Prodej projektu Duchod.cz - cena 665 tis Kč. Dále MojeFinance.cz, DuchodovaReforma.cz
Stránka 3 z 4 PrvníPrvní 1234 PosledníPoslední
Zobrazují se odpovědi 61 až 90 z 105

E-shop se vás bude muset zeptat, jestli mu dáte svá data

  1. Citace Původně odeslal skranc Zobrazit příspěvek
    HonzaD:
    Jediné s čím s tebou nesouhlasím je to, že na západ od nás jsou v pohodě. Například Německo GDPR ještě výrazně zpřísnilo a nastavilo, že každá firma nad 10 zaměstnanců musí mít DPO. Co sleduji odborná fora například ve Velké Británii tak se tam GDPR taktéž řeší ve velkém a připravují se na něj nejenom velké firmy. Spíš bych řekl, že u nás naprosto chybí osvěta ze strany státu. UOOU nemá ani nový zákon, který by byl v souladu a zdá se mi, že se nyní někdo tak nějak začíná probouzet.


    Pokud mi zbude nějaký čas rád bych sestavil pro e-shopy takovou nějakou kuchařku jak na to a vystavil ji, ale neslibuji.
    Jak jsem napsal výše. Aktuálně by si měli všichni, co si nechtějí následně rvát vlasy projít podmínky souhlasu podle GDPR, sestavit souhlas a začít s přesouhlasením stávajících zákazníků.
    Jsem rád, že toto vlákno tu je, a že je možno o GDPR diskutovat. Můj názor spíš směřoval k tomu, že se mi pocitově zdá, že na západ od nás je celé nařízení vnímáno zejména jako vodítko jak postupovat, zatímco u nás se zas budou hledat kličky jak buď ho obejít nebo naopak jak někoho nachytat, včetně hysterie s tím spojené (stačí se podívat na nadpis toho vlákna :)). Vzpomeňme si na EET. Jinak podle mého názoru to Německo už trochu přepísklo a co jsem tak četl, jsou si toho už vědomi.

    Spousta těch věcí je již v platném zákoně, že se to neřešilo, to je věc druhá. Mně se třeba od začátku nezdála praxe předávání dat Heurece s odkazem v obchodních podmínkách, například. V Polsku je na toto soudní rozhodnutí, že tohle musí být explicitně odsouhlaseno kupujícím. Zmínka v obchodních podmínkách nestačí.

    Souhlasím s Tebou, že chybí osvěta a vůbec metodika jak prakticky postupovat, zde bych čekal více od ÚOOÚ. Zatím veškeré články, dostupné přednášky nebo materiály pracovní skupiny 29, jsou takové abstraktní, člověk sice tak nějak vytuší co se chce ale praktické provedení to už je problém. Malé firmy a OSVČ nemají na to platit si právníky a konzultanty na tohle, navíc co právník to jiný názor.

    Mohl bych poprosit, pokud to není tajné na link na nějaká odborná fóra k GDPR v UK nebo jinde, postačí do SZ.

  2. Co se právě děje na Webtrhu?
  3. Jak jsem už napsal výše. Ten kdo plní současnou 101/2000 tak je to sice změna, ale nijak razantní. To, že se tu všichni ohánějí tím, že zpracovávají v souladu a většina zákon ani nečetla je úplně o něčem jiném. Pak je čeká poměrně hodně práce.
    Česká hysterie je klasická, jak se okolí dozvědělo, že do toho dělám mě kontaktují vystrašené firmy co že to má být. Moc tomu nepřidala včerejší pokuta Googlu za nesmyslné porušení čehosi. Je potřeba se uklidnit a začít se chovat racionálně. Spousta věcí jde vyřešit velmi rozumně za minimálních nákladů. Je to obrovská příležitost nejenom splnit GDPR, ale případně i ISO 27001 a celkově zabezpečit firmu.
    UOOU by mělo hlavně vyčlenit tým, který by zodpovídal konkrétní dotazy z praxe. Aktuálně je to tak, že se prostě rozeberou a který názor převáží tak tak se to udělá, ale to není ideální postup.
    Z mých reakcí je asi jasné, že se zabývám GDPR nejenom pro vlastní firmu, ale i komerčně. Nechci však okolo všeho dělat nějaký oblak dýmu a chtěl bych naopak co nejvíce postupů a návodů zveřejnit (ono toho stejně ještě dost zůstane :)).

    Takže protože GDPR neobsahuje žádnou prováděcí vyhlášku vychází se při zavádění z některých z bezpečnostních postupů a norem. Tedy například ISO 27001. GDPR se hodně s touto normou překrývá.

    Zdroje ze zahraničí hledám zejména na linkedin
    https://www.linkedin.com/groups/2587828

    potom česká skupina
    https://www.linkedin.com/groups/8582363

  4. Citace Původně odeslal N3S4 Zobrazit příspěvek
    Provozovatelé klasických e-shopů, kteří nevyužívají data spotřebitele pro jiné, než své účely, přeci nic řešit nemusí. Mělo by stačit zaškrtávací políčko, u kterého bude Souhlas s VOP a s odesláním dat např. do Heureka.cz,apod.
    My například poskytujeme data jen Heurece, Zásilkovně a České poště. Jsme registrováni u ÚOOÚ a mailové kampaně zasíláme jen zákazníkům, kteří si to sami vyžádali.

    Horší je pohled ze strany, kdy zákazník vyplní údaje a nesouhlasí s předáním údajů České poště, Heurece a Zásilkovně - tudíž jeho objednávka nemůže být vyřízena - předání údajů těmto stranám je nutné k zajištění odbavení objednávky a její vyřízení. Což zákazníkovi musí být jasné, že bez tohoto souhlasu mu nic nikdo neodešle :)
    Vždy někomu předáváš data, např. dopravci, programátorovi, tomu co vyřizuje objednávky atd. Nedovedu si představit, jak by fungoval shop bez předávání dat. Jinak nechápu další toto nařízení, když to ošetřuje UOOU. Tam jsme jednou jasně uvedli, komu data poskytujeme a jak s nimi pracuje a vše je dohledatelné a transparentní skrze jejich portál. Jako chápu, že někdo s daty nakládá jak s rohlíky, ve většině případů s nimi ale pracují stále stejní lidé a UOOU o tom ví.

  5. Citace Původně odeslal beraniste Zobrazit příspěvek
    Vždy někomu předáváš data, např. dopravci, programátorovi, tomu co vyřizuje objednávky atd. Nedovedu si představit, jak by fungoval shop bez předávání dat. Jinak nechápu další toto nařízení, když to ošetřuje UOOU. Tam jsme jednou jasně uvedli, komu data poskytujeme a jak s nimi pracuje a vše je dohledatelné a transparentní skrze jejich portál. Jako chápu, že někdo s daty nakládá jak s rohlíky, ve většině případů s nimi ale pracují stále stejní lidé a UOOU o tom ví.
    Zákon o ochraně osobních údajů nahrazuje toto nové nařízení. Novelizovaný zákon bude obsahovat jen obecná ustanovení o působnosti úřadu, apod. Předání údajů dopravcům by mělo spadat pod zpracování za účelem plnění kupní smlouvy a k tomu souhlas být zřejmě nemusí ale musí být s dopravci smluvně zajištěno, abychom případně mohli uplatnit právo na výmaz pokud by na tom někdo trval. Naopak souhlas musí být k předání dat Heurece a vzhledem k tomu, že nově je osobním údajem i IP adresa, tak souhlas musí být všude tam, kde je poskytována IP adresa ledaže by byla anonymizována, např. pro poskytnutí Google Analytics. Pozor i na případy kdy se s IP adresou pracuje nad rámec kupní smlouvy, např. analýza logů, i když v tomto konkrétním případě nevím jestli to nespadá pod ty další případy kdy souhlas není třeba.

  6. Nj, úřední šiml musí vždy všechno komplikovat. Ono je to v podstatě jedno, protože to bude pro všechny stejné, ale je to vtipné. Tak my tu už jedno takové podobné řešení máme, tak proč se do toho jen nějak nehrábne.

  7. Citace Původně odeslal beraniste Zobrazit příspěvek
    Nj, úřední šiml musí vždy všechno komplikovat. Ono je to v podstatě jedno, protože to bude pro všechny stejné, ale je to vtipné. Tak my tu už jedno takové podobné řešení máme, tak proč se do toho jen nějak nehrábne.
    Ono se do něj právě hrábne a řekne se něco na způsob 101/2000 Sbírky se ruší a nahrazuje jej GDPR.

  8. Celkem přehledný úvod k tématu je na stránkách EU http://ec.europa.eu/justice/newsroom...7/index_cs.htm

  9. Citace Původně odeslal HonzaD Zobrazit příspěvek
    Celkem přehledný úvod k tématu je na stránkách EU http://ec.europa.eu/justice/newsroom...7/index_cs.htm
    Propaganda žije....

  10. může mi někdo vysvětlit na co všechno to platí? Libovolný web (nemyslím eshop) který používá jen analytics a adsense, to nějak řešit musí?

  11. GDPR neplatí jen na elektronické systémy. Platí na všechny způsoby zpracování tedy elektronicky, papírově, záznamem i jakkoliv jinak. Nejprve je třeba určit zda vůbec zpracováváš osobní údaje.
    V zásadě se k tomu používá taková poučka, že osobní údaj je vše, co je schopno identifikovat konkrétní osobu. Pokud tedy nemáš zaměstnance, dodavatele nebo odběratele fyzické osoby nebo OSVČ (faktury, smlouvy apod), ve firmě kamerový nebo nahrávací systém pak si myslím, že se Tě GDPR týkat nebude. O primární soulad Analytics a Adsense s GDPR se podle mě postará Google.

  12. samozřejmě že mám nějaké faktury jako osvc. Jestli je to tak, tak se to pak musí týkat skoro každého podnikatele. Ale nic navíc zatím nemám/nepoužívám. Co tedy musím prosím udělat, aby to bylo ok?

  13. Však se to taky týká v zásadě téměř každého podnikatele a firmy. Pokud jsme si tedy ujasnili, že pracuješ s osobními daty tak je třeba každému zpracování přiřadit právní rámec. Tedy Tvoje oprávnění proč tak činíš. U faktur to bude zákon o účetnictví a archivnictví. Z těchto je třeba vyjít a stanovit si jakým způsobem, jaké přesně údaje a jak dlouho uchováváš. A zda to, co uchováváš je to, co nutně musíš uchovávat. Zda tedy náhodou nemáš něco navíc. Pokud máš třeba adresář dodavatelů a odběratelů pak už na to zmíněné zákony použít nemůžeš a budeš pravděpodobně potřebovat od subjektů souhlas.
    Se souhlasem je to už potom složitější, protože musíš vyřešit zákonné možnosti, které GDPR subjektům údajů dává. Tedy možnost odvolání, výmazu, výpisu a přenosu.
    Možná by na to šel napasovat nějaký oprávněný zájem, ale to už je na právníka.

  14. způsobem: elektronicky a fyzicky
    údaje: ty které jsou na faktuře - faktury.
    jak dlouho uchováváš: podle zákona.

    nic navíc nemám. Vyřešeno, nebo co konkrétně musím udělat abych to měl oficiálně ok?

  15. fyzicky - kde jsou uskladněny, kdo k nim má přístup, jak probíhá skartace - vše popsat
    elektronicky - kde jsou uloženy, kdo k nim má přístup, v kolika kopiích, jak probíhá likvidace - opět vše popsat
    předpokládám, že je vše uloženo u tebe, pokud totiž ne, pak dochází k předání údajů třetímu subjektu.

    zpracování účetnictví si děláš sám? Pokud totiž ne probíhá předání osobních údajů třetímu subjektu.

  16. takže jde o vytvoření nějakého dokumentu, kde vše popíšu a případné kontrole ukážu?
    fyzicky - šufle, teoreticky rodina - ?
    elektronicky - google drive - dám jinam, aby k tomu neměl nikdo přístup

  17. Tvůj případ je velmi jednoduchý a v zásadě by to mohl dokument pokrýt. On předpoklad toho, že Ti někdo přijde na kontrolu je minimální. Spíš to bude případné udání nebo bezpečnostní incident. Pokud by Ti třeba někdo ukradl notebook a policie jej následně našla a na disku našla osobní data, pak počítej s tím, že se UOOU začne zajímat o to jak je chráníš.
    Totéž třeba telefon atd. Tyto věci tedy šifrovat a zamykat jak to jde. Tento typ ochrany následně taktéž zanést do toho dokumentu. Pokud si tedy vše včetně účetnictví zpracováváš sám mělo by to stačit. Ten Google bych Ti opravdu asi moc nedoporučil i když názory se různí.
    Ideální by bylo zamykací šufle :))
    A pak se hlavně podle toho, co napíšeš do dokumentu začít chovat. Pokud by totiž někdo kontroloval dokument a měl tam napsáno, že po deseti letech žádáš oblastní archív o výběr dokumentů k archivaci a následně provádíš skartaci a viděl, že jsi to za posledních 5 let neudělal pak to asi neprojde.

  18. no a v složitějším scénáři, to pokrývá co, nějaký souhlas od toho pověřeného pracovníka? Data mám pak samozřejmě jeste uložené v gmailu (faktury co mi kdo poslal atd) ale nevím to je prostě na hlavu.

  19. složitější scénář je široký pojem a nedá se na takto položenou otázku jednoduše odpovědět. GDPR neobsahuje prováděcí vyhlášku. Nikde tedy není daný přesný postup. Většinou se ve složitějších případech postupuje podobně jako při zavádění ISO 27001 s důrazem na osobní údaje.
    Na podnikatel.cz teď jsou nějaké články na toto téma:
    http://www.podnikatel.cz/clanky/lze-...zneho-postihu/
    a
    http://www.podnikatel.cz/clanky/jede...double-opt-in/
    a
    http://www.podnikatel.cz/clanky/prod...ho-potrebovat/

    po pravdě řečeno, ale se spoustou informací, které tu jsou uvedeny osobně nesouhlasím. Třeba si nemyslím, že každý e-shop musí mít DPO. Bude se to týkat těch co využívají pro prodej analytiky tedy analytics, historii nákupů zákazníka. Přesné cílení reklamy apod.

    Příklad
    Pokud posíláte pravidelně newsletter svým zákazníkům nepotřebujete dle mého názoru DPO za předpokladu, že všichni zákazníci obdrží stejný.

    Pokud již pravidelně procházíte historii nákupů a skládáte tak varianty marketingu podle toho, co uživatele zajímá budete pravděpodobně DPO muset jmenovat.
    Naposledy upravil skranc : 13.07.2017 v 00:10

  20. Na e15.cz vyšel poměrně zajímavý rozhovor se šéfkou českého úřadu na ochranu osobních údajů. Dá se z něho podle mě docela dost vyčíst jak se bude ke GDPR a zejména pokutám stavět

    http://nazory.e15.cz/rozhovory/sefka...idovat-1334926

  21. Četl jste jste někdo tento poměrně "nový" článek z července - http://www.podnikatel.cz/clanky/lze-...zneho-postihu/?

    Nevím, jestli jsem mu rozuměl sprváně, ale vypadá to, že odporuje například tomuto předchozímu článku - http://www.podnikatel.cz/clanky/jede...double-opt-in/?

  22. V čem by měl odporovat?

  23. No jak jsem už uvedl, tak si nejsem jistý, jestli jsem to vůbec správně pochopil...

    Ale když dle tohoto článku - http://www.podnikatel.cz/clanky/lze-...zneho-postihu/ přistoupíme k naplnění ochraně osobních údajů přístupem založeným na riziku:

    "Při tomto přístupu bude nutné posoudit riziko porušení zabezpečení. To znamená, že bude nutné vycházet zejména z kategorie osobních údajů, které byly porušením zabezpečení dotčeny, charakteru porušení zabezpečení a počtem dotčených subjektů údajů. Vyšší riziko budou vždy představovat zvláštní kategorie osobních údajů (například údaje o zdravotním stavu), případně údaje, kterými je možné způsobit subjektu údajů újmu nebo zásah do jeho práv (například únik přihlašovacích údajů do elektronického bankovnictví)."

    "Z výše uvedených principů přístupu vyplývá, že GDPR nebude tak velkým strašákem, jak se někteří snaží vnutit. Jen je potřeba, aby si správci údajů uvědomovali, s čím zacházejí a jak cenné osobní údaje jsou."

    tak například internetový obchodník, který eviduje pouze e-mailové adresy pro následné rozesílání newsletterů (necílených tzn. jednotný newsletter pro všechny, nesleduje předchozí nákupu, procházení webem apod.) nemusí v podstatě měnit nic? Respektive provádět vše, co je uvedeno v tom dřívějším článku - http://www.podnikatel.cz/clanky/jede...double-opt-in/. Nebo alespoň z toho článku mi to tak vyplývá. Ale jelikož si tím nejsem vůbec jistý, tak proto zde ten dotaz.

  24. Nejde to proti sobě. Přístup založený na riziku a analýza rizika se týká zejména nových zpracování. Moc bych nikomu nepřál dělat hodnocení rizika zpracování.

    V tom článku je to i napsané:

    "o aplikaci některých povinností pouze v případě, kdy zpracování osobních údajů či porušení zabezpečení představuje riziko či vysoké riziko pro práva a svobody fyzické osoby"

    Posuzování rizika je naopak mnohem složitější přístup.
    Chceš laxnější přístup? Tady ho máš:

    Vykašlu se na to s rizikem pokuty.

    A teď si proveď hodnocení rizika, nakolik Ti to stojí za to. Aktuálně jsem se dopočetl nákladú pro malý a střední e-shop. podmínkou je, že do toho investuje i svůj čas a nebude čekat, že mu někdo něco nachystá na klíč. Vychází mi náklady na zavedení do 5000Kč.


    V překladu všechny povinnosti původního článku zůstávají. Tady se potom jedná o oobecný přístup ke zpracování dat, kdy neprovedeš DPIA - analýza rizik a pak v zásadě odpovídáš za jakákoliv pochybení. Nebo DPIA provedeš (neskutečně drahej opruz), vše zkonzultuješ s UOOU, splníš vše co Ti nařídí a pak, když se něco stane možná to uhraješ na to, že jsi v analýze špatně odhadl rizika.

  25. Upřímně nejsem po tvém příspěvku o moc moudřejší, možná to je tím, že jsem v tomhle naprosto neznalý, nevím.

    Každopádně já jsem to asi pochopil stejně, jako jeden uživatel v diskuzi pod článkem - http://www.podnikatel.cz/clanky/lze-...ostihu/nazory/:

    "Není důvod, aby DPIA z povinnosti řešily eshopy. Vysoká míra rizika není snad u žádného z nich, odstavec 3a pojednává o automatizovaném zpracování použitém jako podklad pro rozhodování, které má na subjekt právní dopad. Takže bych to pochopil u scoringu bonity u finančních institucí, ale rozhodně ne u eshopů. Tam se profiluje tak max. pro remarketing/direct marketing obecně a ten má míru rizika na bodu mrazu, neprofiluje-li se u dovozené sexuální orientace nebo podobných segmentačních extrémů, které snad soudný markeťák nepoužívá."

    Jde mi primárně o to, že si nedovedu představit, jak eshopy od svých stávajících zákazníků získávají nové souhlasy se zasíláním obch. sdělení..

  26. O GDPR toho moc nevim, kazdopadne bezpecnostni testy webovych aplikaci patri k hlavnim sluzbam, ktere poskytuji. Je pravda, ze s bezpecnosti u nas je to celkem tragicke, to se samozrejme tyka i zpracovani a ukladani uzivatelskych dat. Jsem rad za kazdy zakon, ktery zprisni pravidla a donuti podnikatele, aby s daty nakladaly bezpecne.

    Co se tyka exportu informaci, ktere web uklada o svych uzivatelich, opravdu na tom nevidim tim sloziteho. Kazdy nadava na facebook, jak vsechny smiruje, kazdopadne ten tuto funkci ma uz davno.

  27. Citace Původně odeslal Dmitrij Zobrazit příspěvek
    Upřímně nejsem po tvém příspěvku o moc moudřejší, možná to je tím, že jsem v tomhle naprosto neznalý, nevím.

    Každopádně já jsem to asi pochopil stejně, jako jeden uživatel v diskuzi pod článkem - http://www.podnikatel.cz/clanky/lze-...ostihu/nazory/:

    "Není důvod, aby DPIA z povinnosti řešily eshopy. Vysoká míra rizika není snad u žádného z nich, odstavec 3a pojednává o automatizovaném zpracování použitém jako podklad pro rozhodování, které má na subjekt právní dopad. Takže bych to pochopil u scoringu bonity u finančních institucí, ale rozhodně ne u eshopů. Tam se profiluje tak max. pro remarketing/direct marketing obecně a ten má míru rizika na bodu mrazu, neprofiluje-li se u dovozené sexuální orientace nebo podobných segmentačních extrémů, které snad soudný markeťák nepoužívá."

    Jde mi primárně o to, že si nedovedu představit, jak eshopy od svých stávajících zákazníků získávají nové souhlasy se zasíláním obch. sdělení..

    No když jsem si to po sobě nyní četl je pravda, že jsem to nenapsal moc srozumitelně :))
    Takže to zkusím ještě jednou:

    Všechny povinnosti z původního článku o souhlasech, evidenci, logování, výpisech apod. zůstávají nadále v platnosti. Druhý článek se zaměřuje na práci s daty jako takovými, kdy buď přijmete roli správce, kde prostě už z povahy věci ručíte za každý průšvih až do výše maximálních pokud nebo prostě navrhují řešení v podobě toho, že provedete na každé zpracování osobních dat ve firmě tzv. DPIA analýzu dopadu, tuto zkonzultujete s UOOU. Následně zavedete všechna opatření, která Vám nadiktuje a pak můžete data zpracovávat. Teoreticky, ale zdůrazňuji to slovo teoreticky pak v případě průšvihu lze argumentovat tím, že v analýze jste se zmýlili a nějaké riziko neodhadli správně. Analýza DPIA je však neskutečný opruz, drahá a náročná věc. Vychází v zásadě z ISO 27001 a je to tedy pro představu totéž jako ve firmě zavést toto ISO. Proto i ta reakce pod článkem, kde dotyčný (asi tomu trochu rozumí) říká, že je totální nesmysl tuto analýzu dělat a tímto směrem jít.

    Pokud se nebavíme o e-shopech typu Mall.cz Alza apod. pak riziko je poměrně malé a taková analýza nemá smysl. Většina e-shopů potřebuje řešit následující:

    - sestavit souhlas se zpracováním osobních údajů a informace ke zpracování osobních údajů
    - stanovit právní rámce toho jak zpracovává data
    - nastavit si interní procesy kdo a jak může k údajům přistupovat
    - nastavit logování
    - vysvětlit zaměstnancům a lidem okolo shopu, že nově může přijít někdo a požadovat výpis z dokumentace a co mají v té chvíli dělat
    - nastavit marketing, aby byl schopen eliminovat pozastavené, smazané, blacklistované a anonymizované záznamy
    - nastavit interní pravidla výmazu dat
    - připravit si vzor toho, co bude dělat v případě bezpečnostního incidentu
    - pokud profiluje zákazníky zvážit jmenování DPO

    Pokud čemukoliv nerozumíš nebo potřebuješ s něčím pomocí ozvi se. Asi ideálně už do PM. Tyto věci dělám nebo někoho doporučím.

    je to takto jasnější?

    ---------- Příspěvek doplněn 04.09.2017 v 12:41 ----------

    Citace Původně odeslal SYSY Zobrazit příspěvek
    O GDPR toho moc nevim, kazdopadne bezpecnostni testy webovych aplikaci patri k hlavnim sluzbam, ktere poskytuji. Je pravda, ze s bezpecnosti u nas je to celkem tragicke, to se samozrejme tyka i zpracovani a ukladani uzivatelskych dat. Jsem rad za kazdy zakon, ktery zprisni pravidla a donuti podnikatele, aby s daty nakladaly bezpecne.

    Co se tyka exportu informaci, ktere web uklada o svych uzivatelich, opravdu na tom nevidim tim sloziteho. Kazdy nadava na facebook, jak vsechny smiruje, kazdopadne ten tuto funkci ma uz davno.
    Toto je pěkné, ale bezpečnostní analýza nebo nějaký penetrační test aplikace je pouze jedna ze součástí toho, co navrhne DPIA. Zcela jistě provedení bezpečnostního testu neřeší GDPR a ani GDPR provedení takového testu nenařizuje. Souhlasím s tím, že ohledně osobních údajů a bezpečnosti se leckdy dějí věci, ze kterým mi zůstává rozum stát, ale nesouhlasím s tím, aby stejné nařízení platilo pro ČEZ s jadernou elektrárnou a Pepu truhláře se svým adresářem zákazníků. Proto, když už musíme absolvovat vše ohledně GDPR se tam snažím alespoň dostat obecné zabezpečení firmy jako takové.

  28. Dospěl jsem do stejného bodu, je to velmi podobné.

    No mluvil jsem s právničkou , dotazoval jsem se , zkopíroval zde několik vět a postřehů. Poslal ji odkazy.

    Odpověď byla jasná. Bič je to především na velké společnosti. Nás malých e-shopů se to "zase až tak netýká", některá základní opatření je nutné přijmout. Stávajícím registrovaným fyzickým osobám po přihlášení do účtu nabídnout upozornění (donutit je srolovat a přečíst) , pokud nebudou souhlasit tuto skutečnost zaznamenat a účet odstranit. Ti co budou souhlasit účet nechat a potvrzení se souhlasem uvést automaticky ke každé i následné objednávce " v patičce objednávky ".

    Potvrzení o souhlasu uchovat. Co má samotné upozornění obsahovat je specifické pro každého z nás.

    Pro ty nové je to obdobné. To že nesouhlas nemůže mít vliv je kravina. Nejen selským rozumem. Pakliže to kravina není, je to co uvádím dále bezpředmětné , všechny e-shopy končí, zboží pouze na osobní odběr pod číslem objednávky (jméno, adresa, mail, telefonní číslo).


    Pak tam jsou některé rady a opatření ohledně poskytovatele, ohledně smlouvy. Zase nic závažného nic co by extra zabralo čas a způsobilo vrásky.

    Dále pak je tam doporučení ohledně zaměstnanců. Zde je to co je podstatné, na co bychom si měli dát pozor. Netušil jsem, že i jednání s úřady ( ... VZP..ÚP ) spadá do tohoto opatření.

    Ptal jsem se jak je to s uchováváním objednávek . No jelikož je v platnosti i zákon v ČR o platné 2 leté záruce na zboží , nezbývá nic jiného , než prodejní doklad , ale i objednávku uchovávat. Takže to co jsem někde zaslechl, že se to má po nějakém období skartovat nebo mazat, je hloupost. Také zapírat , že si fakturu tisknete a ukládáte v listinné podobě je nesmysl, protože když přijde jeden konkretní úřad na kontrolu, tak nic jiného je nezajímá. Když půjdete na sociálku na pravidelnou roční kontrolu, také chtějí papíry.

    No tak jsem dostal formulář na 4 stránky s návodem kde co vyplnit , kde co přiznat a co udělat. Stálo to pár stovek , vnitřním nařízením to oznámím svým 6 zaměstnancům v rámci školení bezpečnosti práce a požární ochrany s posouzením rizik na pracovišti a jedeme dál.

  29. To je právě to, co jsem říkal výše. Není vše jen o souhlasu, ale o nějakém právním rámci. Právním rámcem může být i plnění smlouvy nebo zákonná povinnost. Je zde zákon o účetnictví, zákon o archivnictví...tento toho pokryje hodně.
    Pozor však na pár věcí, které ve Tvém příspěvku nezazněly. Pro marketing by jsi měl mít souhlas. To, co popisuješ platí v případě, že vyřídíš objednávku a tím pro tebe zákazník končí, toto ale většina e-shopů nedělá. Jasně je to na polemiku, protože 480/2004 dává možnosti jak oslovit marketingem i zákazníka, který nedal souhlas, ale je to na zváženou.
    I u zaměstnanců zpracováváš osobní data. Data nejenom že máš, ale musíš je i chránit a to i té papírové podobě. V rámci GDPR se tedy řeší i věci, kde máš papírový šanon.
    Osobní údaje ve většině zpracováváš i u firem, protože tam máš kontaktní osobu za danou firmu.

    Jinak je to v zásadě to, co říkám. Žádný extra strašák, pokud se na to jde chytře a nedělá se z toho bublina. Nyní bych si nechal zpracovat vzor pro to zpracování osobních údajů, vzor toho, co máš doplnit do pracovních smluv, pozor na dodavatele, zde je taky třeba upravit smlouvy.
    Zejména třeba tam, kde Ti poskytují aplikaci na e-shop, webhosting apod. Pokud mohou přijít do kontaktu s Tvými daty je třeba to podchytit.
    Tyto personalizované vzory smluv, s nějakým návodem co a jak a rychlou konzultací se prostě musí vejít do nějakých 5000Kč. Teď jsem to zpracovával pro menší e-shop, který tedy neměl zaměstnance a vyšlo to na 3000Kč.

    Levnější než EET :))

  30. S tímto nesouhlasím, a i pokud je zákazníkem fyzická osoba zaměstnavatel OSVČ. (Osobní údaje ve většině zpracováváš i u firem, protože tam máš kontaktní osobu za danou firmu.) TEDY : Kontaktní osoba za danou firmu se váže k pracovní povinnosti k dané firmě. My jako zpracovatelé těchto dat nepodchycujeme ( mail soukromou adresu, ani IP adresu, telefon, adresu poštovní) Ty jsou zcela v rámci firmy za kterou daný pracovník jedná. Firma, která vysílá zaměstnance k těmto nákupům a identifikaci by si měla toto v rámci svého zpracování GDPR vyřešit.
    Platí to i ve vztahu k fyzickým osobám OSVČ a jejich zaměstnancům. Oni si mají vytvořit pracovní nástroj, aby ke sdělování osobních dat nedocházelo. Zde tedy nic neřešíme.

  31. Citace Původně odeslal Sparx0236 Zobrazit příspěvek
    S tímto nesouhlasím, a i pokud je zákazníkem fyzická osoba zaměstnavatel OSVČ. (Osobní údaje ve většině zpracováváš i u firem, protože tam máš kontaktní osobu za danou firmu.) TEDY : Kontaktní osoba za danou firmu se váže k pracovní povinnosti k dané firmě. My jako zpracovatelé těchto dat nepodchycujeme ( mail soukromou adresu, ani IP adresu, telefon, adresu poštovní) Ty jsou zcela v rámci firmy za kterou daný pracovník jedná. Firma, která vysílá zaměstnance k těmto nákupům a identifikaci by si měla toto v rámci svého zpracování GDPR vyřešit.
    Platí to i ve vztahu k fyzickým osobám OSVČ a jejich zaměstnancům. Oni si mají vytvořit pracovní nástroj, aby ke sdělování osobních dat nedocházelo. Zde tedy nic neřešíme.
    Pokud u Vás objedná firma XY s.r.o.
    a jako kontaktní osoba tam uvede e-mail petr@seznam.cz nebo třeba i petr@xy.cz a telefonní číslo musíš se k tomu chovat tak, jako by u tebe objednala soukromá osoba. Ty nedokážeš rozlišit, zda telefonní číslo, které udal je soukromé nebo firemní. Pokud bude firemní e-mailem info@xy.cz pak je to něco jiného.
    Toto ale v balíku dat budeš těžko rozlišovat takže třídění na firemní a soukromé zákazníky nemá smysl.
    S OSVČ se musí taktéž zacházet jako se soukromou osobou.
    Nelze přenést odpovědnost za osobní údaje jinam. Ty nejsi v roli zpracovatele, ale správce a pokud osobní údaje obdržíš musíš s nimi jako s osobními zacházet. A není důležité jak se k tobě dostali. Pokud je nechceš nastav mechanismus na okamžitou likvidaci nebo anonymizaci.
    V konečném důsledku je to ale jedno. Pokud již stejně budu mít mechanismus na ochranu dat soukromých je jednodušší stejným mechanismem chránit všechna než je třídit.

Hostujeme u Server powered by TELE3