KOC256: Třeba na Českým hostingu mi řekli, že chystají prohlášení a snad že s lidma s vlastním serverem budou mít nějaký malý NDA nebo tak něco, že s tím půjdou ven během března.

SHORTY23: 1/ je trochu rozdil z pohledu firmy jednatele prezentovat a z pohledu jine firmy si delat databazi jednatelů... ...jen st tu nezamenujes dve veci...

2/ pokud jsi u active (velke firmy), tak se jich zeptej. Ti by meli byt pripraveni. A pak idealne tu prosim napis vysledek. Dik...

MIXXX: jako ze to nepodleha GDPR? Takze kdyz si udelam databazi jednatelu spolecnosti, tak GDPR nemusim resit? To mi nezni moc logicky...
Co se to u nas resilo, tak jakekoliv zpracovavani osobnich udaju tomu podleha. A osobni udaj viz dole - staci takove mnozstvi udaju, ktere identifikuje danou osobu (jmeno+prijmeni+telefon/email/etc.).

Diky za tipy ohledne hostingu - uz to nekdo resil v praxi (prohlaseni providera nebo neco obdobneho)? Mame cca 35 VPSek u Active24 a nejaky fyzicky pronajmy jinde... Udaje podlehajici GDPR tam lezi. Diky.

Kontakt např. na jednatele společnosti je OK a je to přímo spojené se společností a není to bráno jako údaj chráněný GDPR.

DWICH:
Je to jak pises. Zalezi na funkci...
Pokud ma posledni tlapka firemni telefon tak nemusi byt dulezite aby jeji cislo bylo zverejneno... Ale treba obchodni reditel nebo vedouci prodejny z povahy pracovni smlouvy (funkce) nemuze protestovat proti zverejneni...

U zakaznika jsme takto se o tom bavili... A takto muzes nahlizet na kazdy atribut (jmeno, telefon, mail, fotka, ...).

DWICH: no, mne to prijde taky strasne absurdni....

JOPS: Ja bych to nebral jako ultimatni pravidlo. Kdyz mam firmu, tak bud ja nebo muj obchodnik muze v klidu souhlasit a nejen to, dokonce byt i rad, ze na webu bude uvedeno jmeno, e-mail a telefon na realnou osobu, na kterou se potencialni zakaznik muze obratit.

Jinak by vsichni na webech museli mit jen kontaktni formular, obecny e-mail na info@ a telefon na recepci, kde by se ti recepcni nesmela ani predstavit natoz pak prozradit jmeno obchodniho zastupce :)

MARTEN: kdyz jsem delal v predchozi firme, tak jsme na webu meli vystaveno jmeno, prijmeni, mejl a pevnou linku.

Pred 10 lety se to davalo pryc, protoze to odporovalo pravidlum na ochranu osobnich udaju. Mejl, i telefon je tak trochu osobni udaj i kdyz je to firemni.

Z meho pohledu strasna picovina, ale pravidla jsou pravidla...

KOC256: S tim poslednim souhlas, podobnou odpoved mam na vsechny dotazy, ktere jsou predevsim kolem internetu.

U toho jmeno.prijmeni jsem si rikal, ze email je porad majetkem firmy. Tedy adresa. Pouze ji ma nekdo danou k pouzivani. Nedej boze, kdyz clovek odejde, po nem nastoupi nekdo se stejnym jmenem a tuto adresu zdedi. Ale jak pises, budou to dohady a mozna se okecaji obe moznosti.

MARTEN:
Ano.
jmeno+prijmeni+firma uz dost dobre dokaze identifikovat konkretni osobu.

support@ uplne ne.

U reditel@firma.cz je to diskutabilni...

Jako zajimavy priklad nam byl na "skoleni" ukazan priklad firmy Lanex. Kdy pak kontaktni stranka vypada nasledovne:
Kontakt - LANEX a.s.
http://www.lanex.cz/kontakt

Ale sam pravnik vzdy rikal: "Pockejte za 5 let az bude nejaky judikat. Do te doby jsou to jen dohady."

Zajimala by mne jedna vec. U GDPR jde o ochranu osobnich udaju. V tomto pripade treba o email. Je email osobni udaj, pokud jde o firemni email? Je tam rozdil, pokud pujde o email support@firma.cz a jmeno.prijmeni@firma.cz? Jen tak ze zvedavosti.

BULHI:
BULHI:
Pokud nedelas hostera ty tak jsi v klidu :)
Hosting z principu smluvniho vztahu ma pristup k datum. Abys byl v klidu ty, tak by sis mel max nechat jima potvrdit, ze jsou GDPR ready... vice tomu ty asi nedas... (meli by mit sifrovane zalohy. a mel by byt nejaky mechanismus anonymizace/likvidace dat pri pripadnem obnoveni ze zalohy - to ale nejspise bez tebe nepujde).

Co se tyce dochazky...
Zakladem je mit ty procesy sepsane ve smernicichc... Napis nekde ze k tem datum maji pristup jen TA a TA osoba protoze "..." a treba ty jako admin a pak ze ty udaje co tam mate opravdu potrebujete...
Treba bydliste by v ramci dochazky byt nemelo (neni potreba)... A takto si rekni, zda tam dany udaj potrebujes nebo ne...

BULHI: to zapomenutí není všemocné. Pokud můžeš, a ničemu to nevadí, anonymizovat jméno tak to udělej. Podle mě bych id null rozhodně nedával a měl bych to ošetřený vyjádřením od účetní.

DELVIT: jo pristup ma jen management a mzdova ucetni, to je podle me v cajku.. zamestnanci podepisou souhlas, to je taky osetreny.. ale jde mi o to, jak dukladny musi bejt to pripadny zapomenuti, kdyby o to nekdo pozadal (a jestli je tohle vubec treba resit).. vicemene jestli staci jen anonymizovat jmeno, ale muzu tam porad nechat vsechny zaznamy.. cili kde bude jasny, ze tohle je nejakej zamestnanec s id = 125, ale jeho jmeno jsme zapomneli. Nebo musim id nastavit na null, aby se to nedalo nijak zpetne spojit s jednim clovekem. A nebo jestli se to musi fakt smazat uplne.

BULHI: to záleží co se hostuje. Smluvní ošetření nezaškodí. Nemůžeš transparentně šifrovat? U toho druhého bych osobně řekl, že jsou to data potřebná pro chod firmy, takže by dobré, aby k tomu měl přístup nezbytný počet lidí a ne nikdo zbytečně navíc (vědět kdo to potřebuje vědět a proč). Navíc zaměstnanec či brigádník by to měl mít uvedeno ve smlouvě.

Pratele mohl by mi trochu nekdo osvetlit dva prakticky problemy z pohledu vyvojare? V prvni rade porad nechapu, jak je to s hostingem. Maji pochopitelne pristup uplne ke vsemu, cili je treba to s nima nejak smluvne osetrit, ze se na to proste nebudou koukat? :) Nebo jak to funguje?

A druha vec - budu predelavat ted pro jednoho klienta aplikaci na evidenci dochazky. Jednotlivi zamestnanci tam nemaj vlastni ucty, vyplnuje to manazer prodejny (jde o sit obchodu). Sledujeme o nich jen jmeno, nejaky jejich interni firemni cislo a pak samozrejme udaje, kdy teda realne byli v praci. Tohle samozrejme muzu velmi snadno vyexportovat, kdyby to nekdo chtel videt, ale jak je to s tim pravem na smazani v pripade dat tohodle typu? Nemuze prece zamestnanec chtit po firme, aby zapomnela, ze tam kdy pracoval, ne? Na zaklade tech dat se pocitaji mzdy, nesedely by pak reporty atd. Muzu to jmeno anonymizovat, nicmene z tech dat porad pujde asi poznat, o koho slo, zejo.. ve smyslu "jo tohle bude Tonda, protoze to byl brigadnik a chodil jen v utery a ve ctvrtek"

MATEEJ: Cituji z knihy Praktický průvodce GDPR:

1.2.2 Kdy lze obchodní sdělení zasílat?

V úvahu přichází prakticky dvě možnosti, na základě kterých lze šířit obchodní sdělení. První je tzv. zákaznická výjimka a druhou je souhlas uživatele.

V rámci zákaznické výjimky, upravené v paragrafu 7 odst. 3 zákona o některých službách informační společnosti, lze elektronickou cestou šířit obchodní sdělení týkající se vlastních obdobných výrobků nebo služeb na e-mailové (a jiné elektronické kontakty) zákazníků získané v souvislosti s prodejem výrobku nebo služby. Zákaznická výjimka je tak omezena pouze na obchodní sdělení, jehož obsahem jsou vlastní obdobné výrobky či služby. V rámci zákaznické výjimky nelze posílat obchodní sdělení třetích osob či v jejich prospěch.

V následujícím odstavci se řeší, že zákazník nicméně musí mít jasnou a snadnou možnost takové zasílání odmítnout, konkrétně je jmenován opt-out princip.

V dalším odstavci se říká, že dotaz na dostupnost nebo parametry zboží nestačí k vytvoření zákaznického vztahu, stejně jako téměř, ale ne úplně dokončená objednávka. Takového zákazníka nesmí e-shop oslovit ani ve stylu "nedokončil jste objednávku v našem e-shopu, tady máte slevový kupon, třeba vám pomůže se rozhodnout, jestli to zboží opravdu chcete" (pokud jeho kontakt nemáš z nějakého předchozího nákupu).

V dalším odstavci se řeší, že kdyby chtěl provozovatel posílat stejná obchodní sdělení lidem, kteří s ním nejsou v zákaznickém vztahu, může k tomu získat souhlas přes webový formulář (viz bod 4) zde [ MATEEJ @ GDPR - mýty, rady, konzultace ]

Stejně tak si může provozovatel obstarat souhlas při nákupu zákazníka, pokud mu z nějakého důvodu ona zákaznická výjimka nestačí (protože by s ním chtěl dělat ankety nebo jiné složitější věci), může to tak udělat, ale musí tam být příslušný checkbox a musí to splňovat podmínky dobrovolnosti, informovanosti, nepodmíněnosti atd.

A o pár stran dřív se řeší, po jakou dobu trvá zákaznický vztah pro účely této výjimky. Ten jednoznačně vzniká realizovaným nákupem, respektive odesláním objednávky, ale na to, kdy končí, bychom jednotnou odpověď hledali obtížně, a z tohoto důvodu není pro trvání zákaznického vztahu stanoven limit, ale místo toho je vhodné vycházet z opt-out principu - zákazník musí mít možnost kdykoli a jednoduše vyslovit námitku proti zpracování pro účely přímého marketingu, prostě zrušit odběr newsletterů. (A je to skutečně formulováno takto, ne že má mít možnost kdykoli "odvolat svůj souhlas", protože k rozesílání na základě zákaznického vztahu a zákaznické výjimky není žádný souhlas zapotřebí.)