E-shop se vás bude muset zeptat, jestli mu dáte svá data

Tvůj případ je velmi jednoduchý a v zásadě by to mohl dokument pokrýt. On předpoklad toho, že Ti někdo přijde na kontrolu je minimální. Spíš to bude případné udání nebo bezpečnostní incident. Pokud by Ti třeba někdo ukradl notebook a policie jej následně našla a na disku našla osobní data, pak počítej s tím, že se UOOU začne zajímat o to jak je chráníš.Totéž třeba telefon atd. Tyto věci tedy šifrovat a zamykat jak to jde. Tento typ ochrany následně taktéž zanést do toho dokumentu. Pokud si tedy vše včetně účetnictví zpracováváš sám mělo by to stačit. Ten Google bych Ti opravdu asi moc nedoporučil i když názory se různí.Ideální by bylo zamykací šufle :))A pak se hlavně podle toho, co napíšeš do dokumentu začít chovat. Pokud by totiž někdo kontroloval dokument a měl tam napsáno, že po deseti letech žádáš oblastní archív o výběr dokumentů k archivaci a následně provádíš skartaci a viděl, že jsi to za posledních 5 let neudělal pak to asi neprojde.

no a v složitějším scénáři, to pokrývá co, nějaký souhlas od toho pověřeného pracovníka? Data mám pak samozřejmě jeste uložené v gmailu (faktury co mi kdo poslal atd) ale nevím to je prostě na hlavu.

složitější scénář je široký pojem a nedá se na takto položenou otázku jednoduše odpovědět. GDPR neobsahuje prováděcí vyhlášku. Nikde tedy není daný přesný postup. Většinou se ve složitějších případech postupuje podobně jako při zavádění ISO 27001 s důrazem na osobní údaje. Na podnikatel.cz teď jsou nějaké články na toto téma:http://www.podnikatel.cz/clanky/lze-castecne-obejit-gdpr-ano-ale-s-vedomim-mozneho-postihu/ahttp://www.podnikatel.cz/clanky/jeden-souhlas-nestaci-pro-zpracovani-osobnich-udaju-bude-nutny-double-opt-in/ahttp://www.podnikatel.cz/clanky/prodavate-pak-setrete-na-ochrance-osobnich-udaju-budete-ho-potrebovat/po pravdě řečeno, ale se spoustou informací, které tu jsou uvedeny osobně nesouhlasím. Třeba si nemyslím, že každý e-shop musí mít DPO. Bude se to týkat těch co využívají pro prodej analytiky tedy analytics, historii nákupů zákazníka. Přesné cílení reklamy apod. PříkladPokud posíláte pravidelně newsletter svým zákazníkům nepotřebujete dle mého názoru DPO za předpokladu, že všichni zákazníci obdrží stejný.Pokud již pravidelně procházíte historii nákupů a skládáte tak varianty marketingu podle toho, co uživatele zajímá budete pravděpodobně DPO muset jmenovat.

Na e15.cz vyšel poměrně zajímavý rozhovor se šéfkou českého úřadu na ochranu osobních údajů. Dá se z něho podle mě docela dost vyčíst jak se bude ke GDPR a zejména pokutám stavěthttp://nazory.e15.cz/rozhovory/sefka-uradu-pro-ochranu-osobnich-udaju-vysokymi-pokutami-chceme-firmy-odrazovat-ne-likvidovat-1334926

Četl jste jste někdo tento poměrně "nový" článek z července - http://www.podnikatel.cz/clanky/lze-castecne-obejit-gdpr-ano-ale-s-vedomim-mozneho-postihu/?Nevím, jestli jsem mu rozuměl sprváně, ale vypadá to, že odporuje například tomuto předchozímu článku - http://www.podnikatel.cz/clanky/jeden-souhlas-nestaci-pro-zpracovani-osobnich-udaju-bude-nutny-double-opt-in/?

V čem by měl odporovat?

No jak jsem už uvedl, tak si nejsem jistý, jestli jsem to vůbec správně pochopil...Ale když dle tohoto článku - http://www.podnikatel.cz/clanky/lze-castecne-obejit-gdpr-ano-ale-s-vedomim-mozneho-postihu/ přistoupíme k naplnění ochraně osobních údajů přístupem založeným na riziku: "Při tomto přístupu bude nutné posoudit riziko porušení zabezpečení. To znamená, že bude nutné vycházet zejména z kategorie osobních údajů, které byly porušením zabezpečení dotčeny, charakteru porušení zabezpečení a počtem dotčených subjektů údajů. Vyšší riziko budou vždy představovat zvláštní kategorie osobních údajů (například údaje o zdravotním stavu), případně údaje, kterými je možné způsobit subjektu údajů újmu nebo zásah do jeho práv (například únik přihlašovacích údajů do elektronického bankovnictví).""Z výše uvedených principů přístupu vyplývá, že GDPR nebude tak velkým strašákem, jak se někteří snaží vnutit. Jen je potřeba, aby si správci údajů uvědomovali, s čím zacházejí a jak cenné osobní údaje jsou."tak například internetový obchodník, který eviduje pouze e-mailové adresy pro následné rozesílání newsletterů (necílených tzn. jednotný newsletter pro všechny, nesleduje předchozí nákupu, procházení webem apod.) nemusí v podstatě měnit nic? Respektive provádět vše, co je uvedeno v tom dřívějším článku - http://www.podnikatel.cz/clanky/jeden-souhlas-nestaci-pro-zpracovani-osobnich-udaju-bude-nutny-double-opt-in/. Nebo alespoň z toho článku mi to tak vyplývá. Ale jelikož si tím nejsem vůbec jistý, tak proto zde ten dotaz.

Nejde to proti sobě. Přístup založený na riziku a analýza rizika se týká zejména nových zpracování. Moc bych nikomu nepřál dělat hodnocení rizika zpracování.V tom článku je to i napsané:"o aplikaci některých povinností pouze v případě, kdy zpracování osobních údajů či porušení zabezpečení představuje riziko či vysoké riziko pro práva a svobody fyzické osoby"Posuzování rizika je naopak mnohem složitější přístup. Chceš laxnější přístup? Tady ho máš:Vykašlu se na to s rizikem pokuty. A teď si proveď hodnocení rizika, nakolik Ti to stojí za to. Aktuálně jsem se dopočetl nákladú pro malý a střední e-shop. podmínkou je, že do toho investuje i svůj čas a nebude čekat, že mu někdo něco nachystá na klíč. Vychází mi náklady na zavedení do 5000Kč.V překladu všechny povinnosti původního článku zůstávají. Tady se potom jedná o oobecný přístup ke zpracování dat, kdy neprovedeš DPIA - analýza rizik a pak v zásadě odpovídáš za jakákoliv pochybení. Nebo DPIA provedeš (neskutečně drahej opruz), vše zkonzultuješ s UOOU, splníš vše co Ti nařídí a pak, když se něco stane možná to uhraješ na to, že jsi v analýze špatně odhadl rizika.

Upřímně nejsem po tvém příspěvku o moc moudřejší, možná to je tím, že jsem v tomhle naprosto neznalý, nevím.Každopádně já jsem to asi pochopil stejně, jako jeden uživatel v diskuzi pod článkem - http://www.podnikatel.cz/clanky/lze-castecne-obejit-gdpr-ano-ale-s-vedomim-mozneho-postihu/nazory/:"Není důvod, aby DPIA z povinnosti řešily eshopy. Vysoká míra rizika není snad u žádného z nich, odstavec 3a pojednává o automatizovaném zpracování použitém jako podklad pro rozhodování, které má na subjekt právní dopad. Takže bych to pochopil u scoringu bonity u finančních institucí, ale rozhodně ne u eshopů. Tam se profiluje tak max. pro remarketing/direct marketing obecně a ten má míru rizika na bodu mrazu, neprofiluje-li se u dovozené sexuální orientace nebo podobných segmentačních extrémů, které snad soudný markeťák nepoužívá."Jde mi primárně o to, že si nedovedu představit, jak eshopy od svých stávajících zákazníků získávají nové souhlasy se zasíláním obch. sdělení..

O GDPR toho moc nevim, kazdopadne bezpecnostni testy webovych aplikaci patri k hlavnim sluzbam, ktere poskytuji. Je pravda, ze s bezpecnosti u nas je to celkem tragicke, to se samozrejme tyka i zpracovani a ukladani uzivatelskych dat. Jsem rad za kazdy zakon, ktery zprisni pravidla a donuti podnikatele, aby s daty nakladaly bezpecne.Co se tyka exportu informaci, ktere web uklada o svych uzivatelich, opravdu na tom nevidim tim sloziteho. Kazdy nadava na facebook, jak vsechny smiruje, kazdopadne ten tuto funkci ma uz davno.

Napsal Dmitrij;1408772

Upřímně nejsem po tvém příspěvku o moc moudřejší, možná to je tím, že jsem v tomhle naprosto neznalý, nevím.

Každopádně já jsem to asi pochopil stejně, jako jeden uživatel v diskuzi pod článkem - http://www.podnikatel.cz/clanky/lze-castecne-obejit-gdpr-ano-ale-s-vedomim-mozneho-postihu/nazory/:

"Není důvod, aby DPIA z povinnosti řešily eshopy. Vysoká míra rizika není snad u žádného z nich, odstavec 3a pojednává o automatizovaném zpracování použitém jako podklad pro rozhodování, které má na subjekt právní dopad. Takže bych to pochopil u scoringu bonity u finančních institucí, ale rozhodně ne u eshopů. Tam se profiluje tak max. pro remarketing/direct marketing obecně a ten má míru rizika na bodu mrazu, neprofiluje-li se u dovozené sexuální orientace nebo podobných segmentačních extrémů, které snad soudný markeťák nepoužívá."

Jde mi primárně o to, že si nedovedu představit, jak eshopy od svých stávajících zákazníků získávají nové souhlasy se zasíláním obch. sdělení..

No když jsem si to po sobě nyní četl je pravda, že jsem to nenapsal moc srozumitelně :))Takže to zkusím ještě jednou:Všechny povinnosti z původního článku o souhlasech, evidenci, logování, výpisech apod. zůstávají nadále v platnosti. Druhý článek se zaměřuje na práci s daty jako takovými, kdy buď přijmete roli správce, kde prostě už z povahy věci ručíte za každý průšvih až do výše maximálních pokud nebo prostě navrhují řešení v podobě toho, že provedete na každé zpracování osobních dat ve firmě tzv. DPIA analýzu dopadu, tuto zkonzultujete s UOOU. Následně zavedete všechna opatření, která Vám nadiktuje a pak můžete data zpracovávat. Teoreticky, ale zdůrazňuji to slovo teoreticky pak v případě průšvihu lze argumentovat tím, že v analýze jste se zmýlili a nějaké riziko neodhadli správně. Analýza DPIA je však neskutečný opruz, drahá a náročná věc. Vychází v zásadě z ISO 27001 a je to tedy pro představu totéž jako ve firmě zavést toto ISO. Proto i ta reakce pod článkem, kde dotyčný (asi tomu trochu rozumí) říká, že je totální nesmysl tuto analýzu dělat a tímto směrem jít. Pokud se nebavíme o e-shopech typu Mall.cz Alza apod. pak riziko je poměrně malé a taková analýza nemá smysl. Většina e-shopů potřebuje řešit následující:- sestavit souhlas se zpracováním osobních údajů a informace ke zpracování osobních údajů- stanovit právní rámce toho jak zpracovává data- nastavit si interní procesy kdo a jak může k údajům přistupovat- nastavit logování- vysvětlit zaměstnancům a lidem okolo shopu, že nově může přijít někdo a požadovat výpis z dokumentace a co mají v té chvíli dělat- nastavit marketing, aby byl schopen eliminovat pozastavené, smazané, blacklistované a anonymizované záznamy- nastavit interní pravidla výmazu dat- připravit si vzor toho, co bude dělat v případě bezpečnostního incidentu- pokud profiluje zákazníky zvážit jmenování DPOPokud čemukoliv nerozumíš nebo potřebuješ s něčím pomocí ozvi se. Asi ideálně už do PM. Tyto věci dělám nebo někoho doporučím. je to takto jasnější?---------- Příspěvek doplněn 04.09.2017 v 12:41 ----------

Napsal SYSY;1408778

O GDPR toho moc nevim, kazdopadne bezpecnostni testy webovych aplikaci patri k hlavnim sluzbam, ktere poskytuji. Je pravda, ze s bezpecnosti u nas je to celkem tragicke, to se samozrejme tyka i zpracovani a ukladani uzivatelskych dat. Jsem rad za kazdy zakon, ktery zprisni pravidla a donuti podnikatele, aby s daty nakladaly bezpecne.

Co se tyka exportu informaci, ktere web uklada o svych uzivatelich, opravdu na tom nevidim tim sloziteho. Kazdy nadava na facebook, jak vsechny smiruje, kazdopadne ten tuto funkci ma uz davno.

Toto je pěkné, ale bezpečnostní analýza nebo nějaký penetrační test aplikace je pouze jedna ze součástí toho, co navrhne DPIA. Zcela jistě provedení bezpečnostního testu neřeší GDPR a ani GDPR provedení takového testu nenařizuje. Souhlasím s tím, že ohledně osobních údajů a bezpečnosti se leckdy dějí věci, ze kterým mi zůstává rozum stát, ale nesouhlasím s tím, aby stejné nařízení platilo pro ČEZ s jadernou elektrárnou a Pepu truhláře se svým adresářem zákazníků. Proto, když už musíme absolvovat vše ohledně GDPR se tam snažím alespoň dostat obecné zabezpečení firmy jako takové.

Dospěl jsem do stejného bodu, je to velmi podobné. No mluvil jsem s právničkou , dotazoval jsem se , zkopíroval zde několik vět a postřehů. Poslal ji odkazy.Odpověď byla jasná. Bič je to především na velké společnosti. Nás malých e-shopů se to "zase až tak netýká", některá základní opatření je nutné přijmout. Stávajícím registrovaným fyzickým osobám po přihlášení do účtu nabídnout upozornění (donutit je srolovat a přečíst) , pokud nebudou souhlasit tuto skutečnost zaznamenat a účet odstranit. Ti co budou souhlasit účet nechat a potvrzení se souhlasem uvést automaticky ke každé i následné objednávce " v patičce objednávky ".Potvrzení o souhlasu uchovat. Co má samotné upozornění obsahovat je specifické pro každého z nás.Pro ty nové je to obdobné. To že nesouhlas nemůže mít vliv je kravina. Nejen selským rozumem. Pakliže to kravina není, je to co uvádím dále bezpředmětné , všechny e-shopy končí, zboží pouze na osobní odběr pod číslem objednávky (jméno, adresa, mail, telefonní číslo).Pak tam jsou některé rady a opatření ohledně poskytovatele, ohledně smlouvy. Zase nic závažného nic co by extra zabralo čas a způsobilo vrásky. Dále pak je tam doporučení ohledně zaměstnanců. Zde je to co je podstatné, na co bychom si měli dát pozor. Netušil jsem, že i jednání s úřady ( ... VZP..ÚP ) spadá do tohoto opatření. Ptal jsem se jak je to s uchováváním objednávek . No jelikož je v platnosti i zákon v ČR o platné 2 leté záruce na zboží , nezbývá nic jiného , než prodejní doklad , ale i objednávku uchovávat. Takže to co jsem někde zaslechl, že se to má po nějakém období skartovat nebo mazat, je hloupost. Také zapírat , že si fakturu tisknete a ukládáte v listinné podobě je nesmysl, protože když přijde jeden konkretní úřad na kontrolu, tak nic jiného je nezajímá. Když půjdete na sociálku na pravidelnou roční kontrolu, také chtějí papíry.No tak jsem dostal formulář na 4 stránky s návodem kde co vyplnit , kde co přiznat a co udělat. Stálo to pár stovek , vnitřním nařízením to oznámím svým 6 zaměstnancům v rámci školení bezpečnosti práce a požární ochrany s posouzením rizik na pracovišti a jedeme dál.

To je právě to, co jsem říkal výše. Není vše jen o souhlasu, ale o nějakém právním rámci. Právním rámcem může být i plnění smlouvy nebo zákonná povinnost. Je zde zákon o účetnictví, zákon o archivnictví...tento toho pokryje hodně. Pozor však na pár věcí, které ve Tvém příspěvku nezazněly. Pro marketing by jsi měl mít souhlas. To, co popisuješ platí v případě, že vyřídíš objednávku a tím pro tebe zákazník končí, toto ale většina e-shopů nedělá. Jasně je to na polemiku, protože 480/2004 dává možnosti jak oslovit marketingem i zákazníka, který nedal souhlas, ale je to na zváženou.I u zaměstnanců zpracováváš osobní data. Data nejenom že máš, ale musíš je i chránit a to i té papírové podobě. V rámci GDPR se tedy řeší i věci, kde máš papírový šanon.Osobní údaje ve většině zpracováváš i u firem, protože tam máš kontaktní osobu za danou firmu.Jinak je to v zásadě to, co říkám. Žádný extra strašák, pokud se na to jde chytře a nedělá se z toho bublina. Nyní bych si nechal zpracovat vzor pro to zpracování osobních údajů, vzor toho, co máš doplnit do pracovních smluv, pozor na dodavatele, zde je taky třeba upravit smlouvy.Zejména třeba tam, kde Ti poskytují aplikaci na e-shop, webhosting apod. Pokud mohou přijít do kontaktu s Tvými daty je třeba to podchytit.Tyto personalizované vzory smluv, s nějakým návodem co a jak a rychlou konzultací se prostě musí vejít do nějakých 5000Kč. Teď jsem to zpracovával pro menší e-shop, který tedy neměl zaměstnance a vyšlo to na 3000Kč. Levnější než EET :))

S tímto nesouhlasím, a i pokud je zákazníkem fyzická osoba zaměstnavatel OSVČ. (Osobní údaje ve většině zpracováváš i u firem, protože tam máš kontaktní osobu za danou firmu.) TEDY : Kontaktní osoba za danou firmu se váže k pracovní povinnosti k dané firmě. My jako zpracovatelé těchto dat nepodchycujeme ( mail soukromou adresu, ani IP adresu, telefon, adresu poštovní) Ty jsou zcela v rámci firmy za kterou daný pracovník jedná. Firma, která vysílá zaměstnance k těmto nákupům a identifikaci by si měla toto v rámci svého zpracování GDPR vyřešit. Platí to i ve vztahu k fyzickým osobám OSVČ a jejich zaměstnancům. Oni si mají vytvořit pracovní nástroj, aby ke sdělování osobních dat nedocházelo. Zde tedy nic neřešíme.

Napsal Sparx0236;1409204

S tímto nesouhlasím, a i pokud je zákazníkem fyzická osoba zaměstnavatel OSVČ. (Osobní údaje ve většině zpracováváš i u firem, protože tam máš kontaktní osobu za danou firmu.) TEDY : Kontaktní osoba za danou firmu se váže k pracovní povinnosti k dané firmě. My jako zpracovatelé těchto dat nepodchycujeme ( mail soukromou adresu, ani IP adresu, telefon, adresu poštovní) Ty jsou zcela v rámci firmy za kterou daný pracovník jedná. Firma, která vysílá zaměstnance k těmto nákupům a identifikaci by si měla toto v rámci svého zpracování GDPR vyřešit.

Platí to i ve vztahu k fyzickým osobám OSVČ a jejich zaměstnancům. Oni si mají vytvořit pracovní nástroj, aby ke sdělování osobních dat nedocházelo. Zde tedy nic neřešíme.

Pokud u Vás objedná firma XY s.r.o.a jako kontaktní osoba tam uvede e-mail petr@seznam.cz nebo třeba i petr@xy.cz a telefonní číslo musíš se k tomu chovat tak, jako by u tebe objednala soukromá osoba. Ty nedokážeš rozlišit, zda telefonní číslo, které udal je soukromé nebo firemní. Pokud bude firemní e-mailem info@xy.cz pak je to něco jiného.Toto ale v balíku dat budeš těžko rozlišovat takže třídění na firemní a soukromé zákazníky nemá smysl. S OSVČ se musí taktéž zacházet jako se soukromou osobou. Nelze přenést odpovědnost za osobní údaje jinam. Ty nejsi v roli zpracovatele, ale správce a pokud osobní údaje obdržíš musíš s nimi jako s osobními zacházet. A není důležité jak se k tobě dostali. Pokud je nechceš nastav mechanismus na okamžitou likvidaci nebo anonymizaci.V konečném důsledku je to ale jedno. Pokud již stejně budu mít mechanismus na ochranu dat soukromých je jednodušší stejným mechanismem chránit všechna než je třídit.