• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    EXISGDPR - mýty, rady, konzultace
    GDPR - General Data Protection Regulation - Nová legislativa na ochranu osobních údajů, která začne platit od 25. 5. 2018!
    rozbalit záhlaví
    MATEEJ
    MATEEJ --- ---
    N_I: Ke zpracování osobních údajů pro účel splnění objednávky nepotřebuje provozovatel e-shopu souhlas zákazníka, protože jejich zpracování je nezbytné pro splnění kupní smlouvy. Nicméně v obchodních podmínkách (nebo ještě lépe vedle nich) byste měli mít napsáno, co se s těmi údaji bude dít, např. že je za účelem zaslání objednaného zboží předáte České poště nebo PPL.

    [ MATEEJ @ GDPR - mýty, rady, konzultace ]

    Jinak prvním objednáním se vytvoří zákaznický vztah, který ti umožňuje zákazníkovy údaje uchovat a dokonce je i používat k jeho oslovení s analogickou nabídkou bez jeho souhlasu, to je ten tzv. oprávněný zájem - když si od tebe někdo jednou koupil boty, tak máš oprávněný důvod se domnívat, že bude mít zájem o následné nabídky bot, a to tak dlouho, dokud ti nedá vědět, že už nemá zájem.

    Ovšem pokud vy pouze zprostředkováváte check-in systém, tak by se na vás předchozí odstavec možná nemusel vztahovat a vy byste možná měli po skončení obchodní smlouvy (tedy po skončení 2leté záruční lhůty) jeho údaje nebo aspoň některé (telefon) smazat. Jinak zákazníkovy údaje použité v účetnictví musíte uchovat po tu dobu, po kterou musíte ze zákona archivovat účetní doklady.
    DANYSEK
    DANYSEK --- ---
    N_I: jde o to, jak to chces zpracovavat... pokud je rec jen o zpracovani udaju po dobu konani eventu, pujde o opravneny zajem a tam neni co resit... pokud bys to chtel pouzit i k dalsim vecem (tzn. mimo organizacnich veci spojenych s tim eventem), tak uz na to nejaky souhlas potrebujes (jiny) souhlas... prave o tom to IMHO je - aby si na zaklade "nutneho" zpracovani (kvuli eventu) ty udaje dal nepouzival k jinym vecem nad ten nezbytny ramec - aniz by s tim ten subjekt souhlasil... tak jak casto byvalo zvykem.
    KASUMI
    KASUMI --- ---
    N_I: k tomu, abys jim poslal vstupenky, nebudes imho potrebovat souhlas - pac tam je ten titul dany tvoji povinnosti ze smlouvy

    jde o to, ze se ted otaci stavajici praxe, ze souhlasu ma byt co nejmene
    pokud mas jiny titul, souhlas vlastne ani nesmis/nemas vyzadovat
    N_I
    N_I --- ---
    prosim o nazor:

    GDPR nově!

    "Z pohledu obecného nařízení bude platný jen takový souhlas, který byl shromážděn transparentním způsobem, a dotčená osoba jej udělila svobodně. Za neplatný je nutno naopak považovat každý souhlas, kdy byl zákazník při získání služby či výrobku nucen zároveň souhlasit se zpracováním osobních údajů (např. souhlasem zakomponovaným v obchodních podmínkách)."


    Náš příklad - registujeme účastník eventu, posíláme jim vstupenky...chceme po nich ať odškrtnou to že souhlasasí se zpracováním osobních údajů----když to nezatrhnou..na akci se nedostanou...je to pak nucení?

    bez tohoto souhlasu je ale na akci nemůžeme pustit....nemáme je jak identifikovat..

    ta hláška jde jakoby proti sobě...
    HARALD
    HARALD --- ---
    Hodil jsem skupině beta čtenářů návod na gdpr pro živnostníky, malé firmy a občanská sdružení.
    Obsahově to považuju za hotové, ladit budu texty, formulace.

    Pokud vás to zajímá, tady je adresa:
    Návod jak na GDPR - BETA text
    https://sites.google.com/site/jaknagdpr/
    HARALD
    HARALD --- ---
    MIKEFINDER: Možná pomůže, když si to vyjádření přečtete. UOOU zdůrazňuje zásadu přiměřenosti postihu.

    Teď musím lovit z hlavy, ale postup šetření je čtyřstupňový. Zjištění, upozornění,, výstraha, pokuta. K té UOOU sáhne jen při jasných a fragrantních porušeních (opakovaná vyjádření představitelů uoou) nebo když nezaberou prvni tři stupně a nedojde k nápravě.

    Hledejte na stránkách uoou dokument nazvaný zhruba 10 mýtů o gdpr.
    MIKEFINDER
    MIKEFINDER --- ---
    HARALD: Pro kdejakou malou obec je likvidační i pokuta menší než 3 miliony...
    HARALD
    HARALD --- ---
    OLAV: No jo. Ale UOOU už vyhlásil, že nikdy nedal pokutu vyšší než 3 miliony a nechce na to nic měnit.
    OLAV
    OLAV --- ---
    Už vím, proč tak panikaří

    Metodické doporučení k činnosti obcí k organizačně-technickému zabezpečení funkce
    pověřence pro ochranu osobních údajů ....:

    Za porušení povinnosti ustanovit pověřence, ale i dalších povinností stanovených v článcích 37, 38 nebo 39 nařízení, tj. za porušení pravidel vztahujících se k pověřenci pro ochranu osobních údajů, hrozí povinným subjektům uložení pokuty do výše až 10 mil EUR (viz článek 83 odst. 4 nařízení)
    HARALD
    HARALD --- ---
    OLAV: Tak na něčem konzultant vydělávat musí. Představ si, kolik by mu zaplatili, kdyby řekl, že to můžou nechat jak to je.
    OLAV
    OLAV --- ---
    HARALD: Díky moc, to zní dobře. Mail o GDPR se rozesílat bude, odhlásit lze v každém emailu. Ještě to nějak zvyrazníme.

    Mimochodem včera jsem byl na úřadě a tam teda v souvislosti s GDPR je boží dopuštění. Kromě toho, že všichni panikaří (nové zámky na skříně atd.), tak si najmuli externího konzultanta na GDPR. Ten jim poradil. že např. na úřední desku se má vyvěšovat dokument tak, že se má vytisknout(!), fixou začernit osobní údaje a to pak nascanovat(!) a hodit na desku.

    To jsem jim řekl, že to odporuje vyhlášce o bezbariérové přístupnosti (vše musí být strojově čitelné) a metodickému pokynu o vedení ÚD a že mazání osobních údajů na webu se musí dělat už dávno.

    Takže ještě větší panika :)
    PULKA
    PULKA --- ---
    Petra Dolejšová a GDPR ve světě WordPressu z letošního WordCampu Praha 2018
    GDPR ve světě WordPressu od Petra Dolejšová - WordCamp Praha 2018
    http://www.youtube.com/watch?v=7jHMzObcc8U
    HARALD
    HARALD --- ---
    TRAVIX: Je to marný, je to marný, je to marný. :-)

    Vždyť jsem se v minulém příspěvku rozepsal, že to nemají brát přes souhlas, ale oprávněný zájem (na hladké fungování obce).
    TRAVIX
    TRAVIX --- ---
    HARALD: Nejsem si úplně jistý, jestli by tohle šlo. GDPR požaduje souhlas výslovný, nečinnost podle mě nelze uznat za řádný souhlas.
    TRAVIX
    TRAVIX --- ---
    OLAV: Můžeš zkusit tzv. lízátko. Řada firem nabízí výměnou za dodatečný souhlas nějaký benefit, aby to zákazníci lépe spolkli. (Což je ostatně jenom fér.) Otázka samozřejmě je, jestli můžete (a vůbec smíte) něco nabídnout...
    HARALD
    HARALD --- ---
    OLAV: GDPR dává celkem 6 zákonných titulů, podle kterých můžeš dělat nějaké zpracování. Udělení souhlasu s danou činností (v tomto případě rozesílání mailů) je jenom jeden z nich a pro danou oblast spíše hůře aplikovatelný.

    Druhou, a podle mne použitelnější, variantou je použít zákonný titul oprávněného zájmu. Je oprávněných zájmem obce / města zasílat informace svým občanům, zejména v případě, že to jsou upozornění ovlivňující jejich běžný život.
    Oprávněný zájem vyžaduje, aby se zhodnotil zájem vás jako města (chcete zasílat zprávy) a na druhé zájmy a základní práva těch, jejichž telefonní čísla / maily byste uchovávali ajimž byste posílali zprávy. V tomto příadě bych čekal výsledek, že zájem občanů je primárně dostávat tyto zprávy a újma jejich práv je minimální (pokud máte ta data nějak zabezpečena a nejsou široce přístupná).
    Oprávněný zájem ovšem vyžaduje, aby existovala možnost vznesení námitky (v lidské řeči, aby lidi z toho mohli vystoupit). O možnosti vznést námitku musí být lidé informováni. A právě k tomu jsem se vztahoval ve své odpovědi níže. Pokud lidem řeknete, že vstupuje v platnost GDPR, a ta vám dává povinnost je upozornit, že pokud chtějí, mohou se z odběru odhlásit a mohou to udělat takhle a takhle a pokud chtějí dostávat zprávy i nadále, ať nedělají nic.
    Formální podmínky jste jako radnice splnili a zprávy mohou chodit dál.

    Tenhle postup by měl stačit na to, že kdyby si někdo stěžoval nebo přišla kontrola z UOOU (hahaha, to nebudou stíhat), tak nedostanete pokutu nebo napomenutí. Není vyloučeno, že v dané oblasti UOOU zaujme jiný přístup, ale jak sám úřad už oznámil, tak tam, kde něco činili a nevykašlali se na GDPR jako na celek, tam nebude, minimálně do doby vytvoření precedentů, přísný a v případě nálezu bude dávat doporučení na nápravu, než přistoupí k sankcím.
    HARALD
    HARALD --- ---
    OLAV: Promiň, mám trochu nátřask v práci (protože gdpr) a nestíhám psát na nyx. Zkusím ti o víkendu odpovědět. Existuje i jiná cesta, než posbírat souhlasy.
    KASUMI
    KASUMI --- ---
    z FB, pobavilo :D

    z fb

    Velice nás těší Váš zájem o článek týkající se ochrany osobních údajů, GDPR a služeb informační společnosti. V případě, že si chcete článek přečíst celý, vyplňte nám níže Vaše údaje a my Vám článek bezplatně na 24 hodin zpřístupníme. Vaše osobní údaje budou využity k marketingovým účelům, sociálním průzkumům, nabídkám služeb, zasílání pravidelných novinek a budou zpracovávány naší obchodní společností, se sídlem v Irsku a rovněž dalšími obchodními společnostmi, které s XXX tvoří koncern.

    Jméno, příjmení, datum narození, adresa, e-mail, telefon.
    OLAV
    OLAV --- ---
    DORON: Můžou, ale obecně je to prostě zbytečný náklad a myslím, že to vůbec řešit nebudou. Takových nařízení jsou fakt stovky a v těch obcích není třeba ani kanalizace a to je tlačí víc. Pověřenec asi bude ta úřednice (stejně těch funkcí má milion) a plnit se to bude max. na papíře, a to jen kdyby se někdo ptal.

    Já se snažím jen o to, co je vidět hned z úřadu od stolu nebo v čem by se mohli šťourat prudiči a to je web. Nepředpokládám, že by někdo objížděl úřady.

    (a kdyby se někdo divil, proč lidi volí jak volí, tak GDPR je krásnou ukázkou - sice zaměřeno naFB, Google a přeprodejce, ale mimo jiné to padne na ty úřednice a starosty => večer v hospodě se celá obec dozví o zlé EU a máme tu czexit)
    DORON
    DORON --- ---
    OLAV: Není to univerzální řešení, ale obce se můžou spojit a najmout si nějakého toho pověřence společně, ne?
    OLAV
    OLAV --- ---
    Jinak jestli to někomu pomůže:
    Systémová analýza obcí - Ochrana osobních údajů
    http://www.mvcr.cz/gdpr/clanek/systemova-analyza-obci.aspx
    Tam teda nic o rozesílkách emailů z webu není.

    Ale je tam aspoň vidět, kolik toho je potřeba jen s GDPR a už vidím ty úřednice (většinou je tam 1 a na půl úvazku + neuvolněný starosta), jak toto všechno budou řešit. Jasně, můžou si najmout někoho, ale ty obce mají rozpočet třeba 3 miliony a z toho platí obrovské spousty věcí.

    Takže velké množství nařízení se prostě nechá vyhnít a GDPR se mezi to určitě zařadí.

    HARALD: Já to pochopil tak, že pokud nepotvrdí do května, vyřadit.
    Což by byl průser a vidím ty davy rozzuřených důchodců, kterým nepřišlo na email oznámení o plánovaném výpadku elektřiny. Už stalo se několikrát např. když se přecházelo z jedné rozesílky na jinou a chtěl jsem po lidech, aby se aktivně zaregistrovali - polovina to neudělala. A to bylo několikrát ve zpravodaji, ve staré rozesílce i na webu.
    HARALD
    HARALD --- ---
    Koukal jsem, že Piráti nechali vypracovat GDPR návod pro obce. Uvidím v úterý jejich garanta, zeptám se ho jak na maily.

    Dostatečné by ale mělo být poslat mail všem na seznama, že GDPR a že pokud se chtějí odhlásit, tak ať kliknou na tento link.
    KOC256
    KOC256 --- ---
    OLAV:
    No měl bys to chtít...
    Můžeš trochu zafixlovat a naplnit to zpětně, když víš že to není žádná obchodní sračka...

    Jinak asi balanční pravidlo (něco za něco) by zde mohlo u kontrol projít...

    A hlavně si to ošetřit do budoucna. Ať jde vidět hlavně snaha, že na to neprdíš...
    Kliknutím sem můžete změnit nastavení reklam