EU se snaží regulovat nakládání s osobními údaji

A jiné formálnosti.

EU se snaží regulovat nakládání s osobními údaji

Příspěvekod xsouku04 » stř 06. zář 2017 21:06:56

Od května 2018 vstoupí v platnosti nová regulace EU týkající se zacházení osobních s osobními údaji. (oni to nazývají zpracování, i když s nimi nikdo nutně vůbec pracovat nemusí)

Úprava je plná obecných nicneříkajících frází a povinností, hrozící maximální pokutou až 20 tisíc EUR nebo 4% z obratu (použít lze vyšší částku). Všechno by se jaksi mělo kontrolovat, popisovat, přizpůsobovat, aby byl úřad spokojen, ale nikdo moc nepíše jak konkrétně. Vše jsou to jen plané nekonkrétní žvásty, které nelze podle mého názoru objektivně konkretizovat. Vypadá to jako další typické řádění úřednické diktatury z Bruselu.

https://www.uoou.cz/gdpr-v-nbsp-otazkac ... dpovedich/

Zdá se, že to bude dobrý způsob obživy, protože už někteří založili stránky, kde o GDPR informují. Zjevně ale mají tendenci zbytečně strašit a zveličovat s tím, aby si každý zaplatil minimálně nějaké to školení. https://www.gdpr.cz/ Např. zdá se, nepřipouští, že někdo může mít vše v pořádku už dnes a žádné změny nejsou nutné.

Osobní údaje a současný stav na Odorik.cz

O zákaznicích se snažíme uchovávat jen údaje nezbytné. Není tedy nutné zadávat pravé jméno zákazníka, datum narození ani rodné číslo. Email nebo telefonní číslo je nutné zadat jako možný způsob pro obnovení zapomenutého hesla. Na pobočce je možná vyzdvihnout zcela anonymní karty, které představují samostatnou registraci. Pokud nemáte nomadické či geografické číslo, neptáme se ani na adresu, ta je jinak potřebná kvůli správnému fungování na tísňové linky. Adresy se předávají každý týden do centrální databáze, kterou spravuje O2, aby při volání na tísňovou linku viděli na dispečinku zadanou adresu. Též se hovory podle zadané adresy směrují.
Dále ukládáme provozní údaje. Ukládat historii hovorů půl roků zpětně vyžaduje zákon. Tedy tohle nelze neukládat, navíc samozřejmě musíme být schopni zákazníkovi prokázat, za co se strhl kredit. Tedy řešit reklamace. Většina lidí ocení podstatně delší historii hovorů, některým to ale může vadit. Navíc český telekomunikační úřad vyžaduje různé statistické údaje z telekomunikačního provozu za minulý rok, což by nebylo možné získat a kontrolovat, pokud bychom umožnili mazání historie hovorů na přání. Jak se pak vypořádat s někým, komu ukládání historie hovorů vadí? Mazat u některých hovorů historii by navíc způsobovalo nekonzistentnost v databázi a záhady s mizením kreditu. Nejspíše tedy bude nutné, aby každý zákazník souhlasil, že historie hovorů bude uchovávána a přístupná cca pět let (přesněji co nejdéle, jak naše technické možnosti dovolí), tak je to ocení většina zákazníků.
Ukládány jsou další provozní údaje, jako ip adresy, z jakých se SIP zařízení hlásí a telefonují. Tyto usnadní řešení různých technických záhad, případně dovedou potvrdit či vyvrátit zneužití služby třetí osobou. Všechny uchované údaje se snažíme zobrazovat přímo zákazníkovi, aby měl o informacích přehled a mohli mu být také užitečné. Přibýt by mělo i podrobnější zobrazování SIP signalizace, což by pokročilejším zákazníkům mělo usnadnit ladění různých SIP problémů. Nyní signalizaci logujeme pro potřeby řešení technických problémů.

Snad možná zbývá možnost zrušení registrace. To nyní spočívá v tom, že je ručně smazán záznam emailové adresy, čísla na které je provedena registrace, a tím se účet stává anonymní. (adresy a další údaje si může každý uživatel smazat kdykoli sám.) Smazat účet jako takový není možné, protože je třeba uchovávat historii plateb, daňových dokladů, historie hovorů. Některé z těchto věcí je nutné uchovávat ze zákona (historie hovorů, daňové doklady), aby se neporušila konzistence databáze a bylo možné zpětně zkontrolovat férové fungování a též mít možnost proces "zrušení registrace" vzít zpět v případě lidské chyby.

Je snad tohle onen tolik potřebovaný popis procesů zpracovávání dat? A co třeba pokud si někdo objedná dobíjecí kartičku pomocí SMS s adresou. Smíme adresu uchovat pro případ, že by požadoval poslat kartičku znovu a žádal o to třeba jen telefonem? Musíme tuhle drobnost psát do všeobecných podmínek? Také jsem se doslechl, že díky novému nařízení EU bude prý povinná dvoufázová autorizace pro přihlašování na webové stránky. U většiny zákazníků to považuji za nesmysl. Není ale zjevné, jestli to EU opravdu myslí vážně, nebo je to jen informační šum. Co by ale mohlo být dobré, je pro nové registrace místo pinu začít standardně jméno a heslo a heslo by mělo ukládáno šifrovaně kvalitní hašovací funkcí. Např. Vodafone, pokud vím, ukládá hesla svých zákazníků také nešifrovaně - protože jedině tak mohou operátoři callcentra kontrolovat jen druhou a čtvrtou číslici, ostatně u čtyřmístných až osmimístných čísel jako hesel ani šifrování nemá smysl, protože lze vždy snadno prolomit vyzkoušením všech kombinací. Budou tedy nuceni tohle změnit?

Pokud by chtěl někdo opravdu spamovat nebo zneužívat nějaká pochybně získaná data, založí si přece firmu na bílého koně a při splatnosti první pokuty nechá firmu zkrachovat. Dnes lze založit s.r.o. už s kapitálem 1 Kč. Firma v čí prospěch bude spamovat, předpokládám, už postižitelná nebude. A firmy, jejichž hlavní činností je sbírání a vyhodnocování dat o svých klientech jako facebook, whatapp, aby pak mohli lépe ovlivňovat jejich další chování, ty si to přece ošetří tak, aby se úřadům jevilo, že je vše v pořádku. Nechápu tedy moc význam.

Pokud k tomu máte nějaký komentář, budu rád.
Uživatelský avatar
xsouku04
Administrátor
 
Příspěvky: 6314
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno

Re: EU se snaží regulovat nakládání s osobními údaji

Příspěvekod jadu » čtv 07. zář 2017 7:53:03

GDPR se netýká software nebo přístupových práv, ale jde o to, jaká data uschováváte, na základě čeho je vůbec shromažďujete (souhlas, na základě zákona, zájmu správce,...), komu dalšímu je (případně) poskytujete dál (rozesílání obchodních sdělení,..), jak máte ona data zabezpečená a jak realizujete právo dotčeného na odstranění těchto dat (a jaké to má dopady u Vás). A to se týká i dat na papírovém nosiči, tedy vše, co jest vytištěno. Nejedná se o všechna data, ale o osobní údaje (jméno, datum narození, ...) ale u OSVČ i třeba DIČ, protože to je vlastně rodné číslo. Součástí GDPR jsou také povinnosti, které na prvý pohled nejsou zřejmé, např. nutnost do 72 hodin hlásit bezpečnostní incidenty.

Každá organizace má tedy jinou potřebu implementace a znamená to hlavně nastavení procesů a ty je pak nutné implementovat třeba i do sw. Podstatné je si uvědomit, že není žádné GDPR-ready řešení (např. tvrzení "Heč, máme všechna data šifrovaná" je z hlediska GDPR naprosto nepodstatné) a že vždy se musí ušít na míru.

Doporučuji pro začátek se podívat na https://www.gdpr.cz/blog/instantni-gdpr/, což je takový zhuštěný úvod do problematiky. Je to hezky napsané a lze z toho získat jasnější představu, o co jde.
jadu
 
Příspěvky: 77
Registrován: pon 09. úno 2015 14:35:30

Re: EU se snaží regulovat nakládání s osobními údaji

Příspěvekod xsouku04 » čtv 07. zář 2017 9:31:18

Děkuji za odkaz. Vypadá, že patří k tomu lepšímu, co bylo na tohle téma napsáno.

Hlavní problém u GDPR spatřuji v tom, že vše, co se o tom píše, je moc obecné a převedení těchto obecných řečí na konkrétní pravidla a postupy není jednoznačné a nelze posuzovat objektivně Tedy pokutu může dostat každý, když zde bude dostatečná vůle.
GDPR pořád omílá, že je třeba dělat změny, co ale když někdo soukromí svých zákazníků ctí i bez regulace?

Podle mého typickým prohřeškem je, že firmy shromažďují fakturační údaje, i když je vůbec nepotřebují. Při částkách do deseti tisíc korun lze vystavovat zjednodušené daňové doklady. I když např. při nákupu v eshopu potřebují znát můj email i adresu, doklad ale stačí zjednodušený. Vystavením řádného dokladu se dopustí toho, že zpracovávají osobní údaje bez řádného důvodu.
Např. takový Vodafone, pokud nyní chcete, aby vám vystavoval daňové doklady na útratu na předplacené kartě, musíte nesmyslně na jejich pobočku, nechat si ověřit svoji totožnost. Je tohle na pokutu? Účetní u Vodafonu má mylnou představu, že fakturační údaje musí ověřit a uchovávat i v případech, kdy to není pravda. Měla by proto dostat firma pokutu, když si na to budu jako zákazník stěžovat? Je tohle typický příklad toho, co se bude muset změnit?
Jsem zvědav jak např. Facebook bude plnit své povinnosti a na požádání vydá seznam všech informací, které o člověku shromažďuje. Pravda z chování lidí na Facebooku je možné vyvozovat i opravdu citlivé údaje jako politické názory nebo i sexuální orientaci.
V podstatě téměř vše, co z podobných obecných keců vyplývá, je podle mne sporné.
Často jsou osobní údaje např. součástí emailů. A emaily je nutné archivovat a obecně se to očekává. Už třeba proto, že jsme nuceni řešit reklamaci do jednoho měsíce a potřebujeme být schopni dokázat, že jsme se chovali vůči zákazníkovi korektně. Velkou část stížností totiž dělají různí potížisté a je neoprávněná. Pravda Odorik má spory s někým naprosto výjimečně, ale obecně emaily je nutné uchovávat. Emaily je nutné ukládat třeba jako důkaz o hladkém přenášení telefonních čísel a podobně.
Část dat se sice třeba nikde neukládá, ale je možné je logicky odvodit z jiných dat. A část dat se ukládá pro případ možnosti zpětně řešit různé technické problémy a záhady. A vždy musí existovat nějací lidé - technici, co k ním musí mít přístup jako k celku, a čistě teoreticky by je mohli použít i k něčemu jinému. Navíc pokud někdo ukládá údaje šifrovaně a odděleně a nepoužívá je moc okatě, v podstatě nelze dokázat zneužití podobných údajů. Co je totiž dobře šifrované, existuje jen pro toho, kdo zná klíč. Kdo klíč nezná, nemůže dokázat, že jsou data přítomna a že vůbec existují. Tedy jediné možné důkazní břemeno v tomto případě může být pomocí udavačství.
Obávám se, že lidé (v tomto případě nikým nevolení diktátoři v Evropské komisi), kteří podobná pravidla vymýšlí, neumí dohlédnout všechny důsledky jejich vágních pravidel. Kdyby to dohlédnout uměli, psali by ona pravidla konkrétněji s více konkrétními příklady.

Že se někdo chová k uchovávaným údajům rozumně, nestačí. Musí to být schopen dokázat pomocí nesmyslných nástrojů, které si vymyslel diktátor v Bruselu. A kontrolovat to bude úředník a hodnotit podle svého subjektivního názoru.

Dále zde podle mne platí, že spousta lidí se bude poradenstvím ohledně GDPR živit. Těmto lidem bude zpravidla vágnost a nejednoznačnost vyhovovat. Sami často budou psát zavádějící články, které mají za úkol spíše postrašit na základě polopravd tak, aby o ono poradenství byl větší zájem. A přesně v takovém duchu je většina příspěvků na gdpr.cz. GDPR se tváří, jako že my víme a vy se potřebujete vyškolit. Přitom nikdo moc konkrétního neví a všichni se jen plácají v planých frázích.
V praxi GDPR přinese především zvýšenou byrokracii a náklady, opravdových změn k lepšímu nebude mnoho.

Pokud v něčem nemám pravdu, nebo jsem nepřesný, budu rád, když mne opravíte.
Uživatelský avatar
xsouku04
Administrátor
 
Příspěvky: 6314
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno

Re: EU se snaží regulovat nakládání s osobními údaji

Příspěvekod jadu » čtv 07. zář 2017 10:46:05

Nejde jen o údaje samé, ale o způsob a důvod jejich získání. Pokud někdo nepovinně vyplní kde bydlí a kdy se narodil, je to jeho věc. Musí být ale zřejmé, že tak učinil dobrovolně a že provedl opt-in. Tedy není možné mít opt-out na stránce (např. předem zaškrtnutý souhlas se zasíláním obchodních sdělení). Také musí být oddělené věci povinné a nepovinné (každé s vlastním nezaškrtnutým zaškrtávátkem). Pokud máte souhlas, můžete schraňovat i jeho číslo bot. Můžete také vázat poskytnutí služby spolu se sdělením určitých informací (třeba WiFi zdarma za poskytnutí e-mailu), a pokud s tím bude druhá strana souhlasit (máte její opt-in) je to OK.
jadu
 
Příspěvky: 77
Registrován: pon 09. úno 2015 14:35:30

Re: EU se snaží regulovat nakládání s osobními údaji

Příspěvekod xsouku04 » čtv 07. zář 2017 13:13:06

jadu píše:Nejde jen o údaje samé, ale o způsob a důvod jejich získání. Pokud někdo nepovinně vyplní kde bydlí a kdy se narodil, je to jeho věc. Musí být ale zřejmé, že tak učinil dobrovolně a že provedl opt-in. Tedy není možné mít opt-out na stránce (např. předem zaškrtnutý souhlas se zasíláním obchodních sdělení). Také musí být oddělené věci povinné a nepovinné (každé s vlastním nezaškrtnutým zaškrtávátkem). Pokud máte souhlas, můžete schraňovat i jeho číslo bot. Můžete také vázat poskytnutí služby spolu se sdělením určitých informací (třeba WiFi zdarma za poskytnutí e-mailu), a pokud s tím bude druhá strana souhlasit (máte její opt-in) je to OK.


To zní rozumně. Odorik s tím nemá problém.
Obecně se to ale bude zneužívat tak, že se řekne, že vše je povinné pro uživatele služby. Nedovedu si představit, že by např. Facebook souhlasil, že kdo s tím nesouhlasí, tak jej bude špehovat trochu méně. Být opravdu anonymní na facebooku je prý hrozně těžké, špehují a propojují prý úplně vše.

Jinak např. absurdistán ohledně regulace používání kamerových systémů. Přišel jsem na fintu, jak onu celou regulaci obelstít. Ukládat záznam z kamery, zvláště veřejného prostranství, je hrozně problematické. Pustit je stream do internetu problém není. A pokud kamera natočí např. nějakého zloděje v akci a tohle video se v vzápětí objeví někde na internetu, nepůjde za to dát pokutu, protože nepůjde ukázat kdo to video uložil a zveřejnil, když to mohl být kdokoli třeba i z druhého konce světa, kde se to smí (je třeba to udělat šikovně). Až se bude zloděj vztekat, že záznam, který ho pomohl vypátrat byl pořízen nezákonně, bude mít smůlu.
Uživatelský avatar
xsouku04
Administrátor
 
Příspěvky: 6314
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno


Zpět na Všeobecné podmínky

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 1 návštěvník