EXIS: 1) důvod je ten, že jak Heuréka tam ta mapa se tahá z jiného webu, ergo předávám údaje nějaké třetí straně (IP adresa, případně i cookies té třetí strany). Což bez souhlasu nemůžu, nebo ano?
2) podobnou odpověď už jsem při konzultaci s právníkem dostal taky, problém je, že já dělám ten cookie nástroj a potřebuju vědět, co to má dělat, aby to k něčemu bylo a na to mi nějak nikdo nedokáže odpovědět.
3) potřebuju to proto, abych mohl mít na webu tyhle dříve jmenované věci a nějakej úřad mě za to pak nejebal do ucha. Třeba že posílám data o uživatelých do zámoří a tak.

TRAVIX: úplně si nejsem jistý, jestli bych takhle jednoduše řekl, že tě kryje oprávněný zájem. To funguje malinko jinak a ten příklad je, že třeba tvoji zaměstnanci mají na badge fotku je kvůli tomu, aby když jde ochranka, aby si mohla zkontrolovat, zda se tam netoulá někdo, kdo tam nemá co dělat.

CYBERWOLF: Co se Tebe týká, tak bys měl mít nějak rozumně zpracovanou "informační povinnost" (privacy policy). A k Tvým bodům.
1) To, že máš embedovaný Google maps na webu, Heureka atp, to by nikoho trápit nemělo. Tohle bys měl mít vyřešené tak, že máš nějakej cookie popup, který se Tě ptá, jestli chceš využívat jen nutné cookiny a nebo i nějaké marketingové atp. Takže souhlas na mapu? nevidím důvod.
2) Znovu, tohle by Ti měl vyřešit ten cookie nástroj.
3) Já stále nerozumím tomu, na co bys chtěl GDPR souhlasy. Ono je to s nima trochu složitější, než jen někam dát zaškrtávátko.

Obecně všechny e-commerce aktivity (reklamy, remarketing, ...) budou lépe vyřešené v "eGDPR" (eprivacy regulation), která se bude věnovat jen tomu digitálu. Je hezké vidět, že o tom přemýšlíš, ale imho řešíš věci o úroveň níže, než bys reálně měl.

CYBERWOLF:

podle mne ta kontrola co prijde nebude resit konkretni udani nekoho, oni si ten proces otestuji sami na sobe a overi zda je to nastaveno spravne...

Prosím, potvrďte nebo vyvraťte mi následující (už se z toho dostávám do hrozný schízy):

1) Pokud na web embeduju cokoliv, ale úplně cokoliv, z jakéhokoliv jiného webu (google mapy, api, heuréka - ověřeno zákazníky, video z youtube, jQuery z CDN...) tak než to udělám, musím mít od návštěvníka souhlas. Nestačí, že to jQuery tam potřebuju, protože ho přeci nemusím tahat z CDN. Nestačí, že bez těch Google map tlačítko "ukázat na mapě" nemůže nic ukázat, protože jinak zbytek webu funguje.

2) musím být schopen souhlas doložit. To znamená, že si musím u návštěvníka uložit nějaký unikátní ukazatel a do databáze si pak zapsat, že návštěvník s tímhle id mi dat tehdy a tehdy takový a makový souhlas. Stejně tak si musím ukládat každý update. Když pak za mnou přijde Franta Jetel, že jsem si u něj uložil cookies, aniž by mi dal souhlas a on si mezitím smazal cookies (tj. i ten unikátní ukazatel), tak nemám žádný způsob jak zjistit, který z těch milionů souhlasů byl ten jeho.

3) Tohle všechno musím popsat stručně a jednoduše, tak aby to pochopil i BFU, nesmí to být moc dlouhé a ty souhlasy musím vyžadovat tak, aby to člověka příliš neobtěžovalo. Současně ten web musí nějak fungovat i bez toho, pokud je to alespoň trochu technicky možné.

---

Pokud je číslo 1 pravda, do jaké kategorie souhlasu tyhle věci spadají? Nebo si mám vyžadovat souhlas pro každý úkon zvlášť? Tj. "abysme ti mohli ukázat mapu, musíme jí stáhnout z googlu. Jestli s tím nemáš problém, tak to tady potvrď". Tenhle souhlas musím taky uložit.

Pokud je pravda i číslo 2, tak ty uložené souhlasy nikdy nemůžu použít k doložení čehokoliv jiného, než že si ukládám souhlasy, protože je nedokážu spojit s konkrétním člověkem, pokud teda sám nebude chtít a nesmazal si tu cookie s unikátním identifikátorem.

Pokus je pravda i číslo 3, tak to nejde udělat, jsem v prdeli jak Baťa s dřevákama a celé je to jenom o tom, jestli nějaká kontrola přijde a rozhodne se rozpoutat peklo.

ZBYNEK: Soud to nezakazal, jen rekl, ze nejde o zpracovovani na zakladne opravneneho zajmu, takze k nemu spravce musi mit jiny GDPR-compliant titul. Napriklad souhlas uzivatele - ktery IMHO muze uzivatel udelit treba tak, ze se mu po pristupu na web zobrazi cookie-like upozorneni, na zaklade ktereho udeli souhlas ke zpracovavani sve IP adresy vc. predani Googlu. Otazkou je, co se stane, kdyz uzivatel takovy souhlas neudeli.

ZBYNEK: Nie, jediny dovod preco tu sluzbu takto zadarmo poskytuju je, ze zbieraju informacie o uzivateloch.
Alebo ta napada iny bussiness model, u verejne ochodovanej korporacie, ktoru by mohli akcionari zalovat keby im znizovali vynosy?:)

(a ano, ked sa nad tym zamyslis, zistis ze z rovnakeho dovodu poskytuju "zadarmo" aj ine sluzby. Zadarmo je teda v skutocnosti pekne draho, ale neplatis to bezprostredne)

NIEKT0: Podle mě je to špatně přeložené, nic se "nereportuje", prostě při embedování poskytovatel vidí IP adresu návštěvníka webu.

Stejným způsobem je pak proti GDPR např. použití reCaptcha, embedování (nejen googlovských) map apod.

Co se zakáže příště?

Vkládání Google Fonts do webů může porušovat GDPR, řekl německý soud - Lupa.cz
https://www.lupa.cz/aktuality/vkladani-google-fonts-do-webu-muze-porusovat-gdpr-rekl-nemecky-soud/

PULKA: Zlatá @Kasumi mi napsala koment:
..., tze jsem to jen prolitla
Tohle trestny cin nejspis nebude
Coi neni na vztah podnikatel podnikatel
Gdpr je tady asi mozne pouzit za urcitych okolnosti, ale nejaky zasadni problem tam v pripade jednoho spamu nebude
Smerovala bych to spis viz zde

Kdo může dostat pokutu za spam? | epravo.cz
https://www.epravo.cz/top/clanky/kdo-muze-dostat-pokutu-za-spam-111205.html

PULKA: Tehle subjektu je hromada. Vetsinou posilaji hned po zalozeni ZL. Co vim, tak byl nejaky pokus o zalobu, ale snad nikdy to nevyslo.

GHOSTSTALKER: Ok, diky za upřesnění. Prijde mi to jako pekny opruz, ale když s tim nic nenadelam.

PULKA: AFAIK obchodní sdělení bez předchozího souhlasu jsou OK, nota bene podnikateli; můžeš vznést námitku. Ta služba existuje; z e-mailu je zřejmé, že tu fakturu nemusíš hradit.