Bude zájem o GDPR externí poradce

Radku líp bych to nenapsal. Je to přesně tak. Si vzpomínám jak jsem se minulý týden hádal s právníkem, že požadavek na to, aby ke každému šanonu existoval výdejní řád a pro potřeby zákazníků byly přijímací hodiny a každý zaměstnanec si písemně stanovoval týdenní plán a rozvrh je prostě mimo.

Také si to myslím. Vím jak někteří právnici sepisují vesele obchodní podmínky eshopům a když se na to podívá kdokoliv, kdo kdy eshop provozoval, musí mu být jasné, že to je o pokutu. Oni vám vyprsknou obchodní podmínky a přitom eshop neviděli ani z dálky. Takže i když tu budou lidé, kteří se na GDPR budou specializovat, už mi je blbě z toho, jak člověk bude muset vystřídat zase deset chytráků, než kápne na někoho, kdo to udělá dobře. Na to si dám večer pivo.

Nahlédnutí do Vašeho profilu dává odpověď proč to u Vás může trvat déle. Zároveň se dovolím zeptat "Certifikovaný DPO" Kdo je vystavovatelem certifikace?Věcně: Tak nějak předpokládám, že právník bezvadně zpracuje GDPR co je třeba udělat, a to předloží vedení, které pak má svůj obchodní a marketingový tým a doladí konkrétní postupy. Pokud takový tým nemá, pak to bude jednatel, který bude rozhodovat o způsobu provedení. Mícháte tedy GDPR a marketingové a obchodní pojetí.Samozřejmě můžete tvrdit, že GDPR expert zpracuje subjektu i marketingový model při zavádění a obchodní část plánu. Vzhledem k šíři podnikání by to ale musel být superhrdina všeuměl. Nalijme si čistého vína. GDPR služba bude fungovat jako všechny ostatní služby. Dotyčný, který se tím bude živit, si zpracuje/zkopíruje/získá 1-5 roadmap a templatů pro zavádění a všechny klienty se do nich bude natlačit. Zdůrazňuji, že neříkám, že bude všechno stejné, jen že bude vycházet z template, který bude upravovat. Je to úplně stejné jako s webshopy - můžete si ho nechat udělat na míru, nebo koupit nějaké z řešení, které sice může mít omezení, ale fungovat bude. Podnikatelé GDPR nechtějí, těžko si představit, že budou investovat do taylor made drahého řešení...

Reagoval jsem primárně na to, že podnikatel si zvládne (v případě znalosti procesů) zavést GDPR během chvilky. Co se týče certifikace je to stará informace v profilu a máte pravdu, že tam nemá být - vyhodil jsem ji. Je to certifikace od TCOX a měl jsem ji dříve než UOOU řekl, že jediným certifikátorem pro ČR bude Česká certifikační. Ta však necertifikuje. Ten marketing a provoz firmy s GDPR se podle mě ale musí míchat. Jinak dojde k tomu, že prostě firmu zbrzdíte nebo zastavíte. Byl jsem u řady velkých implementací a vždy na to byl tým lidí a musel to být kompromis. GDPR expert neexistuje je to o více lidech.Jen pro informaci. Neživím se tím a ani to neplánuji. Začal jsem se tomu věnovat, abych pomohl našim zákazníkům a je to pro mě koníček. S těmi templaty máte naprostou pravdu a je to i to, čeho se snažím dosáhnout. Snažíme se dát dohromady kuchařku pro e-shopy. Návod se vzory, kde si bude moct provozovatel zavést vše potřebné sám maximálně s nějakou lehkou podporou. Cílem je náklady dostat na tisíce z těch desetitisíců nebo statisíců, co jsou prezentovány.

Souhlasim s tim, ze urcity template pro nektere veci muze vzniknout, to se nevylucuje. Urcite mohou vzniknout nejake obecne pokyny pro nektere veci, ale proste neni to tak, jako to bylo u EET, kde v podstate ten template byl "jeden".Takze pokud nekdo ceka, ze se nekde na netu objevi jednoduchy navod na 10 bodu, co ma udelat, to udela a ma hotovo, tak mam za to, ze se dost myli. Ale je zase pravda, ze je otazkou, jak budou dozorove organy resit subjekty. Tezko rict, zda pujdou po nejakem kominikovai, ktery ma doma v papirovem kalednari osobni udaje svych klientu a zda v pripade, ze mu nekdo zavola, at jeho OU vymaze, ze vezme cerny fix a zamaze to, nebo nuzky a vystrihne to, pripadne, jak a zda ma osetreno, ze k jeho kalendari se nedostane jeho zena ci deti.

Když někde vykládám pro malé firmy co je třeba udělat mám těch bodů jen 5. Tak já je tedy zveřejním:5 věcí, které je třeba zajistit u malé firmy pro GDPR1) Pohlídat si vše co je vidět - tedy prověřit obchodní podmínky, souhlasy se zpracováním a informace o zásadách ochrany soukromí. Prostě to, co je úřad nebo kdokoliv jiný schopen zkontrolovat jednoduše na dálku.2) Sestavit interní nařízení ohledně ochrany osobních údajů - prostě udělat si takový šanon kvůli případné kontrole. Interní předpisy, proškolení zaměstnanců, zásady. Školit zaměstnance těsně před kontrolou nemusí klapnout.3) Připravit se na situaci, že někdo začne vymáhat svoje práva - bude chtít provést výpis, výmaz, přenos atd. Zaměstnanci musí vědět co v této situaci dělat, jaké jsou lhůty apod. Nejhorší je sekretářka, která někomu oznámí: "Vy chcete výpis Vašich údajů? To tady nikomu neděláme"4) Připravit se na to, že Vás někdo nabonzuje - konkurence a naštvaní zaměstnanci nikdy nespí. Jak postupovat v případě, že Vás někdo udá. Jaké podklady mít připravené, jak reagovat na kontrolu.5) Připravit se na bezpečnostní incident - prolomení databáze, krádež notebooku, mobilu apod. Kdy hlásit, jak hlásit a kam hlásit. Hledat tyto informace a postupy až se incident stane je pozdě.pracovně to nazývám pseudo GDPR

Myslím, že jsme na jedné lodi. Rozdíl je pravděpodobně v tom, že Vy vnímáte hlavně e-shopový trh, kde je to podle mého skutečně nejtěžší - cookies, napojená call centra, dodavatelé, přepravci, klienti. U výrobní firmy s 10 dodavateli a 3 odběrateli to bude řádově jinak. Grafické studio zase jinak. Pokud nepoužívají mailingový marketing nebo obecný marketing vůbec, zase je to výrazně jednodušší. Většina podnikatelů s tím podle mě nebude mít větší problém, fakticky s OÚ nepracuje, jen je má z titulu zákonného oprávnění k plnění smlouvy (o tom se taky vedou odborné debaty). Ti sice asi nejsou úplně tady, ale pro úplnost pohledu. Segment e-commerce je specifikum.Další věcí je to strašení max. pokutou. To je hranice pro obry. UOOU se už dal slyšet, že ty vysoké pokuty padat nebudou. Navíc objektivně dnes ještě nemůže říct, že to bude přesně tak nebo onak, teprve se tvoří guidy. Mně to připomíná situaci z 6/2014, kdy se měly přizpůsobovat zakladatelské listiny a stanovy. Hype jako svět a notáři a někteří kolegové z tlaku času brali i 100.000Kč, aby to bylo "včas". Já klienty včas upozornil a kdo to nechal na poslední chvíli, tak jsme to řešili v září až prosinci za zlomek ceny. Nic reáně nehrozilo, protože soudy měly ze zákona napřed vyzvat k nápravě a určit lhůtu než by přišel postih... U GDPR žádné zdržení možné není, ale jde o princip - zbytečně nestahovat předčasně kalhoty.Takže v tom ne-e-commerce sektoru to taková kovbojka není. Pokud má podnikatel zmapované toky informací, tak si pozve GDPR člověka, určí OÚ, toky, slabá místa a ty ošetří. Není to nic, ale není to šílenost na půl roku. Jestli se v červnu zjistí, že mají špatně zabezpečený BYOD mobil zaměstnance, kde je OÚ... jaká bude sankce?... BTW jsem zvědav na vývoj právě na poli BYOD vs. GDPR

S těma sankcema je jeden průšvih. Podle nejnovějšího vodítka WP29 musí být sankce za stejné provinění napříč celou EU totožné. První sankce podle mě padnou v zemích, kde mají ochranu OÚ rozvinutou tedy Německo, VB, Španělsko, Rumunsko, Belgie, Francie. A tam nebudou nízké. Podle toho vodítka již ale následně nemohou být jinde nižší. Myslím, že BYOD versus GDPR půjde cestou sdílené nebo přenesené odpovědnosti. Stejně jako u zpracovatelů. Prostě pokud budeš pracovat s vlastním strojem a mými daty pak budeš zachovávat moje pravidla a pokud ne neseš za to odpovědnost.Včera jsme spíš řešili takový Facebook a firemní stránku na Facebooku, komentáře uživatelů v rámci firemní stránky na facebooku a třeba situaci, kdy napíšou do komentáře....nemohl jsem dojít k nim na provozovnu, mají ji daleko a mě bolí noha, protože mám cukrovku.

COž povede k tomu, že zaměstnanci budou BYOD odmítat...Není tam výjimka pro subjektem údajů zveřejněný OÚ? čl. 9/2 e)

Napsal Vladimír Doležel;1425889

COž povede k tomu, že zaměstnanci budou BYOD odmítat...

Není tam výjimka pro subjektem údajů zveřejněný OÚ? čl. 9/2 e)

Zařadili jsme to přesně pod pojem zveřejněného údaje subjektem, ale bude tam hrát roli stanovisko Facebooku, protože ten je v tomto nevyzpytatelný. My jsme tu analýzu ještě rozšířili o to, že vlastně co se facebooku týče osobní údaje spravuje Facebook nikoliv společnost vlastnící stránku. Toto vše jsme podložili tím, u koho by vlastně subjekt údajů uplatňoval svoje práva respektive kdo by byl schopen jeho práva v tomto směru naplnit a z toho jednoznačně vyšel Facebook a nikoliv daná společnost.Tak BYOD obecně představuje velmi těžko kontrolovatelné riziko a upravit vše jen směrnicí je v konečném důsledku jen cár papíru.

To je přesně ono, proč jsem psal výše, proč malým podnikatelům nedoporučuji spěchat s GDPR, jen ať si dělají analýzu toku údajů. Spousta věcí je nevyřešených a skupina může dojít k nějakému závěru, ale hlava pomazaná výše to může vidět jinak... Malý podnikatel asi těžko zaplatí skupinu odborníků, aby mu řekli, jak to asi bude. Stanovisko k FB se musí objevit. GDPR bude cár papíru ve velkém % případů. Problémem je, že GDPR mířilo správně na velké databáze, obchod s nimi, ochranu zvláště citlivých údajů, k tomu použili odpovídající prostředky a pak se to někde zvrhlo a kanon se má používat i na vrabce... Výsledkem je, že vrabci budou produkovat spoustu papírů, aby kanon nevystřelil na ně.Mimochodem i společnost je jen uživatelem FB, nevlastní ani tu stránku, ne? Může mít práva k jí vloženému obsahu na stránce patřící FB. U webhostingu hosting poskytuje prostor a stránka a její obsah je společnosti, u FB je prostor i stránka FB, obsah patří společnosti. IMHO. Na druhou stranu jí FB data poskytuje a umožňuje zpracovat... Takže tam je backfire...IMHO z pohledu GDPRSpolečnost bude příjemcem. Mohla by za určitých podmínek spadnout i do kat. správceFB bude správce a pokud by byla společnost správce, mohl by být v daném případě i zpracovatelem

Tady na tomto foru je většina podnikatelů v marketingu a e-commerce. Tyto odvětví mají nutnost častých úprav systémů, na kterých běží. Nechat to tedy na poslední chvíli se může vymstít. Souhlasím s Vámi, že psát podmínky zpracování osobních údajů a texty souhlasů stačí až v březnu, ale zjistit co budu potřebovat a zapracovávat to například v průběžných úpravách systému se zatraceně vyplatí.Plně souhlasím s tím, že zde prostě mělo být škálování velikosti firem a rozlišení přímo v nařízení. Mimochodem GDPR prý prošlo o 2 hlasy, ale nevím co je na tom pravda.