• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    EXISGDPR - mýty, rady, konzultace
    GDPR - General Data Protection Regulation - Nová legislativa na ochranu osobních údajů, která začne platit od 25. 5. 2018!
    rozbalit záhlaví
    E2E4
    E2E4 --- ---
    NAVARA: žádný nemám takže to by mi nevadilo.

    ale data z cookies od 3
    stran a data brokerů zpracovávají a prodávají, ať už provádí enrichment z placených účtů popř. dokumentů v Adobe CS nebo ne. tady je takovej dlouhý článek jak ten osobně - datový průmysl funguje.

    pochopí i netechnický člověk ale musí si s tím dát ten čas

    Behind the One-Way Mirror: A Deep Dive Into the Technology of Corporate Surveillance | Electronic Frontier Foundation
    https://www.eff.org/wp/behind-the-one-way-mirror
    EXIS
    EXIS --- ---
    E2E4: posta@uoou.cz tady máš email ;)
    NAVARA: nestane. Protože pokud oni pro Tebe poskytují službu, tak to dělají na základě vlastního vztahu s Tebou. Data od Seznamu můžou mít pro nějaké analytické účely atp
    NAVARA
    NAVARA --- ---
    EXIS: Nestane se takhle, že Seznam řekne Adobe, at ti smažou placený účet? :)
    EXIS
    EXIS --- ---
    E2E4: nemusíš volat, podej jen stížnost. Úřad dobře komunikuje a já třeba podal na O2 a donutil je udělat změny.. Co se týká předáváním třetím stranám, pokud je jasné, že to je od Seznamu, tak by je Seznam měl kontaktovat a požádat je o promazání. Takže já bych do toho šel.
    E2E4
    E2E4 --- ---
    2BFREE: snažil jsem se neúspěšně aby mě seznam.cz smazal u svých partnerů. a to nejen můj indikátor, ale i můj shadow profile, tj data která o mně nashromáždili a spojili s daty z dalších zdrojů u partnerů seznamu, a pokud možno u všech co to sdíleli dal..

    bez šance. přesto, že tam byly boty typu odkaz na australskou (!!) privacy policy Adobe, která byla "stránka nenaléna" a z toho co měli v archive.org to nepůsobilo, že by byli gdpr compliant. byly tam i další cizí společnosti mimo EU. furt se mnou komunikovali, ale nic neudělali.

    takže mám pocit, že gdpr v praxi není tranzitivní, týká se jen prvního stupně v řetězci.

    k ÚOOÚ jsem se neodvolaval, už mně to za to nestalo.

    taky nechápu, jak může podle gdpr fungovat Facebook v Evrope.
    2BFREE
    2BFREE --- ---
    ZBYNEK, EXIS: Děkuju.
    EXIS
    EXIS --- ---
    2BFREE: Jak už psal Zbyněk, nestane se nic. viz preambule č. 18 GDPR (https://eur-lex.europa.eu/legal-content/CS/TXT/HTML/?uri=CELEX:32016R0679&from=CS) -- "Toto nařízení se nevztahuje na zpracování osobních údajů fyzickou osobou v rámci činnosti čistě osobní povahy nebo činnosti prováděné výhradně v domácnosti, a tedy bez jakékoliv souvislosti s profesní nebo obchodní činností. Činnosti osobní povahy nebo činnosti v domácnosti by mohly zahrnovat korespondenci a vedení adresářů nebo využívání sociálních sítí a internetu v souvislosti s těmito činnostmi. Toto nařízení se však vztahuje na správce nebo zpracovatele, kteří pro tyto činnosti osobní povahy či činnosti v domácnosti poskytují prostředky pro zpracování osobních údajů."
    ZBYNEK
    ZBYNEK --- ---
    2BFREE: Nemělo by se stát vůbec nic.

    Nebo snad čekáš, že napíšeš do Googlu aby někomu jinému smazal z kontaktů tvoje číslo, a oni to udělají?
    2BFREE
    2BFREE --- ---
    Ahoj, chtěl bych se zeptat na jednu situaci, která by mě zajímala z pohledu GDPR:

    Fyzický člověk A se zná s fyzickým člověkem B, kterému zcela vědomě a tedy se souhlasem dá své kontaktní údaje (email, telefon, ...) [podle GDPR má tedy člověk B právo nakládat s těmito údaji]
    Člověk B si tyto údaje zapíše do svého papírového diáře [podle GDPR je to IMHO stále OK, když má souhlas
    Člověk B si tyto údaje zapíše do svého chytrého telefonu [už tady si nejsem jistý, jestli společnost Google/Apple má právo nakládat s těmito údaji

    A co by mě zajímalo je, když člověk A pošle společnosti Google/Apple nesouhlas se zpracováním osobních údajů, co by se dle GDPR mělo stát s těmi kontakty, co tam člověk B poslal?
    RATTKIN
    RATTKIN --- ---
    ZBYNEK: TL;DR přejít na localstorage
    ZBYNEK
    ZBYNEK --- ---
    Aktualizovaný guideline pro GDPR a cookies: https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf

    TL;DR: Nelze napsat "prohlížením webu souhlasíte s pravidly", nelze používat "cookie wall".
    EXIS
    EXIS --- ---
    KASUMI: kdo to dělal?
    KASUMI
    KASUMI --- ---
    tohle na me vyskocilo od Novaka na Twitteru

    DYNK
    DYNK --- ---
    Dekuju moc! Obsahove me to teda uplne nepotesilo, ale jsem rad, ze vim jak to ma byt. Ted uz "jen" se do toho ponorit a najit nejake reseni, ktere bude vyhovovat.
    KASUMI
    KASUMI --- ---
    EXIS: to je uz detail, ktery jsem zahrnula pod "technicky zabezpecit" :D
    EXIS
    EXIS --- ---
    KASUMI: snad bych jen doplnil, že je ideální používat na ty newsletter kampaně používat něco, kde se dá jednoduše odhlásit z odběru
    KASUMI
    KASUMI --- ---
    DYNK: ptas se na dost veci, takze hodne strucne

    - mela by tam mit informaci, co s temi udaji (jsou-li osobni) dela - jak je zpracovava, jak dlouho je uklada, kam se na ni muzou lidi obratit, pokud k tomu chteji neco vedet apod - obvykle veci
    (kdyz ji nekdo poskytne mejl ci jine osobni udaje, mel by asi vedet, co se s tim jeho mejlem deje )
    - zasilani nabidek muze bud na souhlas - tzn mam tam chlivecek, kterej rika "kdyz mi sem date email, budu vam posilat zajimave nabidky z moji prace" - ok (s vyhradou, ze jen tohle nestaci, ale principialne).. pripadne mela jsem klienta, ktery ode me bral nejakou sluzbu, muzu mu posilat po nejake relevantni dobe (cca rok) i nejake nabidky na moje dalsi (podobne, ne uplne jine) sluzby, ledaze mi sdeli jinak

    vse vyse uvedene s velkou vyhradou, ze musis spravne informovat, spravne to technicky zabezpecit apod.
    DYNK
    DYNK --- ---
    Mohl bych poprosit o zhodnoceni nasledujici situace z pohledu GDPR?

    Staram se moji zene o web (je fotografka), na strankach ma uvedene ruzne moznosti jak ji muzou klienti kontaktovat - odkazy na soc. site, jeji email a formular pro vyzadani ceniku (tam klient zadava povinne jen svuj email, pripadne dobrovolne poznamku).

    Rad bych si ujasnil dve veci:

    1) Na strankach nema nic o zpracovani osobnich udaju - mela by mit? Z toho, co jsem se tu docetl to chapu tak, ze by tam mely byt zasady zpracovani osobnich udaju. Jaka je tam sankce, kdyz to chybi?

    2) Jak nakladat s emaily, ktere nasbira (mazat hned/po case/nikdy)? Lisi se to podle toho, jestli ji lidi sami napisou na email, nebo zadaji svuj email do toho formulare? Muze napriklad jednou za pul roku poslat mail s nabidkou produktu/slevy na vsechny adresy, ktere v minulosti posbirala? To znamena ne jen na klienty, ale i na lidi, co jen udelali poptavku?

    Je to pro me nova vec, tak se omlouvam za (mozna) zakladni dotazy.
    EXIS
    EXIS --- ---
    KORINKOWICZ: budu jen odpovídat na Tvoje dotazy, ať je to konstruktivní :)
    1) ne, nemusíš mít checkbox. Tím, že ten člověk to vyplňuje sám, tak asi chce, aby ses mu ozval. Nicméně doporučuju pod formulář dát odkaz na "zásady zpracování osobních údajů", které mohou být centrálně pro celý web. V těchto podmínkách je především:
    - identifikace správce (ať už to je právnická nebo fyzická osoba) s kontakty (digi + offline)
    - účel a právní základ zpracování (tedy zda je to plnění smlouvy (či plnění nutné před plněním smlouvy), či plnění právních závazků atp... - článek 6
    - identifikace příjemců osobních údajů (tedy komu to potažmo předáváš)
    - doba uložení osobních údajů (tedy jak dlouho ta data držíš a kdy je pak mažeš)
    - práva subjektů údajů -- zmíňka o tom, že se můžou ozvat ÚOOÚ
    2) newsletter je tricky. Pokud máš eshop, lidi u Tebe kupujou, tak Tvůj oprávěný zájem (tedy nemusíš žádat o souhlas) je posílat jim newsletter na tyto produkty, nikoliv úplně jiné věci. Pokud to máš v rámci nějakého procesu, pak by tam správně měl být nezaškrtlý checkbox a udělení souhlasu na posílání newsletteru (tedy jasný účel, omezená doba, možnost odvolání -- tedy na konci mailu dát unsubscribe -- to platí i v případě oprávněného zájmu)
    3) Měřící kody - to bych přidal do zásad zpracování osobních údajů
    4) tady v poslední době úplně nevím, co jednoznačně poradit. @KASUMI snad poradí ;)

    KOC256: Jejich zásady nejsou úplně košer, protože opisují zákon místo toho, aby to šili na sebe
    KOC256
    KOC256 --- ---
    KORINKOWICZ:
    podívej se někam, kde se to řeší...
    Nesbírej co nepotřebuješ. Potřebuješ například v kontaktním formuláři jméno, příjmení, telefon, email, jméno matky za svobodna atd.? Které údaje mají být nutně povinné?
    Nastav si proces a napiš si ho, jak budeš zacházet s osobními údaji. Jak je budeš skladovat, kdy je budeš mazat.

    Nevím zda to mají 100% dobře, ale třeba tu to řešili a takto to dopadlo. Pole ve formu nejsou povinná a mají tam nějaký obecný text.
    Kontakt | Slezské nemovitosti
    http://slezskenemovitosti.cz/kontakt

    Jinak důležité je zejména dokázat, že ses na to úplně nevysral a že se snažíš v tom nemít bordel. Prostě používat zdravý rozum. Ne každé jméno co se dozvíš je třeba si vytisknout a nechat někde na stole, kde mají přístup všichni atd.
    Kliknutím sem můžete změnit nastavení reklam