• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    EXISGDPR - mýty, rady, konzultace
    EXIS
    EXIS --- ---
    TRAVIX: úplně si nejsem jistý, jestli bych takhle jednoduše řekl, že tě kryje oprávněný zájem. To funguje malinko jinak a ten příklad je, že třeba tvoji zaměstnanci mají na badge fotku je kvůli tomu, aby když jde ochranka, aby si mohla zkontrolovat, zda se tam netoulá někdo, kdo tam nemá co dělat.

    CYBERWOLF: Co se Tebe týká, tak bys měl mít nějak rozumně zpracovanou "informační povinnost" (privacy policy). A k Tvým bodům.
    1) To, že máš embedovaný Google maps na webu, Heureka atp, to by nikoho trápit nemělo. Tohle bys měl mít vyřešené tak, že máš nějakej cookie popup, který se Tě ptá, jestli chceš využívat jen nutné cookiny a nebo i nějaké marketingové atp. Takže souhlas na mapu? nevidím důvod.
    2) Znovu, tohle by Ti měl vyřešit ten cookie nástroj.
    3) Já stále nerozumím tomu, na co bys chtěl GDPR souhlasy. Ono je to s nima trochu složitější, než jen někam dát zaškrtávátko.

    Obecně všechny e-commerce aktivity (reklamy, remarketing, ...) budou lépe vyřešené v "eGDPR" (eprivacy regulation), která se bude věnovat jen tomu digitálu. Je hezké vidět, že o tom přemýšlíš, ale imho řešíš věci o úroveň níže, než bys reálně měl.
    CYBERWOLF
    CYBERWOLF --- ---
    TRAVIX: tak jasně, tu google mapu tam taky mít nemusím, stačí napsat adresu a lidi už si to nějak najdou. Taky tam nemusí být nálepka "ověřeno zákazníky" z Heuréky - vždyť nakoupit se dá i bez toho. Nemusím používat CDN, prostě to všechno uložím lokálně a při první návštěvě si to každej (zase, znova) stáhne.

    Akorát to pak bude dost na hovno a lidi spíš nakoupěj tam, kde se jim web načte dřív, budou k tomu mít důvěru a nebudou muset hledat, kde ten krám je. Což možná z pohledu ochrany osobních údajů není problém, ale z pohledu toho shopu je to průser. Stejně tak pokud vyhodím analytiku, retargeting a tak. Takže to potřebuju udělat nějak, aby to nebyl průser. Nepotřebování souhlasu evidentně není cesta.
    TRAVIX
    TRAVIX --- ---
    První věc, na kterou je potřeba odpovědět, zní "Je možné poskytovat tu vlastní službu bez zpracování osobních údajů?"
    Pokud ano, pak je problém vyřešen, prostě nezpracovávej osobní údaje.
    Pokud ne, pak je problém taky vyřešen, protože tě kryje oprávněný zájem.

    Jak jsem pochopil, ten rozsudek s těmi fonty vycházel z toho, že odesílání IP adresy Googlu nebylo nutné pro provoz webu. ("fonty z Google Fonts je možné na webu používat i bez přímého kontaktu se servery Googlu (provozovatel webu si je může stáhnout na svůj server a IP adresy Googlu vůbec neposílat)")

    Souhlasy podle GDPR jsou v podstatě potřeba jenom tehdy, když chceš zpracovávat osobní údaje, které objektivně nepotřebuješ k poskytnutí služby.
    KAJJAK
    KAJJAK --- ---
    CYBERWOLF:

    podle mne ta kontrola co prijde nebude resit konkretni udani nekoho, oni si ten proces otestuji sami na sobe a overi zda je to nastaveno spravne...
    CYBERWOLF
    CYBERWOLF --- ---
    Prosím, potvrďte nebo vyvraťte mi následující (už se z toho dostávám do hrozný schízy):

    1) Pokud na web embeduju cokoliv, ale úplně cokoliv, z jakéhokoliv jiného webu (google mapy, api, heuréka - ověřeno zákazníky, video z youtube, jQuery z CDN...) tak než to udělám, musím mít od návštěvníka souhlas. Nestačí, že to jQuery tam potřebuju, protože ho přeci nemusím tahat z CDN. Nestačí, že bez těch Google map tlačítko "ukázat na mapě" nemůže nic ukázat, protože jinak zbytek webu funguje.

    2) musím být schopen souhlas doložit. To znamená, že si musím u návštěvníka uložit nějaký unikátní ukazatel a do databáze si pak zapsat, že návštěvník s tímhle id mi dat tehdy a tehdy takový a makový souhlas. Stejně tak si musím ukládat každý update. Když pak za mnou přijde Franta Jetel, že jsem si u něj uložil cookies, aniž by mi dal souhlas a on si mezitím smazal cookies (tj. i ten unikátní ukazatel), tak nemám žádný způsob jak zjistit, který z těch milionů souhlasů byl ten jeho.

    3) Tohle všechno musím popsat stručně a jednoduše, tak aby to pochopil i BFU, nesmí to být moc dlouhé a ty souhlasy musím vyžadovat tak, aby to člověka příliš neobtěžovalo. Současně ten web musí nějak fungovat i bez toho, pokud je to alespoň trochu technicky možné.

    ---

    Pokud je číslo 1 pravda, do jaké kategorie souhlasu tyhle věci spadají? Nebo si mám vyžadovat souhlas pro každý úkon zvlášť? Tj. "abysme ti mohli ukázat mapu, musíme jí stáhnout z googlu. Jestli s tím nemáš problém, tak to tady potvrď". Tenhle souhlas musím taky uložit.

    Pokud je pravda i číslo 2, tak ty uložené souhlasy nikdy nemůžu použít k doložení čehokoliv jiného, než že si ukládám souhlasy, protože je nedokážu spojit s konkrétním člověkem, pokud teda sám nebude chtít a nesmazal si tu cookie s unikátním identifikátorem.

    Pokus je pravda i číslo 3, tak to nejde udělat, jsem v prdeli jak Baťa s dřevákama a celé je to jenom o tom, jestli nějaká kontrola přijde a rozhodne se rozpoutat peklo.
    TRAVIX
    TRAVIX --- ---
    GHOSTSTALKER: □□□□□□□□□□□□□□□□□ □□□ □□□□□□□□□□ □□□□□□□□ □□□
    □□□□□□ □□□□□ □□□□□□□□ □□□□□□□□□ □□□□□□□ □□□□□□□□□□□□□ □□
    □□□□□□□ □□□□ □□□□□□□□□□□□□□□□ □□□□□□□□ □□□□ □□□□□□□□□□□□□ □□□□□□□.
    GHOSTSTALKER
    GHOSTSTALKER --- ---
    ZBYNEK: Soud to nezakazal, jen rekl, ze nejde o zpracovovani na zakladne opravneneho zajmu, takze k nemu spravce musi mit jiny GDPR-compliant titul. Napriklad souhlas uzivatele - ktery IMHO muze uzivatel udelit treba tak, ze se mu po pristupu na web zobrazi cookie-like upozorneni, na zaklade ktereho udeli souhlas ke zpracovavani sve IP adresy vc. predani Googlu. Otazkou je, co se stane, kdyz uzivatel takovy souhlas neudeli.
    NIEKT0
    NIEKT0 --- ---
    ZBYNEK: Nie, jediny dovod preco tu sluzbu takto zadarmo poskytuju je, ze zbieraju informacie o uzivateloch.
    Alebo ta napada iny bussiness model, u verejne ochodovanej korporacie, ktoru by mohli akcionari zalovat keby im znizovali vynosy?:)

    (a ano, ked sa nad tym zamyslis, zistis ze z rovnakeho dovodu poskytuju "zadarmo" aj ine sluzby. Zadarmo je teda v skutocnosti pekne draho, ale neplatis to bezprostredne)
    ZBYNEK
    ZBYNEK --- ---
    NIEKT0: Podle mě je to špatně přeložené, nic se "nereportuje", prostě při embedování poskytovatel vidí IP adresu návštěvníka webu.

    Stejným způsobem je pak proti GDPR např. použití reCaptcha, embedování (nejen googlovských) map apod.
    NIEKT0
    NIEKT0 --- ---
    ZBYNEK: "zakaze", tak skor je otazka, naco potrebujes reportovat kazdy jeden pohyb uzitela do centraly googlu (a NSA) na druhy koniec sveta.
    ZBYNEK
    ZBYNEK --- ---
    Co se zakáže příště?

    Vkládání Google Fonts do webů může porušovat GDPR, řekl německý soud - Lupa.cz
    https://www.lupa.cz/aktuality/vkladani-google-fonts-do-webu-muze-porusovat-gdpr-rekl-nemecky-soud/
    MHO
    MHO --- ---
    PULKA: Ahoj, řešil jsem něco podobného. Na naši firmu jeden čas chodily podobné zprávy, ale papírově.
    Vypadalo to přesně jako faktura na asi 3000,- Kč, jenom dole bylo malým písmem napsáno, že se jedná o nabídku a akceptujeme ji zaplacením.

    Na základě doporučení právníka jsme to oznámili jako podezření z trestného činu podvodu. Dle policie toho bylo hlášeno více. Nevím jak to dopadlo, ale chodit to přestalo.
    EXIS
    EXIS --- ---
    PULKA: Zlatá @Kasumi mi napsala koment:
    ..., tze jsem to jen prolitla
    Tohle trestny cin nejspis nebude
    Coi neni na vztah podnikatel podnikatel
    Gdpr je tady asi mozne pouzit za urcitych okolnosti, ale nejaky zasadni problem tam v pripade jednoho spamu nebude
    Smerovala bych to spis viz zde

    Kdo může dostat pokutu za spam? | epravo.cz
    https://www.epravo.cz/top/clanky/kdo-muze-dostat-pokutu-za-spam-111205.html
    GHOSTSTALKER
    GHOSTSTALKER --- ---
    EXIS: To tezko, kdyz v tom e-mailu hned 2× uvadeji, ze nemas povinnost to platit.
    EXIS
    EXIS --- ---
    PULKA: ale nejlepe poradí @KASUMI
    EXIS
    EXIS --- ---
    PULKA: imho to je na obchodní inspekci. Pokud to je +5k Kč, tak klidně na policajty.
    PULKA
    PULKA --- ---
    MARTEN: Mam zivnost pres 8 let, tak fakt nevim. Ale mas pravdu, je to furt - nekdo nabizi pujcky, investice a kdesi cosi, je to pekny opruz.
    MARTEN
    MARTEN --- ---
    PULKA: Tehle subjektu je hromada. Vetsinou posilaji hned po zalozeni ZL. Co vim, tak byl nejaky pokus o zalobu, ale snad nikdy to nevyslo.
    PULKA
    PULKA --- ---
    GHOSTSTALKER: Ok, diky za upřesnění. Prijde mi to jako pekny opruz, ale když s tim nic nenadelam.
    GHOSTSTALKER
    GHOSTSTALKER --- ---
    PULKA: AFAIK obchodní sdělení bez předchozího souhlasu jsou OK, nota bene podnikateli; můžeš vznést námitku. Ta služba existuje; z e-mailu je zřejmé, že tu fakturu nemusíš hradit.
    Kliknutím sem můžete změnit nastavení reklam