• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    EXISGDPR - mýty, rady, konzultace
    MIKEFINDER
    MIKEFINDER --- ---
    HARALD: Pro kdejakou malou obec je likvidační i pokuta menší než 3 miliony...
    HARALD
    HARALD --- ---
    OLAV: No jo. Ale UOOU už vyhlásil, že nikdy nedal pokutu vyšší než 3 miliony a nechce na to nic měnit.
    OLAV
    OLAV --- ---
    Už vím, proč tak panikaří

    Metodické doporučení k činnosti obcí k organizačně-technickému zabezpečení funkce
    pověřence pro ochranu osobních údajů ....:

    Za porušení povinnosti ustanovit pověřence, ale i dalších povinností stanovených v článcích 37, 38 nebo 39 nařízení, tj. za porušení pravidel vztahujících se k pověřenci pro ochranu osobních údajů, hrozí povinným subjektům uložení pokuty do výše až 10 mil EUR (viz článek 83 odst. 4 nařízení)
    HARALD
    HARALD --- ---
    OLAV: Tak na něčem konzultant vydělávat musí. Představ si, kolik by mu zaplatili, kdyby řekl, že to můžou nechat jak to je.
    OLAV
    OLAV --- ---
    HARALD: Díky moc, to zní dobře. Mail o GDPR se rozesílat bude, odhlásit lze v každém emailu. Ještě to nějak zvyrazníme.

    Mimochodem včera jsem byl na úřadě a tam teda v souvislosti s GDPR je boží dopuštění. Kromě toho, že všichni panikaří (nové zámky na skříně atd.), tak si najmuli externího konzultanta na GDPR. Ten jim poradil. že např. na úřední desku se má vyvěšovat dokument tak, že se má vytisknout(!), fixou začernit osobní údaje a to pak nascanovat(!) a hodit na desku.

    To jsem jim řekl, že to odporuje vyhlášce o bezbariérové přístupnosti (vše musí být strojově čitelné) a metodickému pokynu o vedení ÚD a že mazání osobních údajů na webu se musí dělat už dávno.

    Takže ještě větší panika :)
    PULKA
    PULKA --- ---
    Petra Dolejšová a GDPR ve světě WordPressu z letošního WordCampu Praha 2018
    GDPR ve světě WordPressu od Petra Dolejšová - WordCamp Praha 2018
    http://www.youtube.com/watch?v=7jHMzObcc8U
    HARALD
    HARALD --- ---
    TRAVIX: Je to marný, je to marný, je to marný. :-)

    Vždyť jsem se v minulém příspěvku rozepsal, že to nemají brát přes souhlas, ale oprávněný zájem (na hladké fungování obce).
    TRAVIX
    TRAVIX --- ---
    HARALD: Nejsem si úplně jistý, jestli by tohle šlo. GDPR požaduje souhlas výslovný, nečinnost podle mě nelze uznat za řádný souhlas.
    TRAVIX
    TRAVIX --- ---
    OLAV: Můžeš zkusit tzv. lízátko. Řada firem nabízí výměnou za dodatečný souhlas nějaký benefit, aby to zákazníci lépe spolkli. (Což je ostatně jenom fér.) Otázka samozřejmě je, jestli můžete (a vůbec smíte) něco nabídnout...
    HARALD
    HARALD --- ---
    OLAV: GDPR dává celkem 6 zákonných titulů, podle kterých můžeš dělat nějaké zpracování. Udělení souhlasu s danou činností (v tomto případě rozesílání mailů) je jenom jeden z nich a pro danou oblast spíše hůře aplikovatelný.

    Druhou, a podle mne použitelnější, variantou je použít zákonný titul oprávněného zájmu. Je oprávněných zájmem obce / města zasílat informace svým občanům, zejména v případě, že to jsou upozornění ovlivňující jejich běžný život.
    Oprávněný zájem vyžaduje, aby se zhodnotil zájem vás jako města (chcete zasílat zprávy) a na druhé zájmy a základní práva těch, jejichž telefonní čísla / maily byste uchovávali ajimž byste posílali zprávy. V tomto příadě bych čekal výsledek, že zájem občanů je primárně dostávat tyto zprávy a újma jejich práv je minimální (pokud máte ta data nějak zabezpečena a nejsou široce přístupná).
    Oprávněný zájem ovšem vyžaduje, aby existovala možnost vznesení námitky (v lidské řeči, aby lidi z toho mohli vystoupit). O možnosti vznést námitku musí být lidé informováni. A právě k tomu jsem se vztahoval ve své odpovědi níže. Pokud lidem řeknete, že vstupuje v platnost GDPR, a ta vám dává povinnost je upozornit, že pokud chtějí, mohou se z odběru odhlásit a mohou to udělat takhle a takhle a pokud chtějí dostávat zprávy i nadále, ať nedělají nic.
    Formální podmínky jste jako radnice splnili a zprávy mohou chodit dál.

    Tenhle postup by měl stačit na to, že kdyby si někdo stěžoval nebo přišla kontrola z UOOU (hahaha, to nebudou stíhat), tak nedostanete pokutu nebo napomenutí. Není vyloučeno, že v dané oblasti UOOU zaujme jiný přístup, ale jak sám úřad už oznámil, tak tam, kde něco činili a nevykašlali se na GDPR jako na celek, tam nebude, minimálně do doby vytvoření precedentů, přísný a v případě nálezu bude dávat doporučení na nápravu, než přistoupí k sankcím.
    HARALD
    HARALD --- ---
    OLAV: Promiň, mám trochu nátřask v práci (protože gdpr) a nestíhám psát na nyx. Zkusím ti o víkendu odpovědět. Existuje i jiná cesta, než posbírat souhlasy.
    KASUMI
    KASUMI --- ---
    z FB, pobavilo :D

    z fb

    Velice nás těší Váš zájem o článek týkající se ochrany osobních údajů, GDPR a služeb informační společnosti. V případě, že si chcete článek přečíst celý, vyplňte nám níže Vaše údaje a my Vám článek bezplatně na 24 hodin zpřístupníme. Vaše osobní údaje budou využity k marketingovým účelům, sociálním průzkumům, nabídkám služeb, zasílání pravidelných novinek a budou zpracovávány naší obchodní společností, se sídlem v Irsku a rovněž dalšími obchodními společnostmi, které s XXX tvoří koncern.

    Jméno, příjmení, datum narození, adresa, e-mail, telefon.
    OLAV
    OLAV --- ---
    DORON: Můžou, ale obecně je to prostě zbytečný náklad a myslím, že to vůbec řešit nebudou. Takových nařízení jsou fakt stovky a v těch obcích není třeba ani kanalizace a to je tlačí víc. Pověřenec asi bude ta úřednice (stejně těch funkcí má milion) a plnit se to bude max. na papíře, a to jen kdyby se někdo ptal.

    Já se snažím jen o to, co je vidět hned z úřadu od stolu nebo v čem by se mohli šťourat prudiči a to je web. Nepředpokládám, že by někdo objížděl úřady.

    (a kdyby se někdo divil, proč lidi volí jak volí, tak GDPR je krásnou ukázkou - sice zaměřeno naFB, Google a přeprodejce, ale mimo jiné to padne na ty úřednice a starosty => večer v hospodě se celá obec dozví o zlé EU a máme tu czexit)
    DORON
    DORON --- ---
    OLAV: Není to univerzální řešení, ale obce se můžou spojit a najmout si nějakého toho pověřence společně, ne?
    OLAV
    OLAV --- ---
    Jinak jestli to někomu pomůže:
    Systémová analýza obcí - Ochrana osobních údajů
    http://www.mvcr.cz/gdpr/clanek/systemova-analyza-obci.aspx
    Tam teda nic o rozesílkách emailů z webu není.

    Ale je tam aspoň vidět, kolik toho je potřeba jen s GDPR a už vidím ty úřednice (většinou je tam 1 a na půl úvazku + neuvolněný starosta), jak toto všechno budou řešit. Jasně, můžou si najmout někoho, ale ty obce mají rozpočet třeba 3 miliony a z toho platí obrovské spousty věcí.

    Takže velké množství nařízení se prostě nechá vyhnít a GDPR se mezi to určitě zařadí.

    HARALD: Já to pochopil tak, že pokud nepotvrdí do května, vyřadit.
    Což by byl průser a vidím ty davy rozzuřených důchodců, kterým nepřišlo na email oznámení o plánovaném výpadku elektřiny. Už stalo se několikrát např. když se přecházelo z jedné rozesílky na jinou a chtěl jsem po lidech, aby se aktivně zaregistrovali - polovina to neudělala. A to bylo několikrát ve zpravodaji, ve staré rozesílce i na webu.
    HARALD
    HARALD --- ---
    Koukal jsem, že Piráti nechali vypracovat GDPR návod pro obce. Uvidím v úterý jejich garanta, zeptám se ho jak na maily.

    Dostatečné by ale mělo být poslat mail všem na seznama, že GDPR a že pokud se chtějí odhlásit, tak ať kliknou na tento link.
    KOC256
    KOC256 --- ---
    OLAV:
    No měl bys to chtít...
    Můžeš trochu zafixlovat a naplnit to zpětně, když víš že to není žádná obchodní sračka...

    Jinak asi balanční pravidlo (něco za něco) by zde mohlo u kontrol projít...

    A hlavně si to ošetřit do budoucna. Ať jde vidět hlavně snaha, že na to neprdíš...
    OLAV
    OLAV --- ---
    DWICH: Datum a čas nemám. Takže znovu dát souhlas = naštvaní obyvatelé obce/města, protože plno lidí nepochopí, co se po nich chce a proč a pak jim najednou přestane chodit a to by byl obrovský problém.

    Plno důchodům se to třeba nastavovalo na úřadě bez nějakýho ptaní. A taky jaký byly průsery, když jim nic nechodilo.

    Asi to proberu s jednotlivýma úřadama individuálně a upozorním na povinnost.

    Např. bezbariérovost webů, která už 10 let je ve vyhlášce pod pokutou 2 mil. a nikdo to neřeší (ani třeba na praha.eu).
    DWICH
    DWICH --- ---
    OLAV: Jestli tohle jsi schopen doložit, že máš datum/čas, kdy se každý člověk registroval a že jsi mu poslal e-mail na tu adresu, ať si ověříš, že ten e-mail zadal opravdu on a ne někdo místo něj, zároveň můžeš nějak prokázat, že ty lidi věděli, do čeho jdou, tak nemáš problém.

    Jestli to prokázat nemůžeš, tak můžeš mít problém, protože "lidi se dobrovolně přihlašovali přes formulář" může říct každý, ať je to pravda nebo ne.

    Najít se to dá přes: gdpr double opt-in
    OLAV
    OLAV --- ---
    Vím, že se to tu určitě řešilo, ale nemůžu to najít.
    Dotaz: Je potřeba znovu obeslat lidi, co odebírají aktuality, aby dali souhlas se zpracováním?
    Jde o stránky obce, lidi se dobrovolně přihlašovali přes formulář a můžou se kdykoliv odhlásit 1 klikem v každém mailu nebo i na stránkách. Při registraci bylo popsáno, co jim bude chodit a jak zrušit odběr.

    (Nikde jsem nic nevygooglil, všude jen strašení GDPR + konzultace za milion)
    Kliknutím sem můžete změnit nastavení reklam