Anonymní diskusní fórum a GDPR

Dělám anonymní diskuzní fórum bez registrace (mám i s registrací a emailem, ale to budu řešit později), něco ve stylu těch, co jsou na Lupě, např. viz https://www.lupa.cz/clanky/martin-fryvaldsky-warhorse-bez-podpory-komunity-by-kingdom-come-nevznikla/nazory/Uchovávám:-IP adresu kvůli trollům, reklamnímu spamu atd.-cookie s vygenerovanýn id uživatele ze stejného důvodu-cookie s nastaveným jazykem (cs/en)-...a věci jako přezdívka, obsah příspěvku, čas vložení atd. Moje otázky k věci (je jich víc, ale předpokládám, že to bude zajímat i další lidi, kteří jsou v podobné situaci):VERZE "VYHNUTÍ SE GDPR"Z toho, co jsem tu četl, jsem vyrozuměl, že IP adresa je považována za osobní údaj (https://webtrh.cz/393461-gdpr-log-serveru-lze-adresu), stejně jako cookies s id.1. Vyhnul bych se obcování s GDPR, kdybych neukládal IP adresy a cookie s ID?2. Když do cookie pro jazykovou verzi ukládal jen řetězec 'cs' nebo 'en', tak snad z pohledu GDPR nevadí, protože to není osobní údaj (a neidentifikuje to nijak jednoznačně danou osobu), ano?3. Na webu mám AdSense, čili tím se web stává věcí podnikání, byť ho vlastně sám lepím ve volném čase (nemám s ním např. žádné náklady, které bych si fakturoval nebo něco podobného). Přepokládám, že se GDPR nevyhnu tím, že bych (popravdě) tvrdil, že to je můj hobby web, protože rozhoduje, že je na tom reklama, která vydělává, ano?4. Kdybych ukládal IP, Cookie s id atd., ale dal pryč reklamy, byl by z toho nepodnikatelský web a tak se GDPR nemusím zabývat, ano?VERZE "UVEDENÍ DO SOULADU S GDPR"Pokud bych teda chtěl ukládat IP, id a zachoval reklamy, co všechno musím udělat, aby to bylo v pořádku?5. Musí být ve fóru tohoto typu nějaké zatrhávátko, že odesílající souhlasí s podmínkami a ukládáním nebo stačí jen dát do patičky odkaz na stránku Ochrana osobních údajů a tu správně naplnit?6. Na tu stránku napíšu co a proč ukládám, má tam být ještě něco jiného?(6.b Případně existuje někde nějaký aspoň přibližný vzor, jak má taková stránka pro standarní nekomplikované případy tohoto typu (diskusní fórum bez registrace, diskusní fórum s registrací přes email atd.) vypadat?)7. Co právo na zapomnění - jak se mi budou v tomto případě lidi prokazovat, že mají právo požadovat smazat např. všechny záznamy o přísptupu z nějaké IP adresy? Tím že z této IP adresy daný požadavek odešlou? To je mi trochu divné vzhledem k tomu, jak se IP adresy přidělují.8. Bude stačit, když v rámci práva na zapomnění jen smažu IP adresy a ID uživatele u příspěvku, ale příspěvky zachovám?9. Je třeba udělat ještě něco dalšího?Díky za případné odpovědi.

Jen v rychlosti, protože většinu Tvých otázek jsem tady už několikrát odpovídal. GDPR se nevyhneš i kdyby jsi se na hlavu stavěl. Forum jsem už řešil u několika firem a nevyplatí se jej stavět na souhlasu, ale postavit jej na právním titulu plnění smlouvy. Tím obejdeš řadu blbostí jako výmaz příspěvků apod.

Napsal skranc;1446910

Jen v rychlosti, protože většinu Tvých otázek jsem tady už několikrát odpovídal.

Děkuju za odpověď, ale nejsem si vědom toho, že by tu moje otázky byly několikrát zodpovězeny (probírali jsme tu třeba 7., ale k žádnému přesvědčivému závěru jsme nedošli, tak se ptám, jestli by to teď někdo nevěděl). Pečlivě jsem si tu prošel všechna vlákna o GDPR a tyhle otázky mi zůstávají. Některé tu zodpovězeny jsou, ale rozporně, přitom mi připadá, že podobné problémy tady musí řešit stovky dalších lidí.

Napsal skranc;1446910

GDPR se nevyhneš i kdyby jsi se na hlavu stavěl.

Vážně bych se mu nevyhnul ani tím, že bych z toho fóra odstranil reklamu (4.) a měl to jen jako hobby projekt nebo nic neukládal (1.)?

Napsal skranc;1446910

Forum jsem už řešil u několika firem a nevyplatí se jej stavět na souhlasu, ale postavit jej na právním titulu plnění smlouvy. Tím obejdeš řadu blbostí jako výmaz příspěvků apod.

Chápu, že váš návrh je asi z pohledu provozovatele nejbezpečnější, ale vůbec si nedovedu představit, že bych u tohoto fóra na pokec, které vypadá jako zmíněné diskuze na Lupě, to postavil na titulu plnění smlouvy (a ne na oprávněný zájem správce nebo případně na souhlas se zpracováním, ale tomu bych se pochopitelně rád vyhnul).

Plnění smlouvy neznamená, že musí být nějaká fyzicky podepsána. Smluvní plnění je třeba i umožnění přístupu k technickému prostředku zajišťujícímu možnost diskutovat za určitých podmínek. I podmínky diskuze jsou vlastně smlouva. K plnění smlouvy není třeba ani žádné finanční plnění.Pokud přestaneš ukládat i logy a cookies pak asi ano, pak by jsi se GDPR vyhnul.....to si ale myslím, že je pouze teoretická než prakticky proveditelná možnost.

Tak nepředpokládal jsem, že by se ta smlouva stvrzovala podpisem, ale fórum bez registrace má své kouzlo právě v tom, že nevyžaduje žádné další kroky od uživatele kromě toho, že napíše svůj názor. I malá obstrukce chuť něco psát snižuje, proto je snažší rozjet fórum bez registrace než s registrací. Jestli je možné uzavřít smlouvu pro právní titul plnění smlouvy jen tak mimochodem se přiznám nevím, ale takový postup mi připadá víc chůze po tenkém ledě, než to vést přes oprávněný zájem. Ale nevím, nejsem na to samozřejmě odborník, proto se ptám.Přestat ukládat logy a cookies není technicky problém, mám to na VPS plně ve svých rukou. Dost nepříjemně by to ale omezilo možnost ochranu před trolly atd.

Aby se ti GDPR vyhnulo nesměl bys zpracovávat abolutně nic. V tom případě bys ale nedokázal web chránit proti spamu, trollum, detekovat podvody kdy se jeden uživatel vydává za několik, popřípadně blokovat nežádoucí uživatele kteří porušují pravidla webu, atd. Prostě každý web potřebuje zpracovávat osobní udaje.

Napsal pixels;1447064

Aby se ti GDPR vyhnulo nesměl bys zpracovávat abolutně nic. V tom případě bys ale nedokázal web chránit proti spamu, trollum, detekovat podvody kdy se jeden uživatel vydává za několik, popřípadně blokovat nežádoucí uživatele kteří porušují pravidla webu, atd.

Ano, to je pravda, nějaká fóra spravuji, takže to je mi jasné. Nicméně pro začátek si to dovedu představit.Ale spíš by mě zajímala ta možnost 4. - že bych tam nedával AdSense (dokud se to dostatečně nerozjede) a tím by to nebyl projekt v rámci podnikání a pak se na něj GDPR nevztahuje, je to tak?

Je jedno jestli tam máš adsense nebo ne, když furt budeš zpracovávat ip a Cookie.

Přesně tak, spadá tam i IP adresa a koláčky. IP by měl z pohledu serveru pořešit webhosting předpokládám a ty dostaneš jen smlouvu, která to stvrzuje.https://www.gdpr.cz/gdpr/

Takže když si středoškolská kapela udělá na svém VPS stránku s guestbookem, tak musí řešit GDPR?

Napsal sthr;1447197

Takže když si středoškolská kapela udělá na svém VPS stránku s guestbookem, tak musí řešit GDPR?

"Z působnosti Obecného nařízení jsou vyloučeny činnosti fyzické osoby, při kterých jsou zpracovávány osobní údaje výlučně pro osobní či domácí činnost."Myslím si, že kdyby ta kapela pak chtěla ty lidi v questbooku kontaktovat nebo rozesílat nějaké pozvánky, tak už by GDPR měla řešit. Jinak podle mě ne. Pořád jsou pro mě tyhle fanouškovské a spolkové subjekty na hraně. Hodně bude podle mě záležet právě na tom nakládání s těmi daty.

Napsal Tomáš Maňhal;1447219

"Z působnosti Obecného nařízení jsou vyloučeny činnosti fyzické osoby, při kterých jsou zpracovávány osobní údaje výlučně pro osobní či domácí činnost."

OK, tak to se vztahuje i na moje diskusní fórum.

Napsal Tomáš Maňhal;1447219

Myslím si, že kdyby ta kapela pak chtěla ty lidi v questbooku kontaktovat nebo rozesílat nějaké pozvánky, tak už by GDPR měla řešit.

Takže když mám seznam spolužáků s emaily a svoláván třídní sraz, tak taky GDPR?

sthr: uz vidim nejaky urad jak bude resit ze si svym spoluzakum poslal mejl ze se nekde sejdete :D:D zas tady hosi nezachazejte do absurdna...

Tak mě podobně absurdní připadá i ten příklad s kapelou rozesílající pozvánky. Já chci hlavně pochopit ten princip, protože GDPR se nás bude týkat mnohem víc, než si asi většina z nás dokázala představit. Čtu teď knížku o GDPR (GDPR - praktický průvodce implementací) a ta obsahuje množství podobně bizarních příkladů, které servíruje s vážnou tváří a nikoliv jako kuriozity. Alepoň na mě ještě stále ty příklady bizarně působí, možná časem přivyknu a budou mi připadat normální.

Rozhodující je to, zda činnost portálu, fora nebo čehokoliv provozujete jako výdělečnou činnost tedy na IČ. Pokud ne, nemusíte GDPR řešit. I spolky a sdružení musí být většinou registrované a mají přidělené IČ (kapela, hasiči, sportovní klub).