GDPR – osobní údaj je cokoli, co lze spojit s fyzickou osobou – tedy téměř cokoli

6. 5. 2018 21:36:29

Osobní údaj není jen to co se dávat běžně jako příklad. Tedy jméno, příjmení rodné číslo, telefon, email. Osobní údaj může být i rozlišení monitoru nebo nějaké nastavení, protože je to údaj, které lze spojit s konkrétní identifikovatelnou fyzickou osobou a čistě teoreticky by mohl o uživateli něco vypovídat. Z toho plyne, že všechny zpracovávané osobní údaje je velmi těžké vyjmenovat a je otázka jak moc jít do hloubky. Když budete vyjmenovávat a vysvětlovat kde co, začne to být nepřehledné a zavádějící, navíc se zvýší pravděpodobnost, že tam bude někde chyba.

Totiž ono i jakékoli logování by potom bylo možné považovat za zpracování osobních údajů, protože každý řádek logu se obvykle vztahuje k nějaké činnosti konkrétního uživatele i když informační hodnota pro běžné "zneužití" je pochybná a nikdo ty data běžně neprochází s jiným než legitimním důvodem - šetření nějakého technického problému.

Já např. řeším různé logy u VoIP hovorů. Snažíme se toho logovat hodně přímo do databáze, abychom až bude mít někdo nějaký problém (např. náhodně se přerušující se hovory), tak bylo snadnější pomoci. Jsou to spíše technická data z nichž se nedá nic moc vyčíst. Ale přecijen nějaký GDPR nacista by mohl tvrdit, že i k tomuto je nutné souhlas či podobně. Např. počet ztracených paketů, nebo použitý kodek. Jak by tohle mohl někdo zneužít mne nenapadá. A co třeba logovat průběh veškeré signalizace několik dní...

Kromě souhlasu, je zde možnost i oprávněného zájmu, ale těžko říci jak se na to budou dívat GDPR nacisti . Je oprávněný zájem logování veškeré SIP signalizace, nebo je to už za hranou a je třeba souhlas? Tím se ale technická podpora náhodných občasných problémů minimálně o jedno kolo protáhne, pokud bude mít zákazník vůbec trpělivost ...

Kde hodláte dát tu hranici u vás? Nebo vypnete veškeré logování?

6. 5. 2018 21:36:29

https://webtrh.cz/diskuse/gdpr-osobni-udaj-je-cokoli-co-lze-spojit-s-fyzickou-osobou-tedy-temer-cokoli/#reply1344384

Petr Homoky

(7 hodnocení)

6. 5. 2018 22:19:27

Ano, s tím jsme taktéž narazili.

"Právní názor" je taký, že osobním údajem je jakýkoliv identifikátor, podle kterého lze identifikovat, že jste to vy, pokud znovu uděláte stejnou činnost. Tzn. pokud pro uživatele na mobilním zařízení udělám nějaký random klíč a dále ukládám třeba log o tom, kolikrát zapnul konkrétní stránku na mobilu, tak se jedná dle advokátů o osobní údaj, na který musím mít souhlas.

Já nevím, kdo má jaký klíč. Pokud budou chtít údaje smazat, tak ve skutečnosti ani nevím. Je to 100 % anonymní. I tak je to problém.

6. 5. 2018 22:19:27

https://webtrh.cz/diskuse/gdpr-osobni-udaj-je-cokoli-co-lze-spojit-s-fyzickou-osobou-tedy-temer-cokoli/#reply1344383

skranc

(5 hodnocení)

6. 5. 2018 22:58:48

Je třeba si uvědomit, že v rámci GDPR se sleduje nejenom to, co děláte, ale také za jakým účelem to děláte. Uvedu příklad, který řeší asi všichni a to logování IP adres. Pokud účelem je zajištění bezpečnosti serveru nebo aplikace a tyto logy jsou využité pouze k těmto účelům pak je to v pořádku a stačí na tuto skutečnost upozornit v Oznámení o ochraně osobních údajů. Pokud do logů koukáte za účelem profilování návštěvníka a cílíte podle IP adres reklamu potřebujete souhlas.

Pokud tedy v rámci zajištění zákaznické podpory monitorujete funkčnost aplikace na VOIP a k těmto údajům nemá přístup nikdo jiný než technická podpora, která je využívá až na základě konkrétního problému pak je to v pořádku i podle GDPR.

6. 5. 2018 22:58:48

https://webtrh.cz/diskuse/gdpr-osobni-udaj-je-cokoli-co-lze-spojit-s-fyzickou-osobou-tedy-temer-cokoli/#reply1344382

Petr Sokup

6. 5. 2018 23:59:43

Napsal skranc;1461316
Pokud tedy v rámci zajištění zákaznické podpory monitorujete funkčnost aplikace na VOIP a k těmto údajům nemá přístup nikdo jiný než technická podpora, která je využívá až na základě konkrétního problému pak je to v pořádku i podle GDPR.

Problém na který narážím je ten, že aby bylo všechno v pořádku, měl bych zveřejnit a zdůvodnit skoro všechno co kde ukládám, pokud je to možné spojit s konkrétním zákazníkem. A to je možné téměř vždy. Když mám tedy databázi co má třeba 50 tabulek, bude to sakra nechutný a nepřehledný popis a určitě se na něco zapomene nebo se něco poplete.

Třeba takový T-mobile má seznam toho co zpracovává zde. https://www.t-mobile.cz/zpracovavane-udaje

Ale na spoustu věcí v tom seznamu zapomněli. Např. logují datový provoz, lokalizační údaje, nebo také ukládají informaci o tom, jestli si uživatel přeje přesměrovat svoje současné číslo a kam, nebo jestli si přeje skrývat svoje číslo a podobně. Prostě seznam není kompletní a úplně kompletní by mohl být u složitějších služeb snad jedině nějakým zázrakem.

Prostě nikdo s komplexnější službou to nemůže mít úplně dobře, protože vždy se na něco zapomene nebo něco poplete. A běžný zákazník tak rozsáhlý dokument nemá šanci přečíst a jednoznačně správně pochopit.

Když to nezvládne mít správně ani takový T-Mobile, který opravdu by mohl dostat pokutu v milionech eur a má na to haldu právníků ... Nebo jsem něco přehlédl?

O2 další věci které zpracovává ani nevyjmenovává a zahrnuje je do společného bodu.

viz. https://www.o2.cz/osobni/586476-privacy_gdpr_mod/

5. Ostatní údaje generované v souvislosti s poskytováním služeb
Tyto údaje vznikají při poskytování služeb, které nejsou službami elektronických komunikací, nebo při poskytování služeb elektronických komunikací nad rámec údajů potřebných pro přenos zprávy. Údaje generované sítěmi při poskytování služeb elektronických komunikací nad rámec provozních a provozních lokalizačních údajů jsou nezbytné pro řešení sporů týkajících se kvality služby, vyhodnocování a zvyšování kvality sítí a služeb a údržbu sítí.

Tedy malí musí mít všechno rozepsáno a velkým stačí takový hodně obecný bod? Proč pěkně nevypíší co všechno přesně ukládají? Ono to nejde? Proč se onu větu, že dodržet GDPR do slova vlastně nejde, bojí všichni říci?

Úplně chybí informace o tom, jak dlouho se jednotlivé informace budou zpracovávat.

Na mne to dělá dojem, že GDPR dodržet nejde, jde se jen hodně snažit, což může stačit. Ale nemusí.

6. 5. 2018 23:59:43

https://webtrh.cz/diskuse/gdpr-osobni-udaj-je-cokoli-co-lze-spojit-s-fyzickou-osobou-tedy-temer-cokoli/#reply1344381

TomasX

(4 hodnocení)

7. 5. 2018 00:16:29

Napsal Petrso;1461323
Problém na který narážím je ten, že aby bylo všechno v pořádku, měl bych zveřejnit a zdůvodnit skoro všechno co kde ukládám, pokud je to možné spojit s konkrétním zákazníkem. A to je možné téměř vždy. Když mám tedy databázi co má třeba 50 tabulek, bude to sakra nechutný a nepřehledný popis a určitě se na něco zapomene nebo se něco poplete.
Třeba takový T-mobile má seznam toho co zpracovává zde. https://www.t-mobile.cz/zpracovavane-udaje
Ale na spoustu věcí v tom seznamu zapomněli. Např. logují datový provoz, lokalizační údaje, nebo také ukládají informaci o tom, jestli si uživatel přeje přesměrovat svoje současné číslo a kam, nebo jestli si přeje skrývat svoje číslo a podobně. Prostě seznam není kompletní a úplně kompletní by mohl být u složitějších služeb snad jedině nějakým zázrakem.
Prostě nikdo s komplexnější službou to nemůže mít úplně dobře, protože vždy se na něco zapomene nebo něco poplete. A běžný zákazník tak rozsáhlý dokument nemá šanci přečíst a jednoznačně správně pochopit.
Když to nezvládne mít správně ani takový T-Mobile, který opravdu by mohl dostat pokutu v milionech eur a má na to haldu právníků ... Nebo jsem něco přehlédl?

T-mobile neloguje datový provoz, lokalizační údaje zatím nezpracovávají a logují jen podle jiných zákonů (např. pro potřeby policie). Nastavení přesměrování, skrývání a dalších hodnoty nastavení služeb zatím jako osobní údaj brány nejsou. O čísle kam provoz směrováváš si údaje nezjišťájí a nepárují (tj. nedělají průzkum toho čísla, prostě to je nastavení protokolu). Prakticky zatím všechny velké společnosti vybírají "osobní údaje" pouze z informací, které jim předá zákazník nebo které vzniknout činností zákazníka, tj. třeba korespondence.

Zatím není jasné, jestli to T-mobile má správně nebo ne, všichni operátoři postupují podle podobné metodiky a po společné koordinaci. Stát se k tomu zatím moc přesněji nevyjádřil a výsledek jednání jsou právě tyhle podmínky, ale do platnosti se ještě mohou změnit, uvidí se, zatím je to příliš živé.

7. 5. 2018 00:16:29

https://webtrh.cz/diskuse/gdpr-osobni-udaj-je-cokoli-co-lze-spojit-s-fyzickou-osobou-tedy-temer-cokoli/#reply1344380

Petr Sokup

7. 5. 2018 00:26:16

Napsal TomášX;1461325
T-mobile neloguje datový provoz, lokalizační údaje zatím nezpracovávají a logují jen podle jiných zákonů (např. pro potřeby policie).

T-mobile loguje datový provoz, vyžaduje to zákon, upřesňuje vyhláška. Co všechno musí logovat každý poskytovatel internetu je rozepsáno zde. https://www.zakonyprolidi.cz/cs/2012-357#p2 To stejné s lokalizačními údaji.

A cokoli ukládáte = zpracováváte. Protože zpracovávání je jakékoli nakládání.

Je pravda, že ten odkaz na T-mobile je stará verze bez GDPR. Ale to není omluva, že některé podstatné zpracování zapomněli zmínit. Vypadá to, že dokument možná jen ukazuje údaje, které jsou poskytovány třetím stranám, ale pak má zase zavádějící nadpis a odkazy na něj a chybí opravdový seznam zpracovávaných údajů. Prostě se mi to jeví nějaké dopletené.

GDPR dokument od O2 se mi zdá sympatický. https://www.o2.cz/osobni/586476-privacy_gdpr_mod/, až na to že v některých bodech hodně nekonkrétní. Opět chybí doba zpracovávání jednotlivých údajů. Asi je třeba vzít jako fakt, že ten dokument nemůže být podrobný a přesný na 100%, protože to prostě nejde. A naprosto nezbytné v některých bodech jen abstraktně mlžit a to i když máte tým několika právníků jak má O2.

Kdyby měl facebook přiznat, co všechno si ukládá a muselo by tam být opravdu vše ... A hlavně jakkoli drobné vylepšení služeb nebo funkcionality by vyžadovalo úpravu toho dokumentu. Asi to odbudou nějakým jen polovičatým ne moc konkrétním dokumentem, jak to dělá české O2, a projde jim to.

7. 5. 2018 00:26:16

https://webtrh.cz/diskuse/gdpr-osobni-udaj-je-cokoli-co-lze-spojit-s-fyzickou-osobou-tedy-temer-cokoli/#reply1344379

Jan Horák (Gransy)

(22 hodnocení)

7. 5. 2018 07:46:10

Muzes me lajcky vysvetlit:

800x600

1024x768

320x200

4096x1080

Reknes mi prosimte, ktere identifikovatelne osoby jsem prave zverejnil?

7. 5. 2018 07:46:10

https://webtrh.cz/diskuse/gdpr-osobni-udaj-je-cokoli-co-lze-spojit-s-fyzickou-osobou-tedy-temer-cokoli/#reply1344378

TomasX

(4 hodnocení)

7. 5. 2018 08:36:56

Napsal Petrso;1461330
T-mobile loguje datový provoz, vyžaduje to zákon, upřesňuje vyhláška. Co všechno musí logovat každý poskytovatel internetu je rozepsáno zde. https://www.zakonyprolidi.cz/cs/2012-357#p2 To stejné s lokalizačními údaji.
A cokoli ukládáte = zpracováváte. Protože zpracovávání je jakékoli nakládání.

Neloguje datový provoz ale pouze metadata o datovém provozu a ano, jak píšu na konci toho stejného odstavce, věci, které musí ukládat podle zákona, ukládá, do těch dat ale není běžně přístup. V tom se mýlíš, pokud mi nějaké zpracování nařizuje zákon, není potřeba to v rámci GDPR dále uveřejňovat a nebo si na to brát souhlas, viz třeba jak se tím vypořádaly banky. Zatím to podle téhle mantry dělají všichni co jsem viděl.

Mimochodem, ani O2 v tvém odkazovaném dokumentu nepřiznává, že loguje datový provoz :).

gransy: 4096x1080 budu určitě já, nikdo jiný takové rozlišení mít nemůže :). Tohle ještě bude zajímavé, statistika a dostatek údajů nám dovoluje přesně identifikovat konkrétní osobu jen na první pohled z nedpodstatný údajů, např. z trajektorie a pohybu myši, ve způsobu psaní, v zaznamenaném pohybu od operátora, pak stačí jen jednou prokázat mou identitu na pobočce/infolince a mají mojí historii. Z projektů co jsem viděl je zatím přesnost hodně špatná, ale jsou to první verze. Věřím, že nová generace GDPR či jeho konkrétnější výklad bude řešit i množství zaznamenaných dat.

7. 5. 2018 08:36:56

https://webtrh.cz/diskuse/gdpr-osobni-udaj-je-cokoli-co-lze-spojit-s-fyzickou-osobou-tedy-temer-cokoli/#reply1344377

Hatsumeika

7. 5. 2018 08:37:33

Napsal Petrso;1461304
Osobní údaj není jen to co se dávat běžně jako příklad. Tedy jméno, příjmení rodné číslo, telefon, email. ...
Kde hodláte dát tu hranici u vás? Nebo vypnete veškeré logování?

Cožpak logování a emaily, ale vtip je v tom, že osobní údaje (jméno, příjmení, rodné číslo, dokonce i fotografie, atd.) jsou uvedeny v cestovním pase. V cstovním pase jsou například víza a vstupní a výstupní razítka z hraničních kontrol, která vypovídají kde a kdy jste byl/a.

Cestovní pas není majetkem toho člověka, jehož údaje obsahuje, nýbrž je majetkem státu, který jej vydal. Cestovní pas má charakter veřejné listiny. Každý, kdokoliv, má právo do veřejné listiny nahlížet, pořizovat si z ní výpisy a kopie.

V hotelích v zahraničí, na hraničních přechodech, v půjčovnách aut, tam všude po vás chtějí pas a děají kopii a vy vůbec nevíte, kdo si tu kopii udělal a co s ní dál podnikne....

Podobně jako cestovní pas, tak také řidičský průkaz a občanský průkaz mají charakter veřejné listiny.

A jak se to srovná s tím "GDPR" ?

Myslím, že řešíte voloviny.

7. 5. 2018 08:37:33

https://webtrh.cz/diskuse/gdpr-osobni-udaj-je-cokoli-co-lze-spojit-s-fyzickou-osobou-tedy-temer-cokoli/#reply1344376

TomasX

(4 hodnocení)

7. 5. 2018 08:50:23

Napsal BBCUK;1461341
Cožpak logování a emaily, ale vtip je v tom, že osobní údaje (jméno,
V hotelích v zahraničí, na hraničních přechodech, v půjčovnách aut, tam všude po vás chtějí pas a děají kopii a vy vůbec nevíte, kdo si tu kopii udělal a co s ní dál podnikne....

...

A jak se to srovná s tím "GDPR" ?

No a tohle právě řeší GDPR a chce po těch hotelích, aby uvedli a evidovali kdo k těm údajům přistupoval, jak je skladují, aby je po nějaké době a navyžádání mazali atd.

Pro tebe to je řešení volovin, pro jiné to je vyvarování se astronomických pokut a dodržení předpisů, očividně nejsi člověk, který by podnikal a měl za tohle zodpovědnost, tak to považuješ za volovinu, jiní ale ne.

7. 5. 2018 08:50:23

https://webtrh.cz/diskuse/gdpr-osobni-udaj-je-cokoli-co-lze-spojit-s-fyzickou-osobou-tedy-temer-cokoli/#reply1344375

Zbyněk Buřival

(5 hodnocení)

7. 5. 2018 09:00:34

BBCUK: To se pleteš, v pasu je výslovně napsáno, že ti ho ani policie/celníci NESMÍ odebrat a NESMÍ z něj pořizovat kopie. Resp. minimáně v té starší verzi to ještě bylo v zadu na předsádce. Že se to bžně děje je něco jiného - hraniční kontrola si smí pas vzít do okýnka, nahlédnout, vrátit. Nesmí si pas strčit do kapsy a jít ho "někam ověřit" a podobné obvyklé praktiky. Ofocování občanky je taky dost sporná záležitost...

Jinak add GDPR: Stačí se podívat na "souhlas se zpracováním údajů dle GDPR" na Facebook, Twitter, Pinterest, O2, Česká spořitelná a plno dalších: 1) MUSÍM mít explicitní souhlas - o některých věcech jen informují a žádný souhlas nebo opt-out nemáte; 2) NELZE vyžadovat multisouhlas - tzn. pokud není údaj pro poskytnutí služby nezbytný (nebo vyžadován zákonem), nesmíte podmiňovat poskytnutí služby souhlasem s poskytováním údajů, které k tomu nepotřebujete. Jejda, běžná praxe že?; 3) Musíte uživatele plně informovat CO, PROČ, NA JAK DLOUHO, nejde požadovat souhlas na neurčito. Ups...

Právě kvůli velkým korporacím tohoto typu a jejich neskutečné invazi do soukromí - jmenovitě především Facebook a Google - vzniklo GDPR. Realita je ta, že nejspíš opět pokosí malé firmy a živnostníky, zatímco korporace s armádami odborníků i právníků si už teď s GDPR vytírají zadnici a neplní ani nejzákladnější pravidla. A očividně se vůbec nic neděje...

7. 5. 2018 09:00:34

https://webtrh.cz/diskuse/gdpr-osobni-udaj-je-cokoli-co-lze-spojit-s-fyzickou-osobou-tedy-temer-cokoli/#reply1344374

Hatsumeika

7. 5. 2018 09:22:09

Napsal basti;1461347
BBCUK: To se pleteš, v pasu je výslovně napsáno, že ti ho ani policie/celníci NESMÍ odebrat a NESMÍ z něj pořizovat kopie. Resp. minimáně v té starší verzi to ještě bylo v zadu na předsádce. Že se to bžně děje je něco jiného - hraniční kontrola si smí pas vzít do okýnka, nahlédnout, vrátit. Nesmí si pas strčit do kapsy a jít ho "někam ověřit" a podobné obvyklé praktiky. Ofocování občanky je taky dost sporná záležitost...

nikdo nesmí vzít cestovní pas do zástavy, resp. ho nesmíš dát jako zástavu. Napsáno to v cestovním pase není. Prohlédni si svůj cestovní pas. Hraniční kontroly standardně pasy scanují a data ukládají do databáze. Chceš ubytování v hotelu? Předlož pas a v recepci si udělají kopii. To samé v půjčovně aut a kdekoliv jinde...

Každý hotel i půjčovna aut má vlastní databázi s ověřenými údaji, scanem cestovního dokladu, aby mohli doložit, kdo u nich kdy byl, kdo si půjčil auto ...

A co na tom? Mě to nevadí. Nejsem criminel. Akorát lidé, co mají černé svědomí, těm vadí poskytování osobních údajů. Pro ty se zřídil GDPR.

Že si FB a Twitter aj, shromažďují údaje? Nevadí mi to ať si shromažďují. Mohou shromažďovat jen to, co já jim poskytnu. Ze srandy jim poskytnu falesšné údaje a trochu zaplevelím ty jejich databáze. Zaplevelit on-line databáze falešnými údaji je vemi snadné. Na FB mi nevadí, že údaje shromažďují, ale vadí mi, že se tam lidé pomlouvají.

Já teda GDPR opravdu nepotřebuju. GDPR mne určitě "nepokosí". :)

7. 5. 2018 09:22:09

https://webtrh.cz/diskuse/gdpr-osobni-udaj-je-cokoli-co-lze-spojit-s-fyzickou-osobou-tedy-temer-cokoli/#reply1344373

TomasX

(4 hodnocení)

7. 5. 2018 09:24:26

BBCUK: a proč tady trolíš o GDPR, když to nepotřebuješ a nezajímá tě to? Máš naivní pohled na svět a myslíš si, že firmy mají o tobě pouze ty údaje, které jim poskytneš, tohle už nějakou dobu neplatí.

7. 5. 2018 09:24:26

https://webtrh.cz/diskuse/gdpr-osobni-udaj-je-cokoli-co-lze-spojit-s-fyzickou-osobou-tedy-temer-cokoli/#reply1344372

Petr Sokup

7. 5. 2018 09:24:48

Napsal gransy;1461337
Muzes me lajcky vysvetlit:

800x600
1024x768
320x200
4096x1080

Reknes mi prosimte, ktere identifikovatelne osoby jsem prave zverejnil?

Takhle vytržené z kontextu to osobní údaj není. Ale pokud si zalogujete k rozlišení i id registrovaného uživatele nasbíral jste o něm další osobní údaj. Prostě jakákoli informace co se vztahuje k registrovanému uživateli, je již osobní údaj, jehož zpracování je pod GDPR třeba přiznat, popsat a zdůvodnit.

Ale nedělá to ani O2, ani nikdo jiný, tyto ne až tak podstatné "osobní údaje" prostě popíší jen obecným nekonkrétním odstavcem. Protože doslova dodržet to co vyžaduje GDPR prostě nejde.

7. 5. 2018 09:24:48

https://webtrh.cz/diskuse/gdpr-osobni-udaj-je-cokoli-co-lze-spojit-s-fyzickou-osobou-tedy-temer-cokoli/#reply1344371

Hatsumeika

7. 5. 2018 09:40:01

Napsal TomášX;1461353
BBCUK: a proč tady trolíš o GDPR, když to nepotřebuješ a nezajímá tě to? Máš naivní pohled na svět a myslíš si, že firmy mají o tobě pouze ty údaje, které jim poskytneš, tohle už nějakou dobu neplatí.

Jsi vedle. GDPR mne zajímá, protože, GDPR nám ubírá klienty v ČR. Jak nám GDPR ubírá české klienty? Protože klienti v ČR chtějí kupovat "anonymně" a odmítají sdělit, kam jim máme zboží zaslat. Klienti v ČR odmítají v rámci "GDPR" uvést jméno, příjmení, adresu. Týká se to však výlučně českých klientů. Češi jsou papežštější než papež. Byli vždy. Řeší volovinky....

Pokud jde o informace, jaké o mne mají firmy, je mi to celkem a úplně U ZÁDELE . Firmy skutečně mají jen to, co jim poskytnu. To jest firemní data, která jsou v Rejstříku firem. Mají jistě přehled co kupujeme. No a co, tak ať mají. Mě to je U ZÁDELE.

Monitorováním počítače toho mnoho nezjistí. Pro přístup na net mám jen jeden prázdný počítač, v kterém je pouze prohlížeč.

Všechny ostatní počítače , celá síť je mimo internet. Není žádný způsob, jak se z firemní sítě dostat na internet nebo z internetu do firemní sítě.

7. 5. 2018 09:40:01

https://webtrh.cz/diskuse/gdpr-osobni-udaj-je-cokoli-co-lze-spojit-s-fyzickou-osobou-tedy-temer-cokoli/#reply1344370