GDPR a emailove prihlaseni – kdo vi co s tim?

Zdravim.Mam stranky, kde se uzivatele registruji pomoci sveho emailu a hesla. K nicemu jinemu jejich email nepouzivam. Pouze k prihalseni. Snazil jsem ae nekde docist, co mam delat, abych vyhovoval GDPR, ale nerozumim tomu. Jestli nemusim delat nic nebo tim, ze uchovavam jejich email v databazy se me to taky tyka.. ?A co jejich prispevky do forum a vlozene obrazky, atd. Je tu nekdo, kdo vi co s tim a rad poradi?Diky, Dan

Kdesi jsem četl, že email sám osobě (bez dalších údajů) je osobní údaj jen tehdy, pokud z něj lze odvodit jméno. A občas má někdo email ve tvaru jmeno.prijmeni@email.cz Je to ale dost extrémistický výklad, který by někdo mohl považovat za chybný. Nejednodušší možná proto bude tvrdit, že email sám o sobě osobní údaj není, případně lidem jako zakázat používání emailů co obsahuje celé pravé jméno. Prostě prohlásíte, že email smí obsahovat jedině přezdívku. Podobně telefonní číslo bez jména osobní údaj není, se jménem ano. Předpokládejme variantu, že budete email považovat za osobní údaj, třeba spolu s ip adresou odkud se člověk hlásí. (kvůli snadnější blokaci spamování)Pokud to nejde udělat jinak, souhlas se zpracováním není nutný, protože k tomu máte validní důvod bez souhlasu. Ale většinou se tohoto prohlášení o nutnosti všichni bojí, tedy souhlas obvykle vyžadují všichni, aby měli jistotu. Většinou ale nikdo nepožaduje údaje, které opravdu nutně nepotřebuje, dle mého názoru je tak souhlas většinou zbytečný. Souhlas navíc nesmí být vynucen tím, že jinak nemáte přístup ke službě. Tedy facebook to dělá "na pokutu", když ti co se šmírováním za účelem lépe cílené reklamy nesouhlasí nemají jinou možnost než službu nepoužívat. Dostane facebook pokutu? Myslím si že ne. Tedy je to celé jen plácání. Uvidíme jestli z toho bude nějaká změna k lepšímu.Další problém může být to, že by jste neměli osobní údaje uchovávat na vždy, ale jen na nezbytně nutnou dobu. Tohle hlásají někteří GDPR poradci, tedy souhlas je nutné podle nich pravidelně obnovovat. Podle mne je to ale také extremistický výklad jedné plané fráze. Podrobnosti zde. https://webtrh.cz/398037-gdpr-komentare-webu-bude-nutneGDPR je ale plné planých frází, které je těžké přeložit na konkrétní činy a není to jednoznačné. Je to takové plácání se v bahně planých frází, ale co konkrétního přesně udělat aby jste měli 100% jistotu, že to máte správně, poradit nelze.Osobně mi přijde lepší než se v tom plácat jasně konstatovat, že pro registraci nelze použít email, který neobsahuje pravé jméno (a příjmení). Email smí obsahovat jen přezdívky, ale rovnou můžete napsat, že to nemáte jak zkontrolovat, tedy kontrolovat to nebudete. Ano lidé to budou ignorovat, ale že někdo poskytne osobní údaj i když byl upozorňovat ať to nedělá už nejspíš nemusí být Vaše starost. Vy budete jména v emailech považovat jen za přezdívky. Je to sice také plácání, ale je to o level bezpečnější než zabřednout do opravdového zpracování a vše co to obnáší. Víz názor jednoho úředního papaláše: https://www.epravo.cz/top/clanky/e-mailova-adresa-jako-osobni-udaj-92626.html

Také si myslím, že email není osobním údajem. Ale bohužel můj názor není rozhodující. Kdysi jsem tento dotaz vznesl na UOOU a bylo mi doporučeno, abych se zaregistroval jako správce osobních údajů, neb přinejmenším některé maily mohou být osobními údaji. Pravda, bylo před čtyřmi lety, ale tyhle věci se s časem nezlepšují :(

e-mail většinou naopak je osobním údajem a je v zásadě nesmyslné rozlišovat kdy je a kdy není. V příkladu nahoře se bude pravděpodobně jednat o souhlasové jednání takže budeš potřebovat souhlas, text souhlasu, zásady a povinné informace.

V příkladu nahoře se bude pravděpodobně jednat o souhlasové jednání takže budeš potřebovat souhlas, text souhlasu, zásady a povinné informace.

Rozlišit co je souhlasové a co je "zpracování nezbytné pro splnění smlouvy" je velmi obtížné a je to zásadní problém. Kromě pár zjevných ukázkových příkladů, kde není problém se shodnout (jednorázová objednávka eshopu), to záleží na tom, co si myslí důležití úřední papaláši a jejich poskoci, případně možná záleží též na tom, jak rozhodne soud. (tedy pokud je možné názor papalášů vůbec rozporovat u soudu)Pokud tedy poskytujete nějakou službu, máte na ni všeobecné podmínky tedy smlouvu a registrace emailem je nezbytná pro to, aby bylo možné vůbec službu poskytnout (je nutné uživatele nějak evidovat a mít na ně kontakt a možnost obnovit zapomenuté heslo), žádný souhlas není třeba. Ale kde je přesně ta hranice určují jen nikým nevolení papaláši, protože GDPR je hrozně vágní nekonkrétní paskvil. V podstatě ať uděláte co uděláte, vždy existuje pohled na věc, který bude tvrdit, že to máte špatně.U souhlasu je navíc dána povinnost, že do něj nikdo nesmí být nucen pod pohrůžkou odepření služby. Z toho logicky plyne, že pokud je email nutný k tomu, aby službu bylo vůbec možné nabídnout, nelze požadovat souhlas, protože by jste v případě nesouhlasu musel odmítnout poskytnout službu, což se nesmí.Jak si to přesně EU papaláši představují se nejspíše ukáže časem, zatím jen víme to, že nikdo si nemůže být jist, že to má správně.Informace na téma souhlas nebo jiný důvod viz např. https://www.uoou.cz/desatero%2Domylu/ds-4818/p1=4818 bod 4.Pravděpodobně nikdo běžně neeviduje a neukládá údaje, které k ničemu legitimnímu nepotřebuje. Kromě typických služeb co se živí hlavně často nežádoucím šmírováním jako Facebook a Google čímž si podstatně zvyšují své zisky z reklam. Tedy onen "souhlas" by měl být potřeba spíše výjimečně, kdy má smysl nabídnout možnost nesouhlasit. To je podle mne změna k lepšímu oprati současné praxi, kdy pro jistotu každý vyžadoval souhlas téměř ke všemu jen tak pro jistotu. Otázka co na to papaláši v praxi.

ono to až zas tak složité není. Pokud poskytujete službu, která má svoje pravidla hry (tedy podmínky) jedná se o plnění smlouvy. Je jedno, zda je plnění úplatné či neúplatné. Souhlas zde v tomto případě nemá co dělat. Pokud se jedná o pomocnou věc, nebo něco co je nad rámec smlouvy (zřízení uživatelského účtu, marketing, e-mailing, remarketing apod.) souhlas potřebujete.

Napsal skranc;1459794

ono to až zas tak složité není. Pokud poskytujete službu, která má svoje pravidla hry (tedy podmínky) jedná se o plnění smlouvy. Je jedno, zda je plnění úplatné či neúplatné. Souhlas zde v tomto případě nemá co dělat. Pokud se jedná o pomocnou věc, nebo něco co je nad rámec smlouvy (zřízení uživatelského účtu, marketing, e-mailing, remarketing apod.) souhlas potřebujete.

Zní to dobře, byl bych rád kdyby to tak bylo. Problém ale je, že kdyby to přesně takto bylo, různí šmíráci (např. facebook, google) a spameři si to šmírování a spamování dají do oné smlouvy/všeobecných podmínek a pod různými záminkami to spojí se svojí základní službou a pak ani nebudou potřebovat ten souhlas a bude vše v pořádku. A aby se neřeklo, souhlas si nechají udělit jen na nějaké nepodstatné detaily, aby měl uživatel pocit toho, že mají možnost volby.A kde je právě ta hranice, co je ještě možné považovat za nezbytné zpracování pro plnění smlouvy a co už nikoli, nikdo moc neví a nezbývá než bedlivě sledovat různá vyjádření nikým nevolených EU papalášů a jejich poskoků, co jejich prohlášení přebírají a vydávají jej za svatou pravdu. Papalášové s největší mocí možná ani žádné právní názory nikdy zveřejňovat nebudou a proto je nutné sledovat také to s čím přijdou jejich patolízalové a poskoci, protože ti mají od nich přesnější informace, než kdokoli jiný.Jisté ale je, že poté, co začne platit GDPR, těch souhlasů bude potřeba podstatně méně a většinou opravdu jen na okrajové věci, kde bude mít zákazník/uživatel opravdu možnost volby. Tohle je dost podstatná změna a řekl bych i úleva pro všechny včetně koncových zákazníků/uživatelů. Myslím snad jediná změna k lepšímu.Vypadá to, že nad tím tápou i třeba takoví právníci Raiffeisen Banky, kde na mne po přihlášení do internetového bankovnictví několikrát vyskočilo okno s potvrzením nového souhlasu - byla tam i možnost "později ..". Když jsem se ozval, že tam mají chyby a nekompatibilitu s GDPR, vyskakovací okno opět nenápadně zmizelo, bez toho abych jim to odsouhlasil, mailem mi odpověděli, že to ještě do začátku platnosti GDPR opraví.

Pokud mi Facebook napíše v oznámení jednoduchou formou jak mě bude šmírovat, což musí i u plnění smlouvy. Komu všemu data předá a jak dlouho je bude mít pak je asi vše ok. To, že je to plnění smlouvy mě nijak nezbavuje informační povinnosti.

Napsal skranc;1459800

Pokud mi Facebook napíše v oznámení jednoduchou formou jak mě bude šmírovat, což musí i u plnění smlouvy. Komu všemu data předá a jak dlouho je bude mít pak je asi vše ok. To, že je to plnění smlouvy mě nijak nezbavuje informační povinnosti.

Zní to logicky. Otázka jen je, co přesně na to říkají mocní papaláši EU.Tohle by vysvětlovalo, proč opravdovým šmírákům GDPR zas až tak nevadí, protože je to pro ně jen formalita bez podstatného vlivu na jejich finanční toky. Jejich uživatelé nebudou mít šanci jejich služby výrazně ovlivnit nějakým nesouhlasem s výjimkou toho je úplně nepoužívat.Kdyby jim ale opravdu EU úředníci sáhli na jejich miliardy, pravděpodobně by spustili mediální humbuk jak se svými miliardami dovedou. Pravda google se nikdy moc mediálně nezapojoval, ale a např. u facebooku byly jeho nadstandardní vztahy s novináři na samém počátku velmi klíčové. O facebooku se psalo všude možně i v době kdy jej v ČR ještě skoro nikdo neměl. K rozšíření jsou takové věci klíčové.Otázka je do jaké míry budou ochotni prozradit všechny našmírované údaje o každém jednotlivci, když je o šmírovaný požádá. Celkem určitě se pokusí velkou část zamlčovat. Dostanou za to někdy pokutu?Příklad toho co dělá Google: https://www.youtube.com/watch?v=S0G6mUyIgyg Šmíruje pohyb každého android telefonu, dokonce i v době kdy je v režimu letadlo.Bude ochoten vám předat informace, kde všude jste se pohybovali za poslední rok, když je o to požádáte? Odkaz jsem našel na slajdu Doc. JUDr. Jan Kolouch, Ph.D. odkaz na něj zde: https://www.cesnet.cz/akce/gdpr2018/ Tedy žádný typický paranoidní konspirátor.---------- Příspěvek doplněn 28.04.2018 v 08:51 ----------Ještě mne napadá jedna věc. I v případě, že prohlásím, že osobní data sbírám za účelem plnění smlouvy, tak zadání spousty věcí není povinné. Např. může a nemusí zadat svoje jméno. Pokud jej zadá, usnadní to práci jemu (v případě že spravuje více účtů - např. i svému známému) i naší podpoře. Může a nemusí zadat mobilní číslo. Pokud jej zadá má to zjevné výhody. A může a nemusí např. zadat např. email pro zasílání informací o zmeškaných hovorech (pokud o to stojí). A ono vůbec není jasné, jestli pro každou tuhle nepovinnou položku žádat souhlas se zpracováním údajů zvlášť, nebo dohromady, nebo jej vůbec nežádat a prohlásit, že jsou to všechno věci důležité k plnění smlouvy a je zde oprávněný zájem.Pokud někdo chce informace o zmeškaných hovorech emailem, musí prostě ten email zadat, bez toho to prostě nejde. A může jej kdykoli zadat i kdykoli smazat.Kdybychom si na to vyžadovali souhlas se zpracování osobních údajů, navíc hrozí, že bychom ten souhlas museli obnovovat a třeba každý rok se ptát. (to je zjevně názor papalášů i když oporu v samotném GDPR to jednoznačně nemá, tam je formulace ve smyslu měl by, nikoli musí) Opravdu chcete pořád zasílat informace o zmeškaných hovorech, nebo při útoku na váš virtuální server emailem? To by přece lidi obtěžovalo, protože podobných nastavení jsou desítky a každé by mělo jiné lhůty. Viz např. email o poklesu kreditu, email na který posílat daňové doklady, email o použití záložního směrování, email o změně počtu přihlášených telefonů na lince ...Zákon nám ukládá uchovávat historii hovorů půl roku. Ale je zpravidla velmi užitečné ukládat historii podstatně déle, nejen k užitku zákazníků, ale třeba proto, že tak lze zpětně prokázat nebo vyvrátit správné účtování v delším časovém úseku. Je třeba pro tohle výslovný souhlas? Opět si myslím že nikoli. A nebo provozovatel internetového fóra. Aby fórum bylo vůbec možné provozovat je nutné registrace a zadání emailu. Tedy je to plnění smlouvy či oprávněný zájem? Bez toho by to prostě vůbec nešlo i když některá fóra mohou dovolit některý typ příspěvků i bez registrace. Ale uživatel má navíc možnost zadat o sobě i více údajů ve svém profilu, které nejsou povinné a nezbytně nutné. Musíme pro něj vyžadovat souhlas? Pro každý údaj zvlášť? A pak každý rok, přestože je stále aktivní, chtít po něm obnovení souhlasu? I kdyby aktivní nebyl, tak pokud by to vadilo, lze předpokládat, že by informace sobě smazal. Ale GDPR papaláš si naplánoval, že by bylo dobré jej pravidelně obtěžovat s obnovováním souhlasu, ačkoli je to nesmysl.Možnost si na provoz fóra napsat všeobecné podmínky - smlouvu a v podstatě jakékoli zadání údajů považovat za plnění smlouvy se zdá být nejednodušší možnost jak to ošetřit.Když se někdo registroval v eshopu mám jej opakovaně obtěžovat s obnovováním souhlasu?Někde ta hranice být musí a kde přesně je, není jednoznačné. Je to pěkná cákání se v nejednoznačném bahně GDPR blábolů a prohlášení papalášů a jejich přisluhovačů.

další co to má zmatlané..pro oprávněné věci souhlas nepotřebuješ - a držet to můžeš třeba 10-15 let (pro dokázání nevinny v případném soudním sporu)... takže 0,5 roku a 10 let co je promlčecí lhůta.. (ale ty informace nesmíš používat ke spamování, prodeji a ničemu jinému, mít je jen jako "důkaz"..naopak je všechno jasné, jen se to snažíte rozmatlat...na plnění smlouvy potřebujete pár věcí - jméno, příjmení, datum narození, email/telefon pro kontakt, případně místo(adresa služby) pro dopravu nebo pro plnění třeba konektivityVSE ostatní je navíc - takže souhlas, aby byl poučen, ne přímo ve smlouvě ale hezky vedle... plus to evidovat, kdo odvolal, vyřadit..holt se musí změnit logika "schraňovačů" všeho protože se to hodí a začít mít nejn minimum...ale líbí se mi to zaujetí "papalášů a přisluhovačů" - ty budeš určitě bojovník za svobodu-neoliberál-sputnikář, případně anti-sorovec, chematrailista a nanovýbušnář s pravdou o WTC:-), máš o tom neo-spiknutí fakt jasno:-)

Napsal PetrNovak1;1460106

další co to má zmatlané..

pro oprávněné věci souhlas nepotřebuješ - a držet to můžeš třeba 10-15 let (pro dokázání nevinny v případném soudním sporu)... takže 0,5 roku a 10 let co je promlčecí lhůta.. (ale ty informace nesmíš používat ke spamování, prodeji a ničemu jinému, mít je jen jako "důkaz"..

naopak je všechno jasné, jen se to snažíte rozmatlat...

na plnění smlouvy potřebujete pár věcí - jméno, příjmení, datum narození, email/telefon pro kontakt, případně místo(adresa služby) pro dopravu nebo pro plnění třeba konektivity

VSE ostatní je navíc - takže souhlas, aby byl poučen, ne přímo ve smlouvě ale hezky vedle... plus to evidovat, kdo odvolal, vyřadit..

holt se musí změnit logika "schraňovačů" všeho protože se to hodí a začít mít nejn minimum...

Opravdu si myslíte, že od 25.5. se totálně změní např. fungování facebooku a vy budete moci kromě emailu a jména (nutné pro smlouvu) všechno ostatní šmírování odmítnout? A opakovaně se Vás bude facebook ptát, zda-li a co přesně smí zpracovávat? Ne oni řeknou je to to všechno součástí služby - smlouvy, ber nebo nech být. A souhlasy budou jen na nějaké nepodstatné detaily, aby to vypadalo, že uživatel má nějakou volbu. Ta hranice toho co je na smlouvu a co je na souhlas je podle mne velmi podstatná ale zároveň mlhavá a právě o tom jsem nenašel ani jedno konkrétnější pojednání. Jako kdyby všichni hned tušili, který údaj kam zařadit. Kromě několika snad jednoznačných příkladů ale nikdo neví. Příklad 1. Zákazník má možnost zadat email pro zaslání informace při poklesu kreditu na určitou úroveň. Tento email, či několik emailů může být jiný než email na který je provedena registrace. Je na to potřeba extra souhlas se pravidelným obnovováním, nebo je to lze schovat do plnění smlouvy či oprávněného zájmu? (ale koho?) Příklad 2: Součástí služby je, že si uživatel může ukládat do systému své rychlé kontakty na volání. Nutnost to samozřejmě není, je to jeho volba. Lze na tohle pohlížet jako na zpracování za plnění smlouvy, nebo je u každého kontaktu třeba vyžadovat souhlas a obnovování? Nebo souhlas a obnovování lze udělit pro všechny kontakty dohromady?

- E-mail je osobní údaj.- Nic ti nebrání e-maily jednosměrně šifrovat stejně jako heslo. Pak se budou ukládat jako nečitelný údaj. Přitom funkčnost bude zachována. Implementace je nenáročná.- Stejně bude potřeba udělat nějaké jednoduché podmínky registrace a tam si obhájit proč e-mail potřebuješ. V tvém případě je to jednoduché - k znovuzaslání hesla.

Napsal Nevím;1460125

- E-mail je osobní údaj.

- Nic ti nebrání e-maily jednosměrně šifrovat stejně jako heslo.

Pokud bude chtít email použít pro zaslání linku v případě zapomenutí hesla, jednosměrné šifrování použit nelze. Jen obousměrné. Ty podmínky = vlastně taková smlouva - pak už asi souhlas se zpracování a jeho obnovování třeba nebude, protože to bude zpracování pro plnění smlouvy? Tohle samotné vypadá jednoduše, horší všechny to ostatní nutné dokumenty pro každého zpracovatele.

Napsal Petrso;1460132

Pokud bude chtít email použít pro zaslání linku v případě zapomenutí hesla, jednosměrné šifrování použit nelze. Jen obousměrné.

Uživatel zadá e-mail na který chce poslat heslo. Jednosměrně zašifruješ. Porovnáš s databází. Pokud se najde shoda, pošleš e-mail.

Napsal Petrso;1460132

Ty podmínky = vlastně taková smlouva - pak už asi souhlas se zpracování a jeho obnovování třeba nebude, protože to bude zpracování pro plnění smlouvy?

GDPR je o postupech a kde je co uložené. Vypiš postupy. Souhlas je registrace. Ten e-mail potřebuješ, aby fungovala služba.

Napsal Petrso;1460132

Tohle samotné vypadá jednoduše, horší všechny to ostatní nutné dokumenty pro každého zpracovatele.

Zpracovatelskou smlouvu potřebuješ od firem co ti vidí do osobních údajů. Většinou je to jen hosting.

Napsal Nevím;1460138

Uživatel zadá e-mail na který chce poslat heslo. Jednosměrně zašifruješ. Porovnáš s databází. Pokud se najde shoda, pošleš e-mail.

To mne nenapadlo, to je fakt dobrá rada, která by to mohla pro tazatele opravdu dobře vyřešit. Tedy pokud email nutný jen pro registraci a obnovu hesla, není nutné jej ukládat - zpracovávat, ale jen jeho "otisk". Dokonce by nejspíš ten otisk mohl udělat samotný javascript, tudíž by provozovatel stránky vůbec s emailem nepřišel při běžném přihlašování do styku. V tom případě by se možná dalo opravdu říci, že osobní údaje opravdu nezpracovává a vyhnout se všem těm nesmyslným dokumentům, které GDPR vyžaduje. Ukládá, tedy zpracovává se jen otisk mailu a otisk hesla. Samozřejmě tento mechanizmus by bylo třeba popsat a zdůvodnit proč se nejedná o zpracovávání osobních údajů, protože se pracuje jen otiskem mailu a heslem, což nejsou osobní údaje.V praxi ale použití moc nebude, protože často email slouží i k tomu, že je na něj třeba něco občas poslat. Např. v případě internetového fóra přibude příspěvek ve sledovaném vlákně. A nebo služba pracuje ještě s dalšími daty, které by mohly být také osobní. Tedy nechutné GDPR dokumenty jako záznamy o činnostech zpracování se týkají skoro všech. https://webtrh.cz/403171-gdpr-zaznamy-cinnostech-zpracovani Pozor ta výjimka pro společnosti do 250 zaměstnanců platí jen pro příležitostné zpracování, tedy nelze skoro nikdy použít.