NAVARA: Tak na vyžádání by ti měli sdělit, kdo je správce, což udělali - jméno společnosti. Pověřence sice mít asi musí, ale nemusí ho sdělovat v každém emailu - mohou ho mít někde na stránkách.

NAVARA: Pokud číslo vygenerovali náhodně, tak jak vědí jméno, přijmení a hlavně email (-; ?Jestli věděli, i jaký typ pojištění máš, tak to je trochu více - to už je osobní údaj (protože bez auta těžko máš jeho pojištění apod.). Dále v okamžiku zavolání, kdy jsi sdělil své jméno, tak se z toho čísla stal osobní údaj a oni neměli už právní titul k jeho užívání - už to byl náhle osobní údaj. Proto obvykle žádá operátor o souhlas s pokračováním, aby měli právní titul!
Jinak tam mají chybičku - "oprávněný zájem společnosti Conectart vyplývající přímo z nařízení GDPR" je nesmysl. GDPR dovoluje oprávněný zájem jako právní titul, musí být ale specifikováno, čím je ten zájem konkrétně oprávněn - to není bianco šek na jakékoli zpracování. Obvykle je to užívané, když oslovuješ své existující "zákazníky", nikoli cizí osoby, což ty jsi. Měli by ale mít balanční test na posouzení jak je ten jejich zájem oprávněný, což pochybuji, že mají (viz ta chybička). Takže si stěžuj, vypadá to, že jim tam úřad nějaké chyby najde.
Viz tenhle výklad ÚOOÚ: https://www.uoou.cz/gdpr-a-primy-elektronicky-marketing/d-30715 plus tento text od Frank Bold (ti jsou docela dobří v GDPR) https://www.fbadvokati.cz/cs/novinky/1403-kdy-je-primy-marketing-opravnenym-zajmem-stanovisko-uoou

Stručně - pro zákazníky máš oprávněný zájem (případně lépe smluvní závazek, když je to ve smlouvě (-;), pro nezákazníky potřebuješ souhlas nebo je musíš upozornit, jak mohou být vyřazeni. Pro nezákazníky jsi docela na vodě, pokud jsi koupil databázi, což zakrývají tou "lží" o generovaném čísle.

Hmm, prošel jsem telefon a ten s tím pojištěním byl jiný (den předtím), tam to budu muset poslat rovnou na ÚOOÚ, protože mi ani dodatečně nesdělil zpracovatele / pověřence.

NELDE: Volali mi a znali mé jméno, trvalou adresu a že mám nějaká pojištění - nic z toho, včetně níže zmíněného emailu, jsem jim nikdy vědomě nedával.

Telefonický hovor byl společností Conectart uskutečněn na telefonní číslo, které bylo vygenerováno technickým zařízením náhodně z databáze možných telefonních čísel, která je vytvářena z možných rozsahů telefonních čísel. Tato databáze je před využitím důsledně analyzována a jsou z ní vyloučena veškerá telefonní čísla, která má společnost Conectart ve své dřívější evidenci coby nevolatelná, resp. která jsou uvedena ve veřejném seznamu podle ust. § 95 a 96 zákona o elektronických komunikacích a o změně některých zákonů (zákona o elektronických komunikacích), ve znění pozdějších předpisů. Při tomto zpracování vůbec nedochází k nakládání s osobními údaji, telefonní čísla nejsou spojena s žádnou konkrétní osobou, v příslušné databázi společnosti při tomto zpracování nejsou k telefonnímu číslu evidovány žádné osobní údaje. I Vaše telefonní číslo bylo takto vygenerováno, předem ověřeno v dostupných databázích společnosti a bylo vyhodnoceno, že jde o telefonní číslo zcela anonymní, dostupné pro předmětnou službu.
Telefonní číslo se stává osobním údajem konkrétní osoby teprve po jeho propojení s osobou (konkrétní či anonymní), tedy navoláním. Právním titulem tohoto nakládání s telefonním číslem je pak oprávněný zájem společnosti Conectart vyplývající přímo z nařízení GDPR. Samozřejmě, pokud volaný kontakt odmítne, resp. vyjádří nesouhlas s oslovením, jsou veškeré záznamy včetně osobních údajů smazány a telefonní číslo je zaznamenáno na seznam nevolatelných telefonních čísel.

1. Vechny osobní údaje, které se Vás týkají a které jsou uloženy společností
K tomuto uvádíme, že společnost Conectart o Vás zpracovává osobní údaje v rozsahu: jméno, příjmení, telefonní číslo a e-mailová adresa.

8. Kdy, jakým způsobem a na základě jakého souhlasu, byly získány?
K tomuto uvádíme, že Společnost Conectart neeviduje Váš dřívější souhlas se zpracováním osobních údajů, resp. souhlas udělený dřívějším držitelem telefonního čísla. Dále uvádíme, že Váš předběžný souhlas s využitím telefonního čísla není dle platné právní úpravy nutný. Jak bylo výše uvedeno, telefonní číslo se stává osobním údajem konkrétní osoby teprve po jeho propojení s osobou, tedy navoláním.

To pak anonymizované hodím do GDPR audítka…

NAVARA: Nemusí sdělit odkud je mají, ale bez toho se jim zužuje právní titul pro jejich zpracování. Jaký právní titul uvedli?

NELDE: Mám kvalifikovaný certifikát, ale odeslaný outlookem prostě do různých webových a alternativních klientů (které možnost podepsat nemají vůbec) dorazí jen jako příloha winmail.dat a to neotevřou. Přestože by podepisování mělo být standardní, přijde mi že podpora v klientech nic moc.

Chtěl jsem informace, něco mi odpověděli (pověřenec, adresně mně), ale informace odkud ty data dostali mi např. nesdělili; takže jen si musím najít čas sepsat odpověď.

Sorry asi kecam, slo to za penize, v cene doporucenyho dopisu, tehdy jsem si to predstavoval jako email, tedy zdarma.

NELDE: Ted si nejsem jisty, mam datovku SVJ a nove i FO, ale kdyz jsem chtel neco posilat nekomu, tak to neslo nebot to nemeli povoleny - slo to jen v rezimu ze to odeslu datovkou a posta to zkonvertuje na doporuceny dopis. Mozna uz je to ted nejak jinak, momentalne se mi to nechce hledat.

ADM: To jde? Nemít povolený příjem? Já myslel, že když máš datovku, tak přijímat musíš - od toho to bylo zřízeno. Asi bych šel cestou datovky - bude se hodit i na komunikaci s Úřadem.

NELDE: Dik, no promyslim to, investice do doporuceneho dopisu s overenim podpisu v porovnani se zrizenim datove schranky, pricemz predpokladam, ze ty subjekty nebudou mit povoleny prijem datovych zprav.

ELIJEN: Už v tom dva roky nedělám, ale vím, že jsme docela dost probírali jak může/nemůže Úřad postupovat a jaké má na nás páky. Ten základní problém byl v tom, že kontrola znamená hodně rychle vše uvést do pořádku (podle mě to většina firem nemá dodělané do potřebného detailu, protože by to bylo nesmírně drahé), což je dost drahé - měsíc práce specializované právnické firmy (-; Takže riziko možné kontroly je docela tlak na statutární orgány. Ale musí se k nim ta informace o podání stížnosti dostat.
Rok není zas tak krátká doba (-; To myslím vážně. Prvně se musí Úřad ohlásit té firmě, což může trvat v lepším případě měsíc (v horším více), pak můžeš trochu odkládat (třeba u kontroly musí být statutár a ten je v době kontroly mimo republiku), abys získal více času. Pak při vlastní kontrole (ten odložený čas makají právníci a experti na vylepšení dokumentů) ti něco najdou (to se skoro vsadím, ti dobří právníci jsou drazí a vytížení plus je to občas otázka nejednotného výkladu), ty máš čas se vyjádřit (využít nejednotnost výkladu), navrhnout opravná opatření (to by měl Úřad brát v potaz), případně se odvolat. Ale u registru dlužníků, což je typický případ, proč GDPR vzniklo a je důležité, mě 10 paragrafů překvapuje. To je na vyhazov Pověřence. I když počet zase tolik neznamená - otázka je jestli byla nějaká újma subjektům údajů a jak byla velká.

NELDE: U toho zasílání jsem narazil, že neumí přijmout kvalifikovaným certifikátem podepsaný email - jak to outlook zbastlí, tak to cokoli jiného nepřečte :\

NELDE: Jj, já už formální žádost podal, dostal formální odpověd a spokojen nejsem - jen jsem se nedokopal k dalšímu kroku.

Mohli byste prosím někdo potvrdit, jestli vám funguje dobití Revolut karty debetní kartou z mBank?
Mi to ode dneška nefunguje a hlásí to "Požadovaná stránka neexistuje. Ověřte bezpečnostní opatření vašeho počítače." Podle podpory Revolutu je chyba na straně banky v 3D Secure, podle mBank chyba u nich není. Tak nevím jak z toho ven... Doteď mi to fungovalo několik let bez problémů.

NELDE: K tomu GDPR si dovolim maly offtopic, muj otec zivnostnik v duchodu, je stale zalistovan v nejakych jakoze katalogizacnich sluzbach na webu (data vzali podle me z zivnostenskeho rejstriku), tak jsem je emailem obesilal at to zrusi (obcas mu nekdo vola, data tam teda ma uvedeny adresu email telefon), ale z 90% procent zadna odezva. U google parchantu jsem absolvoval nejaky registracni proces abych se proklikal ke smazani udaje, ale serou na to, stale to tam je. Existuje na to nejaky bic? Vsem jsem psal email ze zadam na zaklade GDPR o smazani udaju, ale serou na to.

TUILE: Výhledově se to má stejně zrušit. Rekolaudaci nevím - otázka, co je v zákoně. Domnívám se, že rekolaudace na byt by znamenala novou hypotéční smlouvu.

Jinak u nebytového prostoru si snad podnikatel může dát celé úroky jako daňově uznatelný náklad. Ale daňař bude vědět.

NAVARA: Máš nárok vznést požadavek dle GDPR a mají 30 dní na odpověď (resp. 90, když to zdůvodní). Ptej se jaké tvoje osobní údaje zpracovávají a za jakým účelem. Pokud jsi jim nedal písemný souhlas (což bys asi věděl) a nejsi jejich minulý klient (to bys opět asi věděl), tak to nemají moc snadné (mohou tvrdit, že ho mají před platností GDPR, ale stejně musí zdůvodnit užití). Musí totiž zdůvodnit pro každý tvůj osobní údaj, proč ho vedou. Kromě GDPR si ještě přečti anti-spam, ten se na podobné nabídky vztahuje také (ale trochu jinak - hlavně na emaily). A pokud se vytáčí, tak dej stížnost na ÚOOÚ - optimálně přilož ty vytáčivé odpovědi. I když se slušná firma nemusí kontroly bát (a úřad moc nestíhá), tak ta kontrola není žádný med - zejména, když se to týká nereakce nebo špatné reakce na konkrétní žádosti osob.

TUILE: Men takhle někde švihnul mé údaje Conectart a začal mi pak navolávat s různými nabídkami (vždy skryto za jiným jménem dotčené firmy, v pozadí ovšem vždy Conectart), krom mé hodně staré adresy trvalého bydliště měli i základní přehled produktů.
Když mi chtěli nabízet nějaké bonusy, tak ovšem nevěděli, jaké jsou ty staré :) Docela úsměvné, když tvrdili že jim pojišťovna dala seznam produktů, kam jdou dát bonusy (nejdou, mám max co metodika mé pojišťovně umožňuje), moji trvalou adresu apod, ale už neřekne kolik.

NELDE: Píšu si s těmi výše skrze GDPR a dosti se vytáčí, zdroj dat neuvedli.
Resp. teď jsem to zazdil, ale asi to s nimi ještě otočím…