E-shop se vás bude muset zeptat, jestli mu dáte svá data

28. 6. 2017 08:39:29

Napsal skranc;1395280
HonzaD:
Jediné s čím s tebou nesouhlasím je to, že na západ od nás jsou v pohodě. Například Německo GDPR ještě výrazně zpřísnilo a nastavilo, že každá firma nad 10 zaměstnanců musí mít DPO. Co sleduji odborná fora například ve Velké Británii tak se tam GDPR taktéž řeší ve velkém a připravují se na něj nejenom velké firmy. Spíš bych řekl, že u nás naprosto chybí osvěta ze strany státu. UOOU nemá ani nový zákon, který by byl v souladu a zdá se mi, že se nyní někdo tak nějak začíná probouzet.
Pokud mi zbude nějaký čas rád bych sestavil pro e-shopy takovou nějakou kuchařku jak na to a vystavil ji, ale neslibuji.
Jak jsem napsal výše. Aktuálně by si měli všichni, co si nechtějí následně rvát vlasy projít podmínky souhlasu podle GDPR, sestavit souhlas a začít s přesouhlasením stávajících zákazníků.

Jsem rád, že toto vlákno tu je, a že je možno o GDPR diskutovat. Můj názor spíš směřoval k tomu, že se mi pocitově zdá, že na západ od nás je celé nařízení vnímáno zejména jako vodítko jak postupovat, zatímco u nás se zas budou hledat kličky jak buď ho obejít nebo naopak jak někoho nachytat, včetně hysterie s tím spojené (stačí se podívat na nadpis toho vlákna :)). Vzpomeňme si na EET. Jinak podle mého názoru to Německo už trochu přepísklo a co jsem tak četl, jsou si toho už vědomi.

Spousta těch věcí je již v platném zákoně, že se to neřešilo, to je věc druhá. Mně se třeba od začátku nezdála praxe předávání dat Heurece s odkazem v obchodních podmínkách, například. V Polsku je na toto soudní rozhodnutí, že tohle musí být explicitně odsouhlaseno kupujícím. Zmínka v obchodních podmínkách nestačí.

Souhlasím s Tebou, že chybí osvěta a vůbec metodika jak prakticky postupovat, zde bych čekal více od ÚOOÚ. Zatím veškeré články, dostupné přednášky nebo materiály pracovní skupiny 29, jsou takové abstraktní, člověk sice tak nějak vytuší co se chce ale praktické provedení to už je problém. Malé firmy a OSVČ nemají na to platit si právníky a konzultanty na tohle, navíc co právník to jiný názor.

Mohl bych poprosit, pokud to není tajné na link na nějaká odborná fóra k GDPR v UK nebo jinde, postačí do SZ.

28. 6. 2017 08:39:29

https://webtrh.cz/diskuse/e-shop-se-vas-bude-muset-zeptat-jestli-mu-date-sva-data/strana/5/#reply1283036

skranc

(5 hodnocení)

28. 6. 2017 09:35:25

Jak jsem už napsal výše. Ten kdo plní současnou 101/2000 tak je to sice změna, ale nijak razantní. To, že se tu všichni ohánějí tím, že zpracovávají v souladu a většina zákon ani nečetla je úplně o něčem jiném. Pak je čeká poměrně hodně práce.

Česká hysterie je klasická, jak se okolí dozvědělo, že do toho dělám mě kontaktují vystrašené firmy co že to má být. Moc tomu nepřidala včerejší pokuta Googlu za nesmyslné porušení čehosi. Je potřeba se uklidnit a začít se chovat racionálně. Spousta věcí jde vyřešit velmi rozumně za minimálních nákladů. Je to obrovská příležitost nejenom splnit GDPR, ale případně i ISO 27001 a celkově zabezpečit firmu.

UOOU by mělo hlavně vyčlenit tým, který by zodpovídal konkrétní dotazy z praxe. Aktuálně je to tak, že se prostě rozeberou a který názor převáží tak tak se to udělá, ale to není ideální postup.

Z mých reakcí je asi jasné, že se zabývám GDPR nejenom pro vlastní firmu, ale i komerčně. Nechci však okolo všeho dělat nějaký oblak dýmu a chtěl bych naopak co nejvíce postupů a návodů zveřejnit (ono toho stejně ještě dost zůstane :)).

Takže protože GDPR neobsahuje žádnou prováděcí vyhlášku vychází se při zavádění z některých z bezpečnostních postupů a norem. Tedy například ISO 27001. GDPR se hodně s touto normou překrývá.

Zdroje ze zahraničí hledám zejména na linkedin

https://www.linkedin.com/groups/2587828

potom česká skupina

https://www.linkedin.com/groups/8582363

28. 6. 2017 09:35:25

https://webtrh.cz/diskuse/e-shop-se-vas-bude-muset-zeptat-jestli-mu-date-sva-data/strana/5/#reply1283035

beraniste

(29 hodnocení)

28. 6. 2017 14:17:25

Napsal N3S4;1390681
Provozovatelé klasických e-shopů, kteří nevyužívají data spotřebitele pro jiné, než své účely, přeci nic řešit nemusí. Mělo by stačit zaškrtávací políčko, u kterého bude Souhlas s VOP a s odesláním dat např. do Heureka.cz,apod.
My například poskytujeme data jen Heurece, Zásilkovně a České poště. Jsme registrováni u ÚOOÚ a mailové kampaně zasíláme jen zákazníkům, kteří si to sami vyžádali.

Horší je pohled ze strany, kdy zákazník vyplní údaje a nesouhlasí s předáním údajů České poště, Heurece a Zásilkovně - tudíž jeho objednávka nemůže být vyřízena - předání údajů těmto stranám je nutné k zajištění odbavení objednávky a její vyřízení. Což zákazníkovi musí být jasné, že bez tohoto souhlasu mu nic nikdo neodešle :)

Vždy někomu předáváš data, např. dopravci, programátorovi, tomu co vyřizuje objednávky atd. Nedovedu si představit, jak by fungoval shop bez předávání dat. Jinak nechápu další toto nařízení, když to ošetřuje UOOU. Tam jsme jednou jasně uvedli, komu data poskytujeme a jak s nimi pracuje a vše je dohledatelné a transparentní skrze jejich portál. Jako chápu, že někdo s daty nakládá jak s rohlíky, ve většině případů s nimi ale pracují stále stejní lidé a UOOU o tom ví.

28. 6. 2017 14:17:25

https://webtrh.cz/diskuse/e-shop-se-vas-bude-muset-zeptat-jestli-mu-date-sva-data/strana/5/#reply1283034

HonzaD

28. 6. 2017 15:01:49

Napsal beraniste;1395521
Vždy někomu předáváš data, např. dopravci, programátorovi, tomu co vyřizuje objednávky atd. Nedovedu si představit, jak by fungoval shop bez předávání dat. Jinak nechápu další toto nařízení, když to ošetřuje UOOU. Tam jsme jednou jasně uvedli, komu data poskytujeme a jak s nimi pracuje a vše je dohledatelné a transparentní skrze jejich portál. Jako chápu, že někdo s daty nakládá jak s rohlíky, ve většině případů s nimi ale pracují stále stejní lidé a UOOU o tom ví.

Zákon o ochraně osobních údajů nahrazuje toto nové nařízení. Novelizovaný zákon bude obsahovat jen obecná ustanovení o působnosti úřadu, apod. Předání údajů dopravcům by mělo spadat pod zpracování za účelem plnění kupní smlouvy a k tomu souhlas být zřejmě nemusí ale musí být s dopravci smluvně zajištěno, abychom případně mohli uplatnit právo na výmaz pokud by na tom někdo trval. Naopak souhlas musí být k předání dat Heurece a vzhledem k tomu, že nově je osobním údajem i IP adresa, tak souhlas musí být všude tam, kde je poskytována IP adresa ledaže by byla anonymizována, např. pro poskytnutí Google Analytics. Pozor i na případy kdy se s IP adresou pracuje nad rámec kupní smlouvy, např. analýza logů, i když v tomto konkrétním případě nevím jestli to nespadá pod ty další případy kdy souhlas není třeba.

28. 6. 2017 15:01:49

https://webtrh.cz/diskuse/e-shop-se-vas-bude-muset-zeptat-jestli-mu-date-sva-data/strana/5/#reply1283033

beraniste

(29 hodnocení)

28. 6. 2017 15:06:47

Nj, úřední šiml musí vždy všechno komplikovat. Ono je to v podstatě jedno, protože to bude pro všechny stejné, ale je to vtipné. Tak my tu už jedno takové podobné řešení máme, tak proč se do toho jen nějak nehrábne.

28. 6. 2017 15:06:47

https://webtrh.cz/diskuse/e-shop-se-vas-bude-muset-zeptat-jestli-mu-date-sva-data/strana/5/#reply1283032

skranc

(5 hodnocení)

28. 6. 2017 15:19:18

Napsal beraniste;1395544
Nj, úřední šiml musí vždy všechno komplikovat. Ono je to v podstatě jedno, protože to bude pro všechny stejné, ale je to vtipné. Tak my tu už jedno takové podobné řešení máme, tak proč se do toho jen nějak nehrábne.

Ono se do něj právě hrábne a řekne se něco na způsob 101/2000 Sbírky se ruší a nahrazuje jej GDPR.

28. 6. 2017 15:19:18

https://webtrh.cz/diskuse/e-shop-se-vas-bude-muset-zeptat-jestli-mu-date-sva-data/strana/5/#reply1283031

HonzaD

28. 6. 2017 15:36:16

Celkem přehledný úvod k tématu je na stránkách EU http://ec.europa.eu/justice/newsroom/data-protection/infographic/2017/index_cs.htm

28. 6. 2017 15:36:16

https://webtrh.cz/diskuse/e-shop-se-vas-bude-muset-zeptat-jestli-mu-date-sva-data/strana/5/#reply1283030

skranc

(5 hodnocení)

28. 6. 2017 15:54:39

Napsal HonzaD;1395554
Celkem přehledný úvod k tématu je na stránkách EU http://ec.europa.eu/justice/newsroom/data-protection/infographic/2017/index_cs.htm

Propaganda žije....

28. 6. 2017 15:54:39

https://webtrh.cz/diskuse/e-shop-se-vas-bude-muset-zeptat-jestli-mu-date-sva-data/strana/5/#reply1283029

deive

11. 7. 2017 17:20:47

může mi někdo vysvětlit na co všechno to platí? Libovolný web (nemyslím eshop) který používá jen analytics a adsense, to nějak řešit musí?

11. 7. 2017 17:20:47

https://webtrh.cz/diskuse/e-shop-se-vas-bude-muset-zeptat-jestli-mu-date-sva-data/strana/5/#reply1283028

skranc

(5 hodnocení)

12. 7. 2017 09:13:19

GDPR neplatí jen na elektronické systémy. Platí na všechny způsoby zpracování tedy elektronicky, papírově, záznamem i jakkoliv jinak. Nejprve je třeba určit zda vůbec zpracováváš osobní údaje.

V zásadě se k tomu používá taková poučka, že osobní údaj je vše, co je schopno identifikovat konkrétní osobu. Pokud tedy nemáš zaměstnance, dodavatele nebo odběratele fyzické osoby nebo OSVČ (faktury, smlouvy apod), ve firmě kamerový nebo nahrávací systém pak si myslím, že se Tě GDPR týkat nebude. O primární soulad Analytics a Adsense s GDPR se podle mě postará Google.

12. 7. 2017 09:13:19

https://webtrh.cz/diskuse/e-shop-se-vas-bude-muset-zeptat-jestli-mu-date-sva-data/strana/5/#reply1283027

deive

12. 7. 2017 09:33:01

samozřejmě že mám nějaké faktury jako osvc. Jestli je to tak, tak se to pak musí týkat skoro každého podnikatele. Ale nic navíc zatím nemám/nepoužívám. Co tedy musím prosím udělat, aby to bylo ok?

12. 7. 2017 09:33:01

https://webtrh.cz/diskuse/e-shop-se-vas-bude-muset-zeptat-jestli-mu-date-sva-data/strana/5/#reply1283026

skranc

(5 hodnocení)

12. 7. 2017 10:34:52

Však se to taky týká v zásadě téměř každého podnikatele a firmy. Pokud jsme si tedy ujasnili, že pracuješ s osobními daty tak je třeba každému zpracování přiřadit právní rámec. Tedy Tvoje oprávnění proč tak činíš. U faktur to bude zákon o účetnictví a archivnictví. Z těchto je třeba vyjít a stanovit si jakým způsobem, jaké přesně údaje a jak dlouho uchováváš. A zda to, co uchováváš je to, co nutně musíš uchovávat. Zda tedy náhodou nemáš něco navíc. Pokud máš třeba adresář dodavatelů a odběratelů pak už na to zmíněné zákony použít nemůžeš a budeš pravděpodobně potřebovat od subjektů souhlas.

Se souhlasem je to už potom složitější, protože musíš vyřešit zákonné možnosti, které GDPR subjektům údajů dává. Tedy možnost odvolání, výmazu, výpisu a přenosu.

Možná by na to šel napasovat nějaký oprávněný zájem, ale to už je na právníka.

12. 7. 2017 10:34:52

https://webtrh.cz/diskuse/e-shop-se-vas-bude-muset-zeptat-jestli-mu-date-sva-data/strana/5/#reply1283025

deive

12. 7. 2017 10:44:36

způsobem: elektronicky a fyzicky

údaje: ty které jsou na faktuře - faktury.

jak dlouho uchováváš: podle zákona.

nic navíc nemám. Vyřešeno, nebo co konkrétně musím udělat abych to měl oficiálně ok?

12. 7. 2017 10:44:36

https://webtrh.cz/diskuse/e-shop-se-vas-bude-muset-zeptat-jestli-mu-date-sva-data/strana/5/#reply1283024

skranc