GDPR - mýty, rady, konzultace

E2E4 --- --- 0:22:50 16.5.2020

2BFREE: snažil jsem se neúspěšně aby mě seznam.cz smazal u svých partnerů. a to nejen můj indikátor, ale i můj shadow profile, tj data která o mně nashromáždili a spojili s daty z dalších zdrojů u partnerů seznamu, a pokud možno u všech co to sdíleli dal..

bez šance. přesto, že tam byly boty typu odkaz na australskou (!!) privacy policy Adobe, která byla "stránka nenaléna" a z toho co měli v archive.org to nepůsobilo, že by byli gdpr compliant. byly tam i další cizí společnosti mimo EU. furt se mnou komunikovali, ale nic neudělali.

takže mám pocit, že gdpr v praxi není tranzitivní, týká se jen prvního stupně v řetězci.

k ÚOOÚ jsem se neodvolaval, už mně to za to nestalo.

taky nechápu, jak může podle gdpr fungovat Facebook v Evrope.

2BFREE --- --- 14:46:07 15.5.2020

ZBYNEK, EXIS: Děkuju.

EXIS --- --- 13:57:11 15.5.2020

1 odpověď +1

2BFREE: Jak už psal Zbyněk, nestane se nic. viz preambule č. 18 GDPR (https://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:32016R0679&from=CS) -- "Toto nařízení se nevztahuje na zpracování osobních údajů fyzickou osobou v rámci činnosti čistě osobní povahy nebo činnosti prováděné výhradně v domácnosti, a tedy bez jakékoliv souvislosti s profesní nebo obchodní činností. Činnosti osobní povahy nebo činnosti v domácnosti by mohly zahrnovat korespondenci a vedení adresářů nebo využívání sociálních sítí a internetu v souvislosti s těmito činnostmi. Toto nařízení se však vztahuje na správce nebo zpracovatele, kteří pro tyto činnosti osobní povahy či činnosti v domácnosti poskytují prostředky pro zpracování osobních údajů."

ZBYNEK --- --- 11:45:01 15.5.2020

1 odpověď +1

2BFREE: Nemělo by se stát vůbec nic.

Nebo snad čekáš, že napíšeš do Googlu aby někomu jinému smazal z kontaktů tvoje číslo, a oni to udělají?

2BFREE --- --- 11:12:40 15.5.2020

3 odpovědi +2

Ahoj, chtěl bych se zeptat na jednu situaci, která by mě zajímala z pohledu GDPR:

Fyzický člověk A se zná s fyzickým člověkem B, kterému zcela vědomě a tedy se souhlasem dá své kontaktní údaje (email, telefon, ...) [podle GDPR má tedy člověk B právo nakládat s těmito údaji]
Člověk B si tyto údaje zapíše do svého papírového diáře [podle GDPR je to IMHO stále OK, když má souhlas
Člověk B si tyto údaje zapíše do svého chytrého telefonu [už tady si nejsem jistý, jestli společnost Google/Apple má právo nakládat s těmito údaji

A co by mě zajímalo je, když člověk A pošle společnosti Google/Apple nesouhlas se zpracováním osobních údajů, co by se dle GDPR mělo stát s těmi kontakty, co tam člověk B poslal?

ZBYNEK --- --- 21:00:57 11.5.2020

RATTKIN: To bych netvrdil: https://law.stackexchange.com/.../30739/do-the-gdpr-and-cookie-law-regulations-apply-to-localstorage

RATTKIN --- --- 20:15:03 11.5.2020

1 odpověď ±0

ZBYNEK: TL;DR přejít na localstorage

ZBYNEK --- --- 21:26:22 10.5.2020

1 odpověď +2

Aktualizovaný guideline pro GDPR a cookies: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf

TL;DR: Nelze napsat "prohlížením webu souhlasíte s pravidly", nelze používat "cookie wall".

KASUMI --- --- 13:48:54 10.4.2020

EXIS: https://noyb.eu/...transmission?fbclid=IwAR19EE3EYMcKvys_da6ifcFsvHl6IN_1auZj1ayzDcijHC6sQuxU1q5suUg

EXIS --- --- 13:34:40 10.4.2020

1 odpověď

KASUMI: kdo to dělal?

KASUMI --- --- 18:16:58 9.4.2020

1 odpověď +3

tohle na me vyskocilo od Novaka na Twitteru

DYNK --- --- 13:33:01 8.4.2020

Dekuju moc! Obsahove me to teda uplne nepotesilo, ale jsem rad, ze vim jak to ma byt. Ted uz "jen" se do toho ponorit a najit nejake reseni, ktere bude vyhovovat.

KASUMI --- --- 13:02:24 8.4.2020

EXIS: to je uz detail, ktery jsem zahrnula pod "technicky zabezpecit" :D

EXIS --- --- 12:36:52 8.4.2020

1 odpověď +1

KASUMI: snad bych jen doplnil, že je ideální používat na ty newsletter kampaně používat něco, kde se dá jednoduše odhlásit z odběru

KASUMI --- --- 12:14:40 8.4.2020

1 odpověď +3

DYNK: ptas se na dost veci, takze hodne strucne

- mela by tam mit informaci, co s temi udaji (jsou-li osobni) dela - jak je zpracovava, jak dlouho je uklada, kam se na ni muzou lidi obratit, pokud k tomu chteji neco vedet apod - obvykle veci
(kdyz ji nekdo poskytne mejl ci jine osobni udaje, mel by asi vedet, co se s tim jeho mejlem deje )
- zasilani nabidek muze bud na souhlas - tzn mam tam chlivecek, kterej rika "kdyz mi sem date email, budu vam posilat zajimave nabidky z moji prace" - ok (s vyhradou, ze jen tohle nestaci, ale principialne).. pripadne mela jsem klienta, ktery ode me bral nejakou sluzbu, muzu mu posilat po nejake relevantni dobe (cca rok) i nejake nabidky na moje dalsi (podobne, ne uplne jine) sluzby, ledaze mi sdeli jinak

vse vyse uvedene s velkou vyhradou, ze musis spravne informovat, spravne to technicky zabezpecit apod.

DYNK --- --- 9:08:26 8.4.2020

1 odpověď

Mohl bych poprosit o zhodnoceni nasledujici situace z pohledu GDPR?

Staram se moji zene o web (je fotografka), na strankach ma uvedene ruzne moznosti jak ji muzou klienti kontaktovat - odkazy na soc. site, jeji email a formular pro vyzadani ceniku (tam klient zadava povinne jen svuj email, pripadne dobrovolne poznamku).

Rad bych si ujasnil dve veci:

1) Na strankach nema nic o zpracovani osobnich udaju - mela by mit? Z toho, co jsem se tu docetl to chapu tak, ze by tam mely byt zasady zpracovani osobnich udaju. Jaka je tam sankce, kdyz to chybi?

2) Jak nakladat s emaily, ktere nasbira (mazat hned/po case/nikdy)? Lisi se to podle toho, jestli ji lidi sami napisou na email, nebo zadaji svuj email do toho formulare? Muze napriklad jednou za pul roku poslat mail s nabidkou produktu/slevy na vsechny adresy, ktere v minulosti posbirala? To znamena ne jen na klienty, ale i na lidi, co jen udelali poptavku?

Je to pro me nova vec, tak se omlouvam za (mozna) zakladni dotazy.

EXIS --- --- 11:22:19 27.3.2020

KORINKOWICZ: budu jen odpovídat na Tvoje dotazy, ať je to konstruktivní :)
1) ne, nemusíš mít checkbox. Tím, že ten člověk to vyplňuje sám, tak asi chce, aby ses mu ozval. Nicméně doporučuju pod formulář dát odkaz na "zásady zpracování osobních údajů", které mohou být centrálně pro celý web. V těchto podmínkách je především:
- identifikace správce (ať už to je právnická nebo fyzická osoba) s kontakty (digi + offline)
- účel a právní základ zpracování (tedy zda je to plnění smlouvy (či plnění nutné před plněním smlouvy), či plnění právních závazků atp... - článek 6
- identifikace příjemců osobních údajů (tedy komu to potažmo předáváš)
- doba uložení osobních údajů (tedy jak dlouho ta data držíš a kdy je pak mažeš)
- práva subjektů údajů -- zmíňka o tom, že se můžou ozvat ÚOOÚ
2) newsletter je tricky. Pokud máš eshop, lidi u Tebe kupujou, tak Tvůj oprávěný zájem (tedy nemusíš žádat o souhlas) je posílat jim newsletter na tyto produkty, nikoliv úplně jiné věci. Pokud to máš v rámci nějakého procesu, pak by tam správně měl být nezaškrtlý checkbox a udělení souhlasu na posílání newsletteru (tedy jasný účel, omezená doba, možnost odvolání -- tedy na konci mailu dát unsubscribe -- to platí i v případě oprávněného zájmu)
3) Měřící kody - to bych přidal do zásad zpracování osobních údajů
4) tady v poslední době úplně nevím, co jednoznačně poradit. @KASUMI snad poradí ;)

KOC256: Jejich zásady nejsou úplně košer, protože opisují zákon místo toho, aby to šili na sebe

KOC256 --- --- 23:32:19 26.3.2020

1 odpověď +1

KORINKOWICZ:
podívej se někam, kde se to řeší...
Nesbírej co nepotřebuješ. Potřebuješ například v kontaktním formuláři jméno, příjmení, telefon, email, jméno matky za svobodna atd.? Které údaje mají být nutně povinné?
Nastav si proces a napiš si ho, jak budeš zacházet s osobními údaji. Jak je budeš skladovat, kdy je budeš mazat.

Nevím zda to mají 100% dobře, ale třeba tu to řešili a takto to dopadlo. Pole ve formu nejsou povinná a mají tam nějaký obecný text.
Kontakt | Slezské nemovitosti
http://slezskenemovitosti.cz/kontakt

Jinak důležité je zejména dokázat, že ses na to úplně nevysral a že se snažíš v tom nemít bordel. Prostě používat zdravý rozum. Ne každé jméno co se dozvíš je třeba si vytisknout a nechat někde na stole, kde mají přístup všichni atd.

KORINKOWICZ --- --- 19:25:37 26.3.2020

2 odpovědi

Zdravím! Vzhledem k tomu, že je teď víc času na zapomenutý položky ToDo listů, řekl jsem si, že konečně poladím osobní profesní web, aby splňoval zásady GDPR :) Je to dost simple web, ale informace na netu se trochu rozcházej, takže pokud byste mě mohl někdo nasměrovat a poradit, co všechno by na webu správně mělo být, budu moc rád! ... Pokud to bude odborná rada, klidně se můžeme domluvit na odměně nebo nějakym barteru (vývoj webu v mym případě).

Na webu mám:
- Základní měřící kódy (Google Analytics, Facebook Pixel - oboje časem možná využitý na cílení remarketingu)
- Kontaktní formulář (data nepoužívám k ničemu jinýmu, než ke komunikaci s daným klientem)
- Je možný, že bych časem pomocí formuláře začal sbírat i maily na newsletter, tak bych to měl rád pokrytý

Z toho, s čím se běžně setkávám na webech, bych očekával, že je třeba:
1) Mít u formuláře checkbox pro souhlas se zpracováním údajů (defaultně vypnutý), plus odkaz na "obchodní podmínky"
2) V případě sběru adres pro newsletter mít ještě další separátní checkbox (opět defaultně vypnutý)
3) Nějaké vyjádření k těm měřícím kódům... To případně stačí v obchodních podmínkách?
4) Cookie hlášku... Je vlastně fakt potřeba? (někde jsem četl, že souhlas člověk dává už vlastním nastavením prohlížeče, takže hláška někdy ani být nemusí)

Předpokládám, že je to poměrně typický případ, a že by to proto asi nemělo být nic složitýho. Pokud byste mi tedy někdo dokázal poradit a náhodou třeba měl i předlohu obchodních podmínek (který by na tohle pasovaly), budu moc rád. Díky! ;)

KASUMI --- --- 13:45:31 19.3.2020

ok...trochu ze 480/2004 vs. gdpr
prave mi prisel nejakej spam ke covidu od jedne ceske advokatky, ktera za sveho klienta delala u meho klienta DD
tohle fakt nevnimam jako opravneny zajem :D

Kliknutím sem můžete změnit nastavení reklam

přezdívka
heslo

pamatuj si mě
registrace
ztracené heslo?