GDPR (General Data Protection Regulation)

thanui_linux

Jak jsem snad správně pochopil DPO je "virtuální" pozice. Nikde není přesně stanoveno co má vlastně umět, jakou školu má mít apod. Dneska se na vlně GDPR veze i spousta obchodníků s hloupostí. Ti nabízejí od úprav smluv přes IT audit až po "Akreditované DPO". Pro malá ISP se celkem nic nemění. Prostě obecná datová obezřetnost a DPO ať je klidně uklizečka.

Už je na světě prováděcí vyhláška? Neví někdo?

dubrma

nemám uklízečku

sherlock

Otázka na malé ISP, jak řešíte prověřence (DPO)? Nepodařil se mi sehnat DPO za rozumnou cenu, vždy co se dívám, tak vychází roční náklady na cca 30 tis až 50 tis korun. Víte někdo o někom levnější variantě ve Zlínském kraji?

No, spíš je otázka, jestli vůbec pověřence potřebujeme. Protože podle mně ho nepotřebujeme.

okoun

a už je to tady zase

thanui_linux

I kdyby nepotřeboval o což se povedou spory. Stanovit ho může. Stačí canc ala vnitřní směrnice. Bába omáčková bude DPO a kdo nechá válet uživatelská ID na stole dostane hadrem. Pokud přijde kontrola: DPO je stanoven. Kompetence není stanovena ani směrnicí ani prováděcí vyhláškou.

Ke GDPR:

stanovte jaká uživatelská data držíte a z jakého oprávněného zájmu ...

jméno, příjmení atd. pro vedení účetnictví a držíte je 10let po proběhnutí účetního případu ( Zákon o účetnictví nebo DPH)

jméno, příjmení, provedená spojení pro data retenci a držíte je 6 měsíců ( Zákon ... asi o elektronických komunikacích )

email pro marketing - na základě souhlasu - 3tím osobám je nedáváte - pod odvolání automaticky šmitec.

Pak směrnice : zaměstnanec neválí dokumenty po autě. Žádnej papír co obsahuje jméno neskončí v popelnici bez skartovačky. Údaje o zákaznícich se drží na "přiměřeně" zabezpečeném místě. Asi těžko to bude NAS viditelnej do netu. Atd.

Jestli se Vám s tím nechce psát. Obraťte se na svýho mob operátora ať vám podle GDPR navalí co o Vás ví a proč to ví. BTW dotaz bych podal 26.5.2018 ať maj aspon den na rozkoukání.

Právnící mě můžou doplnit/opravit.

okoun

hmm nevíte někdo jak zjistím jestli potřebujeme od každého zákazníka souhlas se zpracováním osobních údajů? prý je v nějakém případně potřeba a v nějakém případně není....

cerva

hmm nevíte někdo jak zjistím jestli potřebujeme od každého zákazníka souhlas se zpracováním osobních údajů? prý je v nějakém případně potřeba a v nějakém případně není....

Pokud zpracováváš jen data nezbytně nutná dle zákona, souhlas nepotřebuješ.

helapc

Ze zákona potřebuješ jejich jednoznačnou identifikaci. Takže jmeno, adresu a např datum narození.

Pro fakturaci a servisy oduvodníš email a telefon. Pokud ty kontakty nebudeš využívat na marketing nepotřebuješ podle mě souhlas na žádný u výše jmenovaných údajů.

okoun

tak to je dobře...

pedro4444

Ze zákona potřebuješ jejich jednoznačnou identifikaci. Takže jmeno, adresu a např datum narození.

Pro fakturaci a servisy oduvodníš email a telefon. Pokud ty kontakty nebudeš využívat na marketing nepotřebuješ podle mě souhlas na žádný u výše jmenovaných údajů.

takze ak to spravne chapem pokial zbieram do zmluv adresu meno cislo obcianskeho email a telefon a neposielam ziadny marketing, alebo neviem co len poskytujeme internet ziadny e-shop tak nepotrebujem v zmluve nic menit a davat starym nieco nove podpisat?

helapc

Nepotřebuješ, na tyhle data máš oprávněný nárok

rsaf

Jasně že víme. Provedeš analýzu - sepíšeš jaká data zpracováváš (získáváš, uchováváš a pracuješ s nimi), kdo a jak je ve firmě zpracovává. U každého zpracování určíš, na základě jakého právního titulu je zpracováváš:

1) Plnění právní povinnosti - uchovávání dat ti ukládá nějaký zákon (data retention, zákonem dané náležitosti smluv..)

2) Plnění smlouvy nebo jednání o jejím uzavření - logicky jsou nějaká data nezbytná k tomu, aby jsi plnil smlouvu se subjektem údajů - jako ISP potřebuješ znát fakturační adresu, adresu instalace, nějaké kontakty, nějaké technické údaje...

3) Veřejný zájem - se běžně podnikatele spíše netýká

4) Životně důležitý zájem - u ISP taky příliš nepřichází v úvahu

5) Oprávněný zájem - je v podstatě vše co si jsi schopen obhájit, že nezbytně potřebuješ - fotky pro lepší zajištění servisu, LOGy a statistiky pro řešení potíží a reklamací apod.

6) Souhlas se zpracováním osobních údajů - k tomu přistoupíš až v okamžiku, kdy na zpracovávaná data nejsi schopen aplikovat nic z výše uvedeného.

Upozorňuji, že zdaleka nejde jen o to CO za data se skladuje ale především JAK se pak s nimi pracuje. Např. LOGy z DNS serverů můžeš automatizovaně zpracovávat a vytvářet nějaké anonymní statistiky (počet dotazů z celé sítě...) apod. a toto můžeš snadno označit za oprávněný zájem. Pokud by jsi ale ze stejných dat např. analyzoval na jaké weby uživatel chodí a podle toho např. vytvářel cílenou reklamu nebo nějaké "hodnocení" uživatele, tak už to jednoznačně oprávněný zájem nebude a potřeboval by jsi souhlas.

Když už budeš mít hotovou tu analýzu, doplníš do ni jak jsou data zabezpečena proti úniku a ztrátě, po jaké době mají být skartována, přidáš nějakou obecnou omáčku kolem manipulace s osobími daty a toto vydáš ve firmě jako směrnici - všichni povinně podepíšou.

Každopádně, pokud máš jen LOGy v běžném rozsahu a data nezbytná pro poskytnutí služby, nijak podrobněji ve vztahu k uživateli nic nezpracováváš a nic nepředáváš (neprodáváš) dalším subjektům, schováš vše pod 1,2,5 souhlas nepotřebuješ.

Uvědom si, že subjektem údajů jsou nejen zákazníci ale i dodavatele (nájmy střech...) a také zaměstnanci.

Zpracování by mělo být transparentní - informace o zpracování (tedy co, za jakým účelem, na jakém právním základě) by bylo dobré z pohledu zákazníka zveřejnit (třeba na webu podobně jako VOP), zaměstnance (kde se toho asi zpracovává více) prokazatelně informovat (třeba zápis z porady...).

Pozor na nějaké strojové zpracování, které může mít na subjekt údajů přímé následky. Např. pokud automatizovaně sleduješ výkonnost zaměstnanců, nebo ti GPSka automaticky hlídá překročení povolené rychlosti ve firemních autech, neměly by takto získaná data mít automatizovaný vliv na výplatu (prémie...). Tzn. pokud někdo jezdí autem moc rychle, tobě o tom přijde mail a ty mu sáhneš na prémie je to OK. Pokud by se místo mailu rovnou automaticky udělalo -500 na výplatě, je to problém.

tereza0706

Možná hloupý dotaz ale informací je tolik, že už ani nevím z čeho vycházet. Malá IT firma, zpracovali jsme analýzy rizik, nakládání s os. údaji, směrnice - jaký zaměstnanec má k čemu přístup. Na web umístíme informace o zpracování osobních údajů i s informací jaká firma má k údajům přístup (Externí učetní aj).Jmenovali jsme pověřence DPO.

Je toto dostačující? Budeme poté v souladu s GDPR? Nebo musíme splňovat ještě něco.

Veškeré údaje zpracováváme na základě oprávněného zájmu. Marketing neděláme a souhlas tedy vyžadovat nebudeme.

Díky za odpovědi.

rmj

Ahoj,

poskytne někdo vypracovanou analýzu? Samozřejmě za odměnu:) Napiště SZ. Děkuji

okoun

neumíte psát česky?

normálně si sepište jaké data na co evidujete kde je máte jak jsou zabezpečeny kd k nim přistupuje a podobně, nic bych na tom nehledal....

mpcz

Neumím posoudit, zda je to správně, ale kolega Rsaf to popsal docela srozumitelně, zařídím se podle toho co nejlépe budu umět. mpcz, 24.5.2018

shooter

Ahoj

Dotaz

Musí mít tyto blbosti i živnostník s stovkou klijošů ? když mám jen jmeno adresu telefon případně mejl zakaznika

myghael

Stručná odpověď: Jo.

Delší odpověď: Jo, ale není to zase opruz, alespoň ve srovnání s jinou byrokracií takového živnostníka. Zpracuješ si ten papír jak popisoval kolega rsaf, zřejmě nejlepší a nejsrozumitelnější soupis, který jsem zatím viděl, v tvém případě to bude velmi jednoduché, ty kontakty přece máš kvůli smlouvě a zajištění servisu. To ostatní je jenom o tom popsat, jak to uchováváš - zaheslovaná databáze, šanon v zamčené skříni/zamčené kanceláři - jen tak v autě za palubní deskou všechny kontakty jistě nevozíš. Opět viz. kolega rsaf.

Jasně že víme. Provedeš analýzu - sepíšeš jaká data zpracováváš (získáváš, uchováváš a pracuješ s nimi), kdo a jak je ve firmě zpracovává. U každého zpracování určíš, na základě jakého právního titulu je zpracováváš:

1) Plnění právní povinnosti - uchovávání dat ti ukládá nějaký zákon (data retention, zákonem dané náležitosti smluv..)

2) Plnění smlouvy nebo jednání o jejím uzavření - logicky jsou nějaká data nezbytná k tomu, aby jsi plnil smlouvu se subjektem údajů - jako ISP potřebuješ znát fakturační adresu, adresu instalace, nějaké kontakty, nějaké technické údaje...

3) Veřejný zájem - se běžně podnikatele spíše netýká

4) Životně důležitý zájem - u ISP taky příliš nepřichází v úvahu

5) Oprávněný zájem - je v podstatě vše co si jsi schopen obhájit, že nezbytně potřebuješ - fotky pro lepší zajištění servisu, LOGy a statistiky pro řešení potíží a reklamací apod.

6) Souhlas se zpracováním osobních údajů - k tomu přistoupíš až v okamžiku, kdy na zpracovávaná data nejsi schopen aplikovat nic z výše uvedeného.

Upozorňuji, že zdaleka nejde jen o to CO za data se skladuje ale především JAK se pak s nimi pracuje. Např. LOGy z DNS serverů můžeš automatizovaně zpracovávat a vytvářet nějaké anonymní statistiky (počet dotazů z celé sítě...) apod. a toto můžeš snadno označit za oprávněný zájem. Pokud by jsi ale ze stejných dat např. analyzoval na jaké weby uživatel chodí a podle toho např. vytvářel cílenou reklamu nebo nějaké "hodnocení" uživatele, tak už to jednoznačně oprávněný zájem nebude a potřeboval by jsi souhlas.

Když už budeš mít hotovou tu analýzu, doplníš do ni jak jsou data zabezpečena proti úniku a ztrátě, po jaké době mají být skartována, přidáš nějakou obecnou omáčku kolem manipulace s osobími daty a toto vydáš ve firmě jako směrnici - všichni povinně podepíšou.

Každopádně, pokud máš jen LOGy v běžném rozsahu a data nezbytná pro poskytnutí služby, nijak podrobněji ve vztahu k uživateli nic nezpracováváš a nic nepředáváš (neprodáváš) dalším subjektům, schováš vše pod 1,2,5 souhlas nepotřebuješ.

Uvědom si, že subjektem údajů jsou nejen zákazníci ale i dodavatele (nájmy střech...) a také zaměstnanci.

Zpracování by mělo být transparentní - informace o zpracování (tedy co, za jakým účelem, na jakém právním základě) by bylo dobré z pohledu zákazníka zveřejnit (třeba na webu podobně jako VOP), zaměstnance (kde se toho asi zpracovává více) prokazatelně informovat (třeba zápis z porady...).

Pozor na nějaké strojové zpracování, které může mít na subjekt údajů přímé následky. Např. pokud automatizovaně sleduješ výkonnost zaměstnanců, nebo ti GPSka automaticky hlídá překročení povolené rychlosti ve firemních autech, neměly by takto získaná data mít automatizovaný vliv na výplatu (prémie...). Tzn. pokud někdo jezdí autem moc rychle, tobě o tom přijde mail a ty mu sáhneš na prémie je to OK. Pokud by se místo mailu rovnou automaticky udělalo -500 na výplatě, je to problém.

shooter

A nemá nekdo nějákej prefabrikovanej papír že by se jen upravil dle potřeby a ne vytvářel nový

Zkusím to nějak udělat ale je to blbý nahlásila se ČTU na kontrolu a na toto nebude čas

rsaf

Začal bych něčím takovým https://imgur.com/a/t7fuiXN - každý si to musí dále rozpracovat, protože těch systému je jistě více než jedna evidence + účto + servisní listy...

Ono to dá dost práce si najít kde vlastně vše leží, kdo s tím pracuje, zdůvodnit si proč to máme...

Jako zdroj informací bych potom použil třeba zásady zpracování od O2 (https://www.o2.cz/osobni/586476-privacy_gdpr_mod/) kde jsou uvedeny prakticky všechny relevantní kategorie údajů i důvod zpracování a z větší části se to dá i opsat a vytvořit na zákaldě toho vlastní zásady, které se potom zveřejní.

« Předchozí stránka Další stránka »