GDPR – co bude znamenat pro malé eshopy?

Ze tomu nerozumite neznamena, ze je to povyk pro nic. Na rozdil od cookie, coz je v podstate aktivita google je toto aktivita primo EU a to je rozdil. Zaroven GDPR je dobra priprava pro eprivacy, coz vas zasahne naprosto zasadne a daleko vice, nez toho. Jinak APEK dnes vydal vcelku rozumny prehled pro start vc. par dokumentu. Tudiz minimalen toto by stalo za precteni a pochopeni. Jinak samozrejme smazani osobnich udaju neznamena automaticky absolutni. Pokud vystavite danovy doklad s udaji odberatele, tak jeho nalezitosti menit nemusite to je prave to (mimo jine), co se resi, tedy co je nezbytne pro fungovani firmy a co je zbytne. Spousta veci ohledne GDPR bude o tom, mit popsane procesy, mit jasne definovano jak se s OU naklada, k cemu se vyuzivaji, mit vse podlozene, kdo k nim ma pristup, proc, jak jsou zabezpeceny apod.

Je to tak jak píše Radek GDPR přináší poměrně hodně změn a informace od UOOU, pokud byla podána tak jak byla podána je minimálně zavádějící. Ano říká se, že pokud plníte vše co nařizuje současná legislativa tedy 101/2000 Sb a 480/2004 Sb. jedná se u Vás o evoluci. Ale ruku na srdce. Víte přesně co v těchto zákonech je? Dokážete vyjmenovat svoje povinnosti, které Vám z nich plynou nebo se Vaše znalost smrskla, tak jak je to většinou, na to, že se okopíruje věta....odesláním objednávky souhlasím se zpracováním osobních údajů....Nikoho neodsuzuji, je mi jasné, že se prostě nedá vše stíhat, ale pokud jste na tom tak jak jsem popsal výše....pak se toho pro Vás mění hodně a to opravdu hodně. Souhlasím s tím, že legislativa se zpřesňuje a nadále se zpřesňovat bude. GDPR má ale v Evropě důležitost a maká se na něm. WP29 už se nechala slyšet, že pokuty budou ve všech členských státech stejné, takže únik do levnějších lokalit se nekoná. Mě docela překvapuje, že například britský úřad pro informace zvyšuje kvůli GDPR členský poplatek, protože prostě těch věcí co chystají je tolik, že to nezvládají. Komunikuji se známým v Kanadě a tam firmy ve velkém zavádějí GDPR. A u nás.....je klid jako v zásadě vždy.Pro Radka: Cookies lišta nebyla aktivita Google. Byla to Google reakce na směrnici 2009/136/EC, kdy v zásadě Google kryl sám sobě záda. Je to předchůdce ePRIVACY a právě proto, že se na tuto směrnici většina státu vybodla a udělala z ní jakési cosi, co se zobrazuje na stránkách vzniká nyní ePRIVACY. A to už bude nařízení, tedy opět platné ve stejné podobě ve všech členských státech.pro CHIP22:v GDPR pracuješ s několika právními tituly (něco jako oprávnění) k tomu pracovat s osobními údaji. Uskutečněním objednávky v e-shopu (dříve všechno přes souhlas) nyní nenaplníte titul souhlas, ale titul plnění smlouvy a zákonná povinnost (účetnictví). Pokud tedy následně uživatel požádá o výmaz není jak říká Radek toto právo absolutním a Ty mu musíš odpovědět ve stylu.....ano, podal jste žádost o výmaz, většinu údajů jsme vymazali, ale Vaše údaje zpracováváme ještě v rámci právního titulu zákonné povinnosti a to plátcovství DPH. Takže je budeme ještě uchovávat po dobu 10ti let jak nám přikazuje zákon. V té chvíli by jsi ale měl smazat věci jako je telefon, e-mail a další, které Ti nenařizuje zákon k doložení daňové povinnosti. Vypadá to jako strašný masakr, ale zavádíme (i na základě tohoto fora) s několika provozovateli GDPR na menších e-shopech. Testuji si na nich svoji kuchařku, kterou píšu a zatím jsme nenarazili na větší problém. Spíš je to o takové změně myšlení v rámci firmy.

Napsal skranc;1428299

Vypadá to jako strašný masakr, ale zavádíme (i na základě tohoto fora) s několika provozovateli GDPR na menších e-shopech. Testuji si na nich svoji kuchařku, kterou píšu a zatím jsme nenarazili na větší problém. Spíš je to o takové změně myšlení v rámci firmy.

Z toho jak to vysvětluješ mi to nepřijde nijak dramatické. Přijde mi to jako další ošetření typu povinné obchodní podmínky, kde člověka také seznamujeme s jeho právy. To že si je nikdo nečte je pak věc druhá.Problém vidím v předávání osobních údajů třetí straně (kurýr) a odpovědnosti za případný únik. BTW. Jelikož spolupracujeme s Českou poštou tak záměrně na štítek nedávám např. telefonní číslo, protože tím automaticky dochází k přeprodeji čísla pro dalšího partnera (operátora).BTW jak vypadá zavádění v praxi? Rád bych se připojil :-)

Já považuji za jednu z nejzásadnějších věcí hlavně to, že do této chvíle Ti pochybení musel někdo prokázat. Od května budeš Ty povinen prokázat soulad. A ten neprokážeš tím, že máš obchodní podmínky (hodně jsem to zjednodušil).Už jsem tu jednou psal takový zjednodušený seznam toho, co je třeba provést, tak ještě jednou:GDPR u e-shopu není jen o systému. Musíte řešit bankovní účty, papírové šanony, faktury, procesy, zaměstnance, přístupy, IT strukturu atd... V první fázi je třeba začít s auditem, co sbíráte, co ukládáte a co zpracováváte a za jakým účelem.Pak proveďte analýzu potřebnosti DPO, protože pokud Vám z ní vypadne, že potřebujete DPO měl by následující kroky řídit on.Pak můžete pokračovat tím, kde to ukládáte a jaké je zabezpečení.Pak se podívejte na to, komu to předáváte. Pak zpracujte bezpečnostní analýzu a zaměřte se na kritická místa a tyto opravte.Pak se podívejte na práva subjektu a nastavte procesy jakým způsobem bude možné tato práva u Vás uplatňovat.Teprve nyní je načase začít psát nějakou směrnici o ochraně osobních údajů, pravidla o nakládání s osobními údaji a text souhlasu.Toto vše samozřejmě i u papírových smluv, e-mailových zpráv, nahrávek telefonních hovorů prostě u všeho, kde se vyskytují osobní údaje v jakékoliv formě.Zavádění vypadá tak, že si pozveš profesionální firmu (skupinu), která Ti zavede GDPR na klíč nebo si posháníš informace a zavedeš si jej sám. Já jsem zvolil něco mezi. Dělám tedy zjednodušený návod a dávám k tomu vzor e-shopu, který se dělal. E-shopy jsou často velmi podobné, takže v zásadě duplikuješ dokumenty a postupy zavedené jinde. Nemám ještě dopsáno. Jak říkám, zatím testuji na těch co se ozvali jen na základě diskuze.

DUHaCQ8QJ79xpnZ+iWgYtw==G7BI6QrNLJh5q5ZtrVu5lg==dUGEQBZlT2pi0UHaN7a34A==Pokud mám tabulku plnou takovýchto řetězců, zpracovávám z pohledu GDPR osobní údaje?Je kontrolní součet osobního údaje taky osobní údaj?Pokud mám v tabulce např. e-mailovou adresu rozdělenou do 5 sloupečků, které jsou pojmenovány "kravicka", "prasatko", "oslicek", "slepicka", "ovecka", kdekravicka="le"prasatko="p"oslicek="no"slepicka=3ovecka="o"Je to osobní údaj, když z toho dokážu získat reálnou e-mailovou adresu?

Napsal boogey;1428438

DUHaCQ8QJ79xpnZ+iWgYtw==

G7BI6QrNLJh5q5ZtrVu5lg==

dUGEQBZlT2pi0UHaN7a34A==

Pokud mám tabulku plnou takovýchto řetězců, zpracovávám z pohledu GDPR osobní údaje?

Je kontrolní součet osobního údaje taky osobní údaj?

Pokud mám v tabulce např. e-mailovou adresu rozdělenou do 5 sloupečků, které jsou pojmenovány "kravicka", "prasatko", "oslicek", "slepicka", "ovecka", kde

kravicka="le"

prasatko="p"

oslicek="no"

slepicka=3

ovecka="o"

Je to osobní údaj, když z toho dokážu získat reálnou e-mailovou adresu?

Osobní údaj je to, podle čeho lze někoho identifikovat. Je jedno jestli je to zašifrované. Pořád s tím je třeba nakládat jako s osobním údajem.

Napsal Martin Kejzlar;1428444

Osobní údaj je to, podle čeho lze někoho identifikovat. Je jedno jestli je to zašifrované. Pořád s tím je třeba nakládat jako s osobním údajem.

To je ale například i příspěvek v diskuzi, o kterém někdo prohlásí, že ze stylu vyjadřování dotyčného poznal, aniž by dotyčný uvedl jakýkoliv popisný údaj. A když někdo takový bude chtít vymazat osobní údaje, tak se kvůli tomu bude muset narušovat kontinuita diskuzí?

Napsal boogey;1428438

DUHaCQ8QJ79xpnZ+iWgYtw==

G7BI6QrNLJh5q5ZtrVu5lg==

dUGEQBZlT2pi0UHaN7a34A==

Pokud mám tabulku plnou takovýchto řetězců, zpracovávám z pohledu GDPR osobní údaje?

Je kontrolní součet osobního údaje taky osobní údaj?

Pokud mám v tabulce např. e-mailovou adresu rozdělenou do 5 sloupečků, které jsou pojmenovány "kravicka", "prasatko", "oslicek", "slepicka", "ovecka", kde

kravicka="le"

prasatko="p"

oslicek="no"

slepicka=3

ovecka="o"

Je to osobní údaj, když z toho dokážu získat reálnou e-mailovou adresu?

Pokud jsi z toho schopen dát dohromady osobní údaj, pak je to osobní údaj a musíš jej chránit se vším všady. To co popisuješ je pravděpodobně forma pseudonimizace, která je v GDPR doporučována jako jedna z ochran. Nijak Tě to však nezbavuje povinností.Na to, aby osobní údaj přestal být pod ochranou gDPR musí subjekt údajů zemřít nebo musí dojít k anonymizaci tedy nevratnému anonymizování údajů.---------- Příspěvek doplněn 06.12.2017 v 21:16 ----------

Napsal boogey;1428445

To je ale například i příspěvek v diskuzi, o kterém někdo prohlásí, že ze stylu vyjadřování dotyčného poznal, aniž by dotyčný uvedl jakýkoliv popisný údaj. A když někdo takový bude chtít vymazat osobní údaje, tak se kvůli tomu bude muset narušovat kontinuita diskuzí?

Ano to je, však i diskuzní fora budou muset GDPR řešit. Jsou zde však mechanismy, které jsou stavěné na tom, že daný osobní údaj je zjevně zveřejněný.

Napsal boogey;1428445

To je ale například i příspěvek v diskuzi, o kterém někdo prohlásí, že ze stylu vyjadřování dotyčného poznal, aniž by dotyčný uvedl jakýkoliv popisný údaj. A když někdo takový bude chtít vymazat osobní údaje, tak se kvůli tomu bude muset narušovat kontinuita diskuzí?

To je blbost. To jak je příspěvek napsaný není možné použít jako nějakou identifikaci osoby (viz. Kruciano :-))

Napsal skranc;1428498

Ano to je, však i diskuzní fora budou muset GDPR řešit. Jsou zde však mechanismy, které jsou stavěné na tom, že daný osobní údaj je zjevně zveřejněný.

Mně nejde ani tak o ochranu, jako o další aspekty. Pokud mi někdo v diskuzi dělá bordel, zablokuju mu IP adresu. Budu jí muset odblokovat, když zažádá o smazání údajů? A zrovna tak ty příspěvky v diskuzi, kde se naruší kontinuita? Teď mám od UOOU posvěcený řešení, že je uživatel před registrací seznámen s tím, že IP adresa se z bezpečnostních důvodů uchovává a tudíž ji při žádosti mazat nemusím. Změní se to s nástupem GDPR?

Napsal Martin Kejzlar;1428507

To je blbost. To jak je příspěvek napsaný není možné použít jako nějakou identifikaci osoby (viz. Kruciano :-))

To vysvětluj někomu, kdo to s UOOU řešil :)

Zajímavé je například to pokud si uživatel zaplatí nějakou službu, např s roční platbou předem. Před koncem vypršení však sděli, že chce aby vše bylo vymazáno. Provozovatel vymaže vše, mimo tedy účetních záležitostí, tj smaže i onu žádost o výmaz aby neshromažďoval osobní údaje bez povolení. Za dva dny se ten klient zeptá co je s jeho zaplacenou službou, a provozovatel bude muset říci, že neví, že je sice zaplacena ale víc k tomu nemá a nemůže tedy odpovědět. Natož se uživatel začne domáhat plnění uhrazených služeb a víme jak to skončí.

Napsal AdamH;1428545

Zajímavé je například to pokud si uživatel zaplatí nějakou službu, např s roční platbou předem. Před koncem vypršení však sděli, že chce aby vše bylo vymazáno. Provozovatel vymaže vše, mimo tedy účetních záležitostí, tj smaže i onu žádost o výmaz aby neshromažďoval osobní údaje bez povolení. Za dva dny se ten klient zeptá co je s jeho zaplacenou službou, a provozovatel bude muset říci, že neví, že je sice zaplacena ale víc k tomu nemá a nemůže tedy odpovědět. Natož se uživatel začne domáhat plnění uhrazených služeb a víme jak to skončí.

Toto je v poradku a zde plati to, ze smazat musite to, co nepotrebujete k tomu, abyste plnil ci vykonaval zavazek, co prameni z nejake smlouvy. Takze pokud byste dodaval sluzbu a v dobe plneni byste byl pozadan o smazani osobnich udaju, tak byste si ponechal udaje, ktere potrebujete k tomu, abyste sluzbu mohl plnit.

Boogey: V GDPR existuje právní titul oprávněný zájem. A na tento bych to zkusil namotat. Je to sice složitý právní titul a vyžaduje opravdu silnou argumentaci, ale právě v tomto případě mi přijde jeho použití vhodné a účelné.AdamH: Adame, doporučuji si nařízení přečíst nebo alespoň nějaký výcuc. Pak by jsi totiž věděl, že právo na výmav není právem absolutním a pokud existuje titul, podle kterého zpracováváš pak vymažeš data až v okamžiku, kdy tento pomine. Jedním z titulů je plnění smlouvy. Takže v příkladu, který uvádíš je správný postup takový, že provozovatel Ti sdělí, že je sice pěkné, že jsi požádal o výmaz, ale vzhledm k aktuálnímu plnění smlouvy Ti nemůže v tomto směru vyhovět.No a Radek mě o 2 minuty předběhl :))

Napsal skranc;1428555

Boogey: V GDPR existuje právní titul oprávněný zájem. A na tento bych to zkusil namotat. Je to sice složitý právní titul a vyžaduje opravdu silnou argumentaci, ale právě v tomto případě mi přijde jeho použití vhodné a účelné.

Děkuji ;)

Na iDNESu: "Norma dopadá na jakéhokoli podnikatele, který má alespoň jednoho zaměstnance, má mezi svými klienty fyzické podnikající osoby."Takže když mám e-shop jako projekt bokem při jiném zaměstnání a nikoho nezaměstnávám, tak GDPR řešit nemusím?