Prodej zboží na fakturu – jak řešit GDPR?

Napsal skranc;1447724

Ano to budou muset. V každém případě správcem jsi Ty a Ty jsi za údaje, které u iDokladu ukládáš odpovědný. Idoklad je Tvým zpracovatelem a je minimálně na místě jej oslovit s výzvou o prokázání souladu s GDPR, pokud nevydají nějaké závazné prohlášení.

Tak mě napadá jiná věc, prostě vytvořím fakturu, vytisknu, založím fakturu a pak ji ze systému vymažu a budu ji mít jen v papírové formě.

Napsal marek76;1447727

Tak mě napadá jiná věc, prostě vytvořím fakturu, vytisknu, založím fakturu a pak ji ze systému vymažu a budu ji mít jen v papírové formě.

Toto bych jako řešení neviděl. Většina systému funguje tak, že záznam v databázi zůstane jen se mu dá příznak smazáno. Cígler bude zcela jistě GDPR plnit a předpokládám, že vydají nějaké prohlášení. Takže toto následně vytisknout a založit do šanonu GDPR

Napsal skranc;1447734

Toto bych jako řešení neviděl. Většina systému funguje tak, že záznam v databázi zůstane jen se mu dá příznak smazáno. Cígler bude zcela jistě GDPR plnit a předpokládám, že vydají nějaké prohlášení. Takže toto následně vytisknout a založit do šanonu GDPR

Jasně,vím, že to nebylo řešení, určitě si to vytisknem a založíme.Moc děkuji za pomoc a informace.

Napsal skranc;1447721

Pokud si chceš někomu postěžovat kvůli GDPR pošli to do Bruselu nebo těm, kdo pro něj hlasoval. Pokud se chceš něco dozvědět nerozporuj každou blbost.

V GDPR máš, že jsi povinen umožnit a co nejvíce usnadnit výkon práv subjektu údajů. Hrát si na to, že výkon práv bude možný jen na pobočce na Kypru 29.2. od 16:00 - 16:15 Ti opravdu nevyjde. Pokud tedy máš na faktuře e-mail a žádost dostaneš elektronicky z e-mailu tak výpis pošleš na ten samý e-mail. Jednoduché jako facka. Pokud je to organizace popsaná výše tedy obchod a prodej probíhá osobně stačí mi, abych se opět osobně dostavil a s OP požádal o výpis. Mohu požadovat potvrzení e-mailem, pokud jej mám evidovaný, mohu požadovat potvrzení telefonem, pokud jej mám evidovaný, ale pokud je schopen prokázat souvislost mezi předloženým občanským průkazem a daty, která zpracováváš žádné Tvoje dodatečné podmínky neobstojí.

Pokud jej máš zamčený pak je to v pořádku, pokud do dané zamčené místnosti mají přístup další lidé třeba návštěvy už to být v pořádku nemusí.

Opět. jak můžeš vědět, že člověk na mailu je ten, co je majitelem dat! Co když mu někdo napadl mail :) nebo to bude test úřadu, který bude testovat jak zacházíš s daty. Takže ty tvoje rady jsou o hovně a jen si protiřečíš o GDPR a říkej si co chceš, ale bez podložení, že je to opravdu osoba které patří data je prostě nedám!

Napsal colbi;1447750

Opět.

jak můžeš vědět, že člověk na mailu je ten, co je majitelem dat!

Co když mu někdo napadl mail :) nebo to bude test úřadu, který bude testovat jak zacházíš s daty.

Takže ty tvoje rady jsou o hovně a jen si protiřečíš o GDPR a říkej si co chceš, ale bez podložení, že je to opravdu osoba které patří data je prostě nedám!

V případě, že mu někdo napadne e-mail a z tohoto e-mailu zašle žádost o výpis a já na tento e-mail zašlu výpis údajů, které daný e-mail mají uvedený jako kontaktní jsem neporušil nic. Došlo minimálně k přestupku nebo dokonce trestnému činu ze strany toho, kdo e-mail zneužil.Pokud však budeš klást překážky jsi v rozporu s článkem 12 odstavec 2 GDPR. Handrkujeme se zbytečně. Dělej jak myslíš. Právo na přístup je jedním z nejsilnějších práv, které GDPR zavádí.

citát z článku v iDnes od Daniela Kovářová advokátka a bývalá ministryně spravedlnostiEvropská unie na to šla novátorsky a poněkud jinak. Nechává totiž na každém subjektu, aby zvážil riziko citlivosti dat (je rozdíl, zda v šuplíku mám jméno a telefonní číslo na obchodních partnerů, anebo kartu onolog. pacienta) a hrozbu kybernetického či jiného odcizení ......Požaduje, aby každý subjekt vyhodnotil, proč osobní údaje archivuje, a tomu odpovídajícím způsobem je zabezpečit. takže žádný koordinátor nebo jak se budou jmenovat nejsou potřeba pro někoho, kdo dodrží základy - bezpečnost jak jsem výše (hesla, zámek)časem uvidíme co se bude dít, ale teď do toho mlátit tisíce a myslet že jsem v pohodě je blbost---------- Příspěvek doplněn 01.03.2018 v 17:50 ----------

Napsal skranc;1447754

V případě, že mu někdo napadne e-mail a z tohoto e-mailu zašle žádost o výpis a já na tento e-mail zašlu výpis údajů, které daný e-mail mají uvedený jako kontaktní jsem neporušil nic. Došlo minimálně k přestupku nebo dokonce trestnému činu ze strany toho, kdo e-mail zneužil.

Pokud však budeš klást překážky jsi v rozporu s článkem 12 odstavec 2 GDPR.

Handrkujeme se zbytečně. Dělej jak myslíš. Právo na přístup je jedním z nejsilnějších práv, které GDPR zavádí.

můžeš to sem hodit? nejsi ty náhodou člověk co se na GDPR živí/bude živit? :D---------- Příspěvek doplněn 01.03.2018 v 17:50 ----------Internetové obchody Jak je to se souhlasy, resp. potřebují e-shopy ke zpracování osobních údajů souhlas zákazníků? A jak to bude s již získanými souhlasy? Znamená to, že obchodníky čeká povinnost získat tyto souhlasy znovu?Bod 171 preambule obecného nařízení se zabývá přechodem souhlasů po datu použitelnosti obecného nařízení. K provozu internetového obchodu (pro účely plnění smlouvy) není nutné obstarávat souhlas se zpracováním osobních údajů. Každý provozovatel e-shopu musí vzít obecné nařízení (stejně tak jako dnes zákon č. 101/2000 Sb., o ochraně osobních údajů) v úvahu ve vztahu ke všem činnostem s osobními údaji, které provádí. Obstarávání souhlasu čeká ty správce, kteří musí ke zpracování osobních údajů mít souhlas a zároveň tento souhlas neodpovídá především podmínkám článku 7 obecného nařízení (např. byl presumován v obchodních podmínkách, aniž by subjekt údajů měl reálnou možnost uzavřít plnění i bez takto presumovaného souhlasu).Pro úplnost je třeba upozornit, že pravidla pro používání cookies a zpracování osobních údajů za účelem elektronické reklamy, dosud upravená zvláštními předpisy (zákon č. 127/2005 Sb. a č. 480/2004 Sb.), budou ovlivněna přijetím dalšího předpisu EU, tzv. nařízení o e-privacy, jehož schválení lze očekávat v 2. pol. roku 2018.Dopadá GDPR jen na některá, např. systematická zpracování osobních údajů nebo na všechny operace s osobními údaji?Po obsahové stránce dosavadní definici zpracování osobních údajů obecné nařízení nemění, povinnosti zpracování osobních údajů se tak vztahují na nakládání s papírovými dokumenty a evidencemi, stejně jako na počítačové databáze a přenosy, tedy typické operace e-shopů s osobními údaji.Bude řada provozovatelů e-shopů povinna jmenovat pověřence pro ochranu osobních údajů?Běžný provoz e-shopů nedává důvod jmenovat pověřence pro ochranu osobních údajů. Povinnost jmenovat pověřence pro ochranu osobních údajů je pro určité organizace, resp. druhy zpracování stanovena v článku 37 odst. 1 obecného nařízení.Jaké konkrétní náležitosti by měla obsahovat smlouva o zpracování osobních údajů mezi správcem osobních údajů (internetovým obchodníkem) a zpracovatelem (hostingovou či softwarovou společností)?Smlouva o zpracování osobních údajů není novinkou, ale je již zahrnuta v zákoně o ochraně osobních údajů a to v § 6. obecné nařízení se vztahu správce – zpracovatel věnuje v článku 28. U smlouvy o zpracování osobních údajů by mělo být dbáno, aby především obsahovala náležitost dle návětí odst. 3 článku 28 obecného nařízení (což už by měla obsahovat i dnes dle § 6 zákona o ochraně osobních údajů).V ČR dosud nebyla přijata národní legislativa doplňující GDPR, znamená v tuto chvíli pro podnikatele s e-shopy nejistotu?Obecné nařízení je komplexním právním předpisem, který nahradí zákon o ochraně osobních údajů. Povinnosti (i práva subjektu údajů) tak vyplývají z tohoto přímo použitelného předpisu EU a není třeba proto čekat na adaptační legislativu. Z dílčích věcí, které mohou adaptační předpisy blíže upravovat, lze za podstatnou pro podnikání na internetu považovat stanovení věkové hranice pro udělení souhlasu dítěte v souvislosti s nabídkou služeb informační společnosti.GDPR předpokládá vytvoření a používání nejrůznějších vzorových dokumentů a kodexů, které mají správcům a zpracovatelům pomáhat při plnění právních povinností. Budou kodexy vydány Úřadem pro ochranu osobních údajů nebo jinými orgány, třeba formou nějakého předpisu?Z obecného nařízení vyplývá předpoklad, že kodexy chování vytvoří asociace či sdružení zastupující správce ze stejné oblasti (např. bankovnictví, telekomunikace, cestovní kanceláře). Není vyloučeno vytvoření horizontálního kodexu např. pro internetové obchody. Není úkolem dozorového úřadu tyto kodexy vytvářet, ÚOOÚ však již k přípravě několika kodexů poskytl konzultace. Obecné nařízení nestanovuje povinnost kodexy vytvořit.Připravujeme se na budoucí spuštění e-shopu. Budeme se muset registrovat i po nabytí účinnosti GDPR v květnu 2018? Bude podle GDPR odpovídat za data zákazníků provozovatel e-shopu nebo jeho pronajímatel, u kterého budou veškerá data uložena v databázi a webhostingu?Pokud e-shop zpracovává osobní údaje v souvislosti s činnostmi spočívajícími v uzavření a plnění kupní smlouvy, vztahuje se na něj výjimka z oznamovací povinnosti podle § 18 odst. 1 písm. b) zákona č. 101/2000 Sb., která stanoví že: ,,oznamovací povinnost se nevztahuje na zpracování, které správci ukládá zvláštní zákon, nebo je takových osobních údajů třeba k uplatnění práv a povinností vyplývajících ze zvláštního zákona."S účinností obecného nařízení o ochraně osobních údajů (GDPR) 25. května 2018 bude oznamovací povinnost zrušena, obecné nařízení však klade na správce osobních údajů větší odpovědnost při posouzení rizik, která mohou pro subjekty údajů ze zpracování vyplývat a stanoví i některé nové povinnosti, např. ohlašování případů porušení zabezpečení osobních údajů Úřadu.Za zpracování osobních údajů odpovídá nyní, stejně jako po nabytí účinnosti GDPR, primárně správce osobních údajů, kterým je provozovatel e-shopu, uzavírající smlouvy se svými zákazníky. Jestliže budou data uložena v databázi a webhostingu pronajímatele, bude pronajímatel v postavení zpracovatele, s nímž je třeba uzavřít smlouvu podle článku 28 odst. 3 GDPR. Zpracovatel je rovněž odpovědný za přijetí opatření k zabezpečení osobních údajů podle článku 32 GDPR.

Ano vzhledem k tomu, že vlastním firmu, která dělá internetové obchody a sami provozujeme internetové obchody museli jsme GDPR nastudovat velmi detailně. A ano děláme ho i komerčně a nijak se s tím netajím.Na analýzu, kterou zmiňuješ existují metodiky a bude třeba taky při případném prokázání souladu ukázat podle které metodiky jsi postupoval. Seznam metodik a postupů je na stránkách úřadu ve schválených vodítkách WP29. Analýza rizik je jen část. Pak jsou zde práva subjektu údajů. K Tvému dotazu na citaci GDPR:2.Správce usnadňuje výkon práv subjektu údajů podle článků 15 až 22. V případech uvedených v čl. 11 odst. 2 správce neodmítne vyhovět žádosti subjektu údajů za účelem výkonu jeho práv podle článků 15 až 22, ledaže doloží, že nemůže zjistit totožnost subjektu údajů.Jinak to, že všechny e-shopy potřebují pověřence jsem nikdy neřekl. To je nesmysl. Jmenování pověřence pro ochranu osobních údajů 1.Správce a zpracovatel jmenují pověřence pro ochranu osobních údajů v každém případě, kdy: a) zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí; b) hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo c) hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10.Takže nejistota je u e-shopu, který provádí monitorování pomocí analytics a podobných nástrojů umožňujících identifikaci subjektu údajů. Tyto mohou spadnout do písmene b.Jinak samozřejmě to, co jsi zkopíroval ze stránek úřadu znám, ale nic to nemění na tom, co jsem napsal výše.Podnikání obecně je ale krásné v tom, že Ti nikdo nic nenařizuje a můžeš si v zásadě dělat co chceš. Klidně můžeš celé GDPR ignorovat. Je to Tvoje volba a já Tě v občance nemám.

2.Správce usnadňuje výkon práv subjektu údajů podle článků 15 až 22. V případech uvedených v čl. 11 odst. 2 správce neodmítne vyhovět žádosti subjektu údajů za účelem výkonu jeho práv podle článků 15 až 22, ledaže doloží, že nemůže zjistit totožnost subjektu údajů.Tímto jsi potvrdil co jsem říkal. to že někdo napíše že chce informace o XY neznamená, že mu je dám :)

První komu budeš výkon práv komplikovat Tě napráší na úřad a situace se otáčí, protože Ty budeš ten, kdo bude prokazovat a dokládat. Pokud Ti to za to stojí....

Napsal skranc;1447803

První komu budeš výkon práv komplikovat Tě napráší na úřad a situace se otáčí, protože Ty budeš ten, kdo bude prokazovat a dokládat. Pokud Ti to za to stojí....

víš co ty raději nikomu rady o GDPR nedávej :) předložím jim moji odpověď že na základě vyhlášky či co to je musím chránit data, a proto požaduji ověřené potvrzení totožnosti. nevím, za co by mě mohl někdo postihnout! :)

Náš rozhovor nemá smysl. Ty jsi pravděpodobně GDPR ani nečetl a já Ti svůj názor nenutím. Jen jsem napsal, že postup, který jsi popsal nedoporučuju. Ale jak už jsem napsal, je na každém, aby s tím naložil jak umí.Necháme na zakladateli tohoto dotazu zda jsem mu lépe poradil já nebo Ty s tím, aby si pořídil skříňku se zámkem a na zbytek se vykašlal.

Napsal skranc;1447823

Náš rozhovor nemá smysl. Ty jsi pravděpodobně GDPR ani nečetl a já Ti svůj názor nenutím. Jen jsem napsal, že postup, který jsi popsal nedoporučuju. Ale jak už jsem napsal, je na každém, aby s tím naložil jak umí.

Necháme na zakladateli tohoto dotazu zda jsem mu lépe poradil já nebo Ty s tím, aby si pořídil skříňku se zámkem a na zbytek se vykašlal.

nemá smysl, protože ty se tím chceš živit a vytváříš zde "půdu" pro svůj zisk. Tvé výklady jsou podle mě kraviny.Počkám si na UOOU kde to bude přehlednější

Jak jsem řekl výše. Až si nařízení přečteš velmi rád se pobavím o Tvém pohledu na věc a o om, co Tě k tomu vede. Do té doby vycházím z toho, jak GDPR hovoří na řadě míst a jaká panuje obecná shoda mezi lidmi, kteří se problematikou zabývají.Recitál 59)Je třeba stanovit postupy, které by usnadnily výkon práv subjektů údajů podle tohoto nařízení, včetně mechanismů pro podávání žádostí a případně bezplatného obdržení přístupu k osobním údajům a opravy nebo výmazu osobních údajů a pro uplatnění práva vznést námitku. Správce by měl rovněž zajistit podmínky pro to, aby žádosti mohly být podávány elektronicky, zejména v případě zpracování osobních údajů elektronickými prostředky. Správci by měla být uložena povinnost reagovat na žádosti subjektu údajů bez zbytečného odkladu a nejpozději do jednoho měsíce a uvést důvody v případě, že nemá v úmyslu těmto žádostem vyhovět.Recitál 63)Subjekt údajů by měl mít právo na přístup ke shromážděným osobním údajům, které se ho týkají, a měl by moci toto právo snadno a v přiměřených odstupech uplatňovat, aby byl o jejich zpracování informován a mohl si ověřit jeho zákonnost. To zahrnuje právo subjektů údajů na přístup k údajům o svém zdravotním stavu, například k údajům ve své lékařské dokumentaci, která obsahuje například informace o diagnóze, výsledky vyšetření, posudky ošetřujících lékařů a údaje o veškeré léčbě a provedených ošetřeních nebo zákrocích. Každý subjekt údajů by proto měl mít právo vědět a být informován zejména o tom, za jakým účelem se osobní údaje zpracovávají, případně období, po které budou uchovávány, kdo jsou příjemci osobních údajů, v čem spočívá logika automatizovaného zpracování osobních údajů a jaké mohou být důsledky takového zpracování přinejmenším v případech, kdy je zpracování založeno na profilování. Je-li to možné, měl by mít správce možnost poskytnout dálkový přístup k bezpečnému systému, který by subjektu údajů umožnil přímý přístup k jeho osobním údajům. Tímto právem by neměla být nepříznivě dotčena práva ani svobody ostatních, například obchodní tajemství nebo duševní vlastnictví a zejména autorské právo chránící programové vybavení. Zohlednění těchto skutečností by ovšem nemělo vést k tomu, že by subjektu údajů bylo odepřeno poskytnutí všech informací. Pokud správce zpracovává velké množství informací týkajících se subjektu údajů, měl by mít možnost před poskytnutím informací požádat subjekt údajů, aby konkrétně uvedl, kterých informací nebo činností zpracování se jeho žádost týká.Recitál 64)Správce by měl využít všech vhodných opatření k ověření identity subjektu údajů, který žádá o přístup, zejména v souvislosti s on-line službami a síťovými identifikátory. Správce by neměl uchovávat osobní údaje pouze za tím účelem, aby mohl reagovat na případné žádosti.

Jako já nemám problém aby se přihlásil na web a smazal se :) tomu já nebráním, ani nebráním aby si zjistil co o něm vedu, ale určitě mu nebudu říkat údaje (jméno ,adresu, číslo, mail) bez ověření totožnosti.

Napsal colbi;1448045

Jako já nemám problém aby se přihlásil na web a smazal se :) tomu já nebráním, ani nebráním aby si zjistil co o něm vedu, ale určitě mu nebudu říkat údaje (jméno ,adresu, číslo, mail) bez ověření totožnosti.

Takže pokud jsem to pochopil správně plánuješ mít online samoobsluhu, kde si svoji žádost vyřídí se znalostí jména a hesla, ale pokud přijde osobně bude muset předložit notářsky ověřenou žádost. Je to tak?