DWICH:
Je to jak pises. Zalezi na funkci...
Pokud ma posledni tlapka firemni telefon tak nemusi byt dulezite aby jeji cislo bylo zverejneno... Ale treba obchodni reditel nebo vedouci prodejny z povahy pracovni smlouvy (funkce) nemuze protestovat proti zverejneni...

U zakaznika jsme takto se o tom bavili... A takto muzes nahlizet na kazdy atribut (jmeno, telefon, mail, fotka, ...).

DWICH: no, mne to prijde taky strasne absurdni....

JOPS: Ja bych to nebral jako ultimatni pravidlo. Kdyz mam firmu, tak bud ja nebo muj obchodnik muze v klidu souhlasit a nejen to, dokonce byt i rad, ze na webu bude uvedeno jmeno, e-mail a telefon na realnou osobu, na kterou se potencialni zakaznik muze obratit.

Jinak by vsichni na webech museli mit jen kontaktni formular, obecny e-mail na info@ a telefon na recepci, kde by se ti recepcni nesmela ani predstavit natoz pak prozradit jmeno obchodniho zastupce :)

MARTEN: kdyz jsem delal v predchozi firme, tak jsme na webu meli vystaveno jmeno, prijmeni, mejl a pevnou linku.

Pred 10 lety se to davalo pryc, protoze to odporovalo pravidlum na ochranu osobnich udaju. Mejl, i telefon je tak trochu osobni udaj i kdyz je to firemni.

Z meho pohledu strasna picovina, ale pravidla jsou pravidla...

KOC256: S tim poslednim souhlas, podobnou odpoved mam na vsechny dotazy, ktere jsou predevsim kolem internetu.

U toho jmeno.prijmeni jsem si rikal, ze email je porad majetkem firmy. Tedy adresa. Pouze ji ma nekdo danou k pouzivani. Nedej boze, kdyz clovek odejde, po nem nastoupi nekdo se stejnym jmenem a tuto adresu zdedi. Ale jak pises, budou to dohady a mozna se okecaji obe moznosti.

MARTEN:
Ano.
jmeno+prijmeni+firma uz dost dobre dokaze identifikovat konkretni osobu.

support@ uplne ne.

U reditel@firma.cz je to diskutabilni...

Jako zajimavy priklad nam byl na "skoleni" ukazan priklad firmy Lanex. Kdy pak kontaktni stranka vypada nasledovne:
Kontakt - LANEX a.s.
http://www.lanex.cz/kontakt

Ale sam pravnik vzdy rikal: "Pockejte za 5 let az bude nejaky judikat. Do te doby jsou to jen dohady."

Zajimala by mne jedna vec. U GDPR jde o ochranu osobnich udaju. V tomto pripade treba o email. Je email osobni udaj, pokud jde o firemni email? Je tam rozdil, pokud pujde o email support@firma.cz a jmeno.prijmeni@firma.cz? Jen tak ze zvedavosti.

BULHI:
BULHI:
Pokud nedelas hostera ty tak jsi v klidu :)
Hosting z principu smluvniho vztahu ma pristup k datum. Abys byl v klidu ty, tak by sis mel max nechat jima potvrdit, ze jsou GDPR ready... vice tomu ty asi nedas... (meli by mit sifrovane zalohy. a mel by byt nejaky mechanismus anonymizace/likvidace dat pri pripadnem obnoveni ze zalohy - to ale nejspise bez tebe nepujde).

Co se tyce dochazky...
Zakladem je mit ty procesy sepsane ve smernicichc... Napis nekde ze k tem datum maji pristup jen TA a TA osoba protoze "..." a treba ty jako admin a pak ze ty udaje co tam mate opravdu potrebujete...
Treba bydliste by v ramci dochazky byt nemelo (neni potreba)... A takto si rekni, zda tam dany udaj potrebujes nebo ne...

BULHI: to zapomenutí není všemocné. Pokud můžeš, a ničemu to nevadí, anonymizovat jméno tak to udělej. Podle mě bych id null rozhodně nedával a měl bych to ošetřený vyjádřením od účetní.

DELVIT: jo pristup ma jen management a mzdova ucetni, to je podle me v cajku.. zamestnanci podepisou souhlas, to je taky osetreny.. ale jde mi o to, jak dukladny musi bejt to pripadny zapomenuti, kdyby o to nekdo pozadal (a jestli je tohle vubec treba resit).. vicemene jestli staci jen anonymizovat jmeno, ale muzu tam porad nechat vsechny zaznamy.. cili kde bude jasny, ze tohle je nejakej zamestnanec s id = 125, ale jeho jmeno jsme zapomneli. Nebo musim id nastavit na null, aby se to nedalo nijak zpetne spojit s jednim clovekem. A nebo jestli se to musi fakt smazat uplne.

BULHI: to záleží co se hostuje. Smluvní ošetření nezaškodí. Nemůžeš transparentně šifrovat? U toho druhého bych osobně řekl, že jsou to data potřebná pro chod firmy, takže by dobré, aby k tomu měl přístup nezbytný počet lidí a ne nikdo zbytečně navíc (vědět kdo to potřebuje vědět a proč). Navíc zaměstnanec či brigádník by to měl mít uvedeno ve smlouvě.

Pratele mohl by mi trochu nekdo osvetlit dva prakticky problemy z pohledu vyvojare? V prvni rade porad nechapu, jak je to s hostingem. Maji pochopitelne pristup uplne ke vsemu, cili je treba to s nima nejak smluvne osetrit, ze se na to proste nebudou koukat? :) Nebo jak to funguje?

A druha vec - budu predelavat ted pro jednoho klienta aplikaci na evidenci dochazky. Jednotlivi zamestnanci tam nemaj vlastni ucty, vyplnuje to manazer prodejny (jde o sit obchodu). Sledujeme o nich jen jmeno, nejaky jejich interni firemni cislo a pak samozrejme udaje, kdy teda realne byli v praci. Tohle samozrejme muzu velmi snadno vyexportovat, kdyby to nekdo chtel videt, ale jak je to s tim pravem na smazani v pripade dat tohodle typu? Nemuze prece zamestnanec chtit po firme, aby zapomnela, ze tam kdy pracoval, ne? Na zaklade tech dat se pocitaji mzdy, nesedely by pak reporty atd. Muzu to jmeno anonymizovat, nicmene z tech dat porad pujde asi poznat, o koho slo, zejo.. ve smyslu "jo tohle bude Tonda, protoze to byl brigadnik a chodil jen v utery a ve ctvrtek"

MATEEJ: Cituji z knihy Praktický průvodce GDPR:

1.2.2 Kdy lze obchodní sdělení zasílat?

V úvahu přichází prakticky dvě možnosti, na základě kterých lze šířit obchodní sdělení. První je tzv. zákaznická výjimka a druhou je souhlas uživatele.

V rámci zákaznické výjimky, upravené v paragrafu 7 odst. 3 zákona o některých službách informační společnosti, lze elektronickou cestou šířit obchodní sdělení týkající se vlastních obdobných výrobků nebo služeb na e-mailové (a jiné elektronické kontakty) zákazníků získané v souvislosti s prodejem výrobku nebo služby. Zákaznická výjimka je tak omezena pouze na obchodní sdělení, jehož obsahem jsou vlastní obdobné výrobky či služby. V rámci zákaznické výjimky nelze posílat obchodní sdělení třetích osob či v jejich prospěch.

V následujícím odstavci se řeší, že zákazník nicméně musí mít jasnou a snadnou možnost takové zasílání odmítnout, konkrétně je jmenován opt-out princip.

V dalším odstavci se říká, že dotaz na dostupnost nebo parametry zboží nestačí k vytvoření zákaznického vztahu, stejně jako téměř, ale ne úplně dokončená objednávka. Takového zákazníka nesmí e-shop oslovit ani ve stylu "nedokončil jste objednávku v našem e-shopu, tady máte slevový kupon, třeba vám pomůže se rozhodnout, jestli to zboží opravdu chcete" (pokud jeho kontakt nemáš z nějakého předchozího nákupu).

V dalším odstavci se řeší, že kdyby chtěl provozovatel posílat stejná obchodní sdělení lidem, kteří s ním nejsou v zákaznickém vztahu, může k tomu získat souhlas přes webový formulář (viz bod 4) zde [ MATEEJ @ GDPR - mýty, rady, konzultace ]

Stejně tak si může provozovatel obstarat souhlas při nákupu zákazníka, pokud mu z nějakého důvodu ona zákaznická výjimka nestačí (protože by s ním chtěl dělat ankety nebo jiné složitější věci), může to tak udělat, ale musí tam být příslušný checkbox a musí to splňovat podmínky dobrovolnosti, informovanosti, nepodmíněnosti atd.

A o pár stran dřív se řeší, po jakou dobu trvá zákaznický vztah pro účely této výjimky. Ten jednoznačně vzniká realizovaným nákupem, respektive odesláním objednávky, ale na to, kdy končí, bychom jednotnou odpověď hledali obtížně, a z tohoto důvodu není pro trvání zákaznického vztahu stanoven limit, ale místo toho je vhodné vycházet z opt-out principu - zákazník musí mít možnost kdykoli a jednoduše vyslovit námitku proti zpracování pro účely přímého marketingu, prostě zrušit odběr newsletterů. (A je to skutečně formulováno takto, ne že má mít možnost kdykoli "odvolat svůj souhlas", protože k rozesílání na základě zákaznického vztahu a zákaznické výjimky není žádný souhlas zapotřebí.)

O zasílání obchodních sdělení tam je ještě jedna zcela explicitní pasáž. Přepíšu ji, až budu u kompu.

ZBYNEK: První bod, který ti přijde v rozporu s GDPR, vychází přímo z textu GDPR:

Článek 6:

1. Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:

a) subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;

b) zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;

c) zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;

d) zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;

e) zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;

f) zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.

Pro zákonné zpracování osobních údajů pro účely příjmu a odbavování objednávek tedy nepotřebuješ nutně souhlasy, stačí, že splňuješ podmínku b), to z tohoto Článku jasně vyplývá. (V případě e-shopu jde o kupní smlouvu.)

Použití zákaznických kontaktů z e-shopu k rozesílání newsletterů a nabídek:

Bod f), zpracování pro účely oprávněných zájmů, zmínil už HARALD [ HARALD @ GDPR - mýty, rady, konzultace ] Vím, že se v GDPR orientuje jako profesionál, ale na druhou stranu on sám neimplementuje GDPR do e-shopů a navíc píše, že pod to spadá "vše, co správce dat dokáže obhájit", což je dost neurčité, takže jsem se snažil tuto informaci ověřit.

Něco jsem se dozvěděl už z této Metodiky pro provozování e-shopů od UOOU:

https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=7278

Viz třeba Příklad na s. 8, nebo Kapitola IV. Souhlas se zpracováním osobních údajů na s. 12, na kterou odkazuješ. Obě Varianty mluví o souhlasech, které provozovatel potřebuje, pokud chce osobní údaje zákazníků používat nad rámec plnění smluvních závazků (tedy nad rámec kupní smlouvy).
Detailněji to rozebírá Varianta 2. Podle ní můžeš mít v e-shopu možnost objednávky bez registrace, při které zákazníka musíš informovat, co se s jeho údaji bude dít, ale souhlas vůbec nepotřebuješ, protože k plnění smlouvy, nabízení obchodu a služeb a zasílání obchodních sdělení souhlas nepotřebuješ. Ale pokud chceš s jeho údaji dělat složitější věci - průzkumy trhu, nabízení slev/slevových karet, poskytnutí údajů dalším subjektům apod. - musíš si opatřit souhlasy.

Ale protože tato Metodika mluví o současném stavu, tak jsem si ještě potřeboval ověřit, zda to tak bude i po zavedení GDPR, a to jsem si ověřil v té knížce, ze které ocituji aspoň jednu větu, která je v ní uvedena dokonce tučně:

Oprávněný zájem na uplatnění přímého marketingu bud odůvoditelný zejména vůči zákazníkům správce, u nichž existuje zákaznický vztah a je tedy do určité míry oprávněným zájmem správce uplatnit vůči zákazníkovi přímý marketing.

MATEEJ: Neřeším prachy, ale stránky, resp. zabitej čas... Už takhle jsem těma sračkama zabil víc času než je zdrávo :-(

https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=7278 strana 12, kapitola IV, podle obou variant musím oddělit nákup od "marketingového souhlasu" (pokud řešíme eshopy). Rád se nechám přesvědčit o opaku, ale prosím o konkrétní odkaz, přesnou citaci.

ZBYNEK: Mně se taky strašně nechtělo ty prachy dávat, protože ta Praktická část, týkající se tématu, o kterém píšu, má rozsah 7 stran... Nicméně na těch sedmi stranách autor velmi jasně říká, jak to s těmi e-sopy je, a byly to přesně ty informace, které jsem potřeboval, a které odpovídají textu GDPR

L_2016119CS.01000101.xml
http://gdpr.spir.cz/NARIZENI_EU_2016-679.html#clanek13

i textům předcházejícím:

https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=7278

Jediné body, kde si nejsem úplně jistý, jsou body 7 a 9.