), jak a pro jaké účely se budou jeho osobní údaje zpracovávat, kdo je spravuje atd. Zde je seznam informací, které se tam musí objevit: http://gdpr.spir.cz/NARIZENI_EU_2016-679.html#clanek13 Také by bylo čistší, aby se Souhlasy se zpracováním osobních údajů nemíchaly s Obchodními podmínkami – zákazníkův souhlas s Obchodními podmínkami totiž nesmí znamenat, že tím poskytne Souhlasy se zpracováním, které jsou v Obchodních podmínkách zahrnuty, protože ty Souhlasy by pak byly neplatné. Nicméně jak vyplývá z předchozích bodů, při běžném provozu běžného e-shopu nejsou Souhlasy zapotřebí.

    9) Kdyby někdo chtěl být ale hóóódně pintlich, mohl by tvrdit, že a) souhlas pro zpracování údajů při plnění objednávky, b) souhlas s rozesíláním obchodních nabídek a c) souhlas s poskytnutím osobních údajů firmě, která bude objednávku přepravovat, jsou tři různé souhlasy, přičemž bez souhlasu a) a b) se běžný e-shop obejde díky zákaznickému vztahu, ale o souhlasu c) to už neplatí, ten musí mít. Ale já si myslím, že je přijatelné souhlasy a) a c) sloučit do jednoho (ale je nutné o tom zákazníka informovat).
    EXIS
    EXIS --- ---
    KOC256: Asi nebude potřeba souhlas, ale splnit informační povinnost musí. Ale je třeba si přečíst zákon a zjistit, co zákon vyžaduje za data a jestli si sázkovky neberou další data navíc..
    EXIS
    EXIS --- ---
    LONEWOLF: záleží na formě, jak se to udělá, ale informační povinnost stačí mít volně dostupnou na webových stránkách. A pokud je to hodně komplikované, tak lze může použít i grafické schéma toho, co se s daty děje
    KOC256
    KOC256 --- ---
    PEETIK: Jestli to je zakonny duvod, tak nemusis nic.
    LONEWOLF
    LONEWOLF --- ---
    PEETIK: podle mne odkaz na web nestačí
    HARALD
    HARALD --- ---
    MATEEJ: Ano, je to přesně tak, jak píšeš.
    MATEEJ
    MATEEJ --- ---
    HARALD: Podle toho, co jsem zatím vygooglit, při nákupu bez registrace není nutné mít souhlas vůbec, zejména pokud se tam vyplňují jenom údaje nezbytně nutné ke splnění objednávky. (Nicméně je nutné zákazníka informovat o tom, co se s jeho daty bude dít.)
    LIRO
    LIRO --- ---
    Ahoj, už nějakou dobu programuju vlastní CMS, mám to jako koníčka, takové technické cvičení mozku. Postupem času systém začalo používat pár lidí a firem. Mno a je prostě potřeba řešit i právní věci, bez toho to prostě dál nejde. Měl bych několik otázeček na chytřejší a znalejší GDRP.

    V tuhle chvíli mi nejvíc trápí generátor formulářů a jejich zpracování.
    Nejklasičtější způsob použití je: Po odeslání jde jedena zpráva na email vyplněný ve formuláři, druhý jde na email člověka (firmy), který požadavky zpracovává. Zároveň se data uloží do databáze, kdyby se něco nepovedlo (třeba nepřišel email), aby si zákazník mohl v administraci odeslané formuláře kontrolovat. Jde většinou o údaje tipu, jméno, adresa, co chce. U jednoho člověka je tam info o dvou adresách, odkud kam se stěhuje. U jedné firmy, jaké používá topení, kotel, solárka, tepelko, ztráty domu atd…

    A teď jestli je moje logika pro GDPR správně.
    Data uložená v db na serveru jsou v šifrované podobě a nešifrované je vidí pouze určený člověk z firmy na svém účtu v administraci. Admin a ostatní správci vidí odeslaný formulář v administraci, ale osobní údaje vidí jen jako rozsypaný čaj.
    V emailu, který jde uživateli co form vyplnil, bude, mimo toho co vyplnil i informace, že vyplněná data jsou uložená na serveru. Pro případ zpětné kontroly, nebo nastalé chyby. S tím, že pokud si to nepřeje, může kliknout na odkaz, který ho pošle na stránku, kde si může vybrat, jestli chce formulář vymazat. Nebo tam může udělit dodatečný souhlas s uchováním údajů.
    Jestli je to takhle OK.

    Pak by bylo zajímavý, jestli je potřeba mazat celý formulář, nebo jen údaje označené jako osobní údaje a zbytek dat ponechat. Popřípadě mít možnost výběru, co mazat.

    Je potřeba mít se zákazníkem uzavřenou smlouvu o mlčenlivosti, i když vlastně žádné osobní údaje neuvidím, nezpracovávám? Data jsou šifrovaná.

    A ještě jedna otázka, když je odsouhlasovaco/mazací strana. Je pak vůbec potřeba mít u odeslání formuláře, nějaké zatržítko, že souhlasí se zpracováním údajů. Když to ve finále nemá žádnou váhu. Nebude tam stačit jen odkaz na stránku s dvoustránkovým pojednáním od právníka o zpracování os. Údajů.

    Předem moc díky za pomoc.
    PEETIK
    PEETIK --- ---
    Ještě tak mimo, akorát dělám nějaký grafiky pro firmu. Děláme herny, kasína apod. Kvůli novému zákonu se musí hráči registrovat u obsluhy, která to pak zadá do centrálního registru hráčů. Tohle určitě spadá do GDPR, měl bych dodat do té grafiky něco navíc, nebo bude stačit když to budeme mít jen na webu, kde v grafice bude odkaz?
    LONEWOLF
    LONEWOLF --- ---
    HARALD: já bych ochranu před DDOS klasifikoval i jako veřejný zájem :D
    HARALD
    HARALD --- ---
    PEETIK: Ta část o zasílání informací by po květnu měla z textu vypadnou. To, že budou zpracovávat informace pro potřebu distribuce je ok. Naopak by meli navíc uvést, komu dají tvá data pro distribuci.
    RATTKIN
    RATTKIN --- ---
    PEETIK: v gdpr se počítá, že v obchodním styku se musí tisknout na fakturu osobní údaje plátce. když neplatí, tak se mu posílá upomínka, pak je to na souhrnném hlášení... nesmí se posílat spam
    PEETIK
    PEETIK --- ---
    Teď platím předplatné časopisu. Je tam povinnost odškrtnout souhlas se zpracováním osobních údajů, jinak mě to nepovolí zaplatit. Tohle už nebude poté možné, že?

    Opravte prosím chybně vyplněná data:
    Pro uskutečnění objednávky je třeba Váš souhlas se zpracováním osobních údajů

    Předplatitel tímto uděluje souhlas vydavateli časopisu společnosti k využití výše uvedených osobních údajů ke všem činnostem, souvisejícím s vedením předplatného a informováním o časopisu a jeho akcích. Souhlas je udělen na dobu neurčitou. Zpracovatelem osobních údajů bude společnost Send Předplatné s.r.o. Předplatitel má právo na přístup ke svým osobním údajům, právo na opravu osobních údajů a právo být informován o způsobu zpracování osobních údajů. V případě, že se domnívá, že jsou jeho údaje zpracovávány v rozporu se zákonem, má právo obrátit se na Úřad pro ochranu osobních údajů.
    GIOMIKY
    GIOMIKY --- ---
    CESNET | Seminář o GDPR
    https://www.cesnet.cz/akce/gdpr2017/
    KOC256
    KOC256 --- ---
    Tak staci jit jeste blize. Co GDPR a nyx.cz?

    nick + IP se uchovava.
    k nick se paruji platby. Platby se daji naparovat na ucet a mozna i jmeno.

    Co z toho plyne?
    DANYSEK
    DANYSEK --- ---
    E2E4: me je Facebook ukradenej, ja zkoumam GDPR z pohledu administratora nejakyho beznyho serveru. A to straseni tim, ze u kazdyho blogu musis hned anonymizovat logy v IP je nicim nepodlozeny bubak - to z GDPR nijak nevyplyva a i jsem rekl proc.
    E2E4
    E2E4 --- ---
    DANYSEK: ale nedovozuju nic, vim o tom tuzku, to byl jen priklad, proste mali to budou muset resit a proti velkym zneuzivatelum osobnich dat to bude prd platne, obavam se..

    (a myslim ze termin FUD pouzivas nespravne, pouziva se spis v kontextu marketingu/PR/propagandy - vyzaduje nejakeho aktera, typu Microsoft rika ze Linux je nebezpecnej, ale tohle jsou spis uprimne obavy a nejasnosti, prijde mi)

    kazdopadne jestli do toho vidis, jak myslis ze dopadne GDPR vs facebook ? Jak muze byt facebook GDPR compliant?
    DANYSEK
    DANYSEK --- ---
    E2E4: a na ceho konkretne dovozujes, ze musis v logu IP vzdy anonymizovat? To je nicim nepodlozeny FUD. Podstatny je, jakym zpusobem ty logy dal zpracovavas (pokud vubec) a kdo vsecko k nim ma pristup. Viz napr. clanek 6, odstavec 1, pismeno f) GDPR - staci, aby byla splnena jedna z podminek (nejmene jedna). Jinymi slovy v nekterych pripadech ani neni potreba nejaky souhlas subjektu udaju (zrovna logy uchovane po definovany cas pro eventuelni zpetnou analyzu bezpecnostnich incientu pod f) s urcitosti spadnou). Ano, postihne to ruzne techniky "cilenych reklam" - ale rozhodne ne kazdy blog.
    ADAMH: ani to "pravo na vymaz" neni absolutni - to je velmi rozsireny mytus :-) Viz clanek 17, odstavec 3 GDPR.
    Kliknutím sem můžete změnit nastavení reklam