GDPR a log serveru – lze IP adresu považovat za osobní údaj?

teď jste v zásadě uhodil hřebík na hlavičku. GDPR bude podle mého názoru vynikajícím nástrojem trollingu a likvidace konkurence. Sice zde jsou pasáže, které umožní podnět daný kontrolnímu orgánu odmítnout jako zjevně neopodstatněný, ale toto úřad pravděpodobně neudělá napoprvé. A bude záležet na to, zda na něco při první kontrole naráží či nikoliv. Vzhledem k tomu nakolik je nařízení psáno obecně je to pod heslem, že kdo chce ten najde.

Hlavně to bude nástroj na to, jak konkurenci vyřadit úplně ze života, pokud všichni OSVČ nepřejdou pod s.r.o. Už vidím, jak kvůli úplný blbosti dostane OSVČ byť jen 1 mil. € pokutu a do konce života bude splácet. Měli tu výši nechat jen těma procentama z obratu. Klidně vyššíma, jak 4 %, ale aby nemohla být likvidační.

Napsal boogey;1431255

Hlavně to bude nástroj na to, jak konkurenci vyřadit úplně ze života, pokud všichni OSVČ nepřejdou pod s.r.o. Už vidím, jak kvůli úplný blbosti dostane OSVČ byť jen 1 mil. € pokutu a do konce života bude splácet. Měli tu výši nechat jen těma procentama z obratu. Klidně vyššíma, jak 4 %, ale aby nemohla být likvidační.

Hlavně GDPR mělo být odstupňované podle velikosti a rizikovosti organizace. Je prostě totální nesmysl dělat stejné zabezpečení u instalatéra jako u jaderné elektrárny. Bohužel já to nevymyslel a nezbývá než se s tím poprat.

Běžný OSVČ 1mil € pokutu nedostane. NEsmíte se nechat hned vším vyděsit.---------- Příspěvek doplněn 20.12.2017 v 15:30 ----------Článek 83Obecné podmínky pro ukládání správních pokut1. Každý dozorový úřad zajistí, aby ukládání správních pokut v souladu s tímto článkem ohledně porušení tohoto nařízení podle odstavců 4, 5 a 6 bylo v každém jednotlivém případě účinné, přiměřené a odrazující.2. Správní pokuty se ukládají podle okolností každého jednotlivého případu kromě či namísto opatření uvedených v čl. 58 odst. 2 písm. a) až h) a j). Při rozhodování o tom, zda uložit správní pokutu, a rozhodování o výši správní pokuty v jednotlivých případech se řádně zohlední tyto okolnosti:a) povaha, závažnost a délka trvání porušení s přihlédnutím k povaze, rozsahu či účelu dotčeného zpracování, jakož i k počtu dotčených subjektů údajů a míře škody, jež jim byla způsobena;b) zda k porušení došlo úmyslně nebo z nedbalosti;c) kroky podniknuté správcem či zpracovatelem ke zmírnění škod způsobených subjektům údajů;d) míra odpovědnosti správce či zpracovatele s přihlédnutím k technickým a organizačním opatřením jimi zavedeným podle článků 25 a 32;e) veškerá relevantní předchozí porušení správcem či zpracovatelem;f) míra spolupráce s dozorovým úřadem za účelem nápravy daného porušení a zmírnění jeho možných nežádoucích účinků;g) kategorie osobních údajů dotčené daným porušením;h) způsob, jakým se dozorový úřad dozvěděl o porušení, zejména zda správce či zpracovatel porušení oznámil, a pokud ano, v jaké míře;i) v případě, že vůči danému správci nebo zpracovateli byla v souvislosti s týmž předmětem dříve nařízena opatření uvedená v čl. 58 odst. 2, splnění těchto opatření;j) dodržování schválených kodexů chování podle článku 40 nebo schváleného mechanismu pro vydávání osvědčení podle článku 42 ak) jakoukoliv jinou přitěžující nebo polehčující okolnost vztahující se na okolnosti daného případu, jako jsou získaný finanční prospěch či zamezení ztrátám, přímo či nepřímo vyplývající z porušení.3. Pokud správce nebo zpracovatel úmyslně či z nedbalosti u stejných nebo souvisejících operací zpracování poruší více ustanovení tohoto nařízení, nesmí celková výše správní pokuty překročit výši stanovenou pro nejzávažnější porušení.4. Za porušení následujících ustanovení lze v souladu s odstavcem 2 uložit správní pokuty až do výše 10 000 000 EUR, nebo jedná-li se o podnik, až do výše 2 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší:a) povinnosti správce a zpracovatele podle článků 8, 11, 25 až 39, 42 a 43;b) povinnosti subjektu pro vydávání osvědčení podle článků 42 a 43;c) povinnosti subjektu pro vydávání osvědčení podle čl. 41 odst. 4.5. Za porušení následujících ustanovení lze v souladu s odstavcem 2 uložit správní pokuty až do výše 20 000 000 EUR, nebo jedná-li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší:a) základní zásady pro zpracování, včetně podmínek týkajících se souhlasu podle článků 5, 6, 7 a 9;b) práva subjektů údajů podle článků 12 až 22;c) předání osobních údajů příjemci ve třetí zemi nebo mezinárodní organizaci podle článků 44 až 49;d) jakékoli povinnosti vyplývající z právních předpisů členského státu přijatých na základě kapitoly IX;e) nesplnění příkazu nebo dočasné či trvalé omezení zpracování nebo přerušení toků údajů dozorovým úřadem podle čl. 58 odst. 2 nebo neposkytnutí přístupu v rozporu s čl. 58 odst. 1.6. Za nesplnění příkazu dozorového úřadu podle čl. 58 odst. 2 lze v souladu s odstavcem 2 tohoto článku uložit správní pokuty až do výše 20 000 000 EUR, nebo jedná-li se o podnik, až do výše 4 % celkového ročního obratu celosvětově za předchozí rozpočtový rok, podle toho, co je vyšší.7. Aniž jsou dotčeny nápravné pravomoci dozorových úřadů podle čl. 58 odst. 2, může každý členský stát stanovit pravidla týkající se toho, zda a do jaké míry je možno ukládat správní pokuty orgánům veřejné moci a veřejným subjektům usazeným v daném členském státě.8. Na výkon pravomocí dozorovým úřadem podle tohoto článku se vztahují vhodné procesní záruky v souladu s právem Unie a členského státu, včetně účinné soudní ochrany a spravedlivého procesu.9. Neumožňuje-li právo členského státu uložení správních pokut, může se použít tento článek tak, aby podnět k uložení pokuty dal příslušný dozorový úřad a aby pokuta byla uložena příslušnými vnitrostátními soudy, a současně je třeba zajistit, aby tyto prostředky právní ochrany byly účinné a aby jejich účinek byl rovnocenný se správními pokutami, jež ukládají dozorové úřady. Uložené pokuty musí být v každém případě účinné, přiměřené a odrazující. Tyto členské státy oznámí Komisi do 25. května 2018 příslušná ustanovení svých právních předpisů, která přijmou podle tohoto odstavce, a bez prodlení jakékoliv následné novely nebo změny týkající se těchto ustanovení.

Souhlasím s tím, že pokud to nebude extra průšvih nikdo pokutu v milionech dostávat nebude. Na druhou stranu však WP29 vydala závazný pokyn ohledně stanovení sankcí, kde říká, že za stejné prohřešky musí být v rámci EU stejné pokuty. Taková výchovná pokuta pro podnikatele v Německu bude asi úplně jinak výchovná pro podnikatele v České republice.Mezi námi, nevím jak Vás, ale mě by i 10 000EUR mrzelo.

Jde o správný výklad pokynu? Takový pokyn by přímo odporoval textu nařízení, které naopak sankce maximálně individualizuje je na subjekt a porušení.WP29 zatím jen vydává výkladová stanoviska, pravomoci získá až v květnu. WP29 nebude udělovat sankce subjektu. Podstatný bude názor dozorujícího orgánů.Ve stanovisku sice je "rovnocenné sankce", ale jednak to je v uvozovkách a z celého stanoviska neplyne vůbec ambice určovat nebo vést ke stejným pokutám v EU. Podle obsahu stanoviska se naopak důsledně zdržují zásahu do výše pokut. Rovnocenné sankce ve stanovisku je třeba chápat spíše jako sjednocení toho, kdy se udělí napomenutí a kdy už pokuta, kdy napomenutí + pokuta, tedy sjednocení druhu udělované sankce. Nikoliv výše.https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=27839

Napsal Vladimír Doležel;1431639

Jde o správný překlad pokynu? Takový pokyn by přímo odporoval textu nařízení, které naopak sankce maximálně individualitu je na subjekt a porušení.

WP29 zatím jen vydává výkladová stanoviska, pravomoci získá až v květnu.

WP29 nebude udělovat sankce subjektu. Podstatný bude názor dozorujícího orgánů.

Tak můžeš si to přečíst sám https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=27839Je to případně i v anglickém originálu na stránkách UOOU. My jsme to ale čekali, protože o principu rovnocennosti se mluvilo už v recitálech GDPR.Z WP29 následně vznikne superúřad a pokud nebude subjekt spokojený s dozorujícím orgánem bude právě možnost se odvolat k tomuto superúřadu. Pokud tedy WP29 řekne, že pokuty musejí by měli být stejné v celé EU a někde někdo dostane nějakou pokutu musí již druhý úřad dát stejnou. Nebo si musí být schopen obhájit, proč je tomu v daném případě jinak. Už jsi někdy viděl úředníka, který jde dobrovolně něco obhajovat? Protože se dá obratem očekávat žaloba toho, kdo dostal pokutu vyšší na nerovné podmínky.

To je podle mě nesprávný výklad dokumentu, který sám cituješ. WP nikdy neřekl, že sankce musí být stejné, on říká, že mají být "rovnocenné". Přeloženo do matematiky - nemají být absolutně stejné, ale relativně stejnéStanovisko je o tom, že v CZ nemůžou dát napomenutí a v D napomenutí + pokutu 100.000€ při podobném porušení a podobném subjektu. Ale vůbec neříká, že v D budou dávat 100.000€ a u nás to musí být 2,5m CZK. Kromě toho se to dá vzít i z druhé strany. Pokud D e-shop bude mít obrat 1m€ a dostane pokutu 10.000€, tak v CZ by musel mít e-shop obrat 25mil. CZK aby dostal pokutu 250.000CZK. Rozhodně to nebude tak, že za zpracování údajů 1000 klientů bez souhlasu a mimo zákonné souhlasy dostane D e-shop s obratem 1m€ pokutu 10.000€ a stejnou pokutu v CZK (250.000) dostane e-shop s obratem 5m CZK.Navíc reálně nejsi schopen najít 2 stejné e-shopy a stejné prohřešky - jiné trhy, jiný počet reálných a potenciálních zákazníků, jiná marže, jiný obrat, míra porušení, různě určená škoda v různých státech (což se odvíjí od AVG mzdy a kupní síly) etc. etc.

Tak toto vodítko bylo vydáno v okamžiku, kdy se začalo mluvit o GDPR turistice. Firmy si jednoduše spočítali, že český úřad nebude dávat takové pokuty jako německý a tak začali DPO přihlašovat v České republice a podobných zemích.To o čem mluvíš mám připravené jako obhajobu a v případě problémů je to samozřejmě věc, kterou plánujeme vytáhnout. Nakolik nám ale bude platná těžko říct. Stejně tak jak nikdo není aktuálně schopen posoudit nakolik tento dokument má za úkol zlikvidovat GDPR turistiku. Na druhou stranu, jakmile najdeme jakoukoliv malou pokutu u jakéhokoliv úřadu v EU bude to obhajoba jako hrom, protože to přesně budeme hrát na druhou stranu. To vše ukáže až praxe.

GDPR shopping je řešen právě oním stanoviskem - režimem spolupráce a konzultace dozorových orgánů. To je IMHO jeden z hlavních bodů stanoviska. A dále pak např.

Dozorový úřad má při ukládání pokut, aby byly účinné, přiměřené a odrazující, použít definici pojmu podnik podle

Soudního dvora Evropské unie pro účely aplikace článku 101 a 102 Smlouvy o fungování Evropské unie (SFEU),

zejména koncept, kdy podnikem se rozumí hospodářská jednotka, která může být vytvořena mateřskou společností

včetně všech zainteresovaných poboček. V souladu s právem EU a precedenty4

,je podnik nutno chápat jako

hospodářskou jednotku, která je zapojena do obchodních/hospodářských aktivit, bez ohledu na zapojenou

právnickou osobu (Recitál 150).

GDPR shopping, tax shopping, forum shopping nelze za volného pohybu osob, včetně právnických, zabránit. Převládající metoda ochrany ale není unifikace sankcí, ale priorita faktického místa činnosti/ příjmu/ sporu před formálním sídlem/místem.

Napsal Vladimír Doležel;1431928

GDPR shopping je řešen právě oním stanoviskem - režimem spolupráce a konzultace dozorových orgánů. To je IMHO jeden z hlavních bodů stanoviska.

A dále pak např.

GDPR shopping, tax shopping, forum shopping nelze za volného pohybu osob, včetně právnických, zabránit. Převládající metoda ochrany ale není unifikace sankcí, ale priorita faktického místa činnosti/ příjmu/ sporu před formálním sídlem/místem.

Asi nemá smysl se dohadovat....jak to bude ve skutečnosti fungovat se nyní můžeme jen domnívat, protože to nikdo netuší.

Ip adresa je osobní údaj, máte oprávněný zájem a tím je zabezpečení tak jako jsou ip adresy v logách IDS IPS SIEMech atd. Avšak návštěvníky-uživatele upozornit, že sledujete ip adresu a k jakému účelu. Třeba z bezpečnostních důvodů, může to být i pro jejich dobro, jelikož v případě incidentu lze zjistit kdo z jaké ip adresy vstupoval na jejich účet, nebo byl veden útok jak třeba hack tak třeba boti či spameři apod.Pozor Behaviorální reklama či marketing, je však o něčem jiném to je jiné kafe.Pokutami se nezastrašujte, mají být odstrašující ne likvidační.Pro zajímavost není tu jen GDPR, ale i ZoKB NIS, AMLZ, eIDAS, a přijde ePrivacy

Zpracování osobních údajů pro účely zajištění bezpečnosti sítě, apod. je oprávněným zájmem správce, viz recitál č.49 GDPR.