NAVARA: Co bys kam chtel pushovat? Cookies se ukladaji v browseru na zaklade jeho nastaveni. Pokud browser nastavis tak, aby si cookies z danne domeny neukladal, tak si je neulozi. Stranka s tim nic nenadela. Tenhle koncept je starej snad 15 let.

QUIP: tak pokud by prohlížeče měli jedno univerzální nastavení, který bys pak jenom pushnul na webovou stránku, bylo by to samozřejmě ještě lepší

KASUMI: Čekal jsem něco specificky kinkovské :)

Ale začíná se to celkem rozmáhat a byť je to trochu otravné nastavit (páč by se to mělo číst), je to dobře - konečně pochopení, k čemu to má být...

OTAKAR: ja obvykle napisu obecne neco jako "povinen nahradit skodu" a do zavorky napisu nebo jako "vc. pripadnych pokut od uradu" - aby bylo jasne, ze pokutu od uradu povazuju za skodu a budu ji po nem chtit jako predvidatelnou skodu

QUIP: Naprosto souhlasím. Optimální by mi přišlo žádnou klauzuli o náhradě škody vůbec nezahrnovat.

OTAKAR: Co se primo uniku Osobnich Udaju a GDPR tyce, tak jsem videl i smlouvy, kde se Zpracovatel zavazuje zaplatit vsechny skody, ktere Spravci zpusobi tim, ze jeho vinou uniknou nejake osobni udaje (tedy vcetne pokuty, kterou muze UOOU udelit). Ma to svou logiku. Spravce sveri data Zpracovateli, Zpracovatel s nima udela prusvih, pokutu dostane Spravce a ta muze byt hodne vysoka. Dalsi pokuty mohou chtit po Spravci poskozeni (subjekty udaju).
Co jsem jako Zpracovatel odmitnul podepsat, byla klauzule o tom, ze automaticky uhradim jakoukoliv takovouhle skodu Spravci. (bez dalsiho vysetrovani atd.). Protoze pokud mezi Spravcem a treti stranou bude probihat nejake (soudni) rizeni, do ktereho ja nemohu zasahovat (hajit se), ale mam zaplatit skodu, tak je to pro me nevyhodne. Spravce nema motivaci v takovem sporu minimalizovat dopad, kdyz bych to mel automaticky platit ja. Bude mu fuk, jestli ta pokuta bude 20 000, nebo 2 miliony.

QUIP: To chápu, že těžko posuzovat. Právě si moc neumím představit, jaká škoda by hypoteticky mohla vzniknout. V zásadě by mohly uniknout maximálně osobní údaje zaměstnanců v dle mého naprosto nezajímavém počtu (maximálně cca 200). Takže mě napadá asi jen pokuta.

OTAKAR: Tohle je tezky posuzovat. Ja vetsinou odmitam rucit za cokoliv vetsi castkou, nez kolik dostavam od zakaznika mesicni pausal a pokud zakaznik chce nejake vyssi garance, tak si za to taky musi nalezite priplatit. Pravou je, ze v NDA mam castky radove vyssi. Takze pokud se snazi NDA (mlcenlivost) omezit na 20 000,-, tak bych se mu asi taky vysmal - pokud povaha dat a to ne jen OU ma radove vyssi hodnotu na trhu, nebo jinak zpusobi radove vyssi skody (napriklad prodej obchodnich kontaktu konkurenci)

Děkuji, tušil jsem to.
Bonusová otázka, dodavatel (jde o IT) navrhuje, abychom si ujednali omezení jeho zodpovědnosti za škodu na výši tří měsíčních plateb, což je cca 20 tis celkem. Spokojili byste se?
S ohledem na konkrétní obsah zpracovávaných údajů mě úplně nenapadá, co by mohl způsobit, nicméně jeho návrh mi přijde legrační, smysluplný návrh by mi přišel o cca dva řády víc.

OTAKAR: http://www.privacy-regulation.eu/cs/28.htm bod 2

podrobněji tady: https://www.uoou.cz/7-spravce-zpracovatel/d-27278

OTAKAR: Odpovědnost za zpracování dat má správce. Ten musí mít kompletní přehled o zpracovatelích. Těmi mohou být i právnické osoby, ale výčet by měl být úplný.

Jsem zpracovatel OÚ. Já ve smlouvě uvádím své další zpracovatele jmenovitě. Jeden z nich mi chce do smlouvy uvést, že je oprávněn využít dalších zpracovatelů, ale výslovně je neuvádí. Spokojili byste se s tím, nebo je mám chtít uvést?

QUIP: U uredni desky zakon rika, ze ma byt pristupna komukoliv na internetu. U usneseni organu obce zakon rika, ze maji byt dostupna obcanum obce, a nastanovuje zpusob, jakym mai byt obcanum poskytnuta.

Pokud urad/obec plni zakonnou povinnost, je to z pohledu GDPR ok. V kazdem z tech pripadu je ale ta zakonna povinnost jina.

GHOSTSTALKER: Skoda

KASUMI: myslim, ze tenhle "tvuj" pripad, je presne ukazkou toho, co se stane, kdyz dojde ke schvaleni dvou protichudnych narizeni a jak tu kolizi pak urady resi - vetsinou tak, jak se jim zrovna hodi.
Docela by me zajimalo, jak tohle resi v okolnich statech EU, kde museli narazit na stejny problem. Jestli se napric EU aspon ty dohledove organy shoduji v tech doporucenich, nebo u nas UOOU doporuci nezverejnovat, nebo anonymizovat dokumenty z MC, zatim co treba v Nemecku by k tomu jejich urad zaujal opacny postoj.