• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    EXISGDPR - mýty, rady, konzultace
    EXIS
    EXIS --- ---
    CYBERWOLF: já vlastně nevím, v čem Tě to znepokojuje
    NIEKT0
    NIEKT0 --- ---
    EXIS
    EXIS --- ---
    TRAVIX: nadužívání souhlasu je taky špatně a můžeš za to být potrestán. Já jsem narážel na to, že si psal "a dokonce v budoucnu odvolat!".
    CYBERWOLF: asi mají hodně práce...
    TRAVIX
    TRAVIX --- ---
    EXIS: Hele, nic ve zlém, ale pokud tě pobavilo, že souhlas dle GDPR je odvolatelný, pak se asi trochu míjíme. Souhlasy dle GDPR fakt nejsou takové ty vyskakovací okýnko "používáním souhlasíte" a nazdar. To je separátní právní akt, který MUSÍ být odvolatelný.

    No, pokud jde o postoj UOOU - samozřejmě neznám tvůj produkt ani celou situaci, ale podívej se na článek 7 odstavec 4 GDPR. Pokud by poskytnutí tvé služby bylo podmíněno souhlasem, není to souhlas svobodný. Pokud na UOOU tvrdí něco jiného... Tak buď neznám celou situaci, nebo si prostě kryjí záda a radí ti přehnaně přísně. (Protože za nadbytečné vyžadování souhlasu ještě nikdo pokutu nedostal, že o.)
    CYBERWOLF
    CYBERWOLF --- ---
    EXIS: jak ta konzultace s ÚOOÚ probíhala? Protože já jim třeba na tohle téma psal dotaz někdy před měsícem a dostal jsem akorát potvrzení o přijetí.
    EXIS
    EXIS --- ---
    TRAVIX: Bohužel s Tvojí logikou se nedá souhlasit. Tohle jsem řešil na ÚOOÚ a problém vypadal takto. Mám produkt, kde nutně potřebuju zpracovávat biometrické údaje uživatele. Pokud je nebudu zpracovávat, tak nemůžu poskytovat službu - tedy moje myšlenka byla, že to je součástí obchodních podmínek a není potřeba souhlas. Nicméně po konzultaci s ÚOOÚ je to tak, že souhlas je třeba a pokud souhlas odebere, pak ty data musím smazat/anonymizovat. Takže s tím souhlasem je to trochu složitější. A Tvoje "dokonce v budoucnu odvolat" -- s tím dokonce si mě pobavil. To je přece podstata souhlasu.

    KAJJAK: Aby ale úřad začal cokoliv prověřovat, tak už tam musí být poměrně hodně stížností. Například moje stížnosti na chování operátorů, kde zcela jednoznačně porušují to, jak má souhlas pracovat dodnes nejsou vyřešené a to jsem byl velmi podrobný v tom, kde je problém.
    CYBERWOLF
    CYBERWOLF --- ---
    KAJJAK: to by dávalo smysl. Ale předpis říká něco jiného. Viz. str. 23, 5.1 Doložení souhlasu: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_cs.pdf
    KAJJAK
    KAJJAK --- ---
    CYBERWOLF:
    to je hlava 22, zakaznik, ktery souhlas neudeli a presto si stezuje, ze se mu neco nezda, tak u toho konkretniho zakaznika si nesmel nic ulozit a tim padem ani dukaz, ze si ho smazal... Takze urad to nebude setrit stylem cos udelal konkretne tomu zakaznikovi co si stezuje, ten urednik to proste vyzkousi sam na sobe opakovanim +- stejneho postupu, ktery mu nastinil stezovatel...
    CYBERWOLF
    CYBERWOLF --- ---
    TRAVIX: případ s fonty je totožný s CDN. Google fonty jsou fakticky CDN na fonty. Stejně tak se dá říct o mapě, že ji může někdo nakreslit a dát tam jako obrázek. Takhle bych mohl prohlásit, že tu analytiku a retargeting taky potřebuju, protože bez toho nemůžu shop provozovat ve svejné kvalitě a to tak evidentně nefunguje.

    EXIS: jak vypadá dobře sepsaná informační povinnost? To je vedle toho, jak má fungovat dokládání souhlasu další věc, na kterou jsem doposud nenašel odpověď.

    cookiefirst.com je asi pátý podobný nástroj co jsem viděl. To že se za to dá zaplatit neznamená, že je to dobře. U těch jiných jsem narážel na věci, které jsou přímo v rozporu s tím, co se píše v pokynech nebo co tvrdí úooú. Navíc, zapojovat další třetí stranu, aby mi sbírala souhlasy lidí, když ty souhlasy bych mohl sbírat sám (pokud bych teda věděl, jak to mám sakra udělat, aby mi ty souhlasy pak k něčemu byly) mi přijde - zvlášť s ohledem na to, že máme chránit osobní údaje těch lidí - poněkud absurdní. Obzvlášť s ohledem na to, že fakt nevím, jestli ty souhlasy sbírají takovým způsobem, aby mi to v případě potřeby k něčemu bylo.

    Spoléhat na to, že kontrola nepřijde, je jistě dobrá první obranná linie (právě teď na to jedu) ale ne poslední. Sázet na to, že se nenaštve někdo, kdo má na úřadě tetu, nebo že se neobjeví twitter mob, co ty stovky stížností vyprodukuje je - obzvlášť v této době - přinejmenším riskantní. Spoléhat na to, že mě úřad nebude šikanovat, když finančák zvládnul během pár let zlikvidovat zajišťovacími příkazy stovky firem, z toho minimálně desítky (prokázané soudem) neoprávněně - to je jak ruská ruleta se solidně naládovaným revolverem.

    Ještě to vezmu trochu ze široko, abysme mluvili všichni o tom samém. To co řeším není nějaká dopředná kompatibilita, ale soulad s tím, co platí teď, konkrétně od 1. 1. Vycházím z toho, co píše úooú zde https://www.uoou.cz/vismo/zobraz_dok.asp?id_org=200144&id_ktg=6912&submit.x=7&submit.y=7 a těchto pokynů:
    https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_cs.pdf
    https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=31895

    Z toho, dle mého názoru, jasně vyplývá právě to, co jsem psal. Bez souhlasu můžu ukládat a číst cookie (nebo jakákoliv data v prohlížečí, fingerprinty...) pouze pokud je to nezbytné k poskytnutí služby, což v případě eshopu znamená k nákupu. Ve všech ostatních případech (tj. cokoliv, bez čeho je možné nakoupit) potřebuju souhlas. A to takový, který budu moct zpětně doložit, protože důkazní břemeno leží na mě.
    TRAVIX
    TRAVIX --- ---
    CYBERWOLF: No ne, tak sám potvrzuješ, že tu službu nemůžeš bez google mapy, Heuréky a CDN poskytovat ve stejné kvalitě, egro ty věci objektivně potřebuješ. Tedy netřeba souhlasu.

    Ten soudní rozsudek byl o tom, že pokud chceš mít na stránce hezké fonty, není nutné posílat IP adresu Googlu. Pokud chceš mít na stránce mapu, a není možné si ji tam dát bez toho, že pošleš někomu IP adresu, tak sorryjako. GDPR opravdu není o tom, že na každé uprdnutí potřebuješ písemný souhlas. GDPR je o tom, že se máš zamyslet, jestli skutečně potřebuješ zpracovávat osobní údaje, které zpracováváš, a pokud už ano, abys je zpracovával v minimální možno míře, a pokud možno bezpečně.

    EXIS: No a teď jednoduchá úvaha - souhlas podle GDPR musí být aktivní (tedy ne popup formulář s předzaškrtnutým políčkem, nebo dokonce "používáním stránky vyjadřujete souhlas"). GDPR souhlas musí být možné odmítnout (a dokonce v budoucnu odvolat!) a hlavně, hlavně odepřením souhlasu nesmí dojít k odepření služby. Zkusím tu logiku trochu otočit - je možné odepřít souhlas, A PŘESTO nadále službu poskytovat? Pokud odpověď zní NE, pak nejsi v režimu souhlasu, ale v režimu nezbytného zpracování.
    EXIS
    EXIS --- ---
    CYBERWOLF: 1) ano, hypoteticky správně bys to neměl dělat (předávat data někomu jinému bez souhlasu). Ale nikdo Tě v téhle době nebude popotahovat za to, že tam máš Heureku. Tam spíš více vnímám to, že má Heureka přehled o Tvých skladech, cenách, obrátkovosti a někdo to může zneužívat.. spíš než osobní údaje (IP, identifikátory) lidí... O důvod více mít dobře sepsanou informační povinnost, kde popisuješ tyhlety věci (kam co předáváš atp). Ale v tomhle Heureka případě souhlasím, že by ses při lámání chleba schovával za oprávněný zájem či plnění svých smluvních závazků. Nicméně kdyby to každý řešil jako Ty, tak žádný web nefunguje a všichni to zavřou. Např. Tvoji zaměstnanci můžou být nasratí, že jejich osobní údaje a další finanční věci předáváš svému externímu účetnímu, ale to je Tvoje rozhodnutí a pokud je to sere, tak můžou pracovat jinde.
    2) https://cookiefirst.com/ - tady když si vlezeš (mají to docela hezky udělané), tak si můžeš nastavit, které cookies jedou, tedy která data se zpracovávají a případně předávají.
    3) Pokud nejsi Alza, Mall, CZC, Seznam, hn.cz, ... tak se na Tebe dostane tak za 1000 let, pokud nebudou řádově stovky lidí, kteří by si dali tu práci a stěžovali si na úřadě.
    CYBERWOLF
    CYBERWOLF --- ---
    EXIS: 1) důvod je ten, že jak Heuréka tam ta mapa se tahá z jiného webu, ergo předávám údaje nějaké třetí straně (IP adresa, případně i cookies té třetí strany). Což bez souhlasu nemůžu, nebo ano?
    2) podobnou odpověď už jsem při konzultaci s právníkem dostal taky, problém je, že já dělám ten cookie nástroj a potřebuju vědět, co to má dělat, aby to k něčemu bylo a na to mi nějak nikdo nedokáže odpovědět.
    3) potřebuju to proto, abych mohl mít na webu tyhle dříve jmenované věci a nějakej úřad mě za to pak nejebal do ucha. Třeba že posílám data o uživatelých do zámoří a tak.
    EXIS
    EXIS --- ---
    TRAVIX: úplně si nejsem jistý, jestli bych takhle jednoduše řekl, že tě kryje oprávněný zájem. To funguje malinko jinak a ten příklad je, že třeba tvoji zaměstnanci mají na badge fotku je kvůli tomu, aby když jde ochranka, aby si mohla zkontrolovat, zda se tam netoulá někdo, kdo tam nemá co dělat.

    CYBERWOLF: Co se Tebe týká, tak bys měl mít nějak rozumně zpracovanou "informační povinnost" (privacy policy). A k Tvým bodům.
    1) To, že máš embedovaný Google maps na webu, Heureka atp, to by nikoho trápit nemělo. Tohle bys měl mít vyřešené tak, že máš nějakej cookie popup, který se Tě ptá, jestli chceš využívat jen nutné cookiny a nebo i nějaké marketingové atp. Takže souhlas na mapu? nevidím důvod.
    2) Znovu, tohle by Ti měl vyřešit ten cookie nástroj.
    3) Já stále nerozumím tomu, na co bys chtěl GDPR souhlasy. Ono je to s nima trochu složitější, než jen někam dát zaškrtávátko.

    Obecně všechny e-commerce aktivity (reklamy, remarketing, ...) budou lépe vyřešené v "eGDPR" (eprivacy regulation), která se bude věnovat jen tomu digitálu. Je hezké vidět, že o tom přemýšlíš, ale imho řešíš věci o úroveň níže, než bys reálně měl.
    CYBERWOLF
    CYBERWOLF --- ---
    TRAVIX: tak jasně, tu google mapu tam taky mít nemusím, stačí napsat adresu a lidi už si to nějak najdou. Taky tam nemusí být nálepka "ověřeno zákazníky" z Heuréky - vždyť nakoupit se dá i bez toho. Nemusím používat CDN, prostě to všechno uložím lokálně a při první návštěvě si to každej (zase, znova) stáhne.

    Akorát to pak bude dost na hovno a lidi spíš nakoupěj tam, kde se jim web načte dřív, budou k tomu mít důvěru a nebudou muset hledat, kde ten krám je. Což možná z pohledu ochrany osobních údajů není problém, ale z pohledu toho shopu je to průser. Stejně tak pokud vyhodím analytiku, retargeting a tak. Takže to potřebuju udělat nějak, aby to nebyl průser. Nepotřebování souhlasu evidentně není cesta.
    TRAVIX
    TRAVIX --- ---
    První věc, na kterou je potřeba odpovědět, zní "Je možné poskytovat tu vlastní službu bez zpracování osobních údajů?"
    Pokud ano, pak je problém vyřešen, prostě nezpracovávej osobní údaje.
    Pokud ne, pak je problém taky vyřešen, protože tě kryje oprávněný zájem.

    Jak jsem pochopil, ten rozsudek s těmi fonty vycházel z toho, že odesílání IP adresy Googlu nebylo nutné pro provoz webu. ("fonty z Google Fonts je možné na webu používat i bez přímého kontaktu se servery Googlu (provozovatel webu si je může stáhnout na svůj server a IP adresy Googlu vůbec neposílat)")

    Souhlasy podle GDPR jsou v podstatě potřeba jenom tehdy, když chceš zpracovávat osobní údaje, které objektivně nepotřebuješ k poskytnutí služby.
    KAJJAK
    KAJJAK --- ---
    CYBERWOLF:

    podle mne ta kontrola co prijde nebude resit konkretni udani nekoho, oni si ten proces otestuji sami na sobe a overi zda je to nastaveno spravne...
    CYBERWOLF
    CYBERWOLF --- ---
    Prosím, potvrďte nebo vyvraťte mi následující (už se z toho dostávám do hrozný schízy):

    1) Pokud na web embeduju cokoliv, ale úplně cokoliv, z jakéhokoliv jiného webu (google mapy, api, heuréka - ověřeno zákazníky, video z youtube, jQuery z CDN...) tak než to udělám, musím mít od návštěvníka souhlas. Nestačí, že to jQuery tam potřebuju, protože ho přeci nemusím tahat z CDN. Nestačí, že bez těch Google map tlačítko "ukázat na mapě" nemůže nic ukázat, protože jinak zbytek webu funguje.

    2) musím být schopen souhlas doložit. To znamená, že si musím u návštěvníka uložit nějaký unikátní ukazatel a do databáze si pak zapsat, že návštěvník s tímhle id mi dat tehdy a tehdy takový a makový souhlas. Stejně tak si musím ukládat každý update. Když pak za mnou přijde Franta Jetel, že jsem si u něj uložil cookies, aniž by mi dal souhlas a on si mezitím smazal cookies (tj. i ten unikátní ukazatel), tak nemám žádný způsob jak zjistit, který z těch milionů souhlasů byl ten jeho.

    3) Tohle všechno musím popsat stručně a jednoduše, tak aby to pochopil i BFU, nesmí to být moc dlouhé a ty souhlasy musím vyžadovat tak, aby to člověka příliš neobtěžovalo. Současně ten web musí nějak fungovat i bez toho, pokud je to alespoň trochu technicky možné.

    ---

    Pokud je číslo 1 pravda, do jaké kategorie souhlasu tyhle věci spadají? Nebo si mám vyžadovat souhlas pro každý úkon zvlášť? Tj. "abysme ti mohli ukázat mapu, musíme jí stáhnout z googlu. Jestli s tím nemáš problém, tak to tady potvrď". Tenhle souhlas musím taky uložit.

    Pokud je pravda i číslo 2, tak ty uložené souhlasy nikdy nemůžu použít k doložení čehokoliv jiného, než že si ukládám souhlasy, protože je nedokážu spojit s konkrétním člověkem, pokud teda sám nebude chtít a nesmazal si tu cookie s unikátním identifikátorem.

    Pokus je pravda i číslo 3, tak to nejde udělat, jsem v prdeli jak Baťa s dřevákama a celé je to jenom o tom, jestli nějaká kontrola přijde a rozhodne se rozpoutat peklo.
    TRAVIX
    TRAVIX --- ---
    GHOSTSTALKER: □□□□□□□□□□□□□□□□□ □□□ □□□□□□□□□□ □□□□□□□□ □□□
    □□□□□□ □□□□□ □□□□□□□□ □□□□□□□□□ □□□□□□□ □□□□□□□□□□□□□ □□
    □□□□□□□ □□□□ □□□□□□□□□□□□□□□□ □□□□□□□□ □□□□ □□□□□□□□□□□□□ □□□□□□□.
    GHOSTSTALKER
    GHOSTSTALKER --- ---
    ZBYNEK: Soud to nezakazal, jen rekl, ze nejde o zpracovovani na zakladne opravneneho zajmu, takze k nemu spravce musi mit jiny GDPR-compliant titul. Napriklad souhlas uzivatele - ktery IMHO muze uzivatel udelit treba tak, ze se mu po pristupu na web zobrazi cookie-like upozorneni, na zaklade ktereho udeli souhlas ke zpracovavani sve IP adresy vc. predani Googlu. Otazkou je, co se stane, kdyz uzivatel takovy souhlas neudeli.
    Kliknutím sem můžete změnit nastavení reklam