Hledáme juniorní i seniorní PHP vývojáře (Zlín, HPP, mezinárodní kolektiv)
Zobrazují se odpovědi 1 až 20 z 20

GDPR a diskuzní fórum (fyzická osoba)

  1. Mám vlastnoručne napsané diskuzní fórum, ve kterém zapisuju každý přístup do logu (cookies, IP adresa, atd.), abych mohl eliminovat různé nežádoucí jevy, které obvykle provozování diskuzího fóra doprovází (skrytá reklama, trollení atd.). Jsem fyzická osoba, mám 0 zaměstnanců na fóru, mám na fóru AdSense, uživatelé mohou přispívat buď zcela anonymně nebo se registrují přes přezdívka + emailová adresa.

    Týká se mě GDPR a poud ano, co z toho pro mě plyne?

    (Snažil jsem se to vygooglit, ale moc moudrý z toho nejsem. Na jednom místě jsem zaznamenal, že když mám 0 zaměstnaců, tak se mě to netýká, ale nikde jinde jsem to nenalezl potvrzené a připadá mi to trochu divné. Také mi není jasné, když se uživatelé neregistrují jménem, ale jen emailem, jestli to je možné považovat za "možnost jednoznačně identifikovat danou osobu" a tím pádem spadat pod GDPR atd.)

  2. Co se právě děje na Webtrhu?
  3. Odpoved od jednoho z pracovniku UOOU:

    Podle meho se na nej vztahuje. Jde predevsim o ochranu, protoze zapisuje cookies, IP adresy pristupu, emaily uzivatelu.

  4. Vztahuje se

  5. Dík za odpovědi. OK, čili to vypadá, že vlastně na každého, kdo porovozuje (např.) diskusní fórum, se to zřejmě vztahuje, nebo ne? (viz též dotaz č. 5)

    1. Takže z povinností, které vím, že mám: Pochopil jsem, že budu muset při registraci nechat lidi odsouhlasit, že to ukládám. Dále budu muset obeslat všecny emaily v databázi a vyžádat si od nich zpětně svolení. Co když to někdo zpětně nebo při registraci neschválí? Já to můžu bez toho provozovat jen těžko, skoro denně odmazávám nějakou reklamu a abych poznal, jestli to je reklama, mi ten log výrazně pomáhá. V regulích GDPR ale je, že odmítnutí uživatelem nemá být důvodem k odmínutí poskytnutí služby provozovatelem.
    2. Jak mám požadovat souhlas s ukládáním IP (a cookies) u neregistrovaných uživatelů (kteří na mém fóru mohou taky diskutovat)? A to i zpětně?
    3. Má právo na zapomnění i ten, u koho jsem si uložil jen IP (a cookie) nebo jen ti s emailem? (právo na zapomnění = musím být schopen vymazat všechno o uživateli z běžícího systému i všech backupů)
    4. Jaké další povinnosti mám?
    5. Takže na každou věc, kde se ukládají emaily, se vztahuje GDPR? Je možné provozovat diskusní fórum bez toho, aby to pod GDPR spadalo?
    6. Vztahuje se GDPR i na každou věc, kde se ukládá jen IP adresa, tj. na každý server s běžícím logem?
    7. Jak budou právo na zapomnění řešit věci typu Wikipedie, kde je aktivita uživatele rozpuštěna do obsahu článku modifikovaného následnými úpravami dalších uživatelů? Nebo se na obsah právo na zapomnění nevztahuje na vytvořený obsah a vztahuje se jen na IP adresu, cookie otisk, email atd.?
    Naposledy upravil sthr : 16.07.2017 v 08:46

  6. Zajímavostí je řešení záloh. Když někdo se bude chtít z vašeho logu vymazat, tak by tento log asi neměl být s těmito údaji v zálohách na serverech atd.

    Taky ve všem nemám jasno. :-(

  7. No, ale já (a bezpochyby i ostatní) to v zálohách potřebuju. Když se mi odejde server, tak obnovení bez logů je mi k ničemu.

    Jinak budu rád za jakoukoliv odpověď k ostatním bodům.

  8. V regulích GDPR ale je, že odmítnutí uživatelem nemá být důvodem k odmínutí poskytnutí služby provozovatelem.

    V někdy to ale nejde, třeba takový eshop potřebuje údaje pro odeslání zboží.

    2. myslím že to není potřeba u IP (to nejde řešit) a s tím cookies tam má být taková ta lišta "Souhlasím s ukládáním souborů cookies"

    3. s tím emailem ano

    4. někdo si může vyžádat informace které o něm shromažďujete

    5. asi to nejde :-( nebo velmi velmi těžko

  9. GDPR pro Vás platí zcela jistě. Pracujete s osobními daty ať již jsou to e-maily, IP a cookies.

    Forum obecně je poměrně oříšek. Aktuálně s týmem u jednoho fora GDPR zavádíme a poslední konsensus, který jsme našli by spočíval v tom, že forum nebude pracovat na základě souhlasů jak je tomu nyní, ale na základě oprávněného zájmu. Předělá se tedy právní status zpracování osobních dat. Je to totiž poměrně levná a forum nijak neomezující varianta.

    Prostě s GPR to není jen tak, že řeknete mám fórum a dostanete přesný návod co dělat. Pokud chcete zavést GDPR kvalitně a taky ekonomicky potřebujete skloubit požadavky GDPR specialisty, právníka, manažera a IT. Vyplatí se nějaká počáteční konzultace, kde dostanete směr a pokud si následující kroky provedete sami vyjde to v zásadě na pár korun.

    K Vašim dotazům:

    1) Pokud budete používat souhlas, pak je to tak jak píšete. Pokud odmítne prostě jeho registraci zrušíte a data smažete. Musíte udělat něco jako možnost anonymního vložení příspěvku. Toto vše za předpokladu, že budete pracovat na bázi souhlasu.
    2) Neřešit přes souhlas, ale specifikovat oprávněný zájem
    3) Právo na zapomnění má ten, kdo doloží totožnost. Pokud zpracováváš cookie (to je na jeho počítači) a IP (tato je nejednoznačná) jak prokáže svoji totožnost? Je to nesmysl u těchto uživatelů se tím nemusíš vůbec zabývat.
    4) vzhledem k uživatelům je to: transparentnost, legálnost, minimalizace, výpis, přenositelnost, výmaz různě se to prolíná a liší podle právního titulu zpracování dat
    5) myslím, že není....podle mého názoru bude vždy forum pod GDPR spadat
    6) ano vztahuje, ale je to většinou oprávněný zájem provozovatele. logy se ukládají kvůli testování, bezpečnosti a dalšímu. Podobně jako zálohy.
    7) Autorem článku bude anonymní osoba, text podléhá autorskému právu nikoliv osobním údajům. Dojde tedy pravděpodobně k výmazu nebo anonymizaci autora

  10. Děkuju za obsáhlou odpověď, zítra si to prostudu pořádně ještě jednou, rád na některé věci dozeptal. Ale jednu otázku bych měl hned:

    Co znamená formulace "forum nebude pracovat na základě souhlasů jak je tomu nyní, ale na základě oprávněného zájmu"? Vyooglil jsem si, co to je oprávněný zájem, ale moc moudrý z toho nejsem.

    Ještě jednou dík.

  11. Podle GDPR existuje několik právních titulů ke zpracování osobních údajů a souhlas je pouze jeden z nich. Jsou to:

    - Souhlas
    - Právní povinnost
    - Veřejný zájem či výkon veřejné moci
    - Plnění či uzavření smlouvy
    - Oprávněný zájem
    - Životně důležitý zájem

    Souhlas je nejvíce problematický, protože sice dává nejvíce možností ke zpracování, ale zároveň nejvíce povinností. Pokud je to tedy možné a neomezuje to nijak činnost je lepší se mu vyvarovat.

    To je právě o tom, že GDPR nemusí být takový strašák jak na první pohled vypadá. Pokud třeba u nás někomu navrhujeme řešení GDPR pak se snažíme o maximální jednoduchost a využití všech prostředků. Přeci jen i GDPR říká, že vynaložené prostředky musí být adekvátní :))

  12. jaké jsou sankce za nedodržení GDPR?

  13. až 20 000 000 EUR nebo 4% celosvětového obratu společnosti. Podle toho, co je vyšší.

    PS: Nevyplatí se to

  14. Mohu se zeptat z jakých zdrojů čerpáte informace o GDPR ? Děkuji

  15. Tak primárně z českého překladu GDPR a ze školení, která jsem absolvoval. Je něco co Vám nesedí nebo na co máte jiný názor?

  16. Měl bych nějaké doplňující dotazy ještě:

    1., 2. Můžu tedy fórum provozovat na základě Oprávněného zájmu a souhlas nepožadovat? Čili jen někam napsat, co ukládám a proč a že to je můj oprávněný zájem (nebo jak se to dělá) a tím to je vyřízené?
    6. Vážně se GDPR vztahuje na všechno, kde se zapamatovává IP adresa? Mám dojem, že jsem někde četl, že ti je jen tam, kde se IP adresa (nevím, jestli i Cookie?) dá spárovat s nějakým konkrétním člověkem.

    8. Nahrazuje GDPR současné "EU Cookie nařízení", nebo budou platit vedle sebe?
    9. Chápu to správně, že "právo na zapomnění" se vztahuje jen na osobní údaje, ale ne na obsah vytvořený uživatelem.

    díky

  17. 1,2 Tak jednoduše to nikdy říci nelze. Jde o to co je Váš právník nebo právník, kterého pověříte přípravou schopen skousnout a specifikovat. Já nejsem právník. V našem GDPR týmu mám na starosti to, aby řešení GDPR neomezovalo byznys a návrh implementace do IT systémů. Na právní věci mám právníka. Uvedl jsem jen příklad jiného fora, u kterého jsme se shodli, že to zkusíme právě pomocí zmíněného oprávněného zájmu.

    GDPR se ale nedá nasazovat podle nějaké obecné kuchařky. Jinak to bude, pokud budeš zasílat newsletter, jinak, když budeš personifikovat reklamu atd...

    Obecně je to použitelné a konkrétní podmínky musí nastavit právník.

    6, IP adresa je osobním údajem dle rozsudku Soudního dvora Evropské unie viz.:
    https://www.epravo.cz/top/clanky/ip-...em-104204.html
    tím je asi řečeno vše. IP adresa se dá spárovat za určitých okolností s určitým člověkem. Pokud máme ve skupině data data osobní je nutné se k celé skupině chovat jako k osobním datům.

    8, Mělo by zcela nahradit

    9, Zase nedělejme obecné závěry. Ptal jste se na wikipedii a zde bych se k tomuto přiklonil. Například však u rentgenových snímků pacienta může být vše jinak. Nepaušalizovat. Pravděpodobně se snažíte to vztáhnout na forum, zde bude záležet na tom, jak máte nyní postavené obchodní podmínky. Ale i v tomto případě bych se klonil k názoru, že než osobní údaj bude text vložený uživatelem autorské dílo.

  18. Dík za všechny odpovědi. Stejně si to pořád moc nedovedu představit. To bude třeba požehnání pro trolly a spammery, to právo na zapomnění. A chci vidět, jak všechny ty požadavky splněji lidi, kteří si jen tak přivydělávají, nemají žádné zaměstnace a právní nebo IT oddělení. Asi se na to ve většině buď vykašlou nebo to zabaleji. Chápu, že když člověk něco dělá, tak má i určitý povinnosti, ale tohle mi připadá trochu moc.

  19. Obecně v rámci globalizace vše směřuje k tomu, že musíš plnit X nařízení nebo prostě nepodnikej. Není to podle mě dobrá cesta, ale pochybuji, že s tím něco udělám. To, že je třeba v rámci ochrany osobních údajů něco dělat je asi jasné, ale mělo by to být více odstupňované podle velikosti společnosti a rizika.

    Vykašlat se na to zcela asi není ideální stav. Pro ty malé bych doporučil zaplatit si třeba nějakou krátkou konzultaci nebo se zúčastnit nějakého workshopu. Pokud mi napíšete dám Vám vědět až třeba budeme i my nějaké pořádat. Zde dostane konkrétní odpovědi pro jeho podnikání a hlavně směr co má vše udělat. Pokud si pak zajistí provedení kroků svépomocí má v zásadě splněno.

    Důležité je však, aby pochopil, co má dělat, když mu někdo přijde na firmu a požádá o výpis, co má dělat v případě, že požádá o výmaz. Jak nahlásit incident apod. Protože pokud toto nebude vědět bude problém. Prostě pokud se já někam dostavím a požádám o výpis a firma mi jej nedodá co udělám? Postěžuji si na UOOU. Co udělá úřad? Provede kontrolu a udělí pokutu. Nebo když požádám o výmaz a stejně mi přijde mail? Opět nahlásím a úřad opět koná. Je to pro něj jednoduché...vše má už doložené a jde najisto.

    Pokud však dojdu někam, požádám o výpis a oni mi na to dají formulář a následně mi zašlou další formulář nevím. Mají to zpracované a podchycené dobře nebo ne? I když to nahlásím úřadu a on přijde a firma mu vyskládá lejstra o přípravě a zabezpečení tak se otočí a shodí to ze stolu. V GDPR je ustanovení o tom, že se nemusí zabývat stížnosti, které považuje za šikanozní!

    Zatím koho jsme řešili z on-line světa tak se jednalo spíše o dílčí kroky a nastavení trochu jiných pravidel než nyní. Nebylo to o obřích investicích, ale je pravda, že máme v týmu velmi šikovného právníka, který to leckde zachraňuje papírama.

  20. Dík. S tím, že to bude požehnání pro trolly a spammery, to právo na zapomnění jsem to myslel tak, že budou moct snadno zametat stopy, takže se pro ně bude snadné se s čistou minulostí vracet. Doufám, že si aspoň budu moct uchovávat seznam emailů lidí, kteří dostali ban, nebo to budu taky muset na jejich žádost vymazat?

  21. Citace Původně odeslal sthr Zobrazit příspěvek
    Dík. S tím, že to bude požehnání pro trolly a spammery, to právo na zapomnění jsem to myslel tak, že budou moct snadno zametat stopy, takže se pro ně bude snadné se s čistou minulostí vracet. Doufám, že si aspoň budu moct uchovávat seznam emailů lidí, kteří dostali ban, nebo to budu taky muset na jejich žádost vymazat?
    Nehledejme na všem negativa. Pokud se Ti podaří vyspecifikovat oprávněný zájem můžeš seznam těchto trollů mít a uplatňovat. Na druhou stranu, pro vymazání se Ti musí identifikovat a tím Ti nahrají pro vymáhání způsobené škody. Stačí si na to připravit podmínky užití fora :))
    Zkus si v Praze v metru vylepit samolepku s reklamou a uvidíš co se stane

Hostujeme u Server powered by TELE3