EU se snaží regulovat nakládání s osobními údaji

A jiné formálnosti.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8306
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: EU se snaží regulovat nakládání s osobními údaji

Příspěvek od xsouku04 »

EuroTEL *11 píše:Prej se šíří fáma, že k vůli GDPR se budou rušit v Česku anonymní předplacené karty, nemáte nějaké info, že by to mohla být pravda. Ono kolem GDPR je vytvořeno spoustu fám a bludů. :x Jedno je jisté, teď jsem musel v internetovém bankovnictví ERA odsouhlasit, že mohou nakládat s mými osobními údaji v rámci GDPR i s třetími subjekty uvnitř skupiny ČSOB tudiž by mi může nějaká ČSOB pojišťovna nabízet po telefonu ( který mám nastaven pro zasílání autorizačních SMS ) spoření na důchod nebo nějaké pojistky.

Mne jenom zaráží, jak je možné, že proti tomu nevystupuje EU, že mobilní operátoři mohou databázi svých klientů prodávat pochybným a podvodným subjektům. Mne jednou v létě volali ze švýcarské firmy WesterField a nabízeli mi pánská holítka ale co mne šokovalo, že nejdříve se ozvala ženská a ještě než se mne zeptala, zda mohu souhlasit a pokračovat v hovoru ověřovala si moje osobní údaje a ta ženská věděla na chlup kde bydlím, jak se jmenuji a pak pokračovala, že jsem se účastnil nějaké ankety ( to ani nevím, že jsem se nějaké vůbec zúčastnil :D ), ale bezprostředně jak to dořekla jsem ihned ze strachu ukončil hovor a pak jsem si na internetu ověřil, že oni uzavírají netaktně smlouvy po telefonu a pak měsíčně za 500,- Kč vám pošlou holítka, která jsou made in China a nemají tu požadovanou švýcarskou kvalitu. No naštěstí mi nic poštou nepřišlo, už je to dlouhá doba, ale byl jsem v šoku, jak je možné, že se tady prodávají za miliardy korun databáze osobních údajů. A nikdo to neřeší, ani UOOS. :evil:
Že by GDPR zakazovala anonymní předplacené karty, to jsem opravdu neslyšel a myslím, že je to fáma. GDPR se naopak snaží, aby se dat u zákaznicích ukládalo co nejméně, tedy předplacené anonymní karty jsou z hlediska GDPR vítané. Problém není, že GDPR existuje, ale že je to jen snůška planých často nesmyslných frází, kterou není snadné a jednoznačné převést na konkrétní činy, každý se v tom nyní plácá, včetně úřadů samotných, ale málokdo přizná, že je to zhovadilost a šikana evropských diktátorů. Nebo snad máte možnost identifikovat a příště nezvolit lidi, co jsou za GDPR a podobnými EU nesmysly? Nejednoznačností a zbytečnou rozvláčností GDPR dává prostor k šikaně od úřadů a udávání, ale přitom se toho zas tolik nezmění.
GDPR nedomyslelo fakt, že dávat pokutu s.r.o. s majetkem a ručením ve výši 1 Kč nemá smysl. A firmám a osobám, co v EU nemají ani pobočku, ani pokutu dát nelze, protože mezinárodní právo není vymahatelné. Ti si mohou s daty dělat i nadále, co chtějí.

Je pravda, že existuje trend předplacené anonymní karty rušit. Politici a úředníci anonymní karty nemají rádi. Oni chtějí mít všechno pod kontrolou a fakt, že nemohou snadno zjistit, komu patří nějaké telefonní číslo, je znervózňuje. V praxi to ale bezpečnost nezvýší, protože pak vznikne černý trh s před-registrovanými kartami na bezdomovce či cizince, co se zde už nikdy neukáží, a podvodník si prostě vždy poradí. Předplacené anonymní karty jsou např. zakázány v Německu nebo na Slovensku nebo třeba i v Rusku. Řekl bych tak v cca každé druhé zemi nějaké podstatné nesmyslné omezení existuje, v ČR jsme na tom v tomto ohledu zatím dobře.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8306
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: EU se snaží regulovat nakládání s osobními údaji

Příspěvek od xsouku04 »

Dnes sem se dále zabýval GDPR.

Poslechl jsem si tuhle už cca půl roku starou přednášku na téma GDPR z vysoké školy.
https://www.superlectures.com/openalt20 ... =1&start=0
A začínám mít představu jak si definovat GDPR.

Tedy celé to GDPR je hlavně o tom prokázat, že jste dostatečně analyzovali, dokumentovali, školili a probírali "rizika" a celé to ohledně GDPR berete moc vážně a ztratili jste s tím hodně času.
Je tedy třeba si vytvořit haldy dokumentů, kterými se při kontrole budete ohánět, protože to, jak se věci mají ve skutečnosti - v každodenní praxi - úředník nebude mít většinou vůbec šanci zkontrolovat ani prokázat. Samozřejmě pokud se navenek chováte korektně. Např. skutečný okamžik skartování lejstra nebo smazání údaje i ze zálohy však úředník není schopen prokázat, pokud je problém jen v datu.
Při vytváření oněch papírů je dobré pokud možno zachovat podobného ducha nejednoznačných planých frází, kterým je napsán celý GDPR předpis. Dobré může být také přidat spousty odborných výrazů a zkratek z oboru činnosti tak, aby osoba mimo obor (úředník) se orientovala jen velmi obtížně. Dobré je zdůraznit různá specifika vaši činnosti, čímž se případ liší od podobných případů, aby úředník nemohl příliš srovnávat s tím, co mu říkali na školení. I v případě, že se by se úřad rozhodl pokutu udělit, bude výše pokuty podstatně nižší, když prokážete, že jste dostatečně analyzovali, dokumentovali, školili a probírali možná "rizika". Veškerá rizika, která není z nějakého důvodu snadné ošetřit, je dobré hodnotit jako nízká a najít k tomu nějaké chytré netradiční zdůvodnění, protože pak bude formálně vše v pořádku, případně to bude věc nějaké expertízy nebo osobního názoru. Pro úředníka je však jednodušší pokutovat nějakou papírovou formalitu.

Nikdo rozumný ani dnes snad s výjimkou marketingových aktivit a šmíráků ala sociální sítě nesbírá zbytečně data bez užitečného legitimního důvodu, tedy důvody většinou všichni máme a GDPR přináší hlavně tu povinnost to náležitě okecat.

Pokutu lze totiž dát úplně každému. Jak často a jak velké pokuty to budou, záleží na politickém a společenském tlaku na úředníky, co o pokutách rozhodují, a též na jejich počtu a vytížení.

Nebo jste si někdo všimli, že by se něco podstatného kvůli GDPR opravdu změnilo?

Pár zajímavostí ohledně GDPR.
  • Za neplatný je nutno naopak považovat každý souhlas, kdy byl zákazník při získání služby či výrobku nucen zároveň souhlasit se zpracováním osobních údajů (např. souhlasem zakomponovaným v obchodních podmínkách). zdroj: https://www.uoou.cz/gdpr%2Dnove/ds-4841/p1=4841 - Pokud si chcete něco objednat v eshopu, musíte dát adresu. Nemáte na výběr, je to v pořádku. Ale pokud takový Skype vyžaduje při registrace kromě emailu i telefonní číslo a datum narození a dobře nevysvětlí, k čemu to potřebuje, když to dříve šlo bez těchto údajů, měl by Microsoft dostat pokutu. Dočkáme se někdy? Banka si nesmí souhlas vynucovat vyhrožováním... Jsem zvědav, jak tohle okecají. Facebook lidi, co nesouhlasí s tím, co si namyslel, že bude zpracovávat, hodlá vykopnout - https://technet.idnes.cz/facebook-gdpr- ... pravy_hege Je to také v pořádku?
  • Když se přihlásím do Raiffeisen banky, chce po mně aktualizaci souhlasů, kterou je možné zatím přeskočit. Souhlasem též potvrzuji, že jsem se seznámil s Informačním memorandem. V informačním memorandu mimo jiné píší, že pokud budu chtít vidět vše, co na mne evidují, nechají si náklady zaplatit. To je ale v rosporu s GDPR, které tvrdí, že to musí být zdarma, leda že by to někdo zneužíval. je tohle na pokutu? Jakto že si to ani takto velká instituce neohlídá? Zdroj informací: https://www.uoou.cz/6-prava-subjektu-udaj/d-27276 Na můj dotaz mi z RB mi odpověděli, že to ještě do začátku platnosti hodlají změnit. Proč ale nechají potvrzovat od svých zákazníků co se bude za měsíc měnit? Myslím že jsou zmatení a bezradní, ale nepřiznají to.
Uživatelský avatar
EuroTEL *11
Příspěvky: 65
Registrován: pon 05. úno 2018 20:15:11

Re: EU se snaží regulovat nakládání s osobními údaji

Příspěvek od EuroTEL *11 »

A co když ti konspirační pošukové mají pravdu, že to GDPR bude sloužit k NWO vždyť Evropská unie chce povinné občanské průkazy z čipem a otisky prstu. Do budoucna se mají občanské průkazy sjednotit s platebními kartami, takže občanka bude fungovat jako univerzální RFID čip, který bude zaznamenávat vše co v životě děláte, a to asi ti konspirátoři mají pravdu, že se bude jednat o další omezení svobody a větší přitažení šroubů diktatury. :evil:
alfi
Příspěvky: 753
Registrován: čtv 03. led 2013 15:31:10

Re: EU se snaží regulovat nakládání s osobními údaji

Příspěvek od alfi »

xsouku04 píše:Dnes sem se dále zabýval GDPR.
Poslechl jsem si tuhle už cca půl roku starou přednášku na téma GDPR z vysoké školy.
https://www.superlectures.com/openalt20 ... =1&start=0
A začínám mít představu jak si definovat GDPR.
:-) Aneb v podstatě další "výpalné" ala BOZP, požární předpisy, HACCP, povinné revize elektro nebo plynu.. na jednu stranu chápu, že jsou nějaká pravidla potřeba, protože spousta lidí (podnikatelů) na bezpečnost kašle - vč. té ochrany osobních údajů, která platí už dlouho (jen doteď byla bez pokuty). Na druhou stranu, ti, co na to kašlali, v tom budou úspěšně pokračovat i dál a případná kontrola/stížnost, když bude chtít, nějakou chybu vždycky najde. Už teď si troufám tvrdit, že neexistuje podnikatel nebo firma, který má splněno 100% všech povinností, protože o řadě z nich vůbec ani neví a nebo nejdou v praxi reálně do puntíku dodržet, jak si zákonodárce (od stolu) představoval..
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8306
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: EU se snaží regulovat nakládání s osobními údaji

Příspěvek od xsouku04 »

Klíčový dokument GDPR se zdá být "záznamy o činnostech zpracování " anglicky ""Records of processing activities". Zní to logicky a rozumě do doby, než se podíváte, co přesně by měl takový dokument obsahovat.
Mé poznámky jsou v závorkách.


a) jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů; (správce jsem snad vždy já, proto to také vždy dělám, proč musím u každého údaje připomínat, že správcem údajů jsem já nebo má organizace? Proč pořád opakovat kontaktní údaje sám na sebe?)
b) účely zpracování;
c) popis kategorií subjektů údajů a kategorií osobních údajů; (není zřejmé, jestli Jméno a příjmení lze považovat za jeden údaj nebo jsou to dva? Nebo jedno zpracování je celý vyplněný formulář údajů?)
d) kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích; (většinou se údaje nikomu dalšímu nepředávají, mít tohle jako povinnou položku nedává smysl)
e) informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce doložení vhodných záruk; (většinou se údaje nikomu dalšímu nepředávají, mít tohle jako povinnou položku nedává smysl)
f) je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů;
g) je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 32 odst. 1.

Zdroj: http://www.privacy-regulation.eu/cs/30.htm

Nebo jen něco špatně chápu?
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8306
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: EU se snaží regulovat nakládání s osobními údaji

Příspěvek od xsouku04 »

Někteří školitelé GDPR šíří myšlenku, že nelze udělit souhlas se zpracováním osobních údajů na neurčitou dobu. Např. pokud se někdo přihlásí do mailing listu, mělo by to být vždy na určitou dobu a poté se obnovovat, znovu vyžadovat souhlas. Jak na to ale přišli? Kde přesně je tohle napsáno?
Nyní jsem našel velmi věrohodně znějící vysvětlení na stránkách webtrh.cz. https://webtrh.cz/398037-gdpr-komentare-webu-bude-nutne
Vypadá to, že rádcové to jen odvodili z nejednoznačného blábolu, jak je GDPR zvykem. Tedy i tato rada nemůže být považována za jednoznačnou. Důležité především je, jestli podobně "jednoznačné" závěry mají ti, co to budou kontrolovat/pokutovat, a jejich nadřízení (EU papaláši co to mají na starost). Interpretace EU papalášů je ale těžké dohledávat...

Odstaveček, z kterého někteří rádcové tvoří tyto závěry, je nejspíš tento:
Osobní údaje by měly být přiměřené, relevantní a omezené na to, co je nezbytné z hlediska účelů, pro které jsou zpracovávány. Je nezbytné zejména zajistit, aby byla doba, po kterou jsou osobní údaje uchovávány, omezena na nezbytné minimum. Osobní údaje by měly být zpracovány pouze tehdy, nemůže-li být účelu zpracování přiměřeně dosaženo jinými prostředky. Aby se zajistilo, že osobní údaje nebudou uchovávány déle, než je nezbytné, měl by správce stanovit lhůty pro výmaz nebo pravidelný přezkum.
Tedy je to opět nejasně nejednoznačně napsáno, že by správce měl. Měl ale asi jen v tom případě, že to jde a dává smysl. Ve spoustě aplikací to ale nejde (např. jednorázový příspěvek do diskuze), nebo je to vyloženě nevhodné a obtěžující, a nejspíš právě proto ten podmiňovací způsob.
Např. pokud si vyplním email o zasílání informací o zmeškaných hovorech, opravdu nechci to každého půl roku potvrzovat. Mimo jiné email je nutné "zpracovávat", aby službu vůbec bylo možné poskytnout. Tedy i ten souhlas by nemělo být nutné výslovně udělovat. Jiný argument by mohl být v tom, že je to přeci naprosto zřejmé bez výslovného potvrzování nějakých blábolů na ono téma.

Cituji též rozumný příspěvek.
Prostě pokud se někde registruji já, chci se tam registrovat a nechci být otravovaný tím, že mám souhlas opakovat po určité době. Já jsem to právě řešil i naším právníkem na GDPR a nedokázali jsme najít ten důvod, proč by souhlas do odvolání nešel použít.
Respektive chceme použít souhlas do odvolání kombinovaný s automatickým výmazem při neaktivitě účtu.
Osobně vidím jako základní rozhodnutí, k čemu je potřeba souhlas a k čemu nikoli. Pokud je údaj nezbytně nutný k tomu, aby to šlo (např. pro zaslání balíku potřebuji adresu), nebo ze zákona, který mi ukládá daný údaj evidovat, souhlas nepotřebuji vůbec. Většina míst, kde zadáváte osobní údaje tak ve skutečnosti souhlas vůbec nepotřebují, protože důvody jsou legitimní. Ale pro jistotu jej chtějí, aby se kryli. Jak přesně stanovit tu hranici je nejednoznačné a těžké. Jisté jen je, že pokud chcete někoho obtěžovat marketingem, souhlas potřebujete a pravděpodobně i včetně onoho obnovování. To ale Odorik.cz nikdy nedělal a dělat nehodlá, souhlas by tedy neměl vůbec vyžadovat... Jisté ale není nic.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8306
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: EU se snaží regulovat nakládání s osobními údaji

Příspěvek od xsouku04 »

Poprvé, co zkoumám GDPR, jsem našel něco, co bych mohl označit za změnu k lepšímu. Současná praxe byla taková, že všichni od všech vyžadovali souhlas se vším možným ohledně osobních dat, aby byli kryti. A souhlas byl nutností, nedílnou součásti smlouvy a zpravidla nebylo možné souhlas nedat.
Naproti tomu GDPR u velké části použití osobních údajů souhlas vůbec nevyžaduje. Souhlas vyžaduje jen v případech, kdy zpracování osobních dat není nutné, ale dobrovolné a souhlas nesmí být vynucen.

Jeden ze zdrojů informací: https://www.uoou.cz/desatero%2Domylu/ds-4818/p1=4818 bod 4.

Příklad: Při jednorázovém nákupu v eshopu, je nutné zadat kontaktní údaje i adresu, protože bez nich by jaksi nebylo možné balík vůbec odeslat. Souhlas tedy netřeba. Pokud byste ale chtěli zadané údaje uložit, aby bylo snadnější je použít příště, tedy provést registraci, souhlas je nutný a dobrovolný.

V podstatě je tak možné prohlásit, že vše, co na Odorik.cz ukládáme, je nutné buď z provozních nebo zákonných důvodů, tedy souhlas není třeba vůbec. A jediné, co z GDPR zůstane, by tak byla povinnost tohle doložit a rozepsat. Ale opět se to nemusí někomu líbit a může nějakou část rozporovat.


Sporná ale je, co všechno je nutné tedy zákonné i bez souhlasu a co už nutné není, tedy je dobrovolné. To nikdo pořádně neví a záleží to na tom, co si myslí papaláší, co o tom rozhodují, protože v nařízení GDPR to přesně specifikováno není.
Také je zajímavé, jak se s tím vypořádají Facebook, Google a podobní šmíráci. Budou nám tvrdit, že podrobné šmírování je naprosto nutné k provozování jejich služeb, tedy pro něj nepotřebují souhlas? Nebo budou souhlas nadále podmiňovat užíváním jejich služeb, přestože je to výslovně zakázáno? Nebo vymyslí nějaké další způsoby jak GDPR obejít, aby jim to pokud možno nekazilo jejich obchodní model? Pravděpodobně to budou kombinovat a část šmírování při nedání souhlasu omezí, ale o další části budou tvrdit že je nezbytně nutná, i když to není pravda a hlavním důvodem jsou jejich větší zisky z lépe cílené reklamy.
vlk
Příspěvky: 194
Registrován: ned 29. pro 2013 19:04:40

Re: EU se snaží regulovat nakládání s osobními údaji

Příspěvek od vlk »

xsouku04 píše: čtv 26. dub 2018 13:24:29 Příklad: Při jednorázovém nákupu v eshopu, je nutné zadat kontaktní údaje i adresu, protože bez nich by jaksi nebylo možné balík vůbec odeslat. Souhlas tedy netřeba. Pokud byste ale chtěli zadané údaje uložit, aby bylo snadnější je použít příště, tedy provést registraci, souhlas je nutný a dobrovolný.
V podstatě máte pravdu, jen je třeba znát všechny kombinace, které mohou nastat. U vašeho příkladu:
adresu nepotřebujete při zasílání na zásilkovnu, balíkovnu a podobné služby
jméno a příjmení nepotřebujete také.
Na druhou stranu potřebujete navíc telefon nebo email.
Odpovědět