• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    EXISGDPR - mýty, rady, konzultace
    GDPR - General Data Protection Regulation - Nová legislativa na ochranu osobních údajů, která začne platit od 25. 5. 2018!
    rozbalit záhlaví
    NAVARA
    NAVARA --- ---
    EXIS: Nestane se takhle, že Seznam řekne Adobe, at ti smažou placený účet? :)
    EXIS
    EXIS --- ---
    E2E4: nemusíš volat, podej jen stížnost. Úřad dobře komunikuje a já třeba podal na O2 a donutil je udělat změny.. Co se týká předáváním třetím stranám, pokud je jasné, že to je od Seznamu, tak by je Seznam měl kontaktovat a požádat je o promazání. Takže já bych do toho šel.
    E2E4
    E2E4 --- ---
    2BFREE: snažil jsem se neúspěšně aby mě seznam.cz smazal u svých partnerů. a to nejen můj indikátor, ale i můj shadow profile, tj data která o mně nashromáždili a spojili s daty z dalších zdrojů u partnerů seznamu, a pokud možno u všech co to sdíleli dal..

    bez šance. přesto, že tam byly boty typu odkaz na australskou (!!) privacy policy Adobe, která byla "stránka nenaléna" a z toho co měli v archive.org to nepůsobilo, že by byli gdpr compliant. byly tam i další cizí společnosti mimo EU. furt se mnou komunikovali, ale nic neudělali.

    takže mám pocit, že gdpr v praxi není tranzitivní, týká se jen prvního stupně v řetězci.

    k ÚOOÚ jsem se neodvolaval, už mně to za to nestalo.

    taky nechápu, jak může podle gdpr fungovat Facebook v Evrope.
    2BFREE
    2BFREE --- ---
    ZBYNEK, EXIS: Děkuju.
    EXIS
    EXIS --- ---
    2BFREE: Jak už psal Zbyněk, nestane se nic. viz preambule č. 18 GDPR (https://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:32016R0679&from=CS) -- "Toto nařízení se nevztahuje na zpracování osobních údajů fyzickou osobou v rámci činnosti čistě osobní povahy nebo činnosti prováděné výhradně v domácnosti, a tedy bez jakékoliv souvislosti s profesní nebo obchodní činností. Činnosti osobní povahy nebo činnosti v domácnosti by mohly zahrnovat korespondenci a vedení adresářů nebo využívání sociálních sítí a internetu v souvislosti s těmito činnostmi. Toto nařízení se však vztahuje na správce nebo zpracovatele, kteří pro tyto činnosti osobní povahy či činnosti v domácnosti poskytují prostředky pro zpracování osobních údajů."
    ZBYNEK
    ZBYNEK --- ---
    2BFREE: Nemělo by se stát vůbec nic.

    Nebo snad čekáš, že napíšeš do Googlu aby někomu jinému smazal z kontaktů tvoje číslo, a oni to udělají?
    2BFREE
    2BFREE --- ---
    Ahoj, chtěl bych se zeptat na jednu situaci, která by mě zajímala z pohledu GDPR:

    Fyzický člověk A se zná s fyzickým člověkem B, kterému zcela vědomě a tedy se souhlasem dá své kontaktní údaje (email, telefon, ...) [podle GDPR má tedy člověk B právo nakládat s těmito údaji]
    Člověk B si tyto údaje zapíše do svého papírového diáře [podle GDPR je to IMHO stále OK, když má souhlas
    Člověk B si tyto údaje zapíše do svého chytrého telefonu [už tady si nejsem jistý, jestli společnost Google/Apple má právo nakládat s těmito údaji

    A co by mě zajímalo je, když člověk A pošle společnosti Google/Apple nesouhlas se zpracováním osobních údajů, co by se dle GDPR mělo stát s těmi kontakty, co tam člověk B poslal?
    RATTKIN
    RATTKIN --- ---
    ZBYNEK: TL;DR přejít na localstorage
    ZBYNEK
    ZBYNEK --- ---
    Aktualizovaný guideline pro GDPR a cookies: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf

    TL;DR: Nelze napsat "prohlížením webu souhlasíte s pravidly", nelze používat "cookie wall".
    EXIS
    EXIS --- ---
    KASUMI: kdo to dělal?
    KASUMI
    KASUMI --- ---
    tohle na me vyskocilo od Novaka na Twitteru

    DYNK
    DYNK --- ---
    Dekuju moc! Obsahove me to teda uplne nepotesilo, ale jsem rad, ze vim jak to ma byt. Ted uz "jen" se do toho ponorit a najit nejake reseni, ktere bude vyhovovat.
    KASUMI
    KASUMI --- ---
    EXIS: to je uz detail, ktery jsem zahrnula pod "technicky zabezpecit" :D
    EXIS
    EXIS --- ---
    KASUMI: snad bych jen doplnil, že je ideální používat na ty newsletter kampaně používat něco, kde se dá jednoduše odhlásit z odběru
    KASUMI
    KASUMI --- ---
    DYNK: ptas se na dost veci, takze hodne strucne

    - mela by tam mit informaci, co s temi udaji (jsou-li osobni) dela - jak je zpracovava, jak dlouho je uklada, kam se na ni muzou lidi obratit, pokud k tomu chteji neco vedet apod - obvykle veci
    (kdyz ji nekdo poskytne mejl ci jine osobni udaje, mel by asi vedet, co se s tim jeho mejlem deje )
    - zasilani nabidek muze bud na souhlas - tzn mam tam chlivecek, kterej rika "kdyz mi sem date email, budu vam posilat zajimave nabidky z moji prace" - ok (s vyhradou, ze jen tohle nestaci, ale principialne).. pripadne mela jsem klienta, ktery ode me bral nejakou sluzbu, muzu mu posilat po nejake relevantni dobe (cca rok) i nejake nabidky na moje dalsi (podobne, ne uplne jine) sluzby, ledaze mi sdeli jinak

    vse vyse uvedene s velkou vyhradou, ze musis spravne informovat, spravne to technicky zabezpecit apod.
    DYNK
    DYNK --- ---
    Mohl bych poprosit o zhodnoceni nasledujici situace z pohledu GDPR?

    Staram se moji zene o web (je fotografka), na strankach ma uvedene ruzne moznosti jak ji muzou klienti kontaktovat - odkazy na soc. site, jeji email a formular pro vyzadani ceniku (tam klient zadava povinne jen svuj email, pripadne dobrovolne poznamku).

    Rad bych si ujasnil dve veci:

    1) Na strankach nema nic o zpracovani osobnich udaju - mela by mit? Z toho, co jsem se tu docetl to chapu tak, ze by tam mely byt zasady zpracovani osobnich udaju. Jaka je tam sankce, kdyz to chybi?

    2) Jak nakladat s emaily, ktere nasbira (mazat hned/po case/nikdy)? Lisi se to podle toho, jestli ji lidi sami napisou na email, nebo zadaji svuj email do toho formulare? Muze napriklad jednou za pul roku poslat mail s nabidkou produktu/slevy na vsechny adresy, ktere v minulosti posbirala? To znamena ne jen na klienty, ale i na lidi, co jen udelali poptavku?

    Je to pro me nova vec, tak se omlouvam za (mozna) zakladni dotazy.
    EXIS
    EXIS --- ---
    KORINKOWICZ: budu jen odpovídat na Tvoje dotazy, ať je to konstruktivní :)
    1) ne, nemusíš mít checkbox. Tím, že ten člověk to vyplňuje sám, tak asi chce, aby ses mu ozval. Nicméně doporučuju pod formulář dát odkaz na "zásady zpracování osobních údajů", které mohou být centrálně pro celý web. V těchto podmínkách je především:
    - identifikace správce (ať už to je právnická nebo fyzická osoba) s kontakty (digi + offline)
    - účel a právní základ zpracování (tedy zda je to plnění smlouvy (či plnění nutné před plněním smlouvy), či plnění právních závazků atp... - článek 6
    - identifikace příjemců osobních údajů (tedy komu to potažmo předáváš)
    - doba uložení osobních údajů (tedy jak dlouho ta data držíš a kdy je pak mažeš)
    - práva subjektů údajů -- zmíňka o tom, že se můžou ozvat ÚOOÚ
    2) newsletter je tricky. Pokud máš eshop, lidi u Tebe kupujou, tak Tvůj oprávěný zájem (tedy nemusíš žádat o souhlas) je posílat jim newsletter na tyto produkty, nikoliv úplně jiné věci. Pokud to máš v rámci nějakého procesu, pak by tam správně měl být nezaškrtlý checkbox a udělení souhlasu na posílání newsletteru (tedy jasný účel, omezená doba, možnost odvolání -- tedy na konci mailu dát unsubscribe -- to platí i v případě oprávněného zájmu)
    3) Měřící kody - to bych přidal do zásad zpracování osobních údajů
    4) tady v poslední době úplně nevím, co jednoznačně poradit. @KASUMI snad poradí ;)

    KOC256: Jejich zásady nejsou úplně košer, protože opisují zákon místo toho, aby to šili na sebe
    KOC256
    KOC256 --- ---
    KORINKOWICZ:
    podívej se někam, kde se to řeší...
    Nesbírej co nepotřebuješ. Potřebuješ například v kontaktním formuláři jméno, příjmení, telefon, email, jméno matky za svobodna atd.? Které údaje mají být nutně povinné?
    Nastav si proces a napiš si ho, jak budeš zacházet s osobními údaji. Jak je budeš skladovat, kdy je budeš mazat.

    Nevím zda to mají 100% dobře, ale třeba tu to řešili a takto to dopadlo. Pole ve formu nejsou povinná a mají tam nějaký obecný text.
    Kontakt | Slezské nemovitosti
    http://slezskenemovitosti.cz/kontakt

    Jinak důležité je zejména dokázat, že ses na to úplně nevysral a že se snažíš v tom nemít bordel. Prostě používat zdravý rozum. Ne každé jméno co se dozvíš je třeba si vytisknout a nechat někde na stole, kde mají přístup všichni atd.
    KORINKOWICZ
    KORINKOWICZ --- ---
    Zdravím! Vzhledem k tomu, že je teď víc času na zapomenutý položky ToDo listů, řekl jsem si, že konečně poladím osobní profesní web, aby splňoval zásady GDPR :) Je to dost simple web, ale informace na netu se trochu rozcházej, takže pokud byste mě mohl někdo nasměrovat a poradit, co všechno by na webu správně mělo být, budu moc rád! ... Pokud to bude odborná rada, klidně se můžeme domluvit na odměně nebo nějakym barteru (vývoj webu v mym případě).

    Na webu mám:
    - Základní měřící kódy (Google Analytics, Facebook Pixel - oboje časem možná využitý na cílení remarketingu)
    - Kontaktní formulář (data nepoužívám k ničemu jinýmu, než ke komunikaci s daným klientem)
    - Je možný, že bych časem pomocí formuláře začal sbírat i maily na newsletter, tak bych to měl rád pokrytý

    Z toho, s čím se běžně setkávám na webech, bych očekával, že je třeba:
    1) Mít u formuláře checkbox pro souhlas se zpracováním údajů (defaultně vypnutý), plus odkaz na "obchodní podmínky"
    2) V případě sběru adres pro newsletter mít ještě další separátní checkbox (opět defaultně vypnutý)
    3) Nějaké vyjádření k těm měřícím kódům... To případně stačí v obchodních podmínkách?
    4) Cookie hlášku... Je vlastně fakt potřeba? (někde jsem četl, že souhlas člověk dává už vlastním nastavením prohlížeče, takže hláška někdy ani být nemusí)

    Předpokládám, že je to poměrně typický případ, a že by to proto asi nemělo být nic složitýho. Pokud byste mi tedy někdo dokázal poradit a náhodou třeba měl i předlohu obchodních podmínek (který by na tohle pasovaly), budu moc rád. Díky! ;)
    Kliknutím sem můžete změnit nastavení reklam