GDPR - osobní údaj je cokoli, co lze spojit s fyzickou osobou - tedy téměř cokoli

06.05.2018 21:36
1
Osobní údaj není jen to co se dávat běžně jako příklad. Tedy jméno, příjmení rodné číslo, telefon, email. Osobní údaj může být i rozlišení monitoru nebo nějaké nastavení, protože je to údaj, které lze spojit s konkrétní identifikovatelnou fyzickou osobou a čistě teoreticky by mohl o uživateli něco vypovídat. Z toho plyne, že všechny zpracovávané osobní údaje je velmi těžké vyjmenovat a je otázka jak moc jít do hloubky. Když budete vyjmenovávat a vysvětlovat kde co, začne to být nepřehledné a zavádějící, navíc se zvýší pravděpodobnost, že tam bude někde chyba.
Totiž ono i jakékoli logování by potom bylo možné považovat za zpracování osobních údajů, protože každý řádek logu se obvykle vztahuje k nějaké činnosti konkrétního uživatele i když informační hodnota pro běžné "zneužití" je pochybná a nikdo ty data běžně neprochází s jiným než legitimním důvodem - šetření nějakého technického problému.

Já např. řeším různé logy u VoIP hovorů. Snažíme se toho logovat hodně přímo do databáze, abychom až bude mít někdo nějaký problém (např. náhodně se přerušující se hovory), tak bylo snadnější pomoci. Jsou to spíše technická data z nichž se nedá nic moc vyčíst. Ale přecijen nějaký GDPR nacista by mohl tvrdit, že i k tomuto je nutné souhlas či podobně. Např. počet ztracených paketů, nebo použitý kodek. Jak by tohle mohl někdo zneužít mne nenapadá. A co třeba logovat průběh veškeré signalizace několik dní...

Kromě souhlasu, je zde možnost i oprávněného zájmu, ale těžko říci jak se na to budou dívat GDPR nacisti . Je oprávněný zájem logování veškeré SIP signalizace, nebo je to už za hranou a je třeba souhlas? Tím se ale technická podpora náhodných občasných problémů minimálně o jedno kolo protáhne, pokud bude mít zákazník vůbec trpělivost ...

Kde hodláte dát tu hranici u vás? Nebo vypnete veškeré logování?
06.05.2018 22:19
2
Ano, s tím jsme taktéž narazili.

"Právní názor" je taký, že osobním údajem je jakýkoliv identifikátor, podle kterého lze identifikovat, že jste to vy, pokud znovu uděláte stejnou činnost. Tzn. pokud pro uživatele na mobilním zařízení udělám nějaký random klíč a dále ukládám třeba log o tom, kolikrát zapnul konkrétní stránku na mobilu, tak se jedná dle advokátů o osobní údaj, na který musím mít souhlas.

Já nevím, kdo má jaký klíč. Pokud budou chtít údaje smazat, tak ve skutečnosti ani nevím. Je to 100 % anonymní. I tak je to problém.
06.05.2018 22:58
3
Je třeba si uvědomit, že v rámci GDPR se sleduje nejenom to, co děláte, ale také za jakým účelem to děláte. Uvedu příklad, který řeší asi všichni a to logování IP adres. Pokud účelem je zajištění bezpečnosti serveru nebo aplikace a tyto logy jsou využité pouze k těmto účelům pak je to v pořádku a stačí na tuto skutečnost upozornit v Oznámení o ochraně osobních údajů. Pokud do logů koukáte za účelem profilování návštěvníka a cílíte podle IP adres reklamu potřebujete souhlas.

Pokud tedy v rámci zajištění zákaznické podpory monitorujete funkčnost aplikace na VOIP a k těmto údajům nemá přístup nikdo jiný než technická podpora, která je využívá až na základě konkrétního problému pak je to v pořádku i podle GDPR.
06.05.2018 23:59
4
Původně odeslal skranc
Pokud tedy v rámci zajištění zákaznické podpory monitorujete funkčnost aplikace na VOIP a k těmto údajům nemá přístup nikdo jiný než technická podpora, která je využívá až na základě konkrétního problému pak je to v pořádku i podle GDPR.
Problém na který narážím je ten, že aby bylo všechno v pořádku, měl bych zveřejnit a zdůvodnit skoro všechno co kde ukládám, pokud je to možné spojit s konkrétním zákazníkem. A to je možné téměř vždy. Když mám tedy databázi co má třeba 50 tabulek, bude to sakra nechutný a nepřehledný popis a určitě se na něco zapomene nebo se něco poplete.

Třeba takový T-mobile má seznam toho co zpracovává zde. https://www.t-mobile.cz/zpracovavane-udaje
Ale na spoustu věcí v tom seznamu zapomněli. Např. logují datový provoz, lokalizační údaje, nebo také ukládají informaci o tom, jestli si uživatel přeje přesměrovat svoje současné číslo a kam, nebo jestli si přeje skrývat svoje číslo a podobně. Prostě seznam není kompletní a úplně kompletní by mohl být u složitějších služeb snad jedině nějakým zázrakem.
Prostě nikdo s komplexnější službou to nemůže mít úplně dobře, protože vždy se na něco zapomene nebo něco poplete. A běžný zákazník tak rozsáhlý dokument nemá šanci přečíst a jednoznačně správně pochopit.

Když to nezvládne mít správně ani takový T-Mobile, který opravdu by mohl dostat pokutu v milionech eur a má na to haldu právníků ... Nebo jsem něco přehlédl?

O2 další věci které zpracovává ani nevyjmenovává a zahrnuje je do společného bodu.
viz. https://www.o2.cz/osobni/586476-privacy_gdpr_mod/
5. Ostatní údaje generované v souvislosti s poskytováním služeb

Tyto údaje vznikají při poskytování služeb, které nejsou službami elektronických komunikací, nebo při poskytování služeb elektronických komunikací nad rámec údajů potřebných pro přenos zprávy. Údaje generované sítěmi při poskytování služeb elektronických komunikací nad rámec provozních a provozních lokalizačních údajů jsou nezbytné pro řešení sporů týkajících se kvality služby, vyhodnocování a zvyšování kvality sítí a služeb a údržbu sítí.

Tedy malí musí mít všechno rozepsáno a velkým stačí takový hodně obecný bod? Proč pěkně nevypíší co všechno přesně ukládají? Ono to nejde? Proč se onu větu, že dodržet GDPR do slova vlastně nejde, bojí všichni říci?

Úplně chybí informace o tom, jak dlouho se jednotlivé informace budou zpracovávat.

Na mne to dělá dojem, že GDPR dodržet nejde, jde se jen hodně snažit, což může stačit. Ale nemusí.
07.05.2018 00:16
5
Původně odeslal Petrso
Problém na který narážím je ten, že aby bylo všechno v pořádku, měl bych zveřejnit a zdůvodnit skoro všechno co kde ukládám, pokud je to možné spojit s konkrétním zákazníkem. A to je možné téměř vždy. Když mám tedy databázi co má třeba 50 tabulek, bude to sakra nechutný a nepřehledný popis a určitě se na něco zapomene nebo se něco poplete.

Třeba takový T-mobile má seznam toho co zpracovává zde. https://www.t-mobile.cz/zpracovavane-udaje
Ale na spoustu věcí v tom seznamu zapomněli. Např. logují datový provoz, lokalizační údaje, nebo také ukládají informaci o tom, jestli si uživatel přeje přesměrovat svoje současné číslo a kam, nebo jestli si přeje skrývat svoje číslo a podobně. Prostě seznam není kompletní a úplně kompletní by mohl být u složitějších služeb snad jedině nějakým zázrakem.
Prostě nikdo s komplexnější službou to nemůže mít úplně dobře, protože vždy se na něco zapomene nebo něco poplete. A běžný zákazník tak rozsáhlý dokument nemá šanci přečíst a jednoznačně správně pochopit.

Když to nezvládne mít správně ani takový T-Mobile, který opravdu by mohl dostat pokutu v milionech eur a má na to haldu právníků ... Nebo jsem něco přehlédl?
T-mobile neloguje datový provoz, lokalizační údaje zatím nezpracovávají a logují jen podle jiných zákonů (např. pro potřeby policie). Nastavení přesměrování, skrývání a dalších hodnoty nastavení služeb zatím jako osobní údaj brány nejsou. O čísle kam provoz směrováváš si údaje nezjišťájí a nepárují (tj. nedělají průzkum toho čísla, prostě to je nastavení protokolu). Prakticky zatím všechny velké společnosti vybírají "osobní údaje" pouze z informací, které jim předá zákazník nebo které vzniknout činností zákazníka, tj. třeba korespondence.

Zatím není jasné, jestli to T-mobile má správně nebo ne, všichni operátoři postupují podle podobné metodiky a po společné koordinaci. Stát se k tomu zatím moc přesněji nevyjádřil a výsledek jednání jsou právě tyhle podmínky, ale do platnosti se ještě mohou změnit, uvidí se, zatím je to příliš živé.
07.05.2018 00:26
6
Původně odeslal TomášX
T-mobile neloguje datový provoz, lokalizační údaje zatím nezpracovávají a logují jen podle jiných zákonů (např. pro potřeby policie).
T-mobile loguje datový provoz, vyžaduje to zákon, upřesňuje vyhláška. Co všechno musí logovat každý poskytovatel internetu je rozepsáno zde. https://www.zakonyprolidi.cz/cs/2012-357#p2 To stejné s lokalizačními údaji.
A cokoli ukládáte = zpracováváte. Protože zpracovávání je jakékoli nakládání.

Je pravda, že ten odkaz na T-mobile je stará verze bez GDPR. Ale to není omluva, že některé podstatné zpracování zapomněli zmínit. Vypadá to, že dokument možná jen ukazuje údaje, které jsou poskytovány třetím stranám, ale pak má zase zavádějící nadpis a odkazy na něj a chybí opravdový seznam zpracovávaných údajů. Prostě se mi to jeví nějaké dopletené.

GDPR dokument od O2 se mi zdá sympatický. https://www.o2.cz/osobni/586476-privacy_gdpr_mod/, až na to že v některých bodech hodně nekonkrétní. Opět chybí doba zpracovávání jednotlivých údajů. Asi je třeba vzít jako fakt, že ten dokument nemůže být podrobný a přesný na 100%, protože to prostě nejde. A naprosto nezbytné v některých bodech jen abstraktně mlžit a to i když máte tým několika právníků jak má O2.

Kdyby měl facebook přiznat, co všechno si ukládá a muselo by tam být opravdu vše ... A hlavně jakkoli drobné vylepšení služeb nebo funkcionality by vyžadovalo úpravu toho dokumentu. Asi to odbudou nějakým jen polovičatým ne moc konkrétním dokumentem, jak to dělá české O2, a projde jim to.
07.05.2018 07:46
7
Muzes me lajcky vysvetlit:

800x600
1024x768
320x200
4096x1080

Reknes mi prosimte, ktere identifikovatelne osoby jsem prave zverejnil?
07.05.2018 08:36
8
Původně odeslal Petrso
T-mobile loguje datový provoz, vyžaduje to zákon, upřesňuje vyhláška. Co všechno musí logovat každý poskytovatel internetu je rozepsáno zde. https://www.zakonyprolidi.cz/cs/2012-357#p2 To stejné s lokalizačními údaji.
A cokoli ukládáte = zpracováváte. Protože zpracovávání je jakékoli nakládání.
Neloguje datový provoz ale pouze metadata o datovém provozu a ano, jak píšu na konci toho stejného odstavce, věci, které musí ukládat podle zákona, ukládá, do těch dat ale není běžně přístup. V tom se mýlíš, pokud mi nějaké zpracování nařizuje zákon, není potřeba to v rámci GDPR dále uveřejňovat a nebo si na to brát souhlas, viz třeba jak se tím vypořádaly banky. Zatím to podle téhle mantry dělají všichni co jsem viděl.

Mimochodem, ani O2 v tvém odkazovaném dokumentu nepřiznává, že loguje datový provoz :).

gransy: 4096x1080 budu určitě já, nikdo jiný takové rozlišení mít nemůže :). Tohle ještě bude zajímavé, statistika a dostatek údajů nám dovoluje přesně identifikovat konkrétní osobu jen na první pohled z nedpodstatný údajů, např. z trajektorie a pohybu myši, ve způsobu psaní, v zaznamenaném pohybu od operátora, pak stačí jen jednou prokázat mou identitu na pobočce/infolince a mají mojí historii. Z projektů co jsem viděl je zatím přesnost hodně špatná, ale jsou to první verze. Věřím, že nová generace GDPR či jeho konkrétnější výklad bude řešit i množství zaznamenaných dat.
07.05.2018 08:37
9
Původně odeslal Petrso
Osobní údaj není jen to co se dávat běžně jako příklad. Tedy jméno, příjmení rodné číslo, telefon, email. ...

Kde hodláte dát tu hranici u vás? Nebo vypnete veškeré logování?

Cožpak logování a emaily, ale vtip je v tom, že osobní údaje (jméno, příjmení, rodné číslo, dokonce i fotografie, atd.) jsou uvedeny v cestovním pase. V cstovním pase jsou například víza a vstupní a výstupní razítka z hraničních kontrol, která vypovídají kde a kdy jste byl/a.

Cestovní pas není majetkem toho člověka, jehož údaje obsahuje, nýbrž je majetkem státu, který jej vydal. Cestovní pas má charakter veřejné listiny. Každý, kdokoliv, má právo do veřejné listiny nahlížet, pořizovat si z ní výpisy a kopie.

V hotelích v zahraničí, na hraničních přechodech, v půjčovnách aut, tam všude po vás chtějí pas a děají kopii a vy vůbec nevíte, kdo si tu kopii udělal a co s ní dál podnikne....

Podobně jako cestovní pas, tak také řidičský průkaz a občanský průkaz mají charakter veřejné listiny.

A jak se to srovná s tím "GDPR" ?

Myslím, že řešíte voloviny.
07.05.2018 08:50
10
Původně odeslal BBCUK
Cožpak logování a emaily, ale vtip je v tom, že osobní údaje (jméno,
V hotelích v zahraničí, na hraničních přechodech, v půjčovnách aut, tam všude po vás chtějí pas a děají kopii a vy vůbec nevíte, kdo si tu kopii udělal a co s ní dál podnikne....

...

A jak se to srovná s tím "GDPR" ?
No a tohle právě řeší GDPR a chce po těch hotelích, aby uvedli a evidovali kdo k těm údajům přistupoval, jak je skladují, aby je po nějaké době a navyžádání mazali atd.

Pro tebe to je řešení volovin, pro jiné to je vyvarování se astronomických pokut a dodržení předpisů, očividně nejsi člověk, který by podnikal a měl za tohle zodpovědnost, tak to považuješ za volovinu, jiní ale ne.
07.05.2018 09:00
11
BBCUK: To se pleteš, v pasu je výslovně napsáno, že ti ho ani policie/celníci NESMÍ odebrat a NESMÍ z něj pořizovat kopie. Resp. minimáně v té starší verzi to ještě bylo v zadu na předsádce. Že se to bžně děje je něco jiného - hraniční kontrola si smí pas vzít do okýnka, nahlédnout, vrátit. Nesmí si pas strčit do kapsy a jít ho "někam ověřit" a podobné obvyklé praktiky. Ofocování občanky je taky dost sporná záležitost...

Jinak add GDPR: Stačí se podívat na "souhlas se zpracováním údajů dle GDPR" na Facebook, Twitter, Pinterest, O2, Česká spořitelná a plno dalších: 1) MUSÍM mít explicitní souhlas - o některých věcech jen informují a žádný souhlas nebo opt-out nemáte; 2) NELZE vyžadovat multisouhlas - tzn. pokud není údaj pro poskytnutí služby nezbytný (nebo vyžadován zákonem), nesmíte podmiňovat poskytnutí služby souhlasem s poskytováním údajů, které k tomu nepotřebujete. Jejda, běžná praxe že?; 3) Musíte uživatele plně informovat CO, PROČ, NA JAK DLOUHO, nejde požadovat souhlas na neurčito. Ups...

Právě kvůli velkým korporacím tohoto typu a jejich neskutečné invazi do soukromí - jmenovitě především Facebook a Google - vzniklo GDPR. Realita je ta, že nejspíš opět pokosí malé firmy a živnostníky, zatímco korporace s armádami odborníků i právníků si už teď s GDPR vytírají zadnici a neplní ani nejzákladnější pravidla. A očividně se vůbec nic neděje...
07.05.2018 09:22
12
Původně odeslal basti
BBCUK: To se pleteš, v pasu je výslovně napsáno, že ti ho ani policie/celníci NESMÍ odebrat a NESMÍ z něj pořizovat kopie. Resp. minimáně v té starší verzi to ještě bylo v zadu na předsádce. Že se to bžně děje je něco jiného - hraniční kontrola si smí pas vzít do okýnka, nahlédnout, vrátit. Nesmí si pas strčit do kapsy a jít ho "někam ověřit" a podobné obvyklé praktiky. Ofocování občanky je taky dost sporná záležitost...
nikdo nesmí vzít cestovní pas do zástavy, resp. ho nesmíš dát jako zástavu. Napsáno to v cestovním pase není. Prohlédni si svůj cestovní pas. Hraniční kontroly standardně pasy scanují a data ukládají do databáze. Chceš ubytování v hotelu? Předlož pas a v recepci si udělají kopii. To samé v půjčovně aut a kdekoliv jinde...
Každý hotel i půjčovna aut má vlastní databázi s ověřenými údaji, scanem cestovního dokladu, aby mohli doložit, kdo u nich kdy byl, kdo si půjčil auto ...

A co na tom? Mě to nevadí. Nejsem criminel. Akorát lidé, co mají černé svědomí, těm vadí poskytování osobních údajů. Pro ty se zřídil GDPR.

Že si FB a Twitter aj, shromažďují údaje? Nevadí mi to ať si shromažďují. Mohou shromažďovat jen to, co já jim poskytnu. Ze srandy jim poskytnu falesšné údaje a trochu zaplevelím ty jejich databáze. Zaplevelit on-line databáze falešnými údaji je vemi snadné. Na FB mi nevadí, že údaje shromažďují, ale vadí mi, že se tam lidé pomlouvají.
Já teda GDPR opravdu nepotřebuju. GDPR mne určitě "nepokosí". :)
07.05.2018 09:24
13
BBCUK: a proč tady trolíš o GDPR, když to nepotřebuješ a nezajímá tě to? Máš naivní pohled na svět a myslíš si, že firmy mají o tobě pouze ty údaje, které jim poskytneš, tohle už nějakou dobu neplatí.
07.05.2018 09:24
14
Původně odeslal gransy
Muzes me lajcky vysvetlit:

800x600
1024x768
320x200
4096x1080

Reknes mi prosimte, ktere identifikovatelne osoby jsem prave zverejnil?
Takhle vytržené z kontextu to osobní údaj není. Ale pokud si zalogujete k rozlišení i id registrovaného uživatele nasbíral jste o něm další osobní údaj. Prostě jakákoli informace co se vztahuje k registrovanému uživateli, je již osobní údaj, jehož zpracování je pod GDPR třeba přiznat, popsat a zdůvodnit.
Ale nedělá to ani O2, ani nikdo jiný, tyto ne až tak podstatné "osobní údaje" prostě popíší jen obecným nekonkrétním odstavcem. Protože doslova dodržet to co vyžaduje GDPR prostě nejde.
07.05.2018 09:40
15
Původně odeslal TomášX
BBCUK: a proč tady trolíš o GDPR, když to nepotřebuješ a nezajímá tě to? Máš naivní pohled na svět a myslíš si, že firmy mají o tobě pouze ty údaje, které jim poskytneš, tohle už nějakou dobu neplatí.
Jsi vedle. GDPR mne zajímá, protože, GDPR nám ubírá klienty v ČR. Jak nám GDPR ubírá české klienty? Protože klienti v ČR chtějí kupovat "anonymně" a odmítají sdělit, kam jim máme zboží zaslat. Klienti v ČR odmítají v rámci "GDPR" uvést jméno, příjmení, adresu. Týká se to však výlučně českých klientů. Češi jsou papežštější než papež. Byli vždy. Řeší volovinky....

Pokud jde o informace, jaké o mne mají firmy, je mi to celkem a úplně U ZÁDELE . Firmy skutečně mají jen to, co jim poskytnu. To jest firemní data, která jsou v Rejstříku firem. Mají jistě přehled co kupujeme. No a co, tak ať mají. Mě to je U ZÁDELE.

Monitorováním počítače toho mnoho nezjistí. Pro přístup na net mám jen jeden prázdný počítač, v kterém je pouze prohlížeč.
Všechny ostatní počítače , celá síť je mimo internet. Není žádný způsob, jak se z firemní sítě dostat na internet nebo z internetu do firemní sítě.
07.05.2018 09:40
16
Původně odeslal TomášX
Mimochodem, ani O2 v tvém odkazovaném dokumentu nepřiznává, že loguje datový provoz :).
Uvádí tam bod. "adresa datového spojení (např. IP adresa nebo URL adresa)."

Logováním samozřejmě nemyslím, že by si ukládala kompletní provoz, ale jen informace o tom kdo s kým komunikoval.

Nechápu na co je jim url adresa, ta přece internetem neběhá, přeloží se na ip adresu. Leda že by přímo špehovali obsah přenášených dat. Pravděpodobně to ale jen psal právník, který neví o čem mluví a nedovede rozlišit mezi IP a URL.

Nekompletní seznam toho co logují jim ukládá vyhláška:

357/2012 Sb. Vyhláška o uchovávání, předávání a likvidaci provozních a…



u služby přístupu k internetu z mobilního připojení

1. typ připojení,

2. telefonní číslo uživatele,

3. identifikátor mobilního zařízení,

4. datum a čas zahájení a ukončení připojení k internetu,

5. označení základnové stanice Start a základnové stanice Stop,

6. adresa IP a číslo portu, ze kterých bylo připojení uskutečněno;

Tedy ano. O2 také neposkytla úplně vyčerpávající seznam toho co všechno si o dotyčném ukládá.
Proč? Ono to prostě nejde. Ve skutečnosti toho totiž ukládají mnohem více už proto, aby mohli řešit různé technické nedokonalosti a záhady.

Jak jsem psal, např u hovoru v roamingu např. ukládají id roamingového partnera. To také nikde není uvedeno. To je jen příklad. Nikdo prostě nemá a nemůže mít v dokumentu
"Zásady zpracování osobních údajů" popsáno úplně všechno co si k danému uživateli ukládá s naprostou vyčerpávající přesností. To prostě nejde. GDPR dodržet nejde. Jen se jde snažit. A je třeba se snažit přiměřeně a nezapadnout do přílišných detailů, protože jinak nám snadno uteče něco jiného, co je mnohem podstatnější.

Myslím že to vychází z toho, že programátoři jsou zvyklí se vyjadřovat matematicky přesně a dotáhnout věci do detailů.
Zato právníci často jen nekonkrétně žvatlají a bohužel jim to prochází. Ze znění zákona často nelze snadno odvodit co tím chtěl autor říci a kdy přesně to platí a kdy ne. Tohle ale společnosti způsobuje obrovské škody a živí obrovské množství lidí, kteří živí tím, aby byli schopni nejednoznačné řeči v zákonech a vyhláškách přeložit do srozumitelného jednoznačného jazyka. A o tom se pak i diskutuje a částečně se z toho stává takové zvykové právo. Ale je to hrozně neefektivní cesta.
07.05.2018 09:44
17
Původně odeslal Petrso
Takhle vytržené z kontextu to osobní údaj není. Ale pokud si zalogujete k rozlišení i id registrovaného uživatele nasbíral jste o něm další osobní údaj. Prostě jakákoli informace co se vztahuje k registrovanému uživateli, je již osobní údaj, jehož zpracování je pod GDPR třeba přiznat, popsat a zdůvodnit.
Ale nedělá to ani O2, ani nikdo jiný, tyto ne až tak podstatné "osobní údaje" prostě popíší jen obecným nekonkrétním odstavcem. Protože doslova dodržet to co vyžaduje GDPR prostě nejde.
Tohle je další věc, o kterou v GDPR jde - minimalizovat množství zpracovávaných osobních údajů. Pokud k tomu máš důvod, tak to napiš do podmínek. Pokud ho nemáš, tak to nesbírej a nebo požádej o souhlas.

Nikdo ti nebrání dělat si agregovaná data bez přiřazení ke konkrétním osobám.

Pokud ta data potřebuješ například z důvodu diagnostiky a technické pomoci, tak je obecně popiš a budou spadat nejspíše pod oprávněný zájem, protože je to zájem jak tvůj, tak zákazníka, aby to fungovalo.

Nejde o to vykládat si ten zákon buď vágně nebo příliš striktně. Hlavním cílem GDPR je, abychom se opravdu zamysleli: Co sbíráme? Za jakým účelem? Potřebujeme mít tolik dat o konkrétním uživateli?
07.05.2018 10:14
18
Původně odeslal Petrso
....


Tedy ano. O2 také neposkytla úplně vyčerpávající seznam toho co všechno si o dotyčném ukládá.
Proč? Ono to prostě nejde. Ve skutečnosti toho totiž ukládají mnohem více už proto, aby mohli řešit různé technické nedokonalosti a záhady.....
Moji drazí, nevím jestli to víte, ale už dost let si mobilní operátoři nahrávají všechny hovory a ukládají všechny smsky. Nařizuje jim to celoevropský zákon o boji proti terorismu a praní špinavých peněz.
Spolu s tím, se vždy uloží pozice , kde se mobil právě nachází a identifikátor mobilu a telerfonní číslo příjemce / volaného.

A vy tu řešíte volovinky o ochraně osobních údajů a jste celí připotento ... z toho, že se někdo dozví jak se jmenujete nebo kdoví co. Myslím, že většina lidí, co řeší tyhle GDPR volovinky, trpí syndromem sebestřednosti a veledůležitosti.

Smál jsem se, když mi sousedka vloni řekla, že si okolo plotu dokola po zahradě nasázela juniperusy aby na ní nebylo vidět. Nechápavě na mne civěla, proč se směju. Zeptal jsem se jí, zda používá mobil a internet. Odpověděla, že ano. Tak jsem jí řekl, že žádné soukromí už dávno nemá, bo se o ní ví i to, jak vekou má podprsenku, když to vyžvanila do mobilu a mobilní operátor si to nahrává ...

Ačkolkiv je to absurdní v USA se monitorují miliardy telefonních hovorů a majlová komunikace po celém světě, vše se ukládá. Pouze nikdo neví, jak to obrovské množství dat zpracovat....
07.05.2018 10:40
19
Původně odeslal vaclav.hodek
Tohle je další věc, o kterou v GDPR jde - minimalizovat množství zpracovávaných osobních údajů. Pokud k tomu máš důvod, tak to napiš do podmínek. Pokud ho nemáš, tak to nesbírej a nebo požádej o souhlas.

Nikdo ti nebrání dělat si agregovaná data bez přiřazení ke konkrétním osobám.

Pokud ta data potřebuješ například z důvodu diagnostiky a technické pomoci, tak je obecně popiš a budou spadat nejspíše pod oprávněný zájem, protože je to zájem jak tvůj, tak zákazníka, aby to fungovalo.

Nejde o to vykládat si ten zákon buď vágně nebo příliš striktně. Hlavním cílem GDPR je, abychom se opravdu zamysleli: Co sbíráme? Za jakým účelem? Potřebujeme mít tolik dat o konkrétním uživateli?
Na sbírání dat není nic špatného - to je nejspíše základní chybná myšlenka GDPR. Samozřejmě když to nemá vůbec žádný užitek, lepší pro všechny je ty data nesbírat, to je ale jasné všem. Ono totiž i to sbírání dat něco stojí a dá práci a proto vždy má nějaký účel už nyní. To není třeba ošetřovat.
Podstatné je k čemu a jakým přesně způsobem se ty data používají a jestli je to legitimní.

Na co zde upozorňuji je fakt, že nelze nikde popsat všechny ukládaná data a důvody naprosto vyčerpávajícím způsobem. Jak jsem doložil, nezvládne to ani O2. Za osobní data lze považovat vše, co je někde uloženo a týká se to konkrétních lidí.

Trochu mne mrazí fakt, že o tom, jestli je sbírání dat účelné nebo nikoli budou rozhodovat lidé, co ani neví jaký je rozdíl mezi URL a IP adresou a lidi co se neumí vyjadřovat přesně a kterým často, zdá se, chybí technické myšlení.

Když si čtu něco o GDPR, záměrně jsou vždy uváděny relativně logické a jasné příklady, GDPR lidé se záměrně vyhýbají hraničním příkladům, které jsou pro pochopení GDPR právě nejpodstatnější.
A ty hraniční příklady vidím např. v případě logování a zálohování.

Když jako programátor testuji nějakou funkci, přednostně otestuji právě problémové části, přechodové oblasti, kdy se lomí návratová hodnota.

Ale přitom když si čtu nějaké texty a rady na téma s GDPR, nikdo nepřipouští, že je tam velká míra nejistoty o tom, jak to vlastně udělat správně a že může být více výkladů. Také mají různí rádcové problém s tím, odkazovat na zdroje informací a svá moudra zdůvodnit.

Když se někdo zeptá konkrétní dotaz. Jako např. jestli zdravotní sestra v nemocnic může mít jména pacientů u sebe na nástěnce v sesterně, aby měla přehled, jak jsou umístěni v jednotlivých pokojích. Odpovědět už tito gurové nedokáží a začnou mlžit.
07.05.2018 10:52
20
Původně odeslal BBCUK
Moji drazí, nevím jestli to víte, ale už dost let si mobilní operátoři nahrávají všechny hovory a ukládají všechny smsky. Nařizuje jim to celoevropský zákon o boji proti terorismu a praní špinavých peněz.
Spolu s tím, se vždy uloží pozice , kde se mobil právě nachází a identifikátor mobilu a telerfonní číslo příjemce / volaného.

A vy tu řešíte volovinky o ochraně osobních údajů a jste celí připotento ... z toho, že se někdo dozví jak se jmenujete nebo kdoví co. Myslím, že většina lidí, co řeší tyhle GDPR volovinky, trpí syndromem sebestřednosti a veledůležitosti.

Smál jsem se, když mi sousedka vloni řekla, že si okolo plotu dokola po zahradě nasázela juniperusy aby na ní nebylo vidět. Nechápavě na mne civěla, proč se směju. Zeptal jsem se jí, zda používá mobil a internet. Odpověděla, že ano. Tak jsem jí řekl, že žádné soukromí už dávno nemá, bo se o ní ví i to, jak vekou má podprsenku, když to vyžvanila do mobilu a mobilní operátor si to nahrává ...

Ačkolkiv je to absurdní v USA se monitorují miliardy telefonních hovorů a majlová komunikace po celém světě, vše se ukládá. Pouze nikdo neví, jak to obrovské množství dat zpracovat....
To není pravda. Obsah hovorů a ani obsah zpráv operátoři (minimálně ti čeští) neuchovávají, neukládají a dále s ním nijak nepracují. Pro potřeby policie se uchovávají metadata o hovorech a zprávách a nikoliv jejich obsah, obsah je možné uchovávat a sledovat pouze na základně soudního rozhodnutí, nikoliv dřív a nikoliv plošně. Nešiř tady bludy. Technicky to mají operátoři řešené tak, že existují v jejich síti speciální servery, kam ty data odlévají, je toho i tak pěkná halda a po řádném vyžádání od patřičných orgánů je poskytují a ručně vyhledávají. Tyhle údaje nejsou dále používány pro běžný provoz a jak vyžaduje zákon, veškeré nakládání s nimi si logují.

Jako pozice se ukládá pouze identifikace BTS, pozice BTS se ale časem mění a není to příliš přesný údaj, mimo město je přesnost i jen několik km čtverečních.

Jseš tady registrovaný pár týdnů, denně tady máš spousty často nesmyslných příspěvků a šíříš nesmysly. Stejně jako, že vám zákazníci odmítají sdělit údajů a odvolávají se na GDPR, které ještě není v platnosti.

---------- Příspěvek doplněn 07.05.2018 v 10:58 ----------

Petrso: pokud firma má ze zákona povinnost nějaké údaje sledovat/ukládat, nemusí již tuhle informaci dávat do podmínek v rámci GDPR, tam dává jen to co dělá z vlastní iniciativy, krátce řečeno. Nejsem právník, ale takhle mi to bylo vysvětleno, takhle to u klientů implementujeme a takhle to klienti dělají.
07.05.2018 11:06
21
Původně odeslal BBCUK
Moji drazí, nevím jestli to víte, ale už dost let si mobilní operátoři nahrávají všechny hovory a ukládají všechny smsky. Nařizuje jim to celoevropský zákon o boji proti terorismu a praní špinavých peněz.

Ačkolkiv je to absurdní v USA se monitorují miliardy telefonních hovorů a majlová komunikace po celém světě, vše se ukládá. Pouze nikdo neví, jak to obrovské množství dat zpracovat....
Odkaz by nebyl? O žádném takovém špehovacím EU zákonu nevím. Mám za to, že se to nesmí. Aspoň v ČR je to zákonem zakázáno.

EU nás dokonce nenutí ani ukládat to co nařizuje česká vyhláška. Tedy kdo s kým a odkud komunikoval. https://www.lupa.cz/clanky/eu-uz-nen...e-pokracujeme/

To ale neznamená, že se to někde neděje. Viz kauza o tom jako američani odposlouchávali paní Merkelovou. Pokud někdo odposlouchává páteřní optické kabely, má přístup skoro ke všemu, hovory se běžně nešifrují. Ani se nešifruje kdo s kým.

Podle mne se to běžně děje, ale nemá to oporu v zákoně. Děje se tak tajně a jen v některých západních zemích. U nás nikoli.

Ano je to obrovské pokrytectví. Honit malé živnostníky s GDPR a přitom nechat mocné agentury odposlouchávat půlku světa ...

---------- Příspěvek doplněn 07.05.2018 v 11:26 ----------

Petrso: pokud firma má ze zákona povinnost nějaké údaje sledovat/ukládat, nemusí již tuhle informaci dávat do podmínek v rámci GDPR, tam dává jen to co dělá z vlastní iniciativy, krátce řečeno. Nejsem právník, ale takhle mi to bylo vysvětleno, takhle to u klientů implementujeme a takhle to klienti dělají.
To není pravda. Zpracování osobních údajů kvůli tomu, že mi to nařizuje zákon nebo vyhláška je také zpracování údajů, které musí být popsáno a zdůvodněno. A data musí být chráněny.
Jediný rozdíl je v tom, že není potřeba souhlas, protože existuje jiný zákonný důvod.
Zákazník má stále právo si např. vyžádat výpis těchto údajů, což by těžko mohl, kdyby o tom nevěděl. Chcete své provozní a lokalizační údaje?

Je sice pravda, že pokud zpracovávám něčí fakturační údaje, pravděpodobně mi projde, když se o tom podrobně nerozepíši, protože je to prostě všem jasné.

Lokalizační údaje nebo údaje s kým na internetu komunikuji jsou ale tak zásadní věci a nejsou všeobecně známé, že lze předpokládat nutnost se o nich zmínit podrobně. A O2 si to trochu zjednodušila, některé údaje nezmínila. Já říkám že zjednodušení je nutné téměř vždy, protože přesně a exaktně to udělat nelze.
07.05.2018 11:27
22
Původně odeslal Petrso
To není pravda. Zpracování osobních údajů kvůli tomu, že mi to nařizuje zákon nebo vyhláška je také zpracování údajů, které musí být popsáno a zdůvodněno. A data musí být chráněny.
Jediný rozdíl je v tom, že není potřeba souhlas, protože existuje jiný zákonný důvod.
Zákazník má stále právo si např. vyžádat výpis těchto údajů, což by těžko mohl, kdyby o tom nevěděl. Chcete své provozní a lokalizační údaje?
Ok, možná v tom máš pravdu, nevím svoje tvrzení jistě, avšak operátoři a banky to zatím takhle dělají.
07.05.2018 14:55
23
Součástí oznámení musí být všechno zpracování i to zákonné. Nemá smysl se strašit pokutami, protože na ty dojde až v poslední řadě. Spíše bych se bál žalob na majetkovou a nemajetkovou újmu.

Příklad:
Ty jako operátor ukládáš geolokalizační data. Nebudeš o tom informovat. A manželka zjistí o manželovi zavoláním na infolinku nebo jiným způsobem, že byl tehdy a tehdy u milenky. To, že jsi to neměl v oznámení, že tyto data uchováváš je špatně. Úřad Tě napomene, nebo možná dostaneš malou pokutu. Na druhé straně ale borec bude fest naštvanej, rozpadne se mu manželství. A zažaluje Tě o nemajetkovou újmu. A troufnu si tvrdit, že to vyhraje. Těžko říct na jaké odškodnění mu soud dá nárok, ale řekl bych, že několikanásobně převýší nějakou pokutu.

Příklad z praxe......facebook script na like. Byl na e-shopu, e-shop neinformoval o tom, že facebook sbírá data i o zákaznících, kteří nejsou zákazníky facebook. Kdosi na to došel a zažaloval to. Kolik bylo vyrovnání netuším, protože to šlo mimosoudně. Pokuta od německého úřadu 35 000 EUR.

Takže snažte se být maximálně otevření a opravdu informovat o všem. Udělejte vrstvené dokumenty, aby byly přehledné. Ten T-Mobile to taky udělá, ale ten vzorový je ještě podle starého zákona.
07.05.2018 18:46
24
Původně odeslal skranc
Součástí oznámení musí být všechno zpracování i to zákonné. Nemá smysl se strašit pokutami, protože na ty dojde až v poslední řadě. Spíše bych se bál žalob na majetkovou a nemajetkovou újmu.

Příklad:
Ty jako operátor ukládáš geolokalizační data. Nebudeš o tom informovat. A manželka zjistí o manželovi zavoláním na infolinku nebo jiným způsobem, že byl tehdy a tehdy u milenky. To, že jsi to neměl v oznámení, že tyto data uchováváš je špatně. Úřad Tě napomene, nebo možná dostaneš malou pokutu. Na druhé straně ale borec bude fest naštvanej, rozpadne se mu manželství. A zažaluje Tě o nemajetkovou újmu. A troufnu si tvrdit, že to vyhraje. Těžko říct na jaké odškodnění mu soud dá nárok, ale řekl bych, že několikanásobně převýší nějakou pokutu.

Příklad z praxe......facebook script na like. Byl na e-shopu, e-shop neinformoval o tom, že facebook sbírá data i o zákaznících, kteří nejsou zákazníky facebook. Kdosi na to došel a zažaloval to. Kolik bylo vyrovnání netuším, protože to šlo mimosoudně. Pokuta od německého úřadu 35 000 EUR.

Takže snažte se být maximálně otevření a opravdu informovat o všem. Udělejte vrstvené dokumenty, aby byly přehledné. Ten T-Mobile to taky udělá, ale ten vzorový je ještě podle starého zákona.
Manželce nikdo nesdělí polohu svého manžela ! Leda že by to byla předem aktivovaná placená služba, ale ani tak se to nedělá na infolince.


Co je ale mnohem běžnější je, že si manželka všimne ve výpise hovorů, že manžel volá podezřele mockrát jedno konkrétní číslo a to i večer v době, kdy vůbec nemá služební hovory. Prosba manžela, abychom hovory smazali mu nepomůže, mazat se musí přesně po půl roce, protože tak to má být, tak je o správně dané zákonem. Žádné GDPR nepomůže, rozvedou se a pohádky je konec.

Faktem ale je, že by to stejně dříve nebo později prasklo, už jen tím že pan manžel se chová divně.

Aby někdo platil pokutu, za to že facebook bez dovolení sleduje vše, je jen šikana. Ale neznáme přesné pozadí případu.
07.05.2018 23:17
25
Tím příkladem s manželkou jsem jen chtěl ukázat kam se dá zneužitím osobních údajů dojít a jaké škody může někdo po někom vymáhat. U toho německého e-shopu šlo o to, že na svoje stránky integroval script facebooku, o kterým nevěděl co dělá a neupozornil na to. Právě proto se tolik řeší vztah správce a zpracovatel a provádí se revize všech, kterým předáváte osobní údaje. Tento příklad s pokutou byl před platností GDPR.
09.05.2018 22:55
26
Původně odeslal Petrso
Osobní údaj není jen to co se dávat běžně jako příklad. Tedy jméno, příjmení rodné číslo, telefon, email. Osobní údaj může být i ....
To může být i fotka vašeho psího miláčka a jeho psí známka. I z těchto údajů lze dohledat, kde pejsánek bydlí a kdo je jeho páníček nebo panička. Navíc, pes podle nového zákona již není "věc", ale živý tvor, který má svá práva. Má tedy pes také právo na ochranu soukromí podle GDPR? Co na to GDPRisti a obhajovači a vykladači GDPR?
10.05.2018 01:03
27
Původně odeslal BBCUK
To může být i fotka vašeho psího miláčka a jeho psí známka. I z těchto údajů lze dohledat, kde pejsánek bydlí a kdo je jeho páníček nebo panička. Navíc, pes podle nového zákona již není "věc", ale živý tvor, který má svá práva. Má tedy pes také právo na ochranu soukromí podle GDPR? Co na to GDPRisti a obhajovači a vykladači GDPR?
Já občas žasnu nad tím, kolik lidí je GDPR nesmysl ochotno hájit. Myšlenka zřejmě částečně dobrá, ale jak bývá v EU zvykem dotažena do absurdnosti tak, že způsobí víc škody než užitku.

Nejhorší pro mne je, že GDPR jsou jen obecné nekonkrétní kecy, které prostě ani při vší dobré vůli nelze dodržet a často i navzájem protiřečí.

Ale hlavně ten nepoměr v pokutách a v důležitosti, kdy úředníci ze své arogantnosti dovedou vyhrožovat i fyzické podnikající osobě s obratem nula nula nic pokutou v milionech eur za úplné formální nesmysly bez reálné škody a společenské nebezpečnosti.
10.05.2018 09:22
28
Původně odeslal BBCUK
To může být i fotka vašeho psího miláčka a jeho psí známka. I z těchto údajů lze dohledat, kde pejsánek bydlí a kdo je jeho páníček nebo panička. Navíc, pes podle nového zákona již není "věc", ale živý tvor, který má svá práva. Má tedy pes také právo na ochranu soukromí podle GDPR? Co na to GDPRisti a obhajovači a vykladači GDPR?
Když už tedy vymýšlíš kokotiny tak zde máš odpověď. GDPR je ochrana osobních údajů. Osobním údajem je cokoliv, co je schopno identifikovat konkrétní fyzickou osobu (pes tedy do toho nepatří). Známka na obojku i pokud by obsahovala telefonní číslo je údaje zjevně zveřejněným. Fotografie mazlíčka podléhá občanskému zákoníku a autorskému zákonu s GDPR to tedy nemá nic společného.
10.05.2018 09:32
29
Původně odeslal Petrso
Já občas žasnu nad tím, kolik lidí je GDPR nesmysl ochotno hájit. Myšlenka zřejmě částečně dobrá, ale jak bývá v EU zvykem dotažena do absurdnosti tak, že způsobí víc škody než užitku.

Nejhorší pro mne je, že GDPR jsou jen obecné nekonkrétní kecy, které prostě ani při vší dobré vůli nelze dodržet a často i navzájem protiřečí.

Ale hlavně ten nepoměr v pokutách a v důležitosti, kdy úředníci ze své arogantnosti dovedou vyhrožovat i fyzické podnikající osobě s obratem nula nula nic pokutou v milionech eur za úplné formální nesmysly bez reálné škody a společenské nebezpečnosti.
Nesmysl? Vždyť teď si firmy s údaji dělají naprosto cokoliv a ignorují naprosto cokoliv, síce naše 101 je hodně daleko, ale stačí uvést adresu na Slovensku a je bezmocná.

Nejsem zastánce toho, že si kdokoliv beztrestně může vzít jakékoliv údaje a dělat s nimi cokoliv, protože jednotný EU trh pro zboží, ale nikoliv pro data.

Ty obecné nekonkrétní kecy měli naši zákonodárci zkonkrétizovat jak se stalo v jiných zemích, nemůžeš dávat EU za vinu, že jsme nesplnili svoji povinnost a udělali z toho obrovský chaos.

U ČR GDPR odhlasovala, stejně tak jsme jako stát k tomu měli několik připomínek, proč to dáváš za vinu EU, když tohle je společný projekt všech vlád a každá k tomu mohla říct svoje?

O tom jak to je užitečné se ukáže až za pár let a ne těsně před účinností. Jsem pro narovnání pravidel a lepší ochranu, která tady ale už měla být dávno. Je to mnohem pro firmy lepší, když ví co si mohou dovolit a co ne, změna uvažování a fungování bude ale náročná.
10.05.2018 09:41
30
Když zjistím číslo psa na psí známce, lze dohledat na netu v registraci psů městských úřadů, komu pes patří, tedy skrze psa identifikuji konkrétní osobu, kde osoba bydlí a jak se jmenuje. Psa si mohu vyfotografovat sám, tedy budu autorem a autorský zákon neporušuju. Má to háček, není dovoleno fotografovat lidi bez jejich souhlasu. Obzvláště ne děti, můžete být obviněn z pedofilie. V případě fotografování zvířat ze zoofilie. To už se stalo mnohokrát. Můžete být také vyšetřován, zda neplánujete únos dítěte nebo psa za účelem následného vydírání (a právě proto si pořizujete fotku). I to už se stalo mnohokrát.

Osobní údaj je nejem jméno, příjmení, ale také vzhled, vizáž dotyčné osoby a fotografie ji zaznamenává ... Vracíme se na úroveň zaostalých zemí v Africe, kde stále někteří věří, že jim fotografie ukradne duši a proto se nesmí fotografovat. Islám zase koránem zakazuje zobrazování lidí a tím pádem v ortodoxním islámu není povoleno fotografovat lidi. U nás místo koránu máme GDPR.

Jak vidíte, osobní údaj je cokoli, co lze spojit s fyzickou osobou - tedy téměř cokoli, dokonce i fotka Vašeho psího miláčka.