ZVIRATKO: Nezatahuj do toho ukladani hesel v plaintextu a nebo unik hesel z databaze, to je jiny problem, nez ktery se tu ted resi.
Pokud si uzivatel nastavuje stejne heslo na vice sluzeb, tak by ti zase kazdy z tvych odborniku, co by tam musel svedcit, rekl, ze je to blbost uzivatele. To opet nezkousej zamotavat do GDPR - nesouvisi to s tim.
Taky se PIN k platebni karte posila v papirove obalce a pristup k ni ma vic lidi, nez kolik se potencialne dostane k nejakemu e-mailu po ceste. Stejne jako na zaklade GDPR nikdo nezakaze provoz e-shopu, ktere nepouzivaji HTTPS, i kdyz to znamena, ze prihlasovaci (a veskere ostatni) udaje od zakaznika do shopu a ze shopu k zakaznikovi putuji v nesifrovane podobne.

Vubec se nechci prit o to, co je a neni fail, nebo best practice. Bezpecnosti webaplikaci a provozem serveru se zabyvam dlouhodobe a ty zminene nedostatky bych sam provozovatelum (ale i koncovym zakaznikum) vycital, ale porad si nemyslim, ze je to problem s ohledem na GDPR.
A argumentovat "kdokoliv s pristupem k tomu mailu" je zcestny. K te e-mailove schrance nikdo jiny pristup mit nema. Pokud ma, je to chyba uzivatele. Me se zase nelibi, ze v dnesni dobe klesa uroven zabezpeceni internetoveho bankovnictvi, ktere se snizilo na uroven obycejneho webmailu - kdokoliv zna login a heslo, tak se tam prihlasi a projde si historii plateb atd.. Takze na to muzu rict, ze "kdokoliv s pristupem k tomu bankovnictvi..." oh wait, tam prece nikdo jiny pristup nema, nebo jo?

ZVIRATKO: Kdokoliv s pristupem do mailu si muze to heslo zresetovat

CHOBOT & ZVIRATKO: Rekl bych, ze vam oboum uniklo, ze se to heslo na e-mail posle pri registraci a tudiz to vubec nemusi znamenat, ze by se nekde ukladalo v plaintextu, protoze se do e-mailu posle to, co uzivatel vyplnil v registraci. Nemusi to byt to, co je v DB.
Setkal jsem se s timhle uz nekolikrat a pokud je ukladani hesel v hashovane podobe, tak tohle projde i auditem. Je to na podobne urovni, jako ze si nekdo klikne na "zapomnel jsem heslo" a prijde mu na e-mail nove heslo, se kterym se muze prihlasit. Argumentovat pak tim, ze "kdyby se mi nekdo naboural do e-mailu tak se mi tam muze prihlasit" je blbost. Kdyby ti nekdo z kapsy ukradl klice, tak se ti muze dostat domu...
Zaslani hesla na zacatku pri registraci je na stejne urovni, jako link pro potvrzeni, ze vyplneny e-mail je tvuj - pokud tam uzivatel vyplni spatny e-mail a prijde to nekomu jinemu, kdo na to klikne a tim se prihlasi do e-shopu, neni to chyba nikoho jineho, nez uzivatele.
To uz bych za vetsi bezpecnostni hrozbu povazoval to, ze vetsina (velkych) webu ma predzaskrtnute "trvale prihlaseni z tohoto pocitace". Coz mi opravdu pripada jako naprosta debilita, ale kdo chce kam...

CHOBOT:
"In order to be able to demonstrate compliance with this Regulation, the controller should adopt internal policies and implement measures which meet in particular the principles of data protection by design and data protection by default."

takze v podstate v rozporu s GDPR jsi

CHOBOT: myslim ze po pravni strance nebudes zodpovedny kdyz mu nekdo s tim heslem vleze na X dalsich webu, ale kdybys mel ten eshop spravne udelanej tak to ten zakaznik neresi
auditem by to ale rozhodne neproslo

takze naprosty souhlas s VODNIK

CHOBOT: eshop, který mi pošle zpátky heslo u mě automaticky skončil, protože to znamená, že ho uchovává v čitelné podobě. A to je zvěrstvo, zcela bez ohledu na GDPR

NEVADA_: ano tak tady to pro změnu... není problém GDPR.

Pokud ten zákaz nebo ta směrnice (nebo obojí) nejsou důsledkem něčí paniky nad GDPR.

OTAKAR: Tak to klidně být může. Ale příčinou pak není gdpr.