EU se snaží regulovat nakládání s osobními údaji

A jiné formálnosti.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8139
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

EU se snaží regulovat nakládání s osobními údaji

Příspěvek od xsouku04 »

Od května 2018 vstoupí v platnosti nová regulace EU týkající se zacházení osobních s osobními údaji. (oni to nazývají zpracování, i když s nimi nikdo nutně vůbec pracovat nemusí)

Úprava je plná obecných nicneříkajících frází a povinností, hrozící maximální pokutou až 20 tisíc EUR nebo 4% z obratu (použít lze vyšší částku). Všechno by se jaksi mělo kontrolovat, popisovat, přizpůsobovat, aby byl úřad spokojen, ale nikdo moc nepíše jak konkrétně. Vše jsou to jen plané nekonkrétní žvásty, které nelze podle mého názoru objektivně konkretizovat. Vypadá to jako další typické řádění úřednické diktatury z Bruselu.

https://www.uoou.cz/gdpr-v-nbsp-otazkac ... dpovedich/

Zdá se, že to bude dobrý způsob obživy, protože už někteří založili stránky, kde o GDPR informují. Zjevně ale mají tendenci zbytečně strašit a zveličovat s tím, aby si každý zaplatil minimálně nějaké to školení. https://www.gdpr.cz/ Např. zdá se, nepřipouští, že někdo může mít vše v pořádku už dnes a žádné změny nejsou nutné.

Osobní údaje a současný stav na Odorik.cz

O zákaznicích se snažíme uchovávat jen údaje nezbytné. Není tedy nutné zadávat pravé jméno zákazníka, datum narození ani rodné číslo. Email nebo telefonní číslo je nutné zadat jako možný způsob pro obnovení zapomenutého hesla. Na pobočce je možná vyzdvihnout zcela anonymní karty, které představují samostatnou registraci. Pokud nemáte nomadické či geografické číslo, neptáme se ani na adresu, ta je jinak potřebná kvůli správnému fungování na tísňové linky. Adresy se předávají každý týden do centrální databáze, kterou spravuje O2, aby při volání na tísňovou linku viděli na dispečinku zadanou adresu. Též se hovory podle zadané adresy směrují.
Dále ukládáme provozní údaje. Ukládat historii hovorů půl roků zpětně vyžaduje zákon. Tedy tohle nelze neukládat, navíc samozřejmě musíme být schopni zákazníkovi prokázat, za co se strhl kredit. Tedy řešit reklamace. Většina lidí ocení podstatně delší historii hovorů, některým to ale může vadit. Navíc český telekomunikační úřad vyžaduje různé statistické údaje z telekomunikačního provozu za minulý rok, což by nebylo možné získat a kontrolovat, pokud bychom umožnili mazání historie hovorů na přání. Jak se pak vypořádat s někým, komu ukládání historie hovorů vadí? Mazat u některých hovorů historii by navíc způsobovalo nekonzistentnost v databázi a záhady s mizením kreditu. Nejspíše tedy bude nutné, aby každý zákazník souhlasil, že historie hovorů bude uchovávána a přístupná cca pět let (přesněji co nejdéle, jak naše technické možnosti dovolí), tak je to ocení většina zákazníků.
Ukládány jsou další provozní údaje, jako ip adresy, z jakých se SIP zařízení hlásí a telefonují. Tyto usnadní řešení různých technických záhad, případně dovedou potvrdit či vyvrátit zneužití služby třetí osobou. Všechny uchované údaje se snažíme zobrazovat přímo zákazníkovi, aby měl o informacích přehled a mohli mu být také užitečné. Přibýt by mělo i podrobnější zobrazování SIP signalizace, což by pokročilejším zákazníkům mělo usnadnit ladění různých SIP problémů. Nyní signalizaci logujeme pro potřeby řešení technických problémů.

Snad možná zbývá možnost zrušení registrace. To nyní spočívá v tom, že je ručně smazán záznam emailové adresy, čísla na které je provedena registrace, a tím se účet stává anonymní. (adresy a další údaje si může každý uživatel smazat kdykoli sám.) Smazat účet jako takový není možné, protože je třeba uchovávat historii plateb, daňových dokladů, historie hovorů. Některé z těchto věcí je nutné uchovávat ze zákona (historie hovorů, daňové doklady), aby se neporušila konzistence databáze a bylo možné zpětně zkontrolovat férové fungování a též mít možnost proces "zrušení registrace" vzít zpět v případě lidské chyby.

Je snad tohle onen tolik potřebovaný popis procesů zpracovávání dat? A co třeba pokud si někdo objedná dobíjecí kartičku pomocí SMS s adresou. Smíme adresu uchovat pro případ, že by požadoval poslat kartičku znovu a žádal o to třeba jen telefonem? Musíme tuhle drobnost psát do všeobecných podmínek? Také jsem se doslechl, že díky novému nařízení EU bude prý povinná dvoufázová autorizace pro přihlašování na webové stránky. U většiny zákazníků to považuji za nesmysl. Není ale zjevné, jestli to EU opravdu myslí vážně, nebo je to jen informační šum. Co by ale mohlo být dobré, je pro nové registrace místo pinu začít standardně jméno a heslo a heslo by mělo ukládáno šifrovaně kvalitní hašovací funkcí. Např. Vodafone, pokud vím, ukládá hesla svých zákazníků také nešifrovaně - protože jedině tak mohou operátoři callcentra kontrolovat jen druhou a čtvrtou číslici, ostatně u čtyřmístných až osmimístných čísel jako hesel ani šifrování nemá smysl, protože lze vždy snadno prolomit vyzkoušením všech kombinací. Budou tedy nuceni tohle změnit?

Pokud by chtěl někdo opravdu spamovat nebo zneužívat nějaká pochybně získaná data, založí si přece firmu na bílého koně a při splatnosti první pokuty nechá firmu zkrachovat. Dnes lze založit s.r.o. už s kapitálem 1 Kč. Firma v čí prospěch bude spamovat, předpokládám, už postižitelná nebude. A firmy, jejichž hlavní činností je sbírání a vyhodnocování dat o svých klientech jako facebook, whatapp, aby pak mohli lépe ovlivňovat jejich další chování, ty si to přece ošetří tak, aby se úřadům jevilo, že je vše v pořádku. Nechápu tedy moc význam.

Pokud k tomu máte nějaký komentář, budu rád.
jadu
Příspěvky: 145
Registrován: pon 09. úno 2015 13:35:30

Re: EU se snaží regulovat nakládání s osobními údaji

Příspěvek od jadu »

GDPR se netýká software nebo přístupových práv, ale jde o to, jaká data uschováváte, na základě čeho je vůbec shromažďujete (souhlas, na základě zákona, zájmu správce,...), komu dalšímu je (případně) poskytujete dál (rozesílání obchodních sdělení,..), jak máte ona data zabezpečená a jak realizujete právo dotčeného na odstranění těchto dat (a jaké to má dopady u Vás). A to se týká i dat na papírovém nosiči, tedy vše, co jest vytištěno. Nejedná se o všechna data, ale o osobní údaje (jméno, datum narození, ...) ale u OSVČ i třeba DIČ, protože to je vlastně rodné číslo. Součástí GDPR jsou také povinnosti, které na prvý pohled nejsou zřejmé, např. nutnost do 72 hodin hlásit bezpečnostní incidenty.

Každá organizace má tedy jinou potřebu implementace a znamená to hlavně nastavení procesů a ty je pak nutné implementovat třeba i do sw. Podstatné je si uvědomit, že není žádné GDPR-ready řešení (např. tvrzení "Heč, máme všechna data šifrovaná" je z hlediska GDPR naprosto nepodstatné) a že vždy se musí ušít na míru.

Doporučuji pro začátek se podívat na https://www.gdpr.cz/blog/instantni-gdpr/, což je takový zhuštěný úvod do problematiky. Je to hezky napsané a lze z toho získat jasnější představu, o co jde.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8139
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: EU se snaží regulovat nakládání s osobními údaji

Příspěvek od xsouku04 »

Děkuji za odkaz. Vypadá, že patří k tomu lepšímu, co bylo na tohle téma napsáno.

Hlavní problém u GDPR spatřuji v tom, že vše, co se o tom píše, je moc obecné a převedení těchto obecných řečí na konkrétní pravidla a postupy není jednoznačné a nelze posuzovat objektivně Tedy pokutu může dostat každý, když zde bude dostatečná vůle.
GDPR pořád omílá, že je třeba dělat změny, co ale když někdo soukromí svých zákazníků ctí i bez regulace?

Podle mého typickým prohřeškem je, že firmy shromažďují fakturační údaje, i když je vůbec nepotřebují. Při částkách do deseti tisíc korun lze vystavovat zjednodušené daňové doklady. I když např. při nákupu v eshopu potřebují znát můj email i adresu, doklad ale stačí zjednodušený. Vystavením řádného dokladu se dopustí toho, že zpracovávají osobní údaje bez řádného důvodu.
Např. takový Vodafone, pokud nyní chcete, aby vám vystavoval daňové doklady na útratu na předplacené kartě, musíte nesmyslně na jejich pobočku, nechat si ověřit svoji totožnost. Je tohle na pokutu? Účetní u Vodafonu má mylnou představu, že fakturační údaje musí ověřit a uchovávat i v případech, kdy to není pravda. Měla by proto dostat firma pokutu, když si na to budu jako zákazník stěžovat? Je tohle typický příklad toho, co se bude muset změnit?
Jsem zvědav jak např. Facebook bude plnit své povinnosti a na požádání vydá seznam všech informací, které o člověku shromažďuje. Pravda z chování lidí na Facebooku je možné vyvozovat i opravdu citlivé údaje jako politické názory nebo i sexuální orientaci.
V podstatě téměř vše, co z podobných obecných keců vyplývá, je podle mne sporné.
Často jsou osobní údaje např. součástí emailů. A emaily je nutné archivovat a obecně se to očekává. Už třeba proto, že jsme nuceni řešit reklamaci do jednoho měsíce a potřebujeme být schopni dokázat, že jsme se chovali vůči zákazníkovi korektně. Velkou část stížností totiž dělají různí potížisté a je neoprávněná. Pravda Odorik má spory s někým naprosto výjimečně, ale obecně emaily je nutné uchovávat. Emaily je nutné ukládat třeba jako důkaz o hladkém přenášení telefonních čísel a podobně.
Část dat se sice třeba nikde neukládá, ale je možné je logicky odvodit z jiných dat. A část dat se ukládá pro případ možnosti zpětně řešit různé technické problémy a záhady. A vždy musí existovat nějací lidé - technici, co k ním musí mít přístup jako k celku, a čistě teoreticky by je mohli použít i k něčemu jinému. Navíc pokud někdo ukládá údaje šifrovaně a odděleně a nepoužívá je moc okatě, v podstatě nelze dokázat zneužití podobných údajů. Co je totiž dobře šifrované, existuje jen pro toho, kdo zná klíč. Kdo klíč nezná, nemůže dokázat, že jsou data přítomna a že vůbec existují. Tedy jediné možné důkazní břemeno v tomto případě může být pomocí udavačství.
Obávám se, že lidé (v tomto případě nikým nevolení diktátoři v Evropské komisi), kteří podobná pravidla vymýšlí, neumí dohlédnout všechny důsledky jejich vágních pravidel. Kdyby to dohlédnout uměli, psali by ona pravidla konkrétněji s více konkrétními příklady.

Že se někdo chová k uchovávaným údajům rozumně, nestačí. Musí to být schopen dokázat pomocí nesmyslných nástrojů, které si vymyslel diktátor v Bruselu. A kontrolovat to bude úředník a hodnotit podle svého subjektivního názoru.

Dále zde podle mne platí, že spousta lidí se bude poradenstvím ohledně GDPR živit. Těmto lidem bude zpravidla vágnost a nejednoznačnost vyhovovat. Sami často budou psát zavádějící články, které mají za úkol spíše postrašit na základě polopravd tak, aby o ono poradenství byl větší zájem. A přesně v takovém duchu je většina příspěvků na gdpr.cz. GDPR se tváří, jako že my víme a vy se potřebujete vyškolit. Přitom nikdo moc konkrétního neví a všichni se jen plácají v planých frázích.
V praxi GDPR přinese především zvýšenou byrokracii a náklady, opravdových změn k lepšímu nebude mnoho.

Pokud v něčem nemám pravdu, nebo jsem nepřesný, budu rád, když mne opravíte.
jadu
Příspěvky: 145
Registrován: pon 09. úno 2015 13:35:30

Re: EU se snaží regulovat nakládání s osobními údaji

Příspěvek od jadu »

Nejde jen o údaje samé, ale o způsob a důvod jejich získání. Pokud někdo nepovinně vyplní kde bydlí a kdy se narodil, je to jeho věc. Musí být ale zřejmé, že tak učinil dobrovolně a že provedl opt-in. Tedy není možné mít opt-out na stránce (např. předem zaškrtnutý souhlas se zasíláním obchodních sdělení). Také musí být oddělené věci povinné a nepovinné (každé s vlastním nezaškrtnutým zaškrtávátkem). Pokud máte souhlas, můžete schraňovat i jeho číslo bot. Můžete také vázat poskytnutí služby spolu se sdělením určitých informací (třeba WiFi zdarma za poskytnutí e-mailu), a pokud s tím bude druhá strana souhlasit (máte její opt-in) je to OK.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8139
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: EU se snaží regulovat nakládání s osobními údaji

Příspěvek od xsouku04 »

jadu píše:Nejde jen o údaje samé, ale o způsob a důvod jejich získání. Pokud někdo nepovinně vyplní kde bydlí a kdy se narodil, je to jeho věc. Musí být ale zřejmé, že tak učinil dobrovolně a že provedl opt-in. Tedy není možné mít opt-out na stránce (např. předem zaškrtnutý souhlas se zasíláním obchodních sdělení). Také musí být oddělené věci povinné a nepovinné (každé s vlastním nezaškrtnutým zaškrtávátkem). Pokud máte souhlas, můžete schraňovat i jeho číslo bot. Můžete také vázat poskytnutí služby spolu se sdělením určitých informací (třeba WiFi zdarma za poskytnutí e-mailu), a pokud s tím bude druhá strana souhlasit (máte její opt-in) je to OK.
To zní rozumně. Odorik s tím nemá problém.
Obecně se to ale bude zneužívat tak, že se řekne, že vše je povinné pro uživatele služby. Nedovedu si představit, že by např. Facebook souhlasil, že kdo s tím nesouhlasí, tak jej bude špehovat trochu méně. Být opravdu anonymní na facebooku je prý hrozně těžké, špehují a propojují prý úplně vše.

Jinak např. absurdistán ohledně regulace používání kamerových systémů. Přišel jsem na fintu, jak onu celou regulaci obelstít. Ukládat záznam z kamery, zvláště veřejného prostranství, je hrozně problematické. Pustit je stream do internetu problém není. A pokud kamera natočí např. nějakého zloděje v akci a tohle video se v vzápětí objeví někde na internetu, nepůjde za to dát pokutu, protože nepůjde ukázat kdo to video uložil a zveřejnil, když to mohl být kdokoli třeba i z druhého konce světa, kde se to smí (je třeba to udělat šikovně). Až se bude zloděj vztekat, že záznam, který ho pomohl vypátrat byl pořízen nezákonně, bude mít smůlu.

Update: Finta by asi nefungovala, protože by se vás asi snažili dostat i na to, že vysílání obrazu do internetu se také nesmí právě proto, že z něj lze snadno nedovoleně pořídit záznam. I když je to v ČR běžné na stovkách míst. Např. se snímají sjezdovky. Tedy pak by asi museli ustavit nějakou komisi, která by říkala, které snímání je ještě ok, ale které už ne, protože by na ní mohli někoho poznat.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8139
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: EU se snaží regulovat nakládání s osobními údaji

Příspěvek od xsouku04 »

Mám zde několik myšlenek ke GDPR, tak je zde uvedu i pro ostatní. GDPR trochu mění současný termín "zpracovávání osobních údajů".

Současný stav:
Do teď se teď bylo zpracování osobních údajů jakékoli uložení. Tato nedomyšlenost např. způsobuje, že není možné používat archivované emaily, nebo provádět zálohy nebo logovat události na webovém serveru, protože jakékoli i dočasné uložení něčeho, je zpracování, pokud by tam bylo možné najít nějaký osobní údaj. Neustále procházet a promazávat archivní zálohy a logy, aby tam náhodou nebyl nějaký údaj, který už dotyčný nesmí zpracovávat a tím porušit jejich konzistenci v čase je technický nesmysl. V mailech a SMS zprávách je spousta osobních údajů ať přímo nebo nepřímo. Z čehož by plynulo, že je zakázaná jakákoli archivace mailů a obdobných zpráv, protože i to je zpracovávání, které je bez souhlasu zakázané... Možná právě proto, že současný stav nelze dodržet, se to ani nekontroluje.

Nový stav. V GDPR je pojem "zpracovávání osobních údajů" volnější a spíše se blíží skutečnému významu jazyka. Tedy rozumné zálohy, nebo archiv emailů zpracovávání není, pokud z těchto archívů údaje opravdu nezpracováváme problematickým způsobem. Neznamená to, že bychom mohli a měli zbytečně hromadit nějaká data a tvářit se že je v pořádku, když je nezpracováváme. Na druhé straně ale automatické nařknutí ze zpracovávání kvůli zálohám, archivům a logům již není možné a je třeba zkoumat možnosti a přiměřenost. Tedy komplikace, náklady a rizika spojené s tím to dělat jiným způsobem. (např. velké neakceptovatelné riziko je kvůli tomu nezálohovat - ale mohli by nás nutit zálohovat jen krátce, nebo v zálohách promazávat - což způsobí dále rizika i náklady, které se ale mohou úředníkům jevit v pořádku)

Představte si ale líného arogantního úředníka mdlého intelektu i chápaní, zato s možností dávat vysoké pokuty, jak se v tomto přehrabuje a poučuje vás o tom, jak by to mělo být pod pohrůžkou nesmyslně velké pokuty. O tom, co je snadno možné a přiměřené, má jen velmi mlhavé představy z jakéhosi školení. Jediný, koho se takový úředník bojí, jsou jeho nadřízení z EU. Cesta nejmenšího odporu pro něj znamená být papežštější než papež a horlivější než je nutné. Příjemnou zábavu přeje EU.

Na školení je šířeno také spoustu nesmyslů. Např. pokud si někdo vloží email pro zasílání informací o zmeškaných hovorech, měl nejen prý uvést výslovný souhlas, ale prý i údaj, do kdy s tím souhlasí... Logické je přeci to, že tím, že si to nastaví, dává souhlas, a zrušit si to může, kdykoli uzná za vhodné. Nebo snad měli EU úředníci v úmyslu, abyste dávali opakovaný souhlas třeba k notifikacím o emailu do datové schránky, nebo s SMS o zmeškaném hovoru v době nedostupnosti? Těžko. Ono vlastně byste měli dávat souhlas a datum, do kdy souhlasíte s přesměrováním emailů nebo hovorů. :)

Jinak nejlepší shrnutí o GDPR, na které jsem zatím narazi,l je příspěvek na fóru emimino.cz uživatele Chauvinis.
https://www.emimino.cz/diskuse/gdpr-co- ... at-304445/

Také jsem narazil na to, že nepřiměřeně vysoká likvidační pokuta je v podstatě protiústavní. GDPR takové pokuty nenařizuje, nevylučuje ale umožňuje.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8139
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: EU se snaží regulovat nakládání s osobními údaji

Příspěvek od xsouku04 »

Vodafone a GDPR.
Dnes ihned po tom, co jsem si pustil mobil (dostgali avízo od Vodafone?), který mívám většinou vypnutý, mi volali z čísla 532302992, že prý jsou od Vodafonu a chtějí po mě heslo do samoobsluhy, tedy prý jen dvě ze 4 číslic.
Nakonec se ukázalo, že to není Vodafone, ale nějaká firma, kterou si Vodafone najímá na komunikaci se svými zákazníky. Quality Brands, s.r.o. Brno + Olomouc

https://www.vodafone.cz/kontakty/partne ... ll-centra/

Chování Vodafonu považuji za nebezpečné, protože učí lidi říkat svá hesla neznámým lidem, kteří si jen tak zavolají a o heslo si řeknou. Je možné tak mít přístup k celé historii hovorů a dost možná pak i ukrást číslo.

Jediné ověření je web Vodafonu, což ale není úplně dostatečné, protože číslo volaného je možné podvrhnout. Prý existují služby pro podvodníky, kde si jako číslo volajícího můžete dát libovolné číslo na světě.
Na číslo není možné se dovolat zpět, což bych osobně považoval za dostatečné ověření. Tedy máte jen možnost heslo neříct a hovor ukončit a možná tak přijít o nějakou nabídku, nebo dále podporovat nebezpečné chování Vodafonu.

Tohle má být jako v pořádku?

Nevíte, jestli Vodafone a jiné molochy něco mění kvůli GDPR, třeba jen papírově jako všeobecné podmínky? Jim totiž hrozí, že pokud by změnili způsoby zpracování osobních údajů ve všeobecných podmínkách nebo v nějakém dokumentu, na který se v podmínkách odkazuje, musí umožnit odstoupení od dvouleté smlouvy.
mobilemanic
Příspěvky: 486
Registrován: čtv 10. říj 2013 10:20:15

Re: EU se snaží regulovat nakládání s osobními údaji

Příspěvek od mobilemanic »

Jediný správný postup je nic jim neříct, vždyť to může být úplně kdokoliv. Pokud tohle lidi učí, tak jsou to magoři.
Uživatelský avatar
Pitomec
Příspěvky: 2570
Registrován: ned 27. lis 2011 21:26:33
Bydliště: Brno

Re: EU se snaží regulovat nakládání s osobními údaji

Příspěvek od Pitomec »

Volající tohoto typu posílám hned do míst, kam Slunce nesvítí :D
Obrázek
Uživatelský avatar
EuroTEL *11
Příspěvky: 65
Registrován: pon 05. úno 2018 20:15:11

Re: EU se snaží regulovat nakládání s osobními údaji

Příspěvek od EuroTEL *11 »

Prej se šíří fáma, že k vůli GDPR se budou rušit v Česku anonymní předplacené karty, nemáte nějaké info, že by to mohla být pravda. Ono kolem GDPR je vytvořeno spoustu fám a bludů. :x Jedno je jisté, teď jsem musel v internetovém bankovnictví ERA odsouhlasit, že mohou nakládat s mými osobními údaji v rámci GDPR i s třetími subjekty uvnitř skupiny ČSOB tudiž by mi může nějaká ČSOB pojišťovna nabízet po telefonu ( který mám nastaven pro zasílání autorizačních SMS ) spoření na důchod nebo nějaké pojistky.

Mne jenom zaráží, jak je možné, že proti tomu nevystupuje EU, že mobilní operátoři mohou databázi svých klientů prodávat pochybným a podvodným subjektům. Mne jednou v létě volali ze švýcarské firmy WesterField a nabízeli mi pánská holítka ale co mne šokovalo, že nejdříve se ozvala ženská a ještě než se mne zeptala, zda mohu souhlasit a pokračovat v hovoru ověřovala si moje osobní údaje a ta ženská věděla na chlup kde bydlím, jak se jmenuji a pak pokračovala, že jsem se účastnil nějaké ankety ( to ani nevím, že jsem se nějaké vůbec zúčastnil :D ), ale bezprostředně jak to dořekla jsem ihned ze strachu ukončil hovor a pak jsem si na internetu ověřil, že oni uzavírají netaktně smlouvy po telefonu a pak měsíčně za 500,- Kč vám pošlou holítka, která jsou made in China a nemají tu požadovanou švýcarskou kvalitu. No naštěstí mi nic poštou nepřišlo, už je to dlouhá doba, ale byl jsem v šoku, jak je možné, že se tady prodávají za miliardy korun databáze osobních údajů. A nikdo to neřeší, ani UOOS. :evil:
Odpovědět