• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    EXISGDPR - mýty, rady, konzultace
    JOPS
    JOPS --- ---
    MARTEN: kdyz jsem delal v predchozi firme, tak jsme na webu meli vystaveno jmeno, prijmeni, mejl a pevnou linku.

    Pred 10 lety se to davalo pryc, protoze to odporovalo pravidlum na ochranu osobnich udaju. Mejl, i telefon je tak trochu osobni udaj i kdyz je to firemni.

    Z meho pohledu strasna picovina, ale pravidla jsou pravidla...
    MARTEN
    MARTEN --- ---
    KOC256: S tim poslednim souhlas, podobnou odpoved mam na vsechny dotazy, ktere jsou predevsim kolem internetu.

    U toho jmeno.prijmeni jsem si rikal, ze email je porad majetkem firmy. Tedy adresa. Pouze ji ma nekdo danou k pouzivani. Nedej boze, kdyz clovek odejde, po nem nastoupi nekdo se stejnym jmenem a tuto adresu zdedi. Ale jak pises, budou to dohady a mozna se okecaji obe moznosti.
    KOC256
    KOC256 --- ---
    MARTEN:
    Ano.
    jmeno+prijmeni+firma uz dost dobre dokaze identifikovat konkretni osobu.

    support@ uplne ne.

    U reditel@firma.cz je to diskutabilni...

    Jako zajimavy priklad nam byl na "skoleni" ukazan priklad firmy Lanex. Kdy pak kontaktni stranka vypada nasledovne:
    Kontakt - LANEX a.s.
    http://www.lanex.cz/kontakt

    Ale sam pravnik vzdy rikal: "Pockejte za 5 let az bude nejaky judikat. Do te doby jsou to jen dohady."
    MARTEN
    MARTEN --- ---
    Zajimala by mne jedna vec. U GDPR jde o ochranu osobnich udaju. V tomto pripade treba o email. Je email osobni udaj, pokud jde o firemni email? Je tam rozdil, pokud pujde o email support@firma.cz a jmeno.prijmeni@firma.cz? Jen tak ze zvedavosti.
    ECLECTICA
    ECLECTICA --- ---
    GDPR vs. blockchain:
    Blockchains and the GDPR | Oxford Law Faculty
    https://www.law.ox.ac.uk/business-law-blog/blog/2018/02/blockchains-and-gdpr
    KOC256
    KOC256 --- ---
    BULHI:
    BULHI:
    Pokud nedelas hostera ty tak jsi v klidu :)
    Hosting z principu smluvniho vztahu ma pristup k datum. Abys byl v klidu ty, tak by sis mel max nechat jima potvrdit, ze jsou GDPR ready... vice tomu ty asi nedas... (meli by mit sifrovane zalohy. a mel by byt nejaky mechanismus anonymizace/likvidace dat pri pripadnem obnoveni ze zalohy - to ale nejspise bez tebe nepujde).

    Co se tyce dochazky...
    Zakladem je mit ty procesy sepsane ve smernicichc... Napis nekde ze k tem datum maji pristup jen TA a TA osoba protoze "..." a treba ty jako admin a pak ze ty udaje co tam mate opravdu potrebujete...
    Treba bydliste by v ramci dochazky byt nemelo (neni potreba)... A takto si rekni, zda tam dany udaj potrebujes nebo ne...
    DELVIT
    DELVIT --- ---
    BULHI: to zapomenutí není všemocné. Pokud můžeš, a ničemu to nevadí, anonymizovat jméno tak to udělej. Podle mě bych id null rozhodně nedával a měl bych to ošetřený vyjádřením od účetní.
    RATTKIN
    RATTKIN --- ---
    BULHI: dokud pracuje a chce mzdu, musí se nechat evidovat.
    když odejde, stejně se to musí evidovat asi pro účely důchodů a sociálky.
    možná by se k tomu mohla účetní vyjádřit, že to podle toho a toho paragrafu musí zachovat.
    BULHI
    BULHI --- ---
    DELVIT: jo pristup ma jen management a mzdova ucetni, to je podle me v cajku.. zamestnanci podepisou souhlas, to je taky osetreny.. ale jde mi o to, jak dukladny musi bejt to pripadny zapomenuti, kdyby o to nekdo pozadal (a jestli je tohle vubec treba resit).. vicemene jestli staci jen anonymizovat jmeno, ale muzu tam porad nechat vsechny zaznamy.. cili kde bude jasny, ze tohle je nejakej zamestnanec s id = 125, ale jeho jmeno jsme zapomneli. Nebo musim id nastavit na null, aby se to nedalo nijak zpetne spojit s jednim clovekem. A nebo jestli se to musi fakt smazat uplne.
    DELVIT
    DELVIT --- ---
    BULHI: to záleží co se hostuje. Smluvní ošetření nezaškodí. Nemůžeš transparentně šifrovat? U toho druhého bych osobně řekl, že jsou to data potřebná pro chod firmy, takže by dobré, aby k tomu měl přístup nezbytný počet lidí a ne nikdo zbytečně navíc (vědět kdo to potřebuje vědět a proč). Navíc zaměstnanec či brigádník by to měl mít uvedeno ve smlouvě.
    BULHI
    BULHI --- ---
    Pratele mohl by mi trochu nekdo osvetlit dva prakticky problemy z pohledu vyvojare? V prvni rade porad nechapu, jak je to s hostingem. Maji pochopitelne pristup uplne ke vsemu, cili je treba to s nima nejak smluvne osetrit, ze se na to proste nebudou koukat? :) Nebo jak to funguje?

    A druha vec - budu predelavat ted pro jednoho klienta aplikaci na evidenci dochazky. Jednotlivi zamestnanci tam nemaj vlastni ucty, vyplnuje to manazer prodejny (jde o sit obchodu). Sledujeme o nich jen jmeno, nejaky jejich interni firemni cislo a pak samozrejme udaje, kdy teda realne byli v praci. Tohle samozrejme muzu velmi snadno vyexportovat, kdyby to nekdo chtel videt, ale jak je to s tim pravem na smazani v pripade dat tohodle typu? Nemuze prece zamestnanec chtit po firme, aby zapomnela, ze tam kdy pracoval, ne? Na zaklade tech dat se pocitaji mzdy, nesedely by pak reporty atd. Muzu to jmeno anonymizovat, nicmene z tech dat porad pujde asi poznat, o koho slo, zejo.. ve smyslu "jo tohle bude Tonda, protoze to byl brigadnik a chodil jen v utery a ve ctvrtek"
    MATEEJ
    MATEEJ --- ---
    Ještě k mé motivaci, proč se v tom hrabu. Provozujeme e-shop a za léta provozu jsme nasbírali cca 6000 zákaznických kontaktů. Pokud bych 26. května zjistil, že ani jednomu z těch zákazníků nemůžu zasílat newslettery o novinkách a slevách, a že jim dokonce ani nemůžu poslat mail s prosbou o udělení souhlasu, znamenalo by to, že nám tržby v e-shopu klesnou o desítky procent. Proto jsem to začal řešit s předstihem už teď, pídil jsem se po informačních zdrojích, na které bych se mohl spolehnout, a výsledkem je tento závěr [ MATEEJ @ GDPR - mýty, rady, konzultace ]
    Mně nejde o to někoho tady přesvědčovat, mně šlo primárně o to zabezpečit budoucí bezproblémové fungování našeho e-shopu a toto jsem sám před sebou splnil. :-)

    (Výjimku tvoří body 7 a 9, tam si nejsem úplně jistý, ale i kdybych se pletl, tak proti č. 9 se pravděpodobně nikdo neozve a ohledně bodu 7 by stačilo přidat do objednávky s registrací pár checkboxů.)
    MATEEJ
    MATEEJ --- ---
    MATEEJ: Cituji z knihy Praktický průvodce GDPR:

    1.2.2 Kdy lze obchodní sdělení zasílat?

    V úvahu přichází prakticky dvě možnosti, na základě kterých lze šířit obchodní sdělení. První je tzv. zákaznická výjimka a druhou je souhlas uživatele.

    V rámci zákaznické výjimky, upravené v paragrafu 7 odst. 3 zákona o některých službách informační společnosti, lze elektronickou cestou šířit obchodní sdělení týkající se vlastních obdobných výrobků nebo služeb na e-mailové (a jiné elektronické kontakty) zákazníků získané v souvislosti s prodejem výrobku nebo služby. Zákaznická výjimka je tak omezena pouze na obchodní sdělení, jehož obsahem jsou vlastní obdobné výrobky či služby. V rámci zákaznické výjimky nelze posílat obchodní sdělení třetích osob či v jejich prospěch.

    V následujícím odstavci se řeší, že zákazník nicméně musí mít jasnou a snadnou možnost takové zasílání odmítnout, konkrétně je jmenován opt-out princip.

    V dalším odstavci se říká, že dotaz na dostupnost nebo parametry zboží nestačí k vytvoření zákaznického vztahu, stejně jako téměř, ale ne úplně dokončená objednávka. Takového zákazníka nesmí e-shop oslovit ani ve stylu "nedokončil jste objednávku v našem e-shopu, tady máte slevový kupon, třeba vám pomůže se rozhodnout, jestli to zboží opravdu chcete" (pokud jeho kontakt nemáš z nějakého předchozího nákupu).

    V dalším odstavci se řeší, že kdyby chtěl provozovatel posílat stejná obchodní sdělení lidem, kteří s ním nejsou v zákaznickém vztahu, může k tomu získat souhlas přes webový formulář (viz bod 4) zde [ MATEEJ @ GDPR - mýty, rady, konzultace ]

    Stejně tak si může provozovatel obstarat souhlas při nákupu zákazníka, pokud mu z nějakého důvodu ona zákaznická výjimka nestačí (protože by s ním chtěl dělat ankety nebo jiné složitější věci), může to tak udělat, ale musí tam být příslušný checkbox a musí to splňovat podmínky dobrovolnosti, informovanosti, nepodmíněnosti atd.

    A o pár stran dřív se řeší, po jakou dobu trvá zákaznický vztah pro účely této výjimky. Ten jednoznačně vzniká realizovaným nákupem, respektive odesláním objednávky, ale na to, kdy končí, bychom jednotnou odpověď hledali obtížně, a z tohoto důvodu není pro trvání zákaznického vztahu stanoven limit, ale místo toho je vhodné vycházet z opt-out principu - zákazník musí mít možnost kdykoli a jednoduše vyslovit námitku proti zpracování pro účely přímého marketingu, prostě zrušit odběr newsletterů. (A je to skutečně formulováno takto, ne že má mít možnost kdykoli "odvolat svůj souhlas", protože k rozesílání na základě zákaznického vztahu a zákaznické výjimky není žádný souhlas zapotřebí.)
    MATEEJ
    MATEEJ --- ---
    O zasílání obchodních sdělení tam je ještě jedna zcela explicitní pasáž. Přepíšu ji, až budu u kompu.
    MATEEJ
    MATEEJ --- ---
    ZBYNEK: První bod, který ti přijde v rozporu s GDPR, vychází přímo z textu GDPR:

    Článek 6:

    1. Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:

    a) subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;

    b) zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;

    c) zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;

    d) zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;

    e) zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;

    f) zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.


    Pro zákonné zpracování osobních údajů pro účely příjmu a odbavování objednávek tedy nepotřebuješ nutně souhlasy, stačí, že splňuješ podmínku b), to z tohoto Článku jasně vyplývá. (V případě e-shopu jde o kupní smlouvu.)

    Použití zákaznických kontaktů z e-shopu k rozesílání newsletterů a nabídek:

    Bod f), zpracování pro účely oprávněných zájmů, zmínil už HARALD [ HARALD @ GDPR - mýty, rady, konzultace ] Vím, že se v GDPR orientuje jako profesionál, ale na druhou stranu on sám neimplementuje GDPR do e-shopů a navíc píše, že pod to spadá "vše, co správce dat dokáže obhájit", což je dost neurčité, takže jsem se snažil tuto informaci ověřit.

    Něco jsem se dozvěděl už z této Metodiky pro provozování e-shopů od UOOU:

    https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=7278

    Viz třeba Příklad na s. 8, nebo Kapitola IV. Souhlas se zpracováním osobních údajů na s. 12, na kterou odkazuješ. Obě Varianty mluví o souhlasech, které provozovatel potřebuje, pokud chce osobní údaje zákazníků používat nad rámec plnění smluvních závazků (tedy nad rámec kupní smlouvy).
    Detailněji to rozebírá Varianta 2. Podle ní můžeš mít v e-shopu možnost objednávky bez registrace, při které zákazníka musíš informovat, co se s jeho údaji bude dít, ale souhlas vůbec nepotřebuješ, protože k plnění smlouvy, nabízení obchodu a služeb a zasílání obchodních sdělení souhlas nepotřebuješ. Ale pokud chceš s jeho údaji dělat složitější věci - průzkumy trhu, nabízení slev/slevových karet, poskytnutí údajů dalším subjektům apod. - musíš si opatřit souhlasy.

    Ale protože tato Metodika mluví o současném stavu, tak jsem si ještě potřeboval ověřit, zda to tak bude i po zavedení GDPR, a to jsem si ověřil v té knížce, ze které ocituji aspoň jednu větu, která je v ní uvedena dokonce tučně:

    Oprávněný zájem na uplatnění přímého marketingu bud odůvoditelný zejména vůči zákazníkům správce, u nichž existuje zákaznický vztah a je tedy do určité míry oprávněným zájmem správce uplatnit vůči zákazníkovi přímý marketing.


    ZBYNEK
    ZBYNEK --- ---
    MATEEJ: Neřeším prachy, ale stránky, resp. zabitej čas... Už takhle jsem těma sračkama zabil víc času než je zdrávo :-(

    https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=7278 strana 12, kapitola IV, podle obou variant musím oddělit nákup od "marketingového souhlasu" (pokud řešíme eshopy). Rád se nechám přesvědčit o opaku, ale prosím o konkrétní odkaz, přesnou citaci.
    MATEEJ
    MATEEJ --- ---
    ZBYNEK: Mně se taky strašně nechtělo ty prachy dávat, protože ta Praktická část, týkající se tématu, o kterém píšu, má rozsah 7 stran... Nicméně na těch sedmi stranách autor velmi jasně říká, jak to s těmi e-sopy je, a byly to přesně ty informace, které jsem potřeboval, a které odpovídají textu GDPR

    L_2016119CS.01000101.xml
    http://gdpr.spir.cz/NARIZENI_EU_2016-679.html#clanek13

    i textům předcházejícím:

    https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=7278

    Jediné body, kde si nejsem úplně jistý, jsou body 7 a 9.
    ZBYNEK
    ZBYNEK --- ---
    MATEEJ: Pěkný výklad, ale bohužel mi tam chybí odkazy na konkrétní paragrafy... A vzhledem k tomu, že se to dost liší oproti jiným výkladům, tak by mě odkazy na konkrétní paragrafy dost zajímaly.
    (Knížku bych si klidně koupil, ale upřímně se mi nechce číst 224 stran.)

    Hned první bod mi připadne v rozporu s https://www.uoou.cz/zakladni%2Dprirucka%2Dk%2Dgdpr/ds-4744/p1=4744

    Jaké jsou podmínky udělení souhlasu se zpracováním osobních údajů?

    Aby bylo možné dosáhnout svobodnosti, konkrétnosti, informovanosti a jednoznačnosti projevu vůle subjektu údajů, stanovuje Obecné nařízení v článku 7 podmínky vyjádření souhlasu. Zásadní je tzv. odlišitelnost souhlasu, což znamená, že souhlas musí být odlišen od jiných skutečností, ke kterým se subjekt údajů vyjadřuje. Pro názornost, souhlas tak musí být oddělený např. od smlouvy či obchodních podmínek, resp. již není možné, aby byl jejich nedílnou součástí. Zároveň nesmí být uzavření smlouvy (např. na službu) podmiňováno poskytnutím souhlasu se zpracováním osobních údajů. Je však samozřejmé, že v závislosti na službě či výrobku bude správce muset zpracovávat (bez souhlasu) určité množství osobních údajů subjektu údajů právě pro účely plnění smlouvy či plnění zákonem stanovené povinnosti.



    (Mimochodem, proč takové knížky vydává ředitel odboru jako svou samostatnou komerční činnost (určitě v pracovní době, díky znalostem získaným v pracovním poměru, určitě sepsaných na pracovním počítači a díky spolupráci kolegů?) a ne přímo konkrétní úřad v rámci své činnosti)
    MATEEJ
    MATEEJ --- ---
    /Třeba to někomu pomůže, když už jsem nad tím strávil tolik času.../

    Jaký dopad bude mít GDPR na běžné e-shopy z hlediska toho, jak má vypadat objednávkový formulář, zákazníkův profil a rozesílání obchodních sdělení?

    Minimální.


    Na moje otázky, jak GDPR zasáhne fungování běžných e-shopů a rozesílání obchodní nabídek, jsem našel odpovědi v knize Praktický průvodce GDPR.

    Praktický průvodce GDPR – Knihkupectví Neoluxor
    https://neoluxor.cz/odborne-knihy/prakticky-pruvodce-gdpr--271813/

    Jejím autorem je JUDr. Jiří Žůrek, ředitel Odboru pro styk s veřejností Úřadu na ochranu osobních údajů, kde se mimo jiné zabývá vyhodnocováním stížností a podnětů. Zjevně ví, o čem mluví, respektive tento pán je asi tím nejpovolanějším v republice z hlediska výkladu nejasností v této problematice.

    Takže:

    1) Osobní údaje získané prostřednictvím zákaznického vztahu lze používat k zasílání obchodních sdělení, protože to spadá do definice oprávněného zájmu, který tu zmiňoval HARALD. Tedy pokud ve vašem e-shopu v minulosti někdo nakoupil, můžete mu (hned, nebo i později) začít zasílat obchodní sdělení. Nepotřebujete k tomu jeho výslovný souhlas s tímto užitím jeho kontaktů. Musíte mu ovšem umožnit (snadno a přehledně) vznést námitku proti zpracování osobních údajů, jinými slovy, v každém zaslaném obchodním sdělení musí být možnost se od jejich odběru odhlásit. To vše platí už teď a bude to platit i za půl roku.

    2) Jelikož nelze definovat, jak dlouho takový zákaznický vztah trvá, je možné zasílat zákazníkům obchodní sdělení bez časového omezení, ovšem je nutné dodržet podmínku snadné odhlásitelnosti.

    3) Pokud by provozovatel chtěl rozesílat nabídky jiného druhu zboží, než prodává (a tedy než si u něj zákazníci běžně kupují), tak už se „nevejde“ do definice oprávněného zájmu a potřebuje jejich souhlas.

    4) Pokud si kvůli bodu 3 (jinak to nepotřebuje) bude provozovatel zajišťovat souhlas se zasíláním nabídek prostřednictvím webového formuláře („Zde zadejte svůj e-mail a budou Vám zasílány naše novinky“), měl by uživateli přijít potvrzovací link, kterým souhlas potvrdí, aby se zabránilo tomu, že tam někdo zadá jeho e-mail bez jeho vědomí. Tady bych zdůraznil to „měl by“, podle mě se nejedná o povinnost, ale pouze o slušnost.

    5) Zároveň platí, že ke zpracování osobních údajů pro účel splnění objednávky nepotřebuje provozovatel e-shopu souhlas zákazníka, protože jejich zpracování je nezbytné pro splnění kupní smlouvy.

    6) Z bodů 5) a 1) vyplývá, že technicky vzato není nutné mít v rámci objednávkového formuláře checkbox „Mám zájem o zasílání novinek“, ať už předzaškrtnutý nebo ne, protože osobní údaje získané prostřednictvím realizovaných objednávek může obchodník použít i bez souhlasu k rozesílání obchodních nabídek. Ale je slušné a vstřícné vůči zákazníkům to tam mít.

    7) „Šedou zónou“ jsou registrace zákazníků, protože když se zákazník registruje, tak to ještě nemusí nutně znamenat, že si hned i něco koupí a že hned vznikne kupní smlouva nebo zákaznický vztah (pouhým projevením zájmu ze strany zákazníka zákaznický vztah nevzniká). Nicméně bod o zpracování z důvodu plnění smlouvy má takový dodatek: „zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů“. Ten by podle mě mohl pokrývat zpracování údajů zadaných při registraci, u které hned nedojde ke koupi. Protože zákazník se svobodně rozhodl, že koupi neprovede bez registrace, ale že se u nás napřed zaregistruje. My ho k registraci nenutíme, koupi může za stejných podmínek provést i bez registrace. Tedy on na svou vlastní žádost ( „na žádost tohoto subjektu údajů“ ) se zaregistruje (iniciuje „opatření před uzavřením smlouvy“ ) a my jím zadaná data uložíme ( „provedeme opatření přijatá před uzavřením smlouvy“ ). Ale tohle je jenom můj výklad, 100% jistý si tím nejsem.

    8) Co ovšem platí za všech okolností, to je informační povinnost, tedy zákazník musí být jasně a srozumitelně informován (asi stačí odkazem na Smluvní podmínky, ve kterých to bude napsané), jak a pro jaké účely se budou jeho osobní údaje zpracovávat, kdo je spravuje atd. Zde je seznam informací, které se tam musí objevit: http://gdpr.spir.cz/NARIZENI_EU_2016-679.html#clanek13 Také by bylo čistší, aby se Souhlasy se zpracováním osobních údajů nemíchaly s Obchodními podmínkami – zákazníkův souhlas s Obchodními podmínkami totiž nesmí znamenat, že tím poskytne Souhlasy se zpracováním, které jsou v Obchodních podmínkách zahrnuty, protože ty Souhlasy by pak byly neplatné. Nicméně jak vyplývá z předchozích bodů, při běžném provozu běžného e-shopu nejsou Souhlasy zapotřebí.

    9) Kdyby někdo chtěl být ale hóóódně pintlich, mohl by tvrdit, že a) souhlas pro zpracování údajů při plnění objednávky, b) souhlas s rozesíláním obchodních nabídek a c) souhlas s poskytnutím osobních údajů firmě, která bude objednávku přepravovat, jsou tři různé souhlasy, přičemž bez souhlasu a) a b) se běžný e-shop obejde díky zákaznickému vztahu, ale o souhlasu c) to už neplatí, ten musí mít. Ale já si myslím, že je přijatelné souhlasy a) a c) sloučit do jednoho (ale je nutné o tom zákazníka informovat).
    EXIS
    EXIS --- ---
    KOC256: Asi nebude potřeba souhlas, ale splnit informační povinnost musí. Ale je třeba si přečíst zákon a zjistit, co zákon vyžaduje za data a jestli si sázkovky neberou další data navíc..
    Kliknutím sem můžete změnit nastavení reklam