• úvod
  • témata
  • události
  • tržiště
  • diskuze
  • nástěnka
  • přihlásit
    registrace
    ztracené heslo?
    EXISGDPR - mýty, rady, konzultace
    GDPR - General Data Protection Regulation - Nová legislativa na ochranu osobních údajů, která začne platit od 25. 5. 2018!
    rozbalit záhlaví
    GHOSTSTALKER
    GHOSTSTALKER --- ---
    ZVIRATKO: Bezpecnostni agenture. Majitel budovy k systemu a zaznamum/udajum nema zadny pristup, dokonce ani na zadost (dle smlouvy o zajisteni sluzeb smi agentura udaje predat pouze organum verejne moci).
    ZVIRATKO
    ZVIRATKO --- ---
    GHOSTSTALKER: zalezi asi komu patri ten system, potazmo data na nem. Tipnu, ze majitel budovy si ten system koupil, takze bude spravce a agentura zpracovatel?
    GHOSTSTALKER
    GHOSTSTALKER --- ---
    Kdo je správcem osobních údajů z bezpečnostních kamer - majitel budovy (který nemá k záznamům z kamer žádný přístup), nebo bezpečnostní agentura (která systém provozuje v rámci poskytování bezpečnostních služeb)?
    ZVIRATKO
    ZVIRATKO --- ---
    nejaky nazor na tohle?
    Eufy cameras upload content to the cloud without owners knowledge | AppleInsider
    https://appleinsider.com/articles/22/11/29/eufy-cameras-upload-content-to-the-cloud-without-owners-knowledge

    zatim teda neni jasne jak moc to je prehnane, ale jako cerstvy majitel Eufy kamerky mam chut podat nejaky podnet na UOOU...
    EXIS
    EXIS --- ---
    GHOSTSTALKER: zajímavé. Já jsem chtěl right of access po O2 a nutili mě, abych jim něco poslal datovkou. To mi přišlo přes čáru, nahlásil jsem to a úřad se na to vykvajzl. Tak třeba už dostali chuť si došlápnout na větší firmy.
    GHOSTSTALKER
    GHOSTSTALKER --- ---
    FYI, bojuji s Vodafonem ohledně nevyžádaného zasílání informací o vyúčtování a o platbách z jejich strany a ÚOOÚ mi dal předběžně za pravdu. Tak kdyby to někoho zajímalo/kdyby někoho ten spam ze strany Vodafonu štval stejně jako mě:

    "Jak jste byl dne XY vyrozuměn, Úřad pro ochranu osobních údajů (dále „Úřad“) v návaznosti na Vaši stížnost, směřující proti společnosti Vodafone Czech Republic a.s. (dále „správce“), požádal správce o vyjádření k předmětné záležitosti a upřesnění právního důvodu pro Vámi namítané zpracování telefonního čísla (pro zasílání upozornění o vystaveném vyúčtování a pro potvrzení o přijaté platbě za vyúčtování).

    Dle obdrženého vyjádření správce je právním důvodem zpracování telefonního čísla pro oba výše zmíněné účely plnění smlouvy, tj. uvedl právní důvod podle čl. 6 odst. 1 písm. b) nařízení (EU) 2016/679. Využití dvou kanálů pro komunikaci informace o vyúčtování zdůvodňuje „praktickou historickou zkušeností zákaznických vztahů“, které „snižuje potenciální negativní dopady pro zákazníka, který se opozdí s úhradou, či případně dojde k chybě či nesrovnalosti v rámci provedení platby za služby…“ a „je tedy v zájmu zákazníka“.

    Po posouzení obsahu předmětného vyjádření správce, vzniká podezření, že správce zpracovává telefonní číslo pro komunikaci o vystaveném vyúčtování nadbytečně v rozporu se zásadou minimalizace údajů (když současně o tomtéž zákazníka informuje e-mailem).

    V případě zpracování telefonního čísla o přijaté platbě se výše uvedený právní důvod jeví jako nepřiléhavý, neboť, jak sám uvádí, jedná se o zájem zákazníka, pokud obdrží potvrzení o správcem přijaté platbě. Je však zcela na zákazníkovi, pokud tato potvrzení platby považuje za obtěžující a nadbytečná, zda a jak si ověří provedení vlastní úhrady služeb.

    Jelikož správce Úřadu nevysvětlil, z jakého důvodu zasílání potvrzujících sms zpráv o přijaté platbě vyúčtování (tedy zpracování telefonního čísla pro tento účel) je povinné a nikoliv dobrovolné, a nevysvětlil ani nezbytnost duplicitního zpracování telefonního čísla pro informování Vás o vystaveném vyúčtování, a jelikož se jedná o systémové zpracování
    osobních údajů, sděluji Vám, že Úřad se věcí dále zabývá a rozhodne o případném uplatnění dalších dozorových pravomocí.

    O dalším postupu při řešení Vaší stížnosti budete vyrozuměn v souladu s článkem 78 nařízení."


    Palec nahoru pro Úřad!
    ELIDOR
    ELIDOR --- ---
    EXIS: děkuji Ti
    EXIS
    EXIS --- ---
    ELIDOR: tak pokud je na druhé straně vždycky firma a odběratel (FO) jsi Ty, tak max můžeš poškodit sebe.. takže bych na to dlabal.. Ale jinak bys to měl mít vyřešené ve svém skartačním řádu. @KASUMI by měla určitě zkušenější radu
    ELIDOR
    ELIDOR --- ---
    ahoj prosim o info .. vyklizim kancelar (jsem tu 21let) a je tu hafo faktur a dodacich listu za cele ty roky (ale nejmladsi z roku 2010 kdy jsme presli kompletne na bezpapirovou kancelar), faktury jsou stare od roku 1990 az do toho roku 2010, odhadem jich tu je tak 50 000 ... a dotaz:

    podlehaji faktury (my vzdy jako odberatel) GDPR, tzn musim je skartovat, nebo je mohu dat do papiroveho odpadu?
    dekuji moc
    CYBERWOLF
    CYBERWOLF --- ---
    EXIS: především v tom, že používám na webech Google Analytics (a další) a tím pádem jsem ve stejné situaci, jako ti odsouzení. Jen mě ještě holt nikdo nepostavil před soud.
    EXIS
    EXIS --- ---
    CYBERWOLF: já vlastně nevím, v čem Tě to znepokojuje
    NIEKT0
    NIEKT0 --- ---
    EXIS
    EXIS --- ---
    TRAVIX: nadužívání souhlasu je taky špatně a můžeš za to být potrestán. Já jsem narážel na to, že si psal "a dokonce v budoucnu odvolat!".
    CYBERWOLF: asi mají hodně práce...
    TRAVIX
    TRAVIX --- ---
    EXIS: Hele, nic ve zlém, ale pokud tě pobavilo, že souhlas dle GDPR je odvolatelný, pak se asi trochu míjíme. Souhlasy dle GDPR fakt nejsou takové ty vyskakovací okýnko "používáním souhlasíte" a nazdar. To je separátní právní akt, který MUSÍ být odvolatelný.

    No, pokud jde o postoj UOOU - samozřejmě neznám tvůj produkt ani celou situaci, ale podívej se na článek 7 odstavec 4 GDPR. Pokud by poskytnutí tvé služby bylo podmíněno souhlasem, není to souhlas svobodný. Pokud na UOOU tvrdí něco jiného... Tak buď neznám celou situaci, nebo si prostě kryjí záda a radí ti přehnaně přísně. (Protože za nadbytečné vyžadování souhlasu ještě nikdo pokutu nedostal, že o.)
    CYBERWOLF
    CYBERWOLF --- ---
    EXIS: jak ta konzultace s ÚOOÚ probíhala? Protože já jim třeba na tohle téma psal dotaz někdy před měsícem a dostal jsem akorát potvrzení o přijetí.
    EXIS
    EXIS --- ---
    TRAVIX: Bohužel s Tvojí logikou se nedá souhlasit. Tohle jsem řešil na ÚOOÚ a problém vypadal takto. Mám produkt, kde nutně potřebuju zpracovávat biometrické údaje uživatele. Pokud je nebudu zpracovávat, tak nemůžu poskytovat službu - tedy moje myšlenka byla, že to je součástí obchodních podmínek a není potřeba souhlas. Nicméně po konzultaci s ÚOOÚ je to tak, že souhlas je třeba a pokud souhlas odebere, pak ty data musím smazat/anonymizovat. Takže s tím souhlasem je to trochu složitější. A Tvoje "dokonce v budoucnu odvolat" -- s tím dokonce si mě pobavil. To je přece podstata souhlasu.

    KAJJAK: Aby ale úřad začal cokoliv prověřovat, tak už tam musí být poměrně hodně stížností. Například moje stížnosti na chování operátorů, kde zcela jednoznačně porušují to, jak má souhlas pracovat dodnes nejsou vyřešené a to jsem byl velmi podrobný v tom, kde je problém.
    CYBERWOLF
    CYBERWOLF --- ---
    KAJJAK: to by dávalo smysl. Ale předpis říká něco jiného. Viz. str. 23, 5.1 Doložení souhlasu: https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_cs.pdf
    KAJJAK
    KAJJAK --- ---
    CYBERWOLF:
    to je hlava 22, zakaznik, ktery souhlas neudeli a presto si stezuje, ze se mu neco nezda, tak u toho konkretniho zakaznika si nesmel nic ulozit a tim padem ani dukaz, ze si ho smazal... Takze urad to nebude setrit stylem cos udelal konkretne tomu zakaznikovi co si stezuje, ten urednik to proste vyzkousi sam na sobe opakovanim +- stejneho postupu, ktery mu nastinil stezovatel...
    CYBERWOLF
    CYBERWOLF --- ---
    TRAVIX: případ s fonty je totožný s CDN. Google fonty jsou fakticky CDN na fonty. Stejně tak se dá říct o mapě, že ji může někdo nakreslit a dát tam jako obrázek. Takhle bych mohl prohlásit, že tu analytiku a retargeting taky potřebuju, protože bez toho nemůžu shop provozovat ve svejné kvalitě a to tak evidentně nefunguje.

    EXIS: jak vypadá dobře sepsaná informační povinnost? To je vedle toho, jak má fungovat dokládání souhlasu další věc, na kterou jsem doposud nenašel odpověď.

    cookiefirst.com je asi pátý podobný nástroj co jsem viděl. To že se za to dá zaplatit neznamená, že je to dobře. U těch jiných jsem narážel na věci, které jsou přímo v rozporu s tím, co se píše v pokynech nebo co tvrdí úooú. Navíc, zapojovat další třetí stranu, aby mi sbírala souhlasy lidí, když ty souhlasy bych mohl sbírat sám (pokud bych teda věděl, jak to mám sakra udělat, aby mi ty souhlasy pak k něčemu byly) mi přijde - zvlášť s ohledem na to, že máme chránit osobní údaje těch lidí - poněkud absurdní. Obzvlášť s ohledem na to, že fakt nevím, jestli ty souhlasy sbírají takovým způsobem, aby mi to v případě potřeby k něčemu bylo.

    Spoléhat na to, že kontrola nepřijde, je jistě dobrá první obranná linie (právě teď na to jedu) ale ne poslední. Sázet na to, že se nenaštve někdo, kdo má na úřadě tetu, nebo že se neobjeví twitter mob, co ty stovky stížností vyprodukuje je - obzvlášť v této době - přinejmenším riskantní. Spoléhat na to, že mě úřad nebude šikanovat, když finančák zvládnul během pár let zlikvidovat zajišťovacími příkazy stovky firem, z toho minimálně desítky (prokázané soudem) neoprávněně - to je jak ruská ruleta se solidně naládovaným revolverem.

    Ještě to vezmu trochu ze široko, abysme mluvili všichni o tom samém. To co řeším není nějaká dopředná kompatibilita, ale soulad s tím, co platí teď, konkrétně od 1. 1. Vycházím z toho, co píše úooú zde https://www.uoou.cz/vismo/zobraz_dok.asp?id_org=200144&id_ktg=6912&submit.x=7&submit.y=7 a těchto pokynů:
    https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_cs.pdf
    https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=31895

    Z toho, dle mého názoru, jasně vyplývá právě to, co jsem psal. Bez souhlasu můžu ukládat a číst cookie (nebo jakákoliv data v prohlížečí, fingerprinty...) pouze pokud je to nezbytné k poskytnutí služby, což v případě eshopu znamená k nákupu. Ve všech ostatních případech (tj. cokoliv, bez čeho je možné nakoupit) potřebuju souhlas. A to takový, který budu moct zpětně doložit, protože důkazní břemeno leží na mě.
    TRAVIX
    TRAVIX --- ---
    CYBERWOLF: No ne, tak sám potvrzuješ, že tu službu nemůžeš bez google mapy, Heuréky a CDN poskytovat ve stejné kvalitě, egro ty věci objektivně potřebuješ. Tedy netřeba souhlasu.

    Ten soudní rozsudek byl o tom, že pokud chceš mít na stránce hezké fonty, není nutné posílat IP adresu Googlu. Pokud chceš mít na stránce mapu, a není možné si ji tam dát bez toho, že pošleš někomu IP adresu, tak sorryjako. GDPR opravdu není o tom, že na každé uprdnutí potřebuješ písemný souhlas. GDPR je o tom, že se máš zamyslet, jestli skutečně potřebuješ zpracovávat osobní údaje, které zpracováváš, a pokud už ano, abys je zpracovával v minimální možno míře, a pokud možno bezpečně.

    EXIS: No a teď jednoduchá úvaha - souhlas podle GDPR musí být aktivní (tedy ne popup formulář s předzaškrtnutým políčkem, nebo dokonce "používáním stránky vyjadřujete souhlas"). GDPR souhlas musí být možné odmítnout (a dokonce v budoucnu odvolat!) a hlavně, hlavně odepřením souhlasu nesmí dojít k odepření služby. Zkusím tu logiku trochu otočit - je možné odepřít souhlas, A PŘESTO nadále službu poskytovat? Pokud odpověď zní NE, pak nejsi v režimu souhlasu, ale v režimu nezbytného zpracování.
    Kliknutím sem můžete změnit nastavení reklam